EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019Q0809(01)

Euroopan lääkeviraston hallintoneuvoston päätös, annettu 12 päivänä kesäkuuta 2019, rekisteröityjen tiettyjen oikeuksien rajoittamista viraston toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä

OJ L 209, 9.8.2019, p. 19–25 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec/2019/809(2)/oj

9.8.2019   

FI

Euroopan unionin virallinen lehti

L 209/19


EUROOPAN LÄÄKEVIRASTON HALLINTONEUVOSTON PÄÄTÖS,

annettu 12 päivänä kesäkuuta 2019,

rekisteröityjen tiettyjen oikeuksien rajoittamista viraston toimintaan liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä

EUROOPAN LÄÄKEVIRASTON HALLINTONEUVOSTO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1) ja erityisesti sen 25 artiklan,

ottaa huomioon Euroopan petostentorjuntaviraston (OLAF) tutkimuksista sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1073/1999 ja neuvoston asetuksen (Euratom) N:o 1074/1999 kumoamisesta 11 päivänä syyskuuta 2013 annetun Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) N:o 883/2013 (2),

ottaa huomioon Euroopan unionin virkamiehiin sovellettavat henkilöstösäännöt ja erityisesti niiden liitteessä XI olevan 2 artiklan 3 kohdan ja 30 artiklan sekä Euroopan unionin muuhun henkilöstöön sovellettavat palvelussuhteen ehdot,

ottaa huomioon 8 päivänä kesäkuuta 2012 annetut Euroopan lääkeviraston täytäntöönpanosäännöt hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamisesta (3),

ottaa huomioon 18 päivänä joulukuuta 2018 annetut Euroopan tietosuojavaltuutetun ohjeet ja Euroopan tietosuojavaltuutetulle asetuksen (EU) 2018/1725 41 artiklan 2 kohdan mukaisesti tehdyn ilmoituksen,

kuultuaan henkilöstökomiteaa,

katsoo seuravaa:

(1)

Euroopan lääkevirasto (jäljempänä ’EMA’ tai ’virasto’) perustettiin Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 726/2004 (4) vastaamaan niiden tieteellisten voimavarojen yhteensovittamisesta, jotka jäsenvaltiot ovat luovuttaneet sen käyttöön lääkkeiden arviointia, valvontaa ja lääketurvatoimintaa varten.

(2)

Virasto suorittaa hallinnollisia tutkimuksia ja kurinpitomenettelyjä Euroopan unionin virkamiehiin sovellettavissa henkilöstösäännöissä ja Euroopan unionin muuhun henkilöstöön sovellettavissa palvelussuhteen ehdoissa vahvistettujen sääntöjen mukaisesti. Virasto voi suorittaa myös alustavia toimia, jotka liittyvät Euroopan petostentorjuntavirastolle (asetuksen (EU, Euratom) N:o 883/2013 mukaisesti) ilmoitettuihin mahdollisiin sääntöjenvastaisuuksiin, käsitellä väärinkäytösten paljastamistapauksia, (virallisia ja epävirallisia) häirintätapauksia koskevia menettelyjä sekä sisäisiä ja ulkoisia valituksia ja suorittaa sisäisiä tarkastuksia, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemiä tutkimuksia ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltyjä (tieto)turvatutkimuksia.

(3)

Virasto käsittelee useita erilaisia henkilötietoryhmiä, kuten yksilöintitietoja, yhteystietoja ja työhön tai ammattiin liittyviä tietoja. Euroopan lääkevirasto, jota edustaa sen toimitusjohtaja, on vastuussa oleva rekisterinpitäjä. Hallintoyksikön päällikkö on nimitetty sisäisesti toimimaan valtuutuksen nojalla tähän päätökseen liittyvien toimien rekisterinpitäjänä (jäljempänä tässä tarkoituksessa ”rekisterinpitäjä”). Jos hallinnolliset tutkimukset tai kurinpitomenettelyt koskevat hallintoyksikön päällikköä, varatoimitusjohtaja toimii kyseessä olevan tutkimuksen tai kyseessä olevien menettelyjen osalta rekisterinpitäjänä. Henkilötietoja säilytetään sähköisinä tiedostoina ja paperimuodossa. Paperiasiakirjoja säilytetään lukitussa kaapissa, johon on pääsy vain ylemmän johdon valtuuttamilla henkilöstön jäsenillä. Sähköisiä tiedostoja säilytetään turvallisessa sähköisessä ympäristössä, joka on suunniteltu ja jota ylläpidetään siten, että sen avulla estetään vahingossa tapahtuva tai laiton henkilötietojen poistaminen, häviäminen, muuttaminen, siirtäminen, luvaton luovuttaminen tai henkilötietoihin pääsy sisäisille tai ulkoisille kumppaneille, joille ei ole myönnetty oikeutta saada tällaisia tietoja.

(4)

Käsiteltyjä henkilötietoja säilytetään hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamisesta 8 päivänä kesäkuuta 2012 annettujen Euroopan lääkeviraston täytäntöönpanosääntöjen 13 artiklan mukaisesti, kuten tämän päätöksen 2 artiklan 3 kohdassa on todettu.

(5)

Tätä päätöstä sisäisistä säännöistä olisi sovellettava kaikkiin käsittelytoimiin, joita virasto tekee suorittaessaan hallinnollisia tutkimuksiaan ja kurinpitomenettelyjään sekä alustavia toimiaan, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin sääntöjenvastaisuuksiin, käsitellessään väärinkäytösten paljastamismenettelyjä, käsitellessään (virallisia ja epävirallisia) häirintätapauksia koskevia menettelyjä sekä sisäisiä ja ulkoisia valituksia ja suorittaessaan sisäisiä tarkastuksia, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemiään tutkimuksia ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltyjä (tieto)turvatutkimuksia. Tätä päätöstä olisi sovellettava käsittelytoimiin, joita toteutetaan ennen edellä mainittujen menettelyjen aloittamista, näiden menettelyjen aikana sekä menettelyjen tuloksista johtuvien jatkotoimien seurannan aikana.

(6)

Tätä päätöstä sisäisistä säännöistä olisi sovellettava myös toimiin, jotka liittyvät viraston hallinnollisten tutkimustensa ulkopuolella unionin muille toimielimille, elimille ja laitoksille, jäsenvaltioiden toimivaltaisille viranomaisille ja kansainvälisille organisaatioille tarjoamaan apuun ja yhteistyöhön niiden toteuttamien käsittelytoimien suojaamiseksi, sekä toimiin, jotka liittyvät yhteistyöhön EU:n toimielinten ja elinten kanssa ja hallinnollista tutkimusta tai kurinpitomenettelyjä koskevien tietojen siirtämiseen EU:n toimielimille ja elimille. Tätä varten viraston olisi kuultava näitä toimielimiä, elimiä, laitoksia ja viranomaisia tai organisaatioita rajoitusten asettamisen perusteista sekä rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta.

(7)

Tapauksissa, joissa näitä sisäisiä sääntöjä sovelletaan, viraston on annettava perustelut siitä, miksi rajoitukset ovat ehdottoman tarpeellisia ja oikeasuhteisia demokraattisessa yhteiskunnassa, ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia.

(8)

Näissä puitteissa virasto on velvollinen kunnioittamaan mahdollisimman suuressa määrin rekisteröityjen perusoikeuksia sekä erityisesti muttei yksinomaan tietojen saatavuutta, oikaisemista ja poistamista koskevia oikeuksia, sellaisina kuin ne ovat vahvistettuina asetuksessa (EU) 2018/1725.

(9)

Viraston on kuitenkin ehkä lykättävä tiedottamista rekisteröidyille ja muita rekisteröityjen oikeuksia erityisesti suojatakseen omia tutkimuksiaan ja menettelyjään, muiden viranomaisten tutkimuksia ja menettelyjä sekä muiden sen tutkimuksiin ja menettelyihin liittyvien henkilöiden oikeuksia.

(10)

Virasto voi siten lykätä tiedottamista suojatakseen hallinnollisia tutkimuksiaan ja kurinpitomenettelyjään, muiden viranomaisten tutkimuksia ja menettelyjä sekä tiedonantajien ja muiden menettelyihin osallistuvien henkilöiden henkilöllisyyttä, mukaan lukien väärinkäytösten paljastajat ja todistajat, sillä näiden ei pitäisi kärsiä kielteisistä seurauksista tekemänsä yhteistyön takia. Hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamisesta 8 päivänä kesäkuuta 2012 annettujen Euroopan lääkeviraston täytäntöönpanosääntöjen 5 artiklan 3 kohdassa säädetään velvollisuudesta antaa ilmoitus kaikille henkilöstön jäsenille, jotka saattavat liittyä henkilökohtaisesti tutkimukseen, edellyttäen, että tällainen ilmoittaminen ei vaikeuta tutkimuksen suorittamista. Tällä rajoitetaan erityisesti asetuksen (EU) 2018/1725 14–21, 35 ja 36 artiklassa säädettyjen rekisteröityjen oikeuksien soveltamista. Siksi saman asetuksen 25 artiklan nojalla on säädettävä sisäiset säännöt, joilla varmistetaan, että tällainen rajoitus kunnioittaa keskeisiltä osin perusoikeuksia ja -vapauksia ja on tarpeellinen ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa.

(11)

Rekisterinpitäjät voivat asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaan lykätä tietojen ilmoittamista rajoituksen soveltamisen syistä tai pidättäytyä antamasta näitä tietoja rekisteröidylle, jos ilmoitus voi jollakin tavoin vaarantaa rajoituksen tarkoituksen. Jotta voidaan varmistaa, että rekisteröidyn oikeutta saada tietoa asetuksen (EU) 2018/1725 16 ja 35 artiklan mukaisesti rajoitetaan vain niin kauan kuin lykkäyksen syyt ovat olemassa, viraston olisi säännöllisesti tarkasteltava kantaansa uudelleen.

(12)

Jos sovelletaan muiden rekisteröityjen oikeuksiin kohdistuvaa rajoitusta, rekisterinpitäjän olisi arvioitava tapauskohtaisesti, vaarantaisiko rajoituksen ilmoittaminen sen tarkoituksen.

(13)

Suhteellisuusperiaatteen mukaisesti viraston olisi seurattava säännöllisesti (noin kuuden kuukauden välein), että kunkin rajoituksen perusteena olleet edellytykset ovat yhä voimassa. Sen mukaisesti viraston olisi poistettava rajoitus, jos rajoituksen perusteena olleet edellytykset eivät ole enää voimassa.

(14)

Viraston olisi kuultava tietosuojavastaavaa, kun se lykkää tiedottamista tai soveltaa muita rekisteröityjen oikeuksia koskevia rajoituksia, sekä arvioidessaan sitä, ovatko rajoituksen perusteena olleet edellytykset yhä voimassa,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Kohde ja soveltamisala

1.   Tällä päätöksellä vahvistetaan säännöt edellytyksistä, joiden mukaisesti virasto voi hallinnollisten tutkimustensa ja kurinpitomenettelyjensä yhteydessä, kun se ilmoittaa tapauksista Euroopan petostentorjuntavirastolle asetuksen (EU, Euratom) N:o 883/2013 mukaisesti, rajoittaa asetuksen (EU) 2018/1725 25 artiklan nojalla 14–21, 35 ja 36 artiklassa sekä 4 artiklassa säädettyjen oikeuksien soveltamista siltä osin kuin sen säännökset vastaavat 14–21 artiklassa säädettyjä velvollisuuksia.

2.   Tätä päätöstä sovelletaan henkilötietojen käsittelytoimiin, joita virasto tekee suorittaessaan hallinnollisia tutkimuksiaan ja kurinpitomenettelyjään sekä alustavia toimiaan, jotka liittyvät Euroopan petostentorjuntavirastolle (asetuksen (EU, Euratom) N:o 883/2013 mukaisesti) ilmoitettuihin mahdollisiin sääntöjenvastaisuuksiin, käsitellessään väärinkäytösten paljastamismenettelyjä, (virallisia ja epävirallisia) häirintätapauksia koskevia menettelyjä sekä sisäisiä ja ulkoisia valituksia ja suorittaessaan sisäisiä tarkastuksia, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemiään tutkimuksia ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltyjä (tieto)turvatutkimuksia.

Tätä päätöstä olisi sovellettava myös viraston toimiin, jotka liittyvät viraston hallinnollisten tutkimustensa ulkopuolella unionin muille toimielimille, elimille ja laitoksille, jäsenvaltioiden toimivaltaisille viranomaisille ja kansainvälisille organisaatioille tarjoamaan apuun ja yhteistyöhön niiden toteuttamien käsittelytoimien suojaamiseksi.

Lisäksi tätä päätöstä sovelletaan toimiin, jotka liittyvät yhteistyöhön EU:n toimielinten ja elinten kanssa ja hallinnollista tutkimusta tai kurinpitomenettelyjä koskevien tietojen siirtämiseen EU:n toimielimille ja elimille silloin, kun vastaanottaja tarvitsee tällaisia tietoja arvioidakseen perusteita virallisen tutkimuksen tai virallisten menettelyjen käynnistämiseksi.

3.   Virasto käsittelee useita erilaisia henkilötietoryhmiä, kuten yksilöintitietoja, yhteystietoja ja työhön tai ammattiin liittyviä tietoja. Käsiteltävät tiedot voivat olla luotettavia tietoja (esimerkiksi hallinnolliset tiedot, puhelinnumero, yksityinen osoite, sähköiset viestit ja liikennetiedot) ja/tai varmentamattomia tietoja (esimerkiksi arviointiraportit, tutkimusten käynnistäminen, alustavia tutkimuksia koskevat raportit, todistajanlausuntojen ja tutkimuksiin liittyvien kuulemistilaisuuksien nauhoitukset/pöytäkirjat, henkilöstön jäsenten sosiaalinen toiminta ja käyttäytyminen, kommentit asianosaisen henkilöstön jäsenen kyvyistä ja tehokkuudesta jne.).

4.   Rekisteröityjen ryhmät, joihin tätä päätöstä voidaan soveltaa, ovat viraston nykyiset ja entiset työntekijät eli (entiset) toimihenkilöt, virkamiehet, kansalliset asiantuntijat ja harjoittelijat sekä viraston (entiset) toimeksisaajat.

5.   Tässä päätöksessä vahvistettujen edellytysten mukaisesti rajoituksia voidaan soveltaa seuraaviin oikeuksiin: tietojen antaminen ja ilmoittaminen henkilötietojen tietoturvaloukkauksesta rekisteröidyille asetuksen (EU) 2018/1725 16 ja 35 artiklan mukaisesti, rekisteröidyn oikeus saada pääsy tietoihin asetuksen (EU) 2018/1725 17 artiklan nojalla, oikeus tietojen oikaisemiseen, poistamiseen ja käsittelyn rajoittamiseen sekä oikaisua tai poistoa koskeva ilmoitusvelvollisuus asetuksen (EU) 2018/1725 18 artiklan, 19 artiklan 1 kohdan, 20 artiklan ja 21 artiklan nojalla.

2 artikla

Rekisterinpitäjien ja suojatoimien määritteleminen

1.   Euroopan lääkevirasto, jota edustaa sen toimitusjohtaja, on vastuussa oleva rekisterinpitäjä. Hallintoyksikön päällikkö on nimitetty sisäisesti toimimaan valtuutuksen nojalla tähän päätökseen liittyvien toimien rekisterinpitäjänä. Jos hallinnolliset tutkimukset tai kurinpitomenettelyt koskevat hallintoyksikön päällikköä, varatoimitusjohtaja toimii rekisterinpitäjänä kyseessä olevan tutkimuksen tai kyseessä olevien menettelyjen osalta.

2.   Henkilötietoja säilytetään sähköisinä tiedostoina ja/tai paperimuodossa. Henkilötietojen tietoturvaloukkausten, tietovuotojen tai luvattoman luovuttamisen välttämiseksi käytössä ovat seuraavat takeet:

a)

Paperiasiakirjoja säilytetään lukitussa kaapissa, johon on pääsy vain valtuutetuilla henkilöstön jäsenillä vain silloin, kun se on tarpeen. Käytössä ovat myös toimitilojen turvajärjestelmä, sisäiset asiakirjahallintokäytännöt, henkilöstön koulutus ja tarkastukset asianmukaisten suojatoimien varmistamiseksi.

b)

Sähköisiä tiedostoja säilytetään turvallisessa sähköisessä ympäristössä, joka on suunniteltu ja jota ylläpidetään siten, että sen avulla estetään vahingossa tapahtuva tai laiton henkilötietojen poistaminen, häviäminen, muuttaminen, siirtäminen, luvaton paljastaminen tai niihin pääsyn salliminen sisäisille tai ulkoisille kumppaneille, joille ei ole myönnetty oikeutta saada tällaisia tietoja.

c)

Hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamisesta 8 päivänä kesäkuuta 2012 annetuissa Euroopan lääkeviraston täytäntöönpanosäännöissä sekä henkilöstösäännöissä ja Euroopan unionin muuhun henkilöstöön sovellettavissa palvelussuhteen ehdoissa vaadituilla nimitettyihin tutkijoihin ja/tai kaikkiin muulla tavoin hallinnolliseen tutkimukseen tai kurinpitomenettelyihin liittyviin henkilöihin sovellettavilla tiukoilla luottamuksellisuutta ja salassapitovelvollisuutta koskevilla säännöillä varmistetaan korkea suojelun taso rekisteröityjen oikeuksiin ja vapauksiin kohdistuvien, käsittelytoimiin liittyvien riskien osalta.

d)

Tietojen minimoinnin periaatteen mukaisesti virasto kerää ja käsittelee ainoastaan henkilötietoja, jotka ovat asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Lisäsuojatoimia sovelletaan, kun käsitellään erityisiä tietoryhmiä tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja tai niihin liittyviä turvaamistoimenpiteitä.

3.   Sovellettavat säilytysajat ovat seuraavat:

a)

Hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamisesta 8 päivänä kesäkuuta 2012 annettujen Euroopan lääkeviraston täytäntöönpanosääntöjen 13 artiklan mukaan tilanteessa, jossa henkilöstön jäsentä vastaan ei nosteta syytetä tai jossa syyte on nostettu mutta kurinpitotoimiin ei ole ryhdytty, hallinnollisen tutkimusmenettelyjen paperisia ja sähköisiä asiakirjoja sekä henkilökansiossa olevaa samojen täytäntöönpanosääntöjen 5 artiklan mukaisesti henkilöstön jäsenelle annetun alustavan ilmoituksen kopiota säilytetään viisi vuotta siitä päivästä, jolloin tehtiin päätös siitä, että syytteiden nostaminen tai kurinpitotoimet eivät ole tarpeen. Tätä säännöstä ei sovelleta henkilöstön jäsenen henkilökansioon hänen pyyntönsä perusteella lisättyyn päätökseen henkilöstösääntöjen liitteessä IX olevan 1 artiklan 3 kohdan ja hallinnollisten tutkimusten ja kurinpitomenettelyjen suorittamisesta 8 päivänä kesäkuuta 2012 annettujen Euroopan lääkeviraston täytäntöönpanosääntöjen 5 artiklan 5 kohdan mukaisesti. Tällainen päätös poistetaan henkilökansiosta ainoastaan asianosaisen henkilöstön jäsenen pyynnöstä.

b)

Jos henkilöstön jäsentä vastaan nostetaan syyte, paperisia ja sähköisiä asiakirjoja sekä henkilökansiossa olevaa kopiota henkilöstön jäsenelle annetusta alustavasta ilmoituksesta säilytetään 10 vuotta siitä päivästä, jolloin päätös kurinpitotoimenpiteistä tehtiin. Poikkeuksellisissa tapauksissa, joissa hallinnollista tutkimusta koskevien asiakirjojen säilyttäminen 10 vuoden säilytysajan päättymisen jälkeen on viraston edun mukaista, on tehtävä perusteltu päätös kuusi kuukautta ennen 10 vuoden säilytysajan päättymistä ja ilmoitettava tästä päätöksestä asianosaiselle henkilöstön jäsenelle. Perustellussa päätöksessä on ilmoitettava lisäaika, jonka ajan hallinnollista tutkimusta koskevia asiakirjoja säilytetään. Tällaisissa tapauksissa myös henkilöstön jäsenen henkilökansiossa oleva ilmoitus säilytetään.

4.   Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaan riskiin voi liittyä riskejä, jotka koskevat kyseessä olevan henkilön oikeutta yksityisten viestien luottamuksellisuuden kunnioittamiseen, oikeutta sananvapauteen ja tiedonvälityksen vapauteen sekä puolustautumisoikeutta ja oikeutta tulla kuulluksi. Näitä riskejä punnitaan tässä päätöksessä säädettyjen rajoitusten soveltamisen perusteita ja tarkoituksia vasten. Tämä punnitseminen dokumentoidaan asianmukaisesti ja toteutetaan tapauskohtaisen analyysin perusteella sen varmistamiseksi, että rajoitusta sovelletaan vain tarvittaessa ja oikeasuhteisesti sekä tässä päätöksessä vahvistettujen sääntöjen mukaisesti.

3 artikla

Rajoitukset

1.   Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan nojalla rajoituksia sovelletaan ainoastaan seuraavien asioiden takaamiseksi:

a)

rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;

b)

muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä etu, mukaan lukien sekä kansanterveys ja sosiaaliturva;

c)

unionin toimielinten ja elinten ja myös niiden sähköisen viestinnän verkkojen sisäinen turvallisuus;

d)

säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytetoimet;

e)

valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–c alakohdassa tarkoitetuissa tapauksissa;

f)

rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet.

2.   Virasto voi edellä 1 kohdassa kuvatun rajoituksen erityisenä soveltamistapana soveltaa rajoituksia komission yksiköiden tai muiden unionin toimielinten, elinten ja laitosten, jäsenvaltioiden toimivaltaisten viranomaisten tai kolmansien maiden tai kansainvälisten järjestöjen kanssa vaihdettaviin henkilötietoihin seuraavissa olosuhteissa:

a)

kun komission yksiköt tai muut unionin toimielimet, elimet ja laitokset voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien käyttöä muiden asetuksen (EU) 2018/1725 25 artiklassa tarkoitettujen säädösten perusteella tai kyseisen asetuksen IX luvun mukaisesti tai muiden unionin toimielinten, elinten ja laitosten perustamissäädösten mukaisesti;

b)

kun jäsenvaltioiden toimivaltaiset viranomaiset voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien käyttöä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (5) 23 artiklassa tarkoitettujen säädösten perusteella tai Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (6) 13 artiklan 3 kohdan, 15 artiklan 3 kohdan tai 16 artiklan 3 kohdan osaksi kansallista lainsäädäntöä saattavien kansallisten säädösten nojalla;

c)

kun kyseisten oikeuksien ja velvollisuuksien käyttö voisi vaarantaa viraston yhteistyön kolmansien maiden tai kansainvälisten järjestöjen kanssa sen tehtävien suorittamisessa.

Ennen rajoitusten soveltamista ensimmäisen alakohdan a ja b luetelmakohdassa tarkoitetuissa olosuhteissa viraston on kuultava asianomaisia komission yksiköitä, unionin toimielimiä, elimiä ja laitoksia tai jäsenvaltioiden toimivaltaisia viranomaisia paitsi, jos virastolle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä luetelmakohdissa tarkoitetussa säädöksessä.

3.   Rajoitusten on oltava välttämättömiä ja oikeasuhteisia demokraattisessa yhteiskunnassa ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia.

4.   Näiden sääntöjen perusteella on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.

5.   Rajoituksia on seurattava asianmukaisesti, ja vähintään kuuden kuukauden välein on suoritettava säännöllinen tarkistus, jossa arvioidaan, ovatko kunkin rajoituksen perusteena olleet edellytykset yhä voimassa.

6.   Rajoitukset on poistettava heti, kun niiden perusteena olleet edellytykset eivät ole enää voimassa, kuten tilanteessa, jossa rekisteröityjen oikeuksien käyttäminen (esimerkiksi tietojen antaminen tietojenkäsittelystä ja oikeus saada pääsy asiakirjoihin) ei enää vaaranna kyseessä olevan tutkimuksen tai menettelyn tarkoitusta.

4 artikla

Ilmoittaminen tietosuojavastaavalle ja arviointi

1.   Rekisterinpitäjän on (viraston puolesta) ilman aiheetonta viivytystä ilmoitettava viraston tietosuojavastaavalle aina, kun se rajoittaa rekisteröityjen oikeuksia tämän päätöksen mukaisesti, ja tarjottava saataville rajoituksen välttämättömyyden ja suhteellisuuden arvioimista koskevat tiedot ja asiakirjat (mukaan lukien kaikki asiakirjat, jotka sisältävät taustalla olevia tosiasiallisia ja oikeudellisia seikkoja). Tätä vaatimusta sovelletaan myös myöhempiin rajoitusta koskeviin arviointeihin.

2.   Tietosuojavastaava voi pyytää rekisterinpitäjää kirjallisesti tarkastelemaan uudelleen rajoitusten soveltamista. Viraston on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista.

3.   Tiedonvaihto tietosuojavastaavan kanssa on tallennettava ja dokumentoitava kirjallisesti koko menettelyn ajalta.

5 artikla

Tietojen toimittamista rekisteröidyille koskevat rajoitukset

1.   Viraston on sisällytettävä hallinnollisiin tutkimuksiin ja kurinpitomenettelyihin liittyvään ja viraston intranetissä julkaistavaan tietosuojaselosteeseen tiedot näiden oikeuksien mahdollisista rajoituksista. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, rajoittamisen syyt ja mahdollinen kesto.

2.   Lisäksi viraston on annettava ilman tarpeetonta viivytystä ja kirjallisesti yksilöllistä tietoa rekisteröidyille heidän oikeuksistaan liittyen nykyisiin tai tuleviin rajoituksiin, sanotun kuitenkaan rajoittamatta seuraavia kohtia.

3.   Jos virasto rajoittaa kokonaan tai osittain tietojen toimittamista rekisteröidyille tämän päätöksen mukaisesti, sen on kirjattava rajoituksen syyt sekä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta. Kirjatuissa tiedoissa on tällöin ilmoitettava, miten tietojen antaminen vaarantaisi kyseessä olevien tutkintatoimien tarkoituksen tai vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin. Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

4.   Edellä 3 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa. Kun rajoituksen syyt eivät enää ole voimassa, viraston on annettava kyseiset tiedot ja ilmoitettava rajoituksen syyt rekisteröidylle. Rekisteröidyt voivat esittää tietosuojavastaavalle kysymyksiä.

5.   Viraston on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

6.   Viraston on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä menettelyn päättämisen yhteydessä.

6 artikla

Rekisteröityjen oikeutta saada pääsy tietoihin koskevat rajoitukset

1.   Jos rekisteröidyt pyytävät pääsyä yhden tai useamman erityistapauksen yhteydessä käsiteltäviin henkilötietoihinsa tai tiettyyn käsittelytoimeen asetuksen (EU) 2018/1725 17 artiklan mukaisesti, virasto rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

2.   Kun virasto kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, sen on toteutettava seuraavat toimenpiteet:

a)

sen on asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa ilmoitettava sovelletusta rajoituksesta ja sen pääasiallisista syistä siinä määrin kuin se ei vaaranna kyseessä olevan tutkimuksen tai menettelyn tarkoitusta sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa;

b)

sen on kirjattava rajoituksen syyt sekä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta; kirjatuissa tiedoissa on tällöin ilmoitettava, miten pääsyn antaminen tietoihin vaarantaisi kyseessä olevan tutkimuksen tai menettelyn tarkoituksen tai vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin.

Edellä a alakohdassa tarkoitettua tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti.

3.   Edellä 2 kohdan b alakohdassa tarkoitetut kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön. Tällöin sovelletaan asetuksen (EU) 2018/1725 25 artiklan 7 kohtaa.

7 artikla

Tietojen oikaisemista, poistamista ja käsittelyä koskevan oikeuden rajoittaminen

Kun virasto kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 18 artiklassa, 19 artiklan 1 kohdassa, 20 artiklan 1 kohdassa ja 21 artiklassa tarkoitettua oikeutta tietojen oikaisemiseen ja poistamiseen tai käsittelyn rajoittamiseen, sen on toteuttava tämän päätöksen 6 artiklan 2 kohdassa tarkoitetut toimenpiteet ja rekisteröitävä kirjatut tiedot päätöksen 6 artiklan 3 kohdan mukaisesti.

8 artikla

Henkilötietojen tietoturvaloukkauksista ilmoittamista rekisteröidylle ja sähköisen viestinnän luottamuksellisuutta koskevat rajoitukset

1.   Jos virasto rajoittaa asetuksen (EU) 2018/1725 35 artiklan mukaista henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle, sen on kirjattava ja rekisteröitävä rajoituksen syyt tämän päätöksen 5 artiklan 3–6 kohdan mukaisesti.

2.   Jos virasto rajoittaa asetuksen (EU) 2018/1725 36 artiklassa tarkoitettua rekisteröidyn oikeutta sähköisen viestinnän luottamuksellisuuteen, sen on kirjattava ja rekisteröitävä syyt tähän rajoitukseen tämän päätöksen 5 artiklan 3–6 kohdan mukaisesti.

9 artikla

Voimaantulo

Tämä päätös tulee voimaan seuraavana päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tehty Amsterdamissa 12 päivänä kesäkuuta 2019.

Christa WIRTHUMER-HOCHE

EMA:n hallintoneuvoston puheenjohtaja


(1)  EUVL L 295, 21.11.2018, s. 39.

(2)  EUVL L 248, 18.9.2013, s. 1.

(3)  Asiakirjan viite 7.20/08.

(4)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 726/2004, annettu 31 päivänä maaliskuuta 2004, ihmisille ja eläimille tarkoitettuja lääkkeitä koskevista unionin lupa- ja valvontamenettelyistä ja Euroopan lääkeviraston perustamisesta (EUVL L 136, 30.4.2004, s. 1).

(5)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(6)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).


Top