Euroopan unionin
virallinen lehti
FI
L-sarja
|
|
Euroopan unionin |
FI L-sarja |
|
2025/628 |
1.4.2025 |
KOMISSION PÄÄTÖS (EU) 2025/628,
annettu 31 päivänä maaliskuuta 2025,
sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta asetuksen (EU) 2022/2065 mukaiseen valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyvän komission suorittaman henkilötietojen käsittelyn yhteydessä
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1) ja erityisesti sen 25 artiklan,
sekä katsoo seuraavaa:
|
(1) |
Komissio suorittaa tutkimuksia valvoakseen Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2065 (2) vahvistettujen sääntöjen soveltamista erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajiin. Tätä varten se käyttää komissiolle asetuksella (EU) 2022/2065 siirrettyjä valvontaa, tutkintaa, täytäntöönpanon valvontaa ja seurantaa koskevia valtuuksia. |
|
(2) |
Asetuksen (EU) 2022/2065 mukaisista komission tehtävistä vastaa komission viestintäverkkojen, sisältöjen ja teknologian pääosasto. |
|
(3) |
Kun komissio suorittaa asetuksen (EU) 2022/2065 mukaisia valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyviä tehtäviään, se käsittelee tietoja. Näihin tietoihin voi sisältyä luonnollisten henkilöiden, kuten yrityksen yksittäisten työntekijöiden (esimerkiksi sääntöjen noudattamisen valvontatoiminnon johtajan tai keskitetyn yhteyspisteen), epäiltyjen, uhrien, väärinkäytösten paljastajien, vihjeenantajien ja todistajien sekä muiden sellaisten luonnollisten henkilöiden henkilötietoja, joiden henkilötietoja sisältyy asiakirjoihin, jotka on saatu asetuksen (EU) 2022/2065 mukaisten valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyvien komission tehtävien yhteydessä. |
|
(4) |
Asetuksen (EU) 2018/1725 3 artiklan 3 kohdassa tarkoitettu henkilötietojen käsittely, jota tehdään asetuksen (EU) 2022/2065 mukaisen tutkinnan ja täytäntöönpanon valvonnan yhteydessä, saattaa alkaa jo ennen kuin komissio virallisesti aloittaa asetuksen (EU) 2022/2065 66 artiklan mukaisen menettelyn ja jatkua koko tutkimuksen ajan sekä mahdollisesti vielä sen muodollisen päättämisen jälkeenkin (esimerkiksi vaatimustenmukaisuuden seuranta- tai valvontatoimia varten tai uusien tutkimustoimien tai oikeudellisten menettelyjen aloittamistarpeen arviointia varten). |
|
(5) |
Jotta komissio voi täyttää asetuksen (EU) 2022/2065 mukaiset tehtävänsä, se käsittelee useita henkilötietoryhmiä, kuten tunnistetietoja, yhteystietoja, asiaan osallisuutta koskevia tietoja, käsiteltävään asiaan liittyviä tietoja ja muita tietoja, joita pidetään tarpeellisina. Vaikka se on epätodennäköistä, käsiteltäviin henkilötietoryhmiin voi kuulua myös asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettuja erityisiä henkilötietoryhmiä, mikäli tähän on jokin kyseisen asetuksen 10 artiklan 2 tai 3 kohdassa mainittu peruste, sekä asetuksen (EU) 2018/1725 11 artiklassa tarkoitettuja rikostuomioihin ja rikoksiin liittyviä henkilötietoja. Komissio on asetuksen (EU) 2022/2065 mukaisia tehtäviään hoitaessaan velvollinen kunnioittamaan henkilötietojen käsittelyyn liittyviä luonnollisten henkilöiden oikeuksia, jotka tunnustetaan Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdassa ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdassa, sekä asetuksessa (EU) 2018/1725 vahvistettuja oikeuksia. Samalla komission tulee asetuksen (EU) 2022/2065 mukaisissa toimissaan noudattaa sen 84 artiklassa tarkoitettuja tiukkoja luottamuksellisuus- ja salassapitosääntöjä. |
|
(6) |
Tietyissä olosuhteissa on tarpeen sovittaa yhteen asetuksen (EU) 2018/1725 mukaiset rekisteröityjen oikeudet ja asetuksen (EU) 2022/2065 mukaisten valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyvien komission tehtävien tuloksellinen hoitaminen varmistaen samalla, että muiden rekisteröityjen perusoikeuksia ja -vapauksia kunnioitetaan kaikilta osin. Tämän vuoksi asetuksen (EU) 2018/1725 25 artiklan 1 kohdassa säädetään komission mahdollisuudesta tietyin edellytyksin rajoittaa asetuksen (EU) 2018/1725 14–22, 35 ja 36 artiklan sekä sen 4 artiklan soveltamista siltä osin kuin sen säännökset vastaavat asetuksen (EU) 2018/1725 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia. |
|
(7) |
Tietyissä olosuhteissa on tarpeen sovittaa yhteen rekisteröityjen oikeudet ja tarve turvata asetuksen (EU) 2022/2065 nojalla suoritettavan valvonnan, tutkinnan, täytäntöönpanon valvonnan ja seurannan tavoitteet, sillä kyse on asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c alakohdassa tarkoitetusta unionin yleiseen julkiseen etuun liittyvästä tärkeästä tavoitteesta. Komissio voi soveltaa rajoituksia esimerkiksi silloin, kun kyseisten oikeuksien käyttäminen vaikuttaisi vakavasti sen kykyyn suorittaa tutkimus tuloksellisesti ja näin estäisi tutkimuksen tavoitteen saavuttamisen. Tällaisissa tapauksissa on olemassa vaara, että tutkimuksen aikana tuhotaan todisteita tai pyritään vaikuttamaan keskeisiin toimijoihin (kuten todistajiin). |
|
(8) |
Tietyissä olosuhteissa on tarpeen punnita keskenään yhtäältä rekisteröityjen oikeuksia ja toisaalta muiden asianomaisten henkilöiden, kuten uhrien tai todistajien, perusoikeuksia ja -vapauksia. Tällaisissa tapauksissa komissio voi päättää rajoittaa oikeutta tutustua tällaisten henkilöiden henkilöllisyyteen, heidän lausuntoihinsa tai muihin henkilötietoihinsa kyseisten henkilöiden oikeuksien ja vapauksien suojaamiseksi asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohdan nojalla. Komissio voi päättää tehdä niin erityisesti näiden henkilöiden suojelemiseksi mahdollisilta vastatoimilta. |
|
(9) |
On tarpeen suojata luottamukselliset tiedot, jotka koskevat vihjeenantajaa, väärinkäytösten paljastajaa tai muuta luonnollista henkilöä, joka on toimittanut komissiolle tietoja sen suorittaessa asetuksen (EU) 2022/2065 mukaiseen valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyviä tehtäviään. Komission olisi rajoitettava oikeutta tutustua tällaisten henkilöiden henkilöllisyyteen, heidän lausuntoihinsa ja muihin henkilötietoihinsa kaikkien asianomaisten henkilöiden oikeuksien ja vapauksien suojelemiseksi asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohdan nojalla. Komissio voi paljastaa tällaisen ilmoittavan henkilön henkilöllisyyden vain hänen luvallaan. Komission olisi kuitenkin paljastettava tämän henkilön henkilöllisyys, jos laki tai oikeusviranomainen sitä edellyttää. Jos rekisteröity pyytää saada pääsyn henkilötietoihinsa, hänelle olisi annettava pääsy tällaisiin henkilötietoihin, myös niihin, jotka ilmoittava henkilö on ilmoittanut. Tietojen luottamuksellisuuden suojaamiseksi komission ei tulisi ilmoittaa rekisteröidylle ilmoittavan henkilön nimeä tai muitakaan tietoja, joiden perusteella tämä voitaisiin tunnistaa suoraan tai välillisesti. |
|
(10) |
Jotta voidaan varmistaa asetuksen (EU) 2022/2065 tehokas soveltaminen erityisesti komission ja jäsenvaltioiden välisen yhteistyön osalta, komissio saattaa myös rajoittaa rekisteröityjen oikeuksien soveltamista ja näin turvata asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c alakohdassa tarkoitetun unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvän tärkeän tavoitteen. Komissio saattaa tehdä näin tilanteessa, jossa jäsenvaltion viranomaisen toteuttaman rajoituksen tarkoitus vaarantuisi, jos komissio ei soveltaisi vastaavaa rajoitusta samoihin henkilötietoihin. Komissio saattaa asetuksen (EU) 2022/2065 tehokkaan soveltamisen varmistamiseksi soveltaa asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b alakohdan mukaisesti rajoituksia myös rikosten ennalta estämisen, tutkinnan, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon turvaamiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy. Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c alakohtaan perustuvia rajoituksia soveltaessaan komission olisi kuultava jäsenvaltiota, jota asianomainen yleiseen julkiseen etuun liittyvä tärkeä tavoite koskee, mahdollisista rajoitusten asettamisen syistä sekä kyseisten rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta, ellei tämä vaaranna komission toimintaa. Komissio saattaa asetuksen (EU) 2018/1725 25 artiklan 1 kohdan g alakohdan nojalla päättää rajoittaa rekisteröityjen oikeuksien soveltamista sellaisen valvonta-, tarkastus- tai sääntelytehtävän turvaamiseksi, joka satunnaisestikin liittyy julkisen vallan käyttöön edellä mainituissa ja asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b ja c alakohdassa tarkoitetuissa tapauksissa. |
|
(11) |
Komission olisi sovellettava rajoituksia vain, jos ne ovat perusoikeuskirjassa vahvistettujen perusoikeuksien ja -vapauksien mukaisia sekä ehdottoman välttämättömiä ja oikeasuhteisia demokraattisessa yhteiskunnassa. Komission olisi perusteltava tällaiset rajoitukset. |
|
(12) |
Asetuksen (EU) 2018/1725 25 artiklan 6 kohdassa rekisterinpitäjä velvoitetaan ilmoittamaan rekisteröidyille pääasialliset syyt rajoituksen soveltamiseen sekä se, että heillä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle. |
|
(13) |
Komissio voi asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla lykätä rajoituksen soveltamisen pääasiallisten syiden ilmoittamista rekisteröidylle, jättää sen tekemättä tai evätä sen, jos tietojen antaminen poistaisi rajoituksen vaikutuksen. Komissio arvioi tapauskohtaisesti, poistaisiko rajoituksesta ilmoittaminen rajoituksen vaikutuksen. |
|
(14) |
Komission olisi poistettava rajoitus heti, kun sen edellytykset eivät enää täyty, ja arvioitava näitä edellytyksiä säännöllisesti. |
|
(15) |
Asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan noudattamiseksi komission olisi tiedotettava kaikille rekisteröidyille verkkosivustollaan julkaistavilla tietosuojaselosteilla läpinäkyvästi ja johdonmukaisesti henkilötietojen käsittelyä koskevista toimistaan ja rekisteröityjen oikeuksista. Komission olisi tiedotettava henkilötietojen käsittelystä henkilökohtaisesti ja asianmukaisin keinoin väärinkäytösten paljastajille, vihjeenantajille, todistajille ja tapauksen mukaan yrityksen yksittäisille työntekijöille (esimerkiksi sääntöjen noudattamisen valvontatoiminnon johtajalle tai keskitetylle yhteyspisteelle). |
|
(16) |
Asetuksen (EU) 2018/1725 16 artiklan 5 kohdassa säädetään rekisteröityjen tiedonsaantioikeutta koskevista poikkeuksista. Jos kyseisiä poikkeuksia sovelletaan, komission ei tarvitse rajoittaa tiedonsaantioikeutta tämän päätöksen mukaisesti. Asetuksen (EU) 2018/1725 16 artiklan 5 kohdan b alakohdan mukaisia poikkeuksia sovelletaan, jos kyseisen asetuksen 16 artiklan 1–4 kohdassa tarkoitettujen tietojen antaminen osoittautuisi mahdottomaksi, vaatisi kohtuutonta vaivaa tai todennäköisesti estäisi kyseisen käsittelyn tavoitteiden saavuttamisen tai vaikeuttaisi sitä suuresti. Tapauksissa, joissa asetuksen (EU) 2022/2065 mukaisen valvonnan, tutkinnan, täytäntöönpanon valvonnan ja seurannan yhteydessä kerättyihin asiakirjoihin sisältyy sellaisten rekisteröityjen henkilötietoja, jotka eivät liity tutkimukseen ja jotka eivät kuulu niihin rekisteröityihin, joille asiasta on tiedotettu henkilökohtaisesti, tällaisten tietojen antaminen voisi osoittautua mahdottomaksi tai vaatia kohtuutonta vaivaa. Näin voi olla silloin, kun komissio saa henkilötietoja väärinkäytösten paljastajan tekemän ilmoituksen yhteydessä tai suorittaessaan seurantaa asetuksen (EU) 2022/2065 tehokkaan täytäntöönpanon ja sen noudattamisen varmistamiseksi. Asetuksen (EU) 2018/1725 16 artiklan 5 kohdan b alakohdan mukaisia poikkeuksia voidaan soveltaa myös silloin, kun tällaisten tietojen antaminen käsiteltävään asiaan liittyville epäillyille ja uhreille todennäköisesti estäisi kyseisen käsittelyn tavoitteiden saavuttamisen tai vaikeuttaisi sitä suuresti. |
|
(17) |
Komission olisi läpinäkyvyyden, oikeudenmukaisuuden ja vastuuvelvollisuuden periaatteiden mukaisesti käsiteltävä kaikki poikkeukset ja rajoitukset avoimesti ja pidettävä kirjaa kyseisten poikkeusten ja rajoitusten soveltamisesta. |
|
(18) |
Komission olisi rekisteröityjen oikeuksien ja vapauksien suojan takaamiseksi ja asetuksen (EU) 2018/1725 44 artiklan 1 kohdan mukaisesti huolehdittava, että viestintäverkkojen, sisältöjen ja teknologian pääosaston tietosuojakoordinaattori ja komission tietosuojavastaava osallistuvat rajoitusten soveltamista koskevaan menettelyyn koko sen keston ajan, ja dokumentoitava saadut lausunnot. Tietosuojakoordinaattoria olisi kuultava hyvissä ajoin mahdollisesti sovellettavista rajoituksista, ja hänen olisi varmistettava, että ne ovat tämän päätöksen mukaisia. |
|
(19) |
Komission tietosuojavastaavan olisi tehtävä riippumaton uudelleentarkastelu rajoitusten soveltamisesta, jotta voidaan varmistaa tämän päätöksen noudattaminen. |
|
(20) |
Euroopan tietosuojavaltuutettua on kuultu, ja hän on antanut lausunnon 22 päivänä lokakuuta 2024, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Kohde
1. Tässä päätöksessä vahvistetaan säännöt, joita komissio noudattaa ilmoittaakseen rekisteröidyille heidän henkilötietojensa käsittelystä asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan mukaisesti, kun se hoitaa asetuksen (EU) 2022/2065 mukaiseen valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyviä tehtäviään.
2. Tässä päätöksessä vahvistetaan myös edellytykset, joiden täyttyessä komissio voi rajoittaa asetuksen (EU) 2018/1725 4, 14–20 ja 35 artiklan soveltamista mainitun asetuksen 25 artiklan 1 kohdan b, c, g ja h alakohdan mukaisesti.
2 artikla
Soveltamisala
1. Tätä päätöstä sovelletaan komission suorittamaan henkilötietojen käsittelyyn, joka koskee seuraavia rekisteröityjen ryhmiä:
|
a) |
epäillyt, |
|
b) |
uhrit, |
|
c) |
väärinkäytösten paljastajat, |
|
d) |
vihjeenantajat, |
|
e) |
todistajat, |
|
f) |
yrityksen työntekijät, |
|
g) |
luonnolliset henkilöt, joiden henkilötietoja sisältyy asetuksen (EU) 2022/2065 mukaisen valvonnan, tutkinnan, täytäntöönpanon valvonnan ja seurannan yhteydessä kerättyihin asiakirjoihin tai muihin materiaaleihin. |
2. Tätä päätöstä sovelletaan henkilötietojen käsittelyyn, joka koskee seuraavia henkilötietoryhmiä:
|
a) |
tunnistetiedot, |
|
b) |
yhteystiedot, |
|
c) |
asiaan osallisuutta koskevat tiedot, |
|
d) |
käsiteltävään asiaan liittyvät tiedot, |
|
e) |
kaikki muut tiedot, joita pidetään tarpeellisina asetuksen (EU) 2022/2065 vaatimusten täyttämiseksi, mukaan lukien asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa ja 11 artiklassa tarkoitetut henkilötiedot. |
3 artikla
Rajoitukset
1. Jollei tämän päätöksen 3–8 artiklasta muuta johdu, komissio voi rajoittaa asetuksen (EU) 2018/1725 14–20 ja 35 artiklan soveltamista sekä kyseisen asetuksen 4 artiklan 1 kohdan a alakohdassa tarkoitetun läpinäkyvyyden periaatteen soveltamista siltä osin kuin sen säännökset vastaavat asetuksen (EU) 2018/1725 14–20 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos
|
a) |
näiden oikeuksien käyttäminen vaarantaisi asetuksen (EU) 2022/2065 mukaisten valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyvien komission toimien tarkoituksen ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c ja g alakohta; |
|
b) |
näiden oikeuksien ja velvollisuuksien käyttäminen vaikuttaisi haitallisesti asetuksen (EU) 2018/1725 25 artiklan 1 kohdan h alakohdan mukaiseen rekisteröidyn suojeluun tai muille kuuluviin oikeuksiin ja vapauksiin; |
|
c) |
näiden oikeuksien ja velvollisuuksien käyttäminen voisi vaarantaa komission jäsenvaltioiden kanssa tekemän yhteistyön asetuksen (EU) 2022/2065 tehokkaan soveltamisen varmistamiseksi ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b ja g alakohta. |
2. Ennen kuin komissio soveltaa rajoituksia 1 kohdan c alakohdassa tarkoitetuissa olosuhteissa, se kuulee asianomaisia jäsenvaltioita mahdollisista rajoitusten asettamisen syistä sekä kyseisten rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta, ellei tämä vaaranna komission toimintaa.
3. Tämän artiklan 1 ja 2 kohta eivät rajoita sellaisten muiden komission päätösten soveltamista, joissa vahvistetaan sisäiset säännöt tietojen antamisesta rekisteröidyille ja tiettyjen oikeuksien rajoittamisesta asetuksen (EU) 2018/1725 25 artiklan nojalla.
4. Ennen 1 kohdassa tarkoitettujen rajoitusten soveltamista komissio arvioi tapauskohtaisesti niiden tarpeellisuutta ja oikeasuhteisuutta ja dokumentoi tämän arvioinnin. Kyseiset rajoitukset on rajoitettava siihen, mikä on ehdottoman välttämätöntä niiden tavoitteen saavuttamiseksi.
4 artikla
Tietojen antaminen rekisteröidyille
1. Komissio julkaisee verkkosivustollaan tietosuojaselosteen, jolla tiedotetaan rekisteröidyille komission toiminnasta, johon sisältyy heidän henkilötietojensa käsittelyä sen suorittaessa asetuksen (EU) 2022/2065 mukaiseen valvontaan, tutkintaan, täytäntöönpanon valvontaan ja seurantaan liittyviä tehtäviään. Tietosuojaselosteessa annetaan tietoa rekisteröityjen oikeuksien mahdollisesta rajoittamisesta 3 artiklan nojalla. Tiedot koskevat sitä, mitä oikeuksia voidaan rajoittaa, rajoitusten mahdollisia syitä ja niiden mahdollista kestoa.
2. Komissio tiedottaa henkilötietojen käsittelystä henkilökohtaisesti ja asianmukaisin keinoin väärinkäytösten paljastajille, vihjeenantajille, todistajille ja tapauksen mukaan yrityksen yksittäisille työntekijöille.
3. Jos komissio rajoittaa 3 artiklan mukaisesti kokonaan tai osittain 1 kohdassa tarkoitettujen tietojen antamista, se kirjaa ja rekisteröi rajoituksen syyt tämän päätöksen 7 artiklan mukaisesti. Lisäksi komissio tiedottaa rekisteröidyille heidän oikeudestaan tehdä kantelu Euroopan tietosuojavaltuutetulle.
5 artikla
Rekisteröidyn oikeus saada pääsy tietoihin, oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen ja oikeus käsittelyn rajoittamiseen
1. Kun komissio rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta saada pääsy tietoihin, 18 artiklassa tarkoitettua oikeutta tietojen oikaisemiseen, 19 artiklassa tarkoitettua oikeutta saada tiedot poistetuksi tai 20 artiklassa tarkoitettua oikeutta rajoittaa tietojen käsittelyä, se ilmoittaa asianomaiselle rekisteröidylle tietoihin pääsyä, niiden oikaisemista, poistamista tai käsittelyn rajoittamista koskevaan pyyntöön antamassaan vastauksessa
|
a) |
sovelletusta rajoituksesta ja sen pääasiallisista syistä; |
|
b) |
mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle. |
2. Komissio voi lykätä ilmoittamista rajoituksen syistä ja oikeudesta tehdä kantelu Euroopan tietosuojavaltuutetulle, jättää sen tekemättä tai evätä sen, jos se poistaisi rajoituksen vaikutuksen. Komissio arvioi tapauskohtaisesti, onko tämä aiheellista. Komissio antaa tiedot rekisteröidylle heti, kun ilmoitus ei enää poistaisi rajoituksen vaikutusta.
6 artikla
Henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidyille
1. Jos komissiolla on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta asetuksen (EU) 2018/1725 35 artiklan 1 kohdan nojalla, se voi poikkeuksellisissa olosuhteissa rajoittaa tällaista ilmoittamista kokonaan tai osittain. Se kirjaa ja rekisteröi rajoituksen syyt, sen 3 artiklan mukaisen oikeudellisen perustan sekä arvioinnin sen tarpeellisuudesta ja oikeasuhteisuudesta. Kirjatut tiedot toimitetaan Euroopan tietosuojavaltuutetulle henkilötietojen tietoturvaloukkauksesta ilmoitettaessa.
2. Jos rajoittamiselle ei enää ole syytä, komissio ilmoittaa asianomaiselle rekisteröidylle henkilötietojen tietoturvaloukkauksesta ja antaa hänelle tiedot rajoituksen pääasiallisista syistä sekä oikeudesta tehdä kantelu Euroopan tietosuojavaltuutetulle.
3. Jos komissio ilmoittaa henkilötietojen tietoturvaloukkauksesta Euroopan tietosuojavaltuutetulle asetuksen (EU) 2018/1725 34 artiklan 1 kohdan mukaisesti, se liittää ilmoitukseen tämän päätöksen 7 artiklan nojalla kirjatut tiedot.
7 artikla
Rajoitusten kirjaaminen ja rekisteröinti
1. Komissio kirjaa tämän päätöksen nojalla sovellettavien rajoitusten syyt, niiden oikeudellisen perustan, arvion rajoituksen määräämisen vuoksi rekisteröityjen oikeuksiin ja vapauksiin kohdistuvista riskeistä sekä arvion rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa esitetyt asiaan liittyvät näkökohdat.
2. Kirjatuissa tiedoissa on mainittava, miten kyseisen rekisteröidyn oikeuden käyttäminen haittaisi yhtä tai useampaa asetuksen (EU) 2018/1725 25 artiklan 1 kohdan b, c, g ja h alakohdassa lueteltua tarkoitusta.
3. Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, rekisteröidään. Ne annetaan pyynnöstä Euroopan tietosuojavaltuutetun käyttöön.
4. Komissio laatii määräaikaiskatsauksia asetuksen (EU) 2018/1725 25 artiklan mukaisten rajoitusten soveltamisesta tämän päätöksen nojalla.
8 artikla
Rajoitusten kesto
1. Edellä 4, 5 ja 6 artiklassa tarkoitettujen rajoitusten soveltamista jatketaan niin kauan kuin niiden perusteena olevat syyt ovat voimassa, ja ne poistetaan heti, kun kyseiset syyt eivät ole enää voimassa.
2. Kun rajoituksen syyt eivät ole enää voimassa, komissio poistaa rajoituksen.
3. Lisäksi se ilmoittaa rekisteröidylle rajoituksen soveltamisen syyt ja kertoo hänelle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
4. Komissio tarkastelee uudelleen 4, 5 ja 6 artiklassa tarkoitettujen rajoitusten soveltamista kuuden kuukauden välein sekä asian käsittelyn päättämisen yhteydessä. Uudelleentarkasteluun on sisällyttävä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa luetellut asiaan liittyvät näkökohdat.
9 artikla
Suojatoimet ja säilyttäminen
1. Komissio ottaa käyttöön erityisiä suojatoimia, joilla estetään rajoitusten tai poikkeusten soveltamisalaan kuuluvien tai mahdollisesti kuuluvien henkilötietojen väärinkäyttö, luvaton pääsy kyseisiin henkilötietoihin ja niiden lainvastainen siirtäminen. Suojatoimiin sisältyy muun muassa seuraavia teknisiä ja organisatorisia toimenpiteitä:
|
a) |
tehtävien, vastuiden, menettelyvaiheiden ja käyttöoikeuksien selkeä määrittely; |
|
b) |
suojattu sähköinen ympäristö, jonka avulla estetään luvaton ja tahaton pääsy sähköisiin tietoihin sekä niiden siirto asiattomille henkilöille; |
|
c) |
paperiasiakirjojen turvallinen säilytys ja käsittely, joka rajoittuu siihen, mikä on ehdottoman välttämätöntä käsittelyn tarkoituksen saavuttamiseksi; |
|
d) |
rajoitusten asianmukainen seuranta ja niiden soveltamisen uudelleentarkastelu säännöllisin määräajoin. Uudelleentarkasteluja on suoritettava vähintään kuuden kuukauden välein ja asian käsittelyn päättämisen yhteydessä. |
2. Henkilötietoja säilytetään komissiossa sovellettavien säilyttämissääntöjen mukaisesti, jotka määritellään asetuksen (EU) 2018/1725 31 artiklan mukaisesti ylläpidettävissä käsittelytoimia koskevissa selosteissa. Kun säilytysaika päättyy, henkilötiedot poistetaan, anonymisoidaan tai arkistoidaan asetuksen (EU) 2018/1725 13 artiklaa noudattaen.
10 artikla
Tietosuojakoordinaattorin ja komission tietosuojavastaavan osallistuminen
1. Viestintäverkkojen, sisältöjen ja teknologian pääosaston tietosuojakoordinaattoria on kuultava ennen rajoitusten soveltamista, ja hänen on varmistettava, että ne ovat tämän päätöksen mukaisia.
2. Komission tietosuojavastaavalle on ilman aiheetonta viivytystä ilmoitettava aina, kun rekisteröityjen oikeuksia rajoitetaan tämän päätöksen mukaisesti. Komission tietosuojavastaavalle on pyynnöstä annettava pääsy kirjattuihin tietoihin sekä kaikkiin asiakirjoihin, jotka sisältävät perusteena olevia tosiseikkoja tai oikeudellisia seikkoja.
3. Tietosuojavastaava voi pyytää rajoituksen soveltamisen uudelleentarkastelua, ja hänelle on ilmoitettava kirjallisesti tällaisen uudelleentarkastelun tuloksesta.
4. Komissio dokumentoi tietosuojavastaavan ja tietosuojakoordinaattorin osallistumisen sekä heille annettavat tiedot kussakin tapauksessa, jossa 3 artiklan 1 kohdassa tarkoitettuja oikeuksia ja velvollisuuksia rajoitetaan.
11 artikla
Voimaantulo
Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 31 päivänä maaliskuuta 2025.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) Euroopan parlamentin ja neuvoston asetus (EU) 2022/2065, annettu 19 päivänä lokakuuta 2022, digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta (EUVL L 277, 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj).
ELI: http://data.europa.eu/eli/dec/2025/628/oj
ISSN 1977-0812 (electronic edition)