(1)

Euroopan keskuspankki (EKP) hoitaa tehtäviään perussopimusten mukaisesti.

(2)

Euroopan keskuspankin päätöksessä (EU) 2020/655 (EKP/2020/28) (2) vahvistetaan asetuksen (EU) 2018/1725 45 artiklan 3 kohdan mukaisesti yleiset säännöt siitä, miten asetus (EU) 2018/1725 pannaan täytäntöön EKP:ssä. Siinä täsmennetään erityisesti säännöt, jotka koskevat EKP:n tietosuojavastaavan nimittämistä ja roolia, mukaan lukien tietosuojavastaavan tehtävät, velvollisuudet ja toimivaltuudet.

(3)

Kun EKP hoitaa sille annettuja tehtäviä, EKP ja erityisesti sen asianomainen organisaatioyksikkö toimii rekisterinpitäjänä sikäli kuin se määrittää yksin tai yhdessä muiden kanssa henkilötietojen käsittelyn tarkoitukset ja keinot.

(4)

EKP:n sisäisen toiminnan yhteydessä EKP:n eri yksiköille (kuten henkilöstöhallinnon pääosastolle (DG/HR), compliance- ja hallintotapayksikölle (CGO), sisäisen tarkastuksen osastolle (D/IA) ja oikeudellisten palvelujen pääosastolle (DG/L)) on annettu EKP:n työsuhteita koskevasta säädöskehyksestä johtuvia tehtäviä, joihin kuuluu henkilötietojen käsittelyä. Tällaisiin tehtäviin voivat kuulua esimerkiksi työhön liittyvien velvoitteiden mahdollisten rikkomisten johdosta suoritettavat toimet (mukaan lukien sopimattomaan käytökseen liittyvät tutkimukset arvokkuutta työpaikalla koskevien EKP:n periaatteiden mukaisesti sekä jatkotoimet minkä tahansa kanavan, esimerkiksi väärinkäytösten ilmoitusalustan, kautta tehdyistä ilmoituksista, jotka koskevat laitonta toimintaa tai työhön liittyvien velvoitteiden rikkomista); valintamenettelyihin liittyvät toimet; henkilöstöhallinnon pääosaston toimet sille annetuissa tehtävissä, jotka liittyvät suorituskyvyn hallintaan, ylennyksiin, EKP:n henkilöstön suoriin nimityksiin, ammatilliseen kehitykseen, mukaan lukien taitojen mittaaminen yksiköiden sisällä ja yksiköiden välillä, palkankorotuksiin ja bonuksiin sekä päätöksiin sisäisistä siirroista ja vapaista; EKP:n henkilöstön tekemien sisäisten valitusten tutkiminen (esimerkiksi hallinnollisen uudelleenkäsittelyn, sisäisten valitusmenettelyjen tai erityisten valitusmenettelyjen ja työterveyskomitean kautta) ja niiden jatkotoimet; compliance- ja hallintotapayksikön neuvoa-antavat tehtävät (EKP:n henkilöstöä koskevien palvelussuhteen ehtojen 0 osaan sisältyvien) EKP:n eettisten sääntöjen mukaan sekä compliance- ja hallintotapayksikön tehtävät, jotka liittyvät yksityisiä rahoitustoimia koskevien sääntöjen noudattamisen valvontaan (mukaan lukien yhteistyö sellaisen mahdollisen ulkoisen palveluntarjoajan kanssa, joka on nimetty EKP:n henkilöstöä koskevien palvelussuhteen ehtojen 0.4.3.3 artiklan mukaisesti); ja sisäisen tarkastuksen osaston tekemät tarkastukset ja sisäisistä hallinnollisista tutkimuksista annetun hallinnollisen yleisohjeen 01/2006 (3) mukaiset tehtävät sellaisten tutkintatehtävien ja hallinnollisten tiedustelujen yhteydessä, joihin voi liittyä mahdollinen EKP:n henkilöstöä koskeva kurinpidollinen ulottuvuus (mukaan lukien tutkimusta suorittavien henkilöiden tehtävät tai tutkimuspaneelin jäsenten tehtävät, joihin kuuluu todisteiden kerääminen ja olennaisten tosiseikkojen selvittäminen).

(5)

Euroopan keskuspankin päätöksen (EU) 2016/456 (EKP/2016/3) (4) mukaan EKP:n on toimitettava Euroopan petostentorjuntavirastolle tämän pyynnöstä tai omasta aloitteestaan EKP:n hallussa olevat tiedot, jotka antavat aiheen epäillä, että on tapahtunut petos, lahjontaa tai unionin taloudellisia etuja vahingoittavaa muuta laitonta toimintaa. Päätöksessä (EU) 2016/456 (EKP/2016/3) säädetään, että tällaisessa tapauksessa asianomaisille ilmoitetaan asiasta viipymättä sillä edellytyksellä, ettei siitä aiheudu haittaa tutkinnalle, ja että nimeltä mainittua asianomaista koskevia päätelmiä ei missään tapauksessa saa tehdä ilman, että asianomaiselle on annettu tilaisuus tulla kuulluksi kaikista häntä koskevista seikoista, myös häntä vastaan esitetystä näytöstä.

(6)

Päätöksen (EU) 2020/655 (EKP/2020/28) 4 artiklan b alakohdan mukaan tietosuojavastaavan on tutkittava tietosuojaan liittyvät seikat ja tapaukset omasta aloitteestaan tai EKP:n pyynnöstä.

(7)

Hallinto-osaston turvapalvelujen toimisto vastaa tutkimusten suorittamisesta henkilöiden, tilojen ja omaisuuden fyysisen turvallisuuden varmistamiseksi EKP:ssä, uhkatiedustelutietojen keräämisestä ja turvallisuushäiriöihin liittyvien analyysien laatimisesta.

(8)

EKP:llä on velvollisuus tehdä lojaalia yhteistyötä kansallisten viranomaisten, myös kansallisten syyttäjäviranomaisten, kanssa. EKP voi erityisesti Euroopan keskuspankin päätöksen (EU) 2016/1162 (EKP/2016/19) (5) nojalla antaa kansallisen rikostutkintaviranomaisen pyynnöstä hallussaan olevia luottamuksellisia tietoja, jotka liittyvät EKP:lle neuvoston asetuksella (EU) N:o 1024/2013 (6) annettuihin tehtäviin tai EKPJ:hin/eurojärjestelmään liittyviin muihin tehtäviin, kansalliselle toimivaltaiselle viranomaiselle tai kansalliselle keskuspankille, jotta nämä voivat luovuttaa tiedot kyseessä olevalle kansalliselle rikostutkintaviranomaiselle tietyin edellytyksin.

(9)

Neuvoston asetuksen (EU) 2017/1939 (7) mukaan EKP:n on toimitettava viipymättä kaikki tiedot Euroopan syyttäjänvirastolle (EPPO), jos havaitaan epäilty rikos sen toimivaltaan kuuluvalla alalla.

(10)

EKP:n on tehtävä yhteistyötä sellaisia valvonta- tai tarkastustehtäviä, joiden kohteena EKP on, hoitavien EU:n elinten, kuten Euroopan tietosuojavaltuutetun, Euroopan tilintarkastustuomioistuimen ja Euroopan oikeusasiamiehen, kanssa niiden hoitaessa tehtäviään. Tässä yhteydessä EKP voi käsitellä henkilötietoja voidakseen vastata tällaisten elinten pyyntöihin, kuulla niitä ja antaa niille tietoja.

(11)

EKP:n sisäisen riitojenratkaisukehyksen mukaan EKP:n henkilöstö voi milloin tahansa ja millä tahansa tavalla pyytää sovittelijalta apua työhön liittyvän riidan ratkaisemisessa tai estämisessä. Tässä kehyksessä säädetään, että kaikki yhteydenpito sovittelijan kanssa on luottamuksellista. Kaikkia sovittelumenettelyn aikana mainittuja seikkoja kohdellaan luottamuksellisina, ja kullakin sovitteluun osallistuvalla osapuolella on lupa käyttää näitä tietoja ainoastaan sovittelumenettelyä varten, sanotun kuitenkaan rajoittamatta mahdollisia oikeudenkäyntejä. Sovittelija voi poikkeuksellisesti luovuttaa tietoja, jos niiden luovuttaminen vaikuttaa tarpeelliselta sellaisen välittömän vaaran estämiseksi, joka voi aiheuttaa henkilön fyysiseen tai henkiseen koskemattomuuteen kohdistuvan vakavan haitan.

(12)

EKP pyrkii neuvontapalveluja tarjoamalla tukemaan henkilöstöään ja turvaamaan näin työolot, jotka suojaavat henkilöstön terveyttä ja turvallisuutta ja tukevat arvokkuutta työpaikalla. EKP:n henkilöstö voi pyytää työhyvinvointineuvojan palveluja kaikenlaisissa kysymyksissä, kuten emotionaalisissa, henkilökohtaisissa ja työhön liittyvissä kysymyksissä. Työhyvinvointineuvojalla ei ole oikeutta tutustua EKP:n henkilöstön henkilökansioihin, ellei kyseessä oleva henkilö ole antanut siihen nimenomaista lupaa. Mitään tietoja tai yksittäisen henkilön työhyvinvointineuvojalle antamia lausumia ei saa luovuttaa, ellei kyseinen henkilö ole nimenomaisesti antanut siihen lupaa tai ellei laissa sitä edellytetä.

(13)

EKP käsittelee sisäisen toimintansa yhteydessä useisiin luokkiin kuuluvia tietoja, jotka voivat liittyä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Tämän päätökseen liitteissä on ei-tyhjentävä luettelo niistä henkilötietojen luokista, joita EKP käsittelee sisäisen toimintansa yhteydessä. Henkilötiedot voivat myös olla osa arviointia, johon sisältyy tutkittavaan asiaan liittyvän, vastuussa olevan yksikön suorittama arviointi, kuten esimerkiksi henkilöstöhallinnon pääosaston, oikeudellisten palvelujen pääosaston, sisäisen tarkastuksen osaston tai kurinpitolautakunnan tai tutkinnasta vastaavan ryhmän arvio siitä, onko työtehtäviin liittyviä velvoitteita rikottu.

(14)

Johdanto-osan 4–13 perustelukappaleessa tarkoitetuissa tapauksissa on aiheellista täsmentää perusteet, joiden nojalla EKP voi rajoittaa rekisteröityjen oikeuksia.

(15)

EKP:n pyrkii tehtäviään hoitaessaan toteuttamaan unionin yleisen edun mukaisia tärkeitä tavoitteita. Sen vuoksi näiden tehtävien suorittaminen olisi taattava asetuksessa (EU) 2018/1725 ja erityisesti 25 artiklan 1 kohdan b, c, d, f, g ja h alakohdassa täsmennetyllä tavalla.

(16)

Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan mukaisesti kyseisen asetuksen 14–22, 35 ja 36 artiklan soveltamista sekä 4 artiklan soveltamista, siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, koskevat rajoitukset olisi vahvistettava sisäisissä säännöissä tai perussopimusten perusteella annetuissa säädöksissä. EKP:n olisi näin ollen vahvistettava säännöt, joiden nojalla se voi rajoittaa rekisteröityjen oikeuksia suorittaessaan tehtäviään.

(17)

EKP:n olisi perusteltava, miksi tällaiset rekisteröityjen oikeuksien rajoitukset ovat ehdottoman välttämättömiä ja oikeasuhteisia demokraattisessa yhteiskunnassa, jotta voidaan taata EKP:lle kuuluvan julkisen vallan käyttöä ja siihen liittyviä tehtäviä koskevat tavoitteet, sekä täsmennettävä se, miten EKP kunnioittaa keskeisiltä osin perusoikeuksia ja -vapauksia asettaessaan tällaisia rajoituksia.

(18)

Tässä kehikossa EKP:n on kunnioitettava mahdollisimman suuressa määrin rekisteröityjen perusoikeuksia, erityisesti siltä osin kuin ne liittyvät oikeuteen saada tietoja, tutustua tietoihin ja oikaista niitä, oikeuteen poistaa tiedot, oikeuteen rajoittaa käsittelyä, oikeuteen saada ilmoitus henkilötietojen tietoturvaloukkauksesta tai viestinnän luottamuksellisuuteen, kuten asetuksessa (EU) 2018/1725 säädetään.

(19)

EKP:llä voi kuitenkin olla velvollisuus rajoittaa rekisteröidyille annettavia tietoja ja muiden rekisteröityjen oikeuksia turvatakseen tehtäviensä suorittamisen, etenkin mitä tulee sen omiin tutkimuksiin ja menettelyihin, muiden viranomaisten tutkimuksiin ja menettelyihin sekä henkilöiden perusoikeuksiin ja -vapauksiin sen tutkimusten tai muiden menettelyjen yhteydessä.

(20)

EKP:n olisi poistettava jo sovellettu rajoitus siltä osin kuin sitä ei enää tarvita.

(21)

Tietosuojavastaavan olisi tarkasteltava rajoitusten soveltamista tämän päätöksen ja asetuksen (EU) 2018/1725 noudattamisen varmistamiseksi.

(22)

Tässä päätöksessä vahvistetaan säännöt, joiden nojalla EKP voi rajoittaa rekisteröityjen oikeuksia käsitellessään henkilötietoja sisäisten toimintansa yhteydessä, ja lisäksi EKP:n johtokunta on hyväksynyt erillisen päätöksen, jossa hyväksytään sisäiset säännöt näiden oikeuksien rajoittamiseksi sille osoitettujen valvontatehtävien suorittamisen yhteydessä.

(23)

EKP voi olla mahdollisuus soveltaa asetuksen (EU) 2018/1725 mukaista poikkeusta, jolloin rajoitusten harkitseminen ei ole tarpeen, mukaan lukien ja erityisesti kyseisen asetuksen 15 artiklan 4 kohdassa, 16 artiklan 5 kohdassa, 19 artiklan 3 kohdassa ja 35 artiklan 3 kohdassa säädetyt rajoitukset.

(24)

Poikkeuksista asetuksen (EU) 2018/1725 17, 18, 20, 21, 22 ja 23 artiklassa tarkoitettuihin rekisteröityjen oikeuksiin yleisen edun mukaisia arkistointitarkoituksia varten voidaan säätää EKP:n arkistoinnin osalta sisäisissä säännöissä tai perussopimusten perusteella annetuissa säädöksissä, jollei asetuksen (EU) 2018/1725 25 artiklan 4 kohdan mukaisista edellytyksistä ja suojatoimista muuta johdu.

(25)

Euroopan tietosuojavaltuutettua on kuultu asetuksen (EU) 2018/1725 41 artiklan 2 kohdan mukaisesti, ja hän on antanut lausuntonsa 12 päivänä maaliskuuta 2021.

(26)

Henkilöstökomiteaa on kuultu,

1)

’käsittelyllä’ asetuksen (EU) 2018/1725 3 artiklan 3 alakohdassa määriteltyä käsittelyä,

2)

’henkilötiedoilla’ asetuksen (EU) 2018/1725 3 artiklan 1 alakohdassa määriteltyjä henkilötietoja,

3)

’rekisteröidyllä’ tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä; henkilö on tunnistettavissa, jos hänet voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, sähköisen tunnisteen tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella,

4)

’keskusrekisterillä’ päätöksen (EU) 2020/655 (EKP/2020/28) 9 artiklassa tarkoitettua EKP:n tietosuojavastaavan ylläpitämää julkisesti saatavilla olevaa rekisteriä kaikista EKP:ssä suoritetuista henkilötietojen käsittelytoimista;

5)

’rekisterinpitäjällä’ EKP:tä ja erityisesti EKP:n asianomaista organisaatioyksikköä, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot ja joka on vastuussa tietojen käsittelytoimista;

6)

’unionin toimielimillä ja elimillä’ asetuksen (EU) 2018/1725 3 artiklan 10 alakohdassa määriteltyjä unionin toimielimiä ja elimiä.

a)

rekisterinpitäjän on täsmennettävä oikeudet, joita voidaan rajoittaa, sekä rajoituksen syyt ja mahdollinen kesto;

b)

rekisterinpitäjän on sisällytettävä a alakohdassa tarkoitetut tiedot tietosuojaa koskeviin ilmoituksiinsa, tietosuojaselosteisiinsa ja asetuksen (EU) 2018/1725 31 artiklassa tarkoitettuun käsittelytoimia koskevaan selosteeseen.