EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020Q0827(01)

Euroopan turvapaikka-asioiden tukiviraston hallintoneuvoston päätös N:o 64, annettu 6 päivänä heinäkuuta 2020, rekisteröityjen tiettyjen oikeuksien rajoittamista säätiön toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevien sisäisten sääntöjen hyväksymisestä

OJ L 279, 27.8.2020, p. 15–22 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2020/827(2)/oj

27.8.2020   

FI

Euroopan unionin virallinen lehti

L 279/15


EUROOPAN TURVAPAIKKA-ASIOIDEN TUKIVIRASTON HALLINTONEUVOSTON PÄÄTÖS N:o 64,

annettu 6 päivänä heinäkuuta 2020,

rekisteröityjen tiettyjen oikeuksien rajoittamista säätiön toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevien sisäisten sääntöjen hyväksymisestä

EUROOPAN TURVAPAIKKA-ASOIDEN TUKIVIRASTON HALLINTONEUVOSTO, jäljempänä ’EASO’, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1) ja erityisesti sen 25 artiklan,

Ottaa huomioon Euroopan turvapaikka-asioiden tukiviraston (2) perustamisesta 19 päivänä toukokuuta 2010 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 439/2010 ja erityisesti sen 29 artiklan

ottaa huomioon Euroopan tietosuojavaltuutetun (EDPS) 20. toukokuuta 2020 antaman lausunnon ja EDPS:n ohjeet uuden asetuksen 25 artiklasta ja sisäisistä säännöistä,

on kuullut henkilöstökomiteaa,

sekä sen, että

(1)

EASO toteuttaa toimintaansa asetuksen (EY) 439/2010 mukaisesti.

(2)

Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan mukaisesti asetuksen 14–21, 35 ja 36 artiklan soveltamisen sekä 4 artiklan soveltamisen rajoitusten, siltä osin kuin sen säännökset vastaavat 14–21 artiklassa säädettyjä oikeuksia ja velvollisuuksia, pitäisi perustua EASOn hyväksymiin sisäisiin sääntöihin, jos ne eivät perustu perussopimusten perusteella annettuihin säädöksiin.

(3)

Näitä sisäisiä sääntöjä, muun muassa rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointia koskevia säännöksiä, ei pitäisi soveltaa, jos perussopimusten perusteella annetulla säädöksellä rajoitetaan rekisteröityjen oikeuksia.

(4)

Kun EASO suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

(5)

EASO voi hallinnollisten tehtäviensä yhteydessä tehdä hallinnollisia tutkimuksia, toteuttaa kurinpitomenettelyjä, suorittaa alustavia toimia, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin sääntöjenvastaisuuksiin, käsitellä väärinkäytösten paljastamistapauksia, toteuttaa (virallisia ja epävirallisia) häirintämenettelyjä, käsitellä sisäisiä ja ulkoisia valituksia, tehdä sisäisiä tarkastuksia, suorittaa tietosuojavastaavan tutkimuksia asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti sekä sisäisiä (tieto)turvatutkimuksia ja käsitellä henkilöstön pyyntöjä, jotka koskevat omiin potilastietoihin pääsyä.

EASO käsittelee useita henkilötietoryhmiä, muun muassa kovia tietoja (”objektiivisia” tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja liikennettä koskevia tietoja) ja/tai pehmeitä tietoja (tapaukseen liittyviä ”subjektiivisia” tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja suoriutumista koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

(6)

EASO, jota edustaa sen pääjohtaja, toimii rekisterinpitäjänä riippumatta EASO myöhemmin tehtävistä rekisterinpitäjän tehtävän siirroista, jotka perustuvat nimenomaisten henkilötietojen käsittelytoimien operatiivisiin vastuisiin.

(7)

Henkilötiedot tallennetaan suojatusti sähköiseen ympäristöön tai paperille siten, että estetään väärinkäyttö ja lainvastainen pääsy tietoihin tai niiden lainvastainen siirtäminen henkilöille, joiden ei tarvitse niitä tietää. Henkilötietoja säilytetään vain niin kauan kuin on tarpeen ja asianmukaista niiden käsittelyn tarkoitusten kannalta tietoturvaselosteissa tai EASOn rekistereissä määritetyn ajan.

(8)

Näitä sisäisiä sääntöjä olisi sovellettava kaikkiin käsittelytoimiin, joita EASO tekee suorittaessaan hallinnollisia tutkimuksia, kurinpitomenettelyjä, alustavia toimia, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin sääntöjenvastaisuuksiin, väärinkäytösten paljastamismenettelyjä, (virallisia ja epävirallisia) häirintätapauksia koskevia menettelyjä, sisäisten ja ulkoisten valitusten käsittelyä, sisäisiä tarkastuksia, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemiä tutkimuksia ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltyjä (tieto)turvatutkimuksia sekä vastauksia henkilöstön pääsyä omiin potilastietoihinsa koskeviin pyyntöihin.

(9)

Sisäisiä sääntöjä olisi sovellettava käsittelytoimiin, joita toteutetaan ennen edellä mainittujen menettelyjen aloittamista, näiden menettelyjen aikana sekä menettelyjen tuloksista johtuvien jatkotoimien seurannan aikana. Niihin pitäisi kuulua myös EASOn kansallisille viranomaisille ja kansainvälisille järjestöille hallinnollisten tutkimustensa ulkopuolella tarjoama tuki ja niiden kanssa tehtävä yhteistyö.

(10)

Tapauksissa, joissa näitä sisäisiä sääntöjä sovelletaan, EASOn olisi annettava perustelut siitä, miksi rajoitukset ovat ehdottoman tarpeellisia ja oikeasuhteisia demokraattisessa yhteiskunnassa, ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia.

(11)

EASOn on tässä yhteydessä kunnioitettava mahdollisimman suuressa määrin rekisteröityjen perusoikeuksia edellä mainittujen menettelyjen aikana, erityisesti niitä, jotka koskevat rekisteröidyn oikeutta saada tietoja rekisterinpitäjältä, oikeutta saada pääsy tietoihin, oikeutta oikaista tai poistaa tietoja tai rajoittaa niiden käsittelyä, oikeutta saada ilmoitus henkilötietojen tietoturvaloukkauksesta sekä sähköisen viestinnän luottamuksellisuutta asetuksen (EU) 2018/1725 mukaisesti.

(12)

EASO saattaa kuitenkin joutua rajoittamaan tiedottamisoikeutta rekisteröidyille ja muita rekisteröityjen oikeuksia erityisesti suojatakseen omia tutkimuksiaan, muiden viranomaisten tutkimuksia ja menettelyjä sekä muiden sen tutkimuksiin tai muihin menettelyihin liittyvien henkilöiden oikeuksia.

(13)

EASOn olisi säännöllisesti tarkastettava, ovatko rajoituksen oikeuttavat edellytykset edelleen voimassa, ja poistettava rajoitus heti, kun se ei ole enää voimassa.

(14)

Rekisterinpitäjän olisi tiedotettava tietosuojasta vastaavaa henkilöä rajoituksen soveltamisen yhteydessä ja myöhemmissä uudelleentarkasteluissa ja otettava hänet mukaan koko menettelyn ajan, kunnes rajoitus on poistettu.

ON HYVÄKSYNYT PÄÄTÖKSEN:

1 artikla

Sisältö ja soveltamisala

1.   Tässä päätöksessä vahvistetaan säännöt edellytyksistä, joiden täyttyessä EASO voi rajoittaa asetuksen (EU) 2018/1725 14–21, 35 ja 36 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista 2 kohdassa säädettyjen menettelyjen yhteydessä mainitun asetuksen 25 artiklan mukaisesti.

2.   EASOn hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan sen seuraavia tarkoituksia varten suorittamiin henkilötietojen käsittelytoimiin: hallinnollisten tutkimusten tekeminen ja kurinpitomenettelyt, alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin säännönvastaisuuksiin, väärinkäytösten paljastamismenettelyjen käsittely, häirintätapauksia koskevien (virallisten ja epävirallisten) menettelyjen täytäntöönpano, sisäisten ja ulkoisten valitusten käsittely, sisäisten tarkastusten tekeminen, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset sekä henkilöstön pääsyä omiin potilastietoihin koskevien pyyntöjen käsittely.

3.   Kyseessä olevat tietoryhmät ovat kovia tietoja (”objektiivisia” tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja liikennettä koskevia tietoja) ja/tai pehmeitä tietoja (tapaukseen liittyviä ”subjektiivisia” tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja suoriutumista koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun EASO suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

5.   Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä ehdoista ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot, rajoittaa käsittelyä, rekisteröidyn oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta tai oikeus tietojen luottamuksellisuuteen.

2 artikla

Rekisterinpitäjän ja takeiden eritelmä

1.   EASOn on otettava käyttöön seuraavat suojatoimet väärinkäytösten tai laittoman pääsyn tai siirron estämiseksi:

a)

Paperiasiakirjoja on säilytettävä turvakaapeissa, joihin vain valtuutetulla henkilöstöllä on pääsy.

b)

Kaikki sähköiset tiedot on tallennettava suojatuilla tietoteknisillä ohjelmilla EASOn tietoturvavaatimusten mukaisesti sekä erityisiin sähköisiin kansioihin, joihin vain valtuutetulla henkilöstöllä on pääsy. Asianmukaiset käyttöoikeustasot on myönnettävä yksilöllisesti.

c)

EASOn tietotekniikkaympäristössä tulee olla kertakirjausjärjestelmä ja se on yhdistettävä automaattisesti käyttäjätunnukseen ja salasanaan. Sähköisiä rekisterejä on säilytettävä turvassa niiden sisältämien tietojen luottamuksellisuuden ja yksityisyyden takaamiseksi.

d)

Salassapitovelvoitteen on sidottava kaikkia henkilöitä, joilla on pääsy tietoihin.

2.   Käsittelytoimien rekisterinpitäjä on EASO, jota edustaa sen pääjohtaja, joka voi siirtää rekisterinpitäjän tehtävän eteenpäin. Tapauksissa, joissa pääjohtajalle tehdään hallinnollinen tutkinta, kurinpitomenettely tai sisäinen tutkinta, hallintoneuvosto edustaa EASOa rekisterinpitäjänä (pääjohtajan nimittävänä viranomaisena). Rekisteröidyille ilmoitetaan rekisterinpitäjän tehtävän siirtämisestä tietosuojaselosteissa tai tiedoilla, jotka julkaistaan EASOn verkkosivustolla ja/tai intranetissä.

3.   Tämän päätöksen 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten. Säilytysaika ei missään tapauksessa saa olla pidempi kuin tietoturvaselosteessa tai tämän päätöksen 3 artiklan 3 kohdassa tarkoitetuissa tiedoissa määritetty säilytysaika.

4.   Jos EASO aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevia riskejä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin perusteella sekä sen riskin perusteella, että EASOn tutkimusten tai menettelyjen vaikutus heikentyy erityisesti todisteiden tuhoutumisen vuoksi. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät etupäässä muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.

3 artikla

Rajoitukset

1.   EASO voi soveltaa mahdollisia rajoituksia ainoastaan yhden tai useamman asetuksen (EU) 2018/1725 25 artiklan 1 kohdan a-i alakohdassa luetellun syyn perusteella. Erityisesti tämän päätöksen 1 artiklan 2 kohdassa mainittujen henkilötietojen käsittelyn tarkoitusten yhteydessä rajoitukset voivat perustua seuraaviin syihin:

a)

hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamista koskevat rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b, c, g ja h alakohtaan;

b)

Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin sääntöjenvastaisuuksiin liittyvien alustavien toimien osalta rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b, c, f, g ja h alakohtaan;

c)

väärinkäytösten paljastamista koskevien menettelyjen osalta rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b, c, f, g ja h alakohtaan;

d)

häirintää koskevissa (virallisissa ja epävirallisissa) menettelyissä rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b, f, h ja i alakohtaan;

e)

sisäisten ja ulkoisten valitusten käsittelyä koskevat rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, e, g ja h alakohtaan;

f)

sisäisten tarkastusten osalta rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, g ja h alakohtaan;

g)

tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti suorittamien tutkimusten osalta rajoitukset voivat perustua kyseisen asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan;

h)

sisäisen tai ulkopuolisen tahon (esim. CERT-EU) suorittaman tietotekniikan turvallisuutta koskevan tutkinnan kohdalla rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, d, g ja h alakohtaan;

i)

henkilöstön jäsenten potilastietoihinsa tutustumista koskevien pyyntöjen käsittelyä koskevat rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohtaan.

2.   Sovellettaessa edellä 1 kohdassa kuvattuja tarkoituksia EASO voi soveltaa tämän päätöksen 1 artiklan 5 kohdassa tarkoitettuja oikeuksia koskevia rajoituksia seuraavissa olosuhteissa:

a)

jos toisella unionin toimielimellä, elimellä tai laitoksella on oikeus rajoittaa näiden oikeuksien käyttöä muiden asetuksen (EU) 2018/1725 25 artiklassa säädettyjen säädösten perusteella tai kyseisen asetuksen IX luvun mukaisesti taikka niiden perustamissäädösten mukaisesti ja jos kyseisen toisen unionin toimielimen, elimen tai laitoksen toteuttaman rajoituksen tarkoitus vaarantuisi, jos EASO ei soveltaisi vastaavaa rajoitusta samoihin henkilötietoihin;

b)

jos jäsenvaltion toimivaltaisella viranomaisella on oikeus rajoittaa näiden oikeuksien käyttöä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 23 artiklassa tarkoitettujen säädösten perusteella (3) tai sellaisten kansallisten toimenpiteiden nojalla, joilla Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 13 artiklan 3 alakohta, 15 artiklan 3 alakohta tai 16 artiklan 3 alakohta saatetaan osaksi kansallista lainsäädäntöä. (4), ja kyseisen jäsenvaltion toimivaltaisen viranomaisen tällaisen rajoituksen tarkoitus vaarantuisi, jos EASO ei soveltaisi vastaavaa rajoitusta samoihin henkilötietoihin;

c)

jos kyseisten oikeuksien käyttö vaarantaisi EASOn yhteistyön kolmansien maiden tai kansainvälisten järjestöjen kanssa sen tehtävien suorittamisessa.

Ennen rajoitusten soveltamista ensimmäisen alakohdan a ja b luetelmakohdassa tarkoitetuissa olosuhteissa EASOn on kuultava asianomaista unionin yksikköä, toimielintä, elintä tai laitosta tai jäsenvaltion toimivaltaista viranomaista paitsi, jos EASOlle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä luetelmakohdissa tarkoitetussa säädöksessä.

3.   EASOn on liitettävä tietoturvaselosteisiin tai asetuksen (EU) 2018/1725 31 artiklassa tarkoitettuihin tietoihin, jotka julkaistaan sen verkkosivustolla ja intranetissä ja joilla ilmoitetaan rekisteröidyille näiden oikeuksista kyseisen menettelyn yhteydessä, tiedot näiden oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, rajoittamisen syyt ja mahdollinen kesto.

Sanotun rajoittamatta 5 artiklan 2 kohdan säännöksiä ja kun se on oikeasuhteista, EASOn on myös ilmoitettava ilman aiheetonta viivytystä ja kirjallisesti yksittäin kaikille rekisteröidyille, jotka katsotaan tietyssä käsittelytoimessa asianomaisiksi henkilöiksi, näiden oikeuksista, jotka koskevat nykyisiä tai tulevia rajoituksia.

4.   Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon riskit rekisteröityjen oikeuksille ja vapauksille ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.

5.   Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.

6.   Rajoitukset on poistettava heti, kun ne oikeuttavat olosuhteet eivät ole enää olemassa, varsinkin kun katsotaan, että rajoitetun oikeuden käyttäminen ei enää poistaisi rajoituksen vaikutusta tai haittaisi muiden rekisteröityjen oikeuksia ja vapauksia.

4 artikla

Uudelleentarkastelu tietosuojavastaavan pyynnöstä

1.   EASOn tietosuojavastaavalle on ilmoitettava ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa rekisteröityjen oikeuksien soveltamista tai jatkaa rajoitusta tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle on ilmoitettu kirjatuista tiedoista. Tietosuojavastaavan on oltava mukana menettelyn kaikissa vaiheissa siihen asti, kunnes rajoitus on poistettu.

2.   Tietosuojavastaava voi pyytää rekisterinpitäjää kirjallisesti tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista.

3.   Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.

5 artikla

Rekisteröidylle annettavan tiedonsaantioikeuden rajoittaminen

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa rekisteröidyn oikeutta saada tietoja rekisterinpitäjältä seuraavien käsittelytoimien yhteydessä:

a)

hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittaminen;

b)

alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisia sääntöjenvastaisuuksia koskeviin tapauksiin;

c)

väärinkäytösten paljastamista koskevat menettelyt;

d)

(viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt;

e)

sisäisten ja ulkoisten valitusten käsittely;

f)

sisäiset tarkastukset;

g)

tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset;

h)

sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset.

2.   Jos EASO rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 14–16 artiklassa tarkoitettua oikeutta antaa tietoja rekisteröidyille, sen on kirjattava rajoituksen syyt ja oikeusperusta(t) tämän päätöksen 3 artiklan mukaisesti sekä rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi.

Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

3.   Edellä 2 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.

Kun rajoituksen syyt eivät ole enää voimassa, EASOn on ilmoitettava rekisteröidylle pääasialliset syyt, joihin rajoituksen soveltaminen perustuu. EASOn on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

EASOn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai menettelyn päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa. Edellä 3 artiklan 5 kohdassa tarkoitettu tarpeellisuuden ja oikeasuhteisuuden arviointi on tehtävä myös kunkin säännöllisen uudelleentarkastelun yhteydessä sen jälkeen, kun on arvioitu, ovatko rajoituksen tosiasialliset ja oikeudelliset syyt edelleen päteviä.

6 artikla

Rekisteröityjen oikeutta saada pääsy tietoihin koskevat rajoitukset

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa rekisteröityjen oikeutta saada pääsy tietoihin seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista:

a)

hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittaminen;

b)

alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisia sääntöjenvastaisuuksia koskeviin tapauksiin;

c)

väärinkäytösten paljastamismenettelyt;

d)

(viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt;

e)

sisäisten ja ulkoisten valitusten käsittely;

f)

sisäiset tarkastukset;

g)

tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset;

h)

sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset;

i)

henkilöstön jäsenten esittämien, heidän potilastietoihinsa tutustumista koskevien pyyntöjen käsittely.

Jos rekisteröidyt pyytävät pääsyä yhden tai useamman erityistapauksen yhteydessä käsiteltäviin henkilötietoihinsa tai tiettyyn käsittelytoimeen asetuksen (EU) 2018/1725 17 artiklan mukaisesti, EASO rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

2.   Jos EASO kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, sen on toteutettava seuraavat toimenpiteet:

a)

sen on asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa ilmoitettava sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja tuomioistuimessa;

b)

sen on dokumentoitava sisäiseen arviointimuistioon rajoituksen syyt, myös rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi sekä sen kesto.

Henkilöstön jäsenten oikeutta tutustua potilastietoihinsa koskevat rajoitukset koskevat ainoastaan henkilöstön jäsenten pyyntöjä saada suoraan käyttöönsä psykologisia tai psykiatrisia lääketieteellisiä tietoja, jos tapauskohtainen arviointi osoittaa, että epäsuora pääsy on tarpeen rekisteröidyn suojelemiseksi. Pääsy näihin tietoihin on annettava asianomaisen rekisteröidyn nimeämän lääkärin välityksellä. Rekisteröidyn valitsemalle lääkärille on annettava oikeus tutustua kaikkiin tietoihin ja päättää harkintansa mukaan siitä, miten ja millainen pääsy rekisteröidylle annetaan.

Edellä a luetelmakohdassa tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla asetetun rajoituksen vaikutuksen.

EASOn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai menettelyn päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa.

Edellä 3 artiklan 5 kohdassa tarkoitettu tarpeellisuuden ja oikeasuhteisuuden arviointi on tehtävä myös kunkin säännöllisen uudelleentarkastelun yhteydessä sen jälkeen, kun on arvioitu, ovatko rajoituksen tosiasialliset ja oikeudelliset syyt edelleen päteviä.

3.   Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on annettava pyynnöstä Euroopan tietosuojavaltuutetun käyttöön.

7 artikla

Tietojen oikaisemista tai poistamista sekä käsittelyn rajoittamista koskevien rekisteröidyn oikeuksien rajoittaminen

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa rekisteröidyn oikeutta tietojen oikaisemiseen, poistamiseen ja käsittelyn rajoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

a)

hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittaminen;

b)

alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisia sääntöjenvastaisuuksia koskeviin tapauksiin;

c)

väärinkäytösten paljastamismenettelyt;

d)

(viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt;

e)

sisäisten ja ulkoisten valitusten käsittely;

f)

sisäiset tarkastukset;

g)

tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset;

h)

sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset.

2.   Kun EASO kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 18 artiklassa tarkoitettua rekisteröityjen oikeutta tietojen oikaisemiseen, 19 artiklan 1 kohdassa tarkoitettua oikeutta tietojen poistamiseen tai 20 artiklan 1 kohdassa tarkoitettua oikeutta käsittelyn rajoittamiseen, sen on toteuttava tämän päätöksen 6 artiklan 2 kohdassa tarkoitetut toimenpiteet ja rekisteröitävä kirjatut tiedot päätöksen 6 artiklan 3 kohdan mukaisesti.

8 artikla

Rekisteröidyn oikeutta saada ilmoitus henkilötietojen tietoturvaloukkauksista ja sähköisen viestinnän luottamuksellisuutta koskevat rajoitukset

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa rekisteröidyn oikeutta saada ilmoitus henkilötietojen tietoturvaloukkauksista seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

a)

hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittaminen;

b)

alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisia sääntöjenvastaisuuksia koskeviin tapauksiin;

c)

väärinkäytösten paljastamismenettelyt;

d)

sisäisten ja ulkoisten valitusten käsittely;

e)

sisäiset tarkastukset;

f)

tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset;

g)

sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset.

2.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta sähköisen viestinnän luottamuksellisuuteen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

a)

hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittaminen;

b)

alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisia sääntöjenvastaisuuksia koskeviin tapauksiin;

c)

väärinkäytösten paljastamismenettelyt;

d)

viralliset häirintätapauksia koskevat menettelyt;

e)

sisäisten ja ulkoisten valitusten käsittely;

f)

sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset.

3.   Jos EASO rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua rekisteröidyn oikeutta saada ilmoitus henkilötietojen tietoturvaloukkauksesta tai 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta, sen on kirjattava ja rekisteröitävä rajoituksen syyt tämän päätöksen 5 artiklan 2 kohdan mukaisesti. Myös tämän päätöksen 5 artiklan 3 kohtaa on sovellettava.

9 artikla

Voimaantulo

Tämä päätös tulee voimaan seuraavana päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Valletta Harbour, 6 päivänä heinäkuuta 2020.

Euroopan turvapaikka-asioiden tukiviraston puolesta

David COSTELLO

Hallintoneuvoston puheenjohtaja


(1)  . EUVL L 295, 21.11.2018, s. 39.

(2)  EUVL L 132, 29.5.2010, p. 11

(3)  . Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(4)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).


Top