1.   Tässä päätöksessä vahvistetaan säännöt ja menettelyt, joiden mukaisesti komissio soveltaa asetusta (EU) 2018/1725, sekä komission tietosuojavastaavaa koskevat täytäntöönpanosäännöt.

2.   Tässä päätöksessä vahvistetaan myös säännöt, joita komission on noudatettava tietosuojavastaavan seuranta-, tutkinta-, tarkastus- tai neuvonantotehtävien osalta ilmoittaessaan asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan mukaisesti rekisteröidyille heidän henkilötietojensa käsittelystä.

3.   Tässä päätöksessä vahvistetaan myös edellytykset, joiden täyttyessä komissio voi tietosuojavastaavan seuranta-, tutkinta-, tarkastus- tai neuvonantotehtävien yhteydessä rajoittaa asetuksen (EU) 2018/1725 4, 14–17, 19, 20 ja 35 artiklan soveltamista mainitun asetuksen 25 artiklan 1 kohdan c, g ja h alakohdan nojalla.

4.   Tätä päätöstä sovelletaan henkilötietojen käsittelyyn, jota komissio suorittaa asetuksen (EU) 2018/1725 45 artiklassa tarkoitettuja tietosuojavastaavan tehtäviä varten tai niihin liittyen, erityisesti tietosuojavastaavan seuranta-, tutkinta-, tarkastus- ja neuvonantotehtäviä varten.

1.   Tietosuojavastaava edistää riskinarviointiin ja vastuuvelvollisuuteen perustuvan henkilötietojen suojauskulttuurin luomista komissioon.

2.   Tietosuojavastaava seuraa asetuksen (EU) 2018/1725 täytäntöönpanoa komissiossa muun muassa laatimalla ja toteuttamalla vuosittain tarkastuksia koskevan työohjelman.

3.   Tietosuojavastaava järjestää säännöllisesti tietosuojakoordinaattorien kokouksia ja toimii niiden puheenjohtajana.

4.   Tietosuojavastaava säilyttää komission käsittelytoimista laaditut selosteet keskusrekisterissä ja asettaa sen julkisesti saataville.

Tietosuojavastaava pitää myös komission sisäistä rekisteriä asetuksen (EU) 2018/1725 3 artiklan 16 kohdassa tarkoitetuista henkilötietojen tietoturvaloukkauksista.

5.   Tehtäviään hoitaessaan tietosuojavastaava tekee yhteistyötä muiden unionin toimielinten ja elinten nimeämien tietosuojavastaavien kanssa.

6.   Tietosuojavastaavaa pidetään valtuutettuna rekisterinpitäjänä asetuksen (EU) 2018/1725 mukaisia rekisteröityjen oikeuksia koskevissa yksittäisissä päätöksissä, jotka liittyvät tietosuojavastaavan käsittelytoimiin.

1.   Valtuutettu rekisterinpitäjä nimittää vastuullaan olevaan pääosastoon tai yksikköön tietosuojakoordinaattorin ja tarvittaessa yhden tai useamman apulaistietosuojakoordinaattorin. Kaksi tai useampi valtuutettu rekisterinpitäjä voi johdonmukaisuuden tai tehokkuuden lisäämiseksi päättää nimittää yhteisen tietosuojakoordinaattorin tai apulaistietosuojakoordinaattorin tai käyttää saman jo nimitetyn tietosuojakoordinaattorin tai apulaistietosuojakoordinaattorin palveluja. Asianomaisten valtuutettujen rekisterinpitäjien on vahvistettava suostumuksensa siihen kirjallisesti.

2.   Pääosaston tai yksikön nimittämä tietosuojakoordinaattori on toimivaltainen myös kyseisestä pääosastosta tai yksiköstä vastaavassa kabinetissa. Pääsihteeristöön nimitetty tietosuojakoordinaattori on toimivaltainen puheenjohtajan kabinetissa sekä niissä kabineteissa, joiden ainoa tukiyksikkö on pääsihteeristö. Jos kabinetti on vastuussa useista pääosastoista tai yksiköistä, valtuutetut rekisterinpitäjät päättävät, kuka niiden tietosuojakoordinaattoreista on toimivaltainen kyseisessä kabinetissa.

3.   Tietosuojavastaavalle, asianomaisen pääosaston tai yksikön henkilöstölle ja asianomaiselle kabinetille on ilmoitettava aina, kun uusi tietosuojakoordinaattori nimitetään.

Vasta nimitettyjen tietosuojakoordinaattoreiden on kuuden kuukauden kuluessa nimittämisestään suoritettava koulutus, joka antaa heille tietosuojakoordinaattorin tehtävässä tarvittavan osaamisen. Tämä koulutusvaatimus ei koske tietosuojakoordinaattoria, joka on aiemmin ollut tietosuojakoordinaattorin tehtävässä toisessa pääosastossa tai yksikössä tai joka on ollut tietosuojavastaavan henkilöstön jäsen tietosuojakoordinaattoriksi nimittämistä edeltäneiden kahden vuoden aikana.

4.   Valtuutettujen rekisterinpitäjien on otettava käyttöön asianmukaiset järjestelyt sen varmistamiseksi, että tietosuojakoordinaattori osallistuu asianmukaisesti ja oikea-aikaisesti kaikkiin tietosuojaan liittyviin asioihin pääosastossaan tai yksikössään ja että tietosuojakoordinaattorin antamat lausunnot saatetaan tietosuojakoordinaattorin pyynnöstä viipymättä valtuutetun rekisterinpitäjän tietoon.

5.   Tietosuojakoordinaattorit valitaan asianomaisen pääosaston tai yksikön toimintaan liittyvän tiedon ja kokemuksen, hakijan motivaation, tietosuojaan liittyvän osaamisen, tietojärjestelmien periaatteiden ymmärtämisen ja viestintätaitojen perusteella.

6.   Tietosuojakoordinaattorin tehtävä voidaan yhdistää muihin tehtäviin. Valtuutetun rekisterinpitäjän on varmistettava, että nämä tehtävät ovat yhteensopivia tietosuojakoordinaattorin tehtävän kanssa.

7.   Tietosuojakoordinaattorin tehtävä on osa kunkin tietosuojakoordinaattoriksi nimitetyn henkilöstön jäsenen toimenkuvausta. Vuotuisessa arviointiraportissa on mainittava heidän vastuualueensa ja saavutuksensa.

8.   Tietosuojakoordinaattori toimii yhteyspisteenä valtuutetun rekisterinpitäjän, operatiivisen rekisterinpitäjän ja henkilötietojen käsittelijän sekä tietosuojavastaavan välillä.

9.   Tietosuojakoordinaattoreilla on oikeus saada pääosastostaan tai yksiköstään mitä tahansa tietoja siltä osin kuin tietosuojakoordinaattorin tehtävien suorittamiseksi on tarpeellista. Tietosuojakoordinaattoreilla on pääsy henkilötietoihin vain, jos se on tarpeen heidän tehtäviensä suorittamiseksi.

10.   Tietosuojakoordinaattorin on pidettävä kirjaa rekisteröityjen pääosastolle, yksikölle tai kabinetille esittämistä pyynnöistä ja toimitettava niistä anonymisoidut tilastotiedot, joissa eritellään pyyntöjen määrä ja kokonaan tai osittain hylättyjen pyyntöjen määrä. Tietosuojavastaava määrittelee pyyntökategoriat, joista on pidettävä tilastoja. Tietosuojavastaava voi täsmentää, mitä lisätietoja on annettava.

Tietosuojakoordinaattori pitää pääosaston, yksikön tai kabinetin hallinnoimista henkilötietojen tietoturvaloukkauksista anonymisoituja tilastoja, joissa eritellään henkilötietojen tietoturvaloukkausten kokonaismäärä, Euroopan tietosuojavaltuutetulle ilmoitettujen henkilötietojen tietoturvaloukkausten lukumäärä ja rekisteröidyille ilmoitettujen henkilötietojen tietoturvaloukkausten lukumäärä.

11.   Tietosuojakoordinaattori lisää tietoisuutta tietosuojakysymyksistä pääosastossaan tai yksikössään sekä neuvoo ja avustaa valtuutettuja rekisterinpitäjiä ja operatiivisia rekisterinpitäjiä näiden velvoitteiden noudattamisessa, erityisesti seuraavien osalta:

12.   Tietosuojakoordinaattorit osallistuvat tietosuojakoordinaattoreiden kokouksiin ja tarvittaessa tietosuojakoordinaattoreiden työryhmiin.

13.   Tietosuojavastaava antaa lisäohjeita tietosuojakoordinaattorin velvollisuuksista ja tehtävistä.

1.   Valtuutetut rekisterinpitäjät toimivat rekisterinpitäjänä komission lukuun asetuksen (EU) 2018/1725 soveltamiseksi.

2.   Valtuutetut rekisterinpitäjät ja operatiiviset rekisterinpitäjät

3.   Valtuutettu rekisterinpitäjä

Ensimmäisen alakohdan b alakohdassa tarkoitetuissa järjestelyissä on määritettävä kunkin osapuolen vastuu tietosuojavelvoitteidensa noudattamisesta. Erityisesti on yksilöitävä valtuutettu rekisterinpitäjä, joka määrittää käsittelytoimen keinot ja tarkoitukset, sekä käsittelytoimen operatiivinen rekisterinpitäjä ja tarvittaessa se, kuka henkilö ja/tai mitkä yksiköt avustavat operatiivista rekisterinpitäjää muun muassa tietojen toimittamisessa tietoturvaloukkaustapauksissa tai rekisteröityjen oikeuksien kunnioittamiseen liittyvissä asioissa.

4.   Operatiivinen rekisterinpitäjä

1.   Tietosuojavastaava varmistaa, että komission käsittelytoimista pidettävään rekisteriin on pääsy komission intranetissä olevalta tietosuojavastaavan verkkosivustolta ja Europa-sivustolla olevalta tietosuojavastaavan verkkosivustolta.

2.   Valtuutetut rekisterinpitäjät ilmoittavat tietojenkäsittelytoimistaan tietosuojavastaavalle tietosuojakoordinaattoriensa välityksellä käyttämällä komission online-ilmoitusjärjestelmää, joka on saatavilla tietosuojavastaavan verkkosivuston kautta komission intranetissä.

1.   Tämän päätöksen 6 artiklan e alakohdassa tarkoitetut tutkimista koskevat pyynnöt tehdään kirjallisina ja ne osoitetaan tietosuojavastaavalle. Tietosuojavastaava lähettää 15 työpäivän kuluessa pyynnön vastaanottamisesta vastaanottoilmoituksen tutkimuksen pyytäjälle ja tarkistaa, onko pyyntöä käsiteltävä luottamuksellisena sitä koskevan luottamuksellisuuden varmistamiseksi, elleivät asianomaiset rekisteröidyt anna yksiselitteistä suostumustaan siihen, että pyyntöä käsitellään muulla tavoin. Jos on ilmeistä, että oikeutta tutkimuksen pyytämiseen käytetään väärin, tietosuojavastaava ei ole velvollinen antamaan tutkimuksen pyytäjälle kertomusta.

2.   Tietosuojavastaava pyytää kyseisestä tietojenkäsittelytoimesta vastaavalta valtuutetulta rekisterinpitäjältä kirjallisen lausunnon asiasta. Valtuutettu rekisterinpitäjä toimittaa vastauksensa tietosuojavastaavalle 15 työpäivän kuluessa. Tietosuojavastaava voi pyytää lisätietoja valtuutetulta rekisterinpitäjältä, henkilötietojen käsittelijältä tai muilta osapuolilta 15 työpäivän kuluessa.

3.   Tietosuojavastaava antaa tutkimuksen pyytäjälle kertomuksen viimeistään kolmen kuukauden kuluttua pyynnön vastaanottamisesta. Tätä määräaikaa voidaan jatkaa siihen asti, kun tietosuojavastaava on saanut muut mahdollisesti pyytämänsä tarvittavat tiedot.

4.   Kenellekään ei saa aiheutua haittaa sen vuoksi, että tietosuojavastaavan tietoon on saatettu asia, jossa asetuksen (EU) 2018/1725 säännöksiä väitetään rikotun.

1.   Tietosuojavastaava liitetään hallinnollisesti pääsihteeristön alaisuuteen. Tässä yhteydessä tietosuojavastaava osallistuu pääsihteeristön vuotuisen hallintosuunnitelman ja alustavan talousarvioesityksen laadintaan.

2.   Tietosuojavastaava toimii tietosuojavastaavan toimiston henkilöstön arvioijana. Arvioinnin vahvistajana toimii apulaispääsihteeri. Tietosuojavastaava osallistuu tarvittaessa pääsihteeristön johtamisen koordinointiin.

1.   Hoitaessaan asetuksen (EU) 2018/1725 mukaisiin rekisteröityjen oikeuksiin liittyviä tehtäviään komissio harkitsee, sovelletaanko jotakin mainitussa asetuksessa säädetyistä poikkeuksista.

2.   Jollei tämän päätöksen 14–18 artiklasta muuta johdu, komissio voi rajoittaa asetuksen (EU) 2018/1725 14–17, 19, 20 ja 35 artiklan soveltamista sekä sen 4 artiklan 1 kohdan a alakohdassa mainitun läpinäkyvyysperiaatteen soveltamista, siltä osin kuin sen säännökset vastaavat asetuksen (EU) 2018/1725 14–17, 19 ja 20 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisten oikeuksien ja velvollisuuksien toteuttaminen vaarantaisi tietosuojavastaavan tehtävien tarkoituksen, muun muassa tutkimusvälineiden ja -menetelmien paljastumisen vuoksi, tai vaikuttaisi haitallisesti muiden rekisteröityjen 25 artiklan 1 kohdan c, g ja h alakohdan mukaisiin oikeuksiin ja vapauksiin.

3.   Jollei tämän päätöksen 14–18 artiklasta muuta johdu, komissio voi rajoittaa tämän artiklan 2 kohdassa tarkoitettuja oikeuksia ja velvollisuuksia, jotka koskevat tietosuojavastaavan komission yksiköiltä tai muilta unionin toimielimiltä ja elimiltä saamia henkilötietoja. Komissio voi tehdä näin, kun nämä komission yksiköt, unionin toimielimet tai elimet voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien toteuttamista muiden asetuksen (EU) 2018/1725 25 artiklassa tarkoitettujen säädösten nojalla tai mainitun asetuksen IX luvun tai Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 (6) tai neuvoston asetuksen (EU) 2017/1939 (7) mukaisesti.

Ennen kuin komissio soveltaa rajoituksia ensimmäisessä alakohdassa mainituissa tilanteissa, sen on kuultava asianomaista unionin toimielintä tai elimiä, paitsi jos komissiolle on selvää, että rajoituksen soveltamisesta säädetään jossakin tässä alakohdassa mainituista säädöksistä.

4.   Kaikkien tämän artiklan 2 kohdassa tarkoitettujen, oikeuksien ja velvollisuuksien soveltamista koskevien rajoitusten on oltava tarpeellisia ja oikeasuhteisia ottaen huomioon rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit.

1.   Komissio julkaisee verkkosivustollaan tietosuojaselosteet, joilla tiedotetaan kaikille rekisteröidyille tietosuojavastaavan tehtävistä, joihin liittyy rekisteröityjen henkilötietojen käsittelyä.

2.   Komissio antaa asianmukaisella tavalla erikseen tietoja kaikille luonnollisille henkilöille, joita se katsoo tietosuojavastaavan tehtävien koskevan, tai joita se pitää tiedonantajina.

3.   Jos komissio kokonaan tai osittain rajoittaa 2 kohdassa tarkoitettujen tietojen antamista rekisteröidyille, se kirjaa ja rekisteröi rajoituksen syyt 17 artiklan mukaisesti.

1.   Kun komissio kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta saada pääsy henkilötietoihin, 19 artiklassa tarkoitettua oikeutta saada tiedot poistetuksi tai 20 artiklassa tarkoitettua oikeutta rajoittaa tietojen käsittelyä, se ilmoittaa tietoihin pääsyä, tietojen poistamista tai käsittelyn rajoittamista koskevaan asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

2.   Edellä 1 kohdassa tarkoitetun rajoituksen syitä koskevaa ilmoitusta voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se vaarantaisi rajoituksen tarkoituksen.

3.   Komission on kirjattava ja rekisteröitävä rajoituksen syyt 17 artiklan mukaisesti.

4.   Jos oikeutta saada pääsy tietoihin rajoitetaan kokonaan tai osittain, rekisteröity voi käyttää oikeuttaan saada pääsy tietoihin Euroopan tietosuojavaltuutetun välityksellä asetuksen (EU) 2018/1725 25 artiklan 6, 7 ja 8 kohdan mukaisesti.

1.   Komissio kirjaa kaikkien tämän päätöksen nojalla sovellettavien rajoitusten syyt sekä tapauskohtaiset arviot rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta, ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa esitetyt asiaan liittyvät näkökohdat.

Kirjatuissa tiedoissa on tällöin ilmoitettava, miten oikeuksien käyttäminen vaarantaisi tämän päätöksen mukaisten tietosuojavastaavan tehtävien tai 13 artiklan 2 tai 3 kohdan nojalla sovellettujen rajoitusten tarkoituksen tai vaikuttaisi haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.

2.   Kirjaus ja tarvittaessa asiakirjat, joista käyvät ilmi perusteena olevat seikat tai oikeudelliset syyt, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

1.   Edellä 14, 15 ja 16 artiklassa tarkoitettujen rajoitusten soveltamista jatketaan niin kauan kuin niiden perusteena olevat syyt ovat voimassa.

2.   Kun 14 tai 16 artiklassa mainitut rajoituksen syyt eivät ole enää voimassa, komission on poistettava rajoitus ja ilmoitettava rajoituksen syyt rekisteröidylle. Komission on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

3.   Komissio tarkastelee 14 ja 16 artiklassa tarkoitettujen rajoitusten soveltamista uudelleen kuuden kuukauden välein niiden käyttöön ottamisesta alkaen sekä asianomaisen tietosuojavastaavan käsittelytoimen päättämisen yhteydessä. Tämän jälkeen komissio seuraa vuosittain, onko rajoitus tai lykkäys tarpeen pitää voimassa.

1.   Jos muut komission yksiköt katsovat, että rekisteröidyn oikeuksia on rajoitettava tämän päätöksen nojalla, niiden on ilmoitettava asiasta tietosuojavastaavalle. Tietosuojavastaavalle on myös annettava pääsy kirjattuihin tietoihin ja kaikkiin asiakirjoihin, joista perusteena olevat seikat ja oikeudelliset syyt käyvät ilmi.

2.   Tietosuojavastaava voi pyytää asianomaisen komission yksikön valtuutettua rekisterinpitäjää tarkastelemaan rajoitusten soveltamista uudelleen. Asianomaisen komission yksikön valtuutetun rekisterinpitäjän on ilmoitettava kirjallisesti tietosuojavastaavalle pyydetyn uudelleentarkastelun tuloksista.