This document is an excerpt from the EUR-Lex website
Document 32020Q0327(01)
Decision of the Management Board of the European Union Intellectual Property Office of 26 March 2020 on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of the European Union Intellectual Property Office
Euroopan unionin teollisoikeuksien viraston hallintoneuvoston päätös, annettu 26 päivänä maaliskuuta 2020, rekisteröityjen tiettyjen oikeuksien rajoittamista Euroopan unionin teollisoikeuksien viraston toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä
Euroopan unionin teollisoikeuksien viraston hallintoneuvoston päätös, annettu 26 päivänä maaliskuuta 2020, rekisteröityjen tiettyjen oikeuksien rajoittamista Euroopan unionin teollisoikeuksien viraston toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä
EUVL L 94, 27.3.2020, p. 46–52
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
27.3.2020 |
FI |
Euroopan unionin virallinen lehti |
L 94/46 |
EUROOPAN UNIONIN TEOLLISOIKEUKSIEN VIRASTON HALLINTONEUVOSTON PÄÄTÖS,
annettu 26 päivänä maaliskuuta 2020,
rekisteröityjen tiettyjen oikeuksien rajoittamista Euroopan unionin teollisoikeuksien viraston toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä
HALLINTONEUVOSTO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1) ja erityisesti sen 25 artiklan,
ottaa huomioon Euroopan unionin tavaramerkistä 14 päivänä kesäkuuta 2017 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/1001 (2) ja erityisesti sen 153 artiklan,
ottaa huomioon Euroopan unionin teollisoikeuksien viraston hallintoneuvoston työjärjestyksen ja erityisesti sen 9 artiklan,
ottaa huomioon 18. joulukuuta 2019 järjestetyn Euroopan tietosuojavaltuutetun kuulemisen,
sekä katsoo seuraavaa:
(1) |
Euroopan unionin teollisoikeuksien virasto (jäljempänä ’virasto’) toteuttaa tehtäviään asetuksen (EU) 2017/1001 mukaisesti. |
(2) |
Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan mukaisesti asetuksen 14–22, 35 ja 36 artiklan soveltamisen rajoitusten sekä 4 artiklan soveltamisen rajoitusten, siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, pitäisi perustua viraston hyväksymiin sisäisiin sääntöihin, jos ne eivät perustu perussopimusten perusteella annettuihin säädöksiin. |
(3) |
Näitä sisäisiä sääntöjä, muun muassa rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointia koskevia säännöksiä, ei sovelleta, jos perussopimusten perusteella annetulla säädöksellä rajoitetaan rekisteröityjen oikeuksia. |
(4) |
Kun virasto suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta. |
(5) |
Virastolla voi kuitenkin olla hallinnollisen toimintansa yhteydessä velvollisuus rajoittaa rekisteröityjen oikeuksia asetuksen (EU) 2018/1725 25 artiklan mukaisesti. |
(6) |
Rekisterinpitäjänä toimii virasto, jota edustaa sen pääjohtaja, riippumatta siitä, että rekisterinpitäjän tehtävä olisi delegoitu virastossa toiselle henkilölle, tiettyihin henkilötietojen käsittelytoimiin liittyvien operatiivisten vastuiden mukaisesti. |
(7) |
Henkilötiedot tallennetaan suojatusti sähköiseen ympäristöön tai paperille siten, että estetään lainvastainen pääsy tietoihin tai niiden lainvastainen siirtäminen henkilöille, joiden ei tarvitse niitä tietää. Käsiteltäviä henkilötietoja säilytetään tietoturvaselosteissa, tietosuojaselosteissa tai viraston tiedoissa määritetyn mukaisesti. |
(8) |
Näitä sisäisiä sääntöjä tulee soveltaa kaikkiin käsittelytoimiin, joita virasto tekee suorittaessaan hallinnollisia tutkimuksia, kurinpitomenettelyjä, väärinkäytösten paljastamismenettelyjä, (virallisia ja epävirallisia) häirintätapauksia koskevia menettelyjä, valitusten ja potilastietojen käsittelyä, sisäisiä tarkastuksia, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemiä tutkimuksia ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) tehtyjä tietoturvatutkimuksia. |
(9) |
Tapauksissa, joissa näitä sisäisiä sääntöjä sovelletaan, viraston on annettava selvitys siitä, miksi rajoitukset ovat ehdottoman tarpeellisia ja oikeasuhteisia demokraattisessa yhteiskunnassa, ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia. |
(10) |
Näiden periaatteiden mukaisesti virasto on sitoutunut kunnioittamaan, niin pitkälle kuin mahdollista, rekisteröityjen perusoikeuksia edellä mainittujen menettelyjen aikana, erityisesti niitä, jotka koskevat oikeutta saada tietoja, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja, oikeutta rajoittaa käsittelyä, henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidyille tai viestinnän tietojen luottamuksellisuutta asetuksessa (EU) 2018/1725 määritetyn mukaisesti. |
(11) |
Viraston tulee säännöllisesti tarkastaa, että rajoituksen oikeuttavat edellytykset ovat edelleen voimassa, ja poistaa rajoitus, kun ne eivät ole enää voimassa. |
(12) |
Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle kustakin rekisteröidyn oikeuksiin sovellettavasta rajoituksesta, rajoituksen poistamisesta tai rajoituksen tarkistamisesta. |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Kohde ja soveltamisala
1. Tässä päätöksessä vahvistetaan säännöt edellytyksille, joiden nojalla virasto voi 2 kohdassa esitettyjen käsittelytoimiensa yhteydessä rajoittaa asetuksen (EU) 2018/1725 4, 14–21, 35 ja 36 artiklassa vahvistettujen oikeuksien soveltamista saman asetuksen 25 artiklan nojalla.
2. Viraston hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan viraston henkilötietojen käsittelyyn seuraavia tarkoituksia varten: hallinnolliset tutkimukset, kurinpitomenettelyt, väärinkäytösten paljastamismenettelyt, (viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt, valitusten käsittely, potilastietojen ja/tai ‐asiakirjojen käsittely, sisäiset tarkastukset, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsitellyt tietoturvatutkimukset.
Päätöstä sovelletaan viraston aloittamiin ja toteuttamiin käsittelytoimiin ennen edellä mainittujen menettelyjen aloittamista, menettelyjen aikana sekä menettelyjen tuloksista johtuvien jatkotoimien seurannan aikana. Sitä sovelletaan myös viraston Euroopan petostentorjuntavirastolle, jäsenvaltioiden kansallisille toimivaltaisille viranomaisille ja/tai muille toimivaltaisille viranomaisille hallinnollisen toimintansa ulkopuolella tarjoamaan tukeen ja niiden kanssa tehtävään yhteistyöhön.
3. Kyseessä olevat tietoryhmät ovat ”kovia” tietoja (objektiivisia tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja tietojen liikennettä koskevia tietoja) ja/tai ”pehmeitä” tietoja (tapaukseen liittyviä subjektiivisia tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja käytöstä koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).
4. Kun virasto suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on tarkasteltava, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.
5. Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä edellytyksistä ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot tai rajoittaa käsittelyä, oikeus henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidyille tai oikeus sähköisen viestinnän luottamuksellisuuteen.
2 artikla
Rekisterinpitäjän ja suojatoimien määrittäminen
1. Viraston on otettava käyttöön seuraavat suojatoimet, joilla estetään väärinkäyttö tai lainvastainen pääsy tai siirtäminen:
a) |
Paperiasiakirjoja on säilytettävä turvakaapeissa, joihin vain valtuutetulla henkilöstöllä on pääsy. |
b) |
Kaikki sähköiset tiedot on tallennettava suojatuilla tietoteknisillä ohjelmilla viraston tietoturvavaatimusten mukaisesti sekä erityisiin sähköisiin kansioihin, joihin vain valtuutetulla henkilöstöllä on pääsy. Asianmukaiset käyttöoikeustasot on myönnettävä yksilöllisesti. |
c) |
Tietoteknisissä järjestelmissä ja niiden tietokannoissa täytyy olla mekanismit käyttäjän henkilöllisyyden tarkistamiseksi kertakirjausjärjestelmällä, ja ne on yhdistettävä automaattisesti käyttäjätunnukseen ja salasanaan. Loppukäyttäjien tilien täytyy olla yksilöllisiä ja henkilökohtaisia ja ne eivät saa olla siirrettävissä, ja käyttäjätilien jakaminen on ehdottomasti kielletty. Sähköisiä rekisterejä on säilytettävä turvassa niiden sisältämien tietojen luottamuksellisuuden ja yksityisyyden takaamiseksi. |
d) |
Salassapitovelvoite sitoo kaikkia henkilöitä, joilla on pääsy tietoihin. |
2. Käsittelytoimissa rekisterinpitäjänä on virasto, jota edustaa sen pääjohtaja, ja tämä voi delegoida rekisterinpitäjän tehtävän eteenpäin. Rekisteröidyille ilmoitetaan rekisterinpitäjän tehtävän siirtämisestä tietosuojaselosteissa tai tiedoilla, jotka julkaistaan viraston verkkosivustolla ja/tai intranetissä.
3. Edellä 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin tietoturvaselosteissa, tietosuojaselosteissa tai 3 artiklan 1 kohdassa tarkoitetuissa tiedoissa määritetään. Säilytysajan päätyttyä tapaukseen liittyvät tiedot, kuten henkilötiedot, poistetaan, anonymisoidaan tai siirretään historiallisiin arkistoihin.
4. Jos virasto aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevaa riskiä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin sekä käsittelytoiminnan tarkoituksen estämistä koskevan riskin perusteella. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät ensisijaisesti muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.
3 artikla
Rajoitukset
1. Viraston on julkaistava verkkosivustollaan ja/tai intranetissä tietoturvaselosteet, tietosuojaselosteet ja/tai asetuksen (EU) 2018/1725 31 artiklassa tarkoitetut tiedot, joilla ilmoitetaan kaikille rekisteröidyille heidän henkilötietojensa käsittelyä koskevista viraston toimista ja heidän oikeuksistaan kyseisen menettelyn yhteydessä, mukaan luettuina tiedot oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, sekä ilmoitettava rajoituksen syyt ja mahdollinen kesto.
2. Ellei 3 kohdassa toisin säädetä, viraston on tarvittaessa varmistettava, että rekisteröidyille ilmoitetaan erikseen asianmukaisella tavalla. Virasto voi myös ilmoittaa rekisteröidyille erikseen heidän nykyisiä tai tulevia rajoituksia koskevista oikeuksistaan.
3. Viraston käyttöön ottamia rajoituksia sovelletaan ainoastaan seuraavien asetuksen (EU) 2018/1725 25 artiklan 1 kohdassa lueteltujen tarkoitusten turvaamiseksi:
a) |
jäsenvaltioiden kansallinen turvallisuus, yleinen turvallisuus ja puolustus; |
b) |
rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy; |
c) |
muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionin yhteisen ulko- ja turvallisuuspolitiikan tavoitteet tai unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva; |
d) |
unionin toimielinten ja elinten ja myös niiden sähköisen viestinnän verkkojen sisäinen turvallisuus; |
e) |
oikeuslaitoksen riippumattomuuden ja oikeusmenettelyjen suojelu; |
f) |
säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytetoimet; |
g) |
valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–c alakohdassa tarkoitetuissa tapauksissa; |
h) |
rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet; |
i) |
yksityisoikeudellisten kanteiden täytäntöönpano. |
4. Kun viraston rajoitukset tehdään
a) |
hallinnollisten tutkimusten ja kurinpitomenettelyjen yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, e, g ja h alakohtaan; |
b) |
väärinkäytösten paljastamismenettelyjen yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohtaan; |
c) |
(virallisten ja epävirallisten) häirintätapauksia koskevien menettelyjen yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohtaan; |
d) |
valitusten käsittelyn yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, e, g ja h alakohtaan; |
e) |
potilastietojen käsittelyn yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohtaan; |
f) |
sisäisten tarkastusten yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, g ja h alakohtaan; |
g) |
tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemien tutkimusten yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, g ja h alakohtaan; |
h) |
sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltyjen tietoturvatutkimusten yhteydessä, rajoitukset voivat perustua asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, d, g ja h alakohtaan. |
5. Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on erityisesti otettava huomioon rekisteröityjen oikeuksia ja vapauksia koskevat riskit ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.
Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten. Testi on tehtävä myös rajoituksen soveltamisen uudelleentarkastelun yhteydessä.
Rajoitukset on poistettava heti, kun niihin oikeuttavat olosuhteet eivät enää ole voimassa. Tämä pätee etenkin, jos katsotaan, että rajoitetun oikeuden käyttö ei enää poistaisi säädetyn rajoituksen vaikutusta tai että se vaikuttaisi epäedullisesti muiden rekisteröityjen oikeuksiin tai velvollisuuksiin.
6. Lisäksi virastoa voidaan pyytää vaihtamaan rekisteröityjen henkilötietoja komission yksiköiden tai muiden unionin toimielinten, elinten ja laitosten, jäsenvaltioiden toimivaltaisten viranomaisten tai kolmansien maiden toimivaltaisten viranomaisten tai kansainvälisten järjestöjen kanssa muun muassa silloin,
a) |
kun komission yksiköt tai muut unionin toimielimet, elimet ja laitokset rajoittavat velvollisuuksiaan ja rekisteröityjen oikeuksien käyttöä muiden asetuksen (EU) 2018/1725 25 artiklassa tarkoitettujen säädösten perusteella tai kyseisen asetuksen IX luvun mukaisesti tai muiden unionin toimielinten, elinten ja laitosten perustamissäädösten mukaisesti; |
b) |
kun jäsenvaltioiden toimivaltaiset viranomaiset rajoittavat velvollisuuksiaan ja rekisteröityjen oikeuksien käyttöä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (3) 23 artiklassa tarkoitettujen säädösten perusteella tai Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (4) 13 artiklan 3 kohdan, 15 artiklan 3 kohdan tai 16 artiklan 3 kohdan osaksi kansallista lainsäädäntöä saattavien kansallisten säädösten nojalla. |
Kun toinen viranomainen käynnistää henkilötietojen vaihdon, virasto ei sovella rajoituksia ja viraston on poistettava tai anonymisoitava tapaukseen liittyvät tiedot, mukaan lukien henkilötiedot, toimitettuaan ne kyseiselle viranomaiselle.
7. Rajoituksia koskevat tiedot ja tarvittaessa niiden perustana olevat tosiseikat ja oikeudelliset seikat sisältävät asiakirjat on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.
4 artikla
Tietosuojavastaavan suorittama uudelleentarkastelu
1. Viraston on ilmoitettava tietosuojavastaavalleen ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa rekisteröityjen oikeuksien soveltamista, poistaa rajoituksen tai tarkistaa rajoituksen kestoa tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle on ilmoitettu kirjatuista tiedoista.
2. Tietosuojavastaava voi kirjallisesti pyytää rekisterinpitäjää tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on kirjallisesti ilmoitettava tietosuojavastaavalle pyydetyn uudelleentarkastelun tuloksista.
3. Tietosuojavastaavan osallistuminen rajoitusmenettelyyn sekä tietojenvaihto on dokumentoitava asianmukaisella tavalla.
5 artikla
Tiedon antaminen rekisteröidyille
1. Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa tietojen antamista tämän päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista. Tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi käsittelytoimen vaikutuksen.
2. Kun virasto kokonaan tai osittain rajoittaa 1 kohdassa tarkoitettua tietojen antamista, sen on dokumentoitava sisäiseen arviointimuistioon rajoituksen syyt, myös rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi sekä sen kesto.
3. Edellä 1 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.
Kun rajoituksen syyt eivät ole enää voimassa, viraston on annettava rekisteröidylle tietoa rajoitusten pääasiallisista syistä. Viraston on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
4. Viraston on tarkasteltava rajoituksen soveltamista uudelleen vähintään kerran vuodessa sekä asiaankuuluvan menettelyn päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava vuosittain, onko rajoitus tarpeen pitää voimassa.
6 artikla
Rekisteröidyn oikeus saada pääsy tietoihin, oikaista tietoja ja poistaa tietoja sekä rajoittaa käsittelyä
1. Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta saada pääsy tietoihin, oikaista tietoja, poistaa tietoja ja rajoittaa käsittelyä tämän päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista. Päätöksen 6 artiklaan sisältyviä säännöksiä ei sovelleta oikeuteen saada pääsy potilastietoihin ja/tai -asiakirjoihin, joiden osalta annetaan nimenomaisesti erityisiä säännöksiä jäljempänä 7 artiklassa.
2. Jos rekisteröidyt pyytävät saada käyttää käsiteltäviin henkilötietoihin pääsyä, niiden oikaisemista, niiden poistamista ja niiden käsittelyn rajoittamista koskevaa oikeuttaan yhden tai useamman erityistapauksen tai tietyn käsittelytoimen yhteydessä, virasto rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.
3. Kun virasto kokonaan tai osittain rajoittaa henkilötietoihin pääsyä, niiden oikaisemista, niiden poistamista ja niiden käsittelyn rajoittamista koskevaa oikeutta, sen on toteutettava seuraavat toimenpiteet:
a) |
sen on asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa ilmoitettava sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa; |
b) |
sen on dokumentoitava sisäiseen arviointimuistioon rajoituksen syyt, myös rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi sekä sen kesto. |
Asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti a luetelmakohdassa tarkoitettua tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi rajoituksen vaikutuksen.
4. Viraston on tarkasteltava rekisteröityjen oikeuksia koskevan rajoituksen soveltamista uudelleen vähintään kerran vuodessa sekä asiaankuuluvan menettelyn päättämisen yhteydessä. Sen jälkeen rekisterinpitäjän on arvioitava uudelleen tarvetta pitää rajoitus voimassa rekisteröityjen pyynnöstä.
7 artikla
Oikeus saada pääsy potilastietoihin ja/tai -asiakirjoihin
1. Rekisteröityjen omiin potilastietoihin ja/tai -asiakirjoihin pääsyä koskevan oikeuden rajoittaminen edellyttää erityissäännöksiä, joista säädetään tässä artiklassa.
2. Ellei tämän artiklan jäljempää olevissa kohdissa toisin säädetä, virasto voi rajoittaa rekisteröidyn oikeutta päästä suoraan häntä koskeviin viraston käsittelemiin henkilökohtaisiin potilastietoihin ja/tai -asiakirjoihin, jotka ovat luonteeltaan psykologisia tai psykiatrisia, jos pääsy tällaisiin tietoihin todennäköisesti aiheuttaa riskin rekisteröidyn terveydelle. Tämän rajoituksen on oltava oikeassa suhteessa siihen, mikä on ehdottoman välttämätöntä rekisteröidyn suojelemiseksi.
3. Pääsy 2 kohdassa tarkoitettuihin tietoihin annetaan rekisteröidyn valitsemalle lääkärille.
4. Tällaisissa tapauksissa työterveyshuolto korvaa rekisteröidylle pyynnöstä sen osan potilastietoihin ja/tai -asiakirjoihin pääsyn saaneen lääkärin vastaanotolla käynnistä aiheutuneista kustannuksista, jota ei ole korvattu yhteisestä sairausvakuutusjärjestelmästä. Korvaus ei saa ylittää sairauskulujen korvaamista koskevissa yleisissä täytäntöönpanosäännöissä (5) määritetyn ylärajan ja yhteisestä sairausvakuutusjärjestelmästä rekisteröidylle korvatun summan erotusta kyseisten sääntöjen mukaisesti.
5. Työterveyshuollon myöntämän korvauksen edellytyksenä on, että pääsyä samoihin tietoihin ja/tai asiakirjoihin ei ole jo aiemmin myönnetty.
6. Ellei tämän artiklan jäljempänä olevissa kohdissa toisin säädetä, virasto voi tapauskohtaisesti rajoittaa rekisteröidyn oikeutta saada pääsy viraston hallussa oleviin henkilökohtaisiin potilastietoihin ja/tai -asiakirjoihin erityisesti silloin, kun oikeuden käyttö vaikuttaisi epäedullisesti kyseisen rekisteröidyn tai muiden rekisteröityjen oikeuksiin tai vapauksiin.
7. Jos rekisteröidyt pyytävät saada käyttää käsiteltäviin henkilötietoihin pääsyä koskevaa oikeuttaan yhden tai useamman erityistapauksen tai tietyn käsittelytoimen yhteydessä, virasto rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.
8. Kun virasto kokonaan tai osittain rajoittaa henkilökohtaisiin potilastietoihin ja/tai ‐asiakirjoihin pääsyä koskevaa oikeutta, sen on toteutettava seuraavat toimenpiteet:
a) |
sen on asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa ilmoitettava sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa; |
b) |
sen on dokumentoitava sisäiseen arviointimuistioon rajoituksen syyt, myös rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi sekä sen kesto, erityisesti ilmoittamalla, kuinka oikeuden käyttö aiheuttaisi riskin rekisteröidyn terveydelle tai vaikuttaisi epäedullisesti kyseisen rekisteröidyn tai muiden rekisteröityjen oikeuksiin ja vapauksiin. |
Asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti a luetelmakohdassa tarkoitettua tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi rajoituksen vaikutuksen.
9. Edellä 2 ja 6 kohdassa tarkoitettuja rajoituksia sovelletaan niin kauan kuin niiden perusteet ovat voimassa. Kun rajoituksen syyt eivät ole enää voimassa, rekisterinpitäjän on rekisteröityjen pyynnöstä arvioitava uudelleen tarvetta pitää rajoitus voimassa.
8 artikla
Henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidylle ja sähköisen viestinnän luottamuksellisuus
1. Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta henkilötietojen tietoturvaloukkauksista ilmoittamiseen päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista. Oikeutta ei kuitenkaan saa rajoittaa häirintätapauksia koskevien menettelyjen yhteydessä.
2. Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta sähköisen viestinnän luottamuksellisuuteen päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista.
3. Päätöksen 5 artiklan 2, 3 ja 4 kohtaa sovelletaan, jos virasto rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidyille tai 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta.
9 artikla
Voimaantulo
Tämä päätös tulee voimaan kolmantena päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Alicantessa 26 päivänä maaliskuuta 2020.
Euroopan unionin teollisoikeuksien viraston puolesta
Jorma HANSKI
Hallintoneuvoston puheenjohtaja
(1) EUVL L 295, 21.11.2018, s. 39.
(2) EUVL L 154, 16.6.2017, s. 1.
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(4) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).
(5) Komission päätös C(2007) 3195, tehty 2 päivänä heinäkuuta 2007, sairauskulujen korvaamista koskevista yleisistä täytäntöönpanosäännöistä.