This document is an excerpt from the EUR-Lex website
Document 32021D2243
Commission Decision (EU) 2021/2243 of 15 December 2021 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of the processing of personal data for the purposes of the security of information and communication systems of the Commission
Komission päätös (EU) 2021/2243, annettu 15 päivänä joulukuuta 2021, henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta komission tieto- ja viestintäjärjestelmien turvallisuuden tarkoituksiin
Komission päätös (EU) 2021/2243, annettu 15 päivänä joulukuuta 2021, henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta komission tieto- ja viestintäjärjestelmien turvallisuuden tarkoituksiin
C/2021/9176
EUVL L 450, 16.12.2021, p. 149–155
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
16.12.2021 |
FI |
Euroopan unionin virallinen lehti |
L 450/149 |
KOMISSION PÄÄTÖS (EU) 2021/2243,
annettu 15 päivänä joulukuuta 2021,
henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta komission tieto- ja viestintäjärjestelmien turvallisuuden tarkoituksiin
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 249 artiklan 1 kohdan,
sekä katsoo seuraavaa:
|
(1) |
Komissio on tehtäviään hoitaessaan velvollinen kunnioittamaan henkilötietojen käsittelyyn liittyviä luonnollisten henkilöiden oikeuksia, jotka tunnustetaan Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdassa ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdassa. Sen on myös kunnioitettava Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1725 (1) säädettyjä oikeuksia. Samalla komission on käsiteltävä tietotekniikan turvallisuushäiriöt päätöksen (EU, Euratom) 2017/46 15 (2) artiklassa vahvistettujen sääntöjen mukaisesti. |
|
(2) |
Komissio on toteuttanut päätöksessä (EU, Euratom) 2017/46 ja päätöksessä C(2017) 8841 final (3) säädettyjä toimenpiteitä tietotekniikan turvallisuuden varmistamiseksi eli viestintä- ja tietojärjestelmien ja niissä käsiteltävien tietokokonaisuuksien luottamuksellisuuden, eheyden ja käytettävyyden säilyttämiseksi henkilöiden, omaisuuden ja tiedon osalta, erityisesti tietotekniikan pääosastonsa välityksellä. Näihin toimenpiteisiin kuuluvat tietotekniikan turvallisuutta koskevien riskien ja toimenpiteiden seuranta, järjestelmän omistajien pyytäminen toteuttamaan erityisiä tietotekniikan turvallisuutta koskevia toimenpiteitä komission viestintä- ja tietojärjestelmiin kohdistuvien tietotekniikan turvallisuutta koskevien riskien lieventämiseksi sekä tietotekniikan turvallisuushäiriöiden hallinta. |
|
(3) |
Tietotekniikan pääosasto tarjoaa tietoturvatoimia ja -palveluja komissiolle. Sen on käsiteltävä useisiin henkilötietoryhmiin kuuluvia henkilötietoja, jotta voidaan
|
|
(4) |
Komission suorittamissa käsittelytoimissa voi ilmetä tietotekniikan turvallisuushäiriöitä, jotka voivat vaarantaa komission tieto- ja viestintäjärjestelmien turvallisuuden. Ne voivat koskea mitä tahansa komission käsittelemiä henkilötietoja. |
|
(5) |
Tietyissä olosuhteissa voi olla tarpeen sovittaa yhteen asetuksen (EU) 2018/1725 mukaiset rekisteröityjen oikeudet ja komission tarve suorittaa tehokkaasti tietotekniikan turvallisuuden varmistamiseen henkilöiden, omaisuuden ja tiedon osalta liittyvät tehtävät komissiossa päätöksen (EU, Euratom) 2017/46 mukaisesti samalla muiden rekisteröityjen perusoikeuksia ja -vapauksia täysin kunnioittaen. Tätä varten asetuksen (EU) 2018/1725 25 artiklan 1 kohdassa annetaan komissiolle lupa rajoittaa kyseisen asetuksen 14–17, 19, 20 ja 35 artiklan soveltamista sekä sen 4 artiklan 1 kohdan a alakohdassa tarkoitettua läpinäkyvyyden periaatetta, siltä osin kuin asianomaiset säännökset vastaavat kyseisen asetuksen 14–17, 19 ja 20 artiklassa säädettyjä oikeuksia ja velvollisuuksia. |
|
(6) |
Tätä päätöstä olisi sovellettava kaikkiin käsittelytoimiin, joita komissio suorittaa rekisterinpitäjänä hoitaessaan tehtäviään tietotekniikan turvallisuuden varmistamiseksi henkilöiden, omaisuuden ja tiedon osalta komissiossa päätöksen (EU, Euratom) 2017/46 mukaisesti. Sen vuoksi sen olisi koskettava kaikkien näiden käsittelytoimien kattamien henkilötietoryhmien rekisteröityjä eli henkilöitä, jotka ovat vuorovaikutuksessa komission tieto- ja viestintäjärjestelmien kanssa. |
|
(7) |
Henkilötiedot säilytetään suojatussa sähköisessä ympäristössä, joka estää lainvastaisen pääsyn tietoihin komission ulkopuolisilta henkilöiltä. Eri käsittelytoimiin sovelletaan erilaisia tietojen säilytysaikoja henkilötietojen tyypistä riippuen. Tiedostoja säilytetään komissiossa komission yhteisen säilytysluettelon (SEC(2019) 900) mukaisesti, joka on säilytysaikataulun sisältävä sääntelyasiakirja, jossa vahvistetaan komission eri asiakirjatyyppien säilytysajat tietojen säilyttämisen rajoittamiseksi siihen, mikä on tarpeen. |
|
(8) |
Komission on mahdollisesti rajoitettava rekisteröityjen oikeuksien soveltamista sisäisen turvallisuutensa varmistamiseksi asetuksen (EU) 2018/1725 25 artiklan 1 kohdan d alakohdan mukaisesti (eli viestintä- ja tietojärjestelmiensä ja niissä käsiteltävien tietokokonaisuuksien, omaisuutensa ja tietojensa luottamuksellisuuden, eheyden ja käytettävyyden säilyttämiseksi). Komission on mahdollisesti toimittava näin erityisesti voidakseen
|
|
(9) |
Päätöksen (EU, Euratom) 2017/46 15 artiklassa tarkoitettujen tietotekniikan turvallisuushäiriöiden käsittelyä varten tietotekniikan pääosasto voi vaihtaa tietoja henkilöstöhallinnon ja turvallisuustoiminnan pääosaston kyberhyökkäysten torjuntaryhmän (Cyber Attack Response Team) kanssa. |
|
(10) |
Asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan noudattamiseksi komission olisi tiedotettava kaikille yksityishenkilöille toimista, joihin liittyy heidän henkilötietojensa käsittelyä ja jotka vaikuttavat heidän oikeuksiinsa. Sen olisi tehtävä tämä avoimesti ja johdonmukaisesti julkaisemalla tietosuojaseloste verkkosivustollaan. Sen olisi tarvittaessa sovellettava lisätakeita ja tiedotettava rekisteröidyille henkilökohtaisesti asianmukaisessa muodossa. |
|
(11) |
Asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan noudattaminen voi paljastaa tietoja päätöksen (EU, Euratom) 2017/46 15 artiklan nojalla toteutettujen tietotekniikan turvallisuutta koskevien toimenpiteiden, haavoittuvuuksien tai häiriöiden olemassaolosta. Näiden tietotekniikan turvallisuutta koskevien toimenpiteiden, haavoittuvuuksien ja häiriöiden paljastuminen lisää riskiä siitä, että paljastunutta tietotekniikan turvallisuutta koskevaa toimenpidettä kierrettäisiin, että paljastunutta haavoittuvuutta käytettäisiin hyväksi ja että jatkuva tietotekniikan turvallisuushäiriöiden analysointi vaarantuisi, koska käyttäjä tai vihamielinen toimija voi manipuloida artefakteja vahingossa tai tahallisesti. Tämä voisi heikentää vakavasti komission valmiuksia varmistaa tietotekniikan turvallisuus ja erityisesti käsitellä tietotekniikan turvallisuushäiriöitä tehokkaasti tulevaisuudessa. |
|
(12) |
Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohdan nojalla komissiolla on myös lupa rajoittaa rekisteröityjen oikeuksien käyttöä muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi tietotekniikan turvallisuushäiriöiden yhteydessä, jotka voivat vaarantaa tietoturvatoimien toteutuksen. |
|
(13) |
Komission saattaa olla tarpeen rajoittaa tietojen antamista rekisteröidyille ja rekisteröityjen muiden oikeuksien käyttöä, joka liittyy EU:n ulkopuolisista maista tai kansainvälisiltä järjestöiltä saatuihin henkilötietoihin, jotta se kykenee täyttämään velvoitteensa tehdä yhteistyötä kyseisten maiden tai järjestöjen kanssa. Tämä on osa asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c alakohdassa tarkoitettua komission velvollisuutta turvata EU:n yleiseen julkiseen etuun liittyvä tärkeä tavoite. Joissakin tapauksissa rekisteröidyn perusoikeuksiin liittyvä etu saattaa kuitenkin painaa enemmän kuin kansainvälisen yhteistyön intressit. |
|
(14) |
Sen vuoksi komissio on määritellyt asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, d ja h alakohdassa luetellut perusteet rajoitusperusteiksi, joita voi olla tarpeen soveltaa tietojenkäsittelytoimiin, joita tietotekniikan pääosasto suorittaa tarjotessaan tietoturvatoimia ja -palveluja komissiolle. |
|
(15) |
Kaikkien tämän päätöksen nojalla sovellettavien rajoitusten olisi oltava tarpeellisia ja oikeasuhteisia ottaen huomioon rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. |
|
(16) |
Komission olisi käsiteltävä kaikki rajoitukset läpinäkyvästi ja rekisteröitävä vastaavaan rekisteröintijärjestelmään kaikki tapaukset, joissa rajoituksia sovelletaan. |
|
(17) |
Rekisterinpitäjät voivat asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla lykätä rajoituksen soveltamisen syitä koskevaa ilmoitusta rekisteröidylle, jättää sen tekemättä tai evätä sen, jos tietojen antaminen vaarantaisi jollakin tavoin rajoituksen tarkoituksen. Tämä koskee erityisesti asetuksen (EU) 2018/1725 16 ja 35 artiklassa säädettyihin velvoitteisiin sovellettavia rajoituksia. Komission olisi tarkasteltava käyttöön otettuja rajoituksia säännöllisesti, jotta voidaan varmistaa, että asetuksen (EU) 2018/1725 16 ja 35 artiklassa tarkoitettuja rekisteröityjen tiedonsaantioikeuksia rajoitetaan vain niin kauan, kuin rajoitukset ovat välttämättömiä komission tietotekniikan turvallisuuden varmistamiseksi ja erityisesti tietotekniikan turvallisuushäiriöiden käsittelemiseksi. |
|
(18) |
Jos komissio rajoittaa muiden kuin asetuksen (EU) 2018/1725 16 ja 35 artiklassa tarkoitettujen rekisteröidyille kuuluvien oikeuksien soveltamista, rekisterinpitäjän olisi arvioitava tapauskohtaisesti, vaarantaisiko rajoituksen ilmoittaminen sen tarkoituksen. |
|
(19) |
Komission tietosuojavastaavan olisi tehtävä riippumaton uudelleentarkastelu rajoitusten soveltamisesta, jotta voidaan varmistaa tämän päätöksen noudattaminen. |
|
(20) |
Jotta komissio voisi välittömästi rajoittaa tiettyjen oikeuksien ja velvollisuuksien soveltamista asetuksen (EU) 2018/1725 25 artiklan mukaisesti, tämän päätöksen olisi tultava voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä. |
|
(21) |
Euroopan tietosuojavaltuutettu antoi lausuntonsa 16 päivänä syyskuuta 2021, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Kohde ja soveltamisala
1. Tässä päätöksessä vahvistetaan säännöt, joita komissio noudattaa ilmoittaessaan rekisteröidyille asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan mukaisesti heidän henkilötietojensa käsittelystä, kun se suorittaa päätöksen (EU, Euratom) 2017/46 mukaisia tehtäviään.
Siinä vahvistetaan myös edellytykset, joiden täyttyessä komissio voi rajoittaa asetuksen (EU) 2018/1725 4, 14–17, 19, 20 ja 35 artiklan soveltamista mainitun asetuksen 25 artiklan 1 kohdan c, d ja h alakohdan mukaisesti, kun se suorittaa päätöksen (EU, Euratom) 2017/46 mukaisia tehtäviään.
2. Tätä päätöstä sovelletaan komission suorittamaan tai sen puolesta suoritettuun henkilötietojen käsittelyyn, joka tehdään sellaista toimintaa varten tai sellaisen toiminnan yhteydessä, jota toteutetaan tietotekniikan turvallisuuden varmistamiseksi henkilöiden, omaisuuden ja tiedon osalta komissiossa päätöksen (EU, Euratom) 2017/46 mukaisesti.
2 artikla
Sovellettavat poikkeukset ja rajoitukset
1. Komissio harkitsee asetuksen (EU) 2018/1725 mukaisiin rekisteröityjen oikeuksiin liittyviä tehtäviään hoitaessaan, sovelletaanko jotakin mainitussa asetuksessa säädetyistä poikkeuksista.
2. Jollei tämän päätöksen 3–7 artiklasta muuta johdu, jos asetuksen (EU) 2018/1725 14–17, 19, 20 ja 35 artiklassa säädettyjen oikeuksien ja velvollisuuksien toteuttaminen komission käsittelemien henkilötietojen osalta vaarantaisi tietoturvatoimien ja -palvelujen tarkoituksen esimerkiksi paljastamalla komission tutkintavälineitä, haavoittuvuuksia ja menetelmiä tai vaikuttaisi kielteisellä tavalla muiden rekisteröityjen oikeuksiin, vapauksiin ja turvallisuuteen, erityisesti kun on kyse henkilötietojen käsittelystä, jotta voidaan
|
— |
tehdä tietoturvatapahtumiin ja -häiriöihin liittyvät ilmoitukset ja varoitukset; |
|
— |
reagoida tietoturvatapahtumiin ja -häiriöihin ja hallita niitä; |
|
— |
tukea välineitä ja toimia turvallisuusauditoinneilla, turvallisuusarvioinneilla ja haavoittuvuuksien hallinnalla; |
|
— |
lisätä komission henkilöstön tietoisuutta kyberturvallisuuden alalla; |
|
— |
seurata, havaita ja estää tietoturvatapahtumien ja -häiriöiden esiintymistä; |
|
— |
tarkistaa etuoikeutetut käyttäjätilit, |
komissio voi rajoittaa seuraavien soveltamista:
|
a) |
asetuksen (EU) 2018/1725 14–17, 19, 20 ja 35 artikla; |
|
b) |
asetuksen (EU) 2018/1725 4 artiklan 1 kohdan a alakohdassa säädetty läpinäkyvyysperiaate, siltä osin kuin asianomaiset säännökset vastaavat asetuksen (EU) 2018/1725 14–17, 19 ja 20 artiklassa säädettyjä oikeuksia ja velvollisuuksia. |
Komissio voi toimia näin asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, d ja h alakohdan mukaisesti.
3. Jollei 3–7 artiklasta muuta johdu, komissio voi rajoittaa tämän artiklan 2 kohdassa tarkoitettuja oikeuksia ja velvollisuuksia,
|
a) |
kun muu EU:n toimielin, elin tai laitos voisi rajoittaa mainitulta muulta EU:n toimielimeltä, elimeltä tai laitokselta saatujen henkilötietojen osalta kyseisten oikeuksien ja velvollisuuksien toteuttamista asetuksen (EU) 2018/1725 25 artiklassa tarkoitettujen säädösten tai mainitun asetuksen IX luvun nojalla ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 (4) tai neuvoston asetuksen (EU) 2017/1939 (5) mukaisesti; |
|
b) |
kun jäsenvaltion toimivaltainen viranomainen voisi rajoittaa mainitun jäsenvaltion toimivaltaiselta viranomaiselta saatujen henkilötietojen osalta kyseisten oikeuksien ja velvollisuuksien toteuttamista Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (6) 23 artiklassa tarkoitettujen lainsäädäntötoimenpiteiden perusteella tai sellaisten kansallisten toimenpiteiden nojalla, joilla Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (7) 13 artiklan 3 kohta, 15 artiklan 3 kohta tai 16 artiklan 3 kohta saatetaan osaksi kansallista lainsäädäntöä; |
|
c) |
jos kyseisten oikeuksien ja velvollisuuksien toteuttaminen haittaisi komission yhteistyötä EU:n ulkopuolisten maiden tai kansainvälisten järjestöjen kanssa yhteisten kyberturvallisuusuhkien torjumiseksi. |
Ennen kuin komissio soveltaa rajoituksia ensimmäisen alakohdan a ja b alakohdassa mainituissa tilanteissa, se kuulee asianomaisia EU:n toimielimiä, elimiä ja laitoksia tai jäsenvaltioiden viranomaisia mahdollisista rajoitusten asettamisen syistä sekä rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta, paitsi jos tämä haittaisi komission toimintaa ja paitsi jos komissiolle on selvää, että rajoituksen soveltamisesta säädetään jossakin näissä alakohdissa mainituista säädöksistä tai että tällainen kuuleminen vaarantaisi päätöksen (EU, Euratom) 2017/46 mukaisen komission toiminnan tarkoituksen.
Ensimmäisen alakohdan c alakohtaa ei sovelleta, jos rekisteröidyn edut tai perusoikeudet ja -vapaudet painavat enemmän kuin komission intressi tehdä yhteistyötä EU:n ulkopuolisten maiden tai kansainvälisten järjestöjen kanssa.
4. Tämän artiklan 1, 2 ja 3 kohta ei rajoita muiden komission päätösten soveltamista, joissa vahvistetaan sisäiset säännöt tietojen antamisesta rekisteröidyille ja tiettyjen oikeuksien käytön rajoittamisesta asetuksen (EU) 2018/1725 25 artiklan nojalla.
5. Kaikkien 2 kohdassa tarkoitettujen, oikeuksien ja velvollisuuksien soveltamista koskevien rajoitusten on oltava tarpeellisia ja oikeasuhteisia ottaen huomioon rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit.
6. Tarpeellisuuden ja oikeasuhteisuuden arviointi on tehtävä tapauskohtaisesti ennen rajoitusten soveltamista ja rajoitukset on rajoitettava siihen, mikä on ehdottoman välttämätöntä aiotun tarkoituksen saavuttamiseksi.
3 artikla
Tietojen antaminen rekisteröidyille
1. Komissio julkaisee verkkosivustollaan tietosuojaselosteen, jossa se ilmoittaa kaikille rekisteröidyille toimistaan, joihin liittyy heidän henkilötietojensa käsittelyä päätöksen (EU, Euratom) 2017/46 mukaisten komission tehtävien suorittamiseksi, mukaan lukien kuvaus kyseessä olevista henkilötietoryhmistä. Komissio varmistaa, että rekisteröidyille ilmoitetaan henkilökohtaisesti asianmukaisessa muodossa, jos se on mahdollista vaarantamatta tietotekniikan turvallisuutta.
2. Jos komissio rajoittaa kokonaan tai osittain tietojen antamista rekisteröidyille, joiden henkilötietoja se käsittelee päätöksen (EU, Euratom) 2017/46 mukaisten tehtäviensä suorittamiseksi, se kirjaa ja rekisteröi rajoituksen syyt tämän päätöksen 6 artiklan mukaisesti.
4 artikla
Rekisteröidyn oikeus tietoihin pääsyyn, oikeus tietojen poistamiseen ja oikeus tietojen käsittelyn rajoittamiseen
1. Kun komissio rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, 19 artiklassa tarkoitettua oikeutta saada tiedot poistetuksi tai 20 artiklassa tarkoitettua oikeutta rajoittaa tietojen käsittelyä, se ilmoittaa asianomaiselle rekisteröidylle tietoihin pääsyä, tietojen poistamista tai käsittelyn rajoittamista koskevaan pyyntöön antamassaan vastauksessa
|
a) |
sovelletusta rajoituksesta ja sen pääasiallisista syistä; |
|
b) |
mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa. |
2. Komissio voi lykätä 1 kohdassa tarkoitetun rajoituksen syitä koskevien tietojen toimittamista, jättää tiedot toimittamatta tai kieltäytyä tietojen toimittamisesta, siltä osin kuin tietojen antaminen vaarantaisi rajoituksen tarkoituksen.
3. Komission on kirjattava ja rekisteröitävä rajoituksen syyt 6 artiklan mukaisesti.
4. Jos oikeutta päästä tietoihin rajoitetaan kokonaan tai osittain, rekisteröity voi käyttää oikeuttaan päästä tietoihin Euroopan tietosuojavaltuutetun välityksellä asetuksen (EU) 2018/1725 25 artiklan 6, 7 ja 8 kohdan mukaisesti.
5 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
Jos komissio rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle, se kirjaa ja rekisteröi rajoituksen syyt tämän päätöksen 6 artiklan mukaisesti. Komissio ilmoittaa kirjauksesta Euroopan tietosuojavaltuutetulle henkilötietojen tietoturvaloukkauksesta ilmoitettaessa.
6 artikla
Rajoitusten kirjaaminen ja rekisteröinti
1. Komissio kirjaa kaikkien tämän päätöksen nojalla sovellettavien rajoitusten syyt, viittaukset rajoituksen oikeusperustaan sekä arvion rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta, ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa esitetyt asiaan liittyvät näkökohdat.
2. Kirjauksessa todetaan, kuinka rekisteröidyn oikeuden käyttäminen vaarantaisi komissiolle päätöksen (EU, Euratom) 2017/46 mukaisesti tarjottavien tietoturvatoimien ja -palvelujen tarkoituksen tai tämän päätöksen 2 artiklan 2 tai 3 kohdan nojalla sovellettujen rajoitusten tarkoituksen taikka vaikuttaisi kielteisellä tavalla muiden rekisteröityjen oikeuksiin ja vapauksiin.
3. Komissio rekisteröi nämä kirjaukset ja kaikki asiakirjat, jotka sisältävät perusteena olevia tosiseikkoja ja oikeudellisia seikkoja. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.
7 artikla
Rajoitusten kesto
1. Edellä 3, 4 ja 5 artiklassa tarkoitettujen rajoitusten soveltamista jatketaan niin kauan, kuin niiden perusteena olevat syyt ovat voimassa.
2. Kun 3, 4 ja 5 artiklassa tarkoitetun rajoituksen syyt eivät ole enää voimassa, komissio
|
a) |
poistaa rajoituksen; |
|
b) |
ilmoittaa rekisteröidylle rajoituksen pääasialliset syyt; |
|
c) |
ilmoittaa rekisteröidyille mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa. |
8 artikla
Suojatoimet ja säilytysajat
1. Komissio tarkastelee 3, 4 ja 5 artiklassa tarkoitettujen rajoitusten soveltamista uudelleen kuuden kuukauden kuluttua niiden käyttöön ottamisesta sekä yksittäisen tietoturvatoimen päättämisen yhteydessä. Tämän jälkeen komissio tarkkailee ja seuraa vuosittain, onko rajoitus tarpeen pitää voimassa.
Uudelleentarkasteluun on sisällyttävä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta, ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa esitetyt asiaan liittyvät näkökohdat.
2. Komissio on hyväksynyt teknisiä ja hallinnollisia toimenpiteitä, jotta voidaan välttää siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy; näihin toimenpiteisiin kuuluvat käyttöoikeuksien hallinta, varmuuskopiointikäytäntö ja muut päätöksen (EU, Euratom) 2017/46 mukaiset toimenpiteet.
3. Komissio kirjaa sovellettavat säilytysajat komission yhteisen säilytysluettelon mukaisesti ja ilmoittaa näissä käsittelytoimissa sovellettavat säilytysajat rekisteröidyille tietosuojaselosteessaan.
9 artikla
Komission tietosuojavastaavan suorittama uudelleentarkastelu
1. Komission tietosuojavastaavalle on ilman aiheetonta viivytystä ilmoitettava aina, kun rekisteröidyn oikeuksia rajoitetaan tämän päätöksen mukaisesti. Tietosuojavastaavalle on pyynnöstä annettava pääsy kirjattuihin tietoihin sekä kaikkiin asiakirjoihin, jotka sisältävät perusteena olevia tosiseikkoja tai oikeudellisia seikkoja.
2. Tietosuojavastaava voi pyytää rajoitusten uudelleentarkastelua, ja hänelle on ilmoitettava pyydetyn uudelleentarkastelun tuloksesta.
3. Komissio dokumentoi tietosuojavastaavan osallistumisen aina, kun rekisteröidyn oikeuksia rajoitetaan tämän päätöksen mukaisesti.
10 artikla
Voimaantulo
Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 15 päivänä joulukuuta 2021.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).
(2) Komission päätös (EU, Euratom) 2017/46, annettu 10 päivänä tammikuuta 2017, viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa (EUVL L 6, 11.1.2017, s. 40).
(3) Komission päätös C(2017) 8841, annettu 13 päivänä joulukuuta 2017, viestintä- ja tietojärjestelmien turvallisuudesta komissiossa annetun komission päätöksen (EU, Euratom) 2017/46 3, 5, 7, 8, 9, 10, 11, 12, 14 ja 15 artiklan täytäntöönpanosäännöistä.
(4) Euroopan parlamentin ja neuvoston asetus (EU) 2016/794, annettu 11 päivänä toukokuuta 2016, Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta (EUVL L 135, 24.5.2016, s. 53).
(5) Neuvoston asetus (EU) 2017/1939, annettu 12 päivänä lokakuuta 2017, tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa (EUVL L 283, 31.10.2017, s. 1).
(6) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(7) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).