(1)

Euroopan petostentorjuntavirasto, jäljempänä ’virasto’, perustettiin komission päätöksellä 1999/352/EY, EHTY, Euratom (1) komission yksikkönä. Virasto suorittaa tutkimuksia täysin riippumattomasti.

(2)

Virasto tekee hallinnollisia tutkimuksia petosten, lahjonnan ja unionin taloudellisia etuja vahingoittavan muun laittoman toiminnan torjumiseksi Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) N:o 883/2013 (2) mukaisesti. Tätä tarkoitusta varten se käyttää komissiolle asiaankuuluvissa unionin säädöksissä annettuja tutkintavaltuuksia jäsenvaltioissa sekä yhteistyötä ja keskinäistä avunantoa koskevien sopimusten ja muiden voimassa olevien säädösten mukaisesti kolmansissa maissa sekä kansainvälisten järjestöjen tiloissa.

(3)

Virasto suorittaa myös hallinnollisia tutkimuksia perussopimuksilla tai niiden nojalla perustetuissa toimielimissä, elimissä ja laitoksissa. Virasto kerää tutkintavaltuuksiensa puitteissa tutkinnan kannalta olennaisia tietoja, myös henkilötietoja, eri lähteistä – viranomaisilta, yksityisiltä yhteisöiltä ja luonnollisilta henkilöiltä – ja vaihtaa tietoja unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden ja kolmansien maiden toimivaltaisten viranomaisten sekä kansainvälisten järjestöjen kanssa ennen tutkimus- tai koordinointitoimia, niiden aikana ja niiden jälkeen.

(4)

Virasto käsittelee toimintansa yhteydessä useita henkilötietoryhmiä, erityisesti yksilöintitietoja, yhteystietoja, ammattia koskevia tietoja ja asiaan osallistumista koskevia tietoja. Virasto, jota edustaa sen pääjohtaja, toimii rekisterinpitäjänä. Henkilötiedot säilytetään suojatussa sähköisessä ympäristössä, joka estää lainvastaisen pääsyn tietoihin ja tietojen lainvastaisen siirtämisen henkilöille, joilla ei ole tiedonsaantitarvetta. Käsiteltäviä henkilötietoja säilytetään 15 vuotta sen jälkeen, kun tapaus on päätetty jättää käsittelemättä, tai tutkimus- tai koordinointitapaus päätetään pääjohtajan päätöksellä. Säilyttämisajan päätyttyä tapausta koskevat tiedot, myös henkilötiedot, siirretään historiallisiin arkistoihin.

(5)

Virasto on tehtäviään suorittaessaan sitoutunut kunnioittamaan henkilötietojen käsittelyyn liittyviä luonnollisten henkilöiden oikeuksia, jotka tunnustetaan Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdassa ja perussopimuksen 16 artiklan 1 kohdassa sekä kyseisiin määräyksiin perustuvissa säädöksissä. Viraston on myös noudatettava asetuksen (EU, Euratom) N:o 883/2013 10 artiklassa tarkoitettuja tiukkoja luottamuksellisuutta ja salassapitovelvollisuutta koskevia sääntöjä ja varmistettava, että kyseisen asetuksen 9 artiklassa tarkoitettuja asianomaisten henkilöiden ja todistajien prosessuaalisia oikeuksia ja erityisesti asianomaisten henkilöiden oikeutta syyttömyysolettamaan kunnioitetaan.

(6)

Suojattu sähköinen ympäristö, jossa henkilötietoja säilytetään, sekä prosessuaaliset takeet, joihin viitataan asetuksen (EU, Euratom) N:o 883/2013 9 artiklassa, ja tiukat luottamuksellisuutta ja salassapitovelvollisuutta koskevat säännöt, joihin viitataan saman asetuksen 10 artiklassa, takaavat korkeatasoisen suojan tietojen käsittelystä johtuvia rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä vastaan.

(7)

Tietyissä olosuhteissa on tarpeen sovittaa yhteen Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (3) mukaiset rekisteröityjen oikeudet sekä tutkinnan tarpeet, muiden toimivaltaisten viranomaisten kanssa tapahtuvan tietojenvaihdon luottamuksellisuus ja muiden rekisteröityjen perusoikeuksien ja -vapauksien täysi kunnioittaminen. Tämän vuoksi mainitun asetuksen 25 artikla antaa virastolle mahdollisuuden rajoittaa 14–22 artiklan, 35 ja 36 artiklan sekä 4 artiklan soveltamista siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia.

(8)

Virasto on nimennyt asetuksen (EU, Euratom) N:o 883/2013 10 artiklan 4 kohdan nojalla tietosuojasta vastaavan henkilön Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (4) 24 artiklan mukaisesti.

(9)

Jotta voidaan varmistaa viraston suorittamien tutkimusten ja muiden operatiivisten toimien luottamuksellisuus ja tehokkuus ja noudattaa samalla asetuksen (EU) 2018/1725 mukaista henkilötietojen suojaa koskevia normeja, on tarpeen hyväksyä sisäisiä sääntöjä, joiden nojalla virasto voi rajoittaa rekisteröityjen oikeuksia kyseisen asetuksen 25 artiklan mukaisesti.

(10)

Tämän säädöksen soveltamisalan olisi katettava kaikki tietojenkäsittely, jota virasto suorittaa riippumattoman tutkintatehtävänsä puitteissa. Näitä sääntöjä olisi sovellettava käsittelytoimiin, joita suoritetaan ennen tutkimuksen aloittamista, asetuksen (EU, Euratom) N:o 883/2013 3 artiklassa tarkoitettujen ulkoisten ja 4 artiklassa tarkoitettujen sisäisten tutkimusten aikana sekä tutkimusten tuloksista johtuvien jatkotoimien seurannan aikana. Sääntöjä olisi sovellettava käsittelytoimiin, jotka ovat osa tutkintatehtävään liittyviä toimia, kuten petoksista ilmoittamiseen tarkoitettuun järjestelmään, operatiivisiin analyyseihin ja kansainvälisiin yhteistyötietokantoihin, sekä toimiin, joihin voi sisältyä tutkimuksia koskevaa tietoa, kuten tietosuojavastaavan tekemien tutkimusten käsittelyyn tai viraston muihin valitusmenettelyihin. Siihen olisi sisällyttävä myös apu ja yhteistyö, joita virasto tarjoaa kansallisille viranomaisille ja kansainvälisille järjestöille muutoin kuin hallinnollisten tutkimusten yhteydessä.

(11)

Asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan noudattamiseksi viraston olisi tiedotettava kaikille yksityishenkilöille verkkosivustollaan julkaistavilla tietosuojailmoituksilla läpinäkyvästi ja johdonmukaisesti henkilötietojen käsittelyä koskevista toimistaan ja yksityishenkilöiden oikeuksista sekä annettava yksilöllistä tietoa tutkinnan kannalta merkityksellisille henkilöille eli asianomaisille henkilöille, todistajille ja ilmiantajille asianmukaisessa muodossa.

(12)

Viraston saattaa olla tarpeen rajoittaa tietojen antamista rekisteröidyille ja rekisteröityjen muiden oikeuksien soveltamista omien tutkimustensa, jäsenvaltioiden viranomaisten tutkimusten ja menettelyjen, tutkintavälineiden ja -menetelmien sekä muiden tutkimuksiin liittyvien henkilöiden oikeuksien suojelemiseksi, sanotun kuitenkaan rajoittamatta asetuksessa (EU) 2018/1725 säädettyjen poikkeusten soveltamista.

(13)

Joissakin tapauksissa tiettyjen tietojen antaminen rekisteröidyille tai tutkimuksen käynnissä olon paljastaminen voisi estää kokonaan käsittelytoimen tarkoituksen saavuttamisen ja viraston tai toimivaltaisten kansallisten viranomaisten ja unionin toimielinten, elinten ja laitosten mahdollisuuden toteuttaa tuleva tutkimus tehokkaasti tai vaikeuttaa niitä suuresti.

(14)

Lisäksi virasto on velvollinen suojelemaan ilmiantajien, kuten väärinkäytösten paljastajien, ja todistajien henkilöllisyyttä, sillä näiden ei pitäisi kärsiä kielteisistä seurauksista viraston kanssa tekemänsä yhteistyön takia.

(15)

Viraston saattaa näistä syistä olla tarpeen voida soveltaa tiettyjä asetuksen (EU) 2018/1725 25 artiklassa tarkoitettuja rajoitusperusteita päätöksen 1999/352/EY, EHTY, Euratom 2 artiklassa säädettyjen viraston tehtävien yhteydessä toteutettaviin tietojenkäsittelytoimiin.

(16)

Tehokkaan yhteistyön ylläpitämiseksi virasto saattaa lisäksi joutua soveltamaan rekisteröityjen oikeuksiin kohdistuvia rajoituksia suojatakseen henkilötietoja sisältäviä tietoja, jotka ovat peräisin komission yksiköiltä tai muilta unionin toimielimiltä, elimiltä ja laitoksilta, jäsenvaltioiden ja kolmansien maiden toimivaltaisilta viranomaisilta sekä kansainvälisiltä järjestöiltä. Tämän vuoksi viraston olisi kuultava kyseisiä yksiköitä, toimielimiä, elimiä ja laitoksia, viranomaisia ja kansainvälisiä järjestöjä rajoitusten asiaankuuluvista perusteista sekä tarpeellisuudesta ja oikeasuhteisuudesta.

(17)

Tutkintatehtävässään virasto vaihtaa usein tietoja, myös henkilötietoja, muun muassa komission yksiköiden ja niiden toimeenpanovirastojen kanssa, jotka avustavat komission yksiköitä niiden ohjelmien täytäntöönpanossa. Asetuksen (EU) 2018/1725 25 artiklan 5 kohdan mukaisesti – jossa edellytetään sisäisten sääntöjen hyväksymistä asianomaisten unionin toimielinten, elinten ja laitosten ylimmän johdon tasolla – tätä päätöstä sovelletaan sellaisten henkilötietojen käsittelyyn, jotka sisältyvät tietoihin, joita niiden on toimitettava virastolle. Sen vuoksi kaikkien komission yksiköiden ja toimeenpanovirastojen, jotka käsittelevät henkilötietoja joko täyttäessään velvollisuuttaan antaa tietoja virastolle asetuksen (EU, Euratom) N:o 883/2013 8 artiklan 1 kohdan mukaisesti tai silloin, kun virasto käsittelee tällaisia henkilötietoja tehtäviensä hoitamiseksi, olisi sovellettava tässä päätöksessä vahvistettuja sääntöjä, jotta voidaan suojata viraston toteuttamia käsittelytoimia. Tällaisissa olosuhteissa komission asianomaisten yksiköiden ja toimeenpanovirastojen olisi sen vuoksi kuultava virastoa asiankuuluvista rajoitusperusteista sekä niiden tarpeellisuudesta ja oikeasuhteisuudesta, jotta voidaan varmistaa perusteiden yhdenmukainen soveltaminen.

(18)

Viraston ja tarvittaessa komission yksiköiden ja toimeenpanovirastojen olisi käsiteltävä kaikki rajoitukset läpinäkyvästi ja rekisteröitävä kaikki tapaukset, joissa rajoituksia sovelletaan, vastaavaan rekisteröintijärjestelmään.

(19)

Rekisterinpitäjät voivat asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaan lykätä tietojen ilmoittamista rajoituksen soveltamisen syistä tai pidättäytyä antamasta näitä tietoja rekisteröidylle, jos tämä voi jollakin tavoin vaarantaa rajoituksen tarkoituksen. Erityisesti silloin, kun sovelletaan 16 ja 35 artiklassa tarkoitettuja oikeuksia koskevaa rajoitusta, tällaisen rajoituksen tiedoksianto vaarantaisi rajoituksen tarkoituksen. Jotta voidaan varmistaa, että rekisteröidyn oikeutta saada tietoa asetuksen (EU) 2018/1725 16 ja 38 artiklan mukaisesti rajoitetaan vain niin kauan kuin lykkäyksen syyt ovat olemassa, viraston olisi säännöllisesti tarkasteltava kantaansa uudelleen.

(20)

Jos sovelletaan muiden rekisteröityjen oikeuksiin kohdistuvaa rajoitusta, rekisterinpitäjän olisi arvioitava tapauskohtaisesti, vaarantaisiko rajoituksen ilmoittaminen sen tarkoituksen.

(21)

Viraston tietosuojasta vastaavan henkilön – ja tarvittaessa komission tai asianomaisen toimeenpanoviraston tietosuojavastaavan – olisi tehtävä myös riippumaton arviointi rajoitusten soveltamisesta tämän päätöksen noudattamisen varmistamiseksi.

(22)

Asetuksella (EU) 2018/1725 korvataan asetus (EY) N:o 45/2001 sen voimaantulopäivänä ilman siirtymäaikaa. Asetuksessa (EY) N:o 45/2001 säädettiin mahdollisuudesta soveltaa rajoituksia tiettyihin oikeuksiin. Jotta vältetään viraston vastuualueeseen kuuluvien tutkimusten tarkoituksen vaarantaminen ja kielteiset vaikutukset muiden henkilöiden oikeuksiin ja vapauksiin, tätä päätöstä olisi sovellettava asetuksen (EU) 2018/1725 voimaantulopäivästä.

(23)

Euroopan tietosuojavaltuutettua on kuultu 23 päivänä marraskuuta 2018,