”LIITE II

EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVIN 2001/95/EY (YLEINEN TUOTETURVALLISUUSDIREKTIIVI) (1) 12 ARTIKLAN NOJALLA PERUSTETUN EU:N NOPEAN TIEDONVAIHTOJÄRJESTELMÄN (RAPEX) YHTEISREKISTERIN PITÄMINEN

1.    Kohde ja käsittelytoimien kuvaus

Safety Gate / RAPEX -sovellus on ilmoitusjärjestelmä, jonka avulla EU:n jäsenvaltioiden ja Euroopan talousalueen / Euroopan vapaakauppajärjestön (ETA/EFTA) kolmen jäsenmaan (Islanti, Liechtenstein ja Norja) kansalliset viranomaiset sekä komissio voivat vaihtaa nopeasti tietoja toimenpiteistä, jotka koskevat unionin ja/tai ETA:n/EFTAn markkinoilla havaittuja vaarallisia tuotteita. Ilmoitusjärjestelmän tarkoituksena on

—	estää vaarallisten tuotteiden toimittaminen kuluttajille sisämarkkinoilla

—	toteuttaa tarvittaessa korjaavia toimenpiteitä, esimerkiksi poistaa vaaralliset tuotteet markkinoilta tai järjestää niitä koskeva palautusmenettely.

Tietojenvaihto kattaa ehkäisevät ja rajoittavat toimenpiteet, jotka koskevat kuluttajille tai ammattikäyttöön tarkoitettuja vaarallisia tuotteita, ei kuitenkaan elintarvikkeita, rehua, lääkkeitä tai lääkinnällisiä laitteita. Järjestelmä kattaa sekä kansallisten viranomaisten määräämät toimenpiteet että talouden toimijoiden vapaaehtoisesti toteuttamat toimet.

2.    Yhteisrekisterin pitämisen soveltamisala

Komissio ja kansalliset viranomaiset toimivat yhteisrekisterinpitäjinä, jotka käsittelevät tietoja Safety Gate / RAPEX -järjestelmässä. ’Kansallisia viranomaisia’ ovat kaikki jäsenvaltioiden ja EFTA/ETA-maiden viranomaiset, jotka toimivat tuoteturvallisuuden alalla ja osallistuvat Safety Gate / RAPEX-verkostoon, mukaan luettuina markkinavalvontaviranomaiset, joiden vastuulla on seurata sitä, että tuotteet täyttävät turvallisuusvaatimukset, sekä viranomaiset, jotka vastaavat ulkorajatarkastuksista.

Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (2) 26 artiklan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (3) 28 artiklan soveltamista varten katsotaan, että komission vastuu henkilötietojen yhteisrekisterinpitäjänä kattaa seuraavat käsittelytoimet:

1)	Komissio voi käsitellä tietoja toimenpiteistä, jotka on toteutettu sellaisten vakavaa vaaraa aiheuttavien tuotteiden vuoksi, joita on tuotu unioniin tai Euroopan talousalueelle tai viety niistä, toimittaakseen tiedot RAPEX-yhteyspisteille.

2)	Komissio voi käsitellä tietoja, jotka se on saanut kolmansilta mailta, kansainvälisiltä järjestöiltä, yrityksiltä tai muista nopeista hälytysjärjestelmistä ja jotka koskevat EU:sta ja EU:n ulkopuolelta peräisin olevia vaarallisia tuotteita, toimittaakseen tiedot kansallisille viranomaisille.

Komission vastuulla on varmistaa, että tällaisten käsittelytoimien yhteydessä noudatetaan asetuksessa (EU) 2018/1725 säädettyjä velvoitteita ja edellytyksiä.

Kansalliset viranomaiset puolestaan vastaavat henkilötietojen yhteisrekisterinpitäjinä toimiessaan seuraavista käsittelytoimista:

1)	Kansalliset viranomaiset voivat käsitellä tietoja direktiivin 2001/95/EY 11 ja 12 artiklan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1020 (4) 20 artiklan nojalla toimittaakseen tiedot komissiolle ja muille jäsenvaltioille ja EFTA/ETA-maille.

2)	Kansalliset viranomaiset voivat käsitellä tietoja, jotka koskevat niiden Safety Gate / RAPEX -ilmoitusten perusteella toteuttamia jatkotoimia, toimittaakseen tiedot komissiolle ja muille jäsenvaltioille ja EFTA/ETA-maille.

Kansallisten viranomaisten vastuulla on varmistaa, että tällaisten käsittelytoimien yhteydessä noudatetaan asetuksessa (EU) 2016/679 säädettyjä velvoitteita ja edellytyksiä.

3.    Yhteisrekisterinpitäjien vastuu, tehtävät ja suhde rekisteröityihin nähden

3.1   Rekisteröityjen ja henkilötietojen ryhmät

Yhteisrekisterinpitäjät käsittelevät yhdessä seuraavia henkilötietoryhmiä:

a)

Safety Gate / RAPEX -järjestelmän käyttäjien yhteystiedot. Käsittely voi koskea seuraavia tietoja: — Safety Gate / RAPEX -järjestelmän käyttäjän etunimi — Safety Gate / RAPEX -järjestelmän käyttäjän sukunimi — Safety Gate / RAPEX -järjestelmän käyttäjän sähköpostiosoite — Safety Gate / RAPEX -järjestelmän käyttäjän maa — Safety Gate / RAPEX -järjestelmän käyttäjän ensisijainen viestintäkieli

b)

Safety Gate / RAPEX -järjestelmän kautta toimitettavien ilmoitusten ja vastausten laatijoiden ja validoijien yhteystiedot. Näitä laatijoita ja validoijia ovat muun muassa seuraavat: — Kansalliset Safety Gate / RAPEX -yhteyspisteet ja jäsenvaltioiden ja EFTA/ETA-maiden markkinavalvontaviranomaisten tai ulkorajatarkastuksista vastaavien kansallisten viranomaisten tarkastajat, jotka osallistuvat ilmoitusmenettelyyn — komission henkilöstön jäsenet, kuten virkamiehet, väliaikaiset ja sopimussuhteiset toimihenkilöt, harjoittelijat ja ulkoiset palveluntarjoajat. Käsittely voi koskea seuraavia tietoja: — Safety Gate / RAPEX -järjestelmän kautta toimitettavien ilmoitusten ja vastausten laatijan tai validoijan etunimi — Safety Gate / RAPEX -järjestelmän kautta toimitettavien ilmoitusten ja vastausten laatijan tai validoijan sukunimi — Safety Gate / RAPEX -järjestelmän kautta toimitettavia ilmoituksia ja vastauksia laativan tai validoivan viranomaisen nimi — Safety Gate / RAPEX -järjestelmän kautta toimitettavia ilmoituksia ja vastauksia laativan tai validoivan viranomaisen osoite — Safety Gate / RAPEX -järjestelmän kautta toimitettavien ilmoitusten ja vastausten laatijan tai validoijan sähköpostiosoite — Safety Gate / RAPEX -järjestelmän kautta toimitettavien ilmoitusten ja vastausten laatijan tai validoijan puhelinnumero.

c)

Järjestelmään voidaan tallentaa myös seuraavia kahdentyyppisiä henkilötietoja: i) talouden toimijoiden (valmistajien, viejien, tuojien, jakelijoiden tai vähittäismyyjien) yhteystiedot, joihin voi sisältyä myös henkilötietoja, silloin kun se on tarpeen direktiivin 2001/95/EY 2 artiklan c alakohdassa tarkoitettujen vaarallisten tuotteiden jäljittämiseksi. Nämä tiedot voi tallentaa Safety Gate / RAPEX -järjestelmään ainoastaan kansallinen viranomainen tutkinnan yhteydessä kerättyjen tietojen perusteella. Käsittely voi koskea seuraavia tietoja: — talouden toimijan nimi — talouden toimijan osoite — talouden toimijan kaupunki — talouden toimijan maa — talouden toimijan yhteystiedot: Tässä kohdassa voidaan viitata valmistajan tai valtuutetun edustajan edustajana toimivaan luonnolliseen henkilöön. Jäsenvaltioita kehotetaan kuitenkin tallentamaan henkilötietojen sijasta mieluummin muita kuin henkilökohtaisia yhteystietoja, kuten yleinen sähköpostiosoite. — talouden toimijan osoite yhteydenottoja varten. ii) niiden henkilöiden nimet, jotka ovat testanneet vaarallisia tuotteita ja/tai varmentaneet testausraportin, jos ne mainitaan muissa asiakirjoissa, kuten testausraportissa. Nimet mainitaan liitteissä, mistä niitä ei voi hakea. Jäsenvaltioita kehotetaan poistamaan tällaiset tiedot ennen raportin toimittamista, paitsi jos tietojen katsotaan olevan järjestelmän toiminnan kannalta tarpeellisia.

3.2   Tietojen toimittaminen rekisteröidyille

Komissio toimittaa asetuksen (EU) 2018/1725 15 ja 16 artiklan mukaiset tiedot ja 17–24 artiklan ja 35 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviissä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Komissio toteuttaa myös asianmukaiset toimenpiteet avustaakseen kansallisia viranomaisia toimittamaan asetuksen (EU) 2016/679 13 ja 14 artiklan mukaiset tiedot ja 19–26 artiklan ja 37 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviissä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot koskevat seuraavia seikkoja:

—	Safety Gate / RAPEX -järjestelmän käyttäjiä koskevat tiedot

—	ilmoitusten ja vastausten laatijoita ja validoijia koskevat tiedot.

Safety Gate / RAPEX -järjestelmän käyttäjille ilmoitetaan heidän oikeuksistaan järjestelmän tietosuojaselosteessa.

Kansallisten viranomaisten on toteutettava asianmukaiset toimenpiteet toimittaakseen asetuksen (EU) 2016/679 13 ja 14 artiklan mukaiset tiedot ja 19–26 artiklan ja 37 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviissä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot koskevat seuraavia seikkoja:

—	oikeushenkilöitä koskevat tiedot, joissa yksilöidään luonnollinen henkilö

—	nimi ja muut tiedot henkilöistä, jotka ovat testanneet vaarallisia tuotteita ja/tai varmentaneet testausraportteja.

Tiedot on toimitettava kirjallisesti, ja ne voidaan toimittaa myös sähköisessä muodossa.

Kansallisten viranomaisten on käytettävä komission laatimaa tietosuojaselosteen mallia täyttäessään rekisteröityihin liittyviä velvollisuuksiaan.

3.3   Rekisteröityjen esittämien pyyntöjen käsittely

Rekisteröidyt voivat käyttää asetuksiin (EU) 2018/1725 ja (EU) 2016/679 perustuvia oikeuksiaan suhteessa kuhunkin yhteisrekisteripitäjään ja niitä vastaan.

Yhteisrekisterinpitäjien on käsiteltävä rekisteröityjen pyynnöt yhteisrekisterinpitäjien tätä varten laatiman menettelyn mukaisesti. Rekisteröityjen oikeuksien käyttämistä koskeva yksityiskohtainen menettely esitetään tietosuojaselosteessa.

Yhteisrekisterinpitäjien on tehtävä yhteistyötä ja annettava toisilleen pyynnöstä nopeasti ja tehokkaasti apua rekisteröityjen esittämien pyyntöjen käsittelyssä.

Jos toinen yhteisrekisterinpitäjä saa rekisteröidyltä pyynnön, joka ei kuulu sen vastuulle, sen on toimitettava pyyntö viipymättä ja viimeistään seitsemän kalenteripäivän kuluessa vastaanottamisesta sille yhteisrekisterinpitäjälle, jonka vastuulle kyseinen pyyntö kuuluu. Vastuullisen yhteisrekisterinpitäjän on lähetettävä rekisteröidylle vastaanottoilmoitus seuraavien kolmen kalenteripäivän kuluessa ja ilmoitettava tästä samaan aikaan sille yhteisrekisterinpitäjälle, joka alun perin vastaanotti pyynnön.

Kun rekisteröity pyytää pääsyä henkilötietoihin, yhteisrekisterinpitäjä ei saa luovuttaa eikä muulla tavoin asettaa saataville mitään yhteisesti käsiteltäviä henkilötietoja kuulematta ensin asianomaista toista yhteisrekisterinpitäjää.

4.    Muut yhteisrekisterinpitäjien vastuualueet ja tehtävät

4.1   Käsittelyn turvallisuus

Kunkin yhteisrekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joiden tarkoituksena on

a)	varmistaa yhteisesti käsiteltävien henkilötietojen turvallisuus, eheys ja luottamuksellisuus komission päätöksen (EU, Euratom) 2017/46 (5) ja asianomaisen EU:n jäsenvaltion tai EFTA/ETA-maan asiaa koskevan säädöksen mukaisesti;

b)	suojata kaikkia hallussaan olevia henkilötietoja laittomalta käsittelyltä, tuhoamiselta, käytöltä ja luovuttamiselta tai tietojen hankkimiselta tai niihin pääsyltä;

c)	estää henkilötietojen luovuttaminen tai pääsyn antaminen niihin muille kuin etukäteen sovituille vastaanottajille tai käsittelijöille.

Kunkin yhteisrekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan käsittelyn turvallisuus asetuksen (EU) 2018/1725 33 artiklan ja asetuksen (EU) 2016/679 32 artiklan mukaisesti.

Yhteisrekisterinpitäjien on annettava toisilleen nopeasti ja tehokkaasti apua, jos ilmenee tietoturvapoikkeamia, kuten henkilötietojen tietoturvaloukkauksia.

4.2   Tietoturvapoikkeamien, kuten henkilötietojen tietoturvaloukkauksien käsittely

Yhteisrekisterinpitäjien on käsiteltävä tietoturvapoikkeamat, kuten henkilötietojen tietoturvaloukkaukset, sisäisten menettelyjensä ja sovellettavan lainsäädännön mukaisesti.

Yhteisrekisterinpitäjien on erityisesti annettava toisilleen nopeaa ja tehokasta apua, kun se on tarpeen yhteiskäsittelyyn liittyvien tietoturvapoikkeamien, kuten henkilötietojen tietoturvaloukkausten, tunnistamisen ja käsittelyn helpottamiseksi.

Yhteisrekisterinpitäjien on ilmoitettava toisilleen seuraavista:

a)	yhteiskäsittelyn kohteena olevien henkilötietojen saatavuuteen, luottamuksellisuuteen ja/tai eheyteen mahdollisesti tai tosiasiallisesti kohdistuvat riskit;

b)	yhteiskäsittelytoimeen liittyvät mahdolliset tietoturvapoikkeamat;

c)

henkilötietojen tietoturvaloukkaukset (eli tietoturvaloukkaukset, jotka johtavat yhteiskäsittelyn kohteena olevien henkilötietojen vahingossa tapahtuvaan tai lainvastaiseen tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn tietoihin), henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset ja luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin arviointi sekä kaikki toimenpiteet, jotka on toteutettu henkilötietojen tietoturvaloukkauksen korjaamiseksi ja luonnollisten henkilöiden oikeuksille ja vapauksille aiheutuvan riskin pienentämiseksi;

d)	yhteiskäsittelytoimen teknisten ja/tai organisatoristen suojatoimien rikkominen.

Kukin yhteisrekisterinpitäjä on vastuussa kaikista tietoturvapoikkeamista, henkilötietojen tietoturvaloukkaukset mukaan lukien, jotka johtuvat kyseisen yhteisrekisterinpitäjän tämän päätöksen ja asetusten (EU) 2018/1725 ja (EU) 2016/679 mukaisten velvoitteiden rikkomisesta.

Yhteisrekisterinpitäjien on dokumentoitava tietoturvapoikkeamat, henkilötietojen tietoturvaloukkaukset mukaan lukien, ja ilmoitettava niistä toisilleen ilman aiheetonta viivytystä ja viimeistään 48 tunnin kuluessa siitä, kun ne ovat saaneet tiedon tietoturvapoikkeamasta (henkilötietojen tietoturvaloukkaukset mukaan lukien).

Henkilötietojen tietoturvaloukkauksesta vastuussa olevan yhteisrekisterinpitäjän on dokumentoitava kyseinen henkilötietojen tietoturvaloukkaus ja ilmoitettava siitä Euroopan tietosuojavaltuutetulle tai toimivaltaiselle kansalliselle valvontaviranomaiselle. Sen on tehtävä näin ilman aiheetonta viivytystä ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluttua henkilötietojen tietoturvaloukkauksen ilmitulosta, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu riskiä luonnollisten henkilöiden oikeuksille ja vapauksille. Vastuussa olevan yhteisrekisterinpitäjän on annettava tällainen ilmoitus tiedoksi muille yhteisrekisterinpitäjille.

Henkilötietojen tietoturvaloukkauksesta vastuussa olevan yhteisrekisterinpitäjän on ilmoitettava kyseisestä henkilötietojen tietoturvaloukkauksesta asianomaisille rekisteröidyille, jos henkilötietojen tietoturvaloukkauksesta todennäköisesti aiheutuu suuri riski luonnollisten henkilöiden oikeuksille ja vapauksille. Vastuussa olevan yhteisrekisterinpitäjän on annettava tällainen ilmoitus tiedoksi muille yhteisrekisterinpitäjille.

4.3   Henkilötietojen sijainti

Henkilötiedot, jotka on kerätty ilmoitusprosessia varten Safety Gate / RAPEX -järjestelmän kautta, on tallennettava ja kerättävä komission ylläpitämään Safety Gate / RAPEX -sovellukseen sen varmistamiseksi, että pääsy sovellukseen on rajattu ainoastaan selkeästi yksilöityihin henkilöihin ja että sovellukseen tallennetut tiedot ovat siten hyvin suojattuja.

Käsittelyä varten kerättyjä henkilötietoja saa käsitellä ainoastaan EU:n/ETA:n alueella, eikä niitä saa viedä kyseiseltä alueelta, paitsi jos ne ovat asetuksen (EU) 2016/679 45, 46 tai 49 artiklan tai asetuksen (EU) 2018/1725 47, 48 tai 50 artiklan mukaisia.

Direktiivin 2001/95/EY 12 artiklan 4 kohdan nojalla pääsy Safety Gate / RAPEX -järjestelmään annetaan ehdokasmaille, kolmansille maille ja kansainvälisille järjestöille EU:n ja kyseisten maiden tai kansainvälisten järjestöjen välillä tehtävissä sopimuksissa määriteltävien yksityiskohtaisten järjestelyjen mukaisesti. Safety Gate / RAPEX -järjestelmän valikoituja tietoja voidaan vaihtaa. Tällaisiin tietoihin ei saa sisältyä henkilötietoja.

4.4   Vastaanottajat

Pääsy henkilötietoihin sallitaan ainoastaan komission valtuutetulle henkilöstölle ja toimeksisaajille sekä kansallisille viranomaisille tietojen käsittelyä helpottavaa Safety Gate / RAPEX -järjestelmän hallinnointia ja käyttöä varten. Tähän pääsyyn sovelletaan tunniste- ja salasanavaatimuksia seuraavasti:

—	Safety Gate / RAPEX -järjestelmä on avoin ainoastaan komissiolle ja käyttäjille, jotka EU:n jäsenvaltion viranomaiset ja EFTA/ETA-maat ovat nimenneet, sekä Yhdistyneen kuningaskunnan viranomaisille Pohjois-Irlannin käyttäjien osalta.

—

Pääsy Safety Gate / RAPEX -järjestelmään kerättyihin henkilötietoihin myönnetään ainoastaan niille nimetyille ja valtuutetuille sovelluksen käyttäjille, joilla on käyttäjätunnus/salasana. Pääsy sovellukseen ja salasana voidaan myöntää vain jos toimivaltainen kansallinen viranomainen sitä pyytää Safety Gate / RAPEX -ryhmän valvonnassa.

—

Pääsy kerättyihin henkilötietoihin annetaan tietojen käsittelystä vastaavalle komission henkilöstölle ja tiedonsaantitarpeen perusteella valtuutetulle henkilöstölle. Kyseisen henkilöstön jäsenten on noudatettava luottamuksellisuutta koskevia lakisääteisiä sopimuksia ja tarvittaessa myös muita salassapitosopimuksia.

Pääsy kerättyihin henkilötietoihin myönnetään seuraaville henkilöille:

a)	komission henkilöstö ja toimeksisaajat;

b)	EU:n jäsenvaltioiden ja EFTA/ETA-maiden markkinavalvontaviranomaisten nimetyt yhteyspisteet ja tarkastajat sekä Yhdistyneen kuningaskunnan viranomaiset Pohjois-Irlannin käyttäjien osalta;

c)	EU:n jäsenvaltioiden ja EFTA/ETA-maiden ulkorajavalvonnasta vastaavien viranomaisten nimetyt tarkastajat.

Pääsy kaikkiin kerättyihin henkilötietoihin ja mahdollisuus muuttaa niitä pyynnöstä myönnetään seuraaville henkilöille:

a)	komission Safety Gate / RAPEX -ryhmän jäsenet;

b)	komission Safety Gate / RAPEX -tukipalvelun jäsenet.

Europa-palvelimen julkisella Safety Gate -verkkosivustolla (6) on luettelo kaikista Safety Gate / RAPEX -yhteyspisteistä (EU/ETA-maiden kansallisten viranomaisten nimeämät käyttäjät) yhteystietoineen (sukunimi, nimi, viranomaisen nimi, viranomaisen osoite, puhelin, faksi, sähköposti). Käyttäjien hallinnointia kansallisella tasolla valvovat Safety Gate / RAPEX -järjestelmän kansalliset yhteyspisteet Safety Gate / RAPEX -sovelluksen kautta.

Kaikilla käyttäjillä on pääsy sellaisten ilmoitusten sisältöön, joiden tila on ”Euroopan komissio validoinut”. Ainoastaan kansallisilla Safety Gate / RAPEX -käyttäjillä on pääsy omiin ilmoitusluonnoksiinsa (ennen niiden toimittamista komissiolle). Komission henkilöstöllä ja valtuutetuilla henkilöillä on pääsy ilmoituksiin, joiden tila on ”toimitettu Euroopan komissiolle”.

Kunkin yhteisrekisterinpitäjän on ilmoitettava kaikille muille yhteisrekisterinpitäjille henkilötietojen siirroista kolmansissa maissa tai kansainvälisissä järjestöissä oleville vastaanottajille.

5.    Yhteisrekisterinpitäjien muut vastuualueet

Komission tehtävänä on huolehtia ja vastata seuraavista:

a)	päättäminen käsittelyn keinoista, vaatimuksista ja tarkoituksista;

b)	käsittelytoimien kirjaaminen;

c)	rekisteröityjen oikeuksien käyttämisen helpottaminen;

d)	rekisteröityjen esittämien pyyntöjen käsitteleminen;

e)	päättäminen rekisteröidyn oikeuksien soveltamisen rajoittamisesta tai siitä poikkeamisesta, jos se on tarpeen ja oikeasuhteista;

f)	sisäänrakennetun ja oletusarvoisen yksityisyydensuojan varmistaminen;

g)	henkilötietojen siirtojen lainmukaisuuden, tarpeellisuuden ja oikeasuhteisuuden määrittäminen ja arvioiminen;

h)	tarvittaessa ennakkokuulemisen järjestäminen kansallisten valvontaviranomaisten kanssa;

i)	sen varmistaminen, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

j)	pyydettäessä yhteistyön tekeminen Euroopan tietosuojavaltuutetun kanssa tämän tehtävien hoitamisessa.

Kansallisten viranomaisten tehtävänä on huolehtia ja vastata seuraavista:

a)	käsittelytoimien kirjaaminen;

b)	sen varmistaminen, että käsiteltävät henkilötiedot ovat asianmukaisia, tarkkoja ja olennaisia ja rajoittuvat siihen, mikä on tarpeen tätä tarkoitusta varten;

c)	sen varmistaminen, että rekisteröidyille ilmoitetaan heidän oikeuksistaan läpinäkyvällä tavalla;

d)	rekisteröityjen oikeuksien käyttämisen helpottaminen;

e)

sen varmistaminen, että käytetään ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää asetuksessa (EU) 2016/679 säädetyt vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu;

f)	henkilötietojen käsittelijän suorittaman käsittelyn hallinnoiminen unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella sopimuksella tai oikeudellisella asiakirjalla asetuksen (EU) 2016/679 28 artiklan mukaisesti;

g)	tarvittaessa ennakkokuulemisen järjestäminen kansallisten valvontaviranomaisten kanssa;

h)	sen varmistaminen, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, tai että heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

i)	pyydettäessä yhteistyön tekeminen kansallisten valvontaviranomaisen kanssa näiden tehtävien hoitamisessa.

6.    Käsittelyn kesto

Yhteisrekisterinpitäjät eivät saa säilyttää tai käsitellä henkilötietoja pidempään kuin on tarpeen sovittujen, tässä päätöksessä säädettyjen tarkoitusten ja velvoitteiden toteuttamiseksi eli niin kauan kuin on tarpeen tietojen keräämisen tai myöhemmän käsittelyn tarkoitusta varten. On huomattava erityisesti seuraavaa:

a)	Safety Gate / RAPEX -sovelluksen käyttäjien yhteystiedot on säilytettävä järjestelmässä niin kauan kuin he ovat käyttäjiä. Yhteystiedot on poistettava sovelluksesta välittömästi, kun on saatu tieto siitä, että kyseinen henkilö ei enää ole järjestelmän käyttäjä.

b)	Jäsenvaltioiden ja EFTA/ETA-maiden markkinavalvontaviranomaisten tarkastajien sekä ulkorajavalvonnasta vastaavien viranomaisten tarkastajien yhteystiedot, jotka on annettu ilmoituksissa ja vastauksissa, on säilytettävä järjestelmässä viiden vuoden ajan ilmoituksen tai vastauksen validoinnista.

c)

Järjestelmään mahdollisesti sisältyvät muiden luonnollisten henkilöiden henkilötiedot on säilytettävä muodossa, joka mahdollistaa niiden yksilöimisen 30 vuoden ajan sen jälkeen kun tiedot on syötetty Safety Gate / RAPEX -järjestelmään. Tämä vastaa sähkölaitteiden tai moottoriajoneuvojen kaltaisten tuoteluokkien arvioitua enimmäisikää.

Komissio noudattaa rekisteröityjen oikeutettuja pyyntöjä, jotka koskevat heidän tietojensa suojaamista, muuttamista tai poistamista, kuukauden kuluessa pyynnön vastaanottamisesta.

7.    Vastuu säännösten noudattamatta jättämisestä

Komissio on vastuussa säännösten noudattamatta jättämisestä asetuksen (EU) 2018/1725 VIII luvun mukaisesti.

EU:n jäsenvaltioiden viranomaiset ovat vastuussa säännösten noudattamatta jättämisestä asetuksen (EU) 2016/679 VIII luvun mukaisesti.

8.    Yhteisrekisterinpitäjien välinen yhteistyö

Kunkin yhteisrekisterinpitäjän on pyydettäessä annettava toisille yhteisrekisterinpitäjille nopeaa ja tehokasta apua tämän päätöksen täytäntöönpanossa noudattaen kaikkia sovellettavia asetuksen (EU) 2018/1725 ja asetuksen (EU) 2016/679 vaatimuksia sekä muita sovellettavia tietosuojasääntöjä.

9.    Riitojen ratkaisu

Yhteisrekisterinpitäjien on pyrittävä ratkaisemaan kaikki tämän päätöksen tulkintaan tai soveltamiseen liittyvät riidat sovinnollisesti.

Jos yhteisrekisterinpitäjien välillä ilmenee milloin tahansa tähän päätökseen liittyviä kysymyksiä, erimielisyyksiä tai riitoja, yhteisrekisterinpitäjien on pyrittävä kaikin keinoin ratkaisemaan asia neuvottelumenettelyllä.

Ensisijaisesti olisi pyrittävä siihen, että kaikki riidat ratkaistaan operatiivisella tasolla sitä mukaa kun niitä ilmenee ja että ne ratkaistaan tämän liitteen 10 kohdassa tarkoitettujen ja Europa-palvelimen julkisella Safety Gate -sivustolla lueteltujen yhteyspisteiden toimesta.

Kuulemisen tarkoituksena on tarkastella ongelman ratkaisemiseksi toteutettuja toimia uudelleen ja sopia niistä niin pitkälti kuin mahdollista, ja yhteisrekisterinpitäjien on tätä varten neuvoteltava toistensa kanssa vilpittömässä mielessä. Kunkin yhteisrekisterinpitäjän on vastattava sovintoratkaisupyyntöön seitsemän työpäivän kuluessa tällaisesta pyynnöstä. Määräaika sovintoratkaisuun pääsemiseksi on 30 työpäivää pyynnön esittämisestä.

Jos riitaa ei voida ratkaista sovinnollisesti, kukin yhteisrekisterinpitäjä voi pyytää sovittelua ja/tai oikeudenkäyntiä seuraavalla tavalla:

a)	sovittelun tapauksessa yhteisrekisteripitäjät nimeävät yhdessä sovittelijan, jonka kukin niistä hyväksyy ja joka on vastuussa riidan ratkaisemisen helpottamisesta kahden kuukauden kuluessa siitä, kun riita on saatettu sovittelijan ratkaistavaksi;

b)	oikeudenkäynnin tapauksessa asia saatetaan Euroopan unionin tuomioistuimen käsiteltäväksi Euroopan unionin toiminnasta tehdyn sopimuksen 272 artiklan mukaisesti.

10.    Yhteisrekisterinpitäjien välisen yhteistyön yhteyspisteet

Kukin yhteisrekisterinpitäjä nimeää yhden yhteyspisteen, johon muut yhteisrekisterinpitäjät ottavat yhteyttä tämän päätöksen soveltamisalaan kuuluvia kyselyjä, valituksia ja tietojen toimittamista varten.

Europa-palvelimen julkisella Safety Gate -verkkosivustolla on oltava yksityiskohtainen luettelo kaikista komission ja EU/ETA-maiden kansallisten viranomaisten nimeämistä yhteyspisteistä yhteystietoineen (sukunimi, nimi, viranomaisen nimi, viranomaisen osoite, puhelin, faksi, sähköposti).