21.11.2018

Euroopan unionin virallinen lehti

L 295/1

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2018/1724,

annettu 2 päivänä lokakuuta 2018,

tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja saataville tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 muuttamisesta

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 21 artiklan 2 kohdan ja 114 artiklan 1 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

noudattavat tavallista lainsäätämisjärjestystä (2),

sekä katsovat seuraavaa:

(1)

Sisämarkkinat ovat yksi unionin konkreettisimmista saavutuksista. Ne mahdollistavat ihmisten, tavaroiden, palvelujen ja pääoman vapaan liikkumisen ja tarjoavat näin uusia mahdollisuuksia kansalaisille ja yrityksille. Tämä asetus on yksi 28 päivänä lokakuuta 2015 annetulla komission tiedonannolla ”Sisämarkkinoiden päivitys: enemmän mahdollisuuksia kansalaisille ja yrityksille” perustetun sisämarkkinastrategian keskeisistä osatekijöistä. Kyseisen strategian tavoitteena on vapauttaa sisämarkkinoiden täysi potentiaali helpottamalla kansalaisten ja yritysten mahdollisuuksia liikkua unionin sisällä ja käydä kauppaa, sijoittautua ja laajentaa liiketoimintaa rajojen yli.

(2)

Toukokuun 6 päivänä 2015 annetussa komission tiedonannossa ”Digitaalisten sisämarkkinoiden strategia Euroopalle” todettiin, että internet ja digitaaliteknologia mullistavat ihmisten elämän ja muuttavat kansalaisten ja yritysten tiedonsaantimahdollisuuksia ja tiedonhankintatapoja sekä tapaa ostaa tavaroita ja palveluita, osallistua markkinoille ja työskennellä, millä luodaan mahdollisuuksia innovointiin, talouskasvuun ja työpaikkojen luomiseen. Kyseisessä tiedonannossa sekä useissa Euroopan parlamentin päätöslauselmissa on todettu, että kansalaisten ja yritysten tarpeisiin omassa maassa ja rajojen yli voitaisiin vastata paremmin laajentamalla ja integroimalla olemassa olevia Euroopan tason portaaleja, verkkosivustoja, verkostoja, palveluja ja järjestelmiä ja yhdistämällä ne kansallisten ratkaisujen kanssa eurooppalaiseksi keskitetyksi yhteyspisteeksi, yhteiseksi digitaaliseksi palveluväyläksi, jäljempänä ”palveluväylä”. Huhtikuun 19 päivänä 2016 annetussa komission tiedonannossa ”EU:n sähköisen hallinnon toimintaohjelma 2016–2020 – Hallinnon digitalisaatiokehityksen vauhdittaminen” palveluväylä esitettiin yhtenä vuonna 2017 toteutettavista toimista. Tammikuun 24 päivänä 2017 annetussa komission kertomuksessa ”Kansalaisten oikeuksista vahvempia demokraattisen muutoksen unionissa – Katsaus Euroopan unionin kansalaisuuteen vuonna 2017” palveluväylää pidettiin prioriteettina unionin kansalaisten oikeuksien kannalta.

(3)

Euroopan parlamentti ja neuvosto ovat toistuvasti pyytäneet kattavampaa ja käyttäjäystävällisempää tieto- ja neuvontapakettia, joka auttaisi kansalaisia ja yrityksiä navigoimaan sisämarkkinoilla ja vahvistaisi ja järkeistäisi sisämarkkinavälineitä niin, että vastattaisiin paremmin kansalaisten ja yritysten tarpeisiin niiden rajatylittävässä toiminnassa.

(4)

Tällä asetuksella vastataan näihin pyyntöihin tarjoamalla kansalaisille ja yrityksille helppo pääsy tietoihin, menettelyihin sekä neuvonta- ja ongelmanratkaisupalveluihin, joita nämä tarvitsevat käyttääkseen oikeuksiaan sisämarkkinoilla. Palveluväylä voisi osaltaan lisätä ihmisten elämäntapahtumia ja yrityksiä koskevien sääntöjen ja määräysten avoimuutta esimerkiksi matkailun, eläkkeelle jäämisen, koulutuksen, työllisyyden, terveydenhuollon, kuluttajien oikeuksien ja perheoikeuksien aloilla. Lisäksi se voisi auttaa parantamaan kuluttajien luottamusta, paikkaamaan kuluttajansuojaa ja sisämarkkinasääntöjä koskevan tiedon puutetta ja vähentämään yrityksille säännösten noudattamisesta aiheutuvia kustannuksia. Tällä asetuksella perustetaan helppokäyttöinen vuorovaikutteinen palveluväylä, joka ohjaa käyttäjiä näiden tarpeiden mukaan soveltuvimpiin palveluihin. Tässä yhteydessä komissiolla ja jäsenvaltioilla olisi oltava keskeinen rooli näiden tavoitteiden saavuttamisessa.

(5)

Palveluväylän olisi helpotettava kansalaisten ja yritysten vuorovaikutusta toimivaltaisten viranomaisten kanssa tarjoamalla pääsy sähköisiin ratkaisuihin niin, että helpotetaan kansalaisten ja yritysten päivittäistä toimintaa ja vähennetään minimiin esteet sisämarkkinoilla. Tällainen yhteinen digitaalinen palveluväylä, joka tarjoaa sähköisen pääsyn paikkansapitävään ja ajantasaiseen tietoon, menettelyihin sekä neuvonta- ja ongelmanratkaisupalveluihin, voisi auttaa tekemään erilaisia olemassa olevia sähköisiä palveluja tunnetuksi käyttäjien keskuudessa ja auttaa heitä säästämään aikaa ja kustannuksia.

(6)

Tällä asetuksella on kolme tavoitetta eli vähentää sellaisiin kansalaisiin ja yrityksiin kohdistuvaa hallinnollista rasitetta, jotka käyttävät tai haluavat käyttää sisämarkkinaoikeuksiaan, esimerkiksi kansalaisten vapaata liikkuvuutta, noudattaen täysimääräisesti kansallisia sääntöjä ja menettelyjä, poistaa syrjintä sekä varmistaa sisämarkkinoiden toiminta tietojen, menettelyjen sekä neuvonta- ja ongelmanratkaisupalvelujen tarjoamisen osalta. Koska tämä asetus kattaa kansalaisten vapaan liikkuvuuden, jota ei voida pitää pelkästään liitännäisenä, sen olisi perustuttava Euroopan unionin toiminnasta tehdyn sopimuksen 21 artiklan 2 kohtaan ja 114 artiklan 1 kohtaan.

(7)

Jotta unionin kansalaiset ja yritykset voisivat käyttää oikeuttaan vapaaseen liikkuvuuteen sisämarkkinoilla, unionin olisi hyväksyttävä erityisiä syrjimättömiä toimenpiteitä, jotka antavat kansalaisille ja yrityksille mahdollisuuden saada helposti riittävän kattavia ja luotettavia tietoja unionin oikeuden mukaisista oikeuksistaan ja tietoja sovellettavista kansallisista säännöistä ja menettelyistä, joita niiden on noudatettava muuttaessaan muuhun kuin kotijäsenvaltioonsa tai asuessaan tai opiskellessaan taikka sijoittautuessaan tai harjoittaessaan liiketoimintaa muussa kuin kotijäsenvaltiossaan. Tietojen olisi katsottava olevan riittävän kattavat, jos ne sisältävät kaikki tiedot, joita käyttäjät tarvitsevat ymmärtääkseen, mitkä ovat heidän oikeutensa ja velvollisuutensa, ja jos niissä yksilöidään säännöt, joita käyttäjiin sovelletaan sen toiminnan osalta, jota he haluavat harjoittaa rajatylittävinä käyttäjinä. Tiedot olisi ilmoitettava selkeästi, tiiviisti ja ymmärrettävästi, ja niitä olisi voitava käyttää ja ne olisi mukautettava kohteena olevaan käyttäjäryhmään. Menettelyjä koskevien tietojen olisi katettava kaikki ennakoitavissa olevat menettelyvaiheet, jotka ovat merkityksellisiä käyttäjälle. On tärkeää, että monimutkaisia sääntely-ympäristöjä kohtaavat kansalaiset ja yritykset, kuten sähköisessä kaupankäynnissä ja yhteistyötaloudessa toimivat kansalaiset ja yritykset, voivat löytää helposti sovellettavat säännöt ja tietoa niiden soveltamisesta omaan toimintaansa. Tietojen helppo saatavuus ja helppokäyttöisyys tarkoittaa sen mahdollistamista, että käyttäjät löytävät tiedot vaivattomasti, tunnistavat helposti, miltä osin tiedoilla on merkitystä heidän tilanteessaan, ja ymmärtävät merkitykselliset tiedot helposti. Kansallisella tasolla tarjottavien tietojen olisi koskettava unionin lainsäädännön kansallisten täytäntöönpanosääntöjen lisäksi myös muita kansallisia sääntöjä, joita sovelletaan sekä muihin kuin rajatylittäviin että rajatylittäviin käyttäjiin.

(8)

Tietojen antamista koskevia tämän asetuksen sääntöjä ei olisi sovellettava kansallisiin oikeusjärjestelmiin, sillä sen alan tiedot, joilla on merkitystä rajatylittäville käyttäjille, sisältyvät jo Euroopan oikeusportaaliin. Joissakin tämän asetuksen soveltamisalaan kuuluvissa tilanteissa tuomioistuinten olisi katsottava olevan toimivaltaisia viranomaisia, esimerkiksi hallinnoidessaan kaupparekistereitä. Lisäksi syrjimättömyyden periaatetta olisi sovellettava myös sähköisiin menettelyihin, jotka antavat pääsyn tuomioistuinmenettelyihin.

(9)

On selvää, että muiden jäsenvaltioiden kansalaiset ja yritykset voivat olla epäedullisemmassa asemassa sen vuoksi, että kansalliset säännöt ja hallinnolliset järjestelmät ovat niille vieraita, käytettyjen eri kielten vuoksi ja sen vuoksi, että ne ovat maantieteellisesti etäällä muiden kuin oman jäsenvaltionsa toimivaltaisista viranomaisista. Tehokkain tapa vähentää sisämarkkinoiden esteitä on antaa rajatylittäville ja muille kuin rajatylittäville käyttäjille mahdollisuus saada tietoja verkon kautta kielellä, jota he ymmärtävät, jotta he voivat hoitaa kansallisten sääntöjen mukaiset menettelyt täysin sähköisesti ja jotta heille tarjotaan apua, jos säännöt ja menettelyt eivät ole riittävän selkeitä tai jos heidän oikeuksiensa käyttämiseen liittyy esteitä.

(10)

Useilla unionin säädöksillä on pyritty tarjoamaan ratkaisuja perustamalla alakohtaisia keskitettyjä palvelupisteitä. Näitä ovat esimerkiksi Euroopan parlamentin ja neuvoston direktiivillä 2006/123/EY (3) perustetut keskitetyt asiointipisteet, jotka tarjoavat palvelujen tarjoamisen kannalta merkityksellisiä tietoja ja neuvontapalveluja sekä mahdollisuuden hoitaa niihin liittyviä menettelyjä sähköisesti, Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 764/2008 (4) perustetut tuoteyhteyspisteet ja Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 305/2011 (5) perustetut rakennustuoteyhteyspisteet, jotka tarjoavat pääsyn tuotekohtaisiin teknisiin määräyksiin, sekä Euroopan parlamentin ja neuvoston direktiivillä 2005/36/EY (6) toiseen valtioon muuttavien ammatinharjoittajien avuksi perustetut ammattipätevyyden tunnustamiseen liittyvät kansalliset tukikeskukset. Lisäksi on perustettu Euroopan kuluttajakeskusten kaltaisia verkostoja tiedottamaan unionin kuluttajien oikeuksista ja avustamaan sellaisten valitusten ratkaisemisessa, jotka liittyvät toisessa verkostoon kuuluvassa jäsenvaltiossa matkalla tehtyihin ostoihin tai verkko-ostoihin. Komission suosituksessa 2013/461/EU (7) tarkoitetulla SOLVIT-palvelulla puolestaan pyritään tarjoamaan nopeita, tehokkaita ja epävirallisia ratkaisuja kansalaisille ja yrityksille, jos viranomaiset epäävät heidän oikeutensa sisämarkkinoilla. On myös perustettu useita tietoportaaleja, kuten sisämarkkinoihin liittyvä Sinun Eurooppasi ja oikeusasioihin liittyvä Euroopan oikeusportaali, jotka tarjoavat käyttäjille tietoa unionin ja jäsenvaltioiden säännöistä.

(11)

Näiden unionin säädösten alakohtaisen luonteen vuoksi tämänhetkiset sähköisesti tarjottavat tiedot ja neuvonta- ja ongelmanratkaisupalvelut samoin kuin kansalaisille ja yrityksille tarkoitetut sähköiset menettelyt ovat erittäin hajanaisia. Tietojen ja menettelyjen sähköisessä saatavuudessa on eroja, palvelujen laatu on puutteellinen eikä näistä tiedoista ja neuvonta- ja ongelmanratkaisupalveluista olla tietoisia. Rajatylittävillä käyttäjillä on myös ongelmia löytää ja käyttää näitä palveluja.

(12)

Tällä asetuksella on tarkoitus perustaa yhteinen digitaalinen palveluväylä keskitetyksi yhteyspisteeksi, jonka kautta kansalaiset ja yritykset voivat saada tietoja säännöistä ja vaatimuksista, joita niiden on noudatettava unionin oikeuden tai kansallisen lainsäädännön nojalla. Palveluväylällä olisi yksinkertaistettava kansalaisten ja yritysten yhteydenpitoa unionin tai kansallisella tasolla käyttöön otettuihin neuvonta- ja ongelmanratkaisupalveluihin ja tehtävä yhteydenpidosta tehokkaampaa. Palveluväylän olisi myös helpotettava sähköisten menettelyjen esteetöntä hoitamista. Tämä asetus ei saisi vaikuttaa millään tavalla näillä aloilla unionin oikeuden tai kansallisen lainsäädännön nojalla voimassa oleviin oikeuksiin ja velvollisuuksiin. Tämän asetuksen liitteessä II lueteltujen menettelyjen ja direktiiveissä 2005/36/EY ja 2006/123/EY sekä Euroopan parlamentin ja neuvoston direktiiveissä 2014/24/EU (8) ja 2014/25/EU (9) säädettyjen menettelyjen osalta asetuksella olisi tuettava yhden kerran periaatteen soveltamista, ja siinä olisi noudatettava täysimääräisesti henkilötietojen suojaa koskevaa perusoikeutta, kun kyseessä on todistusmateriaalin vaihtaminen eri jäsenvaltioiden toimivaltaisten viranomaisten välillä.

(13)

Palveluväylän ja sen sisällön olisi oltava käyttäjäkeskeisiä ja helppokäyttöisiä. Palveluväylällä olisi pyrittävä välttämään päällekkäisyyksiä ja tarjoamaan linkkejä olemassa oleviin palveluihin. Sen olisi annettava kansalaisille ja yrityksille mahdollisuus toimia vuorovaikutuksessa kansallisen ja unionin tason julkisten elinten kanssa ja antaa niille palautetta sekä yhteyspisteen kautta tarjotuista palveluista että sisämarkkinoiden toimivuudesta kokemustensa mukaan. Palautevälineen pitäisi antaa käyttäjälle mahdollisuus tuoda esiin havaittuja ongelmia, puutteita ja tarpeita siten, että käyttäjä voi pysyä nimettömänä, ja kannustaa näin palvelujen laadun jatkuvaan parantamiseen.

(14)

Palveluväylän onnistuminen riippuu komission ja jäsenvaltioiden yhteisestä ponnistuksesta. Palveluväylään olisi sisällytettävä yhteinen käyttöliittymä, joka integroidaan olemassa olevaan Sinun Eurooppasi -portaaliin ja jota komissio hallinnoi. Yhteisestä käyttöliittymästä olisi oltava linkkejä tietoihin, menettelyihin ja neuvonta- tai ongelmanratkaisupalveluihin, jotka ovat saatavilla portaaleissa, joita jäsenvaltioiden toimivaltaiset viranomaiset ja komissio hallinnoivat. Palveluväylän käytön helpottamiseksi yhteisen käyttöliittymän olisi oltava saatavilla kaikilla unionin toimielinten virallisilla kielillä, jäljempänä ”unionin viralliset kielet”. Olemassa olevassa Sinun Eurooppasi -portaalissa ja sen aloitussivulla, jotka mukautetaan palveluväylän tarpeisiin, tiedot olisi jatkossakin tarjottava monikielisesti. Palveluväylän toimintaa olisi tuettava komission ja jäsenvaltioiden tiiviissä yhteistyössä kehittämillä teknisillä välineillä.

(15)

Direktiivin 2006/123/EY nojalla laaditussa elektronisia keskitettyjä asiointipisteitä koskevassa peruskirjassa, jonka neuvosto vahvisti vuonna 2013, jäsenvaltiot sitoutuivat vapaaehtoisesti käyttäjäkeskeiseen lähestymistapaan toimitettaessa tietoja keskitettyjen asiointipisteiden kautta, jotta voidaan kattaa yritysten kannalta erityisen tärkeä alat, kuten alv:hen, tuloveroihin, sosiaaliturvaan ja työlainsäädäntöön liittyvät vaatimukset. Peruskirjan perusteella ja Sinun Eurooppasi -portaalista saatujen kokemusten perusteella tiedoissa olisi myös kuvattava neuvonta- ja ongelmanratkaisupalveluja. Kansalaisten ja yritysten olisi voitava käyttää näitä palveluja kohdatessaan ongelmia tietojen ymmärtämisessä, tietojen soveltamisessa omaan tilanteeseensa tai menettelyn hoitamisessa.

(16)

Tässä asetuksessa on tarkoitus luetella tietojen alat, jotka ovat merkityksellisiä kansalaisille ja yrityksille näiden käyttäessä oikeuksiaan ja noudattaessa velvollisuuksiaan sisämarkkinoilla. Näillä aloilla olisi tarjottava riittävän kattavia tietoja kansallisella tasolla, alue- ja paikallistaso mukaan luettuna, ja unionin tasolla siten, että selitetään sovellettavat säännöt ja velvollisuudet sekä menettelyt, jotka kansalaisten ja yritysten on hoidettava näiden sääntöjen ja velvollisuuksien noudattamiseksi. Tarjottujen palvelujen laadun varmistamiseksi palveluväylässä tarjottujen tietojen olisi oltava selkeitä, paikkansapitäviä ja ajantasaisia, monimutkaista terminologiaa olisi käytettävä mahdollisimman vähän ja lyhenteiden käyttö olisi rajoitettava vain yksinkertaisiin ja helposti ymmärrettäviin nimityksiin, jotka eivät edellytä etukäteistietoa asiasta tai lainsäädännöstä. Nämä tiedot olisi tarjottava siten, että käyttäjät voivat helposti ymmärtää omaan tilanteeseensa kyseisellä alalla sovellettavat perussäännöt ja vaatimukset. Käyttäjille olisi myös ilmoitettava, jos joissakin jäsenvaltioissa ei ole kansallisia sääntöjä liitteessä I luetelluilla tietojen aloilla, erityisesti jos toisissa jäsenvaltioissa kyseisillä aloilla sovelletaan kansallisia sääntöjä. Tällainen tieto kansallisten sääntöjen puuttumisesta voitaisiin sisällyttää Sinun Eurooppasi -portaaliin.

(17)

Tietoja, jotka komissio on jo kerännyt jäsenvaltioilta voimassa olevan unionin oikeuden tai vapaaehtoisten järjestelyjen nojalla – esimerkiksi Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/589 (10) perustettua Eures-portaalia, neuvoston päätöksellä 2001/470/EY (11) perustettua Euroopan oikeusportaalia tai direktiivillä 2005/36/EY perustettua säänneltyjen ammattien tietokantaa varten kerätyt tiedot – olisi mahdollisuuksien mukaan käytettävä osana niitä tietoja, jotka annetaan kansalaisten ja yritysten saataville unionin ja kansallisella tasolla tämän asetuksen mukaisesti. Jäsenvaltioita ei saisi vaatia tarjoamaan kansallisilla verkkosivustoillaan tietoja, jotka ovat jo saatavilla asiaankuuluvissa komission hallinnoimissa tietokannoissa. Jos jäsenvaltioiden on jo toimitettava tietoja sähköisesti muiden unionin säädösten nojalla, esimerkiksi Euroopan parlamentin ja neuvoston direktiivin 2014/67/EU (12) nojalla, olisi pidettävä riittävänä, että jäsenvaltiot lisäävät linkit olemassa oleviin sähköisesti saatavilla oleviin tietoihin. Jos tietyt politiikanalat on jo täysin yhdenmukaistettu unionin lainsäädännöllä, esimerkiksi kuluttajien oikeudet, unionin tasolla tarjottujen tietojen pitäisi yleisesti ottaen riittää, jotta käyttäjät ymmärtävät heidän asiaan liittyvät oikeutensa ja velvollisuutensa. Tällaisissa tapauksissa jäsenvaltiot olisi velvoitettava ainoastaan antamaan lisätietoja omista kansallisista hallinnollisista menettelyistään ja neuvontapalveluista taikka mahdollisista muista kansallisista hallinnollisista säännöistä, jos tiedot ovat merkityksellisiä käyttäjille. Esimerkiksi kuluttajan oikeuksia koskevien tietojen ei pitäisi vaikuttaa sopimusoikeuteen, vaan niiden olisi pikemminkin informoitava käyttäjiä heidän unionin oikeuden ja kansallisen lainsäädännön mukaisista oikeuksistaan liiketoimien yhteydessä.

(18)

Tällä asetuksella olisi vahvistettava sähköisten menettelyjen sisämarkkinaulottuvuutta ja edistettävä näin sisämarkkinoiden digitalisointia soveltamalla yleistä syrjimättömyyden periaatetta muun muassa suhteessa siihen, miten kansalaiset tai yritykset pääsevät hyödyntämään unionin oikeuden tai kansallisen lainsäädännön perusteella kansallisella tasolla jo käyttöön otettuja sähköisiä menettelyjä ja niitä menettelyjä, jotka on tarkoitus tarjota kokonaan sähköisesti tämän asetuksen mukaisesti. Jos käyttäjällä yksinomaan yhden jäsenvaltion alueelle rajoittuvassa tilanteessa on mahdollisuus hoitaa menettely sähköisesti kyseisessä jäsenvaltiossa tämän asetuksen soveltamisalaan kuuluvalla alalla, rajatylittävällä käyttäjällä pitäisi myös olla mahdollisuus hoitaa menettely sähköisesti käyttäen joko samaa teknistä ratkaisua tai vaihtoehtoista, teknisesti erillistä mutta samaan tulokseen johtavaa ratkaisua ilman mitään syrjiviä esteitä. Tällaisia esteitä saattavat aiheuttaa kansallisesti suunnitellut ratkaisut, esimerkiksi kansallista puhelinnumeroa, puhelinnumeron etuliitettä tai postinumeroa edellyttävien lomakekenttien käyttö, maksujärjestelmät, jotka eivät hyväksy rajatylittäviä maksuja, selitysten puuttuminen rajatylittävien käyttäjien ymmärtämällä kielellä ja se, että ei ole mahdollista toimittaa sähköistä todistusmateriaalia toisessa jäsenvaltiossa sijaitsevilta viranomaisilta, sekä se, että ei hyväksytä toisessa jäsenvaltiossa myönnettyä sähköistä tunnistautumisvälinettä. Jäsenvaltioiden olisi tarjottava ratkaisuja näihin esteisiin.

(19)

Hoitaessaan sähköisiä menettelyjä rajatylittävästi käyttäjien olisi voitava saada kaikki asiaankuuluvat selitykset unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät. Tämä ei merkitse sitä, että jäsenvaltiot velvoitetaan kääntämään menettelyyn liittyvät hallinnolliset lomakkeensa tai menettelyn tuloksen kyseiselle kielelle. Jäsenvaltioita kannustetaan kuitenkin käyttämään sellaisia teknisiä ratkaisuja, joita käyttämällä käyttäjät pystyisivät mahdollisimman useissa tapauksissa hoitamaan menettelyn kyseisellä kielellä noudattaen samalla jäsenvaltioiden kansallisia sääntöjä kielten käytöstä.

(20)

Se, mitkä sähköiset kansalliset menettelyt ovat merkityksellisiä rajatylittäville käyttäjille, jotta nämä voivat käyttää sisämarkkinaoikeuksiaan, riippuu siitä, asuvatko käyttäjät asianomaisessa jäsenvaltiossa tai ovatko käyttäjät sijoittautuneet kyseiseen jäsenvaltioon vai haluavatko käyttäjät pääsyn kyseisen jäsenvaltion menettelyihin toisessa jäsenvaltiossa olevasta asuin- tai sijoittautumispaikastaan käsin. Tämä asetus ei saisi estää jäsenvaltioita vaatimasta, että sen alueella asuvien tai sinne sijoittautuneiden rajatylittävien käyttäjien olisi hankittava kansallinen henkilötunnus saadakseen pääsyn kansallisiin sähköisiin menettelyihin, edellyttäen että tämä ei aiheuta perusteetonta lisärasitetta tai kustannuksia kyseisille käyttäjille. Rajatylittäville käyttäjille, jotka eivät asu asianomaisessa jäsenvaltiossa tai ole sijoittautuneita sinne, ei tarvitse kaikilta osin antaa sähköistä pääsyä sähköisiin kansallisiin menettelyihin, jotka eivät ole merkityksellisiä niiden sisämarkkinaoikeuksien käyttämisen kannalta; tällaisia menettelyjä ovat esimerkiksi kirjautuminen jätehuollon ja pysäköintilupien kaltaisten paikallispalvelujen vastaanottamista varten.

(21)

Tämän asetuksen olisi pohjauduttava Euroopan parlamentin ja neuvoston asetukseen (EU) N:o 910/2014 (13), jossa säädetään ehdoista, joiden mukaisesti jäsenvaltiot tunnustavat toisen jäsenvaltion ilmoitetun sähköisen tunnistamisjärjestelmän piiriin kuuluvat tietyt luonnollisten henkilöiden ja oikeushenkilöiden sähköisen tunnistamisen menetelmät. Asetuksessa (EU) 910/2014 säädetään ehdoista, joiden mukaisesti käyttäjien on sallittua käyttää sähköisiä tunnistamis- ja todentamiskeinojaan päästäkseen julkisiin verkkopalveluihin rajatylittävissä tilanteissa. Unionin toimielimiä, elimiä, laitoksia ja virastoja kannustetaan hyväksymään sähköisiä tunnistamis- ja todentamiskeinoja niiden menettelyjen osalta, joista ne vastaavat.

(22)

Useissa alakohtaisissa unionin säädöksissä, kuten direktiiveissä 2005/36/EY, 2006/123/EY, 2014/24/EU ja 2014/25/EU, edellytetään, että menettelyt saatetaan täysin sähköisesti käytettäviksi. Tällä asetuksella olisi ulotettava tämä edellytys koskemaan useita muita menettelyjä, jotka ovat keskeisen tärkeitä suurimmalle osalle rajatylittävästi oikeuksiaan käyttäviä ja velvollisuuksiaan noudattavia kansalaisia ja yrityksiä, jotta ne saatettaisiin täysin sähköisesti käytettäviksi.

(23)

Jotta kansalaiset ja yritykset voisivat hyödyntää suoraan sisämarkkinoiden tarjoamia etuja ilman, että siitä aiheutuu tarpeetonta hallinnollista lisärasitetta, tässä asetuksessa olisi edellytettävä rajatylittävien käyttäjien kannalta tiettyjen keskeisten menettelyjen, jotka luetellaan tämän asetuksen liitteessä II, käyttöliittymän täyttä digitalisointia. Tässä asetuksessa olisi myös säädettävä kriteereistä, joiden perusteella määritetään, millä edellytyksillä menettelyjen katsotaan olevan täysin sähköisesti käytettävissä. Velvoitetta tällaisen menettelyn saattamisesta täysin sähköisesti käytettäväksi olisi sovellettava ainoastaan, jos asianomaisessa jäsenvaltioissa on otettu käyttöön kyseinen menettely. Liiketoiminnan alkuvaiheen rekisteröinnin ja menettelyjen, joiden tuloksena yrityksestä tulee oikeushenkilö, tai tätä koskevien mahdollisten myöhempien asiakirjojen toimittamisen ei ole syytä kuulua tämän asetuksen soveltamisalaan, koska tällaiset menettelyt edellyttävät kattavaa lähestymistapaa, jolla pyritään helpottamaan digitaalisia ratkaisuja yrityksen koko elinkaaren ajan. Kun yritys sijoittautuu toiseen jäsenvaltioon, sen on rekisteröidyttävä sosiaaliturvajärjestelmään ja vakuutusjärjestelmään voidakseen rekisteröidä työntekijänsä ja suorittaa maksuja molempiin järjestelmiin. Yrityksen on mahdollisesti ilmoitettava liiketoimintansa, hankittava lupia tai rekisteröitävä liiketoiminnassaan tapahtuneita muutoksia. Nämä menettelyt ovat yhteisiä monilla talouden aloilla toimiville yrityksille, minkä vuoksi on aiheellista edellyttää, että nämä menettelyt voitaisiin hoitaa sähköisesti.

(24)

Tässä asetuksessa olisi selvennettävä, mitä menettelyn tarjoaminen täysin sähköisesti tarkoittaa. Menettely olisi katsottava täysin sähköiseksi, jos käyttäjä voi toteuttaa kaikki vaiheet menettelyn aloittamisesta loppuunsaattamiseen toimien vuorovaikutuksessa toimivaltaisen viranomaisen kanssa sähköisesti etäältä ja sähköisen palvelun kautta. Tämän sähköisen palvelun olisi ohjattava käyttäjä käymään läpi luettelo, johon sisältyvät kaikki täytettävät vaatimukset ja toimitettava todistusmateriaali, annettava käyttäjälle mahdollisuus toimittaa tiedot ja näyttö kaikkien tällaisten vaatimusten täyttymisestä ja toimitettava käyttäjälle automaattinen ilmoitus näiden vastaanottamisesta, paitsi jos menettelyn tulos toimitetaan välittömästi. Tämä ei saisi estää toimivaltaisia viranomaisia ottamasta suoraan yhteyttä käyttäjiin, jos tämä on tarpeen lisäselvitysten saamiseksi menettelyä varten. Toimivaltaisten viranomaisten olisi toimitettava myös tässä asetuksessa tarkoitettu menettelyn tulos käyttäjälle sähköisesti, jos se on mahdollista sovellettavan unionin oikeuden ja kansallisen lainsäädännön mukaisesti.

(25)

Tämän asetuksen ei pitäisi vaikuttaa liitteessä II lueteltujen, kansallisella, alueellisella tai paikallisella tasolla käyttöön otettujen menettelyjen asiasisältöön, eikä siinä vahvisteta aineellisia tai menettelyä koskevia sääntöjä liitteessä II vahvistetuilla aloilla, verotuksen ala mukaan luettuna. Tämän asetuksen tarkoituksena on vahvistaa tekniset vaatimukset, jotta voidaan varmistaa, että kyseiset menettelyt, jos ne on otettu käyttöön asianomaisessa jäsenvaltiossa, tarjotaan täysin sähköisesti.

(26)

Tämän asetuksen ei pitäisi vaikuttaa kansallisten viranomaisten toimivaltaan menettelyissä, ei myöskään toimitettujen tietojen tai todistusmateriaalin oikeellisuuden ja pätevyyden todentamisen yhteydessä, mukaan lukien aitouden todentaminen silloin, kun todistusmateriaali toimitetaan muilla keinoin kuin yhden kerran periaatteeseen perustuvan teknisen järjestelmän kautta. Tämän asetuksen ei pitäisi vaikuttaa myöskään menettelyyn liittyviin digitaalisiin tai muihin työvaiheisiin toimivaltaisten viranomaisten sisäisesti ja välisesti. Jäsenvaltioiden olisi jatkossakin voitava edellyttää notaarien tai lakimiesten käyttöä, jos se on tarpeen osana joitakin menettelyjä, joilla rekisteröidään liiketoimintaan tehtyjä muutoksia, ja notaarit ja lakimiehet saattavat haluta käyttää todentamiskeinoja, esimerkiksi videokonferenssia tai muita sähköisiä keinoja, jotka mahdollistavat reaaliaikaisen audiovisuaalisen yhteyden. Notaarien tai lakimiesten käyttö ei kuitenkaan saisi estää kyseisten muutosten rekisteröintiä koskevien menettelyjen hoitamista kokonaan sähköisesti.

(27)

Joissakin tapauksissa käyttäjiä saatetaan vaatia toimittamaan materiaalia sellaisten tosiseikkojen todistamiseksi, joita ei voida näyttää toteen sähköisesti. Tällaista todistusmateriaalia voivat olla esimerkiksi lääkärintodistukset, todistus elossaolosta tai todistus moottoriautojen liikennekelpoisuudesta tai niiden valmistenumeroista. Tämän ei pitäisi muodostaa poikkeusta periaatteesta, jonka mukaan menettely olisi tarjottava täysin sähköisesti, edellyttäen että tällainen todistusmateriaali voidaan toimittaa sähköisesti. Muissa tapauksissa voi edelleen olla tarpeen, että menettelyn käyttäjä asioi henkilökohtaisesti toimivaltaisen viranomaisen luona osana sähköistä menettelyä. Kaikki muut kuin unionin oikeudesta johtuvat poikkeukset olisi rajattava tilanteisiin, joissa ne ovat perusteltuja yleiseen etuun liittyvästä pakottavasta syystä yleisen turvallisuuden, kansanterveyden tai petostentorjunnan aloilla. Avoimuuden varmistamiseksi jäsenvaltioiden olisi toimitettava komissiolle ja muille jäsenvaltioille tieto tällaisista poikkeuksista sekä syistä ja olosuhteista, joiden johdosta kyseisiä poikkeuksia voidaan soveltaa. Jäsenvaltioita ei pitäisi vaatia toimittamaan tietoja kaikista yksittäisistä tapauksista, joissa poikkeuksellisesti on edellytetty fyysistä läsnäoloa, vaan niiden olisi pikemminkin ilmoitettava kansalliset säännökset, joilla kyseisiä tapauksia säännellään. Palveluväylän koordinointiryhmässä olisi keskusteltava säännöllisesti kansallisen tason hyvistä toimintatavoista ja digitalisoinnin jatkamisen tässä yhteydessä mahdollistavasta teknisestä kehityksestä.

(28)

Rajatylittävissä tilanteissa menettely osoitteenmuutoksen rekisteröimiseksi voi muodostua kahdesta erillisestä menettelystä, joista toinen koskee vanhan osoitteen rekisteristä poistamispyyntöä alkuperäjäsenvaltiossa ja toinen rekisteröintipyyntöä uuteen osoitteeseen kohdejäsenvaltiossa. Molempien menettelyjen olisi kuuluttava tämän asetuksen soveltamisalaan.

(29)

Koska ammattipätevyyden tunnustamiseen liittyvien edellytysten, menettelyjen ja muodollisuuksien digitalisointi kuuluu jo direktiivin 2005/36/EY soveltamisalaan, tämän asetuksen soveltamisalaan olisi kuuluttava ainoastaan tutkintojen, todistusten tai opintojen suorittamisen osoittavien muiden asiakirjojen akateemista tunnustamista koskevaan pyyntöön liittyvän menettelyn digitalisointi sellaisen henkilön osalta, joka haluaa aloittaa opinnot tai jatkaa opintoja tai käyttää akateemista titteliä, ja ammattipätevyyden tunnustamiseen liittyvät muodollisuudet olisi jätettävä sen ulkopuolelle.

(30)

Tällä asetuksella ei pidä vaikuttaa sosiaaliturvajärjestelmien yhteensovittamista koskeviin sääntöihin, jotka on vahvistettu Euroopan parlamentin ja neuvoston asetuksissa (EY) N:o 883/2004 (14) ja (EY) N:o 987/2009 (15), joissa määritellään vakuutettujen ja sosiaaliturvalaitosten oikeudet ja velvollisuudet sekä sosiaaliturvajärjestelmien yhteensovittamisen alalla sovellettavat menettelyt.

(31)

Unionin ja kansallisella tasolla on otettu käyttöön useita verkostoja ja palveluja avustamaan kansalaisia ja yrityksiä niiden rajatylittävässä toiminnassa. On tärkeää, että nämä palvelut, mukaan luettuina unionin tasolla käyttöön otetut neuvonta- tai ongelmanratkaisupalvelut, kuten Euroopan kuluttajakeskukset, Sinun Eurooppasi -neuvonta, SOLVIT-verkosto, teollis- ja tekijänoikeuksien neuvontapalvelu, Europe Direct -tiedotuspisteet ja Yritys-Eurooppa-verkosto, muodostavat osan palveluväylää, jotta varmistetaan, että kaikki potentiaaliset käyttäjät löytävät nämä palvelut. Liitteessä III luetellut palvelut on perustettu sitovilla unionin säädöksillä, kun taas muut palvelut toimivat vapaaehtoisuuden pohjalta. Sitovilla unionin säädöksillä perustetuissa palveluissa olisi noudatettava tässä asetuksessa säädettyjä laatuvaatimuksia. Vapaaehtoisuuden pohjalta toimivissa palveluissa olisi noudatettava kyseisiä laatuvaatimuksia, jos tarkoituksena on asettaa nämä palvelut saataville palveluväylän kautta. Tällä asetuksella ei ole tarkoitus muuttaa näiden palvelujen soveltamisalaa eikä luonnetta, niiden hallintojärjestelyjä, voimassa olevia määräaikoja eikä niiden toiminnan perustana olevaa vapaaehtoista, sopimusperusteista tai muuta perustaa. Esimerkiksi jos niiden tarjoama neuvonta on epävirallista, kyseistä neuvontaa ei pidä tällä asetuksella muuttaa luonteeltaan sitovaksi oikeudelliseksi neuvonnaksi.

(32)

Lisäksi jäsenvaltioiden ja komission olisi voitava lisätä palveluväylään tässä asetuksessa säädetyin edellytyksin muita kansallisia neuvonta- tai ongelmanratkaisupalveluja, joita tarjoavat toimivaltaiset viranomaiset tai yksityiset tai osittain yksityiset tahot taikka julkisyhteisöt, kuten kauppakamarit tai kansalaisjärjestöjen kansalaisten neuvontapalvelut. Toimivaltaisten viranomaisten olisi lähtökohtaisesti oltava vastuussa kansalaisten ja yritysten neuvonnasta, kun kyseessä ovat sovellettavia sääntöjä ja menettelyjä koskevat kysymykset, joihin sähköiset palvelut eivät voi täysin vastata. Jos kuitenkin kyseessä on erittäin erikoistunut ala ja jos yksityisten tai osittain yksityisten tahojen tarjoama palvelu vastaa käyttäjien tarpeeseen, jäsenvaltiot voivat ehdottaa komissiolle, että se sisällyttää tällaiset palvelut palveluväylään, kunhan nämä palvelut täyttävät kaikki tässä asetuksessa säädetyt edellytykset eivätkä ole päällekkäisiä siihen jo sisältyvien neuvonta- tai ongelmanratkaisupalvelujen kanssa.

(33)	Jotta käyttäjät pystyisivät helpommin löytämään asianmukaisen palvelun, tässä asetuksessa olisi säädettävä neuvontapalveluhausta, joka ohjaa käyttäjät automaattisesti oikeaan palveluun.

(34)

Palveluväylän onnistumisen kannalta on olennaista noudattaa laatuvaatimusten vähimmäisluetteloa, jotta voidaan varmistaa, että tietojen tai palvelujen tarjoaminen on luotettavaa, koska muutoin koko palveluväylän uskottavuus vaarantuisi vakavasti. Laatuvaatimusten noudattamisen ensisijaisena tavoitteena on varmistaa, että tiedot tai palvelu esitetään selkeästi ja käyttäjäystävällisesti. Jäsenvaltioiden vastuulla on määrittää, kuinka tiedot esitetään käyttäjäpolun eri vaiheissa, jotta tämä tavoite saavutettaisiin. Vaikka käyttäjille kannattaa esimerkiksi ilmoittaa ennen menettelyn käynnistämistä yleensä käytettävissä olevista muutoksenhakukeinoista, jos menettelyn tulos on negatiivinen, on huomattavasti käyttäjäystävällisempää toimittaa tällaisessa tapauksessa yksityiskohtaiset tiedot mahdollisista jatkotoimista menettelyn päättyessä.

(35)

Tietojen saatavuutta rajatylittävien käyttäjien kannalta voidaan parantaa merkittävästi, jos kyseiset tiedot asetetaan saataville sellaisella unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät. Tämän kielen olisi useimmissa tapauksissa oltava se vieras kieli, jota opiskellaan unionissa eniten, mutta joissain erityistapauksissa, erityisesti kun jäsenvaltion rajan läheisyydessä sijaitsevat pienet kunnat tarjoavat tietoa paikallisella tasolla, sopivin kieli saattaa olla se kieli, jota rajatylittävät käyttäjät käyttävät ensimmäisenä kielenä naapurijäsenvaltiossa. Kyseisen jäsenvaltion viralliselta kieleltä tai virallisilta kieliltä tälle unionin muulle viralliselle kielelle tehdyn käännöksen olisi sisällöllisesti vastattava tarkasti alkuperäisellä kielellä tai alkuperäisillä kielillä tarjottuja tietoja. Käännös voidaan rajoittaa koskemaan ainoastaan tietoja, joita käyttäjät tarvitsevat ymmärtääkseen tilanteeseensa sovellettavat perussäännöt ja -vaatimukset. Jäsenvaltioita olisi kannustettava kääntämään mahdollisimman paljon tietoja sellaiselle unionin viralliselle kielelle, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät, mutta tämän asetuksen perusteella käännettävien tietojen määrä riippuu tähän tarkoitukseen erityisesti unionin talousarviossa saatavilla olevista määrärahoista. Komission olisi luotava asianmukaiset järjestelyt sen varmistamiseksi, että käännökset toimitetaan tehokkaasti jäsenvaltioille niiden pyynnöstä. Palveluväylän koordinointiryhmän olisi keskusteltava ja annettava ohjeita unionin virallisesta kielestä tai virallisista kielistä, jolle tai joille kyseiset tiedot olisi käännettävä.

(36)

Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/2102 (16) mukaisesti jäsenvaltioiden edellytetään varmistavan, että niiden julkisyhteisöjen verkkosivustot täyttävät saavutettavuuden periaatteet, jotka ovat havaittavuus, hallittavuus, ymmärrettävyys ja toimintavarmuus, ja että ne ovat kyseisessä direktiivissä säädettyjen vaatimusten mukaiset. Komission ja jäsenvaltioiden olisi varmistettava vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden kansakuntien yleissopimuksen ja erityisesti sen 9 ja 21 artiklan noudattaminen, ja jotta voidaan parantaa kehitysvammaisten henkilöiden pääsyä tietoihin, olisi tarjottava mahdollisimman paljon selkokielisiä vaihtoehtoja suhteellisuusperiaatteen mukaisesti. Jäsenvaltiot ovat ratifioineet ja unioni on tehnyt (17) kyseisen yleissopimuksen, ja näin ne ovat sitoutuneet toteuttamaan asianmukaisia toimia, joilla varmistetaan, että vammaisilla henkilöillä on muiden kanssa yhdenvertainen pääsy uusiin tieto- ja viestintätekniikoihin ja -järjestelmiin, myös internetiin, helpottamalla kehitysvammaisten henkilöiden pääsyä tietoihin, siten että tarjotaan mahdollisimman paljon ja oikeasuhteisesti selkokielisiä vaihtoehtoja.

(37)

Vaikka direktiiviä (EU) 2016/2102 ei sovelleta unionin toimielinten, elinten, laitosten ja virastojen verkkosivustoihin ja mobiilisovelluksiin, komission olisi varmistettava, että yhteinen käyttöliittymä ja sen vastuulla olevat verkkosivut, jotka on tarkoitus sisällyttää palveluväylään, ovat vammaisille henkilöille esteettömiä eli että ne ovat havaittavia, hallittavia, ymmärrettäviä ja toimintavarmoja. Havaittavuus tarkoittaa, että tiedot ja yhteisen käyttöliittymän osat on esitettävä käyttäjille tavoilla, jotka he voivat havaita; hallittavuus tarkoittaa, että yhteisen käyttöliittymän osien ja navigoinnin on oltava hallittavia; ymmärrettävyys tarkoittaa, että tietojen ja yhteisen käyttöliittymän toiminnan on oltava käsitettäviä; ja toimintavarmuus tarkoittaa, että sisällön on oltava riittävän toimintavarma, jotta hyvin erilaiset asiakassovellukset, mukaan lukien avustavat teknologiat, voivat tulkita sitä luotettavasti. Komissiota kannustetaan noudattamaan asiaankuuluvia yhdenmukaistettuja standardeja käsitteiden havaittava, hallittava, ymmärrettävä ja toimintavarma osalta.

(38)

Sähköisten menettelyjen osana tai neuvonta- tai ongelmanratkaisupalvelujen tarjoamista varten edellytettävien maksujen suorittamisen helpottamiseksi rajatylittävien käyttäjien olisi voitava käyttää Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 260/2012 (18) säädettyjä tilisiirtoja tai suoraveloituksia tai muita yleisesti käytettyjä rajatylittäviä maksutapoja, pankki- tai luottokortit mukaan luettuina.

(39)

Käyttäjille on aiheellista ilmoittaa menettelyn arvioitu kesto. Siten käyttäjille olisi ilmoitettava sovellettavista määräajoista tai hiljaista hyväksyntää tai viranomaisen toimimattomuutta koskevista järjestelyistä tai, jos niitä ei voida soveltaa, vähintään keskimääräinen, arvioitu tai suuntaa antava aika, jonka kyseessä oleva menettely yleensä kestää. Tällaisten arvioiden tarkoituksena on ainoastaan auttaa käyttäjiä suunnittelemaan toimintojaan tai mahdollisia myöhempiä hallinnollisia toimia eikä niillä pitäisi olla oikeusvaikutuksia.

(40)

Tässä asetuksessa olisi myös mahdollistettava käyttäjien sähköisessä muodossa toimittaman todistusmateriaalin todentaminen, jos kyseinen todistusmateriaali toimitetaan ilman myöntävän toimivaltaisen viranomaisen sähköistä leimaa tai sertifiointia tai jos tällä asetuksella perustettavaa teknistä välinettä tai muuta järjestelmää, joka mahdollistaa todistusmateriaalin suoran vaihdon tai todentamisen eri jäsenvaltioiden toimivaltaisten viranomaisten välillä, ei ole käytettävissä. Asetuksessa olisi säädettävä tällaisia tapauksia varten jäsenvaltioiden toimivaltaisten viranomaisten välisestä toimivasta hallinnollisen yhteistyön mekanismista, joka perustuu Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1024/2012 (19) perustettuun sisämarkkinoiden tietojenvaihtojärjestelmään, jäljempänä ”IMI”. Tällaisissa tapauksissa toimivaltaisen viranomaisen päätöksen IMI-järjestelmän käyttämisestä olisi perustuttava vapaaehtoisuuteen, mutta heti, kun tämä viranomainen on toimittanut tieto- tai yhteistyöpyynnön IMI-järjestelmän kautta, pyynnön vastaanottaneella toimivaltaisella viranomaisella olisi oltava velvollisuus tehdä yhteistyötä ja vastata. Pyyntö voidaan lähettää IMI-järjestelmän kautta joko todistusmateriaalin antaville toimivaltaisille viranomaisille tai jäsenvaltioiden omien hallinnollisten sääntöjensä mukaisesti osoittamalle keskusviranomaiselle. Tarpeettoman päällekkäisyyden välttämiseksi ja koska Euroopan parlamentin ja neuvoston asetus (EU) 2016/1191 (20) kattaa osan todistusmateriaalista, joka on merkityksellistä tämän asetuksen soveltamisalaan kuuluvien menettelyjen kannalta, asetuksessa (EU) 2016/1191 säädettyjä IMI-järjestelmää koskevia yhteistyöjärjestelyjä voidaan käyttää myös tämän asetuksen soveltamisalaan kuuluvien menettelyjen edellyttämän muun todistusmateriaalin hankkimiseksi. Jotta unionin elimet, laitokset tai virastot voisivat olla IMI-järjestelmän toimijoita, asetusta (EU) N:o 1024/2012 olisi muutettava.

(41)

Toimivaltaisten viranomaisten tarjoamat sähköiset palvelut ovat ratkaisevan tärkeitä, jotta voidaan parantaa kansalaisille ja yrityksille tarjottavien palvelujen laatua ja turvallisuutta. Jäsenvaltioiden julkishallinnossa pyritään yhä enemmän käyttämään tietoja uudelleen eikä edellytetä, että kansalaiset ja yritykset toimittavat samat tiedot useaan kertaan. Tietojen uudelleen käyttämistä olisi helpotettava rajatylittävien käyttäjien osalta ylimääräisen rasitteen vähentämiseksi.

(42)

Jotta voidaan mahdollistaa todistusmateriaalin ja tietojen laillinen rajatylittävä vaihto soveltamalla unionin laajuisesti yhden kerran periaatetta, tätä asetusta ja yhden kerran periaatetta olisi sovellettava kaikkien sovellettavien tietosuojaa koskevien sääntöjen mukaisesti, joita ovat muun muassa tietojen minimoinnin, paikkansapitävyyden, säilytyksen rajoittamisen, eheyden sekä luottamuksellisuuden, tarpeellisuuden, oikeasuhteisuuden ja käyttötarkoituksen rajaamisen periaatteet. Sen täytäntöönpanossa olisi myös noudatettava täysimääräisesti sisäänrakennetun turvallisuuden (security by design) ja sisäänrakennetun yksityisyyden (privacy by design) periaatteita ja kunnioitettava yksilön perusoikeuksia, myös oikeudenmukaisuuteen ja avoimuuteen liittyviä perusoikeuksia.

(43)	Jäsenvaltioiden olisi varmistettava, että menettelyjen käyttäjille toimitetaan selkeää tietoa siitä, miten heihin liittyviä henkilötietoja käsitellään, Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (21) 13 ja 14 artiklan ja asetuksen (EU) 2018/1725 (22) 15 ja 16 artiklan mukaisesti.

(44)

Sähköisten menettelyjen käytön helpottamiseksi tässä asetuksessa olisi säädettävä yhden kerran periaatteen mukaisesti perustasta täysin toimivan, turvallisen ja varman teknisen järjestelmän luomiseksi ja käyttämiseksi automaattista rajatylittävää todistusmateriaalin vaihtoa varten menettelyyn osallistuvien toimijoiden välillä, kun kansalaiset ja yritykset tätä nimenomaisesti pyytävät. Jos todistusmateriaalin vaihtoon sisältyy henkilötietoja, pyyntö olisi katsottava nimenomaiseksi, jos se sisältää henkilön vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen tahdonilmaisun kyseisten henkilötietojen vaihdosta joko suostumusta ilmaisevan lausuman tai selkeästi suostumusta ilmaisevan toimen muodossa. Jos käyttäjä ei ole henkilö, jota tiedot koskevat, sähköinen menettely ei saisi vaikuttaa hänen asetuksessa (EU) 2016/679 säädettyihin oikeuksiinsa. Yhden kerran periaatteen rajatylittävän soveltamisen olisi johdettava siihen, että kansalaisten ja yritysten tarvitsee toimittaa samat tiedot viranomaisille vain kerran ja siihen, että näitä tietoja voidaan myös käyttää käyttäjän pyynnöstä rajatylittäviä käyttäjiä koskevien rajatylittävien sähköisten menettelyjen hoitamiseksi. Myöntävän toimivaltaisen viranomaisen velvollisuutta käyttää teknistä järjestelmää eri jäsenvaltioiden välistä automaattista todistusmateriaalin vaihtoa varten olisi sovellettava ainoastaan, jos toimivaltaiset viranomaiset antavat laillisesti omassa jäsenvaltiossaan todistusmateriaalin sähköisessä muodossa, joka mahdollistaa tällaisen automaattisen vaihdon.

(45)	Rajatylittävällä todistusmateriaalin vaihdolla olisi oltava asianmukainen oikeusperusta, kuten direktiivit 2005/36/EY, 2006/123/EY, 2014/24/EU tai 2014/25/EU tai liitteessä II lueteltujen menettelyjen osalta muu sovellettava unionin oikeus tai kansallinen lainsäädäntö.

(46)

On asianmukaista, että tässä asetuksessa säädetään yleisenä sääntönä, että rajatylittävä automaattinen todistusmateriaalin vaihto toteutetaan käyttäjän nimenomaisesta pyynnöstä. Tätä vaatimusta ei kuitenkaan pitäisi soveltaa, jos asiaankuuluvassa unionin oikeudessa tai kansallisessa lainsäädännössä sallitaan automaattinen rajatylittävä tietojenvaihto ilman käyttäjän nimenomaista pyyntöä.

(47)

Tällä asetuksella perustetun teknisen järjestelmän käytön olisi oltava jatkossakin vapaaehtoista ja käyttäjän olisi jatkossakin voitava toimittaa todistusmateriaali muuten kuin tätä teknistä järjestelmää käyttäen. Käyttäjällä olisi oltava mahdollisuus tarkastella todistusmateriaalia etukäteen ja oikeus päättää olla vaihtamatta todistusmateriaalia tapauksissa, joissa käyttäjä vaihdettavaan todistusmateriaaliin tutustuttuaan toteaa tiedot virheellisiksi, vanhentuneiksi tai kyseisen menettelyn kannalta tarpeettomiksi. Etukäteen tarkasteltavia tietoja ei pitäisi tallentaa pidempään kuin on teknisesti välttämätöntä.

(48)

Suojatun teknisen järjestelmän, joka olisi perustettava tämän asetuksen mukaisen todistusmateriaalin vaihdon mahdollistamiseksi, olisi myös annettava pyytävälle toimivaltaiselle viranomaiselle varmuus siitä, että todistusmateriaalin on toimittanut oikea myöntävä viranomainen. Ennen kuin toimivaltainen viranomainen hyväksyy käyttäjän menettelyn yhteydessä toimittamat tiedot, sen olisi voitava todentaa tiedot epäselvissä tapauksissa ja todeta, että ne ovat paikkansapitäviä.

(49)

On olemassa monia perusvalmiuksia tarjoavia rakenneosia, joita voidaan käyttää teknisen järjestelmän luomiseen, kuten Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1316/2013 (23) perustettu Verkkojen Eurooppa -väline sekä sähköisen jakelun ja sähköisen tunnistuksen rakenneosat, jotka muodostavat osan kyseistä välinettä. Nämä rakenneosat koostuvat teknisistä eritelmistä, malliohjelmistoista ja tukipalveluista, ja niiden tarkoituksena on varmistaa eri jäsenvaltioiden nykyisten tieto- ja viestintätekniikoiden yhteentoimivuus, jotta kansalaiset, yritykset ja viranomaiset voivat hyötyä saumattomasti toimivista digitaalisista julkisista palveluista riippumatta olinpaikastaan unionissa.

(50)

Tällä asetuksella perustettavan teknisen järjestelmän olisi oltava käytettävissä muiden sellaisten järjestelmien lisäksi, jotka tarjoavat mekanismin viranomaisten väliselle yhteistyölle, kuten IMI, eikä se saisi vaikuttaa muihin järjestelmiin, mukaan luettuna asetuksessa (EY) N:o 987/2009 säädetty järjestelmä, direktiivissä 2014/24/EU säädetty yhteinen eurooppalainen hankinta-asiakirja, asetuksessa (EY) N:o 987/2009 säädetty sosiaaliturvatietojen sähköinen vaihtojärjestelmä, direktiivissä 2005/36/EY säädetty eurooppalainen ammattikortti, kansallisten rekisterien yhteenliittäminen ja Euroopan parlamentin ja neuvoston direktiivissä (EU) 2017/1132 (24) säädetty keskus-, kauppa- ja yhtiörekisterien yhteenliittäminen sekä Euroopan parlamentin ja neuvoston asetuksessa (EU) 2015/848 (25) säädetty maksukyvyttömyysrekisterien yhteenliittäminen.

(51)

Jotta voidaan varmistaa yhdenmukaiset edellytykset todistusmateriaalin automaattisen vaihdon mahdollistavan teknisen järjestelmän täytäntöönpanolle, komissiolle olisi siirrettävä täytäntöönpanovaltaa säätää erityisesti tekniset ja toiminnalliset eritelmät järjestelmälle, jolla käsitellään käyttäjän pyyntöä todistusmateriaalin vaihtamiseksi ja tällaisen todistusmateriaalin siirtämistä, sekä säätää säännöistä, jotka ovat tarpeen tietojen siirron eheyden ja luottamuksellisuuden varmistamiseksi. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (26) mukaisesti.

(52)

Jotta voidaan varmistaa, että tekniseen järjestelmään liittyy korkea turvallisuustaso yhden kerran periaatteen rajatylittävässä soveltamisessa, komission olisi tällaisen teknisen järjestelmän eritelmiä koskevia täytäntöönpanosäädöksiä antaessaan otettava asianmukaisesti huomioon eurooppalaisten ja kansainvälisten standardointijärjestöjen ja -elinten standardit ja tekniset eritelmät, erityisesti Euroopan standardointikomitean (CEN), eurooppalaisen telealan standardisoimisjärjestön (ETSI), Kansainvälisen standardisoimisjärjestön (ISO) ja Kansainvälisen televiestintäliiton (ITU) standardit ja tekniset eritelmät, sekä asetuksen (EU) 2016/679 32 artiklassa ja asetuksen (EU) 2018/1725 22 artiklassa tarkoitetut turvallisuusstandardit.

(53)	Komission olisi pyydettävä neuvoa tarvittaessa Euroopan tietosuojavaltuutetulta, jotta voidaan varmistaa teknisen järjestelmän niiden osien kehittäminen, saatavuus, ylläpito, valvonta, seuranta ja turvallisuudenhallinta, joista komissio vastaa.

(54)

Toimivaltaisten viranomaisten ja komission olisi varmistettava, että niiden vastuulla olevat tiedot, menettelyt ja palvelut ovat laatuvaatimusten mukaisia. Tämän asetuksen nojalla nimitettyjen kansallisten koordinaattoreiden ja komission olisi säännöllisin väliajoin valvottava laatu- ja turvallisuusvaatimusten noudattamista kansallisella ja unionin tasolla ja puututtava esiin tuleviin ongelmiin. Lisäksi kansallisten koordinaattorien olisi avustettava komissiota todistusmateriaalin rajatylittävän vaihdon mahdollistavan teknisen järjestelmän toiminnan valvonnassa. Tällä asetuksella olisi annettava komissiolle erilaisia keinoja puuttua palveluväylän kautta tarjottavien palvelujen laadun heikkenemiseen riippuen heikkenemisen vakavuudesta ja jatkuvuudesta; tähän sisältyy myös palveluväylän koordinointiryhmän ottaminen tarvittaessa mukaan toimiin. Tämä ei saisi vaikuttaa komission yleiseen vastuuseen, joka koskee tämän asetuksen noudattamisen valvontaa.

(55)

Tässä asetuksessa olisi täsmennettävä palveluväylän toimintaa tukevien teknisten välineiden, etenkin yhteisen käyttöliittymän, linkkirekisterin ja yhteisen neuvontapalveluhaun, keskeiset toiminnot. Yhteisellä käyttöliittymällä olisi varmistettava, että käyttäjät löytävät helposti tiedot, menettelyt sekä neuvonta- ja ongelmanratkaisupalvelut kansallisilta ja unionin tason verkkosivustoilta. Jäsenvaltioiden ja komission olisi pyrittävä tarjoamaan linkkejä yhteen palveluväylän edellyttämien tietojen lähteeseen, jotta vältetään aiheuttamasta käyttäjien keskuudessa sekaannusta sillä, että samoja tietoja annetaan eri lähteistä taikka kokonaan tai osittain päällekkäisistä lähteistä. Tällä ei pitäisi sulkea pois mahdollisuutta liittää linkkejä samoihin toimivaltaisten paikallis- tai alueviranomaisten tarjoamiin tietoihin, jotka koskevat eri maantieteellisiä alueita. Sillä ei olisi myöskään estettävä tiettyä tietojen päällekkäisyyttä, jos sitä ei voida välttää tai se on toivottavaa, esimerkiksi tapauksissa, joissa jotkin unioniin liittyvät oikeudet, velvollisuudet ja säännöt toistetaan tai kuvataan kansallisilla verkkosivuilla helppokäyttöisyyden parantamiseksi. Jotta yhteisessä käyttöliittymässä käytettävien linkkien päivittäminen edellyttäisi mahdollisimman vähän ihmisen osallistumista, olisi luotava suora yhteys jäsenvaltioiden asianomaisten teknisten järjestelmien ja linkkirekisterin välille, jos se on teknisesti mahdollista. Yhteiset tieto- ja viestintätekniset tukivälineet voisivat käyttää keskeisten julkisten palvelujen sanastoa (Core Public Services Vocabulary, CPSV), jotta helpotetaan yhteentoimivuutta kansallisten palveluluetteloiden ja semantiikan kanssa. Jäsenvaltioita olisi kannustettava käyttämään keskeisten julkisten palvelujen sanastoa, mutta ne voivat päättää käyttää kansallisia ratkaisuja. Linkkirekisterin tiedot olisi asetettava julkisesti saataville avoimessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, esimerkiksi sovellusliittymien (API) avulla, jotta niitä voidaan käyttää uudelleen.

(56)

Yhteisen käyttöliittymän hakuvälineen olisi johdettava käyttäjät heidän tarvitsemiinsa tietoihin riippumatta siitä, missä tieto on unionin tai kansallisen tason verkkosivuilla. Lisäksi vaihtoehtoisena tapana ohjata käyttäjiä hyödylliseen tietoon se auttaa jatkossakin luomaan linkkejä nykyisten ja täydentävien verkkosivustojen tai verkkosivujen välille järkeistämällä ja ryhmittelemällä niitä yhteen mahdollisimman paljon sekä luomaan linkkejä sellaisten unionin ja kansallisen tason verkkosivujen ja verkkosivustojen välille, joilta on pääsy sähköisiin palveluihin ja tietoihin.

(57)

Tässä asetuksessa olisi eriteltävä myös yhteisen käyttöliittymän laatuvaatimukset. Komission olisi varmistettava, että yhteinen käyttöliittymä on kyseisten vaatimusten mukainen, ja erityisesti käyttöliittymän olisi oltava käytettävissä ja saatavilla sähköisesti erilaisten kanavien kautta sekä helppo käyttää.

(58)

Jotta varmistetaan palveluväylää tukevien teknisten ratkaisujen yhdenmukaiset täytäntöönpanoedellytykset, komissiolle olisi siirrettävä täytäntöönpanovaltaa tarvittaessa säätää sovellettavista vaatimuksista ja yhteentoimivuuden edellytyksistä, jotta helpotetaan tietojen löytämistä säännöistä ja velvollisuuksista, menettelyistä sekä neuvonta- ja ongelmanratkaisupalveluista, jotka kuuluvat jäsenvaltioiden ja komission vastuulle. Tätä valtaa olisi käytettävä asetuksen (EU) N:o 182/2011 mukaisesti.

(59)

Tällä asetuksella olisi myös jaettava selvästi palveluväylää tukevien tieto- ja viestintäteknisten sovellusten kehittämiseen, saatavuuteen, ylläpitoon ja turvallisuuteen liittyvät vastuualueet komission ja jäsenvaltioiden välillä. Komission ja jäsenvaltioiden ylläpitotehtäviin kuuluu, että ne valvovat säännöllisesti näiden tieto- ja viestintäteknisten sovellusten asianmukaista toimintaa.

(60)

Jotta palveluväylään sisällytettävien eri alojen tiedoista, menettelyistä ja neuvonta- ja ongelmanratkaisupalveluista saadaan mahdollisimman suuri hyöty, olisi parannettava merkittävästi kohdeyleisön tietoisuutta niiden olemassaolosta ja toiminnasta. Kun käyttäjien tarvitsemat tiedot, menettelyt sekä neuvonta- ja ongelmanratkaisupalvelut sisällytetään palveluväylään, niiden löytämisen pitäisi olla huomattavasti helpompaa, vaikka käyttäjät eivät ennalta tuntisikaan niitä. Lisäksi tarvitaan koordinoituja toimia tunnettuuden edistämiseksi, jotta varmistetaan, että unionin kansalaiset ja yritykset saavat tietoa palveluväylän olemassaolosta ja sen tarjoamista hyödyistä. Tällaisiin tunnettuuden edistämistä koskeviin toimiin olisi kuuluttava hakukoneoptimointi ja muita sähköisiä tiedotustoimia, sillä nämä ovat kustannustehokkaimpia ja niiden avulla pystytään tavoittamaan kaikkein laajin kohdeyleisö. Vaikuttavuuden maksimoimiseksi palveluväylän koordinointiryhmän olisi koordinoitava tunnettuuden edistämistä koskevia toimia ja jäsenvaltioiden olisi mukautettava tunnettuuden edistämistä koskevia toimiaan niin, että palveluväylään viitataan kaikissa asiaan liittyvissä yhteyksissä yhteisellä nimityksellä. Palveluväylän markkinointinimi voidaan myös nivoa kansallisiin aloitteisiin.

(61)	Kaikkia unionin toimielimiä, elimiä ja virastoja olisi kannustettava edistämään palveluväylän tunnettuutta lisäämällä kaikkiin oman vastuualansa verkkosivuihin palveluväylän logo ja linkkejä palveluväylään.

(62)

Nimen, jolla palveluväylä on tarkoitus tehdä tunnetuksi yleisön keskuudessa, olisi oltava ”Your Europe”. Yhteisen käyttöliittymän olisi oltava näkyvä ja helposti löydettävissä erityisesti asiaan liittyvillä kansallisilla ja unionin verkkosivuilla. Palveluväylän logon olisi oltava näkyvillä asianomaisilla unionin ja kansallisilla verkkosivustoilla.

(63)

Jotta saataisiin riittävästi tietoa palveluväylän toimivuuden mittaamista ja parantamista varten, tässä asetuksessa olisi edellytettävä, että toimivaltaiset viranomaiset ja komissio keräävät ja analysoivat palveluväylän kautta tarjottavien eri alojen tietojen, menettelyjen ja palvelujen käyttöön liittyvät tiedot. Keräämällä käyttäjiä koskevia tilastoja, kuten tietoa käyntimääristä tietyillä verkkosivuilla, käyttäjämääristä tietyssä jäsenvaltiossa verrattuna muista jäsenvaltioista tuleviin käyttäjiin, käytetyistä hakusanoista, verkkosivuista, joilla käydään eniten, linkittävistä verkkosivuista tai neuvontapyyntöjen määrästä, alkuperästä ja aiheesta, olisi parannettava palveluväylän toimintaa auttamalla yleisön määrittämisessä, tunnettuuden edistämistä koskevien toimien kehittämisessä ja tarjottujen palvelujen laadun parantamisessa. Tällaisten tietojen keräämisessä olisi otettava huomioon komission suorittama vuotuinen sähköisiä viranomaispalveluja koskeva vertailu, jotta vältetään päällekkäisyyttä.

(64)	Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa säätää käyttäjätilastojen keräämis- ja vaihtomenetelmiä koskevista yhdenmukaisista säännöistä. Tätä valtaa olisi käytettävä asetuksen (EU) N:o 182/2011 mukaisesti.

(65)

Palveluväylän laatu perustuu palveluväylällä tarjottujen unionin ja kansallisten palvelujen laatuun. Tämän vuoksi palveluväylän kautta saatavien tietojen, menettelyjen ja neuvonta- ja ongelmanratkaisupalvelujen laatua olisi valvottava säännöllisesti myös käyttäjäpalautevälineellä, joka pyytää käyttäjiä arvioimaan käyttämiensä tietojen, menettelyjen ja neuvonta- ja ongelmanratkaisupalvelujen kattavuutta ja laatua ja antamaan niistä palautetta. Palaute olisi kerättävä yhteisellä välineellä, jonka pitäisi olla komission, toimivaltaisten viranomaisten ja kansallisten koordinaattoreiden käytettävissä. Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano käyttäjäpalautevälineiden yhteisten toimintojen ja käyttäjäpalautteen keräämiseen ja jakamiseen liittyvien yksityiskohtaisten sääntöjen osalta, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä asetuksen (EU) N:o 182/2011 mukaisesti. Komission olisi julkaistava anonymisoidussa muodossa sähköinen yhteenveto tämän asetuksen mukaisesti kerätyistä tiedoista esiin tulevista ongelmista sekä käyttäjätilastoihin ja käyttäjäpalautteeseen liittyvistä keskeisistä seikoista.

(66)

Lisäksi palveluväylään olisi sisällyttävä palauteväline, jonka avulla käyttäjien on mahdollista tuoda vapaaehtoisesti ja nimettömästi esiin sisämarkkinaoikeuksien käyttämisessä kohtaamiaan ongelmia ja vaikeuksia. Tämän välineen olisi katsottava vain täydentävän valituksenkäsittelymekanismeja, koska sillä ei voida tarjota räätälöityä vastausta käyttäjille. Saadut tiedot olisi yhdistettävä neuvonta- ja ongelmanratkaisupalveluista niiden käsittelemistä tapauksista saatuihin koottuihin tietoihin, jotta saadaan yleiskatsaus sisämarkkinoista käyttäjien kannalta ja yksilöidään ongelma-alueita mahdollisia tulevia toimia varten sisämarkkinoiden toiminnan parantamiseksi. Tämä yhteenveto olisi liitettävä olemassa oleviin raportointivälineisiin, esimerkiksi sisämarkkinoiden tulostauluun.

(67)

Tämän asetuksen ei pitäisi vaikuttaa jäsenvaltioiden oikeuteen päättää siitä, kuka huolehtii kansallisen koordinaattorin tehtävästä. Jäsenvaltioiden olisi voitava mukauttaa kansallisten koordinaattoreidensa palveluväylään liittyviä toimintoja ja vastuualueita kansallisten hallintorakenteidensa mukaisesti. Jäsenvaltioiden olisi voitava nimittää lisää kansallisia koordinaattoreita hoitamaan tämän asetuksen mukaisia tehtäviä yksin tai yhdessä muiden koordinaattoreiden kanssa, ja näillä kansallisilla koordinaattoreilla olisi tällöin vastuu hallintoalan tai maantieteellisen alueen osalta tai muiden perusteiden mukaan. Jäsenvaltioiden olisi ilmoitettava komissiolle yksi kansallinen koordinaattori, jonka ne ovat nimittäneet vastaamaan yhteydenpidosta komissioon.

(68)

Olisi perustettava kansallisista koordinaattoreista koostuva palveluväylän koordinointiryhmä, jonka puheenjohtajana toimii komissio ja jonka tehtävänä on tämän asetuksen soveltamisen helpottaminen erityisesti vaihtamalla hyviä toimintatapoja ja tekemällä yhteistyötä, jotta tämän asetuksen mukaisesti vaaditut tiedot esitettäisiin johdonmukaisemmin. Palveluväylän koordinointiryhmän työssä olisi otettava huomioon tavoitteet, jotka on asetettu vuotuisessa työohjelmassa, joka komission olisi toimitettava koordinointiryhmälle käsiteltäväksi. Vuotuinen työohjelma olisi annettava suuntaviivojen tai suositusten, jotka eivät ole jäsenvaltioita sitovia, muodossa. Komissio voi Euroopan parlamentin pyynnöstä päättää pyytää parlamenttia lähettämään asiantuntijoita osallistumaan palveluväylän koordinointiryhmän kokouksiin.

(69)

Tässä asetuksessa olisi selvennettävä, mitkä palveluväylän osat on määrä rahoittaa unionin talousarviosta ja mitkä ovat jäsenvaltioiden vastuulla. Komission olisi avustettava jäsenvaltioita määrittämään uudelleenkäytettävät tieto- ja viestintätekniset rakenneosat ja unionin eri rahastoista ja ohjelmista saatavilla oleva rahoitus, joka voi auttaa kattamaan tämän asetuksen noudattamiseksi tarvittavista kansallisista tieto- ja viestintäteknisistä mukautuksista ja tietotekniikan kehittämisestä aiheutuvat kustannukset. Tämän asetuksen täytäntöönpanoon tarvittavan talousarvion olisi oltava sovellettavan monivuotisen rahoituskehyksen mukainen.

(70)

Jäsenvaltioita kannustetaan keskinäisen koordinoinnin, tietojenvaihdon ja yhteistyön lisäämiseen, jotta ne voisivat parantaa strategisia ja operatiivisia sekä tutkimus- ja kehittämisvalmiuksiaan kyberturvallisuuden alalla, erityisesti Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/1148 (27) tarkoitetun verkko- ja tietoturvan täytäntöönpanon avulla, julkishallintojensa ja palvelujensa turvallisuuden ja häiriönsietokyvyn vahvistamiseksi. Jäsenvaltioita kannustetaan parantamaan maksujen turvallisuutta ja varmistamaan sähköisten välineiden riittävä luotettavuus käyttämällä asetuksessa (EU) N:o 910/2014 säädettyä sähköistä tunnistamista koskevaa eIDAS-kehystä ja erityisesti asianmukaisia varmuustasoja. Jäsenvaltiot voivat toteuttaa unionin lainsäädännön mukaisia toimenpiteitä kyberturvallisuuden takaamiseksi ja henkilöllisyyspetosten ja muunlaisten petosten estämiseksi.

(71)

Jos tämän asetuksen soveltamiseen liittyy henkilötietojen käsittelyä, sen olisi tapahduttava henkilötietojen suojasta annetun unionin lainsäädännön mukaisesti, etenkin asetuksen (EU) 2016/679 sekä asetuksen (EU) 2018/1725 mukaisesti. Tämän asetuksen yhteydessä olisi sovellettava myös Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/680 (28). Asetuksen (EU) 2016/679 mukaisesti jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön terveystietojen käsittelyä koskevia lisäehtoja, kuten rajoituksia, ja ne voivat antaa myös yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä.

(72)

Tämän asetuksen olisi edistettävä ja helpotettava palveluväylän kattamien palvelujen hallintojärjestelyjen yksinkertaistamista. Tätä varten komission olisi tiiviissä yhteistyössä jäsenvaltioiden kanssa tarkasteltava nykyisiä hallintojärjestelyjä ja mukautettava niitä tarvittaessa päällekkäisyyden ja tehottomuuden välttämiseksi.

(73)

Tämän asetuksen tavoitteena on varmistaa, että käyttäjillä, jotka toimivat muissa jäsenvaltioissa, on mahdollisuus käyttää verkon kautta kattavia, luotettavia, esteettömiä ja ymmärrettäviä unionin ja kansallisen tason tietoja oikeuksista, säännöistä ja velvollisuuksista, sähköisiä menettelyjä, jotka voidaan hoitaa täysin rajatylittävästi, sekä neuvonta- ja ongelmanratkaisupalveluja. Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa mainittua tavoitetta, vaan se voidaan asetuksen laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla; sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(74)

Jotta jäsenvaltiot ja komissio voisivat kehittää ja panna täytäntöön välineet, jotka ovat tarpeen tämän asetuksen täytäntöönpanoa varten, tiettyjä sen säännöksiä olisi alettava soveltaa kaksi vuotta sen voimaantulon jälkeen. Kuntaviranomaisille olisi annettava aikaa neljä vuotta tämän asetuksen voimaantulosta panna täytäntöön vaatimus tarjota tietoja säännöistä, menettelyistä sekä neuvonta- ja ongelmanratkaisupalveluista, jotka ovat niiden vastuulla. Tämän asetuksen säännökset, jotka koskevat kokonaan sähköisesti tarjottavia menettelyjä, rajatylittävää pääsyä sähköisiin menettelyihin sekä teknistä järjestelmää automaattista rajatylittävää todistusmateriaalin vaihtoa varten yhden kerran periaatteen mukaisesti, olisi pantava täytäntöön viimeistään viiden vuoden kuluttua tämän asetuksen voimaantulosta.

(75)	Tässä asetuksessa kunnioitetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja perusoikeuksia ja noudatetaan siinä tunnustettuja periaatteita, ja se olisi pantava täytäntöön näiden oikeuksien ja periaatteiden mukaisesti.

(76)	Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (29) 28 artiklan 2 kohdan mukaisesti ja hän on antanut lausunnon 1 päivänä elokuuta 2017 (30),

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla

Kohde

1. Tässä asetuksessa vahvistetaan säännöt

yhteisen digitaalisen palveluväylän perustamiselle ja toiminnalle, jotta kansalaisille ja yrityksille voidaan tarjota mahdollisuus käyttää helposti korkealaatuisia tietoja, toimivia menettelyjä sekä tehokkaita neuvonta- ja ongelmanratkaisupalveluja, jotka koskevat sellaisiin kansalaisiin ja yrityksiin sovellettavia unionin ja kansallisen tason sääntöjä, jotka käyttävät tai haluavat käyttää unionin sisämarkkinalainsäädännöstä johtuvia, Euroopan unionin toiminnasta tehdyn sopimuksen 26 artiklan 2 kohdassa tarkoitettuja oikeuksiaan;

b)	menettelyjen käytölle, kun kyse on rajatylittävistä käyttäjistä, ja yhden kerran periaatteen täytäntöönpanolle tämän asetuksen liitteessä II ja direktiiveissä 2005/36/EY, 2006/123/EY, 2014/24/EU ja 2014/25/EU säädettyjen menettelyjen yhteydessä;

c)	sisämarkkinoilla esiintyviä esteitä koskevalle raportoinnille käyttäjäpalautteen ja palveluväylän kattamista palveluista saatavien tilastotietojen keruun perusteella.

2. Jos tämä asetus on ristiriidassa jonkin toisen unionin säädöksen, jolla säännellään tämän asetuksen kohteen erityisiä näkökohtia, säännösten kanssa, kyseisen toisen unionin säädöksen säännökset ovat ensisijaisia.

3. Tämä asetus ei vaikuta minkään unionin tai kansallisessa lainsäädännössä säädetyn menettelyn asiasisältöön tai tällaisen menettelyn kautta myönnettyihin oikeuksiin tämän asetuksen soveltamisalaan kuuluvilla aloilla. Tämä asetus ei myöskään vaikuta toimenpiteisiin, jotka toteutetaan unionin lainsäädännön mukaisesti kyberturvallisuuden takaamiseksi ja petosten estämiseksi.

2 artikla

Yhteisen digitaalisen palveluväylän perustaminen

1. Komissio ja jäsenvaltiot perustavat yhteisen digitaalisen palveluväylän, jäljempänä ”palveluväylä”, tämän asetuksen mukaisesti. Palveluväylä muodostuu komission hallinnoimasta yhteisestä käyttöliittymästä, jäljempänä ”yhteinen käyttöliittymä”, joka integroidaan Sinun Eurooppasi -portaaliin ja josta on pääsy asianomaisille unionin ja kansallisille verkkosivuille.

2. Palveluväylän kautta saa

a)	tietoja unionin ja kansallisen tason lainsäädännössä säädetyistä oikeuksista, velvollisuuksista ja säännöistä, joita sovelletaan käyttäjiin, jotka käyttävät tai haluavat käyttää unionin sisämarkkinalainsäädännöstä johtuvia oikeuksiaan liitteessä I luetelluilla aloilla;

tietoja unionin tai kansallisella tasolla käyttöön otetuista sähköisistä ja muista menettelyistä, myös liitteen II kattamista menettelyistä, ja linkkejä sähköisiin menettelyihin, jotta käyttäjille annetaan mahdollisuus käyttää oikeuksia ja noudattaa velvollisuuksia ja sääntöjä sisämarkkinoilla liitteessä I luetelluilla aloilla;

tietoja liitteessä III luetelluista tai 7 artiklassa tarkoitetuista neuvonta- ja ongelmanratkaisupalveluista ja linkkejä näihin palveluihin, joille kansalaiset ja yritykset voivat esittää kysymyksiä tai ongelmia, jotka liittyvät tämän kohdan a ja b alakohdassa tarkoitettuihin oikeuksiin, velvollisuuksiin, sääntöihin tai menettelyihin.

3. Yhteisen käyttöliittymän on oltava käytettävissä kaikilla unionin virallisilla kielillä.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

1)	”käyttäjällä” unionin kansalaista, jäsenvaltiossa oleskelevaa luonnollista henkilöä tai oikeushenkilöä, jonka rekisteröity kotipaikka on jossakin jäsenvaltiossa ja joka käyttää 2 artiklan 2 kohdassa tarkoitettuja tietoja, menettelyjä tai neuvonta- tai ongelmanratkaisupalveluja palveluväylän kautta;

2)	”rajatylittävällä käyttäjällä” käyttäjää tilanteessa, joka ei kaikilta osin rajoitu yhden jäsenvaltion alueelle;

3)	”menettelyllä” peräkkäisiä toimia, jotka käyttäjien on toteutettava täyttääkseen vaatimukset tai saadakseen toimivaltaiselta viranomaiselta päätöksen voidakseen käyttää 2 artiklan 2 kohdan a alakohdassa tarkoitettuja oikeuksiaan;

4)	”toimivaltaisella viranomaisella” jäsenvaltion kansallisen, alueellisen tai paikallisen tason viranomaista tai elintä, jolla on erityisiä vastuita, jotka liittyvät tämän asetuksen soveltamisalaan kuuluviin tietoihin, menettelyihin tai neuvonta- ja ongelmanratkaisupalveluihin;

”todistusmateriaalilla” käytetystä viestintätavasta riippumatta asiakirjoja tai tietoja, mukaan luettuna teksti tai ääni- tai kuvatallenne tai audiovisuaalinen tallenne, joita toimivaltainen viranomainen edellyttää tosiseikkojen tai sen todistamiseksi, että 2 artiklan 2 kohdan b alakohdassa tarkoitettuja menettelyllisiä vaatimuksia on noudatettu.

II LUKU

PALVELUVÄYLÄN PALVELUT

4 artikla

Tietojen saatavuus

1. Jäsenvaltioiden on varmistettava, että käyttäjät saavat helposti sähköisesti käyttöönsä niiden kansallisilta verkkosivuilta

a)	tiedot 2 artiklan 2 kohdan a alakohdassa tarkoitetuista oikeuksista, velvollisuuksista ja säännöistä, jotka johtuvat kansallisesta lainsäädännöstä;

b)	tiedot 2 artiklan 2 kohdan b alakohdassa tarkoitetuista menettelyistä, jotka on otettu käyttöön kansallisella tasolla;

c)	tiedot 2 artiklan 2 kohdan c alakohdassa tarkoitetuista neuvonta- ja ongelmanratkaisupalveluista, joita tarjotaan kansallisella tasolla.

2. Komissio varmistaa, että käyttäjät saavat helposti sähköisesti käyttöönsä Sinun Eurooppasi -portaalista

a)	tiedot 2 artiklan 2 kohdan a alakohdassa tarkoitetuista oikeuksista, velvollisuuksista ja säännöistä, jotka johtuvat unionin lainsäädännöstä;

b)	tiedot 2 artiklan 2 kohdan b alakohdassa tarkoitetuista menettelyistä, jotka on otettu käyttöön unionin tasolla;

c)	tiedot 2 artiklan 2 kohdan c alakohdassa tarkoitetuista neuvonta- ja ongelmanratkaisupalveluista, joita tarjotaan unionin tasolla.

5 artikla

Muiden kuin liitteeseen I sisältyvien tietojen saatavuus

1. Komissio ja jäsenvaltiot voivat tarjota linkkejä tietoihin, joita ei ole lueteltu liitteessä I ja joita toimivaltaiset viranomaiset, komissio tai unionin elimet, laitokset ja virastot tarjoavat, edellyttäen, että nämä tiedot kuuluvat palveluväylän soveltamisalaan sellaisena kuin se on määriteltynä 1 artiklan 1 kohdan a alakohdassa ja täyttävät 9 artiklassa säädetyt laatuvaatimukset.

2. Linkit tämän artiklan 1 kohdassa tarkoitettuihin tietoihin on tarjottava 19 artiklan 2 ja 3 kohdan mukaisesti.

3. Ennen linkkien aktivoimista komissio tarkistaa, että 1 kohdassa säädettyjä ehtoja noudatetaan, ja kuulee palveluväylän koordinointiryhmää.

6 artikla

Menettelyt, jotka on tarjottava kokonaan sähköisesti

1. Kunkin jäsenvaltion on varmistettava, että käyttäjät voivat hoitaa minkä tahansa liitteessä II luetellun menettelyn täysin sähköisesti, edellyttäen että kyseessä oleva menettely on otettu käyttöön asianomaisessa jäsenvaltiossa.

2. Edellä 1 kohdassa tarkoitettuja menettelyjä pidetään täysin sähköisesti hoidettavina, jos

käyttäjien tunnistautuminen, tietojen ja todistusmateriaalin toimittaminen, allekirjoitus ja lopullinen toimittaminen voidaan kaikki tehdä sähköisesti etäältä sellaisen palvelukanavan kautta, joka antaa käyttäjille mahdollisuuden täyttää menettelyyn liittyvät vaatimukset käyttäjäystävällisesti ja jäsennellysti;

b)	käyttäjille toimitetaan automaattinen vastaanottoilmoitus, paitsi jos menettelyn tulos toimitetaan välittömästi;

c)	menettelyn tulos toimitetaan sähköisesti tai, jos se on tarpeen sovellettavan unionin oikeuden tai kansallisen lainsäädännön noudattamiseksi, se toimitetaan fyysisenä kappaleena; ja

d)	käyttäjille toimitetaan sähköinen ilmoitus menettelyn loppuun saattamisesta.

3. Jos tavoitetta ei voida saavuttaa täysin sähköisesti poikkeustapauksissa, jotka ovat perusteltuja yleiseen turvallisuuteen, kansanterveyteen tai petostentorjuntaan liittyvää yleistä etua koskevista pakottavista syistä, jäsenvaltiot voivat vaatia, että käyttäjä asioi henkilökohtaisesti toimivaltaisen viranomaisen luona menettelyn jossakin vaiheessa. Tällaisissa poikkeustapauksissa jäsenvaltioiden on rajoitettava tällainen fyysinen läsnäolo siihen, mikä on ehdottoman välttämätöntä ja puolueettomasti perusteltua, ja varmistettava, että menettelyn muut vaiheet voidaan hoitaa täysin sähköisesti. Jäsenvaltioiden on myös varmistettava, että fyysistä läsnäoloa koskevat vaatimukset eivät johda rajatylittävien käyttäjien syrjintään.

4. Jäsenvaltioiden on ilmoitettava ja selitettävä komission ja muiden jäsenvaltioiden saatavilla olevan yhteisen rekisterin välityksellä syyt ja olosuhteet, joiden johdosta saatetaan vaatia fyysistä läsnäoloa 3 kohdassa tarkoitettuja menettelyvaiheita varten, sekä syyt ja olosuhteet, joiden johdosta on tarpeen toimittaa fyysinen kappale 2 kohdan c alakohdassa tarkoitetulla tavalla.

5. Tämä artikla ei estä jäsenvaltioita tarjoamasta käyttäjille lisäksi mahdollisuuden hoitaa 2 artiklan 2 kohdan b alakohdassa tarkoitetut menettelyt muutoin kuin sähköisesti tai ottamasta suoraan yhteyttä käyttäjiin.

7 artikla

Neuvonta- ja ongelmanratkaisupalvelujen käyttömahdollisuudet

1. Jäsenvaltioiden ja komission on varmistettava, että 2 artiklan 2 kohdan c alakohdassa tarkoitetut neuvonta- ja ongelmanratkaisupalvelut ovat helposti käyttäjien, myös rajatylittävien käyttäjien, saatavilla sähköisesti eri kanavien kautta.

2. Jäljempänä 28 artiklassa tarkoitetut kansalliset koordinaattorit ja komissio voivat tarjota linkkejä toimivaltaisten viranomaisten, komission tai unionin elinten, laitosten ja virastojen tarjoamiin muihin kuin liitteessä III lueteltuihin neuvonta- ja ongelmanratkaisupalveluihin 19 artiklan 2 ja 3 kohdan mukaisesti, edellyttäen että tällaiset palvelut täyttävät 11 ja 16 artiklassa säädetyt laatuvaatimukset.

3. Kansallinen koordinaattori voi ehdottaa komissiolle, että palveluväylään sisällytetään linkkejä yksityisten tai osittain yksityisten tahojen tarjoamiin neuvonta- ja ongelmanratkaisupalveluihin, jos se on tarpeen käyttäjien tarpeiden täyttämiseksi ja jos nämä palvelut täyttävät seuraavat edellytykset:

a)	ne tarjoavat tietoa tai neuvontaa tämän asetuksen soveltamisalaan kuuluvilla aloilla ja sen soveltamisalaan kuuluvia tarkoituksia varten ja täydentävät palveluväylään jo sisältyviä palveluja;

b)	ne tarjotaan maksutta tai mikroyritysten, voittoa tavoittelemattomien organisaatioiden ja kansalaisten kannalta kohtuullisella hinnalla; ja

c)	ne täyttävät 8, 11 ja 16 artiklassa säädetyt vaatimukset.

4. Jos kansallinen koordinaattori on ehdottanut linkin sisällyttämistä palveluväylään tämän artiklan 3 kohdan mukaisesti ja tarjoaa tämän linkin 19 artiklan 3 kohdan mukaisesti, komissio arvioi, täyttääkö kyseisen linkin kautta sisällytettävä palvelu tämän artiklan 3 kohdassa säädetyt edellytykset, ja jos edellytykset täyttyvät, se aktivoi linkin.

Jos komissio katsoo, että sisällytettävä palvelu ei täytä 3 kohdassa säädettyjä edellytyksiä, se ilmoittaa kansalliselle koordinaattorille syyt, joiden vuoksi se ei ole aktivoinut linkkiä.

8 artikla

Verkkopalveluiden saavutettavuutta koskevat laatuvaatimukset

Komissio parantaa niiden verkkosivustojen ja verkkosivujen saavutettavuutta, joiden kautta se tarjoaa pääsyn 4 artiklan 2 kohdassa tarkoitettuihin tietoihin ja 7 artiklassa tarkoitettuihin neuvonta- ja ongelmanratkaisupalveluihin, tekemällä niistä havaittavia, hallittavia, ymmärrettäviä ja toimintavarmoja.

III LUKU

LAATUVAATIMUKSET

1 JAKSO

Oikeuksia, velvollisuuksia ja sääntöjä, menettelyjä ja neuvonta- ja ongelmanratkaisupalveluja koskeviin tietoihin liittyvät laatuvaatimukset

9 artikla

Oikeuksia, velvollisuuksia ja sääntöjä koskevien tietojen laatu

1. Jos jäsenvaltiot ja komissio ovat 4 artiklan mukaisesti vastuussa 2 artiklan 2 kohdan a alakohdassa tarkoitettujen tietojen saatavuudesta, niiden on varmistettava, että kyseiset tiedot täyttävät seuraavat vaatimukset:

a)	ne ovat helppokäyttöisiä ja antavat käyttäjille mahdollisuuden löytää ja ymmärtää tiedot vaivattomasti ja tunnistaa helposti, millä tiedoilla on merkitystä heidän tilanteessaan;

b)	ne ovat paikkansapitäviä ja sisältävät riittävän kattavasti tiedot, jotka käyttäjien on tiedettävä voidakseen käyttää oikeuksiaan noudattaen täysin sovellettavia sääntöjä ja velvollisuuksia;

c)	ne sisältävät viitteet, linkit säädöksiin, tekniset eritelmät ja suuntaviivat tarpeen mukaan;

d)	ne sisältävät toimivaltaisen viranomaisen tai sen tahon nimen, joka on vastuussa tietojen sisällöstä;

ne sisältävät mahdollisten asiaankuuluvien neuvonta- ja ongelmanratkaisupalvelujen yhteystiedot, esimerkiksi puhelinnumeron, sähköpostiosoitteen, sähköisen kyselylomakkeen tai minkä tahansa muun yleisesti käytetyn sähköisen viestinnän välineen, joka soveltuu parhaiten tarjottuun palvelutyyppiin ja kyseisen palvelun kohdeyleisöön;

f)	ne sisältävät tietojen viimeisimmän päivityspäivän, jos sellainen on, tai jos tietoja ei ole päivitetty, tietojen julkaisupäivän;

g)	ne ovat hyvin jäsenneltyjä ja esitetty niin, että käyttäjät löytävät nopeasti tarvitsemansa tiedot;

h)	ne pidetään ajan tasalla; ja

i)	ne on kirjoitettu selvästi ja yksinkertaisesti ja kohdekäyttäjien tarpeisiin mukautetulla tavalla.

2. Jäsenvaltioiden on asetettava tämän artiklan 1 kohdassa tarkoitetut tiedot saataville 12 artiklan mukaisesti sellaisella unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät.

10 artikla

Menettelyjä koskevien tietojen laatu

1. Jäsenvaltioiden ja komission on varmistettava 4 artiklan noudattamista varten, että ennen kuin käyttäjien on tunnistauduttava menettelyn käynnistämistä varten heidän saatavillaan on tarvittaessa riittävän kattavat, selkeät ja käyttäjäystävälliset selitykset 2 artiklan 2 kohdan b alakohdassa tarkoitettujen menettelyjen seuraavista tekijöistä:

a)	menettelyn merkitykselliset vaiheet, jotka käyttäjän on suoritettava, mukaan lukien mahdolliset 6 artiklan 3 kohdan mukaiset poikkeukset jäsenvaltioiden velvollisuudesta tarjota menettelyt täysin sähköisesti;

b)	sen toimivaltaisen viranomaisen nimi, joka on vastuussa menettelystä, mukaan lukien sen yhteystiedot;

c)	menettelyssä hyväksytyt todentamis-, tunnistautumis- ja allekirjoitustavat;

d)	toimitettavan todistusmateriaalin tyyppi ja muoto;

e)	yleensä käytettävissä olevat muutoksenhaku- tai valituskeinot, jos toimivaltaisen viranomaisen kanssa syntyy kiistaa;

f)	sovellettavat maksut ja sähköiset maksumenetelmät;

g)	mahdolliset määräajat, joita käyttäjän tai toimivaltaisen viranomaisen on noudatettava, ja jos määräaikoja ei ole, toimivaltaisen viranomaisen menettelyn hoitamiseen tarvitsema keskimääräinen, arvioitu tai suuntaa antava aika;

h)	mahdolliset säännöt tilanteeseen, jossa toimivaltaiselta viranomaiselta ei saada vastausta, ja käyttäjille tästä aiheutuvat oikeudelliset seuraamukset, mukaan lukien hiljaista hyväksyntää tai viranomaisen toimimattomuutta koskevat järjestelyt;

i)	mahdolliset muut kielet, joilla menettely voidaan hoitaa.

2. Jos hiljaista hyväksyntää tai viranomaisen toimimattomuutta koskevaa tai muuta vastaavaa järjestelyä ei ole, toimivaltaisten viranomaisten on soveltuvissa tilanteissa ilmoitettava käyttäjille mahdollisista viivästyksistä ja mahdollisista määräaikojen pidennyksistä tai niiden seurauksista.

3. Jos 1 kohdassa tarkoitetut selitykset on jo asetettu muiden kuin rajatylittävien käyttäjien saataville, niitä voidaan käyttää tai käyttää uudelleen tämän asetuksen soveltamiseksi, kunhan ne soveltuvat tapauksen mukaan myös rajatylittävien käyttäjien tilanteeseen.

4. Jäsenvaltioiden on asetettava tämän artiklan 1 kohdassa tarkoitetut selitykset saataville 12 artiklan mukaisesti sellaisella unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät.

11 artikla

Neuvonta- ja ongelmanratkaisupalveluja koskevien tietojen laatu

1. Jäsenvaltioiden ja komission on varmistettava 4 artiklan noudattamista varten, että käyttäjien saatavilla on ennen 2 artiklan 2 kohdan c alakohdassa tarkoitettua palvelua koskevan pyynnön toimittamista selkeät ja käyttäjäystävälliset selitykset seuraavista:

a)	tarjotun palvelun tyyppi, tarkoitus ja odotetut tulokset;

b)	palvelusta vastaavien tahojen yhteystiedot, esimerkiksi puhelinnumero, sähköpostiosoite, sähköinen kyselylomake tai mikä tahansa muu yleisesti käytetty sähköisen viestinnän väline, joka soveltuu parhaiten tarjottuun palvelutyyppiin ja kyseisen palvelun kohdeyleisöön;

c)	tarvittaessa sovellettavat maksut ja sähköiset maksumenetelmät;

d)	mahdolliset sovellettavat noudatettavat määräajat ja jos määräaikoja ei ole, palvelun toimittamiseen vaadittu keskimääräinen tai arvioitu aika;

e)	mahdolliset muut kielet, jolla pyyntö voidaan toimittaa ja jota voidaan käyttää myöhemmässä yhteydenpidossa.

2. Jäsenvaltioiden on asetettava tämän artiklan 1 kohdassa tarkoitetut selitykset saataville 12 artiklan mukaisesti sellaisella unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät.

12 artikla

Tietojen kääntäminen

1. Jos jäsenvaltio ei aseta 9, 10 ja 11 artiklassa ja 13 artiklan 2 kohdan a alakohdassa tarkoitettuja tietoja, selityksiä ja ohjeita saataville sellaisella unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät, kyseisen jäsenvaltion on pyydettävä komissiota toimittamaan käännökset kyseiselle kielelle 32 artiklan 1 kohdan c alakohdassa tarkoitettujen käytettävissä olevien unionin määrärahojen puitteissa.

2. Jäsenvaltioiden on varmistettava, että tämän artiklan 1 kohdan nojalla käännettäväksi annetut tekstit kattavat vähintään perustiedot kaikilla liitteessä I luetelluilla aloilla ja että mikäli käytettävissä on riittävästi unionin määrärahoja, ne kattavat mahdolliset muut 9, 10 ja 11 artiklassa ja 13 artiklan 2 kohdan a alakohdassa tarkoitetut tiedot, selitykset ja ohjeet, ottaen huomioon rajatylittävien käyttäjien tärkeimmät tarpeet. Jäsenvaltioiden on annettava 19 artiklassa tarkoitettuun linkkirekisteriin linkit tällaisiin käännettyihin tietoihin.

3. Edellä 1 kohdassa tarkoitettu kieli on se unionin virallinen kieli, jota käyttäjät opiskelevat unionissa yleisimmin vieraana kielenä. Tästä poiketen silloin, kun käännettävillä tiedoilla, selityksillä tai ohjeilla odotetaan olevan merkitystä pääasiassa yhdestä toisesta jäsenvaltiosta tuleville rajatylittäville käyttäjille, 1 kohdassa tarkoitettu kieli voi olla kyseisten rajatylittävien käyttäjien ensimmäisenä kielenä käyttämä unionin virallinen kieli.

4. Jos jäsenvaltio pyytää käännöstä unionin viralliselle kielelle, joka ei ole se kieli, jota käyttäjät opiskelevat unionissa yleisimmin vieraana kielenä, sen on perusteltava pyyntönsä. Jos komissio katsoo, että tällaisen toisen kielen valintaa koskevat 3 kohdassa tarkoitetut ehdot eivät täyty, se voi evätä pyynnön ja ilmoittaa jäsenvaltiolle epäämisen syyt.

2 JAKSO

Sähköisiin menettelyihin liittyvät vaatimukset

13 artikla

Sähköisten menettelyjen rajatylittävä käyttömahdollisuus

1. Jäsenvaltioiden on varmistettava, että jos muut kuin rajatylittävät käyttäjät voivat hoitaa 2 artiklan 2 kohdan b alakohdassa tarkoitetun kansallisella tasolla käyttöön otetun menettelyn sähköisesti, myös rajatylittävät käyttäjät voivat hoitaa sen sähköisesti syrjimättömällä tavalla samaa tai vaihtoehtoista teknistä ratkaisua käyttäen.

2. Jäsenvaltioiden on varmistettava, että tämän artiklan 1 kohdassa tarkoitettujen menettelyjen osalta vähintään seuraavat vaatimukset täyttyvät:

a)	käyttäjien saatavilla on ohjeet menettelyn hoitamiseksi 12 artiklan mukaisesti sellaisella unionin virallisella kielellä, jota mahdollisimman monet rajatylittävät käyttäjät ymmärtävät.

b)	rajatylittävät käyttäjät pystyvät toimittamaan vaaditut tiedot, myös silloin kun näiden tietojen rakenne poikkeaa vastaavista tiedoista asianomaisessa jäsenvaltiossa;

c)	rajatylittävät käyttäjät pystyvät tunnistautumaan ja todentamaan henkilöllisyytensä, allekirjoittamaan tai sinetöimään asiakirjoja sähköisesti asetuksen (EU) N:o 910/2014 mukaisesti kaikissa tapauksissa, joissa se on mahdollista myös muille kuin rajatylittäville käyttäjille;

d)	rajatylittävät käyttäjät pystyvät toimittamaan todistusmateriaalia sovellettavien vaatimusten noudattamisesta ja vastaanottamaan menettelyn tuloksen sähköisessä muodossa kaikissa tapauksissa, joissa se on mahdollista myös muille kuin rajatylittäville käyttäjille;

jos menettelyn hoitaminen edellyttää maksua, käyttäjät pystyvät suorittamaan maksut sähköisesti laajasti käytettävissä olevien valtioiden rajat ylittävien maksupalvelujen kautta ilman maksupalvelun tarjoajan sijoittautumispaikkaan, maksuvälineen myöntämispaikkaan tai maksutilin sijaintiin unionissa perustuvaa syrjintää.

3. Jos menettelyssä ei edellytetä 2 kohdan c alakohdassa tarkoitettua sähköistä tunnistautumista tai todentamista ja jos toimivaltaiset viranomaiset saavat sovellettavan kansallisen lainsäädännön tai kansallisten hallinnollisten käytäntöjen nojalla hyväksyä muiden kuin rajatylittävien käyttäjien osalta digitalisoidut kopiot muista kuin sähköisistä henkilöllisyyden todentamisasiakirjoista, kuten henkilöllisyystodistuksista tai passeista, näiden viranomaisten on hyväksyttävä tällaiset digitalisoidut kopiot myös rajatylittävien käyttäjien osalta.

14 artikla

Rajatylittävää automaattista todistusmateriaalin vaihtoa koskeva tekninen järjestelmä ja yhden kerran periaatteen soveltaminen

1. Jotta tämän asetuksen liitteessä II lueteltuja sähköisiä menettelyjä ja direktiiveissä 2005/36/EY, 2006/123/EY, 2014/24/EU ja 2014/25/EU säädettyjä menettelyjä varten voitaisiin vaihtaa todistusmateriaalia, komissio perustaa yhteistyössä jäsenvaltioiden kanssa teknisen järjestelmän eri jäsenvaltioiden toimivaltaisten viranomaisten välistä todistusmateriaalin automaattista vaihtoa varten, jäljempänä ”tekninen järjestelmä”.

2. Jos toimivaltaiset viranomaiset antavat laillisesti omassa jäsenvaltiossaan automaattisen vaihdon mahdollistavassa sähköisessä muodossa todistusmateriaalia, joka on merkityksellistä 1 kohdassa tarkoitettujen sähköisten menettelyjen kannalta, niiden on asetettava tällainen todistusmateriaali myös muiden jäsenvaltioiden todistusmateriaalia pyytävien toimivaltaisten viranomaisten saataville sähköisessä muodossa, joka mahdollistaa automaattisen vaihdon.

3. Teknisen järjestelmän on erityisesti:

a)	mahdollistettava todistusmateriaalia koskevien pyyntöjen käsittely käyttäjän nimenomaisesta pyynnöstä;

b)	mahdollistettava todistusmateriaalin saatavuutta tai vaihtamista koskevien pyyntöjen käsittely;

c)	mahdollistettava todistusmateriaalin siirtäminen toimivaltaisten viranomaisten välillä;

d)	mahdollistettava se, että todistusmateriaalia koskevan pyynnön tehnyt toimivaltainen viranomainen käsittelee todistusmateriaalia;

e)	varmistettava todistusmateriaalin luottamuksellisuus ja eheys;

f)	annettava käyttäjälle mahdollisuus tarkastella todistusmateriaalia, jota todistusmateriaalia koskevan pyynnön tehneen toimivaltaisen viranomaisen on tarkoitus käyttää, ja päättää vaihdetaanko todistusmateriaalia vai ei;

g)	varmistettava riittävän hyvä yhteentoimivuus muiden asiaankuuluvien järjestelmien kanssa;

h)	varmistettava todistusmateriaalin siirtämisen ja käsittelyn korkea turvallisuustaso;

i)	käsiteltävä todistusmateriaalia ainoastaan sen verran kuin on teknisesti tarpeen todistusmateriaalin vaihtamiseksi ja ainoastaan sen aikaa kuin on tarpeen kyseistä tarkoitusta varten.

4. Teknisen järjestelmän käyttö ei saa olla käyttäjille pakollista ja se on sallittava ainoastaan näiden nimenomaisesta pyynnöstä, ellei unionin oikeudessa tai kansallisessa lainsäädännössä muuta säädetä. Käyttäjien on sallittava toimittaa todistusmateriaali muuten kuin teknisen järjestelmän kautta ja suoraan todistusmateriaalia koskevan pyynnön tehneelle toimivaltaiselle viranomaiselle.

5. Tämän artiklan 3 kohdan f alakohdassa tarkoitettua mahdollisuutta tarkastella todistusmateriaalia ei tarvitse tarjota menettelyissä, joissa rajatylittävä automaattinen tietojen vaihto ilman tarkastelumahdollisuutta sallitaan sovellettavan unionin oikeuden tai kansallisen lainsäädännön perusteella. Tämä todistusmateriaalin tarkastelumahdollisuus ei vaikuta velvollisuuteen toimittaa tiedot asetuksen (EU) 2016/679 13 ja 14 artiklan mukaisesti.

6. Jäsenvaltioiden on sisällytettävä täysin toimiva tekninen järjestelmä osaksi 1 kohdassa tarkoitettuja menettelyjä.

7. Edellä 1 kohdassa tarkoitetuista sähköisistä menettelyistä vastaavien toimivaltaisten viranomaisten on kyseisen käyttäjän nimenomaisesta, vapaaehtoisesta, yksilöidystä, tietoisesta ja yksiselitteisestä pyynnöstä pyydettävä todistusmateriaali suoraan todistusmateriaalin antavilta muiden jäsenvaltioiden toimivaltaisilta viranomaisilta teknisen järjestelmän kautta. Edellä 2 kohdassa tarkoitettujen todistusmateriaalin antavien toimivaltaisten viranomaisten on 3 kohdan e alakohdan mukaisesti asetettava tällainen todistusmateriaali saataville saman järjestelmän kautta.

8. Todistusmateriaalia koskevan pyynnön tehneen toimivaltaisen viranomaisen saataville asetettu todistusmateriaali on rajoitettava siihen, mitä on pyydetty, ja tämä viranomainen saa käyttää sitä vain sitä menettelyä varten, jonka osana todistusmateriaali vaihdettiin. Teknisen järjestelmän kautta vaihdettu todistusmateriaali katsotaan aidoksi todistusmateriaalia koskevan pyynnön tehneen toimivaltaisen viranomaisen tarkoituksia varten.

9. Komissio hyväksyy viimeistään 12 päivänä kesäkuuta 2021 täytäntöönpanosäädöksiä tämän artiklan täytäntöönpanoa varten tarvittavan teknisen järjestelmän teknisten ja toiminnallisten eritelmien vahvistamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 37 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10. Edellä olevia 1–8 kohtaa ei sovelleta unionin tasolla käyttöön otettuihin menettelyihin, joissa säädetään erilaisesta todistusmateriaalin vaihtomekanismista, paitsi jos tämän artiklan täytäntöön panemiseksi tarvittava tekninen järjestelmä sisällytetään näihin menettelyihin niiden unionin säädösten sääntöjen mukaisesti, joilla kyseiset menettelyt on perustettu.

11. Komissio ja kukin jäsenvaltio vastaavat niille kuuluvien teknisen järjestelmän osien kehittämisestä, saatavuudesta, ylläpidosta, valvonnasta, seurannasta ja turvallisuudenhallinnasta.

15 artikla

Todistusmateriaalin todentaminen jäsenvaltioiden välillä

Jos teknistä järjestelmää tai muita järjestelmiä, joita käytetään todistusmateriaalin vaihtoon tai todentamiseen jäsenvaltioiden välillä, ei ole saatavilla tai ei voida soveltaa tai jos käyttäjä ei pyydä teknisen järjestelmän käyttöä, toimivaltaisten viranomaisten on tehtävä yhteistyötä sisämarkkinoiden tietojenvaihtojärjestelmän (IMI) kautta, jos se on tarpeen käyttäjän jollekin niistä sähköisen menettelyn yhteydessä sähköisessä muodossa toimittaman todistusmateriaalin aitouden todentamiseksi.

3 JAKSO

Neuvonta- ja ongelmanratkaisupalveluihin liittyvät laatuvaatimukset

16 artikla

Neuvonta- ja ongelmanratkaisupalveluihin liittyvät laatuvaatimukset

Toimivaltaisten viranomaisten ja komission on varmistettava toimivaltansa puitteissa, että liitteessä III luetellut neuvonta- ja ongelmanratkaisupalvelut ja palvelut, jotka on sisällytetty palveluväylään 7 artiklan 2, 3 ja 4 kohdan mukaisesti, ovat seuraavien laatuvaatimusten mukaisia:

a)	ne tarjotaan kohtuullisessa ajassa ottaen huomioon pyynnön monimutkaisuus;

b)	jos määräaikoja pidennetään, käyttäjille ilmoitetaan etukäteen tämän syistä ja uudesta määräajasta;

jos palvelun tarjoaminen edellyttää maksua, käyttäjät pystyvät suorittamaan maksut sähköisesti laajasti käytettävissä olevien rajatylittävien ylittävien maksupalvelujen kautta ilman maksupalvelun tarjoajan sijoittautumispaikkaan, maksuvälineen myöntämispaikkaan tai maksutilin sijaintiin unionissa perustuvaa syrjintää.

4 JAKSO

Laadunvalvonta

17 artikla

Laadunvalvonta

1. Jäljempänä 28 artiklassa tarkoitettujen kansallisten koordinaattoreiden ja komission on valvottava säännöllisesti toimivaltansa puitteissa, että palveluväylän kautta saatavilla olevat tiedot, menettelyt ja neuvonta- ja ongelmanratkaisupalvelut ovat 8–13 artiklassa ja 16 artiklassa säädettyjen laatuvaatimusten mukaisia. Valvonta on tehtävä 24 ja 25 artiklan mukaisesti kerättyjen tietojen perusteella.

2. Jos toimivaltaisten viranomaisten tarjoamien 1 kohdassa tarkoitettujen tietojen, menettelyjen ja neuvonta- ja ongelmanratkaisupalvelujen laatu heikkenee, komissio toteuttaa yhden tai useampia seuraavista toimenpiteistä ottaen huomioon heikkenemisen vakavuuden ja jatkuvuuden:

a)	se ilmoittaa asiasta kansalliselle koordinaattorille ja pyytää korjaavia toimia;

b)	se ottaa palveluväylän koordinointiryhmän keskusteluissa esiin laatuvaatimusten noudattamisen parantamiseksi suositellut toimet;

c)	se lähettää suosituksia sisältävän kirjeen asianomaiselle jäsenvaltiolle;

d)	se poistaa palveluväylästä väliaikaisesti linkin tietoihin, menettelyyn tai neuvonta- ja ongelmanratkaisupalveluun.

3. Jos neuvonta- tai ongelmanratkaisupalvelu, johon tarjotaan linkki 7 artiklan 3 kohdan mukaisesti, jättää johdonmukaisesti noudattamatta 11 ja 16 artiklassa säädettyjä vaatimuksia tai ei enää vastaa käyttäjien tarpeisiin 24 ja 25 artiklan mukaisesti kerättyjen tietojen perusteella, komissio voi poistaa linkin palveluväylästä asianomaista kansallista koordinaattoria ja tarvittaessa palveluväylän koordinointiryhmää kuultuaan.

IV LUKU

TEKNISET RATKAISUT

18 artikla

Yhteinen käyttöliittymä

1. Komissio tarjoaa tiiviissä yhteistyössä jäsenvaltioiden kanssa Sinun Eurooppasi -portaaliin integroidun yhteisen käyttöliittymän palveluväylän moitteettoman toiminnan varmistamiseksi.

2. Yhteisestä käyttöliittymästä on oltava mahdollisuus käyttää tietoja, menettelyjä ja neuvonta- tai ongelmanratkaisupalveluja asianomaisille unionin ja kansallisen tason verkkosivustoille tai verkkosivuille ohjaavilla linkeillä, jotka sisältyvät 19 artiklassa tarkoitettuun linkkirekisteriin.

3. Jäsenvaltioiden ja komission on varmistettava 4 artiklassa säädettyjen tehtäviensä ja vastuualojensa mukaisesti, että sääntöjä ja velvollisuuksia, menettelyjä ja neuvonta- ja ongelmanratkaisupalveluja koskevat tiedot organisoidaan ja merkitään tavalla, joka helpottaa niiden löytämistä yhteisen käyttöliittymän kautta.

4. Komissio varmistaa, että yhteinen käyttöliittymä täyttää seuraavat laatuvaatimukset:

a)	se on helppokäyttöinen;

b)	se on käytettävissä sähköisesti erilaisten sähköisten laitteiden kautta;

c)	se on kehitetty ja optimoitu eri selaimia varten;

d)	se täyttää verkkosisällön saavutettavuusvaatimukset: havaittavuus, hallittavuus, ymmärrettävyys ja toimintavarmuus.

5. Komissio voi hyväksyä täytäntöönpanosäädöksiä yhteentoimivuuden edellytyksistä, jotta sääntöjä ja velvollisuuksia, menettelyjä ja neuvonta- ja ongelmanratkaisupalveluja koskevat tiedot on helpompi löytää yhteisen käyttöliittymän kautta. Nämä täytäntöönpanosäädökset hyväksytään 37 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

19 artikla

Linkkirekisteri

1. Komissio perustaa tiiviissä yhteistyössä jäsenvaltioiden kanssa 2 artiklan 2 kohdassa tarkoitettuihin tietoihin, menettelyihin ja neuvonta- ja ongelmanratkaisupalveluihin ohjaavien linkkien sähköisen rekisterin, joka mahdollistaa näiden palvelujen ja yhteisen käyttöliittymän välisen yhteyden, ja pitää tätä rekisteriä yllä.

2. Komissio tarjoaa linkkirekisteriin linkit tietoihin, menettelyihin ja neuvonta- ja ongelmanratkaisupalveluihin, jotka ovat saatavilla unionin tasolla hallinnoiduilla verkkosivuilla, ja se huolehtii siitä, että nämä linkit ovat paikkansapitäviä ja ajan tasalla.

3. Kansallisten koordinaattoreiden on tarjottava linkkirekisteriin linkit tietoihin, menettelyihin ja neuvonta- ja ongelmanratkaisupalveluihin, jotka ovat saatavilla toimivaltaisten viranomaisten tai 7 artiklan 3 kohdassa tarkoitettujen yksityisten tai osittain yksityisten tahojen hallinnoimilla verkkosivuilla, ja niiden on huolehdittava siitä, että nämä linkit ovat paikkansapitäviä ja ajan tasalla.

4. Edellä 3 kohdassa tarkoitettujen linkkien tarjoaminen jäsenvaltioiden asianomaisten järjestelmien ja linkkirekisterin välillä voidaan tehdä automaattisesti, jos se on teknisesti mahdollista.

5. Komissio asettaa linkkirekisteriin sisältyvät tiedot julkisesti saataville avoimessa ja koneellisesti luettavassa muodossa.

6. Komission ja kansallisten koordinaattoreiden on varmistettava, että linkit palveluväylän kautta tarjottaviin tietoihin, menettelyihin ja neuvonta- ja ongelmanratkaisupalveluihin eivät sisällä mitään tarpeetonta osittaistakaan toistoa ja päällekkäisyyttä, joka voisi johtaa käyttäjiä harhaan.

7. Jos 4 artiklassa tarkoitettujen tietojen saataville asettamisesta säädetään muissa unionin oikeuden säännöksissä, komissio ja kansalliset koordinaattorit voivat tarjota linkkejä näihin tietoihin kyseisen artiklan vaatimusten noudattamiseksi.

20 artikla

Yhteinen neuvontapalveluhaku

1. Helpottaakseen liitteessä III lueteltujen tai 7 artiklan 2 ja 3 kohdassa tarkoitettujen neuvonta- ja ongelmanratkaisupalvelujen saatavuutta toimivaltaisten viranomaisten ja komission on varmistettava, että käyttäjät voivat käyttää näitä palveluja yhteisen neuvonta- ja ongelmanratkaisupalvelujen haun kautta, jäljempänä ”yhteinen neuvontapalveluhaku”, joka on saatavilla palveluväylän kautta.

2. Komissio kehittää yhteisen neuvontapalveluhaun ja hallinnoi sitä sekä päättää rakenteesta ja muodosta, jossa neuvonta- ja ongelmanratkaisupalvelujen kuvaukset ja yhteystiedot on toimitettava, jotta mahdollistetaan yhteisen neuvontapalveluhaun moitteeton toiminta.

3. Kansallisten koordinaattoreiden on toimitettava 2 kohdassa tarkoitetut kuvaukset ja yhteystiedot komissiolle.

21 artikla

Palveluväylää tukeviin tieto- ja viestintäteknisiin sovelluksiin liittyvät vastuut

1. Komissio on vastuussa seuraavien tieto- ja viestintäteknisten sovellusten ja verkkosivujen kehittämisestä, saatavuudesta, valvonnasta, päivittämisestä, ylläpidosta, turvallisuudesta ja isännöinnistä:

a)	2 artiklan 1 kohdassa tarkoitettu Sinun Eurooppasi -portaali;

b)	18 artiklan 1 kohdassa tarkoitettu yhteinen käyttöliittymä, mukaan lukien hakukone tai muut tieto- ja viestintätekniset välineet, jotka mahdollistavat verkkotietojen ja -palvelujen haettavuuden;

c)	19 artiklan 1 kohdassa tarkoitettu linkkirekisteri;

d)	20 artiklan 1 kohdassa tarkoitettu yhteinen neuvontapalveluhaku;

e)	25 artiklan 1 kohdassa ja 26 artiklan 1 kohdan a alakohdassa tarkoitetut käyttäjäpalautevälineet.

Komissio toimii tiiviissä yhteistyössä jäsenvaltioiden kanssa tieto- ja viestintäteknisten sovellusten kehittämiseksi.

2. Jäsenvaltiot ovat vastuussa hallinnoimiensa ja yhteiseen käyttöliittymään linkitettyihin, kansallisiin verkkosivustoihin ja verkkosivuihin liittyvien tieto- ja viestintäteknisten sovellusten kehittämisestä, saatavuudesta, valvonnasta, päivittämisestä, ylläpidosta ja turvallisuudesta.

V LUKU

TUNNETTUUDEN EDISTÄMINEN

22 artikla

Nimi, logo ja laatumerkki

1. Nimi, jolla palveluväylä on tarkoitus tehdä tunnetuksi yleisön keskuudessa, on ”Your Europe”.

Komissio päättää tiiviissä yhteistyössä palveluväylän koordinointiryhmän kanssa logosta, jolla palveluväylä on tarkoitus tehdä tunnetuksi yleisön keskuudessa, viimeistään 12 päivänä kesäkuuta 2019.

Palveluväylän logon ja palveluväylään johtavan linkin on oltava näkyvissä ja esillä palveluväylään liitetyillä unionin ja kansallisilla verkkosivustoilla.

2. Palveluväylän nimi ja logo ovat osoitus 9, 10 ja 11 artiklassa tarkoitettujen laatuvaatimusten täyttämisestä ja toimivat näin myös laatumerkkinä. Palveluväylän logoa voivat käyttää laatumerkkinä kuitenkin ainoastaan 19 artiklassa tarkoitettuun linkkirekisteriin sisällytetyt verkkosivut ja verkkosivustot.

23 artikla

Tunnettuuden edistäminen

1. Jäsenvaltioiden ja komission on edistettävä palveluväylän tunnettuutta ja käyttöä kansalaisten ja yritysten keskuudessa ja varmistettava palveluväylän ja sen tietojen, menettelyjen ja neuvonta- ja ongelmanratkaisupalvelujen näkyvyys yleisölle sekä se, että ne ovat helposti löydettävissä yleisön käytettävissä olevilla hakukoneilla.

2. Jäsenvaltioiden ja komission on sovitettava yhteen 1 kohdassa tarkoitetut edistämistoimensa ja viitattava palveluväylään ja käytettävä sen logoa tällaisissa toimissa yhdessä muiden markkinointinimien kanssa tapauksen mukaan.

3. Jäsenvaltioiden ja komission on varmistettava, että palveluväylä on helposti löydettävissä asiaan liittyvien verkkosivustojen kautta, joista ne ovat vastuussa, ja että kaikilla asiaan liittyvillä unionin ja kansallisen tason verkkosivustoilla on saatavilla selvät linkit yhteiseen käyttöliittymään.

4. Kansallisten koordinaattoreiden on edistettävä palveluväylän tunnettuutta kansallisten toimivaltaisten viranomaisten keskuudessa.

VI LUKU

KÄYTTÄJÄPALAUTTEEN JA -TILASTOJEN KERUU

24 artikla

Käyttäjätilastot

1. Toimivaltaisten viranomaisten ja komission on varmistettava, että käyttäjien käynneistä palveluväylällä ja verkkosivuilla, joihin palveluväylältä on linkit, kerätään käyttäjien anonymiteetti taaten tilastoja, jotta voidaan parantaa palveluväylän toimintaa.

2. Toimivaltaisten viranomaisten, 7 artiklan 3 kohdassa tarkoitettujen neuvonta- tai ongelmanratkaisupalvelujen tarjoajien ja komission on kerättävä ja vaihdettava koosteen muodossa tietoja neuvonta- ja ongelmanratkaisupalvelupyyntöjen lukumäärästä, alkuperästä ja aiheista ja vastausajasta.

3. Niistä tiedoista, menettelyistä ja neuvonta- ja ongelmanratkaisupalveluista, joihin palveluväylältä on linkit, 1 ja 2 kohdan mukaisesti kerättyjen tilastojen on sisällettävä seuraavat tietoluokat:

a)	tiedot palveluväylän käyttäjien lukumäärästä, alkuperästä ja käyttäjätyypistä;

b)	tiedot käyttäjien mieltymyksistä ja käyttäjäpoluista;

c)	tiedot tietojen, menettelyjen ja neuvonta- ja ongelmanratkaisupalvelujen käytettävyydestä, löydettävyydestä ja laadusta.

Nämä tiedot on julkistettava avoimessa ja yleisesti käytetyssä koneellisesti luettavassa muodossa.

4. Komissio hyväksyy täytäntöönpanosäädöksiä, joissa säädetään tämän artiklan 1, 2 ja 3 kohdassa tarkoitettujen käyttäjätilastojen keräämis- ja vaihtomenetelmästä. Täytäntöönpanosäädökset hyväksytään 37 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

25 artikla

Käyttäjäpalaute palveluväylän palveluista

1. Jotta voidaan kerätä suoraan tietoa käyttäjien tyytyväisyydestä palveluväylän kautta tarjottuihin palveluihin ja sen sisältämiin tietoihin, komissio tarjoaa käyttäjille palveluväylän kautta helppokäyttöisen käyttäjäpalautevälineen, jonka kautta he voivat välittömästi käytettyään jotakin 2 artiklan 2 kohdassa tarkoitettua palvelua esittää nimettömästi kommentteja palveluväylän kautta tarjottujen palvelujen ja sen sisältämien tietojen sekä yhteisen käyttöliittymän laadusta ja käytettävyydestä.

2. Toimivaltaisten viranomaisten ja komission on varmistettava, että käyttäjillä on pääsy 1 kohdassa tarkoitettuun välineeseen kaikilta verkkosivuilta, jotka ovat osa palveluväylää.

3. Komissiolla, toimivaltaisilla viranomaisilla ja kansallisilla koordinaattoreilla on oltava suora pääsy 1 kohdassa tarkoitetun välineen kautta kerättyyn käyttäjäpalautteeseen, jotta voidaan puuttua esiin tuotuihin mahdollisiin ongelmiin.

4. Toimivaltaisten viranomaisten ei edellytetä antavan käyttäjille palveluväylään kuuluvilla verkkosivuillaan pääsyä 1 kohdassa tarkoitettuun käyttäjäpalautevälineeseen, jos niiden verkkosivuilla on käytettävissä palvelun laadun valvomiseksi toinen käyttäjäpalauteväline, jossa on samankaltaiset toiminnot kuin 1 kohdassa tarkoitetussa käyttäjäpalautevälineessä. Toimivaltaisten viranomaisten on kerättävä oman käyttäjäpalautevälineensä kautta saatu käyttäjäpalaute ja jaettava se komission ja muiden jäsenvaltioiden kansallisten koordinaattoreiden kanssa.

5. Komissio hyväksyy täytäntöönpanosäädöksiä, joissa annetaan käyttäjäpalautteen keräämistä ja jakamista koskevat säännöt. Nämä täytäntöönpanosäädökset hyväksytään 37 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

26 artikla

Sisämarkkinoiden toiminnasta raportoiminen

1. Komissio

a)	tarjoaa palveluväylän käyttäjille helppokäyttöisen välineen, jolla nämä voivat tuoda nimettömästi esiin sisämarkkinaoikeuksiaan käyttäessään kohtaamansa mahdolliset esteet ja antaa palautetta niistä;

b)	kerää palveluväylän osan muodostavista neuvonta- ja ongelmanratkaisupalveluista yhdistelmätietoja esitettyjen pyyntöjen ja annettujen vastausten aiheista.

2. Edellä 1 kohdan a alakohdan mukaisesti kerätyn palautteen on oltava suoraan komission, toimivaltaisten viranomaisten ja kansallisten koordinaattoreiden saatavilla.

3. Jäsenvaltiot ja komissio analysoivat ja tutkivat käyttäjien tämän artiklan mukaisesti esiin tuomia ongelmia ja käsittelevät ne mahdollisuuksien mukaan asianmukaisin tavoin.

27 artikla

Sähköinen yhteenveto

Komissio julkaisee nimettömässä muodossa sähköisen yhteenvedon 26 artiklan 1 kohdan mukaisesti kerätyistä tiedoista esiin käyvistä ongelmista sekä keskeiset seikat 24 artiklassa tarkoitetuista käyttäjätilastoista ja 25 artiklassa tarkoitetusta käyttäjäpalautteesta.

VII LUKU

PALVELUVÄYLÄN HALLINTO

28 artikla

Kansalliset koordinaattorit

1. Kunkin jäsenvaltion on nimitettävä kansallinen koordinaattori. Edellä olevien 7, 17, 19, 20, 23 ja 25 artiklan mukaisten velvollisuuksiensa lisäksi kansalliset koordinaattorit

a)	toimivat oman hallintonsa puolesta yhteyspisteenä kaikissa palveluväylään liittyvissä asioissa;

b)	edistävät omien toimivaltaisten viranomaistensa 9–16 artiklan yhdenmukaista soveltamista;

c)	varmistavat 17 artiklan 2 kohdan c alakohdassa tarkoitettujen suositusten asianmukaisen täytäntöönpanon.

2. Kukin jäsenvaltio voi sisäisen hallintorakenteensa mukaisesti nimittää yhden tai useamman koordinaattorin hoitamaan mitä hyvänsä 1 kohdassa luetelluista tehtävistä. Kunkin jäsenvaltion yksi kansallinen koordinaattori vastaa yhteydenpidosta komissioon kaikissa palveluväylään liittyvissä asioissa.

3. Kunkin jäsenvaltion on ilmoitettava muille jäsenvaltioille ja komissiolle kansallisen koordinaattorinsa nimi ja yhteystiedot.

29 artikla

Koordinointiryhmä

Perustetaan koordinointiryhmä, jäljempänä ”palveluväylän koordinointiryhmä”. Siihen kuuluu yksi kansallinen koordinaattori kustakin jäsenvaltiosta ja sen puheenjohtajana toimii komission edustaja. Se vahvistaa työjärjestyksensä. Komissio huolehtii sihteeristötehtävistä.

30 artikla

Palveluväylän koordinointiryhmän tehtävät

1. Palveluväylän koordinointiryhmä tukee tämän asetuksen täytäntöönpanoa. Erityisesti se

a)	helpottaa hyvien toimintatapojen vaihtoa ja säännöllistä päivittämistä;

b)	kannustaa muiden kuin tämän asetuksen liitteeseen II sisältyvien täysin sähköisten menettelyjen sekä sähköisten todentamis-, tunnistautumis- ja allekirjoitustapojen, erityisesti asetuksessa (EU) N:o 910/2014 säädettyjen tapojen, käyttöönottoon;

c)	keskustelee tietojen käyttäjäystävälliseen esittämiseen liittyvistä parannuksista liitteessä I luetelluilla aloilla, erityisesti 24 ja 25 artiklan mukaisesti kerättyjen tietojen perusteella;

d)	avustaa komissiota palveluväylää tukevien yhteisten tieto- ja viestintäteknisten ratkaisujen kehittämisessä;

e)	keskustelee vuotuisen työohjelman luonnoksesta;

f)	avustaa komissiota vuotuisen työohjelman täytäntöönpanon valvonnassa;

g)	keskustelee 5 artiklan mukaisesti toimitettavista muista tiedoista, jotta voidaan kannustaa muita jäsenvaltioita tarjoamaan samanlaisia tietoja niiden ollessa merkityksellisiä käyttäjille;

h)	avustaa komissiota 8–16 artiklassa esitettyjen vaatimusten noudattamisen valvonnassa 17 artiklan mukaisesti;

i)	tiedottaa 6 artiklan 1 kohdan täytäntöönpanosta;

j)	keskustelee toimista ja suosittelee toimia toimivaltaisille viranomaisille ja komissiolle, jotta vältetään tai poistetaan palveluväylän kautta saatavilla olevien palvelujen tarpeeton päällekkäisyys;

k)	antaa lausuntoja menettelyistä tai toimenpiteistä, jotta voidaan puuttua tehokkaasti käyttäjien esiin tuomiin mahdollisiin ongelmiin palvelujen laadussa, tai esittää ehdotuksia laadun parantamiseksi;

l)	keskustelee sisäänrakennetun turvallisuuden (security by design) ja sisäänrakennetun yksityisyyden (privacy by design) periaatteiden soveltamisesta tämän asetuksen yhteydessä;

m)	keskustelee 24 ja 25 artiklassa tarkoitettujen käyttäjäpalautteen ja käyttäjätilastojen keräämiseen liittyvistä aiheista, jotta unionin ja kansallisella tasolla tarjottavia palveluja voidaan jatkuvasti parantaa;

n)	keskustelee palveluväylän kautta tarjottavien palvelujen laatuvaatimuksiin liittyvistä aiheista;

o)	vaihtaa hyviä toimintatapoja ja avustaa komissiota 2 artiklan 2 kohdassa tarkoitettujen palvelujen organisoinnissa, rakenteessa ja esittämisessä, jotta voidaan varmistaa yhteisen käyttöliittymän asianmukainen toiminta;

p)	helpottaa koordinoitujen tunnettuuden edistämistä koskevien toimien kehittämistä ja toteuttamista;

q)	tekee yhteistyötä tietopalvelujen ja neuvonta- tai ongelmanratkaisupalvelujen hallintoelinten tai verkostojen kanssa;

r)	antaa ohjeita muusta unionin virallisesta kielestä tai muista unionin virallisista kielistä, joita toimivaltaisten viranomaisten on käytettävä 9 artiklan 2 kohdan, 10 artiklan 4 kohdan ja 11 artiklan 2 kohdan sekä 13 artiklan 2 kohdan a alakohdan mukaisesti.

2. Komissio voi kuulla palveluväylän koordinointiryhmää mistä tahansa tämän asetuksen soveltamiseen liittyvästä seikasta.

31 artikla

Vuotuinen työohjelma

1. Komissio hyväksyy vuotuisen työohjelman, jossa täsmennetään erityisesti

a)	toimet tiettyjen tietojen esittämistavan parantamiseksi liitteessä I luetelluilla aloilla ja toimet, joilla helpotetaan sitä, että toimivaltaiset viranomaiset kaikilla tasoilla, myös kuntatasolla, panevat vaatimuksen tarjota tietoja ripeästi täytäntöön;

b)	toimet, joilla helpotetaan 6 ja 13 artiklan noudattamista;

c)	toimet, joilla varmistetaan 9–12 artiklassa esitettyjen vaatimusten johdonmukainen noudattaminen;

d)	toiminta, joka liittyy palveluväylän tunnettuuden edistämiseen 23 artiklan mukaisesti.

2. Laatiessaan vuotuisen työohjelman luonnosta komissio ottaa huomioon 24 ja 25 artiklan mukaisesti kerätyt käyttäjätilastot ja -palautteen ja mahdolliset jäsenvaltioiden ehdotukset. Ennen vuotuisen työohjelman hyväksymistä komissio toimittaa luonnoksen palveluväylän koordinointiryhmälle keskusteltavaksi.

VIII LUKU

LOPPUSÄÄNNÖKSET

32 artikla

Kustannukset

1. Euroopan unionin yleisestä talousarviosta katetaan

a)	tämän asetuksen täytäntöönpanoa unionin tasolla tukevien tieto- ja viestintäteknisten välineiden kehittäminen ja ylläpito;

b)	palveluväylän tunnettuuden edistäminen unionin tasolla;

tietojen, selitysten ja ohjeiden tietyn jäsenvaltiokohtaisen vuotuisen enimmäismäärän kääntäminen 12 artiklan mukaisesti, sanotun rajoittamatta mahdollista määrärahojen uudelleenkohdentamista, jos tämä on tarpeen, jotta käytettävissä olevien määrärahojen täysimääräinen hyödyntäminen olisi mahdollista.

2. Kansallisiin verkkoportaaleihin, tiedotusfoorumeihin, neuvontapalveluihin ja jäsenvaltion tasolla käyttöön otettuihin menettelyihin liittyvät kustannukset katetaan asianomaisten jäsenvaltioiden talousarviosta, ellei unionin lainsäädännössä toisin säädetä.

33 artikla

Henkilötietojen suoja

Toimivaltaisten viranomaisten tämän asetuksen puitteissa suorittamassa henkilötietojen käsittelyssä on noudatettava Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679. Komission tämän asetuksen puitteissa suorittamassa henkilötietojen käsittelyssä noudatetaan asetusta (EU) 2018/1725.

34 artikla

Yhteistyö muiden tieto- ja neuvontaverkostojen kanssa

1. Kuultuaan jäsenvaltioita komissio päättää, mitkä olemassa olevat epäviralliset hallintojärjestelyt jonkin liitteessä III luetellun neuvonta- tai ongelmanratkaisupalvelun tai jonkin liitteessä I vahvistetun tietojen alan osalta siirretään palveluväylän koordinointiryhmän vastuulle.

2. Jos tieto- ja neuvontapalvelu tai -verkosto on perustettu oikeudellisesti sitovalla unionin säädöksellä jollakin liitteessä I vahvistetulla tietojen alalla, komissio koordinoi palveluväylän koordinointiryhmän ja tällaisten palvelujen tai verkostojen hallintoelinten työtä, jotta saadaan synergiaetuja ja vältetään päällekkäisyys.

35 artikla

Sisämarkkinoiden tietojenvaihtojärjestelmä

1. Asetuksella (EU) N:o 1024/2012 perustettua sisämarkkinoiden tietojenvaihtojärjestelmää (IMI) käytetään 6 artiklan 4 kohdan ja 15 artiklan soveltamiseksi ja kyseisten artiklojen mukaisesti.

2. Komissio voi päättää käyttää IMI-järjestelmää 19 artiklan 1 kohdassa tarkoitettuna linkkien sähköisenä rekisterinä.

36 artikla

Kertomukset ja uudelleentarkastelu

Komissio tarkastelee asetuksen soveltamista viimeistään 12 päivänä joulukuuta 2022 ja sen jälkeen joka toinen vuosi ja toimittaa Euroopan parlamentille ja neuvostolle arviointikertomuksen palveluväylän ja sisämarkkinoiden toiminnasta 24, 25 ja 26 artiklan mukaisesti kerättyjen tilastotietojen ja palautteen perusteella. Tarkastelussa arvioidaan erityisesti 14 artiklan soveltamisalaa ottaen huomioon teknologian, markkinoiden ja lainsäädännön kehitys siltä osin kuin on kyse todistusmateriaalin vaihtamisesta toimivaltaisten viranomaisten välillä.

37 artikla

Komiteamenettely

1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

38 artikla

Asetuksen (EU) N:o 1024/2012 muuttaminen

Muutetaan asetus (EU) N:o 1024/2012 seuraavasti:

1)	Korvataan 1 artikla seuraavasti: ”1 artikla Kohde Tässä asetuksessa vahvistetaan säännöt, jotka koskevat sisämarkkinoiden tietojenvaihtojärjestelmän, jäljempänä ’IMI’, käyttöä IMI-toimijoiden kesken, mukaan luettuna henkilötietojen käsittely.”

Korvataan 3 artiklan 1 kohta seuraavasti:

”1. IMIä käytetään tietojen, mukaan luettuna henkilötietojen, vaihtamiseen IMI-toimijoiden kesken sekä kyseisten tietojen käsittelyyn jompaakumpaa seuraavaa tarkoitusta varten:

a)	hallinnollinen yhteistyö, jota edellytetään liitteessä lueteltujen säädösten mukaisesti;

b)	hallinnollinen yhteistyö, joka on 4 artiklan mukaisesti toteutetun pilottihankkeen kohteena.”

Muutetaan 5 artiklan toinen kohta seuraavasti:

korvataan a alakohta seuraavasti:

”a)	’IMIllä’ komission käyttöön asettamaa sähköistä työvälinettä, jolla helpotetaan hallinnollista yhteistyötä IMI-toimijoiden kesken;”;

korvataan b alakohta seuraavasti:

”b)	’hallinnollisella yhteistyöllä’ IMI-toimijoiden välistä yhteistoimintaa, joka perustuu tietojenvaihtoon ja -käsittelyyn unionin lainsäädännön soveltamisen parantamiseksi;”;

korvataan g alakohta seuraavasti:

”g)	’IMI-toimijoilla’ toimivaltaisia viranomaisia, IMI-koordinaattoreita, komissiota ja unionin elimiä, laitoksia ja virastoja;”.

Lisätään 8 artiklan 1 kohtaan alakohta seuraavasti:

”f)	koordinoinnin varmistaminen unionin elinten, laitosten ja virastojen kanssa ja sen varmistaminen, että niillä on pääsy IMIin.”

Korvataan 9 artiklan 4 kohta seuraavasti:

”4. Jäsenvaltioiden, komission ja unionin elinten, laitosten ja virastojen on otettava käyttöön asianmukaiset keinot sen varmistamiseksi, että IMI-käyttäjät saavat IMIssä käsiteltäviä henkilötietoja vain silloin, kun ne todella tarvitsevat niitä, ja vain sillä sisämarkkina-alueella tai -alueilla, jolle tai joille niille on myönnetty tiedonsaantioikeudet 3 kohdan mukaisesti.”

Muutetaan 21 artikla seuraavasti:

korvataan 2 kohta seuraavasti:

”2. Euroopan tietosuojavaltuutetun vastuulla on valvoa ja varmistaa, että tätä asetusta sovelletaan, kun komissio tai unionin elimet, laitokset ja virastot IMI-toimijoina käsittelevät henkilötietoja. Asetuksen (EU) 2018/1725 (*1) 57 ja 58 artiklassa tarkoitettuja tehtäviä ja toimivaltaa sovelletaan vastaavasti.

(*1) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L, 295 21.11.2018, s. 39).”;"

korvataan 3 kohta seuraavasti:

”3. Kansalliset valvontaviranomaiset ja Euroopan tietosuojavaltuutettu tekevät toimivaltuuksiensa puitteissa yhteistyötä sen varmistamiseksi, että IMIä ja sitä, miten IMI-toimijat käyttävät sitä, valvotaan koordinoidusti asetuksen (EU) 2018/1725 62 artiklan mukaisesti.”;

c)	kumotaan 4 kohta.

7)	Kumotaan 29 artiklan 1 kohta.

Lisätään liitteeseen kohdat seuraavasti:

”11.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (*2): 56 artikla, 60–66 artikla ja 70 artiklan 1 kohta.

12.

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 2 päivänä lokakuuta 2018, tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja saataville tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 muuttamisesta (*3): 6 artiklan 4 kohta, 15 ja 19 artikla.

(*2) EUVL L 119, 4.5.2016, s. 1."

(*3) EUVL L 295, 21.11.2018, s. 29.”"

39 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Asetuksen 2 ja 4 artiklaa, 7–12 artiklaa, 16 ja 17 artiklaa, 18 artiklan 1–4 kohtaa, 19 ja 20 artiklaa, 24 artiklan 1, 2 ja 3 kohtaa, 25 artiklan 1–4 kohtaa sekä 26 ja 27 artiklaa sovelletaan 12 päivästä joulukuuta 2020.

Asetuksen 6 ja 13 artiklaa, 14 artiklan 1–8 ja 10 kohtaa ja 15 artiklaa sovelletaan 12 päivästä joulukuuta 2023.

Edellä olevien 2, 9, 10 ja 11 artiklan soveltamispäivien sitä estämättä kuntaviranomaisten on asetettava mainituissa artikloissa tarkoitetut tiedot, selitykset ja ohjeet saataville viimeistään 12 päivänä joulukuuta 2022.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Strasbourgissa 2 päivänä lokakuuta 2018.

Euroopan parlamentin puolesta

Puhemies

A. TAJANI

Neuvoston puolesta

Puheenjohtaja

J. BOGNER-STRAUSS

(1) EUVL C 81, 2.3.2018, s. 88.

(2) Euroopan parlamentin kanta, vahvistettu 13. syyskuuta 2018 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 27. syyskuuta 2018.

(3) Euroopan parlamentin ja neuvoston direktiivi 2006/123/EY, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36).

(4) Euroopan parlamentin ja neuvoston asetus (EY) N:o 764/2008, annettu 9 päivänä heinäkuuta 2008, tiettyjen kansallisten teknisten määräysten soveltamista toisessa jäsenvaltiossa laillisesti kaupan pidettyihin tuotteisiin koskevista menettelyistä sekä päätöksen N:o 3052/95/EY kumoamisesta (EUVL L 218, 13.8.2008, s. 21).

(5) Euroopan parlamentin ja neuvoston asetus (EU) N:o 305/2011, annettu 9 päivänä maaliskuuta 2011, rakennustuotteiden kaupan pitämistä koskevien ehtojen yhdenmukaistamisesta ja neuvoston direktiivin 89/106/ETY kumoamisesta (EUVL L 88, 4.4.2011, s. 5).

(6) Euroopan parlamentin ja neuvoston direktiivi 2005/36/EY, annettu 7 päivänä syyskuuta 2005, ammattipätevyyden tunnustamisesta (EUVL L 255, 30.9.2005, s. 22).

(7) Komission suositus 2013/461/EU, annettu 17 päivänä syyskuuta 2013, SOLVIT-ongelmanratkaisuverkkoa koskevista periaatteista (EUVL L 249, 19.9.2013, s. 10).

(8) Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65).

(9) Euroopan parlamentin ja neuvoston direktiivi 2014/25/EU, annettu 26 päivänä helmikuuta 2014, vesi- ja energiahuollon sekä liikenteen ja postipalvelujen alalla toimivien yksiköiden hankinnoista ja direktiivin 2004/17/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 243).

(10) Euroopan parlamentin ja neuvoston asetus (EU) 2016/589, annettu 13 päivänä huhtikuuta 2016, työnvälityspalvelujen eurooppalaisesta verkostosta (Eures), liikkuvuuspalvelujen tarjoamisesta työntekijöille ja työmarkkinoiden yhdentymisen tiivistämisestä ja asetusten (EU) N:o 492/2011 ja (EU) N:o 1296/2013 muuttamisesta (EUVL L 107, 22.4.2016, s. 1).

(11) Neuvoston päätös 2001/470/EY, tehty 28 päivänä toukokuuta 2001, siviili- ja kauppaoikeuden alan Euroopan oikeudellisen verkoston perustamisesta (EYVL L 174, 27.6.2001, s. 25).

(12) Euroopan parlamentin ja neuvoston direktiivi 2014/67/EU, annettu 15 päivänä toukokuuta 2014, palvelujen tarjoamisen yhteydessä tapahtuvasta työntekijöiden lähettämisestä työhön toiseen jäsenvaltioon annetun direktiivin 96/71/EY täytäntöönpanosta sekä hallinnollisesta yhteistyöstä sisämarkkinoiden tietojenvaihtojärjestelmässä annetun asetuksen (EU) N:o 1024/2012 (IMI-asetus) muuttamisesta (EUVL L 159, 28.5.2014, s. 11).

(13) Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 73).

(14) Euroopan parlamentin ja neuvoston asetus (EY) N:o 883/2004, annettu 29 päivänä huhtikuuta 2004, sosiaaliturvajärjestelmien yhteensovittamisesta (EUVL L 166, 30.4.2004, s. 1).

(15) Euroopan parlamentin ja neuvoston asetus (EY) No 987/2009, annettu 16 päivänä syyskuuta 2009, sosiaaliturvajärjestelmien yhteensovittamisesta annetun asetuksen (EY) N:o 883/2004 täytäntöönpanomenettelystä (EUVL L 284, 30.10.2009, s. 1).

(16) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/2102, annettu 26 päivänä lokakuuta 2016, julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (EUVL L 327, 2.12.2016, s. 1).

(17) Neuvoston päätös 2010/48/EY, tehty 26 päivänä marraskuuta 2009, vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden Kansakuntien yleissopimuksen tekemisestä Euroopan yhteisön puolesta (EUVL L 23, 27.1.2010, s. 35).

(18) Euroopan parlamentin ja neuvoston asetus (EU) N:o 260/2012, annettu 14 päivänä maaliskuuta 2012, euromääräisiä tilisiirtoja ja suoraveloituksia koskevista teknisistä ja liiketoimintaa koskevista vaatimuksista sekä asetuksen (EY) N:o 924/2009 muuttamisesta (EUVL L 94, 30.3.2012, s. 22).

(19) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1024/2012, annettu 25 päivänä lokakuuta 2012, hallinnollisesta yhteistyöstä sisämarkkinoiden tietojenvaihtojärjestelmässä ja komission päätöksen 2008/49/EY kumoamisesta (IMI-asetus) (EUVL L 316, 14.11.2012, s. 1).

(20) Euroopan parlamentin ja neuvoston asetus (EU) 2016/1191, annettu 6 päivänä heinäkuuta 2016, kansalaisten vapaan liikkuvuuden edistämisestä yksinkertaistamalla tiettyjen yleisten asiakirjojen esittämistä Euroopan unionissa koskevia vaatimuksia sekä asetuksen (EU) N:o 1024/2012 muuttamisesta (EUVL L 200, 26.7.2016, s. 1).

(21) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(22) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (ks. tämän virallisen lehden s. 39).

(23) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1316/2013, annettu 11 päivänä joulukuuta 2013, Verkkojen Eurooppa -välineen perustamisesta sekä asetuksen (EU) N:o 913/2010 muuttamisesta ja asetusten (EY) N:o 680/2007 ja (EY) N:o 67/2010 kumoamisesta (EUVL L 348, 20.12.2013, s. 129).

(24) Euroopan parlamentin ja neuvoston direktiivi (EU) 2017/1132, annettu 14 päivänä kesäkuuta 2017, tietyistä yhtiöoikeuden osa-alueista (EUVL L 169, 30.6.2017, s. 46).

(25) Euroopan parlamentin ja neuvoston asetus (EU) 2015/848, annettu 20 päivänä toukokuuta 2015, maksukyvyttömyysmenettelyistä (EUVL L 141, 5.6.2015, s. 19).

(26) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(27) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).

(28) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(29) Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1).

(30) EUVL C 340, 11.10.2017, s. 6.

LIITE I

Luettelo tietojen aloista, jotka ovat merkityksellisiä kansalaisille ja yrityksille, jotka käyttävät 2 artiklan 2 kohdan a alakohdassa tarkoitettuja sisämarkkinaoikeuksiaan

Kansalaisiin liittyvät tietojen alat:

Ala

TIEDOT OIKEUKSISTA, VELVOLLISUUKSISTA JA SÄÄNNÖISTÄ UNIONIN OIKEUDEN JA KANSALLISEN LAINSÄÄDÄNNÖN PERUSTEELLA

A.	Matkustaminen unionissa

1.	asiakirjat, jotka vaaditaan unionin kansalaisilta, heidän perheenjäseniltään, jotka eivät ole unionin kansalaisia, yksin matkustavilta alaikäisiltä ja muilta kuin unionin kansalaisilta, kun matkustetaan valtioiden rajojen yli unionin sisällä (henkilökortti, viisumi, passi)

2.	lentokoneella, junalla, laivalla ja bussilla unionissa ja unionista matkustavien oikeudet ja velvollisuudet sekä matkapaketteja tai yhdistettyjä matkajärjestelyjä ostavien oikeudet ja velvollisuudet

3.	liikuntarajoitteisten henkilöiden avustaminen matkustettaessa unionissa ja unionista

4.	eläinten, kasvien, alkoholin, tupakan, savukkeiden ja muiden tavaroiden kuljettaminen matkustettaessa unionissa

5.	puhelut, sähköisten viestien lähettäminen ja vastaanottaminen ja sähköisen datan käyttö unionissa

B.	Työskentely ja eläkkeelle jääminen unionissa

1.	työnhaku toisessa jäsenvaltiossa

2.	työn vastaanottaminen toisessa jäsenvaltiossa

3.	ammattipätevyyden tunnustaminen toisessa jäsenvaltiossa työskentelyä varten

4.	verotus toisessa jäsenvaltiossa

5.	oleskeluun tai työskentelyyn toisessa jäsenvaltiossa liittyvät vastuuvakuutuksiin ja pakollisiin vakuutuksiin liittyvät säännöt

6.	laeissa tai asetuksissa säädetyt työehdot, myös lähetettyjen työntekijöiden työehdot (mukaan luettuna tiedot työajasta, palkallisesta lomasta ja lomaoikeuksista sekä ylityötä, terveystarkastuksia, työsopimuksen päättämistä, erottamista ja irtisanomisia koskevista oikeuksista ja velvollisuuksista)

7.	yhdenvertainen kohtelu (säännöt, joissa kielletään syrjintä työpaikalla, säännöt naisten ja miesten yhdenvertaisesta palkasta ja määräaikaisilla tai vakituisilla työsopimuksilla työskentelevien yhdenvertaisesta palkasta)

8.	terveyteen ja turvallisuuteen liittyvät velvollisuudet erityyppisessä toiminnassa

9.	sosiaaliturvaoikeudet ja -velvollisuudet unionissa, mukaan luettuna eläkkeen saamiseen liittyvät

C.	Ajoneuvot unionissa

1.	moottoriajoneuvon vieminen tilapäisesti tai pysyvästi toiseen jäsenvaltioon

2.	ajokortin hankkiminen ja uusiminen

3.	pakollisen moottoriajoneuvovakuutuksen hankkiminen

4.	moottoriajoneuvon ostaminen ja myyminen toisessa jäsenvaltiossa

5.	kansalliset liikennesäännöt ja kuljettajia koskevat vaatimukset, mukaan lukien yleiset säännöt, jotka koskevat kansallisen tieinfrastruktuurin käyttöä; aikaperusteiset maksut (vinjetti), matkaperusteiset maksut (tietulli), päästötarrat

D.	Oleskelu toisessa jäsenvaltiossa

1.	muuttaminen tilapäisesti tai pysyvästi toiseen jäsenvaltioon

2.	kiinteän omaisuuden hankkiminen ja myyminen, mukaan lukien mahdolliset ehdot ja velvoitteet, jotka liittyvät verotukseen, omistusoikeuteen tai tällaisen omaisuuden käyttöön, mukaan luettuna sen käyttö vapaa-ajan asuntona

3.	osallistuminen kuntavaaleihin ja Euroopan parlamentin vaaleihin

4.	oleskelukortteja koskevat vaatimukset unionin kansalaisten ja heidän perheenjäsentensä osalta, mukaan luettuna perheenjäsenet, jotka eivät ole unionin kansalaisia

5.	muun jäsenvaltion kansalaiseen sovellettavat kansalaisuuden saamista koskevat ehdot

6.	kuolemantapauksiin sovellettavat säännöt, mukaan luettuna säännöt vainajien kotiuttamisesta toiseen jäsenvaltioon

E.	Koulutus tai harjoittelu toisessa jäsenvaltiossa

1.	toisen jäsenvaltion koulutusjärjestelmä, mukaan lukien varhaiskasvatus ja hoito, ensimmäisen ja toisen asteen koulutus, korkeakoulutus ja aikuisopetus

2.	vapaaehtoistoiminta toisessa jäsenvaltiossa

3.	harjoittelun suorittaminen toisessa jäsenvaltiossa

4.	tutkimuksen tekeminen toisessa jäsenvaltiossa osana koulutusohjelmaa

F.	Terveydenhuolto

1.	sairaanhoidon saaminen toisessa jäsenvaltiossa

2.	reseptilääkkeiden ostaminen muussa jäsenvaltiossa kuin siinä, jossa resepti kirjoitettiin (sähköisesti tai henkilökohtaisesti)

3.	toisessa jäsenvaltiossa tapahtuvaan lyhyt- tai pitkäaikaiseen oleskeluun sovellettavat sairausvakuutusta koskevat säännöt, mukaan lukien eurooppalaisen sairaanhoitokortin hakemista koskevat säännöt

4.	yleiset tiedot mahdollisuudesta tai velvollisuudesta osallistua saatavilla oleviin julkisen terveydenhuollon ennaltaehkäiseviin toimenpiteisiin

5.	kansallisten hätänumeroiden kautta tarjotut palvelut, mukaan lukien numerot 112 ja 116

6.	hoitokotiin muuttoa koskevat oikeudet ja ehdot

G.	Kansalaisiin ja perheisiin sovellettavat oikeudet

1.	lasten syntymä, alaikäisten huoltajuus, vanhempien vastuu, sijaisvanhemmuutta ja adoptiota, myös perheen sisäistä adoptiota, koskevat säännöt, lasten elatusvelvollisuus rajatylittävässä perhetilanteessa

2.	pariskuntana eläminen, kun kyseessä ovat eri kansallisuudet, mukaan lukien samaa sukupuolta olevat pariskunnat (avioliitto, rekisteröity parisuhde, asumusero, avioero, aviovarallisuuteen liittyvät oikeudet, avopuolisoiden oikeudet)

3.	sukupuolen vahvistamista koskevat säännöt

4.	perimysoikeus ja -velvoitteet toisessa jäsenvaltiossa, myös verosäännöt

5.	rajatylittävissä lapsikaappaustapauksissa sovellettavat oikeudet ja säännöt

H.	Kuluttajien oikeudet

1.	tavaroiden, digitaalisen sisällön tai palveluiden (myös rahoituspalveluiden) ostaminen toisesta jäsenvaltiosta sähköisesti tai henkilökohtaisesti

2.	pankkitilin hankkiminen toisessa jäsenvaltiossa

3.	julkisten palvelujen hankkiminen, esimerkiksi kaasu, sähkö, vesi, kotitalouksien jätehuolto, televiestintä ja internet

4.	maksut, myös tilisiirrot, viiveet rajatylittävissä maksuissa

5.	tavaroiden ja palveluiden ostamiseen liittyvät kuluttajien oikeudet ja takuut, mukaan lukien kuluttajien riidanratkaisua ja korvauksia koskevat menettelyt

6.	kulutustavaroiden turvallisuus

7.	moottoriajoneuvon vuokraaminen

I.	Henkilötietojen suoja

1.	henkilötietojen suojaan liittyvien rekisteröityjen oikeuksien käyttäminen

Yrityksiin liittyvät tietojen alat:

Ala

TIEDOT OIKEUKSISTA, VELVOLLISUUKSISTA JA SÄÄNNÖISTÄ

J.	Liiketoiminnan aloittaminen, hoitaminen ja lopettaminen

1.	yrityksen rekisteröinti, oikeudellisen muodon muuttaminen tai yrityksen lakkauttaminen (liiketoiminnan harjoittamisen rekisteröintimenettelyt ja oikeudellinen muoto)

2.	liiketoiminnan siirtäminen toiseen jäsenvaltioon

3.	teollis- ja tekijänoikeudet (patentin hakeminen, tuotemerkin, piirustuksen tai mallin rekisteröinti, kopiointiluvan hankkiminen)

4.	kaupallisten käytäntöjen oikeudenmukaisuus ja avoimuus, mukaan luettuna tavaroiden ja palveluiden myymiseen liittyvät kuluttajien oikeudet ja takuut

5.	sähköisten mahdollisuuksien tarjoaminen rajatylittäviin maksuihin myytäessä tavaroita ja palveluita verkossa

6.	sopimusoikeudesta johtuvat oikeudet ja velvollisuudet, mukaan luettuna viivästyskorot

7.	maksukyvyttömyysmenettelyt ja yritysten likvidaatio

8.	luottovakuutus

9.	yritysten yhteenliittymät tai yrityksen myyminen

10.	yrityksen johtajien siviilioikeudellinen vastuu

11.	henkilötietojen käsittelyä koskevat säännöt ja velvollisuudet

K.	Työntekijät

1.	laeissa tai asetuksissa säädetyt työehdot (mukaan luettuna työaika, palkallinen loma, lomaoikeudet sekä ylityötä, terveystarkastuksia, työsopimuksen päättämistä, erottamista ja irtisanomista koskevat oikeudet ja velvollisuudet)

2.	sosiaaliturvaoikeudet ja -velvollisuudet unionissa (rekisteröityminen työnantajaksi, työntekijöiden rekisteröinti, työntekijän työsopimuksen päättymisestä ilmoittaminen, sosiaaliturvamaksujen maksaminen, eläkkeisiin liittyvät oikeudet ja velvollisuudet)

3.	työntekijöiden työllistäminen muissa jäsenvaltioissa (työntekijöiden lähettäminen, palvelujen tarjoamisen vapautta koskevat säännöt, työntekijöiden asuinpaikkavaatimukset)

4.	yhdenvertainen kohtelu (säännöt, joissa kielletään syrjintä työpaikalla, säännöt naisten ja miesten yhdenvertaisesta palkasta ja määräaikaisilla tai vakituisilla työsopimuksilla työskentelevien yhdenvertaisesta palkasta)

5.	henkilöstön edustusta koskevat säännöt

Verot

1.	alv: tiedot yleisistä säännöistä, korkokannoista ja vapautuksista, alv-rekisteröinti ja alv:n maksaminen, palautuksen saaminen

2.	valmisteverot: tiedot yleisistä säännöistä, korkokannoista ja vapautuksista, rekisteröityminen valmisteveron maksamiseksi ja valmisteveron maksaminen, palautuksen saaminen

3.	tullimaksut ja muut tuonnista kannettavat verot ja tullit

4.	unionin tullikoodeksin mukaiset tuontiin ja vientiin sovellettavat tullimenettelyt

5.	muut verot: maksaminen, korkokannat, veronpalautukset

Tavarat

1.	CE-merkinnän hankkiminen

2.	tuotteita koskevat säännöt ja vaatimukset

3.	sovellettavien vaatimusten kartoittaminen, tekniset eritelmät ja tuotteiden sertifiointi

4.	sellaisten tuotteiden vastavuoroinen tunnustaminen, joihin ei sovelleta unionin eritelmiä

5.	vaarallisten kemikaalien luokittelua, merkintöjä ja pakkauksia koskevat vaatimukset

6.	etämyynti ja muualla kuin elinkeinonharjoittajan toimitiloissa tapahtuva myynti: kuluttajille ennalta annettavat tiedot, sopimuksen kirjallinen vahvistus, sopimuksen peruuttaminen, tavaroiden toimittaminen, muut erityiset velvollisuudet

7.	vialliset tuotteet: kuluttajien oikeudet ja takuut, myynnin jälkeinen vastuu, vahinkoa kärsineen osapuolen muutoksenhakukeinot

8.	sertifiointi, merkit (EMAS, energiamerkit, ekologinen suunnittelu, EU-ympäristömerkki)

9.	kierrätys ja jätehuolto

Palvelut

1.	lisenssien tai lupien hankkiminen liiketoiminnan aloittamiseksi ja hoitamiseksi

2.	viranomaisille tehtävä ilmoitus rajatylittävästä toiminnasta

3.	ammattipätevyyden tunnustaminen, mukaan lukien ammatillinen koulutus

O.	Liiketoiminnan rahoittaminen

1.	rahoitusmahdollisuudet unionin tasolla, mukaan luettuna unionin rahoitusohjelmat ja liiketoimintatuet

2.	rahoitusmahdollisuudet kansallisella tasolla

3.	yrittäjille suunnatut aloitteet (esim. uusille yrittäjille suunnatut vaihdot, mentorointiohjelmat)

P.	Julkiset hankinnat

1.	osallistuminen julkisiin tarjouskilpailuihin: säännöt ja menettelyt

2.	tarjouksen jättäminen sähköisesti julkiseen tarjouskilpailuun

3.	tarjouskilpailuun liittyvistä säännönvastaisuuksista raportointi

Q.	Työterveys ja työturvallisuus

1.	terveyteen ja turvallisuuteen liittyvät velvollisuudet erityyppisessä toiminnassa, mukaan luettuna riskien ehkäisy, tiedottaminen ja koulutus

LIITE II

6 artiklan 1 kohdassa tarkoitetut menettelyt

Tapahtuma	Menettely	Odotettu tuotos; tarvittaessa toimivaltainen viranomainen arvioi hakemuksen kansallisen lainsäädännön mukaisesti
Syntymä	Todistuksen pyytäminen syntymän rekisteröinnistä	Todistus syntymän rekisteröinnistä tai syntymätodistus
Oleskelu	Oleskelutodistuksen pyytäminen	Nykyisen osoitteen rekisteröintivahvistus
Opiskelu	Korkea-asteen koulutusta koskevan opintojen rahoituksen, kuten opintotukien ja -lainojen hakeminen julkiselta elimeltä tai laitokselta	Rahoitushakemusta koskeva päätös tai vastaanottoilmoitus
	Julkiseen korkea-asteen oppilaitokseen hyväksymistä koskevan ensimmäisen hakemuksen jättäminen	Hakemuksen vastaanottovahvistus
	Tutkintojen, todistusten tai opintojen tai kurssien suorittamisen osoittavien muiden asiakirjojen akateemisen tunnustamisen pyytäminen	Tunnustamispyyntöä koskeva päätös
Työskentely	Pyyntö sovellettavan lainsäädännön määrittämiseksi asetuksen (EY) N:o 883/2004 (1) II osaston mukaisesti	Päätös sovellettavasta lainsäädännöstä
	Ilmoittaminen sosiaaliturvaetuuksia saavan henkilön henkilökohtaisten tai ammattiin liittyvien olosuhteiden muutoksista, jotka ovat merkityksellisiä kyseisten etuuksien kannalta	Vahvistus tällaisia muutoksia koskevan ilmoituksen vastaanottamisesta
	Eurooppalaista sairaanhoitokorttia koskeva hakemus	Eurooppalainen sairaanhoitokortti
	Tuloveroilmoituksen jättäminen	Ilmoituksen vastaanottovahvistus
Muutto	Osoitteenmuutoksen rekisteröinti	Vahvistus edellistä osoitetta koskevan rekisterimerkinnän poistamisesta ja uuden osoitteen rekisteröimisestä
	Jostakin jäsenvaltiosta peräisin olevan tai jossakin jäsenvaltiossa jo rekisteröidyn moottoriajoneuvon rekisteröinti normaalimenettelyssä (2)	Todistus moottoriajoneuvon rekisteröinnistä
	Kansallisen tieinfrastruktuurin käyttöä koskevien tarrojen hankkiminen: julkisen elimen tai laitoksen määräämät aikaperusteiset maksut (vinjetti) ja matkaperusteiset maksut (tietulli)	Tietullitarran tai vinjetin kuitti tai muu maksuvahvistus
	Julkisen elimen tai laitoksen liikkeeseen laskemien päästötarrojen hankkiminen	Päästötarran kuitti tai muu maksuvahvistus
Eläkkeelle jääminen	Eläke- ja varhaiseläke-etuuksien hakeminen pakollisesta järjestelmästä	Vahvistus hakemuksen vastaanottamisesta tai eläke- tai varhaiseläke-etuushakemusta koskeva päätös
Eläkkeelle jääminen	Eläkettä koskevien tietojen pyytäminen pakollisista järjestelmistä	Henkilökohtaisia eläketietoja koskeva ilmoitus
Liiketoiminnan aloittaminen, hoitaminen ja lopettaminen	Liiketoiminnasta ilmoittaminen, liiketoiminnan harjoittamista koskeva lupa, muutokset liiketoiminnassa ja liiketoiminnan lopettaminen, kun kyse ei ole maksukyvyttömyys- tai likvidaatiomenettelyistä; soveltamisalaan eivät kuitenkaan kuulu liiketoiminnan ensimmäinen rekisteröinti yhtiörekisteriin eivätkä menettelyt, jotka koskevat yrityksen perustamista Euroopan unionin toiminnasta tehdyn sopimuksen 54 artiklan toisen kohdan mukaisesti tai tätä koskevien mahdollisten myöhempien asiakirjojen toimittaminen	Vahvistus liiketoimintaa koskevan ilmoituksen tai muutosilmoituksen tai liiketoimintalupaa koskevan pyynnön vastaanottamisesta
	Työnantajan (luonnollisen henkilön) rekisteröinti pakolliseen eläke- ja vakuutusjärjestelmään	Rekisteröinnin tai sosiaaliturvanumeron vahvistaminen
	Työntekijän rekisteröinti pakolliseen eläke- ja vakuutusjärjestelmään	Rekisteröinnin tai sosiaaliturvanumeron vahvistaminen
	Yrityksen veroilmoituksen jättäminen	Ilmoituksen vastaanottovahvistus
	Sosiaaliturvajärjestelmälle ilmoittaminen työntekijän työsopimuksen päättymisestä, pois lukien menettelyt, jotka koskevat työsopimusten joukkoirtisanomista	Ilmoituksen vastaanottovahvistus
	Työntekijöiden sosiaaliturvamaksujen maksaminen	Kuitti tai muu vahvistus työntekijöiden sosiaaliturvamaksujen maksamisesta

(1) Euroopan parlamentin ja neuvoston asetus (EY) N:o 883/2004, annettu 29 päivänä huhtikuuta 2004, sosiaaliturvajärjestelmien yhteensovittamisesta (EUVL L 166, 30.4.2004, s. 1).

(2) Tähän kuuluvat seuraavat ajoneuvot: a) kaikki Euroopan parlamentin ja neuvoston direktiivin 2007/46/EY (EUVL L 263, 9.10.2007, s. 1) 3 artiklassa tarkoitetut moottoriajoneuvot tai perävaunut ja b) kaikki Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 168/2013 (EUVL L 60, 2.3.2013, s. 52) 1 artiklassa tarkoitetut kaksi- tai kolmipyöräiset tieliikenteeseen tarkoitetut moottoriajoneuvot riippumatta siitä, ovatko ne paripyöräisiä.

LIITE III

Luettelo 2 artiklan 2 kohdan c alakohdassa tarkoitetuista neuvonta- ja ongelmanratkaisupalveluista

1)	Keskitetyt asiointipisteet (1)

2)	Tuoteyhteyspisteet (2)

3)	Rakennustuoteyhteyspisteet (3)

4)	Ammattipätevyyden tunnustamiseen liittyvät kansalliset tukikeskukset (4)

5)	Rajatylittävän terveydenhuollon kansalliset yhteyspisteet (5)

6)	Työnvälityspalvelujen eurooppalainen verkosto (Eures) (6)

7)	Verkkovälitteinen riidanratkaisu (7)

(1) Euroopan parlamentin ja neuvoston direktiivi 2006/123/EY, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36).

(2) Euroopan parlamentin ja neuvoston asetus (EY) N:o 764/2008, annettu 9 päivänä heinäkuuta 2008, tiettyjen kansallisten teknisten määräysten soveltamista toisessa jäsenvaltiossa laillisesti kaupan pidettyihin tuotteisiin koskevista menettelyistä sekä päätöksen N:o 3052/95/EY kumoamisesta (EUVL L 218, 13.8.2008, s. 21).

(3) Euroopan parlamentin ja neuvoston asetus (EU) N:o 305/2011, annettu 9 päivänä maaliskuuta 2011, rakennustuotteiden kaupan pitämistä koskevien ehtojen yhdenmukaistamisesta ja neuvoston direktiivin 89/106/ETY kumoamisesta (EUVL L 88, 4.4.2011, s. 5).

(4) Euroopan parlamentin ja neuvoston direktiivi 2005/36/EY, annettu 7 päivänä syyskuuta 2005, ammattipätevyyden tunnustamisesta (EUVL L 255, 30.9.2005, s. 22).

(5) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(6) Euroopan parlamentin ja neuvoston asetus (EU) 2016/589, annettu 13 päivänä huhtikuuta 2016, työnvälityspalvelujen eurooppalaisesta verkostosta (Eures), liikkuvuuspalvelujen tarjoamisesta työntekijöille ja työmarkkinoiden yhdentymisen tiivistämisestä ja asetusten (EU) N:o 492/2011 ja (EU) N:o 1296/2013 muuttamisesta (EUVL L 107, 22.4.2016, s. 1).

(7) Euroopan parlamentin ja neuvoston asetus (EU) N:o 524/2013, annettu 21 päivänä toukokuuta 2013, kuluttajariitojen verkkovälitteisestä riidanratkaisusta sekä asetuksen (EY) N:o 2006/2004 ja direktiivin 2009/22/EY muuttamisesta (verkkovälitteistä kuluttajariitojen ratkaisua koskeva asetus) (EUVL L 165, 18.6.2013, s. 1).

21.11.2018

Euroopan unionin virallinen lehti

L 295/39

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2018/1725,

annettu 23 päivänä lokakuuta 2018,

luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

noudattavat tavallista lainsäätämisjärjestystä (2),

sekä katsovat seuraavaa:

(1)

Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ”perusoikeuskirja”, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Tämä oikeus taataan myös ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen 8 artiklassa.

(2)

Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 45/2001 (3) säädetään luonnollisten henkilöiden täytäntöönpanokelpoisista oikeuksista, määritetään rekisterinpitäjien tietojenkäsittelyvelvollisuudet yhteisön toimielimissä ja elimissä ja perustetaan riippumaton valvontaviranomainen, Euroopan tietosuojavaltuutettu, jonka tehtävänä on valvoa henkilötietojen käsittelyä unionin toimielimissä ja elimissä. Sitä ei kuitenkaan sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen unionin toimielinten ja elinten toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

(3)

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (4) ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 (5) annettiin 27 päivänä huhtikuuta 2016. Asetuksessa vahvistetaan yleiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa, kun taas direktiivissä vahvistetaan erityiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

(4)	Asetuksessa (EU) 2016/679 säädetään mukautusten tekemisestä asetukseen (EY) N:o 45/2001, jotta varmistetaan vahva ja johdonmukainen tietosuojakehys unionissa ja jotta sitä voidaan soveltaa rinnakkain asetuksen (EU) 2016/679 kanssa.

(5)

Jotta voidaan varmistaa johdonmukainen lähestymistapa henkilötietojen suojaan koko unionissa ja henkilötietojen vapaa liikkuvuus unionissa, on tarkoituksenmukaista yhdenmukaistaa mahdollisuuksien mukaan unionin toimielinten, elinten ja laitosten tietosuojasäännöt jäsenvaltioiden julkista sektoria varten hyväksyttyjen tietosuojasääntöjen kanssa. Aina kun tämän asetuksen säännökset ovat periaatteellisesti yhteneväiset asetuksen (EU) 2016/679 säännösten kanssa, näitä kahta säännöstöä olisi Euroopan unionin tuomioistuimen, jäljempänä ”unionin tuomioistuin”, oikeuskäytännön mukaisesti tulkittava yhteneväisesti, erityisesti siksi, että tämän asetuksen rakenne olisi ymmärrettävä asetuksen (EU) 2016/679 rakennetta vastaavaksi.

(6)

Henkilöitä, joiden henkilötietoja käsitellään unionin toimielimissä ja elimissä missä tahansa yhteydessä, esimerkiksi siitä syystä, että he ovat kyseisten toimielinten ja elinten palveluksessa, olisi suojeltava. Tätä asetusta ei pitäisi soveltaa kuolleiden henkilöiden henkilötietojen käsittelyyn. Tämä asetus ei koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja.

(7)	Vakavan väärinkäytösten riskin välttämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta.

(8)

Tätä asetusta olisi sovellettava kaikkien unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. Sitä olisi sovellettava henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Sellaisten asiakirjojen tai asiakirjakokoelmien kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti, ei olisi kuuluttava tämän asetuksen soveltamisalaan.

(9)

Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjan liitteenä olevassa julistuksessa N:o 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla konferenssi totesi, että Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja henkilötietojen vapaasta liikkuvuudesta saattavat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla näiden alojen erityisluonteen vuoksi. Yleiset säännöt sisältävää tämän asetuksen erillistä lukua olisi sen vuoksi sovellettava operatiivisten henkilötietojen, kuten rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla toimintaa toteuttavien unionin elinten tai laitosten rikostutkintaa varten käsittelemien henkilötietojen, käsittelyyn.

(10)

Direktiivissä (EU) 2016/680 vahvistetaan yhdenmukaiset säännöt sellaisten henkilötietojen suojelulle ja vapaalle liikkuvuudelle, joita käsitellään rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Jotta varmistetaan samantasoinen suoja luonnollisille henkilöille ja täytäntöönpanokelpoiset oikeudet kaikkialla unionissa ja jotta estetään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten sekä toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa haittaavat eroavuudet, tällaisten unionin elinten ja laitosten käsittelemien operatiivisten henkilötietojen suojelua ja vapaata liikkuvuutta koskevien sääntöjen olisi oltava yhdenmukaisia direktiivin (EU) 2016/680 kanssa.

(11)

Operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen luvun yleisiä sääntöjä olisi sovellettava rajoittamatta erityisiä sääntöjä, joita sovelletaan Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn. Tällaisia erityisiä sääntöjä olisi pidettävä erityissäännöksenä (lex specialis) operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen luvussa oleviin säännöksiin nähden (lex specialis derogat legi generali). Jotta vähennettäisiin lainsäädännön hajanaisuutta, Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn sovellettavien erityisten tietosuojasääntöjen olisi oltava sopusoinnussa operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen luvun taustalla olevien periaatteiden sekä riippumatonta valvontaa, oikeussuojakeinoja, vastuuta ja seuraamuksia koskevien tämän asetuksen säännösten kanssa.

(12)

Operatiivisten henkilötietojen käsittelyä koskevaa tämän asetuksen lukua olisi sovellettava Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten toteuttaviin unionin elimiin ja laitoksiin riippumatta siitä, toteuttavatko ne tällaista toimintaa pää- vai oheistoimintonaan. Sitä ei kuitenkaan pitäisi soveltaa Europoliin tai Euroopan syyttäjänvirastoon, ennen kuin Europolin ja Euroopan syyttäjänviraston perustamissäädöksiä muutetaan niin, että operatiivisten henkilötietojen käsittelyä koskevasta tämän asetuksen luvusta, sellaisena kuin se on mukautettuna, tulee niihin sovellettava.

(13)

Komission olisi tarkasteltava uudelleen tätä asetusta ja erityisesti operatiivisten henkilötietojen käsittelyä koskevaa tämän asetuksen lukua. Komission olisi tarkasteltava uudelleen myös muita perussopimusten perusteella annettuja säädöksiä, joilla säännellään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa operatiivisten henkilötietojen käsittelyä. Jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä, komission olisi tällaisen uudelleentarkastelun jälkeen voitava antaa asianmukaisia säädösehdotuksia, myös tarvittavista mukautuksista operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen lukuun sen soveltamiseksi Europoliin ja Euroopan syyttäjänvirastoon. Mukautuksissa olisi otettava huomioon riippumatonta valvontaa, oikeussuojakeinoja, vastuuta ja seuraamuksia koskevat säännökset.

(14)

Tämän asetuksen olisi koskettava hallinnollisten henkilötietojen käsittelyä, kuten Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa henkilöstöä koskevien tietojen käsittelyä.

(15)

Tätä asetusta olisi sovellettava Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. Tätä asetusta ei olisi sovellettava henkilötietojen käsittelyyn Euroopan unionista tehdyn sopimuksen 42 artiklan 1 kohdassa ja 43 ja 44 artiklassa tarkoitetuissa tehtävissä, joissa toteutetaan yhteistä turvallisuus- ja puolustuspolitiikkaa. Tapauksen mukaan olisi esitettävä asiaankuuluvia ehdotuksia henkilötietojen käsittelyn sääntelemiseksi tarkemmin yhteisen turvallisuus- ja puolustuspolitiikan alalla.

(16)

Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.

(17)

Pseudonymisoinnin soveltaminen henkilötietoihin voi vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan. ”Pseudonymisoinnin” nimenomaisella sisällyttämisellä tähän asetukseen ei ole tarkoitus sulkea pois mitään muita tietosuojatoimenpiteitä.

(18)

Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin.

(19)

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palvelujen teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan. Rekisteröidyllä olisi silti oltava oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Usein tieteellisiä tutkimustarkoituksia varten tehtävän käsittelyn tarkoitusta ei ole mahdollista täysin määrittää siinä vaiheessa, kun henkilötietoja kerätään. Tästä syystä rekisteröityjen olisi voitava antaa suostumuksensa tietyille tieteellisen tutkimuksen aloille silloin, kun noudatetaan tieteellisen tutkimuksen tunnustettuja eettisiä standardeja. Rekisteröidyillä olisi oltava mahdollisuus antaa suostumuksensa ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille, siinä määrin kuin suunniteltu tarkoitus sen mahdollistaa.

(20)

Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, miten heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin, ja heidän olisi oltava selvillä siitä, missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaatteen mukaisesti kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröityjen tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevan käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti. Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään, kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa estetään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin ja tällaisten tietojen tai laitteistojen luvaton käyttö sekä estetään henkilötietojen luvaton luovuttaminen siirtämisen aikana.

(21)

Jos unionin toimielimet ja elimet siirtävät henkilötietoja saman unionin toimielimen tai elimen sisällä ja vastaanottaja ei ole osa rekisterinpitäjää tai muille unionin toimielimille ja elimille, niiden olisi tilivelvollisuuden periaatteen mukaisesti tarkistettava, tarvitaanko tällaisia henkilötietoja vastaanottajan toimivaltaan kuuluvien tehtävien lainmukaista suorittamista varten. Kun vastaanottaja on pyytänyt henkilötietojen siirtoa, rekisterinpitäjän olisi erityisesti tarkistettava henkilötietojen lainmukaisen käsittelyn asianmukainen peruste ja vastaanottajan toimivalta. Rekisterinpitäjän olisi myös arvioitava alustavasti tietojen siirtämisen tarpeellisuus. Jos tarpeellisuudesta on epäilyksiä, rekisterinpitäjän olisi pyydettävä vastaanottajalta lisäselvityksiä. Vastaanottajan olisi varmistettava, että tietojen siirtämisen tarpeellisuus voidaan myöhemmin tarkistaa.

(22)

Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava unionin toimielinten ja elinten yleistä etua koskevan tai niille kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamisen tarpeellisuuteen, rekisterinpitäjän lakisääteisen velvoitteen noudattamisen tarpeellisuuteen tai muuhun tämän asetuksen mukaiseen oikeutettuun perusteeseen, mukaan lukien asianomaisen rekisteröidyn suostumus tai tarve panna täytäntöön sopimus, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Henkilötietojen käsittelyyn unionin toimielimissä ja elimissä yleistä etua koskevien tehtävien suorittamiseksi sisältyy toimielinten ja elinten hallinnolle ja toiminnalle tarpeellisten henkilötietojen käsittely. Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella silloin, kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustaa. Tietyntyyppinen käsittely voi palvella sekä yleistä etua koskevia tärkeitä syitä että rekisteröidyn elintärkeitä etuja esimerkiksi silloin, kun tietojenkäsittely on tarpeen humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.

(23)

Tässä asetuksessa tarkoitetun unionin oikeuden olisi oltava selkeää ja täsmällistä ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisesti.

(24)

Tässä asetuksessa tarkoitettujen sisäisten sääntöjen olisi oltava selkeitä ja täsmällisiä, soveltamisalaltaan yleisiä säädöksiä, jotka on tarkoitettu tuottamaan rekisteröityihin kohdistuvia oikeusvaikutuksia. Nämä sisäiset säännöt olisi hyväksyttävä unionin toimielinten ja elinten ylimmän johdon tasolla niiden toimivallan puitteissa ja niiden toimintaan liittyvissä asioissa. Ne olisi julkaistava Euroopan unionin virallisessa lehdessä. Kyseisten sääntöjen soveltamisen olisi oltava henkilöiden kannalta ennakoitavissa olevaa perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisesti. Sisäiset säännöt voidaan antaa päätösten muodossa erityisesti, kun unionin toimielin antaa ne.

(25)

Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperustan lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustaa. Jos käsittely on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi, unionin oikeudessa voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joita varten myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tarjoama oikeusperusta henkilötietojen käsittelylle voi muodostaa oikeusperustan myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käyttöön liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa myöhemmässä käsittelyssä.

(26)

Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Neuvoston direktiivin 93/13/ETY (6) mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei olisi pidettävä vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta tai jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

(27)

Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista ja omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin henkilöprofiilien luomiseen ja lapsia koskevien henkilötietojen keräämiseen, kun kyse on suoraan lapsille unionin toimielinten ja elinten verkkosivuilla tarjotuista palveluista, kuten henkilöiden väliset viestintäpalvelut tai lippujen myyminen verkossa, ja henkilötietojen käsittely perustuu suostumukseen.

(28)

Kun muut unioniin sijoittautuneet vastaanottajat kuin unionin toimielimet ja elimet haluaisivat, että unionin toimielimet ja elimet siirtäisivät niille henkilötietoja, näiden vastaanottajien olisi osoitettava, että tietojen siirtäminen kyseisille vastaanottajille on tarpeen joko niiden yleistä etua koskevan tai niille kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi. Vaihtoehtoisesti näiden vastaanottajien olisi osoitettava, että siirtäminen on tarpeen yleistä etua koskevaa erityistä tarkoitusta varten, ja rekisterinpitäjän olisi selvitettävä, onko syytä olettaa, että rekisteröidyn oikeutetut edut voivat joutua vaaraan. Tällöin rekisterinpitäjän olisi todistetusti arvioitava erilaiset kilpailevat edut voidakseen arvioida pyydetyn henkilötietojen siirron oikeasuhteisuuden. Kyseinen yleistä etua koskeva erityinen tarkoitus voisi liittyä unionin toimielinten ja elinten avoimuuteen. Unionin toimielinten ja elinten olisi myös osoitettava tällainen tarve, kun ne itse ovat siirron alkuunpanijoita, avoimuuden ja hyvän hallinnon periaatteen mukaisesti. Tässä asetuksessa säädettyjen, tietojen siirtämistä muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille koskevien vaatimusten olisi katsottava täydentävän lainmukaisen käsittelyn edellytyksiä.

(29)

Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisia henkilötietoja ei pitäisi käsitellä, elleivät tässä asetuksessa säädetyt erityiset edellytykset täyty. Tällaisiin henkilötietoihin olisi sisällyttävä henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ”rotu” käyttäminen tässä asetuksessa ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Arkaluonteisten tietojen käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn edellytysten osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.

(30)

Henkilötietojen erityisryhmiin kuuluvia, erityissuojelua tarvitsevia henkilötietoja olisi käsiteltävä vain terveyteen liittyvien syiden perusteella silloin, kun se on tarpeen luonnollisten henkilöiden ja koko yhteiskunnan etua palvelevien tarkoitusten toteuttamiseksi erityisesti terveyden- tai sosiaalihuollon palvelujen ja järjestelmien hallinnon yhteydessä. Näin ollen tässä asetuksessa olisi säädettävä erityisryhmiin kuuluvien terveyttä koskevien henkilötietojen käsittelyn yhdenmukaisista ehdoista erityistarpeiden osalta erityisesti, kun henkilö, jolla on lakisääteinen salassapitovelvollisuus, käsittelee tällaisia tietoja tiettyjä terveyteen liittyviä tarkoituksia varten. Unionin oikeudessa olisi säädettävä erityisistä ja asianmukaisista toimenpiteistä luonnollisten henkilöiden perusoikeuksien ja henkilötietojen suojelemiseksi.

(31)

Erityisryhmiin kuuluvia henkilötietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tällaisen käsittelyn olisi edellytettävä asianmukaisia ja erityisiä toimenpiteitä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi. Tässä yhteydessä ”kansanterveydellä” olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 (7) olevan määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten.

(32)

Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Rekisterinpitäjän ei pitäisi kuitenkaan kieltäytyä vastaanottamasta rekisteröidyn antamia lisätietoja tämän oikeuksien käyttämisen tukemiseksi. Tunnistamiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.

(33)

Henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Näillä suojatoimilla olisi varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, jotta taataan etenkin tietojen minimoinnin periaate. Henkilötietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on tehtävä, jos rekisterinpitäjä on arvioinut, onko kyseiset tarkoitukset mahdollista saavuttaa käsittelemällä tietoja, joiden avulla ei voida tai ei enää voida tunnistaa rekisteröityjä, kunhan asianmukaiset suojatoimet (kuten tietojen pseudonymisointi) on toteutettu. Unionin toimielinten ja elinten olisi toteutettava asianmukaiset suojatoimet henkilötietojen käsittelylle yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä.

(34)

Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa esimerkiksi mekanismeilla, joilla rekisteröity voi pyytää pääsyä henkilötietoihin ja esittää henkilötietojen oikaisemista tai poistamista koskevan pyynnön ja mahdollisuuksien mukaan saada nämä oikeudet maksutta sekä käyttää oikeuttaan vastustaa henkilötietojen käsittelyä. Rekisterinpitäjän olisi myös tarjottava keinot esittää tällaiset pyynnöt sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaisia pyyntöjä.

(35)

Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista. Jos henkilötietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa henkilötiedot, sekä kieltäytymisen seurauksista. Nämä tiedot voidaan antaa yhdessä vakiomuotoisten kuvakkeiden kanssa, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden olisi oltava koneellisesti luettavissa.

(36)

Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keruun yhteydessä tai, jos henkilötiedot on saatu jostakin muusta lähteestä, kohtuullisen ajan kuluessa tietojen keruusta, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun henkilötietoja luovutetaan ensimmäisen kerran. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun tarkoitukseen kuin siihen, jota varten ne on kerätty, rekisterinpitäjän olisi toimitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tiedot tästä muusta tarkoituksesta sekä muut tarvittavat tiedot. Jos rekisteröidylle ei ole voitu ilmoittaa henkilötietojen alkuperää johtuen siitä, että on käytetty useita lähteitä, olisi annettava yleiset tiedot.

(37)

Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Tähän sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista ja, jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjän olisi voitava pyytää rekisteröityä täsmentämään ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.

(38)

Rekisteröidyllä olisi oltava oikeus saada häntä koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta. Rekisteröidyllä olisi oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, eikä ole ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Rekisteröidyn olisi voitava käyttää tätä oikeutta siitä huolimatta, että hän ei enää ole lapsi. Henkilötietojen edelleen säilyttämisen tulisi kuitenkin olla lainmukaista, jos se on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, lakisääteisen velvoitteen noudattamiseksi, yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi, kansanterveyteen liittyvää yleistä etua koskevista syistä, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

(39)

Jotta voitaisiin vahvistaa oikeutta tulla unohdetuksi verkkoympäristössä, oikeutta tietojen poistamiseen olisi laajennettava edellyttämällä, että henkilötiedot julkistanut rekisterinpitäjä on velvollinen ilmoittamaan näitä henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kaikkien näihin tietoihin liittyvien linkkien tai näiden tietojen jäljennösten tai kopioiden poistamista. Näin menetellessään rekisterinpitäjän olisi toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ottaen huomioon käytettävissä oleva teknologia ja keinot, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille rekisteröidyn pyynnöstä.

(40)

Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen väliaikainen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.

(41)

Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta ottaa käyttöön tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia. Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia. Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten. Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle.

(42)

Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut syrjäyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet.

(43)

Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen käsittelyn perusteella, josta hänelle aiheutuu oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi, kuten sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeusvaikutuksia tai se vaikuttaa häneen vastaavalla tavalla merkittävästi.

Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointi, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa unionin oikeudessa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen. Rekisteröityä koskevan asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys, rekisterinpitäjän olisi käytettävä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä, toteutettava teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan, sekä turvattava henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon ja estetään muun muassa luonnollisten henkilöiden syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella taikka käsittely, jonka johdosta toteutetaan toimenpiteitä, joilla on tällaisia seurauksia. Henkilötietojen erityisluokitteluun perustuva automaattinen päätöksenteko ja profilointi olisi sallittava vain erityistilanteissa.

(44)

Perussopimusten perusteella annetuissa säädöksissä tai unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymissä sisäisissä säännöissä voidaan asettaa rajoituksia, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja ja oikeutta siirtää tiedot järjestelmästä toiseen, sähköisen viestinnän tietojen luottamuksellisuutta, henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisessa yhteiskunnassa yleisen turvallisuuden takaamiseksi ja rikosten ennalta estämistä, tutkintaa ja rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Näin on silloin, kun kyseessä on yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, ihmishenkien suojeleminen erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä, unionin toimielinten ja elinten sisäinen turvallisuus, muut unionin tai jäsenvaltion tärkeää yleistä etua koskevat syyt, erityisesti unionin yhteisen ulko- ja turvallisuuspolitiikan tavoitteet tai unionin tai jäsenvaltion tärkeät taloudelliset tai rahoitusta koskevat edut sekä julkisten rekisterien pitäminen yleiseen etuun liittyvistä syistä tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien, muun muassa sosiaaliturvan, kansanterveyden ja humanitaaristen tarkoitusten, turvaamiseksi.

(45)

Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän lukuun suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan lukien. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

(46)

Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen tai pseudonymisoinnin luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan; jos käsitellään sellaisia henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta ja ammattiliittoon kuulumista, tai käsitellään geneettisiä tietoja tai terveystietoja ja seksuaalista käyttäytymistä tai rikostuomioita ja rikoksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; jos arvioidaan henkilökohtaisia ominaisuuksia, erityisesti kun kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; jos käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja tai jos käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää.

(47)

Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.

(48)

Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät. Jotta voidaan osoittaa, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Tällaisia toimenpiteitä voisivat olla muun muassa henkilötietojen käsittelyn minimointi, henkilötietojen pseudonymisointi mahdollisimman pian, tehtävien ja henkilötietojen käsittelyn läpinäkyvyys sekä sen mahdollistaminen, että rekisteröity voi valvoa tietojenkäsittelyä ja että rekisterinpitäjä voi luoda ja parantaa turvaominaisuuksia. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet olisi myös huomioitava julkisten tarjouskilpailujen yhteydessä.

(49)

Asetuksessa (EU) 2016/679 säädetään, että rekisterinpitäjien on osoitettava velvollisuuksien noudattaminen noudattamalla hyväksyttyjä sertifiointimekanismeja. Myös unionin toimielinten ja elinten olisi voitava osoittaa, että ne noudattavat tämän asetuksen vaatimuksia, hankkimalla sertifiointi asetuksen (EU) 2016/679 42 artiklan mukaisesti.

(50)

Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut edellyttävät, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän lukuun.

(51)

Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän lukuun suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoimet henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien. Sitä, että muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet noudattavat hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista. Muun henkilötietojen käsittelijän kuin unionin toimielimen tai elimen suorittamaa käsittelyä olisi säänneltävä sopimuksella tai siinä tapauksessa, että käsittelijöinä ovat unionin toimielimet tai elimet, unionin oikeuden mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski. Rekisterinpitäjän ja henkilötietojen käsittelijän olisi voitava halutessaan käyttää yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai ensin Euroopan tietosuojavaltuutettu ja sitten komissio. Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän lukuun, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos unionin oikeudessa tai henkilötietojen käsittelijään sovellettavassa jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.

(52)

Rekisterinpitäjien olisi ylläpidettävä selostetta vastuullaan olevista käsittelytoimista ja henkilötietojen käsittelijöiden olisi ylläpidettävä selostetta vastuullaan olevista käsittelytoimien ryhmistä voidakseen osoittaa, että ne noudattavat tätä asetusta. Unionin toimielimet ja elimet olisi velvoitettava tekemään yhteistyötä Euroopan tietosuojavaltuutetun kanssa ja saattamaan pyydettäessä selosteensa sen saataville, jotta käsittelytoimia voidaan seurata niiden pohjalta. Unionin toimielinten ja elinten olisi voitava perustaa käsittelytoimistaan laatimiensa selosteiden keskusrekisteri, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Läpinäkyvyyden vuoksi niiden olisi myös voitava tehdä rekisteristä julkinen.

(53)

Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.

(54)

Unionin toimielinten ja elinten olisi varmistettava sähköisen viestinnän luottamuksellisuus perusoikeuskirjan 7 artiklan mukaisesti. Unionin toimielinten ja elinten olisi erityisesti varmistettava sähköisten viestintäverkkojensa turvallisuus. Niiden olisi suojattava yleisesti saatavilla olevia verkkosivustojaan ja mobiilisovelluksiaan käyttävien käyttäjien päätelaitteita koskevat tiedot Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (8) mukaisesti. Niiden olisi myös suojattava käyttäjäluetteloihin tallennetut henkilötiedot.

(55)

Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta Euroopan tietosuojavaltuutetulle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä. Jos tällainen viivytys on perusteltu, tietoturvaloukkausta koskevia vähemmän arkaluonteisia tai vähemmän täsmällisiä tietoja olisi annettava mahdollisimman varhaisessa vaiheessa sen sijaan, että taustalla oleva tapahtuma ratkaistaisiin kaikilta osin ennen ilmoituksen tekemistä.

(56)

Rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä, jos tämä tietoturvaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian, kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä Euroopan tietosuojavaltuutetun kanssa noudattaen sen tai muiden asiaankuuluvien viranomaisten, kuten lainvalvontaviranomaisten, antamia ohjeita.

(57)

Asetuksessa (EY) N:o 45/2001 säädetään rekisterinpitäjän yleisestä velvollisuudesta ilmoittaa henkilötietojen käsittelystä tietosuojavastaavalle. Tietosuojavastaavan on pidettävä rekisteriä ilmoitetuista käsittelytoimista, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Tämän yleisen velvollisuuden lisäksi olisi otettava käyttöön tehokkaita menettelyjä ja mekanismeja sellaisten käsittelytoimien valvomiseksi, joihin niiden luonteen, laajuuden, asiayhteyden ja tarkoitusten vuoksi todennäköisesti liittyy luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkea riski. Tällaisia menettelyjä olisi oltava käytössä erityisesti myös silloin, kun käsittelytoimien tyypit perustuvat uusien tekniikoiden käyttöön tai ne ovat uudenlaisia ja niiden osalta rekisterinpitäjä ei ole ensin tehnyt tietosuojaa koskevaa vaikutustenarviointia tai kun tietosuojaa koskeva vaikutustenarviointi on tullut tarpeelliseksi, koska aikaa on kulunut siitä kun käsittely alkoi. Tällaisissa tapauksissa rekisterinpitäjän olisi korkean riskin erityisen todennäköisyyden ja vakavuuden arvioimiseksi käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskin alkuperän huomioon ottaen tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi. Tässä vaikutustenarvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään edellä mainittua riskiä, varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

(58)

Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, turvatoimenpiteiden ja mekanismien puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava Euroopan tietosuojavaltuutettua. On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista. Euroopan tietosuojavaltuutetun olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa. Euroopan tietosuojavaltuutetun reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa tietosuojavaltuutetun mahdollisiin toimiin hänelle tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten valtaan kieltää käsittelytoimia. Osana kuulemismenettelyä olisi oltava mahdollista toimittaa Euroopan tietosuojavaltuutetulle käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on vähentää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

(59)

Euroopan tietosuojavaltuutetulle olisi ilmoitettava hallinnollisista toimenpiteistä ja sitä olisi kuultava unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymistä sisäisistä säännöistä, kun niissä määrätään henkilötietojen käsittelystä, määrätään edellytykset rekisteröityjen oikeuksien rajoituksille tai määrätään asianmukaisista suojatoimista rekisteröidyn oikeuksien osalta, jotta varmistetaan, että suunnitellussa käsittelyssä noudatetaan tätä asetusta erityisesti sen osalta, että rekisteröityyn kohdistuvia riskejä pienennetään.

(60)

Asetuksessa (EU) 2016/679 perustettiin Euroopan tietosuojaneuvosto riippumattomaksi unionin elimeksi, jolla on oikeushenkilöllisyys. Tietosuojaneuvoston olisi osaltaan varmistettava, että asetusta (EU) 2016/679 ja direktiiviä (EU) 2016/680 sovelletaan yhdenmukaisesti kaikkialla unionissa, myös antamalla neuvoja komissiolle. Samanaikaisesti Euroopan tietosuojavaltuutetun olisi edelleen huolehdittava valvonta- ja neuvontatehtävistään kaikkien unionin toimielinten ja elinten osalta omasta aloitteestaan tai pyynnöstä. Jotta varmistetaan tietosuojasääntöjen johdonmukaisuus kaikkialla unionissa, komission olisi ehdotuksia tai suosituksia laatiessaan pyrittävä kuulemaan Euroopan tietosuojavaltuutettua. Komission toteuttaman kuulemisen olisi oltava pakollinen sellaisten lainsäätämisjärjestyksessä hyväksyttävien säädösten antamisen jälkeen tai laadittaessa sellaisia Euroopan unionin toiminnasta tehdyn sopimuksen 289, 290 ja 291 artiklassa määriteltyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä sekä sellaisten Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklassa tarkoitettuihin kolmansien maiden ja kansainvälisten järjestöjen kanssa tehtyihin sopimuksiin liittyvien suositusten ja ehdotusten hyväksymisen jälkeen, jotka vaikuttavat henkilötietojen suojaa koskevaan oikeuteen. Tällaisissa tapauksissa komissio olisi velvoitettava kuulemaan Euroopan tietosuojavaltuutettua, paitsi jos asetuksessa (EU) 2016/679 säädetään Euroopan tietosuojaneuvoston pakollisesta kuulemisesta, esimerkiksi silloin, kun on kyse tietosuojan riittävyyttä koskevista päätöksistä tai vakiomuotoisia kuvakkeita ja sertifiointimekanismeille asetettavia vaatimuksia koskevista delegoiduista säädöksistä. Jos kyseinen säädös on erityisen tärkeä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyssä, komission olisi myös voitava kuulla Euroopan tietosuojaneuvostoa. Näissä tapauksissa Euroopan tietosuojavaltuutetun olisi Euroopan tietosuojaneuvoston jäsenenä koordinoitava työtään tietosuojaneuvoston kanssa yhteisen lausunnon antamiseksi. Euroopan tietosuojavaltuutetun ja soveltuvin osin Euroopan tietosuojaneuvoston olisi toimitettava kirjalliset lausuntonsa kahdeksan viikon kuluessa. Kyseisen määräajan olisi oltava lyhyempi kiireellisissä tapauksissa tai silloin, kun se on muuten aiheellista, esimerkiksi komission valmistellessa delegoituja säädöksiä ja täytäntöönpanosäädöksiä.

(61)	Euroopan tietosuojavaltuutetun olisi huolehdittava Euroopan tietosuojaneuvoston sihteeristön tehtävistä asetuksen (EU) 2016/679 75 artiklan mukaisesti.

(62)

Tietosuojavastaavan olisi varmistettava kaikissa unionin toimielimissä ja elimissä, että tämän asetuksen säännöksiä sovelletaan, ja neuvottava rekisterinpitäjiä ja henkilötietojen käsittelijöitä näiden velvoitteiden noudattamisessa. Tietosuojavastaavan olisi oltava henkilö, jolla on asiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä, mikä olisi määritettävä etenkin rekisterinpitäjän tai henkilötietojen käsittelijän suorittamien tietojenkäsittelytoimien ja asianomaisten henkilötietojen edellyttämän suojan perusteella. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti.

(63)

Kun henkilötietoja siirretään unionin toimielimistä ja elimistä kolmansissa maissa oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille tai kansainvälisille järjestöille, olisi taattava luonnollisten henkilöiden suojelun taso, joka unionissa perustuu tähän asetukseen. Sama suojelun taso olisi taattava silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa oleville rekisterinpitäjille tai henkilötietojen käsittelijöille tai muulle kansainväliselle järjestölle. Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen ja perusoikeuskirjassa vahvistettuja perusoikeuksia ja -vapauksia kunnioittaen. Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.

(64)

Komissio voi päättää asetuksen (EU) 2016/679 45 artiklan tai direktiivin (EU) 2016/680 36 artiklan nojalla, että kolmas maa, kolmannen maan alue tai tietty sektori tai kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan. Tällöin unionin toimielin tai elin voi siirtää henkilötietoja kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle ilman erillistä lupaa.

(65)

Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan komission tai Euroopan tietosuojavaltuutetun hyväksymiä tietosuojaa koskevia vakiolausekkeita tai Euroopan tietosuojavaltuutetun hyväksymiä sopimuslausekkeita. Jos henkilötietojen käsittelijä ei ole unionin toimielin tai elin, asianmukaisia suojatoimia voivat olla myös yritystä koskevat sitovat säännöt, käytännesäännöt ja sertifiointimekanismit, joita käytetään asetuksen (EU) 2016/679 mukaisissa kansainvälisissä siirroissa. Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa. Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. Unionin toimielimet ja elimet voivat toteuttaa siirtoja myös kolmansien maiden viranomaisille tai julkisille elimille tai vastaavia tehtäviä suorittaville kansainvälisille järjestöille esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella. Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava Euroopan tietosuojavaltuutetun lupa.

(66)

Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai Euroopan tietosuojavaltuutetun hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai Euroopan tietosuojavaltuutetun hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään tietosuojaa koskevia vakiolausekkeita.

(67)

Jotkut kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä unionin toimielinten ja elinten käsittelytoimia. Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.

(68)

Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut nimenomaisen suostumuksensa ja kun siirto tapahtuu satunnaisesti ja on tarpeellinen sopimukselle tai oikeusvaateelle, riippumatta siitä, onko kyse oikeudellisesta menettelystä tai hallinnollisesta tai tuomioistuimen ulkopuolisesta menettelystä, sääntelyelimen menettelyt mukaan lukien. Olisi myös säädettävä mahdollisuudesta tehdä tiedonsiirtoja, kun unionin oikeuteen perustuvat, yleistä etua koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jonka oikeutettu etu sitä edellyttää. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää henkilötietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ellei se ole sallittu unionin oikeudessa, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joiden oikeutettu etu sitä edellyttää, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai, jos he ovat henkilötietojen vastaanottajia, siten, että otetaan täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet.

(69)

Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisestä tiedonvaihdosta unionin toimielinten ja elinten sekä kilpailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten ja sosiaaliturvasta tai kansanterveydestä vastaavien yksikköjen välillä esimerkiksi tartuntatautien vuoksi tehtävän kontaktien jäljityksen yhteydessä tai urheilussa esiintyvän dopingin vähentämiseksi ja/tai lopettamiseksi. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen, kuten fyysisen koskemattomuuden ja hengen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen tietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, hänen henkilötietojensa siirto kansainväliselle humanitaariselle järjestölle, jotta se voisi suorittaa tehtävän, joka sille Geneven yleissopimusten nojalla kuuluu, tai aseellisissa konflikteissa sovellettavan kansainvälisen humanitaarisen oikeuden noudattamiseksi, voidaan katsoa tarpeelliseksi yleistä etua koskevan tärkeän syyn vuoksi tai koska se on rekisteröidyn elintärkeiden etujen mukaista.

(70)

Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.

(71)

Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta kansalliset valvontaviranomaiset ja Euroopan tietosuojavaltuutettu eivät välttämättä pysty käsittelemään kanteluja tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan niiden lainkäyttöalueen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Sen vuoksi olisi edistettävä tiiviimpää yhteistyötä Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välillä, jotta voidaan vaihtaa tietoja kansainvälisten kumppanien kanssa.

(72)

Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on ollut perustaa asetuksella (EY) N:o 45/2001 Euroopan tietosuojavaltuutettu, jolle on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti. Tällä asetuksella olisi vahvistettava edelleen ja selvennettävä hänen rooliaan ja riippumattomuuttaan. Euroopan tietosuojavaltuutetun olisi oltava henkilö, jonka riippumattomuudesta ei ole epäilystä ja jolla on yleisesti tunnustettu kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen esimerkiksi sen johdosta, että hän on kuulunut johonkin asetuksen (EU) 2016/679 51 artiklalla perustetuista valvontaviranomaisista.

(73)

Jotta voidaan varmistaa tietosuojasääntöjen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, Euroopan tietosuojavaltuutetulla olisi oltava samanlaiset tehtävät ja valtuudet kuin kansallisilla valvontaviranomaisilla, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät kanteluja, ja valtuudet saattaa tämän asetuksen rikkomiset unionin tuomioistuimen tietoon ja valtuudet panna vireille oikeustoimia primaarioikeuden mukaisesti. Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto. Jotta vältetään aiheuttamasta tarpeettomia kustannuksia ja liiallisia haittoja asianomaisille henkilöille, joihin toimenpide vaikuttaisi epäedullisesti, jokaisen Euroopan tietosuojavaltuutetun toimenpiteen olisi oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet ja kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi, ennen kuin ryhdytään asianomaiseen yksittäiseen toimenpiteeseen. Jokainen Euroopan tietosuojavaltuutetun oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antamispäivä, sen olisi oltava Euroopan tietosuojavaltuutetun allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen.

(74)

Euroopan tietosuojavaltuutetun valvontavalta ei saisi kattaa unionin tuomioistuimen lainkäyttötehtäviensä yhteydessä suorittamaa henkilötietojen käsittelyä, jotta voidaan turvata unionin tuomioistuimen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Tällaisissa käsittelytoimissa unionin tuomioistuimen olisi huolehdittava riippumattomasta valvonnasta perusoikeuskirjan 8 artiklan 3 kohdan mukaisesti esimerkiksi sisäisen mekanismin avulla.

(75)

Euroopan tietosuojavaltuutetun päätökset, jotka koskevat tietojenkäsittelytoimiin liittyviä, tässä asetuksessa määriteltyjä poikkeuksia, takeita, lupia ja ehtoja, olisi julkaistava toimintakertomuksessa. Vuosittain julkaistavan toimintakertomuksen lisäksi Euroopan tietosuojavaltuutettu voi julkaista kertomuksia erityisaiheista.

(76)	Euroopan tietosuojavaltuutetun olisi noudatettava Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1049/2001 (9).

(77)

Kansalliset valvontaviranomaiset seuraavat asetuksen (EU) 2016/679 soveltamista ja varmistavat osaltaan, että sitä sovelletaan yhdenmukaisesti kaikkialla unionissa, luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi sisämarkkinoilla. Jotta voidaan lisätä jäsenvaltioissa sovellettavien tietosuojasääntöjen ja unionin toimielimiin ja elimiin sovellettavien tietosuojasääntöjen soveltamisen yhdenmukaisuutta, Euroopan tietosuojavaltuutetun olisi tehtävä yhteistyötä tehokkaasti kansallisten valvontaviranomaisten kanssa.

(78)

Unionin oikeudessa säädetään tietyissä tapauksissa Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välisestä koordinoidun valvonnan mallista. Euroopan tietosuojavaltuutettu on myös Europolin valvontaviranomainen, ja tässä tarkoituksessa on otettu käyttöön kansallisten valvontaviranomaisten kanssa tehtävän yhteistyön malli neuvoa-antavana elimenä toimivan yhteistyöneuvoston kautta. Aineellisten tietosuojasääntöjen valvonnan ja täytäntöönpanon parantamiseksi unionissa olisi otettava käyttöön yksi yhtenäinen koordinoidun valvonnan malli. Komission olisi sen vuoksi tarvittaessa esitettävä lainsäädäntöehdotuksia koordinoidun valvonnan mallia koskevien unionin säädösten muuttamiseksi, jotta ne vastaisivat tämän asetuksen mukaista koordinoidun valvonnan mallia. Euroopan tietosuojaneuvoston olisi toimittava keskitettynä foorumina, jonka avulla varmistetaan tehokas koordinoitu valvonta kaikilla aloilla.

(79)

Jokaisella rekisteröidyllä olisi oltava oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle sekä oikeus tehokkaisiin oikeussuojakeinoihin unionin tuomioistuimessa perussopimusten mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos Euroopan tietosuojavaltuutettu ei käsittele kantelua, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Kantelu olisi tutkittava siinä määrin, kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Euroopan tietosuojavaltuutetun olisi ilmoitettava rekisteröidylle kantelun käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan koordinointia kansallisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. Kantelujen tekemisen helpottamiseksi Euroopan tietosuojavaltuutetun olisi toteutettava toimenpiteitä, esimerkiksi toimitettava kantelulomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

(80)	Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä olisi oltava oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta perussopimuksissa määrättyjen edellytysten mukaisesti.

(81)

Euroopan tietosuojavaltuutetun valvontaroolin ja tämän asetuksen tehokkaan täytäntöönpanon lujittamiseksi Euroopan tietosuojavaltuutetulla olisi oltava valtuudet määrätä hallinnollisia sakkoja viimesijaisena seuraamuksena. Sakkojen tavoitteena olisi oltava seuraamusten määrääminen unionin toimielimelle tai elimelle, pikemmin kuin yksittäiselle henkilölle, tämän asetuksen noudattamatta jättämisestä, tämän asetuksen tulevien rikkomisten ehkäiseminen ja henkilötietojen suojaan perustuvan toimintakulttuurin edistäminen unionin toimielimissä ja elimissä. Tässä asetuksessa olisi yksilöitävä rikkomiset, joista voidaan määrätä hallinnollinen sakko, ja näiden sakkojen enimmäismäärä ja määrän asettamisen perusteet. Euroopan tietosuojavaltuutetun olisi vahvistettava sakkojen määrä kussakin tapauksessa erikseen ottaen huomioon kaikki erityisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon rikkomisen luonne, vakavuus ja kesto, sen seuraukset ja toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Määrätessään hallinnollista sakkoa unionin toimielimelle tai elimelle Euroopan tietosuojavaltuutetun olisi otettava huomioon sakon määrän oikeasuhteisuus. Unionin toimielimille ja elimille määrättäviä sakkoja koskevassa hallinnollisessa menettelyssä olisi noudatettava unionin oikeuden yleisiä periaatteita, sellaisina kuin unionin tuomioistuin niitä tulkitsee.

(82)

Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu unionin oikeuden tai kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan kantelu Euroopan tietosuojavaltuutetulle. Tällaisella elimellä, järjestöllä tai yhdistyksellä olisi oltava oikeus käyttää oikeussuojakeinoja rekisteröityjen puolesta tai käyttää korvauksensaamisoikeutta rekisteröityjen puolesta.

(83)

Unionin virkamiehelle tai muulle henkilöstön jäsenelle, joka jättää täyttämättä tämän asetuksen mukaiset velvollisuutensa, olisi määrättävä kurinpito- tai muu seuraamus Euroopan unionin virkamiehiin sovellettavissa henkilöstösäännöissä ja unionin muuta henkilöstöä koskevissa palvelussuhteen ehdoissa, jotka on vahvistettu neuvoston asetuksella (ETY, Euratom, EHTY) N:o 259/68 (10), jäljempänä ”henkilöstösäännöt”, vahvistettujen sääntöjen ja menettelyjen mukaisesti.

(84)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (11) mukaisesti. Olisi käytettävä tarkastelumenettelyä, kun hyväksytään rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sekä henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita, kun hyväksytään luettelo käsittelytoimista, joiden toteuttamiseen henkilötietoja käsittelevien rekisterinpitäjien yleistä etua koskevan tehtävän suorittamiseksi edellytetään Euroopan tietosuojavaltuutetun ennakkokuulemista, ja kun hyväksytään vakiosopimuslausekkeita asianmukaisista suojatoimista kansainvälisiä siirtoja varten.

(85)

Luottamukselliset tiedot, joita unionin ja kansalliset tilastoviranomaiset keräävät virallisten Euroopan tilastojen ja virallisten kansallisten tilastojen laatimiseksi, olisi suojattava. Euroopan tilastoja olisi kehitettävä, ne olisi laadittava ja niitä olisi levitettävä Euroopan unionin toiminnasta tehdyn sopimuksen 338 artiklan 2 kohdassa vahvistettujen tilastollisten periaatteiden mukaisesti. Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 223/2009 (12) annetaan yksityiskohtaisempi selvitys Euroopan tilastoja koskevan tilastosalaisuuden suojaamisesta.

(86)	Asetus (EY) N:o 45/2001 ja Euroopan parlamentin, neuvoston ja komission päätös N:o 1247/2002/EY (13) olisi kumottava. Viittauksia kumottuihin asetukseen ja päätökseen olisi pidettävä viittauksina tähän asetukseen.

(87)

Riippumattoman valvontaviranomaisen jäsenten täysimääräisen riippumattomuuden turvaamiseksi tämä asetus ei saisi vaikuttaa nykyisen Euroopan tietosuojavaltuutetun ja nykyisen apulaistietosuojavaltuutetun toimikauteen. Nykyisen apulaistietosuojavaltuutetun olisi pysyttävä toimessaan toimikautensa päättymiseen saakka, jollei jokin tässä asetuksessa säädetyistä Euroopan tietosuojavaltuutetun toimikauden ennenaikaista päättymistä koskevista edellytyksistä täyty. Tämän asetuksen asiaankuuluvia säännöksiä olisi sovellettava apulaistietosuojavaltuutettuun hänen toimikautensa päättymiseen saakka.

(88)

Suhteellisuusperiaatteen mukaisesti on tarpeen ja aiheellista luonnollisten henkilöiden yhdenmukaista suojelua henkilötietojen käsittelyssä ja henkilötietojen vapaata liikkuvuutta kaikkialla unionissa koskevan perustavoitteen toteuttamiseksi säätää henkilötietojen käsittelystä unionin toimielimissä ja elimissä. Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdan mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen aiottujen tavoitteiden saavuttamiseksi.

(89)	Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon 15 päivänä maaliskuuta 2017 (14),

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla

Kohde ja tavoitteet

1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle unionin toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta näiden välillä tai muille unioniin sijoittautuneille vastaanottajille.

2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3. Euroopan tietosuojavaltuutettu valvoo tämän asetuksen säännösten soveltamista kaikkiin unionin toimielimen tai elimen suorittamiin käsittelytoimiin.

2 artikla

Soveltamisala

1. Tätä asetusta sovelletaan kaikkien unionin toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn.

2. Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn sovelletaan ainoastaan tämän asetuksen 3 artiklaa ja IX lukua.

3. Tätä asetusta ei sovelleta Europolin eikä Euroopan syyttäjänviraston suorittamaan operatiivisten henkilötietojen käsittelyyn, ennen kuin Euroopan parlamentin ja neuvoston asetusta (EU) 2016/794 (15) ja neuvoston asetusta (EU) 2017/1939 (16) mukautetaan tämän asetuksen 98 artiklan mukaisesti.

4. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn Euroopan unionista tehdyn sopimuksen 42 artiklan 1 kohdassa ja 43 ja 44 artiklassa tarkoitetuissa tehtävissä.

5. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

”henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”rekisteröity”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

”operatiivisilla henkilötiedoilla” kaikkia henkilötietoja, joita Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavat unionin elimet ja laitokset käsittelevät kyseisten elinten ja laitosten perustamisesta annetuissa säädöksissä vahvistettujen tavoitteiden saavuttamiseksi ja tehtävien suorittamiseksi;

”käsittelyllä” toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

4)	”käsittelyn rajoittamisella” tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

”profiloinnilla” mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin;

”pseudonymisoinnilla” henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu;

7)	”rekisterillä” mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

”rekisterinpitäjällä” unionin toimielintä tai elintä tai pääosastoa tai muuta organisatorista kokonaisuutta, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin erityissäädöksellä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden mukaisesti;

9)	”muilla rekisterinpitäjillä kuin unionin toimielimillä ja elimillä” asetuksen (EU) 2016/679 4 artiklan 7 alakohdassa tarkoitettuja rekisterinpitäjiä ja direktiivin (EU) 2016/680 3 artiklan 8 alakohdassa tarkoitettuja rekisterinpitäjiä;

10)	”unionin toimielimillä ja elimillä” unionin toimielimiä, elimiä ja laitoksia, jotka on perustettu Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella tai niiden perusteella;

11)

”toimivaltaisella viranomaisella” kaikkia jäsenvaltion viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;

12)	”henkilötietojen käsittelijällä” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

13)

”vastaanottajalla” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti;

14)

”kolmannella osapuolella” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, jolla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena;

15)	rekisteröidyn ”suostumuksella” mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen;

16)	”henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin;

17)

”geneettisillä tiedoilla” henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla;

18)

”biometrisillä tiedoilla” kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;

19)	”terveystiedoilla” luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa;

20)	”tietoyhteiskunnan palveluilla” palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (17) 1 artiklan 1 kohdan b alakohdassa;

21)	”kansainvälisellä järjestöllä” järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella;

22)	”kansallisella valvontaviranomaisella” jäsenvaltion asetuksen (EU) 2016/679 51 artiklan nojalla tai direktiivin (EU) 2016/680 41 artiklan nojalla perustamaa riippumatonta viranomaista;

23)	”käyttäjällä” luonnollista henkilöä, joka käyttää unionin toimielimen tai elimen valvonnassa toimivaa verkkoa tai päätelaitetta;

24)	”luettelolla” yleisesti saatavilla olevaa käyttäjäluetteloa tai sisäistä käyttäjäluetteloa, joka on saatavilla unionin toimielimessä tai elimessä tai on unionin toimielinten ja elinten yhteinen ja joka on joko painetussa tai sähköisessä muodossa;

25)

”sähköisellä viestintäverkolla” siirtojärjestelmiä riippumatta siitä, perustuvatko ne pysyvään infrastruktuuriin tai keskitettyyn hallintokapasiteettiin vai eivät, sekä soveltuvin osin kytkentä- tai reitityslaitteistoa ja muita välineitä, myös verkkoelementtejä, jotka eivät ole aktiivisia, joilla voidaan siirtää signaaleja johtojen välityksellä, radioteitse, optisesti tai muulla sähkömagneettisella tavalla, mukaan lukien satelliittiverkot, kiinteät (piiri- ja pakettikytkentäiset, mukaan lukien internet) ja maanpäälliset matkaviestintäverkot, sähkökaapelijärjestelmät siinä määrin kuin niitä käytetään signaalinsiirtoon, radio- ja televisiolähetyksiin käytetyt verkot sekä kaapelitelevisioverkot riippumatta siitä, minkä tyyppistä informaatiota niissä siirretään;

26)	”päätelaitteella” komission direktiivin 2008/63/EY (18) 1 artiklan 1 alakohdassa määriteltyä päätelaitetta.

II LUKU

YLEISET PERIAATTEET

4 artikla

Henkilötietojen käsittelyä koskevat periaatteet

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)	niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin tämän tarkoituksen kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 13 artiklan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”);

c)	niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

d)	niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 13 artiklan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”);

niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimenpiteitä (”eheys ja luottamuksellisuus”).

2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

5 artikla

Käsittelyn lainmukaisuus

1. Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)	käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai unionin toimielimelle tai elimelle kuuluvan julkisen vallan käyttämiseksi;

b)	käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

c)	käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

d)	rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

e)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.

2. Edellä 1 kohdan a ja b alakohdassa tarkoitetun käsittelyn perustasta on säädettävä unionin oikeudessa.

6 artikla

Käsittely toista yhteensopivaa tarkoitusta varten

Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi henkilötiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 25 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin:

a)	henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

b)	henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)	henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 10 artiklan mukaisesti tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja 11 artiklan mukaisesti;

d)	aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)	asianmukaisten suojatoimien, kuten salauksen tai pseudonymisoinnin, olemassaolo.

7 artikla

Suostumuksen edellytykset

1. Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

2. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tämän asetuksen vastainen osa sellaisesta ilmoituksesta ei ole sitova.

3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

4. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

8 artikla

Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot

1. Jos 5 artiklan 1 kohdan d alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13-vuotias, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin, kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

2. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.

3. Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

9 artikla

Henkilötietojen siirrot muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille

1. Rajoittamatta 4–6 ja 10 artiklan soveltamista henkilötietoja voidaan siirtää muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille vain, jos

a)	vastaanottaja osoittaa, että tiedot ovat tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai vastaanottajalle kuuluvan julkisen vallan käyttämiseksi; tai

vastaanottaja osoittaa, että tiedot on tarpeen siirtää yleistä etua koskevaa erityistä tarkoitusta varten, ja jos on syytä olettaa, että rekisteröidyn oikeutetut edut voivat joutua vaaraan, rekisterinpitäjä vahvistaa, että henkilötietojen siirtäminen on oikeasuhteista kyseistä erityistä tarkoitusta varten, arvioituaan todistetusti erilaiset kilpailevat edut.

2. Jos rekisterinpitäjä aloittaa tietojen siirtämisen tämän artiklan nojalla, sen on osoitettava, että henkilötietojen siirtäminen on tarpeen ja oikeassa suhteessa siirron tarkoituksiin nähden, soveltamalla 1 kohdan a tai b alakohdassa vahvistettuja kriteerejä.

3. Unionin toimielimet ja elimet sovittavat yhteen henkilötietojen suojaa koskevan oikeuden ja oikeuden saada tutustua asiakirjoihin unionin oikeuden mukaisesti.

10 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten tai terveystietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien tietojen käsittely on kiellettyä.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)	rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työlainsäädännön sekä sosiaaliturvaa ja sosiaalista suojelua koskevan lainsäädännön alalla, siltä osin kuin se sallitaan unionin oikeudessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)	käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän voittoa tavoittelemattoman, unionin toimielimeen tai elimeen integroidun yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan tämän yhteisön jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)	käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)	käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun unionin tuomioistuin suorittaa lainkäyttötehtäviään;

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden nojalla edellyttäen, että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon ja lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi; tai

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden nojalla, edellyttäen, että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka muu henkilö, jolla niin ikään on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

11 artikla

Rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely

Rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 5 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

12 artikla

Käsittely, joka ei edellytä tunnistamista

1. Jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.

2. Jos tämän artiklan 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä pystyy osoittamaan, ettei se pysty tunnistamaan rekisteröityä, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle, jos tämä on mahdollista. Tällaisissa tapauksissa 17–22 artiklaa ei sovelleta, paitsi jos rekisteröity näiden artikloiden mukaisia oikeuksiaan käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.

13 artikla

Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat suojatoimet

Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisiin toimenpiteisiin voi sisältyä pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin.

III LUKU

REKISTERÖIDYN OIKEUDET

1 JAKSO

Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt

14 artikla

Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 ja 16 artiklan mukaiset tiedot ja 17–24 artiklan ja 35 artiklan mukaiset kaikki käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

2. Rekisterinpitäjän on helpotettava 17–24 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 12 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 17–24 artiklan mukaisten oikeuksien käyttämiseksi, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

3. Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 17–24 artiklan nojalla tehdyn pyynnön johdosta, ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

4. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

5. Jäljempänä olevan 15 ja 16 artiklan nojalla toimitetut tiedot ja kaikki 17–24 ja 35 artiklaan perustuvat ilmoitukset ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

6. Jos rekisterinpitäjällä on perusteltua syytä epäillä 17–23 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.

7. Jäljempänä 15 ja 16 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

8. Jos komissio antaa asetuksen (EU) 2016/679 12 artiklan 8 kohdan mukaisesti delegoituja säädöksiä, joissa määritetään kuvakkeilla annettavat tiedot ja menettelyt, joilla vakiomuotoisia kuvakkeita tarjotaan käyttöön, unionin toimielimet ja elimet antavat tarvittaessa tämän asetuksen 15 ja 16 artiklassa tarkoitetut tiedot yhdistettynä tällaisiin vakiomuotoisiin kuvakkeisiin.

2 JAKSO

Ilmoittaminen ja pääsy henkilötietoihin

15 artikla

Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä

1. Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

a)	rekisterinpitäjän nimi ja yhteystiedot;

b)	tietosuojavastaavan yhteystiedot;

c)	henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperusta;

d)	mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 48 artiklassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)	henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)	rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai tarvittaessa oikeus vastustaa käsittelyä tai oikeus siirtää tiedot järjestelmästä toiseen;

c)	oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 5 artiklan 1 kohdan d alakohtaan tai 10 artiklan 2 kohdan a alakohtaan;

d)	oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle;

e)	onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;

f)	jäljempänä 24 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, muun muassa profiloinnin, olemassaolo sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

4. Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.

16 artikla

Toimitettavat henkilötiedot, kun henkilötietoja ei ole saatu rekisteröidyltä

1. Kun henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

a)	rekisterinpitäjän nimi ja yhteystiedot;

b)	tietosuojavastaavan yhteystiedot;

c)	henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperusta;

d)	kyseessä olevat henkilötietoryhmät;

e)	mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 48 artiklassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)	henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)	rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai tarvittaessa oikeus vastustaa käsittelyä tai oikeus siirtää tiedot järjestelmästä toiseen;

c)	oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 5 artiklan 1 kohdan d alakohtaan tai 10 artiklan 2 kohdan a alakohtaan;

d)	oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle;

e)	mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;

f)	jäljempänä 24 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, muun muassa profiloinnin, olemassaolo sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3. Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot

a)	kohtuullisen ajan kuluessa mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon henkilötietojen käsittelyyn liittyvät erityiset olosuhteet;

b)	jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

c)	jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

5. Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

a)	rekisteröity on jo saanut tiedot;

kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti;

c)	tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti unionin oikeudessa, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

d)	tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

6. Edellä 5 kohdan b alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville.

17 artikla

Rekisteröidyn oikeus saada pääsy tietoihin

1. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

a)	käsittelyn tarkoitukset;

b)	kyseessä olevat henkilötietoryhmät;

c)	vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

d)	mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)	rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

f)	oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle;

g)	jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot;

h)	jäljempänä 24 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, muun muassa profiloinnin, olemassaolo sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

2. Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 48 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.

3. Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

4. Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

3 JAKSO

Tietojen oikaiseminen ja poistaminen

18 artikla

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

19 artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)	henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)	rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 5 artiklan 1 kohdan d alakohdan tai 10 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)	rekisteröity vastustaa käsittelyä 23 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä;

d)	henkilötietoja on käsitelty lainvastaisesti;

e)	henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

f)	henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille tai muille rekisterinpitäjille kuin unionin toimielimille ja elimille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3. Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

a)	sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

b)	rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

c)	kansanterveyteen liittyvää yleistä etua koskevista syistä 10 artiklan 2 kohdan h ja i alakohdan sekä 10 artiklan 3 kohdan mukaisesti;

d)	yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tavoitteiden saavuttamisen tai vaikeuttaa sitä suuresti; tai

e)	oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

20 artikla

Oikeus käsittelyn rajoittamiseen

1. Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:

a)	rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden, mukaan lukien niiden täydellisyys;

b)	käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c)	rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

d)	rekisteröity on vastustanut henkilötietojen käsittelyä 23 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

2. Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

3. Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.

4. Automaattisissa rekistereissä henkilötietojen käsittelyn rajoittaminen on lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen käsittelyn rajoittaminen on ilmaistava rekisterissä siten, että käy selvästi ilmi, ettei henkilötietoja voi käyttää.

21 artikla

Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava kaikenlaisista 18 artiklan, 19 artiklan 1 kohdan ja 20 artiklan mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

22 artikla

Oikeus siirtää tiedot järjestelmästä toiseen

1. Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

a)	käsittely perustuu suostumukseen 5 artiklan 1 kohdan d alakohdan tai 10 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 5 artiklan 1 kohdan c alakohdan nojalla; ja

b)	käsittely suoritetaan automaattisesti.

2. Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle tai muille rekisterinpitäjille kuin unionin toimielimille tai elimille, jos se on teknisesti mahdollista.

3. Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei saa rajoittaa 19 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

4. Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

4 JAKSO

Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtävät yksittäispäätökset

23 artikla

Vastustamisoikeus

1. Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 5 artiklan 1 kohdan a alakohtaan, kuten kyseiseen säännökseen perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

2. Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

3. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen, sanotun kuitenkaan rajoittamatta 36 ja 37 artiklan soveltamista.

4. Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

24 artikla

Automatisoidut yksittäispäätökset, profilointi mukaan lukien

1. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

a)	on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;

b)	on hyväksytty unionin oikeudessa, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai

c)	perustuu rekisteröidyn nimenomaiseen suostumukseen.

3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

4. Tämän artiklan 2 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 10 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

5 JAKSO

Rajoitukset

25 artikla

Rajoitukset

1. Perussopimusten perusteella annetuissa säädöksissä tai unionin toimielinten ja elinten toimintaan liittyvissä asioissa näiden vahvistamissa sisäisissä säännöissä voidaan rajoittaa 14–22, 35 ja 36 artiklan soveltamista sekä 4 artiklan soveltamista, siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

a)	jäsenvaltioiden kansallinen turvallisuus, yleinen turvallisuus ja puolustus;

b)	rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;

muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionin yhteisen ulko- ja turvallisuuspolitiikan tavoitteet tai unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;

d)	unionin toimielinten ja elinten ja myös niiden sähköisen viestinnän verkkojen sisäinen turvallisuus;

e)	oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;

f)	säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytetoimet;

g)	valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–c alakohdassa tarkoitetuissa tapauksissa;

h)	rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

i)	yksityisoikeudellisten kanteiden täytäntöönpano.

2. Edellä 1 kohdassa tarkoitettujen säädösten tai sisäisten sääntöjen on sisällettävä tarpeen mukaan erityisiä säännöksiä tai määräyksiä, jotka koskevat

a)	käsittelytarkoitusta tai käsittelyn ryhmiä;

b)	henkilötietoryhmiä;

c)	käyttöön otettujen rajoitusten soveltamisalaa;

d)	suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden lainvastainen siirtäminen;

e)	rekisterinpitäjän tai rekisterinpitäjäryhmien määrittämistä;

f)	tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset; ja

g)	rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä.

3. Kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

4. Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20, 21, 22 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

5. Edellä 1, 3 ja 4 kohdassa tarkoitettujen sisäisten sääntöjen on oltava selkeitä ja täsmällisiä, soveltamisalaltaan yleisiä säädöksiä, joiden tarkoituksena on tuottaa rekisteröityihin kohdistuvia oikeusvaikutuksia, jotka hyväksytään unionin toimielinten ja elinten ylimmän johdon tasolla ja jotka on julkaistava Euroopan unionin virallisessa lehdessä.

6. Jos asetetaan rajoitus 1 kohdan nojalla, rekisteröidylle on ilmoitettava unionin oikeuden mukaisesti pääasialliset syyt rajoituksen soveltamiseen sekä se, että hänellä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle.

7. Jos 1 kohdan nojalla asetettuun rajoitukseen vedotaan tietoihin pääsyä koskevan oikeuden epäämiseksi rekisteröidyltä, Euroopan tietosuojavaltuutettu ilmoittaa hänelle kantelua tutkiessaan ainoastaan, onko tiedot käsitelty asianmukaisesti ja, jos näin ei ole, onko tarpeelliset oikaisut tehty.

8. Tämän artiklan 6 ja 7 kohdassa sekä 45 artiklan 2 kohdassa tarkoitettua ilmoittamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi tämän artiklan 1 kohdan nojalla asetetun rajoituksen vaikutuksen.

IV LUKU

REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

1 JAKSO

Yleiset velvoitteet

26 artikla

Rekisterinpitäjän vastuu

1. Ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

3. Asetuksen (EU) 2016/679 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.

27 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelyn keinojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa ja tarvittavien suojatoimien käsittelyn osaksi sisällyttämistä varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

3. Asetuksen (EU) 2016/679 42 artiklan mukaista hyväksyttyä sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.

28 artikla

Yhteisrekisterinpitäjät

1. Jos vähintään kaksi rekisterinpitäjää tai yksi tai useampi rekisterinpitäjä yhdessä yhden tai useamman muun rekisterinpitäjän kuin unionin toimielinten tai elinten kanssa määrittävät yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuojavelvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 15 ja 16 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin yhteisrekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään yhteisrekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2. Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

3. Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

29 artikla

Henkilötietojen käsittelijä

1. Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3. Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on määrättävä erityisesti, että henkilötietojen käsittelijä

käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

b)	varmistaa, että henkilöt, joilla on lupa käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

c)	toteuttaa kaikki 33 artiklassa vaaditut toimenpiteet;

d)	noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;

e)	ottaen huomioon käsittelyn luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f)	auttaa rekisterinpitäjää varmistamaan, että 33–41 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän saatavilla olevat tiedot;

g)	rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palvelujen tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

h)	saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

4. Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimien suorittamiseksi rekisterinpitäjän lukuun, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa, erityisesti antaen riittävät takeet siitä, että asianmukaiset tekniset ja organisatoriset toimenpiteet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

5. Kun henkilötietojen käsittelijä ei ole unionin toimielin tai elin, sitä, että se noudattaa asetuksen (EU) 2016/679 40 artiklan 5 kohdassa tarkoitettuja hyväksyttyjä käytännesääntöjä tai asetuksen (EU) 2016/679 42 artiklassa tarkoitettua hyväksyttyä sertifiointimekanismia, voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

6. Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän mahdollista yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa muulle henkilötietojen käsittelijälle kuin unionin toimielimelle tai elimelle asetuksen (EU) 2016/679 42 artiklan mukaisesti myönnettyä sertifiointia.

7. Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8. Euroopan tietosuojavaltuutettu voi hyväksyä vakiosopimuslausekkeita 3 ja 4 kohdassa tarkoitettuja seikkoja varten.

9. Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

10. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 65 ja 66 artiklan soveltamista.

30 artikla

Tietojenkäsittely rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa

Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

31 artikla

Seloste käsittelytoimista

1. Kunkin rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

a)	rekisterinpitäjän, tietosuojavastaavan ja mahdollisen henkilötietojen käsittelijän ja yhteisrekisterinpitäjän nimi ja yhteystiedot;

b)	käsittelyn tarkoitukset;

c)	kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

d)	henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien jäsenvaltioissa, kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

e)	tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat;

f)	mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

g)	mahdollisuuksien mukaan yleinen kuvaus 33 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.

2. Kunkin henkilötietojen käsittelijän on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

a)	henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä tietosuojavastaavan nimi ja yhteystiedot;

b)	kunkin rekisterinpitäjän lukuun suoritettujen käsittelyjen ryhmät;

c)	tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat;

d)	mahdollisuuksien mukaan yleinen kuvaus 33 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.

3. Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

4. Unionin toimielimet ja elimet saattavat pyydettäessä selosteen Euroopan tietosuojavaltuutetun saataville.

5. Unionin toimielimet ja elimet säilyttävät käsittelytoimista laatimansa selosteet keskusrekisterissä, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Ne asettavat rekisterin julkisesti saataville.

32 artikla

Yhteistyö Euroopan tietosuojavaltuutetun kanssa

Unionin toimielimet ja elimet tekevät pyynnöstä yhteistyötä Euroopan tietosuojavaltuutetun kanssa hänen tehtäviensä suorittamiseksi.

2 JAKSO

Henkilötietojen turvallisuus

33 artikla

Käsittelyn turvallisuus

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a)	henkilötietojen pseudonymisointi ja salaus;

b)	kyky taata käsittelyjärjestelmien ja palvelujen jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)	kyky palauttaa nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin fyysisen tai teknisen vian sattuessa;

d)	menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa toisin vaadita.

4. Asetuksen (EU) 2016/679 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

34 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen Euroopan tietosuojavaltuutetulle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle perusteltu selitys.

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)	kuvattava henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)	ilmoitettava tietosuojavastaavan nimi ja yhteystiedot;

c)	kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)	kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivytystä.

5. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle henkilötietojen tietoturvaloukkauksesta.

6. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

35 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1. Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2. Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja mainittava ainakin 34 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3. Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset turvatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)	rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

c)	se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, Euroopan tietosuojavaltuutettu voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

3 JAKSO

Sähköisen viestinnän luottamuksellisuus

36 artikla

Sähköisen viestinnän luottamuksellisuus

Unionin toimielimet ja elimet varmistavat sähköisen viestinnän luottamuksellisuuden, erityisesti suojaamalla sähköiset viestintäverkkonsa.

37 artikla

Käyttäjien päätelaitteille siirrettävien, niille tallennettujen, niitä koskevien, niillä käsiteltävien ja niiltä kerättyjen tietojen suojaaminen

Unionin toimielimet ja elimet suojaavat yleisesti saatavilla olevia verkkosivustojaan ja mobiilisovelluksiaan käyttäville käyttäjien päätelaitteille siirrettävät, niille tallennetut, niitä koskevat, niillä käsiteltävät ja niiltä kerätyt tiedot direktiivin 2002/58/EY 5 artiklan 3 kohdan mukaisesti.

38 artikla

Käyttäjäluettelot

1. Käyttäjäluetteloissa olevat henkilötiedot sekä pääsy näihin luetteloihin on rajoitettava siihen, mikä on välttämätöntä luettelon käyttötarkoitusten kannalta.

2. Unionin toimielimet ja elimet toteuttavat kaikki tarvittavat toimenpiteet estääkseen näiden luetteloiden sisältämien henkilötietojen käytön suoramarkkinointitarkoituksiin riippumatta siitä, ovatko luettelot yleisön saatavilla.

4 JAKSO

Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

39 artikla

Tietosuojaa koskeva vaikutustenarviointi

1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta.

3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti seuraavista:

luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

b)	laajamittainen käsittely, joka kohdistuu 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 11 artiklassa tarkoitettuihin rikostuomioita tai rikoksia koskeviin tietoihin; tai

c)	yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

4. Euroopan tietosuojavaltuutettu laatii ja julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi.

5. Euroopan tietosuojavaltuutettu voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia.

6. Ennen tämän artiklan 4 ja 5 kohdassa tarkoitettujen luetteloiden hyväksymistä Euroopan tietosuojavaltuutettu pyytää asetuksen (EU) 2016/679 68 artiklalla perustettua Euroopan tietosuojaneuvostoa tarkastelemaan tällaisia luetteloita kyseisen asetuksen 70 artiklan 1 kohdan e alakohdan mukaisesti, jos niissä viitataan yhden tai useamman muun rekisterinpitäjän kuin unionin toimielimen tai elimen kanssa yhdessä toimivan rekisterinpitäjän suorittamiin käsittelytoimiin.

7. Arvioinnin on sisällettävä vähintään

a)	järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista;

b)	arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

c)	arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

d)	suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suojatoimet, turvatoimenpiteet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

8. Se, että asianomaiset muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet noudattavat asetuksen (EU) 2016/679 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, on otettava asianmukaisesti huomioon arvioitaessa kyseisten henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

9. Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista ilman, että tämä saa vaikuttaa yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

10. Jos 5 artiklan 1 kohdan a tai b alakohdan mukaisen käsittelyn oikeusperustana on perussopimusten perusteella annettu säädös, jolla säännellään siihen liittyvää käsittelytoimea tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana ennen kyseisen säädöksen antamista, tämän artiklan 1–6 kohtaa ei sovelleta, ellei kyseisessä säädöksessä toisin säädetä.

11. Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

40 artikla

Ennakkokuuleminen

1. Rekisterinpitäjän on ennen käsittelyä kuultava Euroopan tietosuojavaltuutettua, jos 39 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi riskin lieventämistä koskevien suojatoimien, turvatoimenpiteiden ja mekanismien puuttumisen vuoksi korkean luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttavan riskin, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen. Rekisterinpitäjän on pyydettävä tietosuojavastaavalta neuvoja ennakkokuulemisen tarpeesta.

2. Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, Euroopan tietosuojavaltuutettu antaa enintään kahdeksan viikon kuluessa kuulemispyynnön vastaanottamisesta kirjallisesti ohjeet rekisterinpitäjälle ja tapauksen mukaan henkilötietojen käsittelijälle ja voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Euroopan tietosuojavaltuutettu ilmoittaa rekisterinpitäjälle ja tapauksen mukaan henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes Euroopan tietosuojavaltuutettu on saanut tiedot, joita se on pyytänyt kuulemista varten.

3. Kuullessaan 1 kohdan mukaisesti Euroopan tietosuojavaltuutettua rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle

a)	tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuneiden henkilötietojen käsittelijöiden vastuualueet;

b)	suunnitellun käsittelyn tarkoitukset ja keinot;

c)	toimenpiteet ja toteutetut suojatoimet rekisteröidyille tämän asetuksen nojalla kuuluvien oikeuksien ja vapauksien suojaamiseksi;

d)	tietosuojavastaavan yhteystiedot;

e)	edellä 39 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi; ja

f)	muut Euroopan tietosuojavaltuutetun pyytämät tiedot.

4. Komissio voi täytäntöönpanosäädöksellä määrittää luettelon tapauksista, joissa rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ja saatava tältä ennakkolupa henkilötietojen käsittelylle, jonka rekisterinpitäjä suorittaa yleistä etua koskevan tehtävän suorittamiseksi, mukaan lukien tällaisten tietojen käsittely sosiaaliturvan ja kansanterveyden alalla.

5 JAKSO

Tiedottaminen ja lainsäädäntöä koskeva kuuleminen

41 artikla

Tiedottaminen ja kuuleminen

1. Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle laatiessaan henkilötietojen käsittelyä koskevia hallinnollisia toimenpiteitä ja sisäisiä sääntöjä, jos käsittelyn suorittaa unionin toimielin tai elin yksin tai yhdessä muiden kanssa.

2. Unionin toimielimet ja elimet kuulevat Euroopan tietosuojavaltuutettua laatiessaan 25 artiklassa tarkoitettuja sisäisiä sääntöjä.

42 artikla

Lainsäädäntöä koskeva kuuleminen

1. Komissio kuulee Euroopan tietosuojavaltuutettua annettuaan ehdotuksen lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ja suosituksen tai ehdotuksen neuvostolle Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti sekä laatiessaan delegoituja säädöksiä tai täytäntöönpanosäädöksiä, joilla on vaikutus yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä.

2. Jos 1 kohdassa tarkoitettu säädös on erityisen tärkeä yksilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyssä, komissio voi kuulla myös Euroopan tietosuojaneuvostoa. Näissä tapauksissa Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto koordinoivat työtään yhteisen lausunnon antamiseksi.

3. Edellä 1 ja 2 kohdassa tarkoitetut lausunnot on annettava kirjallisesti määräajassa, joka on enintään kahdeksan viikkoa 1 ja 2 kohdassa tarkoitetun kuulemispyynnön vastaanottamisesta. Kiireellisissä tapauksissa tai muuten tarvittaessa komissio voi lyhentää määräaikaa.

4. Tätä artiklaa ei sovelleta silloin, kun komissio on asetuksen (EU) 2016/679 nojalla velvollinen kuulemaan Euroopan tietosuojaneuvostoa.

6 JAKSO

Tietosuojavastaava

43 artikla

Tietosuojavastaavan nimittäminen

1. Kukin unionin toimielin tai elin nimittää tietosuojavastaavan.

2. Unionin toimielimet ja elimet voivat nimittää yhden ainoan tietosuojavastaavan useampaa tällaista toimielintä tai elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

3. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 45 artiklassa tarkoitetut tehtävät.

4. Tietosuojavastaavan on oltava unionin toimielimen tai elimen henkilöstön jäsen. Unionin toimielimet ja elimet voivat, ottaen huomioon niiden koko ja jos 2 kohdan mukaista mahdollisuutta ei käytetä, nimittää tietosuojavastaavan, joka hoitaa tehtäviään palvelusopimuksen perusteella.

5. Unionin toimielimet ja elimet julkistavat tietosuojavastaavan yhteystiedot ja ilmoittavat ne Euroopan tietosuojavaltuutetulle.

44 artikla

Tietosuojavastaavan asema

1. Unionin toimielimet ja elimet varmistavat, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2. Unionin toimielimet ja elimet tukevat tietosuojavastaavaa tämän suorittaessa 45 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien suorittamisessa, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.

3. Unionin toimielimet ja elimet varmistavat, ettei tietosuojavastaava ota vastaan ohjeita kyseisten tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja heidän tähän asetukseen perustuvien oikeuksiensa käyttöön.

5. Tietosuojavastaavaa ja hänen henkilöstöään sitoo heidän tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden mukaisesti.

6. Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

7. Rekisterinpitäjä ja henkilötietojen käsittelijä, asianomainen henkilöstökomitea ja kuka tahansa luonnollinen henkilö voivat kuulla tietosuojavastaavaa kaikissa tämän asetuksen soveltamiseen tai tulkintaan liittyvissä asioissa virkatietä käyttämättä. Kenellekään ei saa aiheutua haittaa sen johdosta, että hän on saattanut toimivaltaisen tietosuojavastaavan tietoon seikan, jonka osalta hän väittää tämän asetuksen säännöksiä rikotun.

8. Tietosuojavastaava nimitetään toimikaudeksi, joka on kolmesta viiteen vuotta, ja sama henkilö voidaan nimittää uudeksi toimikaudeksi. Tietosuojavastaavan nimittänyt unionin toimielin tai elin voi erottaa hänet, jos hän ei enää täytä tehtäviensä suorittamiseksi vaadittavia edellytyksiä ja ainoastaan jos Euroopan tietosuojavaltuutettu on antanut tätä koskevan suostumuksen.

9. Nimittämisen jälkeen tietosuojavastaavan nimittänyt unionin toimielin tai elin ilmoittaa hänen nimensä Euroopan tietosuojavaltuutetulle.

45 artikla

Tietosuojavastaavan tehtävät

1. Tietosuojavastaavalla on seuraavat tehtävät:

a)	antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tietosuojasäännösten mukaisia velvollisuuksia;

varmistaa riippumattomalla tavalla tämän asetuksen sisäinen soveltaminen; seurata, että noudatetaan tätä asetusta, muuta sovellettavaa unionin oikeutta, joka sisältää tietosuojasäännöksiä, ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

c)	varmistaa, että rekisteröidyille tiedotetaan heidän tästä asetuksesta johtuvista oikeuksistaan ja velvollisuuksistaan;

d)	antaa pyydettäessä neuvoja henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tarpeellisuudesta 34 ja 35 artiklan mukaisesti;

e)	antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 39 artiklan mukaisesti sekä kuulla Euroopan tietosuojavaltuutettua, jos on epävarmaa, onko tietosuojaa koskeva vaikutustenarviointi tarpeen;

f)	antaa pyydettäessä neuvoja Euroopan tietosuojavaltuutetun ennakkokuulemisen tarpeesta 40 artiklan mukaisesti; kuulla Euroopan tietosuojavaltuutettua, jos on epävarmaa, onko ennakkokuuleminen tarpeen;

g)	vastata Euroopan tietosuojavaltuutetun pyyntöihin; tehdä toimivaltansa rajoissa yhteistyötä Euroopan tietosuojavaltuutetun kanssa ja kuulla tätä tämän pyynnöstä tai omasta aloitteestaan;

h)	varmistaa, että käsittelytoimet eivät vaikuta haitallisesti rekisteröityjen oikeuksiin ja vapauksiin.

2. Tietosuojavastaava voi antaa rekisterinpitäjälle ja henkilötietojen käsittelijälle suosituksia tietosuojan parantamiseksi käytännössä sekä antaa niille neuvoja tietosuojasäännösten soveltamiseen liittyvissä asioissa. Lisäksi hän voi omasta aloitteestaan tai rekisterinpitäjän, henkilötietojen käsittelijän, asianomaisen henkilöstökomitean tai kenen tahansa luonnollisen henkilön pyynnöstä tutkia seikkoja ja tapauksia, jotka välittömästi liittyvät hänen tehtäviinsä ja jotka tulevat hänen tietoonsa, sekä antaa asiasta kertomuksen tutkimuksen pyytäjälle tai rekisterinpitäjälle tai henkilötietojen käsittelijälle.

3. Kukin unionin toimielin tai elin antaa tarkemmat tietosuojavastaavaa koskevat soveltamissäännöt. Soveltamissäännöt koskevat erityisesti tietosuojavastaavan tehtäviä, velvollisuuksia ja toimivaltuuksia.

V LUKU

HENKILÖTIETOJEN SIIRROT KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

46 artikla

Siirtoja koskeva yleinen periaate

Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

47 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaisesti, että kyseinen kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason, ja jos henkilötiedot siirretään ainoastaan rekisterinpitäjän toimivaltaan kuuluvien tehtävien suorittamiseksi.

2. Unionin toimielimet ja elimet ilmoittavat komissiolle ja Euroopan tietosuojavaltuutetulle tapauksista, joissa ne katsovat, ettei kyseinen kolmas maa, kolmannen maan alue tai yksi tai useampi tietty toimiala tai kyseinen kansainvälinen järjestö tarjoa 1 kohdassa tarkoitettua riittävää tietosuojan tasoa.

3. Unionin toimielimet ja elimet toteuttavat tarpeelliset toimenpiteet noudattaakseen komission päätöksiä, kun se toteaa asetuksen (EU) 2016/679 45 artiklan 3 tai 5 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 tai 5 kohdan mukaisesti, että kolmas maa, kolmannen maan alue tai yksi tai useampi tietty toimiala tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason tai että se ei enää tarjoa sitä.

48 artikla

Siirto asianmukaisia suojatoimia soveltaen

1. Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä Euroopan tietosuojavaltuutetun antamaa lupaa:

a)	viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)	komission 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

c)	tietosuojaa koskevat vakiolausekkeet, jotka Euroopan tietosuojavaltuutettu vahvistaa ja jotka komissio hyväksyy 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

d)	jos henkilötietojen käsittelijä ei ole unionin toimielin tai elin, asetuksen (EU) 2016/679 46 artiklan 2 kohdan b, e ja f alakohdassa tarkoitetut yritystä koskevat sitovat säännöt, käytännesäännöt tai sertifiointimekanismit.

3. Euroopan tietosuojavaltuutetun luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)	rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)	määräykset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4. Hyväksynnät, jotka Euroopan tietosuojavaltuutettu on antanut asetuksen (EY) N:o 45/2001 9 artiklan 7 kohdan nojalla, pysyvät voimassa, kunnes Euroopan tietosuojavaltuutettu tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne.

5. Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

49 artikla

Siirrot ja luovutukset, joita ei sallita unionin oikeudessa

Kolmannen maan tuomioistuimen tai hallintoviranomaisen päätös, jossa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista, voidaan tunnustaa tai saattaa jollakin tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista.

50 artikla

Erityistilanteita koskevat poikkeukset

1. Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaista tietosuojan riittävyyttä koskevaa päätöstä ole tehty tai tämän asetuksen 48 artiklassa tarkoitettuja asianmukaisia suojatoimia ole toteutettu, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain jollakin seuraavista edellytyksistä:

a)	rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;

b)	siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)	siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

d)	siirto on tarpeen yleistä etua koskevien tärkeiden syiden vuoksi;

e)	siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

f)	siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi osoittaa hänellä olevan siihen oikeutettu etu, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa, täyttyvät kussakin yksittäisessä tapauksessa.

2. Edellä olevan 1 kohdan a, b ja c alakohtaa ei sovelleta toimiin, joita unionin toimielimet ja elimet suorittavat osana julkisen vallan käyttöä.

3. Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa.

4. Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä, ellei tämä ole sallittu unionin oikeudessa. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

5. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle.

6. Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

51 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

Euroopan tietosuojavaltuutettu toteuttaa yhteistyössä komission ja Euroopan tietosuojaneuvoston kanssa kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a)	kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaa koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoituksella, lähettämällä kanteluja käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c)	saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)	edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

VI LUKU

EUROOPAN TIETOSUOJAVALTUUTETTU

52 artikla

Euroopan tietosuojavaltuutettu

1. Perustetaan Euroopan tietosuojavaltuutettu.

2. Henkilötietojen käsittelyssä Euroopan tietosuojavaltuutetun tehtävänä on varmistaa, että unionin toimielimet ja elimet kunnioittavat luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti heidän oikeuttaan tietosuojaan.

3. Euroopan tietosuojavaltuutetun tehtävänä on valvoa tämän asetuksen ja muiden unionin säädösten niiden säännösten soveltamista, jotka koskevat luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua unionin toimielimen tai elimen suorittaman henkilötietojen käsittelyn yhteydessä, ja varmistaa niiden soveltaminen sekä antaa ohjeita unionin toimielimille ja elimille sekä rekisteröidyille kaikista henkilötietojen käsittelyä koskevista seikoista. Näiden tavoitteiden saavuttamiseksi Euroopan tietosuojavaltuutettu hoitaa 57 artiklassa säädettyjä tehtäviä ja käyttää 58 artiklassa annettua toimivaltaa.

4. Euroopan tietosuojavaltuutetun hallussa oleviin asiakirjoihin sovelletaan asetusta (EY) N:o 1049/2001. Euroopan tietosuojavaltuutettu vahvistaa yksityiskohtaiset säännöt asetuksen (EY) N:o 1049/2001 soveltamisesta kyseisiin asiakirjoihin.

53 artikla

Euroopan tietosuojavaltuutetun nimittäminen

1. Euroopan parlamentti ja neuvosto nimittävät yhteisellä sopimuksella Euroopan tietosuojavaltuutetun viiden vuoden toimikaudeksi komission julkisen hakumenettelyn johdosta laatiman luettelon pohjalta. Hakumenettelyssä kaikkien asianomaisten osapuolten kaikkialla unionissa on voitava jättää hakemuksensa. Komission laatima luettelo ehdokkaista on julkinen, ja siinä on oltava vähintään kolme ehdokasta. Komission laatiman luettelon perusteella Euroopan parlamentin asiasta vastaava valiokunta voi päättää kuulemisen järjestämisestä voidakseen ilmoittaa suosituimmuusjärjestyksensä.

2. Edellä 1 kohdassa tarkoitetun luettelon ehdokkaista on koostuttava henkilöistä, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu asiantuntemus tietosuojan alalla sekä kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen.

3. Euroopan tietosuojavaltuutetun toimikausi voidaan uusia kerran.

4. Euroopan tietosuojavaltuutetun velvollisuudet päättyvät seuraavissa olosuhteissa:

a)	Euroopan tietosuojavaltuutetun tilalle nimitetään uusi henkilö;

b)	Euroopan tietosuojavaltuutettu luopuu tehtävästään;

c)	Euroopan tietosuojavaltuutettu erotetaan tehtävästään tai joutuu jäämään pakolliselle eläkkeelle.

5. Unionin tuomioistuin voi Euroopan parlamentin, neuvoston tai komission hakemuksesta erottaa Euroopan tietosuojavaltuutetun tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan rikkomukseen.

6. Kun on kyse tavallisesta uudesta nimittämisestä tai vapaaehtoisesta tehtävästä luopumisesta, Euroopan tietosuojavaltuutettu jatkaa kuitenkin tehtävässään, kunnes hänen tilalleen on nimitetty uusi henkilö.

7. Euroopan unionin erioikeuksista ja vapauksista tehdyn pöytäkirjan 11–14 ja 17 artiklaa sovelletaan Euroopan tietosuojavaltuutettuun.

54 artikla

Euroopan tietosuojavaltuutetun tehtävien hoitamista koskeva ohjesääntö ja yleiset ehdot sekä henkilöstö ja rahoitus

1. Euroopan tietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta unionin tuomioistuimen tuomariin.

2. Budjettivallan käyttäjä varmistaa, että Euroopan tietosuojavaltuutetulla on käytössään hänen tehtäviensä suorittamista varten tarvittava henkilöstö ja rahoitus.

3. Euroopan tietosuojavaltuutetun talousarvio otetaan erillisenä kohtana unionin yleisen talousarvion hallintomenoihin liittyvään pääluokkaan.

4. Euroopan tietosuojavaltuutettua avustaa sihteeristö. Sihteeristön virkamiehet ja muun henkilöstön nimittää Euroopan tietosuojavaltuutettu, joka toimii heidän esimiehenään. He toimivat yksinomaan hänen ohjauksessaan. Henkilöstön määrä vahvistetaan vuosittain talousarviomenettelyn yhteydessä. Euroopan tietosuojaneuvostolle unionin oikeudessa annettujen tehtävien hoitamiseen osallistuvaan Euroopan tietosuojavaltuutetun henkilöstöön sovelletaan asetuksen (EU) 2016/679 75 artiklan 2 kohtaa.

5. Euroopan tietosuojavaltuutetun sihteeristön virkamiehiin ja muihin henkilöstöön kuuluviin sovelletaan unionin virkamiehiin ja muuhun henkilöstöön sovellettavia säännöksiä.

6. Euroopan tietosuojavaltuutetun toimipaikka on Bryssel.

55 artikla

Riippumattomuus

1. Euroopan tietosuojavaltuutettu toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2. Euroopan tietosuojavaltuutettuun ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta.

3. Euroopan tietosuojavaltuutetun on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4. Euroopan tietosuojavaltuutetun on toimikautensa päätyttyä noudatettava kunniallisuutta ja pidättyvyyttä hyväksyessään tehtäviä tai etuja.

56 artikla

Salassapitovelvollisuus

Euroopan tietosuojavaltuutettu ja hänen henkilöstönsä ovat sekä toimikautensa aikana että sen päätyttyä velvollisia pitämään salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

57 artikla

Tehtävät

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta Euroopan tietosuojavaltuutettu

a)	valvoo tämän asetuksen soveltamista unionin toimielimissä ja elimissä ja panee sen täytäntöön lukuun ottamatta unionin tuomioistuimen lainkäyttötehtäviään hoitaessaan suorittamaa henkilötietojen käsittelyä;

b)	edistää yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)	edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

d)	antaa pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tekee yhteistyötä kansallisten valvontaviranomaisten kanssa tätä tarkoitusta varten;

käsittelee rekisteröidyn tai 67 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä kanteluja ja tutkii siinä määrin, kuin se on asianmukaista kantelun kohdetta ja ilmoittaa kantelun tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

f)	suorittaa tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

g)	antaa omasta aloitteestaan tai pyynnöstä kaikille unionin toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

h)	seuraa erityisesti tieto- ja viestintäteknologian asiaan liittyvää kehitystä siltä osin, kuin sillä on vaikutusta henkilötietojen suojaan;

i)	hyväksyy 29 artiklan 8 kohdassa ja 48 artiklan 2 kohdan c alakohdassa tarkoitetut vakiosopimuslausekkeet;

j)	laatii 39 artiklan 4 kohdan mukaisen luettelon siitä, milloin vaaditaan tietosuojaa koskeva vaikutustenarviointi, ja ylläpitää tätä luetteloa;

k)	osallistuu Euroopan tietosuojaneuvoston toimintaan;

l)	huolehtii asetuksen (EU) 2016/679 75 artiklan mukaisesti Euroopan tietosuojaneuvoston sihteeristön tehtävistä;

m)	antaa neuvontaa 40 artiklan 2 kohdassa tarkoitetun käsittelyn osalta;

n)	hyväksyy 48 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja määräykset;

o)	pitää sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä;

p)	suorittaa mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä; ja

q)	vahvistaa työjärjestyksensä.

2. Euroopan tietosuojavaltuutettu helpottaa 1 kohdan e alakohdassa tarkoitettujen kantelujen jättämistä kantelulomakkeella, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Euroopan tietosuojavaltuutetun tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, Euroopan tietosuojavaltuutettu voi kieltäytyä suorittamasta pyydettyä toimea. Euroopan tietosuojavaltuutetun on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

58 artikla

Valtuudet

1. Euroopan tietosuojavaltuutetulla on seuraavat tutkintavaltuudet:

a)	määrätä rekisterinpitäjä ja henkilötietojen käsittelijä antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

b)	toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa;

c)	ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;

d)	saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen hänen tehtäviensä suorittamista varten;

e)	saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin oikeuden mukaisesti.

2. Euroopan tietosuojavaltuutetulla on seuraavat korjaavat toimivaltuudet:

a)	varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)	antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

c)	saattaa asiat asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän ja tarvittaessa Euroopan parlamentin, neuvoston ja komission käsiteltäviksi;

d)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

e)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

f)	määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

g)	asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

h)	määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 18, 19 ja 20 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 19 artiklan 2 kohdan ja 21 artiklan mukaisesti;

i)	määrätä 66 artiklan nojalla hallinnollinen sakko siinä tapauksessa, että unionin toimielin tai elin ei noudata jotakin tämän kohdan d–h ja j alakohdassa tarkoitetuista toimenpiteistä, kunkin yksittäisen tapauksen olosuhteista riippuen;

j)	määrätä, että tiedonsiirrot jäsenvaltiossa tai kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle keskeytetään.

3. Euroopan tietosuojavaltuutetulla on seuraavat hyväksymis- ja neuvontavaltuudet:

a)	antaa rekisteröidyille neuvoja heidän oikeuksiensa käyttämisessä;

b)	antaa rekisterinpitäjälle neuvoja 40 artiklassa tarkoitetun ennakkokuulemismenettelyn ja 41 artiklan 2 kohdan mukaisesti;

c)	antaa omasta aloitteestaan tai pyynnöstä lausuntoja unionin toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

d)	hyväksyä 29 artiklan 8 kohdassa ja 48 artiklan 2 kohdan c alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;

e)	hyväksyä 48 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet;

f)	hyväksyä 48 artiklan 3 kohdan b alakohdassa tarkoitetut hallinnolliset järjestelyt;

g)	hyväksyä käsittelytoimet 40 artiklan 4 kohdan perusteella annettujen täytäntöönpanosäädösten nojalla.

4. Euroopan tietosuojavaltuutetulla on toimivalta saattaa asioita unionin tuomioistuimen käsiteltäväksi perussopimuksissa määrättyjen edellytysten mukaisesti ja olla väliintulijana käsiteltäessä unionin tuomioistuimessa nostettuja kanteita.

5. Euroopan tietosuojavaltuutetulle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa.

59 artikla

Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuus vastata väitteisiin

Kun Euroopan tietosuojavaltuutettu käyttää 58 artiklan 2 kohdan a, b ja c alakohdassa tarkoitettuja toimivaltuuksiaan, asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava Euroopan tietosuojavaltuutetulle näkemyksensä tämän asettamassa kohtuullisessa määräajassa ottaen huomioon kunkin tapauksen olosuhteet. Vastauksen on sisällettävä myös kuvaus mahdollisista toimenpiteistä, jotka on toteutettu Euroopan tietosuojavaltuutetun huomautusten johdosta.

60 artikla

Toimintakertomus

1. Euroopan tietosuojavaltuutettu antaa Euroopan parlamentille, neuvostolle ja komissiolle vuosikertomuksen toiminnastaan ja julkistaa sen samanaikaisesti.

2. Euroopan tietosuojavaltuutettu toimittaa 1 kohdassa tarkoitetun kertomuksen muille unionin toimielimille ja elimille, jotka voivat esittää huomautuksia kertomusta koskevaa mahdollista Euroopan parlamentin käsittelyä varten.

VII LUKU

YHTEISTYÖ JA YHDENMUKAISUUS

61 artikla

Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välinen yhteistyö

Euroopan tietosuojavaltuutettu tekee yhteistyötä kansallisten valvontaviranomaisten kanssa sekä neuvoston päätöksen 2009/917/YOS (19) 25 artiklan nojalla perustetun yhteisen valvontaviranomaisen kanssa siinä laajuudessa, kuin se on tarpeen niiden tehtävien suorittamiseksi, erityisesti antamalla toisilleen tarvittavat tiedot, pyytämällä toisiaan käyttämään toimivaltuuksiaan ja vastaamalla toistensa pyyntöihin.

62 artikla

Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten harjoittama koordinoitu valvonta

1. Kun unionin säädöksessä viitataan tähän artiklaan, Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset tekevät toimivaltojensa puitteissa aktiivisesti yhteistyötä hoitaessaan tehtäviään laaja-alaisten tietojärjestelmien ja unionin elinten ja laitosten tehokkaan valvonnan varmistamiseksi.

2. Tehtäviään hoitaessaan ne tarvittaessa vaihtavat toimivaltansa puitteissa asiaankuuluvia tietoja, avustavat toisiaan tarkastusten suorittamisessa, tutkivat tämän asetuksen ja muiden sovellettavien unionin säädösten tulkintaan tai soveltamiseen liittyviä vaikeuksia, tarkastelevat riippumattomaan valvontaan tai rekisteröityjen oikeuksien käyttöön liittyviä ongelmia, laativat yhdenmukaistettuja ehdotuksia ratkaisujen löytämiseksi mahdollisiin ongelmiin ja edistävät tietämystä tietosuojaa koskevista oikeuksista.

3. Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset kokoontuvat 2 kohdan soveltamiseksi vähintään kaksi kertaa vuodessa Euroopan tietosuojaneuvoston puitteissa. Euroopan tietosuojaneuvosto voi tätä varten kehittää tarvittaessa uusia työmenetelmiä.

4. Euroopan tietosuojaneuvosto toimittaa koordinoitua valvontaa koskevan yhteisen toimintakertomuksen Euroopan parlamentille, neuvostolle ja komissiolle kahden vuoden välein.

VIII LUKU

OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

63 artikla

Oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle

1. Jokaisella rekisteröidyllä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta oikeussuojakeinoja, hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2. Euroopan tietosuojavaltuutettu ilmoittaa kantelun tekijälle kantelun etenemisestä ja ratkaisusta, mukaan lukien 64 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

3. Jos Euroopan tietosuojavaltuutettu ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa kantelun etenemisestä tai ratkaisusta, Euroopan tietosuojavaltuutetun katsotaan antaneen kielteisen päätöksen.

64 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin

1. Unionin tuomioistuimella on toimivalta ratkaista kaikki riidat, jotka koskevat tämän asetuksen säännöksiä, mukaan lukien vahingonkorvausvaatimukset.

2. Euroopan tietosuojavaltuutetun päätöksiin, myös 63 artiklan 3 kohdan nojalla tehtyihin päätöksiin, voidaan hakea muutosta unionin tuomioistuimelta.

3. Unionin tuomioistuimella on täysi harkintavalta tarkastellessaan 66 artiklassa tarkoitettuja hallinnollisia sakkoja. Se voi kumota sakot sekä vähentää tai korottaa niitä 66 artiklan rajoissa.

65 artikla

Oikeus korvauksen saamiseen

Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada unionin toimielimeltä tai elimeltä korvaus aiheutuneesta vahingosta perussopimuksessa määrättyjen edellytysten mukaisesti.

66 artikla

Hallinnolliset sakot

1. Euroopan tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja unionin toimielimelle tai elimelle kunkin yksittäisen tapauksen olosuhteiden mukaisesti, jos unionin toimielin tai elin ei noudata Euroopan tietosuojavaltuutetun 58 artiklan 2 kohdan d–h ja j alakohdan mukaista määräystä. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	unionin toimielimen tai elimen toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

c)	unionin toimielimen tai elimen vastuun aste, ottaen huomioon niiden 27 ja 33 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet;

d)	unionin toimielimen tai elimen mahdolliset aiemmat samankaltaiset rikkomiset;

e)	yhteistyön aste Euroopan tietosuojavaltuutetun kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

f)	henkilötietoryhmät, joihin rikkominen vaikuttaa;

g)	tapa, jolla rikkominen tuli Euroopan tietosuojavaltuutetun tietoon, erityisesti se, ilmoittiko unionin toimielin tai elin rikkomisesta ja missä laajuudessa;

asianomaiselle unionin toimielimelle tai elimelle samasta asiasta aikaisemmin määrättyjen, 58 artiklassa tarkoitettujen toimenpiteiden noudattaminen. Sakkojen määräämiseen johtavat menettelyt on toteutettava kohtuullisessa ajassa kunkin tapauksen olosuhteiden mukaan ja ottaen huomioon 69 artiklassa tarkoitetut asiaa koskevat toimet ja menettelyt.

2. Jos unionin toimielin tai elin rikkoo velvoitteita, joista säädetään 8, 12, 27–35, 39, 40, 43, 44 ja 45 artiklassa, määrätään tämän artiklan 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 25 000 euroa jokaista rikkomista kohden ja yhteensä enintään 250 000 euroa vuodessa.

3. Jos unionin toimielin tai elin rikkoo seuraavia säännöksiä, määrätään 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 50 000 euroa jokaista rikkomista kohden ja yhteensä enintään 500 000 euroa vuodessa:

a)	edellä 4, 5, 7 ja 10 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan lukien;

b)	rekisteröityjen 14–24 artiklan mukaiset oikeudet;

c)	edellä 46–50 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

4. Jos unionin toimielin tai elin rikkoo samoissa tai toisiinsa liittyvissä tai jatkuvissa käsittelytoimissa useita tämän asetuksen säännöksiä tai tämän asetuksen samaa säännöstä useita kertoja, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

5. Euroopan tietosuojavaltuutettu antaa ennen tämän artiklan mukaisen päätöksen tekemistä unionin toimielimelle tai elimelle, joka on Euroopan tietosuojavaltuutetun toteuttaman menettelyn kohteena, tilaisuuden tulla kuulluksi seikoista, joista Euroopan tietosuojavaltuutettu on esittänyt väitteitä. Euroopan tietosuojavaltuutettu perustaa päätöksensä ainoastaan niille väitteille, joista asianomaiset osapuolet ovat voineet esittää huomautuksensa. Kantelijat osallistuvat tiiviisti menettelyyn.

6. Menettelyssä on kunnioitettava täysimääräisesti asianosaisten puolustautumisoikeuksia. Niillä on oikeus tutustua Euroopan tietosuojavaltuutetun asiakirja-aineistoon edellyttäen, että otetaan huomioon yksityishenkilöiden tai yritysten oikeutetut edut, jotka liittyvät henkilötietojen tai liikesalaisuuksien suojaan.

7. Tämän artiklan mukaisesti määrätyillä sakoilla kerätyt varat otetaan unionin yleiseen talousarvioon.

67 artikla

Rekisteröityjen edustaminen

Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan Euroopan tietosuojavaltuutetulle ja käyttämään puolestaan 63 ja 64 artiklassa tarkoitettuja oikeuksia ja 65 artiklassa tarkoitettua korvauksensaamisoikeutta.

68 artikla

Unionin henkilöstön kantelut

Jokainen unionin toimielimen tai elimen palveluksessa oleva voi tehdä Euroopan tietosuojavaltuutetulle tämän asetuksen säännösten väitettyä rikkomista koskevan kantelun, myös käyttämättä virkatietä. Kenellekään ei saa aiheutua haittaa siitä syystä, että hän on toimittanut Euroopan tietosuojavaltuutetulle kantelun, jossa hän väittää tällaisen rikkomisen tapahtuneen.

69 artikla

Seuraamukset

Jos unionin virkamies tai muu henkilöstöön kuuluva tahallaan tai tuottamuksellisesti jättää täyttämättä tässä asetuksessa säädetyt velvollisuutensa, asianomaiselle virkamiehelle tai muuhun henkilöstöön kuuluvalle voidaan määrätä kurinpito- tai muu seuraamus henkilöstösäännöissä vahvistettujen sääntöjen ja menettelyjen mukaisesti.

IX LUKU

EUROOPAN UNIONIN TOIMINNASTA TEHDYN SOPIMUKSEN KOLMANNEN OSAN V OSASTON 4 TAI 5 LUVUN SOVELTAMISALAAN KUULUVAA TOIMINTAA TOTEUTTAVIEN UNIONIN ELINTEN JA LAITOSTEN SUORITTAMA OPERATIIVISTEN HENKILÖTIETOJEN KÄSITTELY

70 artikla

Luvun soveltamisala

Tätä lukua sovelletaan ainoastaan Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn, sanotun kuitenkaan rajoittamatta tällaiseen unionin elimeen ja laitokseen sovellettavien erityisten tietosuojasääntöjen soveltamista.

71 artikla

Operatiivisten henkilötietojen käsittelyä koskevat periaatteet

1. Operatiivisten henkilötietojen suhteen noudatetaan seuraavia vaatimuksia:

a)	niitä on käsiteltävä lainmukaisesti ja asianmukaisesti (”lainmukaisuus ja kohtuullisuus”);

b)	ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä tämän tarkoituksen kanssa yhteensopimattomalla tavalla (”käyttötarkoitussidonnaisuus”);

c)	niiden on oltava asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

d)	niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset operatiiviset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

e)	ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kuin on tarpeen operatiivisten henkilötietojen käsittelyn tarkoitusten toteuttamista varten (”säilytyksen rajoittaminen”);

niitä on käsiteltävä tavalla, jolla varmistetaan operatiivisten henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimenpiteitä (”eheys ja luottamuksellisuus”).

2. Saman tai toisen rekisterinpitäjän suorittama käsittely muuhun unionin elimen tai laitoksen perustamissäädöksessä säädettyyn tarkoitukseen kuin siihen, johon operatiiviset henkilötiedot kerättiin, sallitaan siltä osin kuin

a)	rekisterinpitäjällä on lupa käsitellä tällaisia operatiivisia henkilötietoja tällaista tarkoitusta varten unionin oikeuden mukaisesti; ja

b)	käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhteista unionin oikeuden mukaisesti.

3. Saman tai toisen rekisterinpitäjän suorittamaan käsittelyyn voi kuulua käsittely yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista käsittelyä varten unionin elimen tai laitoksen perustamissäädöksessä säädettyihin tarkoituksiin edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet toteutetaan.

4. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1, 2 ja 3 kohtaa on noudatettu.

72 artikla

Operatiivisten henkilötietojen käsittelyn lainmukaisuus

1. Operatiivisten henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin käsittely on tarpeen unionin elinten ja laitosten tehtävän suorittamiseksi, kun ne toteuttavat Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, ja se perustuu unionin oikeuteen.

2. Unionin erityissäädöksissä, joilla säännellään tämän luvun soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät operatiiviset henkilötiedot, käsittelyn tarkoitukset ja operatiivisten henkilötietojen säilytysajat tai määräajat operatiivisten henkilötietojen säilyttämisen jatkamisen tarpeellisuuden säännöllistä uudelleentarkastelua varten.

73 artikla

Eri ryhmiin kuuluvien rekisteröityjen erottaminen

Rekisterinpitäjän on tarvittaessa ja mahdollisuuksien mukaan erotettava selvästi toisistaan operatiiviset henkilötiedot, jotka koskevat eri ryhmiin, kuten unionin elinten ja laitosten perustamissäädöksissä lueteltuihin ryhmiin, kuuluvia rekisteröityjä.

74 artikla

Operatiivisten henkilötietojen erottelu ja operatiivisten henkilötietojen laadun varmentaminen

1. Rekisterinpitäjän on mahdollisuuksien mukaan erotettava tosiseikkoihin perustuvat operatiiviset henkilötiedot henkilökohtaisiin arvioihin perustuvista operatiivisista henkilötiedoista.

2. Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimet varmistaakseen, että virheellisiä, epätäydellisiä tai vanhentuneita operatiivisia henkilötietoja ei siirretä eikä aseteta saataville. Tätä varten rekisterinpitäjän on mahdollisuuksien ja tapauksen mukaan varmennettava operatiivisten henkilötietojen laatu ennen niiden siirtämistä tai saataville asettamista, esimerkiksi kuulemalla toimivaltaista viranomaista, jolta tiedot ovat peräisin. Rekisterinpitäjän on mahdollisuuksien mukaan lisättävä kaikkiin operatiivisten henkilötietojen siirtoihin tarvittavat tiedot, joiden avulla vastaanottaja voi arvioida operatiivisten henkilötietojen paikkansapitävyyttä, täydellisyyttä ja luotettavuutta sekä sitä, miltä osin ne ovat ajan tasalla.

3. Jos ilmenee, että on siirretty virheellisiä operatiivisia henkilötietoja tai että operatiivisia henkilötietoja on siirretty lainvastaisesti, asiasta on ilmoitettava viipymättä vastaanottajalle. Tällaisessa tapauksessa kyseiset operatiiviset henkilötiedot on oikaistava tai poistettava tai niiden käsittelyä on rajoitettava 82 artiklan mukaisesti.

75 artikla

Käsittelyä koskevat erityiset edellytykset

1. Kun tietoja siirtävään rekisterinpitäjään sovellettavassa unionin oikeudessa säädetään käsittelyä koskevista erityisistä edellytyksistä, rekisterinpitäjän on ilmoitettava operatiivisten henkilötietojen vastaanottajalle kyseisistä edellytyksistä ja vaatimuksesta noudattaa niitä.

2. Rekisterinpitäjän on noudatettava tiedot siirtävän toimivaltaisen viranomaisen direktiivin (EU) 2016/680 9 artiklan 3 ja 4 kohdan mukaisesti säätämiä käsittelyä koskevia erityisiä edellytyksiä.

76 artikla

Erityisiä operatiivisten henkilötietojen ryhmiä koskeva käsittely

1. Sellaisten operatiivisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten tai terveystietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien operatiivisten henkilötietojen käsittely sallitaan vain, jos se on ehdottoman välttämätöntä operatiivisiin tarkoituksiin ja sisältyy asianomaisen unionin elimen tai laitoksen toimeksiantoon, ja edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet on toteutettu. Luonnollisten henkilöiden syrjintä tällaisten henkilötietojen perusteella on kiellettyä.

2. Tietosuojavastaavalle on ilmoitettava ilman aiheetonta viivytystä tämän artiklan soveltamisesta.

77 artikla

Automatisoidut yksittäispäätökset, profilointi mukaan lukien

1. Päätös, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa, jossa vahvistetaan rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö.

2. Tämän artiklan 1 kohdassa tarkoitetut päätökset eivät saa perustua 76 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

3. Unionin oikeuden mukaisesti on kiellettävä profilointi, joka johtaa 76 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään.

78 artikla

Viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1. Rekisterinpitäjän on toteutettava kohtuulliset toimet toimittaakseen rekisteröidylle 79 artiklan mukaiset tiedot ja kaikki 80–84 ja 92 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän on pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö.

2. Rekisterinpitäjän on helpotettava 79–84 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

3. Rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti tämän esittämän pyynnön käsittelystä ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kolmen kuukauden kuluttua rekisteröidyn pyynnön vastaanottamisesta.

4. Rekisterinpitäjän on toimitettava 79 artiklan mukaiset tiedot ja annettava kaikki ilmoitukset tai toteutettava kaikki toimet 80–84 ja 92 artiklan nojalla maksutta. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

5. Jos rekisterinpitäjällä on perusteltua syytä epäillä 80 tai 82 artiklassa tarkoitetun pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

79 artikla

Rekisteröidyn saataville asetettavat tai hänelle annettavat tiedot

1. Rekisterinpitäjän on asetettava rekisteröidyn saataville ainakin seuraavat tiedot:

a)	unionin elimen tai laitoksen nimi ja yhteystiedot;

b)	tietosuojavastaavan yhteystiedot;

c)	operatiivisten henkilötietojen käsittelyn tarkoitukset;

d)	oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle ja hänen yhteystietonsa;

e)	rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin operatiivisiin henkilötietoihin sekä oikeus pyytää kyseisten operatiivisten henkilötietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on annettava unionin oikeudessa säädetyissä erityistapauksissa rekisteröidylle seuraavat lisätiedot, jotta hänen on mahdollista käyttää oikeuksiaan:

a)	käsittelyn oikeusperusta;

b)	operatiivisten henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

c)	mahdolliset operatiivisten henkilötietojen vastaanottajaryhmät, myös kolmansissa maissa tai kansainvälisissä järjestöissä;

d)	tarpeen mukaan lisätietoja varsinkin, jos operatiiviset henkilötiedot kerätään rekisteröidyn tietämättä.

3. Rekisterinpitäjä voi viivyttää tai rajoittaa 2 kohdan mukaista rekisteröidylle ilmoittamista tai jättää sen kokonaan tekemättä siltä osin ja niin pitkäksi aikaa, kuin tällainen toimenpide on välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon asianomaisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

a)	välttää virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

b)	välttää tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle, paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)	suojella jäsenvaltioiden yleistä turvallisuutta;

d)	suojella jäsenvaltioiden kansallista turvallisuutta;

e)	suojata muiden henkilöiden, kuten uhrien ja todistajien, oikeuksia ja vapauksia.

80 artikla

Rekisteröidyn oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia operatiivisia henkilötietoja, ja jos näitä henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy operatiivisiin henkilötietoihin sekä oikeus seuraaviin tietoihin:

a)	käsittelyn tarkoitukset ja oikeusperusta;

b)	kyseessä olevat operatiivisten henkilötietojen ryhmät;

c)	vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille operatiivisia henkilötietoja on luovutettu;

d)	mahdollisuuksien mukaan operatiivisten henkilötietojen suunniteltu säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)	rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien operatiivisten henkilötietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista;

f)	oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle ja tämän yhteystiedot;

g)	käsiteltävät operatiiviset henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot.

81 artikla

Tietoihin pääsyn rajoittaminen

1. Rekisterinpitäjä voi rajoittaa kokonaan tai osittain rekisteröidyn oikeutta saada pääsy tietoihin siltä osin ja niin pitkäksi aikaa, kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon asianomaisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

a)	välttää virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

b)	välttää tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle, paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)	suojella jäsenvaltioiden yleistä turvallisuutta;

d)	suojella jäsenvaltioiden kansallista turvallisuutta;

e)	suojata muiden henkilöiden, kuten uhrien ja todistajien, oikeuksia ja vapauksia.

2. Edellä 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on ilmoitettava ilman aiheetonta viivytystä rekisteröidylle kirjallisesti, jos tietoihin pääsy evätään tai sitä rajoitetaan, sekä tällaisen epäämisen tai rajoittamisen perustelut. Tällaiset tiedot voidaan jättää pois, jos niiden ilmoittaminen vaarantaisi 1 kohdan mukaisen tarkoituksen. Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää oikeussuojakeinoja unionin tuomioistuimessa. Rekisterinpitäjän on dokumentoitava ne seikat tai oikeudelliset syyt, joihin päätös perustuu. Näiden tietojen on oltava pyynnöstä Euroopan tietosuojavaltuutetun saatavilla.

82 artikla

Oikeus operatiivisten henkilötietojen oikaisemiseen tai poistamiseen sekä käsittelyn rajoittamiseen

1. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset operatiiviset henkilötiedot. Käsittelyn tarkoitukset huomioon ottaen rekisteröidyllä on oikeus saada puutteelliset operatiiviset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

2. Rekisterinpitäjän on poistettava operatiiviset henkilötiedot ilman aiheetonta viivytystä, ja rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat operatiiviset henkilötiedot ilman aiheetonta viivytystä, jos käsittely rikkoo 71 artiklaa, 72 artiklan 1 kohtaa tai 76 artiklaa tai jos operatiiviset henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi.

3. Poistamisen sijasta rekisterinpitäjän on rajoitettava käsittelyä, jos

a)	rekisteröity kiistää henkilötietojen paikkansapitävyyden eikä niiden paikkansapitävyyttä tai virheellisyyttä voida todentaa; tai

b)	henkilötiedot on säilytettävä todistelua varten.

Jos käsittelyä on rajoitettu ensimmäisen alakohdan a alakohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

Tietoja, joihin pääsy on rajoitettu, saa käsitellä ainoastaan sitä tarkoitusta varten, joka esti niiden poistamisen.

4. Rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti, jos se kieltäytyy operatiivisten henkilötietojen oikaisemisesta tai poistamisesta tai niiden käsittelyn rajoittamisesta, sekä kieltäytymisen syistä. Rekisterinpitäjä voi rajoittaa kokonaan tai osittain tällaisten tietojen antamista siltä osin, kuin tällainen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

a)	välttää virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

b)	välttää tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle, paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)	suojella jäsenvaltioiden yleistä turvallisuutta;

d)	suojella jäsenvaltioiden kansallista turvallisuutta;

e)	suojata muiden henkilöiden, kuten uhrien ja todistajien, oikeuksia ja vapauksia.

Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää oikeussuojakeinoja unionin tuomioistuimessa.

5. Rekisterinpitäjän on ilmoitettava virheellisten operatiivisten henkilötietojen oikaisemisesta toimivaltaiselle viranomaiselle, jolta virheelliset operatiiviset henkilötiedot ovat peräisin.

6. Tapauksissa, joissa operatiivisia henkilötietoja on oikaistu tai poistettu taikka käsittelyä on rajoitettu 1, 2 tai 3 kohdan nojalla, rekisterinpitäjän on ilmoitettava asiasta vastaanottajille ja ilmoitettava näille, että näiden on oikaistava tai poistettava operatiivisia henkilötietoja taikka rajoitettava vastuullaan olevien operatiivisten henkilötietojen käsittelyä.

83 artikla

Oikeus saada pääsy tietoihin rikostutkinnassa ja rikosoikeudellisissa menettelyissä

Kun operatiiviset henkilötiedot ovat peräisin toimivaltaiselta viranomaiselta, unionin elimet ja laitokset tarkistavat asianomaiselta toimivaltaiselta viranomaiselta ennen sellaisen päätöksen tekemistä, joka koskee rekisteröidyn oikeutta saada pääsy tietoihin, sisältyvätkö tällaiset henkilötiedot kyseisen toimivaltaisen viranomaisen jäsenvaltiossa rikostutkinnan ja rikosoikeudellisen menettelyn yhteydessä käsiteltyyn tuomioistuimen päätökseen, asiakirjaan tai tapausaineistoon. Jos näin on, päätös oikeudesta saada pääsy tietoihin tehdään asianomaista toimivaltaista viranomaista kuullen ja tiiviissä yhteistyössä sen kanssa.

84 artikla

Rekisteröidyn oikeuksien käyttäminen ja Euroopan tietosuojavaltuutetun tekemät tarkistukset

1. Rekisteröidyn oikeuksia voidaan 79 artiklan 3 kohdassa, 81 artiklassa ja 82 artiklan 4 kohdassa tarkoitetuissa tapauksissa käyttää myös Euroopan tietosuojavaltuutetun välityksellä.

2. Rekisterinpitäjän on ilmoitettava rekisteröidylle hänen mahdollisuudestaan käyttää oikeuksiaan Euroopan tietosuojavaltuutetun välityksellä 1 kohdan mukaisesti.

3. Jos 1 kohdassa tarkoitettua oikeutta käytetään, Euroopan tietosuojavaltuutettu ilmoittaa rekisteröidylle ainakin siitä, että Euroopan tietosuojavaltuutettu on tehnyt kaikki tarvittavat tarkistukset tai toteuttanut uudelleentarkastelun. Euroopan tietosuojavaltuutettu myös tiedottaa rekisteröidylle hänen oikeudestaan käyttää oikeussuojakeinoja unionin tuomioistuimessa.

85 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelyn keinojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa ja tarvittavien suojatoimien käsittelyn osaksi sisällyttämistä varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, jotta käsittely vastaisi tämän asetuksen ja sen perustamissäädöksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain operatiivisia henkilötietoja, jotka ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, jota varten niitä käsitellään. Tämä velvollisuus koskee kerättyjen operatiivisten henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että operatiivisia henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

86 artikla

Yhteisrekisterinpitäjät

1. Jos vähintään kaksi rekisterinpitäjää tai yksi tai useampi rekisterinpitäjä yhdessä yhden tai useamman muun rekisterinpitäjän kuin unionin toimielinten ja elinten kanssa määrittävät yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuojavelvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 79 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin yhteisrekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään yhteisrekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2. Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityyn nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

87 artikla

Henkilötietojen käsittelijä

1. Jos käsittely suoritetaan rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi siten, että käsittely täyttää tämän asetuksen ja rekisterinpitäjän perustamissäädöksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on yleisestä kirjallisesta luvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3. Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella muulla säädöksellä, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, operatiivisten henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on määrättävä erityisesti, että henkilötietojen käsittelijä

a)	toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti;

b)	varmistaa, että henkilöt, joilla on lupa käsitellä operatiivisia henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

c)	avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan;

rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palvelujen tarjoamisen päätyttyä kaikki operatiiviset henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään operatiiviset henkilötiedot;

e)	saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten;

f)	noudattaa 2 kohdassa ja tässä kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä.

4. Edellä 3 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

5. Jos henkilötietojen käsittelijä rikkoo tätä asetusta tai rekisterinpitäjän perustamissäädöstä määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä.

88 artikla

Lokitiedot

1. Rekisterinpitäjän on säilytettävä lokitiedot seuraavista automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista: operatiivisten henkilötietojen kerääminen ja muuttaminen, niihin pääsy, kysely, luovuttaminen, siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet sekä toteutuspäivä ja -aika, operatiivisia henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden operatiivisten henkilötietojen vastaanottajien henkilöllisyys.

2. Lokitietoja on käytettävä ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, operatiivisten henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. Tällaiset lokitiedot on poistettava kolmen vuoden kuluttua, paitsi jos tietoja tarvitaan edelleen valvontaa varten.

3. Rekisterinpitäjän on asetettava pyynnöstä lokitiedot tietosuojavastaavansa ja Euroopan tietosuojavaltuutetun saataville.

89 artikla

Tietosuojaa koskeva vaikutustenarviointi

2. Edellä 1 kohdassa tarkoitetussa arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä, toimet, joiden avulla riskeihin on tarkoitus puuttua, sekä suojatoimet, turvatoimenpiteet ja mekanismit, joilla varmistetaan operatiivisten henkilötietojen suoja ja osoitetaan, että tietosuojasääntöjä on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

90 artikla

Euroopan tietosuojavaltuutetun ennakkokuuleminen

1. Rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ennen henkilötietojen käsittelyä, joka muodostaa osan uutta, tekeillä olevaa rekisteriä, jos

a)	89 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, ellei rekisterinpitäjä toteuta toimenpiteitä riskin lieventämiseksi; tai

b)	tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta, rekisteröityjen oikeuksien ja vapauksien kannalta korkea riski.

2. Euroopan tietosuojavaltuutettu voi laatia luettelon käsittelytoimista, joihin sovelletaan 1 kohdassa tarkoitettua ennakkokuulemista.

3. Rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle 89 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä mahdolliset muut tiedot, joiden avulla Euroopan tietosuojavaltuutettu voi arvioida käsittelyn vaatimustenmukaisuutta ja erityisesti riskejä rekisteröidyn operatiivisten henkilötietojen suojan kannalta ja tähän liittyviä suojatoimia.

4. Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta tai unionin elimen tai laitoksen perustamissäädöstä, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai lieventänyt riskiä, Euroopan tietosuojavaltuutettu antaa kirjallisesti ohjeet rekisterinpitäjälle enintään kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Euroopan tietosuojavaltuutettu ilmoittaa rekisterinpitäjälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta.

91 artikla

Operatiivisten henkilötietojen käsittelyn turvallisuus

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet varsinkin erityisten operatiivisten henkilötietojen ryhmien osalta.

2. Automaattisen käsittelyn osalta rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta toimenpiteet, joiden tarkoituksena on

a)	evätä asiattomilta pääsy käsittelyyn käytettäviin laitteisiin (”laitteillepääsyn valvonta”);

b)	estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen (”tietovälineiden valvonta”);

c)	estää operatiivisten henkilötietojen luvaton tallentaminen järjestelmään sekä järjestelmään tallennettujen operatiivisten henkilötietojen luvaton tarkastelu, muuttaminen tai poistaminen (tallentamisen valvonta);

d)	estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla (”käyttäjien valvonta”);

e)	varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan valtuutuksensa piiriin kuuluviin operatiivisiin henkilötietoihin (”pääsyn valvonta”);

f)	varmistaa, että on mahdollista tarkistaa ja todeta, mille tahoille operatiivisia henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirron avulla (”tiedonvälityksen valvonta”);

g)	varmistaa, että on mahdollista tarkistaa ja todeta jälkikäteen, mitä operatiivisia henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka operatiivisia henkilötietoja on syöttänyt (”tietojen syöttämisen valvonta”);

h)	estää operatiivisten henkilötietojen luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen operatiivisten henkilötietojen siirron tai tietovälineiden kuljetuksen aikana (”siirron valvonta”),

i)	varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen (”toimintakunnon palauttaminen”);

j)	varmistaa, että järjestelmä toimii, että havaituista toimintojen virheistä ilmoitetaan (”luotettavuus”) ja että järjestelmän toimintahäiriö ei voi vahingoittaa tallennettuja operatiivisia henkilötietoja (”eheys”).

92 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen Euroopan tietosuojavaltuutetulle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta Euroopan tietosuojavaltuutetulle 72 tunnin kuluessa, ilmoitukseen on liitettävä viivytyksen syyt.

2. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)	kuvattava henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä operatiivisten henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)	ilmoitettava tietosuojavastaavan nimi ja yhteystiedot;

c)	kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)	kuvattava toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

3. Jos ja siltä osin kuin 2 kohdassa tarkoitettuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivytystä.

4. Rekisterinpitäjän on dokumentoitava kaikki 1 kohdassa tarkoitetut henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

5. Jos tietoturvaloukkaukseen sisältyy toimivaltaisten viranomaisten toimittamia tai näille toimitettuja operatiivisia henkilötietoja, rekisterinpitäjän on toimitettava 2 kohdassa tarkoitetut tiedot asianomaisille toimivaltaisille viranomaisille ilman aiheetonta viivytystä.

93 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

2. Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 92 artiklan 2 kohdan b, c ja d alakohdassa säädetyt tiedot ja suositukset.

3. Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset turvatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin operatiivisiin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla operatiiviset henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)	rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

c)	se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

5. Tämän artiklan 1 kohdassa tarkoitettua rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä 79 artiklan 3 kohdan mukaisilla edellytyksillä ja perusteilla.

94 artikla

Operatiivisten henkilötietojen siirto kolmansille maille ja kansainvälisille järjestöille

1. Jollei unionin elimen tai laitoksen perustamissäädöksessä säädetyistä rajoituksista ja ehdoista muuta johdu, rekisterinpitäjä voi siirtää operatiivisia henkilötietoja kolmannen maan viranomaiselle tai kansainväliselle järjestölle, siltä osin kuin tällainen siirto on tarpeen rekisterinpitäjän tehtävien suorittamiseksi ja vain jos seuraavat tässä artiklassa säädetyt edellytykset täyttyvät:

a)	komissio on hyväksynyt direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaisesti tietosuojan riittävyyttä koskevan päätöksen, jossa todetaan, että kyseinen kolmas maa tai kyseisen kolmannen maan alue tai käsittelysektori taikka kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason;

jos ei ole tehty a alakohdan mukaista tietosuojan riittävyyttä koskevaa komission päätöstä, unionin ja kyseisen kolmannen maan tai kansainvälisen järjestön välillä on tehty Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan nojalla kansainvälinen sopimus, jossa on yksityisyyden sekä yksilöiden perusoikeuksien ja -vapauksien suojaa koskevia asianmukaisia suojatoimia;

jos ei ole tehty a alakohdan mukaista tietosuojan riittävyyttä koskevaa komission päätöstä tai b alakohdan mukaista kansainvälistä sopimusta, asianomaisen unionin elimen tai laitoksen ja kyseessä olevan kolmannen maan välillä on tehty operatiivisten henkilötietojen vaihdon mahdollistava yhteistyösopimus ennen mainitun unionin elimen tai laitoksen perustamissäädöksen soveltamispäivää.

2. Unionin elinten ja laitosten perustamissäädöksissä voidaan pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä operatiivisten henkilötietojen kansainvälisten siirtojen ehdoista, erityisesti asianmukaisten suojatoimien ja erityistilanteita koskevien poikkeusten avulla tapahtuvista siirroista.

3. Rekisterinpitäjän on julkaistava verkkosivustollaan ja pidettävä ajan tasalla luettelo 1 kohdan a alakohdassa tarkoitetuista tietosuojan riittävyyttä koskevista päätöksistä, sopimuksista, hallinnollisista järjestelyistä ja muista välineistä, jotka liittyvät 1 kohdan mukaiseen operatiivisten henkilötietojen siirtoon.

4. Rekisterinpitäjän on pidettävä yksityiskohtaisesti kirjaa kaikista tämän artiklan nojalla suoritetuista siirroista.

95 artikla

Rikostutkintaa ja rikosoikeudellisia menettelyjä koskeva salassapitovelvollisuus

Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten perustamissäädöksissä voidaan velvoittaa Euroopan tietosuojavaltuutettu tämän käyttäessä valvontavaltuuksiaan ottamaan rikostutkintaa ja rikosoikeudellisia menettelyjä koskeva salassapitovelvollisuus mahdollisimman hyvin huomioon unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

X LUKU

TÄYTÄNTÖÖNPANOSÄÄDÖKSET

96 artikla

Komiteamenettely

1. Komissiota avustaa asetuksen (EU) 2016/679 93 artiklalla perustettu komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

XI LUKU

UUDELLEENTARKASTELU

97 artikla

Uudelleentarkastelulauseke

Komissio esittää viimeistään 30 päivänä huhtikuuta 2022 ja sen jälkeen viiden vuoden välein Euroopan parlamentille ja neuvostolle kertomuksen tämän asetuksen soveltamisesta ja liittää siihen tarvittaessa asiaankuuluvia lainsäädäntöehdotuksia.

98 artikla

Unionin säädösten uudelleentarkastelu

1. Komissio tarkastelee viimeistään 30 päivänä huhtikuuta 2022 uudelleen perussopimusten perusteella annettuja säädöksiä, joilla säännellään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa operatiivisten henkilötietojen käsittelyä,

a)	arvioidakseen, ovatko ne yhdenmukaisia direktiivin (EU) 2016/680 ja tämän asetuksen IX luvun kanssa,

b)	selvittääkseen mahdolliset eroavuudet, jotka saattavat haitata kyseisillä aloilla toimintaa toteuttavien unionin elinten ja laitosten sekä toimivaltaisten viranomaisten välistä operatiivisten henkilötietojen vaihtoa; ja

c)	selvittääkseen mahdolliset eroavuudet, jotka saattavat aiheuttaa tietosuojalainsäädännön oikeudellista hajanaisuutta unionissa.

2. Jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä, komissio voi uudelleentarkastelun perusteella erityisesti tämän asetuksen IX luvun soveltamiseksi Europoliin ja Euroopan syyttäjänvirastoon esittää asianmukaisia lainsäädäntöehdotuksia, mukaan lukien tarvittaessa mukautukset tämän asetuksen IX lukuun.

XII LUKU

LOPPUSÄÄNNÖKSET

99 artikla

Asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoaminen

Kumotaan asetus (EY) N:o 45/2001 ja päätös N:o 1247/2002/EY 11 päivästä joulukuuta 2018. Viittauksia kumottuihin asetukseen ja päätökseen pidetään viittauksina tähän asetukseen.

100 artikla

Siirtymätoimenpiteet

1. Tämä asetus ei vaikuta Euroopan parlamentin ja neuvoston päätökseen 2014/886/EU (20) eikä Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nykyiseen toimikauteen.

2. Apulaistietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta unionin tuomioistuimen kirjaajaan.

3. Tämän asetuksen 53 artiklan 4, 5 ja 7 kohtaa sekä 55 ja 56 artiklaa sovelletaan nykyiseen apulaistietosuojavaltuutettuun siihen saakka, kun hänen toimikautensa päättyy.

4. Apulaistietosuojavaltuutettu avustaa Euroopan tietosuojavaltuutettua tämän tehtävien suorittamisessa ja toimii hänen sijaisenaan, kun Euroopan tietosuojavaltuutettu on poissa tai estynyt hoitamasta tehtäviään, kunnes nykyisen apulaistietosuojavaltuutetun toimikausi päättyy.

101 artikla

Voimaantulo ja soveltaminen

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Tätä asetusta sovelletaan kuitenkin Eurojustin suorittamaan henkilötietojen käsittelyyn 12 päivänä joulukuuta 2019 päivästä 9.9.9999 kuuta 9.9.9999.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Strasbourgissa 23 päivänä lokakuuta 2018.

Euroopan parlamentin puolesta

Puhemies

A. TAJANI

Neuvoston puolesta

Puheenjohtaja

K. EDTSTADLER

(1) EUVL C 288, 31.8.2017, s. 107.

(2) Euroopan parlamentin kanta, vahvistettu 13. syyskuuta 2018 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 11. lokakuuta 2018.

(3) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(4) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(5) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(6) Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

(7) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70).

(8) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(9) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

(10) EYVL L 56, 4.3.1968, s. 1.

(11) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(12) Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).

(13) Euroopan parlamentin, neuvoston ja komission päätös N:o 1247/2002/EY, tehty 1 päivänä heinäkuuta 2002, Euroopan tietosuojavaltuutetun tehtävien hoitamista koskevasta ohjesäännöstä ja yleisistä ehdoista (EYVL L 183, 12.7.2002, s. 1).

(14) EUVL C 164, 24.5.2017, s. 2.

(15) Euroopan parlamentin ja neuvoston asetus (EU) 2016/794, annettu 11 päivänä toukokuuta 2016, Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta (EUVL L 135, 24.5.2016, s. 53).

(16) Neuvoston asetus (EU) 2017/1939, annettu 12 päivänä lokakuuta 2017, tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa (EUVL L 283, 31.10.2017, s. 1).

(17) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(18) Komission direktiivi 2008/63/EY, annettu 20 päivänä kesäkuuta 2008, kilpailusta telepäätelaitemarkkinoilla (EUVL L 162, 21.6.2008, s. 20).

(19) Neuvoston päätös 2009/917/YOS, tehty 30 päivänä marraskuuta 2009, tietotekniikan käytöstä tullialalla (EUVL L 323, 10.12.2009, s. 20).

(20) Euroopan parlamentin ja neuvoston päätös 2014/886/EU, annettu 4 päivänä joulukuuta 2014, Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittämisestä (EUVL L 351, 9.12.2014, s. 9).

21.11.2018

Euroopan unionin virallinen lehti

L 295/99

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2018/1726,

annettu 14 päivänä marraskuuta 2018,

vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavasta Euroopan unionin virastosta (eu-LISA) sekä asetuksen (EY) N:o 1987/2006 ja neuvoston päätöksen 2007/533/YOS muuttamisesta ja asetuksen (EU) N:o 1077/2011 kumoamisesta

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 74 artiklan, 77 artiklan 2 kohdan a ja b alakohdan, 78 artiklan 2 kohdan e alakohdan, 79 artiklan 2 kohdan c alakohdan, 82 artiklan 1 kohdan d alakohdan, 85 artiklan 1 kohdan, 87 artiklan 2 kohdan a alakohdan ja 88 artiklan 2 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

noudattavat tavallista lainsäätämisjärjestystä (1),

sekä katsovat seuraavaa:

(1)

Schengenin tietojärjestelmä (SIS II) perustettiin Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1987/2006 (2) ja neuvoston päätöksellä 2007/533/YOS (3). Asetuksessa (EY) N:o 1987/2006 ja päätöksessä 2007/533/YOS säädetään, että komissio vastaa SIS II:n keskusjärjestelmän operatiivisesta hallinnoinnista siirtymäkauden ajan. Siirtymäkauden jälkeen vastuu SIS II:n keskusjärjestelmän operatiivisesta hallinnoinnista ja viestintäinfrastruktuurin tietyistä osista siirtyy tietokantaa hallinnoivalle viranomaiselle.

(2)

Viisumitietojärjestelmä (VIS) perustettiin neuvoston päätöksellä 2004/512/EY (4). Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 767/2008 (5) säädetään, että komissio vastaa VIS-järjestelmän operatiivisesta hallinnoinnista siirtymäkauden ajan. Siirtymäkauden jälkeen vastuu VIS:n keskusjärjestelmän ja kansallisten rajapintojen operatiivisesta hallinnoinnista sekä viestintäinfrastruktuurin tietyistä osista siirtyy tietokantaa hallinnoivalle viranomaiselle.

(3)

Eurodac-järjestelmä perustettiin neuvoston asetuksella (EY) N:o 2725/2000 (6). Neuvoston asetuksessa (EY) N:o 407/2002 (7) säädettiin tarvittavat täytäntöönpanosäännöt. Kyseiset säädökset kumottiin ja korvattiin Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 603/2013 (8)20 päivästä heinäkuuta 2015.

(4)

Vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto, joka tunnetaan yleisesti nimellä eu-LISA, perustettiin Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 1077/2011 (9) vastaamaan SIS-, VIS- ja Eurodac-järjestelmien ja niiden viestintäinfrastruktuurien tiettyjen osien operatiivisesta hallinnoinnista sekä mahdollisesti myös muiden vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista, edellyttäen että erilliset unionin säädökset hyväksytään. Asetusta (EU) N:o 1077/2011 muutettiin asetuksella (EU) N:o 603/2013, jotta voitiin ottaa huomioon Eurodac-järjestelmään tehdyt muutokset.

(5)

Koska tietokantoja hallinnoivan viranomaisen täytyi olla oikeudellisesti, hallinnollisesti ja taloudellisesti riippumaton, se perustettiin sääntelyvirastona, jäljempänä ”virasto”, joka on oikeushenkilö. Viraston kotipaikaksi sovittiin Tallinna, Viro. Koska SIS II- ja VIS-järjestelmien teknistä kehittämistä ja operatiivisen hallinnoinnin valmistelua on jo toteutettu Strasbourgissa, Ranskassa, ja näiden järjestelmien varayksikkö on SIS II- ja VIS-järjestelmiä koskevissa unionin säädöksissä vahvistettujen sijaintipaikkojen mukaisesti sijoitettu Sankt Johann im Pongauhun, Itävaltaan, järjestelyä ei ole syytä muuttaa. Myös Eurodac-järjestelmän operatiiviseen hallinnointiin liittyvät tehtävät suoritetaan jatkossa Strasbourgissa, Ranskassa, ja Eurodacin varayksikkö perustetaan Sankt Johann im Pongauhun, Itävaltaan. Näissä kahdessa paikassa olisi toteutettava myös yhtäältä muiden vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien tekninen kehittäminen ja operatiivinen hallinnointi sekä toisaalta sellainen varayksikkö, jonka avulla varmistetaan laaja-alaisen tietojärjestelmän toiminta kyseisen laaja-alaisen tietojärjestelmän häiriötapauksessa. Jotta varayksikön mahdollinen käyttö voitaisiin maksimoida, kyseistä yksikköä voitaisiin hyödyntää myös järjestelmien samanaikaiseen käyttöön edellyttäen, että se pystyy edelleen varmistamaan niiden toiminnan yhden tai useamman järjestelmän häiriötapauksessa. Koska järjestelmät edellyttävät korkeaa turvallisuus- ja käytettävyystasoa ja ovat tehtävien hoitamisen kannalta keskeisiä, viraston hallintoneuvoston, jäljempänä ”hallintoneuvosto”, olisi voitava ehdottaa, edellyttäen, että se on perusteltua riippumattoman vaikutustenarvioinnin ja kustannus-hyötyanalyysin perusteella, toisen erillisen teknisen toimipaikan perustamista joko Strasbourgiin tai Sankt Johann im Pongauhun tai tarpeen mukaan molemmille paikkakunnille järjestelmien isännöimiseksi, jos nykyisten teknisten toimipaikkojen isännöintivalmiudet eivät enää riitä. Hallintoneuvoston olisi kuultava komissiota ja otettava komission näkemykset huomioon, ennen kuin se ilmoittaa Euroopan parlamentille ja neuvostolle, jäljempänä ”budjettivallan käyttäjä”, aikomuksestaan toteuttaa kiinteistöihin liittyviä hankkeita.

(6)

Sen jälkeen kun virasto aloitti toimintansa 1 päivänä joulukuuta 2012, se otti hoitaakseen VIS-järjestelmään liittyvät tehtävät, jotka oli asetuksella (EY) N:o 767/2008 ja neuvoston päätöksellä 2008/633/YOS (10) osoitettu tietokantaa hallinnoivalle viranomaiselle. Huhtikuussa 2013 virasto otti SIS II-järjestelmän käyttöönoton jälkeen hoitaakseen myös SIS II -järjestelmään liittyvät tehtävät, jotka oli osoitettu tietokantaa hallinnoivalle viranomaiselle asetuksella (EY) N:o 1987/2006 ja päätöksellä 2007/533/YOS, ja kesäkuussa 2013 Eurodac-järjestelmään liittyvät tehtävät, jotka oli osoitettu komissiolle asetuksilla (EY) N:o 2725/2000 ja (EY) N:o 407/2002.

(7)

Ensimmäisessä viraston toimintaa koskevassa arvioinnissa, joka toteutettiin kaudella 2015–2016 riippumattoman ulkoisen arvioinnin pohjalta, todettiin, että virasto hoitaa tehokkaasti laaja-alaisten tietojärjestelmien operatiivisen hallinnoinnin ja muut sille osoitetut tehtävät mutta myös, että asetukseen (EU) N:o 1077/2011 olisi tehtävä useita muutoksia, kuten viestintäinfrastruktuuriin liittyvien tehtävien siirtäminen komissiolta virastolle. Komissio otti ulkoisen arvioinnin perusteella huomioon politiikan, lainsäädännön ja tilanteen kehityksestä johtuvat muutokset ja ehdotti erityisesti vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston (eu-LISA) toiminnasta 29 päivänä kesäkuuta 2017 antamassaan kertomuksessa, jäljempänä ”arviointikertomus”, että viraston toimeksiantoa laajennetaan niin, että se voi toteuttaa tehtävät, jotka perustuvat lainsäädäntövallan käyttäjien hyväksymiin lainsäädäntöehdotuksiin uusien järjestelmien hallinnoinnin osoittamisesta virastolle, sekä tehtävät, joita tarkoitetaan komission 6 päivänä huhtikuuta 2016 antamassa tiedonannossa ”Vahvemmat ja älykkäämmät tietojärjestelmät rajaturvallisuuden ja sisäisen turvallisuuden tueksi”, tietojärjestelmiä ja niiden yhteentoimivuutta käsittelevän korkean tason asiantuntijaryhmän 11 päivänä toukokuuta 2017 antamassa loppuraportissa ja komission 16 päivänä toukokuuta 2017 antamassa tiedonannossa ”Seitsemäs raportti edistymisestä kohti toimivaa ja todellista turvallisuusunionia”, sillä edellytyksellä, että asiaankuuluvat unionin säädökset hyväksytään tarvittaessa. Virastolle olisi annettava tehtäväksi erityisesti kehittää ratkaisuja, jotka koskevat yhteentoimivuutta, joka on määritelty 6 päivänä huhtikuuta 2016 annetussa tiedonannossa mahdollisuudeksi vaihtaa ja jakaa tietoja tietojärjestelmien välillä.

Yhteentoimivuutta koskevien toimien yhteydessä olisi tarvittaessa käytettävä ohjeena komission 23 päivänä maaliskuuta 2017 antamaa tiedonantoa ”Eurooppalaiset yhteentoimivuusperiaatteet – täytäntöönpanostrategia”. Kyseisen tiedonannon liitteessä 2 esitetään yleiset suuntaviivat, suositukset ja parhaat käytännöt yhteentoimivuuden saavuttamiseksi tai ainakin sellaisen toimintaympäristön luomiseksi, jossa voidaan saavuttaa parempi yhteentoimivuus, kun suunnitellaan, toteutetaan ja hallinnoidaan eurooppalaisia julkisia palveluja.

(8)

Arviointikertomuksessa todetaan myös, että viraston toimeksiantoa olisi laajennettava, jotta se voi antaa jäsenvaltioille neuvoja kansallisten järjestelmien liittämisestä sen hallitsemien laaja-alaisten tietojärjestelmien keskusjärjestelmiin, jäljempänä ”järjestelmät”, ja pyydettäessä tapauskohtaista apua ja tukea sekä komission yksiköille apua ja tukea uusiin järjestelmiin liittyvissä teknisissä kysymyksissä.

(9)	Virastolle olisi annettava tehtäväksi Euroopan parlamentin ja neuvoston asetuksella (EU) 2017/2226 (11) perustetun rajanylitystietojärjestelmän (EES) valmistelu, kehittäminen ja operatiivinen hallinnointi.

(10)

Virastolle olisi myös annettava tehtäväksi hallinnoida operatiivisesti DubliNetiä, komission asetuksen (EY) N:o 1560/2003 (12) 18 artiklalla perustettua erillistä suojattua sähköistä tiedonsiirtokanavaa, jota jäsenvaltioiden toimivaltaisten turvapaikkaviranomaisten olisi käytettävä tietojen vaihtamiseen kansainvälistä suojelua hakevista henkilöistä.

(11)	Virastolle olisi lisäksi annettava tehtäväksi Euroopan parlamentin ja neuvoston asetuksella (EU) 2018/1240 (13) perustetun EU:n matkustustieto- ja -lupajärjestelmän (ETIAS) valmistelu, kehittäminen ja operatiivinen hallinnointi.

(12)

Viraston päätehtävänä olisi edelleen oltava SIS II-, VIS-, Eurodac- ja EES-järjestelmien, DubliNetin ja ETIAS-järjestelmän ja, jos niin päätetään, muiden vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiiviseen hallinnointiin liittyvien tehtävien hoitaminen. Viraston olisi myös vastattava teknisistä toimenpiteistä, joita sille osoitetut ei-normatiiviset tehtävät edellyttävät. Nämä tehtävät eivät saisi vaikuttaa normatiivisiin tehtäviin, jotka on varattu komissiolle yksin tai komitean avustamana järjestelmiä koskevien unionin säädösten mukaisesti.

(13)

Viraston olisi voitava toteuttaa teknisiä ratkaisuja, jotta täytetään järjestelmiä koskevissa unionin säädöksissä säädetyt käytettävyysvaatimukset, noudattaen samalla täysin kyseisten säädösten erityissäännöksiä, jotka koskevat kunkin järjestelmän teknistä rakennetta. Jos kyseiset tekniset ratkaisut edellyttävät järjestelmän jäljentämistä tai järjestelmän komponenttien jäljentämistä, olisi suoritettava riippumaton vaikutustenarviointi ja kustannus-hyötyanalyysi ja hallintoneuvoston olisi tehtävä päätös komissiota kuultuaan. Vaikutustenarvioinnissa olisi myös tutkittava nykyisten teknisten toimipaikkojen isännöintivalmiuksiin liittyvät tarpeet tällaisten teknisten ratkaisujen kehittämiseksi sekä nykyiseen operatiiviseen rakenteeseen liittyvät mahdolliset riskit.

(14)

Ei ole enää perusteltua, että komissio vastaa tietyistä järjestelmien viestintäinfrastruktuuriin liittyvistä tehtävistä, ja kyseiset tehtävät olisi sen vuoksi siirrettävä virastolle, jotta voidaan parantaa viestintäinfrastruktuurin hallinnoinnin johdonmukaisuutta. Komission olisi kuitenkin edelleen hoidettava talousarvion toteuttamiseen, hankintoihin, uusimisiin ja sopimusasioihin liittyvät tehtävät niiden järjestelmien osalta, jotka käyttävät EuroDomainia, TESTA-ng-verkkopalvelun (uuden sukupolven Euroopan laajuiset julkishallinnon telematiikkapalvelut) tarjoamaa suojattua viestintäinfrastruktuuria, joka perustettiin osana Euroopan parlamentin ja neuvoston päätöksellä N:o 922/2009/EY (14) perustettua ISA-ohjelmaa ja jota jatkettiin osana Euroopan parlamentin ja neuvoston päätöksellä (EU) 2015/2240 (15) perustettua ISA2-ohjelmaa.

(15)

Viraston olisi voitava antaa viestintäinfrastruktuurin toimittamiseen, käyttöönottoon, ylläpitoon ja valvontaan liittyvät tehtävät ulkopuolisille yksityisoikeudellisille yksiköille tai yhteisöille Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) 2018/1046 (16) mukaisesti. Virastolla olisi oltava käytettävissään riittävästi talousarvio- ja henkilöresursseja, jotta sen tehtävien ulkoistaminen ulkopuolisille yksityisille yhteisöille ja elimille jäisi mahdollisimman vähäiseksi.

(16)	Viraston olisi suoritettava edelleen tehtävät, jotka liittyvät SIS II-, VIS- ja Eurodac-järjestelmien ja muiden sen hallinnoitavaksi tulevaisuudessa osoitettavien järjestelmien tekniseen käyttäjäkoulutukseen.

(17)

Voidakseen edistää näyttöön perustuvaa unionin muuttoliike- ja turvallisuuspoliittista päätöksentekoa ja järjestelmien moitteettoman toiminnan valvontaa viraston olisi laadittava ja julkaistava tilastoja sekä tuotettava tilastoraportteja ja asetettava ne asiaankuuluvien toimijoiden saataville järjestelmiä koskevien unionin säädösten mukaisesti, jotta voidaan esimerkiksi valvoa neuvoston asetuksen (EU) N:o 1053/2013 (17) täytäntöönpanoa ja suorittaa Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/1624 (18) mukaisia riskianalyyseja ja haavoittuvuusarviointeja.

(18)

Olisi oltava mahdollista antaa virastolle Euroopan unionin toiminnasta tehdyn sopimuksen 67–89 artiklan nojalla tehtäväksi myös uusien laaja-alaisten tietojärjestelmien valmistelu, kehittäminen ja operatiivinen hallinnointi. Esimerkkejä tällaisista järjestelmistä voisivat olla niiden jäsenvaltioiden määrittämistä koskeva keskitetty järjestelmä, joilla on kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden rikostuomioita koskevia tietoja, eurooppalaisen rikosrekisteritietojärjestelmän (ECRIS-TCN-järjestelmä) täydentämiseksi ja tukemiseksi tai tietokonepohjainen järjestelmä rajatylittävää tietojenvaihtoa varten siviili- ja rikosoikeudenkäynneissä (e-CODEX). Tällaisia järjestelmiä olisi kuitenkin osoitettava viraston hallinnoitaviksi ainoastaan myöhemmin annettavilla erillisillä unionin säädöksillä, joiden antamista edeltää vaikutustenarviointi.

(19)

Tutkimustoimintaan liittyvää viraston toimeksiantoa olisi laajennettava, jotta voidaan parantaa sen edellytyksiä esittää ennakoivammin asianmukaisia ja tarvittavia teknisiä muutoksia järjestelmiin. Viraston ei olisi voitava seurata pelkästään järjestelmien operatiivisen toiminnan kannalta merkityksellisten tutkimustoimien toteuttamista, vaan sen olisi voitava myös osallistua Euroopan unionin tutkimuksen ja innovoinnin puiteohjelman asiaankuuluvien osien toteuttamiseen, jos komissio siirtää virastolle tarvittavan toimivallan. Viraston olisi toimitettava tiedot tällaisesta seurannasta vähintään kerran vuodessa Euroopan parlamentille, neuvostolle ja henkilötietojen käsittelyn osalta Euroopan tietosuojavaltuutetulle.

(20)

Komission olisi voitava osoittaa virastolle tehtäväksi sellaisten kokeiluluonteisten pilottihankkeiden toteuttaminen, joiden tarkoituksena on toiminnan toteutettavuuden ja sen hyödyllisyyden selvittäminen ja jotka voidaan toteuttaa ilman perussäädöstä asetuksen (EU, Euratom) 2018/1046 mukaisesti. Lisäksi komission olisi voitava ilmoitettuaan asiasta Euroopan parlamentille osoittaa virastolle asetuksen (EU, Euratom) 2018/1046 mukaisesti talousarvion toteuttamistehtäviä, jotka liittyvät Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 515/2014 (19) käyttöön otetusta ulkorajojen ja viisumipolitiikan rahoitusvälineestä rahoitettuihin soveltuvuusselvityksiin. Viraston olisi voitava myös suunnitella ja toteuttaa testaustoimia, jotka koskevat ainoastaan tämän asetuksen ja järjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevien unionin säädösten soveltamisalaan kuuluvia asioita, kuten virtualisointikonseptien testaamista. Kun viraston tehtäväksi annetaan pilottihankkeen toteuttaminen, sen olisi kiinnitettävä erityistä huomiota Euroopan unionin tiedonhallintastrategiaan.

(21)	Viraston olisi annettava jäsenvaltioille niiden pyynnöstä neuvoja kansallisten järjestelmien liittämisestä keskusjärjestelmiin, kun siitä säädetään kyseisiä järjestelmiä koskevissa unionin säädöksissä.

(22)

Viraston olisi myös annettava jäsenvaltioille niiden pyynnöstä tapauskohtaista tukea tässä asetuksessa säädettyä menettelyä noudattaen, jos se on tarpeen poikkeuksellisten turvallisuuteen tai muuttoliikkeeseen liittyvien haasteiden tai tarpeiden vuoksi. Jäsenvaltion olisi voitava pyytää ja käyttää operatiivista ja teknistä vahvistusta etenkin, jos kyseisen jäsenvaltion ulkorajojen tietyille alueille kohdistuu suurten saapuvien muuttovirtojen aiheuttamia erityisiä ja suhteettomia muuttoliikkeeseen liittyviä haasteita. Tällaisia apuvoimia olisi tarjottava eniten tulijoita vastaanottavilla hotspot-alueilla asianomaisten unionin virastojen asiantuntijoista koottujen muuttoliikkeen hallinnan tukitiimien muodossa. Jos viraston tukea tarvitaan tällaisessa tilanteessa järjestelmiin liittyvissä kysymyksissä, asianomaisen jäsenvaltion olisi toimitettava pyyntö tuen antamisesta komissiolle, jonka olisi arvioituaan, että tuki on tosiasiallisesti perusteltua, välitettävä tukipyyntö viipymättä virastolle. Viraston olisi annettava tällaiset pyynnöt tiedoksi hallintoneuvostolle. Komission olisi myös seurattava, vastaako virasto nopeasti pyyntöön tapauskohtaisen tuen antamisesta. Viraston vuotuisessa toimintakertomuksessa olisi tehtävä yksityiskohtaisesti selkoa toimista, joita virasto on toteuttanut antaakseen tapauskohtaista tukea jäsenvaltioille, sekä tuen antamisesta aiheutuneista kustannuksista.

(23)	Viraston olisi pyydettäessä tuettava myös komission yksiköitä nykyisiin tai uusiin järjestelmiin liittyvissä teknisissä kysymyksissä ja erityisesti viraston hallinnoitavaksi osoitettavia laaja-alaisia tietojärjestelmiä koskevien uusien ehdotusten valmistelussa.

(24)

Jäsenvaltioiden ryhmän olisi oltava mahdollista osoittaa virastolle tehtäväksi kehittää yhteinen tietotekninen komponentti ja hallinnoida tai isännöidä sitä niiden auttamiseksi vapauden, turvallisuuden ja oikeuden alueen hajautettuja tietojärjestelmiä koskevista unionin säädöksistä johtuvien velvollisuuksien teknisten näkökohtien toteuttamisessa. Tämä ei kuitenkaan saisi rajoittaa kyseisten jäsenvaltioiden velvollisuuksien noudattamista sovellettavien unionin säädösten mukaisesti, erityisesti siltä osin kuin on kyse kyseisten järjestelmien rakenteesta. Tähän olisi saatava komission ennakkohyväksyntä ja hallintoneuvoston myönteinen päätös, se olisi otettava huomioon asianomaisten jäsenvaltioiden ja viraston välisessä valtuutussopimuksessa, ja asianomaisten jäsenvaltioiden olisi rahoitettava se kokonaan. Viraston olisi tiedotettava Euroopan parlamentille ja neuvostolle hyväksytystä valtuutussopimuksesta ja kaikista siihen tehdyistä muutoksista. Muiden jäsenvaltioiden olisi voitava osallistua tällaisiin yhteisiin tietoteknisiin ratkaisuihin edellyttäen, että tästä mahdollisuudesta määrätään valtuutussopimuksessa ja että valtuutussopimukseen tehdään tarvittavat muutokset. Tämä tehtävä ei saisi haitata viraston harjoittamaa järjestelmien operatiivista hallinnointia.

(25)

Vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisen hallinnoinnin osoittaminen virastolle ei saisi vaikuttaa näihin järjestelmiin sovellettaviin erityissääntöihin. Etenkin kunkin tällaisen järjestelmän tarkoitusta, käyttöoikeuksia, turvatoimenpiteitä ja muita tietosuojavaatimuksia koskevia erityissääntöjä sovelletaan täysimääräisesti.

(26)

Jäsenvaltioiden ja komission olisi oltava edustettuina hallintoneuvostossa, jotta ne voivat tehokkaasti seurata viraston toimintaa. Hallintoneuvostolle olisi annettava tarvittavat tehtävät, jotta se voi erityisesti hyväksyä vuotuisen työohjelman, suorittaa viraston talousarvioon liittyvät tehtävänsä, hyväksyä virastoon sovellettavat varainhoitosäännöt ja vahvistaa menettelyt, joiden mukaisesti toimitusjohtaja tekee viraston operatiivisia tehtäviä koskevat päätökset. Hallintoneuvoston olisi suoritettava nämä tehtävät tehokkaasti ja avoimesti. Hallintoneuvoston olisi myös nimitettävä toimitusjohtaja sen jälkeen, kun komissio on järjestänyt asianmukaisen valintamenettelyn ja esitettyjä ehdokkaita on kuultu Euroopan parlamentin asiasta vastaavassa valiokunnassa tai valiokunnissa.

(27)

Koska viraston hallinnoitavaksi osoitettujen laaja-alaisten tietojärjestelmien määrä kasvaa huomattavasti vuoteen 2020 mennessä ja viraston tehtäviä lisätään merkittävästi, viraston henkilöstön määrä lisääntyy vastaavasti vuoteen 2020 mennessä. Tästä syystä ja ottaen huomioon sen, että järjestelmien kehittämiseen ja operatiiviseen hallinnointiin liittyvät tehtävät edellyttävät aiempaa enemmän erityistä valvontaa ja viraston kotipaikka ja tekniset toimipaikat ovat kolmessa eri jäsenvaltioissa, virastoon olisi perustettava varatoimitusjohtajan toimi. Hallintoneuvoston olisi nimitettävä varatoimitusjohtaja.

(28)	Virastoa olisi hallinnoitava ja sen olisi toimittava ottaen huomioon Euroopan parlamentin, neuvoston ja komission 19 päivänä heinäkuuta 2012 hyväksymän unionin hajautettuja virastoja koskevan yhteisen lähestymistavan periaatteet.

(29)

SIS II -järjestelmän osalta Euroopan unionin lainvalvontayhteistyövirastolla (Europol) ja Euroopan oikeudellisen yhteistyön yksiköllä (Eurojust), joilla on kummallakin päätöksen 2007/533/YOS nojalla oikeus päästä SIS II -järjestelmään tallennettuihin tietoihin ja tehdä niihin suoria hakuja, olisi oltava hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään kyseisen päätöksen soveltamiseen liittyviä kysymyksiä. Euroopan raja- ja merivartiovirastolla, jolla on asetuksen (EU) 2016/1624 nojalla oikeus päästä SIS II -järjestelmän tietoihin ja tehdä niihin hakuja, olisi oltava hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään kyseisen asetuksen soveltamiseen liittyviä kysymyksiä. Europolin, Eurojustin ja Euroopan raja- ja merivartioviraston olisi kunkin voitava nimetä edustaja tämän asetuksen nojalla perustettavaan SIS II -järjestelmän neuvoa-antavaan ryhmään.

(30)

Europolilla olisi oltava VIS-järjestelmän osalta hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään päätöksen 2008/633/YOS soveltamiseen liittyviä kysymyksiä. Europolin olisi voitava nimetä edustaja tämän asetuksen nojalla perustettavaan VIS-järjestelmän neuvoa-antavaan ryhmään.

(31)

Europolilla olisi oltava Eurodac-järjestelmän osalta hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään asetuksen (EU) N:o 603/2013 soveltamiseen liittyviä kysymyksiä. Europolin olisi voitava nimetä edustaja tämän asetuksen nojalla perustettavaan Eurodac-järjestelmän neuvoa-antavaan ryhmään.

(32)	Europolilla olisi oltava EES-järjestelmän osalta hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään asetukseen (EU) 2017/2226 liittyviä kysymyksiä.

(33)

Europolilla olisi oltava ETIAS-järjestelmän osalta hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään asetukseen (EU) 2018/1240 liittyviä kysymyksiä. Myös Euroopan raja- ja merivartiovirastolla olisi oltava hallintoneuvoston kokouksissa tarkkailijan asema silloin, kun niissä käsitellään ETIAS-järjestelmää koskevia, kyseisen asetuksen soveltamiseen liittyviä kysymyksiä. Europolin sekä Euroopan raja- ja merivartioviraston olisi voitava nimetä edustaja tällä asetuksella perustettavaan EES- ja ETIAS-järjestelmien neuvoa-antavaan ryhmään.

(34)

Jäsenvaltioilla olisi oltava laaja-alaisen tietojärjestelmän osalta äänioikeus viraston hallintoneuvostossa, jos niitä sitoo unionin oikeuden nojalla mikä tahansa unionin säädös, joka koskee kyseisen laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä. Myös Tanskalla olisi oltava äänioikeus laaja-alaisen tietojärjestelmän osalta, jos se Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, Tanskan asemasta tehdyssä pöytäkirjassa N:o 22 olevan 4 artiklan nojalla päättää saattaa kyseessä olevan järjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskevan unionin säädöksen osaksi kansallista lainsäädäntöään.

(35)

Jäsenvaltioiden olisi nimitettävä jäsen laaja-alaisen tietojärjestelmän neuvoa-antavaan ryhmään, jos niitä sitoo unionin oikeuden nojalla mikä tahansa unionin säädös, joka koskee kyseisen laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä. Lisäksi Tanskan olisi nimitettävä jäsen laaja-alaisen tietojärjestelmän neuvoa-antavaan ryhmään, jos se pöytäkirjassa N:o 22 olevan 4 artiklan nojalla päättää saattaa kyseessä olevan laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskevan unionin säädöksen osaksi kansallista lainsäädäntöään. Neuvoa-antavien ryhmien olisi tehtävä tarvittaessa keskenään yhteistyötä.

(36)

Jotta voidaan taata viraston täysi itsemääräämisoikeus ja riippumattomuus ja sen mahdollisuus täyttää asianmukaisesti sille tässä asetuksessa asetetut tavoitteet ja suorittaa annetut tehtävät, sillä olisi oltava riittävä oma talousarvio, jonka tulot ovat peräisin unionin yleisestä talousarviosta. Euroopan parlamentin ja neuvoston olisi sovittava viraston rahoituksesta talousarviota koskevasta kurinalaisuudesta, talousarvioyhteistyöstä ja moitteettomasta varainhoidosta 2 päivänä joulukuuta 2013 tehdyn Euroopan parlamentin, neuvoston ja komission välisen toimielinten sopimuksen (20) 31 kohdan mukaisesti. Unionin talousarvio- ja vastuuvapausmenettelyä olisi sovellettava. Tilintarkastustuomioistuimen olisi tarkastettava viraston tilit sekä tilien perustana olevien toimien laillisuus ja sääntöjenmukaisuus.

(37)

Viraston olisi toimeksiantonsa täyttämistä varten ja tehtäviensä suorittamisen edellyttämässä laajuudessa voitava tehdä yhteistyötä erityisesti vapauden, turvallisuuden ja oikeuden alueella perustettujen unionin toimielinten, elinten ja laitosten kanssa kysymyksissä, jotka kuuluvat tämän asetuksen ja järjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevien unionin säädösten soveltamisalaan, unionin oikeuden ja politiikan mukaisesti sovittujen työjärjestelyjen ja näiden toimielinten, elinten ja laitosten toimivaltuuksien puitteissa. Jos unionin säädöksessä niin säädetään, viraston olisi voitava tehdä yhteistyötä myös kansainvälisten järjestöjen ja muiden asiaankuuluvien yhteisöjen kanssa, ja sen olisi voitava sopia työjärjestelyistä tätä varten. Näille työjärjestelyille olisi saatava komission ennakkohyväksyntä ja hallintoneuvoston lupa. Viraston olisi myös tutustuttava Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 526/2013 (21) perustetun Euroopan unionin verkko- ja tietoturvaviraston (ENISA) verkko- ja tietoturvaa koskeviin suosituksiin ja toteutettava tarvittaessa niitä koskevia jatkotoimia.

(38)	Viraston olisi noudatettava järjestelmien kehittämisestä ja operatiivisesta hallinnoinnista huolehtiessaan eurooppalaisia ja kansainvälisiä normeja ottaen samalla huomioon tiukimmat ammatilliset vaatimukset, erityisesti Euroopan unionin tiedonhallintastrategian.

(39)

Viraston suorittamaan henkilötietojen käsittelyyn olisi sovellettava Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 (22), sanotun kuitenkaan vaikuttamatta järjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevien unionin säädösten tietosuojasäännöksiin, joiden olisi oltava johdonmukaisia asetuksen (EU) 2018/1725 kanssa. Turvallisuuden ylläpitämiseksi ja asetuksen (EU) 2018/1725 ja järjestelmiä koskevien unionin säädösten vastaisen käsittelyn estämiseksi viraston olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, mukaan lukien luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskin arvioimisessa olisi kiinnitettävä huomiota henkilötietojen käsittelyn sisältämiin riskeihin, kuten siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai henkilötietoihin pääsyyn, mistä voi aiheutua etenkin fyysisiä, aineellisia tai aineettomia vahinkoja. Euroopan tietosuojavaltuutetun olisi voitava saada virastolta kaikki tutkimustensa kannalta tarpeelliset tiedot. Komissio on Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (23) mukaisesti kuullut Euroopan tietosuojavaltuutettua, joka antoi lausunnon 10 päivänä lokakuuta 2017.

(40)

Viraston toiminnan avoimuuden varmistamiseksi virastoon olisi sovellettava Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1049/2001 (24). Viraston olisi oltava toiminnastaan mahdollisimman avoin vaarantamatta operaatioidensa tavoitteiden saavuttamista. Sen olisi julkistettava tietoja kaikesta toiminnastaan. Sen olisi niin ikään varmistettava, että yleisölle ja kaikille asianomaisille annetaan nopeasti tietoa sen työstä.

(41)	Euroopan oikeusasiamiehen olisi valvottava viraston toimintaa Euroopan unionin toiminnasta tehdyn sopimuksen 228 artiklan mukaisesti.

(42)

Virastoon olisi sovellettava Euroopan parlamentin ja neuvoston asetusta (EU, Euratom) N:o 883/2013 (25), ja viraston olisi liityttävä Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan yhteisöjen komission välillä 25 päivänä toukokuuta 1999 tehtyyn toimielinten väliseen sopimukseen Euroopan petostentorjuntaviraston (OLAF) sisäisistä tutkimuksista (26).

(43)	Virastoon olisi sovellettava neuvoston asetusta (EU) 2017/1939 (27) Euroopan syyttäjänviraston perustamisesta.

(44)

Avointen ja selkeiden työehtojen ja henkilöstön yhtäläisen kohtelun varmistamiseksi viraston henkilöstöön, toimitusjohtaja ja varatoimitusjohtaja mukaan lukien, olisi sovellettava Euroopan unionin virkamiehiin sovellettavia henkilöstösääntöjä, jäljempänä ”virkamiehiin sovellettavat henkilöstösäännöt”, ja Euroopan unionin muuta henkilöstöä koskevia palvelussuhteen ehtoja, jäljempänä ”palvelussuhteen ehdot”, jotka on vahvistettu neuvoston asetuksella (ETY, Euratom, EHTY) N:o 259/68 (28), molemmat yhdessä ”henkilöstösäännöt”, myös vaitiolovelvollisuutta tai muita vastaavia salassapitovelvollisuutta koskevia sääntöjä.

(45)	Virasto on asetuksessa (EU, Euratom) 2018/1046 tarkoitettu unionin perustama elin, ja sen olisi hyväksyttävä varainhoitoa koskevat sääntönsä.

(46)	Virastoon olisi sovellettava komission delegoitua asetusta (EU) N:o 1271/2013 (29).

(47)

Tällä asetuksella perustettava virasto korvaa asetuksella (EU) N:o 1077/2011 perustetun vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston ja on sen seuraaja. Siksi sen olisi oltava asetuksella (EU) N:o 1077/2011 perustetun vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston oikeusseuraaja kaikkien sen tekemien sopimusten, sitä velvoittavien sitoumusten ja kaiken sen hankkiman omaisuuden suhteen. Tämä asetus ei saisi vaikuttaa asetuksella (EU) N:o 1077/2011 perustetun viraston tekemien sopimusten, työjärjestelyjen eikä yhteisymmärryspöytäkirjojen oikeudelliseen sitovuuteen, sanotun rajoittamatta niihin tämän asetuksen nojalla tehtäviä mahdollisia muutoksia.

(48)

Jotta virasto voi jatkaa parhaan kykynsä mukaan asetuksella (EU) N:o 1077/2011 perustetun vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston tehtävien suorittamista, olisi vahvistettava siirtymätoimenpiteet, jotka koskevat erityisesti hallintoneuvostoa, neuvoa-antavia ryhmiä, toimitusjohtajaa sekä hallintoneuvoston hyväksymiä sisäisiä sääntöjä.

(49)

Tämän asetuksen tarkoituksena on muuttaa ja laajentaa asetuksen (EU) N:o 1077/2011 säännöksiä. Koska tällä asetuksella tehtävät muutokset ovat merkittäviä sekä lukumäärältään että luonteeltaan, asetus (EU) N:o 1077/2011 olisi selkeyden vuoksi kumottava kokonaan niiden jäsenvaltioiden osalta, joita tämä asetus sitoo. Tällä asetuksella perustettavan viraston olisi korvattava asetuksella (EU) N:o 1077/2011 perustettu virasto ja otettava hoitaakseen sen tehtävät, ja kyseinen asetus olisi sen vuoksi kumottava.

(50)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta, joka on vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista ja tarvittaessa niiden kehittämisestä vastaavan unionin viraston perustaminen, vaan se voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(51)

Pöytäkirjassa N:o 22 olevan 1 ja 2 artiklan mukaisesti Tanska ei osallistu tämän asetuksen hyväksymiseen, asetus ei sido Tanskaa eikä sitä sovelleta Tanskaan. Koska tämä asetus, siltä osin kuin se koskee SIS II-, VIS-, EES- ja ETIAS-järjestelmiä, perustuu Schengenin säännöstöön, Tanska päättää kyseisen pöytäkirjan 4 artiklan mukaisesti kuuden kuukauden kuluessa siitä, kun neuvosto on hyväksynyt tämän asetuksen, saattaako se asetuksen osaksi kansallista lainsäädäntöään. Euroopan yhteisön ja Tanskan kuningaskunnan välillä niistä perusteista ja menettelyistä, joilla ratkaistaan Tanskassa tai jossakin muussa Euroopan unionin jäsenvaltiossa jätetyn turvapaikkahakemuksen käsittelystä vastuussa oleva valtio, sekä Eurodac-järjestelmästä sormenjälkien vertailua varten Dublinin yleissopimuksen tehokkaaksi soveltamiseksi tehdyn sopimuksen (30) 3 artiklan mukaisesti Tanska ilmoittaa komissiolle, aikooko se panna tämän asetuksen sisällön täytäntöön siltä osin, kuin se koskee Eurodac-järjestelmää ja DubliNetiä.

(52)

Siltä osin kuin tämän asetuksen säännökset koskevat SIS II -järjestelmää, sellaisena kuin siitä säädetään päätöksessä 2007/533/YOS, Yhdistynyt kuningaskunta osallistuu tähän asetukseen Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, osaksi Euroopan unionia sisällytetystä Schengenin säännöstöstä tehdyssä pöytäkirjassa N:o 19 olevan 5 artiklan 1 kohdan mukaisesti sekä neuvoston päätöksen 2000/365/EY (31) 8 artiklan 2 kohdan mukaisesti. Siltä osin kuin tämän asetuksen säännökset koskevat SIS II -järjestelmää, sellaisena kuin siitä säädetään asetuksessa (EY) N:o 1987/2006, ja VIS-, EES- ja ETIAS-järjestelmiä, tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joihin Yhdistynyt kuningaskunta ei osallistu päätöksen 2000/365/EY mukaisesti; Yhdistynyt kuningaskunta esitti neuvoston puheenjohtajalle osoitetulla 19 päivänä heinäkuuta 2018 päivätyllä kirjeellään pöytäkirjan N:o 19 4 artiklan mukaisesti pyynnön saada osallistua tähän asetukseen. Neuvoston päätöksen (EU) 2018/1600 (32) 1 artiklan nojalla Yhdistynyt kuningaskunta voi osallistua tähän asetukseen. Lisäksi, siltä osin kuin tämän asetuksen säännökset koskevat Eurodac-järjestelmää ja DubliNetiä, Yhdistynyt kuningaskunta ilmoitti Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyn pöytäkirjan N:o 21 3 artiklan mukaisesti neuvoston puheenjohtajalle osoitetulla 23 päivänä lokakuuta 2017 päivätyllä kirjeellään haluavansa osallistua tämän asetuksen hyväksymiseen ja soveltamiseen.

(53)

Siltä osin kuin tämän asetuksen säännökset koskevat SIS II -järjestelmää, sellaisena kuin siitä säädetään päätöksessä 2007/533/YOS, Irlanti voisi periaatteessa osallistua tähän asetukseen pöytäkirjassa N:o 19 olevan 5 artiklan 1 kohdan mukaisesti sekä neuvoston päätöksen 2002/192/EY (33) 6 artiklan 2 kohdan mukaisesti. Siltä osin kuin tämän asetuksen säännökset koskevat SIS II -järjestelmää, sellaisena kuin siitä säädetään asetuksessa (EY) N:o 1987/2006, ja VIS-, EES- ja ETIAS-järjestelmiä, tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joihin Irlanti ei osallistu päätöksen 2002/192/EY mukaisesti; Irlanti ei ole esittänyt pöytäkirjan N:o 19 4 artiklan mukaisesti pyyntöä saada osallistua tähän asetukseen. Irlanti ei sen vuoksi osallistu tämän asetuksen hyväksymiseen, asetus ei sido Irlantia eikä sitä sovelleta Irlantiin siltä osin, kuin sen toimenpiteillä kehitetään Schengenin säännöstön määräyksiä, koska ne koskevat SIS II -järjestelmää, sellaisena kuin siitä säädetään asetuksessa (EY) N:o 1987/2006, ja VIS-, EES- ja ETIAS-järjestelmiä. Lisäksi, siltä osin kuin tämän asetuksen säännökset koskevat Eurodac-järjestelmää ja DubliNetiä, tehdyssä pöytäkirjassa N:o 21 olevien 1 ja 2 artiklan ja 4 a artiklan 1 kohdan mukaisesti Irlanti ei osallistu tämän asetuksen hyväksymiseen, asetus ei sido Irlantia eikä sitä sovelleta Irlantiin. Koska näissä olosuhteissa ei ole mahdollista varmistaa, että tätä asetusta sovelletaan Euroopan unionin toiminnasta tehdyn sopimuksen 288 artiklan mukaisesti kokonaisuudessaan Irlantiin, Irlanti ei osallistu tämän asetuksen hyväksymiseen, asetus ei sido Irlantia eikä sitä sovelleta Irlantiin, sanotun kuitenkin rajoittamatta pöytäkirjan N:o 19 ja N:o 21 mukaisia Irlannin oikeuksia.

(54)

Siltä osin kuin tämä asetus koskee SIS II-, VIS-, EES- ja ETIAS-järjestelmiä, Islannin ja Norjan osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välisessä sopimuksessa näiden kahden valtion osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (34) ja jotka kuuluvat neuvoston päätöksen 1999/437/EY (35) 1 artiklan A, B ja G kohdassa tarkoitettuun alaan. Eurodac-järjestelmän ja DubliNetin osalta tämä asetus muodostaa sellaisen uuden toimenpiteen, jota tarkoitetaan Euroopan yhteisön sekä Islannin tasavallan ja Norjan kuningaskunnan välisessä sopimuksessa niistä perusteista ja menettelyistä, joilla ratkaistaan jäsenvaltiossa tai Islannissa tai Norjassa jätetyn turvapaikkahakemuksen käsittelystä vastuussa oleva valtio (36). Siinä tapauksessa, että Islannin tasavalta ja Norjan kuningaskunta päättävät saattaa asetuksen osaksi omaa oikeusjärjestystään, niiden valtuuskuntien olisi osallistuttava viraston hallintoneuvoston toimintaan. Unionin sekä Islannin tasavallan ja Norjan kuningaskunnan olisi sovittava lisäjärjestelyistä yksityiskohtaisten sääntöjen määrittämiseksi, jotta nämä valtiot voivat osallistua viraston toimintaan.

(55)

Siltä osin kuin tämä asetus koskee SIS II-, VIS-, EES- ja ETIAS-järjestelmiä, Sveitsin osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välisessä sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (37) ja jotka kuuluvat päätöksen 1999/437/EY 1 artiklan A, B ja G kohdassa, luettuna yhdessä neuvoston päätöksen 2008/146/EY (38) 3 artiklan kanssa, tarkoitettuun alaan. Eurodac-järjestelmän ja DubliNetin osalta tämä asetus muodostaa sellaisen uuden Eurodac-järjestelmää koskevan toimenpiteen, jota tarkoitetaan Euroopan yhteisön ja Sveitsin valaliiton välisessä sopimuksessa niistä perusteista ja menettelyistä, joilla ratkaistaan jäsenvaltiossa tai Sveitsissä jätetyn turvapaikkahakemuksen käsittelystä vastuussa oleva valtio (39). Siinä tapauksessa, että Sveitsin valaliitto päättää saattaa asetuksen osaksi omaa oikeusjärjestystään, sen valtuuskunnan olisi osallistuttava viraston hallintoneuvoston toimintaan. Unionin ja Sveitsin valaliiton olisi sovittava lisäjärjestelyistä yksityiskohtaisten sääntöjen määrittämiseksi, jotta Sveitsin valaliitto voi osallistua viraston toimintaan.

(56)

Siltä osin kuin tämä asetus koskee SIS II-, VIS-, EES- ja ETIAS-järjestelmiä, Liechtensteinin osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa Liechtensteinin ruhtinaskunnan liittymisestä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (40) ja jotka kuuluvat päätöksen 1999/437/EY 1 artiklan A, B ja G kohdassa, luettuna yhdessä neuvoston päätöksen 2011/350/EU (41) 3 artiklan kanssa, tarkoitettuun alaan.

Eurodac-järjestelmän ja DubliNetin osalta tämä asetus muodostaa sellaisen uuden toimenpiteen, jota tarkoitetaan Liechtensteinin ruhtinaskunnan liittymistä Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen niistä perusteista ja menettelyistä, joilla ratkaistaan jäsenvaltiossa tai Sveitsissä jätetyn turvapaikkahakemuksen käsittelystä vastuussa oleva valtio, koskevassa Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa (42). Siinä tapauksessa, että Liechtensteinin ruhtinaskunta päättää saattaa asetuksen osaksi omaa oikeusjärjestystään, sen valtuuskunnan olisi osallistuttava viraston hallintoneuvoston toimintaan. Unionin ja Liechtensteinin ruhtinaskunnan olisi sovittava lisäjärjestelyistä yksityiskohtaisten sääntöjen määrittämiseksi, jotta Liechtenstein voi osallistua viraston toimintaan,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

KOHDE JA TAVOITTEET

1 artikla

Kohde

1. Perustetaan vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava Euroopan unionin virasto, jäljempänä ”virasto”.

2. Tällä asetuksella perustettava virasto korvaa asetuksella (EU) N:o 1077/2011 perustetun vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston ja on sen seuraaja.

3. Virasto vastaa Schengenin tietojärjestelmän (SIS II), viisumitietojärjestelmän (VIS) ja Eurodac-järjestelmän operatiivisesta hallinnoinnista.

4. Virasto vastaa rajanylitystietojärjestelmän (EES), DubliNetin ja EU:n matkustustieto- ja -lupajärjestelmän (ETIAS) valmistelusta, kehittämisestä tai operatiivisesta hallinnoinnista.

5. Virastolle voidaan Euroopan unionin toiminnasta tehdyn sopimuksen 67–89 artiklan nojalla antaa tehtäväksi muiden kuin tämän artiklan 3 ja 4 kohdassa tarkoitettujen vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien valmistelu, kehittäminen tai operatiivinen hallinnointi, olemassa olevat järjestelmät mukaan lukien, ainoastaan, jos asiaankuuluvissa kyseisiä järjestelmiä koskevissa unionin säädöksissä niin säädetään, ottaen huomioon tämän asetuksen 14 artiklassa tarkoitettu tutkimustoiminnan kehitys ja tämän asetuksen 15 artiklassa tarkoitettujen pilottihankkeiden ja soveltuvuusselvitysten tulokset.

6. Operatiivinen hallinnointi käsittää kaikki tehtävät, jotka ovat tarpeen laaja-alaisten tietojärjestelmien pitämiseksi toiminnassa kuhunkin niistä sovellettavien erityissäännösten mukaisesti, näiden tietojärjestelmien käyttämää viestintäinfrastruktuuria koskeva vastuu mukaan lukien. Näillä laaja-alaisilla tietojärjestelmillä ei saa vaihtaa tietoja eikä mahdollistaa tiedon ja osaamisen jakamista, paitsi jos erityisessä unionin säädöksessä niin säädetään.

7. Lisäksi virasto vastaa seuraavista tehtävistä:

a)	tietojen laadun varmistaminen 12 artiklan mukaisesti;

b)	tarvittavien toimien kehittäminen yhteentoimivuuden mahdollistamiseksi 13 artiklan mukaisesti;

c)	tutkimustoiminnan harjoittaminen 14 artiklan mukaisesti;

d)	pilottihankkeiden, soveltuvuusselvitysten ja testaustoimien toteuttaminen 15 artiklan mukaisesti; ja

e)	tuen antaminen jäsenvaltioille ja komissiolle 16 artiklan mukaisesti.

2 artikla

Tavoitteet

Rajoittamatta laaja-alaisia tietojärjestelmiä koskevien unionin säädösten mukaisia komission ja jäsenvaltioiden tehtäviä virasto varmistaa

a)	laaja-alaisten tietojärjestelmien kehittämisen käyttäen tällaisten järjestelmien tehokasta kehittämistä varten tarvittavaa asianmukaista projektinhallintarakennetta;

b)	laaja-alaisten tietojärjestelmien tehokkaan, turvallisen ja jatkuvan toiminnan;

c)	laaja-alaisten tietojärjestelmien tehokkaan ja taloudellisesti vastuullisen hallinnoinnin;

d)	laaja-alaisten tietojärjestelmien käyttäjille annettavan riittävän korkealaatuisen palvelun;

e)	jatkuvan ja keskeytymättömän palvelun;

f)	korkean tietosuojan tason unionin tietosuojalainsäädännön, myös kutakin laaja-alaista tietojärjestelmää koskevien erityissäännösten, mukaisesti;

g)	tietoturvallisuuden ja fyysisen turvallisuuden riittävän tason sovellettavien sääntöjen, myös kutakin laaja-alaista tietojärjestelmää koskevien erityissäännösten, mukaisesti.

II LUKU

VIRASTON TEHTÄVÄT

3 artikla

SIS II -järjestelmään liittyvät tehtävät

Virasto huolehtii SIS II -järjestelmän osalta seuraavista tehtävistä:

a)	tehtävät, jotka on asetuksella (EY) N:o 1987/2006 ja päätöksellä 2007/533/YOS osoitettu tietokantaa hallinnoivalle viranomaiselle; ja

tehtävät, jotka liittyvät SIS II -järjestelmän tekniseen käyttäjäkoulutukseen, jota annetaan erityisesti Sirene-henkilöstölle (SIRENE – Supplementary Information Request at the National Entries), ja SIS II -järjestelmän teknisiä näkökohtia koskevaan asiantuntijoiden koulutukseen Schengen-arvioinnin puitteissa.

4 artikla

VIS-järjestelmään liittyvät tehtävät

Virasto huolehtii VIS-järjestelmän osalta seuraavista tehtävistä:

a)	tehtävät, jotka on asetuksella (EY) N:o 767/2008 ja päätöksellä 2008/633/YOS osoitettu tietokantaa hallinnoivalle viranomaiselle; ja

b)	tehtävät, jotka liittyvät VIS-järjestelmän tekniseen käyttäjäkoulutukseen ja VIS-järjestelmän teknisiä näkökohtia koskevaan asiantuntijoiden koulutukseen Schengen-arvioinnin puitteissa.

5 artikla

Eurodac-järjestelmään liittyvät tehtävät

Virasto huolehtii Eurodac-järjestelmän osalta seuraavista tehtävistä:

a)	tehtävät, jotka sille on osoitettu asetuksella (EU) N:o 603/2013; ja

b)	tehtävät, jotka liittyvät Eurodac-järjestelmän tekniseen käyttäjäkoulutukseen.

6 artikla

EES-järjestelmään liittyvät tehtävät

Virasto huolehtii EES-järjestelmän osalta seuraavista tehtävistä:

a)	tehtävät, jotka sille on osoitettu asetuksella (EU) 2017/2226; ja

b)	tehtävät, jotka liittyvät EES-järjestelmän tekniseen käyttäjäkoulutukseen ja EES-järjestelmän teknisiä näkökohtia koskevaan asiantuntijoiden koulutukseen Schengen-arvioinnin puitteissa.

7 artikla

ETIAS-järjestelmään liittyvät tehtävät

Virasto huolehtii ETIAS-järjestelmän osalta seuraavista tehtävistä:

a)	tehtävät, jotka sille on osoitettu asetuksella (EU) 2018/1240; ja

b)	tehtävät, jotka liittyvät ETIAS-järjestelmän tekniseen käyttäjäkoulutukseen ja ETIAS-järjestelmän teknisiä näkökohtia koskevaan asiantuntijoiden koulutukseen Schengen-arvioinnin puitteissa.

8 artikla

DubliNetiin liittyvät tehtävät

Virasto huolehtii DubliNetin osalta seuraavista tehtävistä:

a)	Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 604/2013 (43) 31, 32 ja 34 artiklan tarkoituksia varten asetuksen (EY) N:o 1560/2003 18 artiklan nojalla perustetun erillisen suojatun jäsenvaltioiden viranomaisten välisen sähköisen tiedonsiirtokanavan, DubliNetin, operatiivinen hallinnointi; ja

b)	tehtävät, jotka liittyvät DubliNetin tekniseen käyttäjäkoulutukseen.

9 artikla

Muiden laaja-alaisten tietojärjestelmien valmisteluun, kehittämiseen ja operatiiviseen hallinnointiin liittyvät tehtävät

Kun viraston tehtäväksi annetaan 1 artiklan 5 kohdassa tarkoitettujen muiden laaja-alaisten tietojärjestelmien valmistelu, kehittäminen tai operatiivinen hallinnointi, virasto suorittaa asianomaista järjestelmää koskevan unionin säädöksen nojalla sille osoitetut tehtävät ja tarpeen mukaan kyseisten järjestelmien tekniseen käyttäjäkoulutukseen liittyvät tehtävät.

10 artikla

Tekniset ratkaisut, joiden täytäntöönpanoon liittyy erityisehtoja

Kun järjestelmiä koskevissa unionin säädöksissä edellytetään, että virasto pitää kyseiset järjestelmät toiminnassa ympäri vuorokauden viikon jokaisena päivänä, virasto toteuttaa teknisiä ratkaisuja kyseisten vaatimusten täyttämiseksi, sanotun kuitenkaan rajoittamatta kyseisten unionin säädösten soveltamista. Jos kyseiset tekniset ratkaisut edellyttävät järjestelmän jäljentämistä tai järjestelmän komponenttien jäljentämistä, ne otetaan käyttöön vain, kun on suoritettu viraston tilaama riippumaton vaikutustenarviointi ja kustannus-hyötyanalyysi ja kun komissiota on kuultu ja hallintoneuvosto on tehnyt asiasta myönteisen päätöksen. Vaikutustenarvioinnissa on myös tutkittava nykyisten teknisten toimipaikkojen isännöintivalmiuksiin liittyvät senhetkiset ja tulevat tarpeet tällaisten teknisten ratkaisujen kehittämiseksi sekä nykyiseen operatiiviseen rakenteeseen mahdollisesti liittyvät riskit.

11 artikla

Viestintäinfrastruktuuriin liittyvät tehtävät

1. Virasto suorittaa kaikki järjestelmien viestintäinfrastruktuuriin liittyvät tehtävät, jotka on osoitettu sille järjestelmiä koskevilla unionin säädöksillä, lukuun ottamatta niitä järjestelmiä, jotka käyttävät viestintäinfrastruktuurinaan EuroDomain-verkkoa. Kyseisten EuroDomain-verkkoa käyttävien järjestelmien osalta komissio on vastuussa talousarvion toteuttamiseen, hankintoihin ja uusimisiin ja sopimusasioihin liittyvistä tehtävistä. EuroDomain-verkkoa käyttäviä järjestelmiä koskevien unionin säädösten mukaisesti viestintäinfrastruktuuria koskevat tehtävät, myös operatiivinen hallinnointi ja turvallisuus, on määrä jakaa viraston ja komission kesken. Jotta varmistetaan, että virasto ja komissio suorittavat tehtävänsä yhdenmukaisesti, ne sopivat keskenään käytännön työjärjestelyistä, jotka kirjataan yhteisymmärrysmuistioon.

2. Viestintäinfrastruktuurin hallinnosta ja valvonnasta on huolehdittava asianmukaisesti siten, että sitä voidaan suojella uhkilta ja voidaan varmistaa sen ja järjestelmien turvallisuus sekä viestintäinfrastruktuurin kautta vaihdettavien tietojen turvallisuus.

3. Virasto hyväksyy asianmukaiset toimenpiteet, joihin sisältyvät turvallisuussuunnitelmat, jotta estetään erityisesti asianmukaista salaustekniikkaa käyttäen muun muassa henkilötietojen luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen sinä aikana, kun henkilötietoja siirretään tai kun kuljetetaan tietojen siirtämisessä käytettäviä välineitä. Kaikki järjestelmään liittyvät operatiiviset tiedot, jotka kulkevat viestintäinfrastruktuurissa, on salattava.

4. Viestintäinfrastruktuurin toimittamiseen, käyttöönottoon, ylläpitoon ja valvontaan liittyvät tehtävät voidaan antaa ulkopuolisille yksityisoikeudellisille yksiköille tai yhteisöille asetuksen (EU, Euratom) 2018/1046 mukaisesti. Nämä tehtävät on suoritettava viraston vastuulla ja sen tiukassa valvonnassa.

Kaikkia ulkopuolisia yksityisoikeudellisia yksiköitä tai yhteisöjä, verkon tarjoajat mukaan lukien, sitovat 3 kohdassa tarkoitetut turvatoimenpiteet niiden suorittaessa ensimmäisessä alakohdassa tarkoitettuja tehtäviä, eikä niillä saa olla millään tavoin pääsyä mihinkään operatiivisiin tietoihin, jotka on tallennettu järjestelmiin tai joita on siirretty viestintäinfrastruktuurin kautta, tai SIS II -järjestelmään liittyviin Sirene-toimistojen kautta vaihdettaviin tietoihin.

5. Salausavainten hallinnoinnin on säilyttävä viraston vastuulla, eikä sitä saa antaa minkään ulkopuolisen yksityisoikeudellisen yksikön tehtäväksi. Tämä ei kuitenkaan vaikuta olemassa oleviin SIS II-, VIS- ja Eurodac-järjestelmien viestintäinfrastruktuuria koskeviin sopimuksiin.

12 artikla

Tietojen laatu

Virasto pyrkii tiiviissä yhteistoiminnassa neuvoa-antavien ryhmiensä kanssa laatimaan yhdessä komission kanssa kaikille järjestelmille tietojen automaattiset laadunvalvontamekanismit ja tietojen yhteiset laatuindikaattorit sekä kehittämään vain anonymisoituja tietoja sisältävän keskustietokannan raportointia ja tilastojen laatimista varten, edellyttäen, että järjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskeviin unionin säädöksiin sisällytetään erityisiä säännöksiä, sanotun kuitenkaan rajoittamatta järjestelmiin tallennettavia tietoja koskevia jäsenvaltioiden tehtäviä.

13 artikla

Yhteentoimivuus

Jos laaja-alaisten tietojärjestelmien yhteentoimivuudesta on säädetty asiaankuuluvassa unionin säädöksessä, virasto kehittää tarvittavat toimet, joilla mahdollistetaan tällainen yhteentoimivuus.

14 artikla

Tutkimustoiminnan seuranta

1. Virasto seuraa SIS II-, VIS-, Eurodac-, EES- ja ETIAS-järjestelmien, DubliNetin sekä muiden 1 artiklan 5 kohdassa tarkoitettujen laaja-alaisten tietojärjestelmien operatiivisen hallinnoinnin kannalta merkityksellisen tutkimustoiminnan kehitystä.

2. Virasto voi edistää Euroopan unionin tutkimuksen ja innovoinnin puiteohjelman niiden osien toteuttamista, jotka liittyvät vapauden, turvallisuuden ja oikeuden alueen laaja-alaisiin tietojärjestelmiin. Tätä varten ja komission siirrettyä sille asiaankuuluvan toimivallan virasto vastaa seuraavista tehtävistä:

a)	ohjelman joidenkin toteutusvaiheiden ja yksittäisten hankkeiden joidenkin vaiheiden hallinnointi asiaankuuluvien komission hyväksymien työohjelmien perusteella;

b)	talousarvion ja tulojen ja menojen toteuttamistoimien vahvistaminen sekä kaikkien ohjelman hallinnoimiseksi tarvittavien toimintojen toteuttaminen; ja

c)	tuen tarjoaminen ohjelman täytäntöönpanossa.

3. Virasto tiedottaa säännöllisesti ja vähintään kerran vuodessa Euroopan parlamentille, neuvostolle ja komissiolle sekä henkilötietojen käsittelyn osalta Euroopan tietosuojavaltuutetulle tässä artiklassa tarkoitetusta kehityksestä, sanotun kuitenkaan rajoittamatta 2 kohdassa tarkoitettuja Euroopan unionin tutkimuksen ja innovoinnin puiteohjelman osien toteuttamiseen liittyviä raportointivaatimuksia.

15 artikla

Pilottihankkeet, soveltuvuusselvitykset ja testaustoimet

1. Komission nimenomaisesta ja täsmällisestä pyynnöstä, tämän ilmoitettua asiasta Euroopan parlamentille ja neuvostolle vähintään kolme kuukautta ennen tällaisen pyynnön esittämistä ja hallintoneuvoston tehtyä asiasta myönteisen päätöksen, viraston toteutettavaksi voidaan antaa tämän asetuksen 19 artiklan 1 kohdan u alakohdan mukaisesti valtuutussopimuksella asetuksen (EU, Euratom) 2018/1046 58 artiklan 2 kohdan a alakohdassa tarkoitettuja pilottihankkeita, jotka liittyvät laaja-alaisten tietojärjestelmien kehittämiseen tai operatiiviseen hallinnointiin, Euroopan unionin toiminnasta tehdyn sopimuksen 67–89 artiklan nojalla ja asetuksen (EU, Euratom) 2018/1046 62 artiklan 1 kohdan c alakohdan mukaisesti.

Virasto tiedottaa Euroopan parlamentille, neuvostolle sekä henkilötietojen käsittelyn osalta Euroopan tietosuojavaltuutetulle säännöllisesti viraston toteuttamien ensimmäisessä alakohdassa tarkoitettujen pilottihankkeiden kehittymisestä.

2. Talousarvioon otetaan määrärahoja komission 1 kohdan nojalla pyytämiä, asetuksen (EU, Euratom) 2018/1046 58 artiklan 2 kohdan a alakohdassa tarkoitettuja pilottihankkeita varten enintään kahdeksi peräkkäiseksi varainhoitovuodeksi.

3. Komission tai neuvoston pyynnöstä, tämän ilmoitettua asiasta Euroopan parlamentille ja hallintoneuvoston tehtyä asiasta myönteisen päätöksen, virastolle voidaan osoittaa valtuutussopimuksella talousarvion toteuttamistehtäviä, jotka liittyvät asetuksessa (EU) N:o 515/2014 säädetystä ulkorajojen ja viisumipolitiikan rahoitusvälineestä rahoitettuihin soveltuvuusselvityksiin asetuksen (EU, Euratom) 2018/1046 62 artiklan 1 kohdan c alakohdan mukaisesti.

4. Hallintoneuvoston tehtyä asiasta myönteisen päätöksen virasto voi suunnitella ja toteuttaa testaustoimia, jotka koskevat tämän asetuksen sekä järjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevan jonkin unionin säädöksen soveltamisalaan kuuluvia asioita.

16 artikla

Tuki jäsenvaltioille ja komissiolle

1. Jäsenvaltio voi pyytää virastolta neuvoja kansallisten järjestelmiensä liittämisestä viraston hallinnoimien laaja-alaisten tietojärjestelmien keskusjärjestelmiin.

2. Jäsenvaltio voi esittää tapauskohtaista tukea koskevan pyynnön komissiolle, joka tehtyään myönteisen arvioinnin siitä, että kyseinen tuki on tarpeen poikkeuksellisten turvallisuuteen tai muuttoliikkeeseen liittyvien tarpeiden vuoksi, välittää pyynnön viipymättä virastolle. Virasto antaa kyseiset pyynnöt tiedoksi hallintoneuvostolle. Jäsenvaltiolle on ilmoitettava, jos komission arvioinnin tulos on kielteinen.

Komissio seuraa, vastaako virasto nopeasti jäsenvaltion pyyntöön. Viraston vuotuisessa toimintakertomuksessa on tehtävä yksityiskohtaisesti selkoa toimista, joita virasto on toteuttanut antaakseen tapauskohtaista tukea jäsenvaltioille, sekä tuen antamisesta aiheutuneista kustannuksista.

3. Virastoa voidaan myös pyytää antamaan neuvoja tai tukea komissiolle teknisissä kysymyksissä, jotka liittyvät nykyisiin tai uusiin järjestelmiin, myös tutkimusten ja testien avulla. Viraston on ilmoitettava hallintoneuvostolle tällaisista pyynnöistä.

4. Vähintään viiden jäsenvaltion ryhmä voi antaa virastolle tehtäväksi kehittää yhteinen tietotekninen komponentti ja hallinnoida tai isännöidä sitä ja näin auttaa niitä vapauden, turvallisuuden ja oikeuden alueen hajautettuja järjestelmiä koskevasta unionin oikeudesta johtuvien velvollisuuksien teknisten näkökohtien toteuttamisessa. Kyseiset yhteiset tietotekniset ratkaisut eivät rajoita pyynnön esittäneiden jäsenvaltioiden sovellettavan unionin oikeuden mukaisten, erityisesti kyseisten järjestelmien rakennetta koskevien velvollisuuksien noudattamista.

Pyynnön esittävät jäsenvaltiot voivat erityisesti antaa virastolle tehtäväksi ottaa käyttöön yhteinen komponentti tai reititin ennalta annettavien matkustajatietojen ja matkustajarekisteritietojen siirtämisen tekniseksi tukivälineeksi helpottamaan yhteenliitettävyyttä lentoliikenteen harjoittajien järjestelmien kanssa jäsenvaltioiden auttamiseksi neuvoston direktiivin 2004/82/EY (44) ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/681 (45) täytäntöönpanossa. Tällaisessa tapauksessa virasto kerää tiedot keskitetysti lentoliikenteen harjoittajilta ja toimittaa ne jäsenvaltioille yhteisen komponentin tai reitittimen välityksellä. Pyynnön esittäneiden jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että lentoliikenteen harjoittajat toimittavat tiedot viraston kautta.

Virastolle annetaan tehtäväksi kehittää yhteinen tietotekninen komponentti ja hallinnoida tai isännöidä sitä vasta komission annettua siihen ennakkohyväksyntänsä ja edellyttäen, että hallintoneuvosto tekee asiasta myönteisen päätöksen.

Pyynnön esittäneiden jäsenvaltioiden on osoitettava ensimmäisessä ja toisessa alakohdassa tarkoitetut tehtävät virastolle valtuutussopimuksella, jossa on esitettävä valtuutuksen ehdot ja laskelma kaikista asiaan liittyvistä kustannuksista ja laskutusmenetelmä. Osallistuvien jäsenvaltioiden on vastattava kaikista asiaan liittyvistä kustannuksista. Valtuutussopimuksen on oltava kyseisiä järjestelmiä koskevien unionin säädösten mukainen. Virasto tiedottaa Euroopan parlamentille ja neuvostolle hyväksytystä valtuutussopimuksesta ja kaikista siihen tehdyistä muutoksista.

Muut jäsenvaltiot voivat esittää pyynnön osallistumisesta yhteiseen tietotekniseen ratkaisuun, jos tällaisesta mahdollisuudesta määrätään valtuutussopimuksessa, jossa esitetään erityisesti osallistumisen taloudelliset vaikutukset. Valtuutussopimusta on muutettava vastaavasti, kun komission ennakkohyväksyntä on saatu ja hallintoneuvosto on tehnyt asiasta myönteisen päätöksen.

III LUKU

RAKENNE JA ORGANISAATIO

17 artikla

Oikeudellinen asema ja sijaintipaikka

1. Virasto on unionin elin, ja se on oikeushenkilö.

2. Virastolla on kussakin jäsenvaltiossa laajin mahdollinen kansallisen lainsäädännön mukainen oikeushenkilöllä oleva oikeuskelpoisuus. Se voi erityisesti hankkia tai luovuttaa irtainta ja kiinteää omaisuutta sekä esiintyä kantajana ja vastaajana oikeudenkäynneissä.

3. Viraston kotipaikka on Tallinnassa, Virossa.

Edellä 1 artiklan 4 ja 5 kohdassa sekä 3, 4, 5, 6, 7, 8, 9 ja 11 artiklassa tarkoitetut kehittämiseen ja operatiiviseen hallinnointiin liittyvät tehtävät suoritetaan teknisessä toimipaikassa Strasbourgissa, Ranskassa.

Varayksikkö, jonka avulla varmistetaan laaja-alaisen tietojärjestelmän toiminta tällaisen järjestelmän häiriötapauksessa, sijoitetaan Sankt Johann im Pongauhun, Itävaltaan.

4. Molempia teknisiä toimipaikkoja voidaan hyödyntää järjestelmien samanaikaiseen käyttöön edellyttäen, että varayksikkö pystyy edelleen varmistamaan niiden toiminnan yhden tai useamman järjestelmän häiriötapauksessa.

5. Järjestelmien erityisluonteesta johtuen, jos viraston osoittautuu tarpeelliseksi perustaa toinen, erillinen tekninen toimipaikka joko Strasbourgiin tai Sankt Johann im Pongauhun tai tarpeen mukaan molemmille paikkakunnille järjestelmien isännöimiseksi, tämä tarve on perusteltava riippumattoman vaikutustenarvioinnin ja kustannus-hyötyanalyysin perusteella. Hallintoneuvoston on kuultava komissiota ja otettava sen näkemykset huomioon, ennen kuin se ilmoittaa budjettivallan käyttäjälle aikomuksestaan toteuttaa kiinteistöihin liittyviä hankkeita 45 artiklan 9 kohdan mukaisesti.

18 artikla

Rakenne

1. Viraston hallinto- ja johtamisrakenteen muodostavat

a)	hallintoneuvosto;

b)	toimitusjohtaja;

c)	neuvoa-antavat ryhmät.

2. Viraston rakenteeseen kuuluvat

a)	tietosuojavastaava;

b)	turvallisuusvastaava;

c)	tilinpitäjä.

19 artikla

Hallintoneuvoston tehtävät

1. Hallintoneuvosto

a)	ohjaa yleisesti viraston toimintaa;

b)	hyväksyy äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä viraston vuotuisen talousarvion ja hoitaa muita viraston talousarvioon liittyviä tehtäviä V luvun mukaisesti;

c)	nimittää toimitusjohtajan ja varatoimitusjohtajan ja jatkaa tarvittaessa heidän toimikauttaan tai erottaa heidät 25 ja 26 artiklan mukaisesti;

d)	käyttää toimitusjohtajaan nähden kurinpitovaltaa ja valvoo hänen toimintaansa, mukaan lukien hallintoneuvoston päätösten täytäntöönpano, ja käyttää kurinpitovaltaa varatoimitusjohtajaan nähden yhteisymmärryksessä toimitusjohtajan kanssa;

e)	tekee kaikki päätökset viraston organisaatiorakenteesta ja tarvittaessa sen muuttamisesta ottaen huomioon viraston toimintatarpeet ja moitteettoman varainhoidon;

f)	hyväksyy viraston henkilöstöpolitiikan;

g)	laatii viraston työjärjestyksen;

h)	hyväksyy petostentorjuntastrategian, joka on oikeassa suhteessa petosriskiin nähden, kun otetaan huomioon toteutettavien toimenpiteiden kustannukset ja hyödyt;

i)	hyväksyy jäsentensä eturistiriitojen ehkäisemistä ja hallintaa koskevat säännöt ja julkaisee ne viraston verkkosivustolla;

j)	hyväksyy väärinkäytösten paljastajien suojelua koskevat yksityiskohtaiset sisäiset säännöt ja menettelyt, mukaan lukien asianmukaiset viestintäkanavat väärinkäytöksistä ilmoittamiseksi;

k)	hyväksyy työjärjestelyistä sopimisen 41 ja 43 artiklan mukaisesti;

l)	hyväksyy toimitusjohtajan ehdotuksen pohjalta viraston kotipaikkaa koskevan päätoimipaikkasopimuksen sekä 17 artiklan 3 kohdan mukaisesti perustettavia teknistä toimipaikkaa ja varayksikköä koskevat sopimukset, jotka toimitusjohtaja ja sijaintijäsenvaltiot allekirjoittavat;

m)	käyttää 2 kohdan mukaisesti viraston henkilöstön suhteen virkamiehiin sovellettavissa henkilöstösäännöissä nimittävälle viranomaiselle ja palvelussuhteen ehdoissa työsopimusten tekemiseen valtuutetulle viranomaiselle annettuja valtuuksia, jäljempänä ”nimittävän viranomaisen toimivalta”;

n)	hyväksyy komission suostumuksella tarvittavat säännökset henkilöstösääntöjen täytäntöönpanemiseksi virkamiehiin sovellettavien henkilöstösääntöjen 110 artiklan mukaisesti;

o)	hyväksyy kansallisten asiantuntijoiden virastoon lähettämistä koskevat tarvittavat säännöt;

p)	hyväksyy luonnoksen viraston tuloja ja menoja koskevaksi ennakkoarvioksi, johon sisältyy esitys henkilöstötaulukoksi, ja toimittaa ne komissiolle viimeistään kunkin vuoden tammikuun 31 päivänä;

hyväksyy luonnoksen yhtenäiseksi ohjelma-asiakirjaksi, joka sisältää viraston monivuotisen ohjelmasuunnitelman ja seuraavan vuoden työohjelman ja viraston tuloja ja menoja koskevan alustavan ennakkoarvion, johon sisältyy esitys henkilöstötaulukoksi, ja toimittaa sen ja kyseisen asiakirjan mahdolliset päivitetyt versiot Euroopan parlamentille, neuvostolle ja komissiolle viimeistään kunkin vuoden tammikuun 31 päivänä;

hyväksyy vuosittain ennen marraskuun 30 päivää äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä ja vuotuisen talousarviomenettelyn mukaisesti yhtenäisen ohjelma-asiakirjan ottaen huomioon komission lausunnon ja varmistaa, että lopullinen versio tästä yhtenäisestä ohjelma-asiakirjasta toimitetaan Euroopan parlamentille, neuvostolle ja komissiolle ja että se julkaistaan;

s)	hyväksyy vuosittain elokuun loppuun mennessä väliraportin suunniteltujen toimien täytäntöönpanon edistymisestä kuluvana vuonna ja toimittaa sen Euroopan parlamentille, neuvostolle ja komissiolle;

arvioi ja hyväksyy viraston edellisen vuoden toimintaa koskevan konsolidoidun vuotuisen toimintakertomuksen, jossa saavutettuja tuloksia verrataan erityisesti vuotuisessa työohjelmassa asetettuihin tavoitteisiin, ja toimittaa kertomuksen ja sitä koskevan arvioinnin Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle viimeistään kunkin vuoden heinäkuun 1 päivänä ja varmistaa, että vuotuinen toimintakertomus julkaistaan;

u)	suorittaa viraston talousarvioon liittyvät tehtävänsä, mukaan lukien 15 artiklassa tarkoitettujen pilottihankkeiden ja soveltuvuusselvitysten toteuttaminen;

v)	hyväksyy virastoon sovellettavat varainhoitosäännöt 49 artiklan mukaisesti;

w)	jollei henkilöstösäännöistä muuta johdu, nimittää tilinpitäjän, joka voi olla komission tilinpitäjä ja joka hoitaa tehtäviään täysin riippumattomasti;

huolehtii siitä, että sisäisen tai ulkoisen tarkastuksen raportteihin ja arviointeihin perustuvien havaintojen ja suositusten sekä Euroopan petostentorjuntaviraston, jäljempänä ”OLAF”, tutkimusten ja Euroopan syyttäjänviraston, jäljempänä ”EPPO”, tutkintatoimien perusteella toteutetaan asianmukaiset jatkotoimet;

y)	hyväksyy 34 artiklan 4 kohdassa tarkoitetut tiedotusta ja viestintää koskevat suunnitelmat ja päivittää niitä säännöllisesti;

z)	hyväksyy tarvittavat turvatoimenpiteet, mukaan lukien turvallisuussuunnitelma, toiminnan jatkuvuussuunnitelma ja palautussuunnitelma, ottaen huomioon neuvoa-antavissa ryhmissä mukana olevien turvallisuusasiantuntijoiden mahdolliset suositukset;

aa)	hyväksyy turvallisuusluokiteltujen tietojen ja arkaluonteisten turvallisuusluokittelemattomien tietojen suojaamista koskevat turvallisuussäännöt komission hyväksynnän jälkeen;

bb)	nimittää turvallisuusvastaavan;

cc)	nimittää tietosuojavastaavan asetuksen (EU) 2018/1725 mukaisesti;

dd)	hyväksyy asetuksen (EY) N:o 1049/2001 täytäntöönpanoa koskevat yksityiskohtaiset säännöt;

ee)	hyväksyy EES-järjestelmän kehittämistä koskevat kertomukset asetuksen (EU) 2017/2226 72 artiklan 2 kohdan mukaisesti ja ETIAS-järjestelmän kehittämistä koskevat kertomukset asetuksen (EU) 2018/1240 92 artiklan 2 kohdan mukaisesti;

ff)

hyväksyy SIS II -järjestelmän teknistä toimintaa koskevat kertomukset asetuksen (EY) N:o 1987/2006 50 artiklan 4 kohdan ja päätöksen 2007/533/YOS 66 artiklan 4 kohdan mukaisesti, VIS-järjestelmän teknistä toimintaa koskevat kertomukset asetuksen (EY) N:o 767/2008 50 artiklan 3 kohdan ja päätöksen 2008/633/YOS 17 artiklan 3 kohdan mukaisesti, EES-järjestelmän teknistä toimintaa koskevat kertomukset asetuksen (EU) 2017/2226 72 artiklan 4 kohdan mukaisesti ja ETIAS-järjestelmän teknistä toimintaa koskevat kertomukset asetuksen (EU) 2018/1240 92 artiklan 4 kohdan mukaisesti;

gg)	hyväksyy asetuksen (EU) N:o 603/2013 40 artiklan 1 kohdan mukaisen Eurodacin keskusjärjestelmän toiminnasta laaditun vuosikertomuksen;

hh)

antaa virallisia huomautuksia Euroopan tietosuojavaltuutetun kertomuksista, jotka koskevat asetuksen (EY) N:o 1987/2006 45 artiklan 2 kohdan, asetuksen (EY) N:o 767/2008 42 artiklan 2 kohdan ja asetuksen (EU) N:o 603/2013 31 artiklan 2 kohdan, asetuksen (EU) 2017/2226 56 artiklan 2 kohdan ja asetuksen (EU) 2018/1240 67 artiklan nojalla suoritettuja tarkastuksia, ja huolehtii tarkastusten johdosta suoritettavista asianmukaisista seurantatoimista;

ii)	julkaisee SIS II -järjestelmää koskevia tilastoja asetuksen (EY) N:o 1987/2006 50 artiklan 3 kohdan ja päätöksen 2007/533/YOS 66 artiklan 3 kohdan mukaisesti;

jj)	laatii ja julkaisee tilastoja Eurodacin keskusjärjestelmän toiminnasta asetuksen (EU) N:o 603/2013 8 artiklan 2 kohdan mukaisesti;

kk)	julkaisee EES-järjestelmää koskevia tilastoja asetuksen (EU) 2017/2226 63 artiklan mukaisesti;

ll)	julkaisee ETIAS-järjestelmää koskevia tilastoja asetuksen (EU) 2018/1240 84 artiklan mukaisesti;

mm)

huolehtii siitä, että vuosittain julkaistaan asetuksen (EY) N:o 1987/2006 31 artiklan 8 kohdan ja päätöksen 2007/533/YOS 46 artiklan 8 kohdan mukainen luettelo toimivaltaisista viranomaisista, joilla on valtuudet tehdä suoria hakuja SIS II -järjestelmään sisältyvistä tiedoista, samalla kun julkaistaan asetuksen (EY) N:o 1987/2006 7 artiklan 3 kohdan mukainen luettelo kansallisista SIS II -toimistoista (N.SIS II-toimistot) ja päätöksen 2007/533/YOS 7 artiklan 3 kohdan mukainen luettelo Sirene-toimistoista, asetuksen (EU) 2017/2226 65 artiklan 2 kohdan mukainen luettelo toimivaltaisista viranomaisista ja asetuksen (EU) 2018/1240 87 artiklan 2 kohdan mukainen luettelo toimivaltaisista viranomaisista.

nn)	huolehtii siitä, että vuosittain julkaistaan asetuksen (EU) N:o 603/2013 27 artiklan 2 kohdan mukainen luettelo yksiköistä;

oo)	huolehtii siitä, että kaikissa viraston päätöksissä ja toimissa, jotka vaikuttavat vapauden, turvallisuuden ja oikeuden alueen laaja-alaisiin tietojärjestelmiin, kunnioitetaan oikeuslaitoksen riippumattomuuden periaatetta;

pp)	suorittaa kaikki muut sille tämän asetuksen mukaisesti osoitetut tehtävät.

Rajoittamatta niiden ensimmäisen alakohdan mm alakohdassa tarkoitettujen unionin säädösten säännösten soveltamista, jotka koskevat luettelojen julkaisemista asiaankuuluvista viranomaisista, ja jos kyseisissä säädöksissä ei säädetä velvollisuudesta julkaista kyseiset jatkuvasti päivitettävät luettelot viraston verkkosivustolla, hallintoneuvosto huolehtii siitä, että ne julkaistaan ja niitä päivitetään jatkuvasti.

2. Hallintoneuvosto tekee virkamiehiin sovellettavien henkilöstösääntöjen 110 artiklan mukaisesti virkamiehiin sovellettavien henkilöstösääntöjen 2 artiklan 1 kohtaan ja palvelussuhteen ehtojen 6 artiklaan perustuvan päätöksen, jolla siirretään asiaankuuluva nimittävän viranomaisen toimivalta toimitusjohtajalle ja määritetään olosuhteet, joissa toimivallan siirto voidaan keskeyttää. Toimitusjohtajalla on valtuudet siirtää tämä toimivalta edelleen.

Jos poikkeukselliset olosuhteet sitä edellyttävät, hallintoneuvosto voi tekemällään päätöksellä tilapäisesti keskeyttää toimitusjohtajalle siirretyn nimittävän viranomaisen toimivallan ja hänen edelleen siirtämänsä nimittävän viranomaisen toimivallan ja käyttää kyseistä toimivaltaa itse tai siirtää sen jollekin jäsenistään tai jollekulle henkilöstöön kuuluvalle, joka on muu kuin toimitusjohtaja.

3. Hallintoneuvosto voi antaa toimitusjohtajalle neuvoja kaikissa laaja-alaisten tietojärjestelmien kehittämiseen tai operatiiviseen hallinnointiin läheisesti liittyvissä asioissa ja toimissa, jotka liittyvät tutkimustoimintaan, pilottihankkeisiin, soveltuvuusselvityksiin ja testaustoimiin.

20 artikla

Hallintoneuvoston kokoonpano

1. Hallintoneuvosto koostuu kunkin jäsenvaltion yhdestä edustajasta ja kahdesta komission edustajasta. Jokaisella edustajalla on äänioikeus 23 artiklan mukaisesti.

2. Jokaisella hallintoneuvoston jäsenellä on varajäsen. Varajäsen edustaa varsinaista jäsentä tämän poissa ollessa tai jos jäsen valitaan hallintoneuvoston puheenjohtajaksi tai varapuheenjohtajaksi ja johtaa puhetta hallintoneuvoston kokouksessa. Hallintoneuvoston jäsenet ja heidän varajäsenensä nimitetään heidän korkeatasoisen asiaankuuluvan kokemuksensa ja vapauden, turvallisuuden ja oikeuden alueen laaja-alaisia tietojärjestelmiä koskevan asiantuntemuksensa sekä heidän tietosuoja-alan asiantuntemuksensa perusteella ottaen huomioon heidän asiaankuuluvat johtamis-, hallinto- ja varainhoitotaitonsa. Kaikkien hallintoneuvostossa edustettujen osapuolten on pyrittävä rajoittamaan edustajiensa vaihtuvuutta, jotta voidaan varmistaa hallintoneuvoston työskentelyn jatkuvuus. Kaikkien osapuolten on pyrittävä miesten ja naisten tasapuoliseen edustukseen hallintoneuvostossa.

3. Jäsenten ja heidän varajäsentensä toimikausi on neljä vuotta, ja toimikaudet voidaan uusia. Jos jäsenen toimikausi päättyy tai hän eroaa, hän jatkaa tehtävässään, kunnes hänet on nimitetty uudeksi toimikaudeksi tai hänen tilalleen on nimitetty uusi jäsen.

4. Ne valtiot, jotka osallistuvat Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin, osallistuvat viraston toimintaan. Niistä kukin nimittää yhden jäsenen ja varajäsenen hallintoneuvostoon.

21 artikla

Hallintoneuvoston puheenjohtaja

1. Hallintoneuvosto valitsee puheenjohtajan ja varapuheenjohtajan niiden hallintoneuvoston jäsenten joukosta, jotka on nimittänyt sellainen jäsenvaltio, jota unionin oikeuden nojalla sitovat kaikilta osin kaikkien viraston hallinnoimien laaja-alaisten tietojärjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevat unionin säädökset. Puheenjohtaja ja varapuheenjohtaja valitaan hallintoneuvoston äänivaltaisten jäsenten kahden kolmasosan enemmistöllä.

Varapuheenjohtaja toimii automaattisesti puheenjohtajan sijaisena tämän ollessa estyneenä.

2. Puheenjohtajan ja varapuheenjohtajan toimikausi on neljä vuotta. Toimikausi voidaan uusia kerran. Jos heidän jäsenyytensä hallintoneuvostossa päättyy heidän toimikautensa aikana, heidän toimikautensa päättyy tuona päivänä automaattisesti.

22 artikla

Hallintoneuvoston kokoukset

1. Hallintoneuvoston kokoukset kutsuu koolle puheenjohtaja.

2. Toimitusjohtaja osallistuu asioiden käsittelyyn, mutta hänellä ei ole äänioikeutta.

3. Hallintoneuvosto pitää vähintään kaksi sääntömääräistä kokousta vuodessa. Lisäksi se kokoontuu puheenjohtajan aloitteesta tai jos komissio, toimitusjohtaja tai vähintään kolmasosa hallintoneuvoston äänivaltaisista jäsenistä sitä pyytää.

4. Europol ja Eurojust voivat osallistua tarkkailijoina hallintoneuvoston kokouksiin silloin, kun niissä käsitellään SIS II -järjestelmää koskevia, päätöksen 2007/533/YOS soveltamiseen liittyviä kysymyksiä. Euroopan raja- ja merivartiovirasto voi osallistua tarkkailijana hallintoneuvoston kokouksiin silloin, kun niissä käsitellään SIS II -järjestelmää koskevia, asetuksen (EU) 2016/1624 soveltamiseen liittyviä kysymyksiä.

Europol voi osallistua hallintoneuvoston kokouksiin tarkkailijana silloin, kun niissä käsitellään VIS-järjestelmää koskevia, päätöksen 2008/633/YOS soveltamiseen liittyviä kysymyksiä tai Eurodac-järjestelmää koskevia, asetuksen (EU) N:o 603/2013 soveltamiseen liittyviä kysymyksiä.

Europol voi osallistua hallintoneuvoston kokouksiin tarkkailijana silloin, kun niissä käsitellään EES-järjestelmää koskevia, asetuksen (EU) 2017/2226 soveltamiseen liittyviä kysymyksiä tai ETIAS-järjestelmää koskevia, asetuksen (EU) 2018/1240 soveltamiseen liittyviä kysymyksiä. Euroopan raja- ja merivartiovirasto voi osallistua hallintoneuvoston kokouksiin tarkkailijana myös silloin, kun niissä käsitellään ETIAS-järjestelmää koskevia, asetuksen (EU) 2018/1240 soveltamiseen liittyviä kysymyksiä.

Hallintoneuvosto voi kutsua myös muun henkilön, jonka näkemyksillä voi olla merkitystä, osallistumaan kokouksiinsa tarkkailijana.

5. Jollei hallintoneuvoston työjärjestyksestä muuta johdu, hallintoneuvoston jäsenillä ja heidän varajäsenillään voi olla avustajinaan neuvonantajia tai asiantuntijoita, erityisesti neuvoa-antavien ryhmien jäseniä.

6. Virasto huolehtii hallintoneuvoston sihteeristön tehtävistä.

23 artikla

Hallintoneuvoston äänestyssäännöt

1. Hallintoneuvosto tekee päätöksensä äänivaltaisten jäsentensä enemmistöllä, sanotun kuitenkaan rajoittamatta tämän artiklan 5 kohdan sekä 19 artiklan 1 kohdan b ja r alakohdan, 21 artiklan 1 kohdan ja 25 artiklan 8 kohdan soveltamista.

2. Jollei 3 ja 4 kohdasta muuta johdu, kullakin hallintoneuvoston jäsenellä on yksi ääni. Äänioikeutetun jäsenen poissa ollessa hänen varajäsenellään on oikeus käyttää äänioikeutta.

3. Jäsen, jonka on nimittänyt sellainen jäsenvaltio, jota unionin oikeuden nojalla sitoo mikä tahansa viraston hallinnoiman laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskeva unionin säädös, voi äänestää kyseistä laaja-alaista tietojärjestelmää koskevasta kysymyksestä.

Tanska voi äänestää laaja-alaista tietojärjestelmää koskevasta kysymyksestä, jos se pöytäkirjassa N:o 22 olevan 4 artiklan nojalla päättää saattaa kyseessä olevan laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskevan unionin säädöksen osaksi kansallista lainsäädäntöään.

4. Tämän asetuksen 42 artiklaa sovelletaan sellaisten maiden edustajien äänioikeuden osalta, jotka ovat tehneet unionin kanssa sopimuksen osallistumisestaan Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin.

5. Jos jäsenet ovat eri mieltä siitä, koskeeko jokin äänestys tiettyä laaja-alaista tietojärjestelmää, päätös, jonka mukaan äänestys ei koske kyseistä tiettyä laaja-alaista tietojärjestelmää, on tehtävä hallintoneuvoston äänioikeutettujen jäsenten kahden kolmasosan enemmistöllä.

6. Puheenjohtaja tai tämän sijaisena toimiva varapuheenjohtaja ei osallistu äänestykseen. Puheenjohtajan tai tämän sijaisena toimivan varapuheenjohtajan äänioikeutta käyttää tämän varajäsen.

7. Toimitusjohtaja ei osallistu äänestykseen.

8. Hallintoneuvoston työjärjestyksessä määritetään yksityiskohtaisemmat äänestysjärjestelyt, erityisesti edellytykset, joiden mukaan jäsen voi toimia toisen jäsenen puolesta, sekä tarvittaessa päätösvaltaisuutta koskevat vaatimukset.

24 artikla

Toimitusjohtajan velvollisuudet

1. Toimitusjohtaja vastaa viraston johtamisesta. Toimitusjohtaja avustaa hallintoneuvostoa ja on vastuussa sille. Toimitusjohtaja raportoi pyydettäessä Euroopan parlamentille tehtäviensä hoidosta. Neuvosto voi pyytää toimitusjohtajaa raportoimaan tehtäviensä hoidosta.

2. Toimitusjohtaja on viraston laillinen edustaja.

3. Toimitusjohtaja vastaa virastolle tällä asetuksella osoitettujen tehtävien täytäntöönpanosta. Toimitusjohtajan vastuulla on erityisesti

a)	viraston päivittäisen toiminnan hallinnointi;

b)	se, että virasto toimii tämän asetuksen mukaisesti;

c)	hallintoneuvoston hyväksymien menettelyjen, päätösten, strategioiden, ohjelmien ja toimien valmistelu ja täytäntöönpano tässä asetuksessa, sen täytäntöönpanosäännöissä ja sovellettavassa unionin oikeudessa asetetuissa rajoissa;

d)	yhtenäisen ohjelma-asiakirjan laatiminen ja sen toimittaminen hallintoneuvostolle sen jälkeen, kun komissiota ja neuvoa-antavia ryhmiä on kuultu;

e)	yhtenäisen ohjelma-asiakirjan täytäntöönpano ja sen täytäntöönpanosta raportointi hallintoneuvostolle;

f)	kuluvan vuoden suunniteltujen toimien täytäntöönpanon edistymistä koskevan väliraportin laatiminen ja sen jälkeen, kun neuvoa-antavia ryhmiä on kuultu, toimittaminen hallintoneuvoston hyväksyttäväksi kunkin vuoden elokuun loppuun mennessä;

g)	viraston toimintaa koskevan konsolidoidun vuotuisen toimintakertomuksen laatiminen ja sen jälkeen, kun neuvoa-antavia ryhmiä on kuultu, toimittaminen hallintoneuvoston arvioitavaksi ja hyväksyttäväksi;

h)	toimintasuunnitelman laatiminen sisäisen tai ulkoisen tarkastuksen raporttien ja arviointien päätelmiin sekä OLAFin tutkimuksiin ja EPPOn tutkintatoimiin perustuvia jatkotoimia varten ja raportoiminen edistymisestä komissiolle kahdesti vuodessa ja hallintoneuvostolle säännöllisesti;

unionin taloudellisten etujen suojaaminen petoksia, lahjontaa ja muuta laitonta toimintaa ehkäisevillä toimenpiteillä, EPPOn ja OLAFin tutkintavaltuuksia kuitenkaan rajoittamatta, tehokkailla tarkastuksilla ja, jos sääntöjenvastaisuuksia havaitaan, perimällä aiheettomasti maksetut määrät takaisin sekä tarvittaessa käyttämällä tehokkaita, oikeasuhteisia ja varoittavia hallinnollisia seuraamuksia, taloudelliset seuraamukset mukaan lukien;

j)	petostentorjuntastrategian laatiminen virastolle ja sen toimittaminen hallintoneuvoston hyväksyttäväksi sekä strategian asianmukaisen ja oikea-aikaisen täytäntöönpanon seuranta;

k)	virastoon sovellettavien varainhoitosääntöjen luonnoksen laatiminen ja toimittaminen hallintoneuvoston hyväksyttäväksi sen jälkeen, kun komissiota on kuultu;

l)	seuraavan vuoden talousarvioesityksen laatiminen toimintoperusteisen budjetoinnin mukaisesti;

m)	viraston tuloja ja menoja koskevan ennakkoarvion luonnoksen laatiminen;

n)	viraston talousarvion toteuttaminen;

sellaisen tehokkaan järjestelmän luominen ja toteuttaminen, jonka avulla voidaan säännöllisesti seurata ja arvioida

i)	laaja-alaisia tietojärjestelmiä, myös tilastoja; ja

ii)	virastoa, myös sen tavoitteiden tehokasta ja tuloksellista saavuttamista;

luottamuksellisuutta koskevien vaatimusten laatiminen asetuksen (EY) N:o 1987/2006 17 artiklan, päätöksen 2007/533/YOS 17 artiklan, asetuksen (EY) N:o 767/2008 26 artiklan 9 kohdan, asetuksen (EU) N:o 603/2013 4 artiklan 4 kohdan, asetuksen (EU) 2017/2226 37 artiklan 4 kohdan ja asetuksen (EU) 2018/1240 74 artiklan 2 kohdan noudattamiseksi, sanotun kuitenkaan rajoittamatta virkamiehiin sovellettavien henkilöstösääntöjen 17 artiklan soveltamista;

q)	viraston kotipaikkaa koskevan päätoimipaikkasopimuksen sekä teknisiä toimipaikkoja ja varayksiköitä koskevien sopimusten neuvotteleminen sijaintijäsenvaltioiden kanssa ja niiden allekirjoittaminen hallintoneuvoston hyväksynnän jälkeen;

r)	asetuksen (EY) N:o 1049/2001 täytäntöönpanoa koskevien käytännön järjestelyjen valmistelu ja niiden toimittaminen hallintoneuvoston hyväksyttäväksi;

s)	tarvittavien turvatoimenpiteiden, mukaan lukien turvallisuussuunnitelma, toiminnan jatkuvuussuunnitelma ja palautussuunnitelma, valmistelu ja sen jälkeen, kun asiaankuuluvaa neuvoa-antavaa ryhmää on kuultu, niiden toimittaminen hallintoneuvoston hyväksyttäviksi;

edellä 19 artiklan 1 kohdan ff alakohdassa tarkoitetun laaja-alaisen tietojärjestelmän teknistä toimintaa koskevan kertomuksen laatiminen ja 19 artiklan 1 kohdan gg alakohdassa tarkoitetun Eurodacin keskusjärjestelmän toimintaa koskevan vuosikertomuksen laatiminen seurannan ja arvioinnin tulosten perusteella ja sen jälkeen, kun asiaankuuluvaa neuvoa-antavaa ryhmää on kuultu, niiden toimittaminen hallintoneuvoston hyväksyttäviksi;

u)	asetuksen (EU) 2017/2226 72 artiklan 2 kohdassa tarkoitetun kertomuksen laatiminen EES-järjestelmän kehittämisestä ja asetuksen (EU) 2018/1240 92 artiklan 2 kohdassa tarkoitetun kertomuksen laatiminen ETIAS-järjestelmän kehittämisestä ja niiden toimittaminen hallintoneuvoston hyväksyttäviksi;

seuraavien vuosittaisten luetteloiden valmistelu julkaisemista varten ja toimittaminen hallintoneuvoston hyväksyttäviksi: luettelo toimivaltaisista viranomaisista, joilla on valtuudet tehdä suoria hakuja SIS II -järjestelmään sisältyvistä tiedoista, sekä luettelo N.SIS II -toimistoista ja Sirene-toimistoista, 19 artiklan 1 kohdan mm alakohdassa tarkoitettu luettelo toimivaltaisista viranomaisista, joilla on valtuudet tehdä suoria hakuja EES- ja ETIAS-järjestelmiin sisältyvistä tiedoista, ja 19 artiklan 1 kohdan nn alakohdassa tarkoitettu luettelo yksiköistä.

4. Toimitusjohtaja suorittaa kaikki muut tämän asetuksen mukaiset tehtävät.

5. Toimitusjohtaja päättää, onko viraston tehtävien suorittamiseksi tehokkaasti ja tuloksellisesti tarpeellista sijoittaa yksi tai useampi toimihenkilö yhteen tai useampaan jäsenvaltioon ja perustaa paikallistoimisto tätä varten. Ennen tällaisen päätöksen tekemistä toimitusjohtajan on hankittava ennakkosuostumus komissiolta, hallintoneuvostolta ja asianomaiselta jäsenvaltiolta tai asianomaisilta jäsenvaltioilta. Toimitusjohtajan päätöksessä on määritettävä paikallistoimistossa toteutettavien toimien laajuus siten, että vältetään tarpeettomia kustannuksia ja viraston hallinnollisten tehtävien päällekkäisyyttä. Teknisten toimipaikkojen toimintoja ei saa toteuttaa paikallistoimistossa.

25 artikla

Toimitusjohtajan nimittäminen

1. Hallintoneuvosto nimittää toimitusjohtajan komission avointa ja läpinäkyvää valintamenettelyä noudattaen laatiman vähintään kolmen ehdokkaan luettelon perusteella. Valintamenettely edellyttää, että Euroopan unionin virallisessa lehdessä ja muissa tarkoituksenmukaisissa tiedotusvälineissä julkaistaan kiinnostuksenilmaisupyyntö. Hallintoneuvosto nimittää toimitusjohtajan ansioiden, laaja-alaisia tietojärjestelmiä koskevan todennetun kokemuksen, hallinto-, talous- ja johtamistaitojen sekä tietosuoja-alan asiantuntemuksen perusteella.

2. Komission esittämät ehdokkaat kutsutaan ennen nimittämistä antamaan lausuma yhdelle tai useammalle Euroopan parlamentin asiasta vastaavalle valiokunnalle ja vastaamaan valiokuntien jäsenten esittämiin kysymyksiin. Lausuman ja vastausten kuulemisen jälkeen Euroopan parlamentti antaa lausunnon, jossa se esittää näkemyksensä ja voi mainita parhaana pitämänsä ehdokkaan.

3. Hallintoneuvosto nimittää toimitusjohtajan ottaen huomioon nämä näkemykset.

4. Jos hallintoneuvosto tekee päätöksen jonkin muun ehdokkaan kuin Euroopan parlamentin parhaana pitämän ehdokkaan nimittämisestä, hallintoneuvosto ilmoittaa Euroopan parlamentille ja neuvostolle kirjallisesti, millä tavalla Euroopan parlamentin lausunto on otettu huomioon.

5. Toimitusjohtajan toimikausi on viisi vuotta. Toimikauden päättyessä komissio toteuttaa arvioinnin, jossa otetaan huomioon sen oma arvio toimitusjohtajan toiminnasta ja viraston tulevat tehtävät ja haasteet.

6. Hallintoneuvosto voi komission ehdotuksesta, jossa otetaan huomioon 5 kohdassa tarkoitettu arviointi, jatkaa toimitusjohtajan toimikautta kerran enintään viiden vuoden kaudeksi.

7. Hallintoneuvoston on ilmoitettava Euroopan parlamentille aikomuksestaan jatkaa toimitusjohtajan toimikautta. Toimitusjohtaja kutsutaan tällaista toimikauden jatkamista edeltävän kuukauden kuluessa antamaan lausuma yhdelle tai useammalle Euroopan parlamentin asiasta vastaavalle valiokunnalle tai vastaaville valiokunnille ja vastaamaan valiokuntien jäsenten esittämiin kysymyksiin.

8. Toimitusjohtaja, jonka toimikautta on jatkettu, ei voi enää jatketun toimikautensa lopussa osallistua samaa toimea koskevaan uuteen valintamenettelyyn.

9. Toimitusjohtaja voidaan erottaa toimestaan ainoastaan hallintoneuvoston päätöksellä, jonka se tekee äänivaltaisten jäsentensä enemmistön tai komission ehdotuksen perusteella.

10. Hallintoneuvosto tekee päätökset toimitusjohtajan nimittämisestä, toimikauden jatkamisesta tai erottamisesta äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä.

11. Toimitusjohtajan työsopimusta tehtäessä virastoa edustaa hallintoneuvoston puheenjohtaja. Toimitusjohtaja otetaan palvelukseen viraston väliaikaisena toimihenkilönä palvelussuhteen ehtojen 2 artiklan a alakohdan mukaisesti.

26 artikla

Varatoimitusjohtaja

1. Varatoimitusjohtaja avustaa toimitusjohtajaa. Varatoimitusjohtaja toimii toimitusjohtajan sijaisena tämän poissa ollessa. Toimitusjohtaja asettaa varatoimitusjohtajan tehtävät.

2. Hallintoneuvosto nimittää varatoimitusjohtajan toimitusjohtajan ehdotuksesta. Varatoimitusjohtaja nimitetään ansioiden ja asianmukaisten hallinto- ja johtamistaitojen perusteella, mukaan lukien merkityksellinen työkokemus. Toimitusjohtaja esittää varatoimitusjohtajan tehtävään vähintään kolmea ehdokasta. Hallintoneuvosto tekee päätöksensä äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä. Hallintoneuvostolla on valtuudet erottaa varatoimitusjohtaja päätöksellä, jonka se tekee äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä.

3. Varatoimitusjohtajan toimikausi on viisi vuotta. Hallintoneuvosto voi jatkaa toimikautta kerran enintään viiden vuoden kaudeksi. Hallintoneuvosto tekee tämän päätöksen äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä.

27 artikla

Neuvoa-antavat ryhmät

1. Seuraavat neuvoa-antavat ryhmät antavat hallintoneuvostolle asiantuntija-apua laaja-alaisiin tietojärjestelmiin liittyen ja erityisesti vuotuisen työohjelman ja vuotuisen toimintakertomuksen valmistelun yhteydessä:

a)	SIS II -järjestelmän neuvoa-antava ryhmä;

b)	VIS-järjestelmän neuvoa-antava ryhmä;

c)	Eurodac-järjestelmän neuvoa-antava ryhmä;

d)	EES- ja ETIAS-järjestelmien neuvoa-antava ryhmä;

e)	mahdolliset muut laaja-alaisten tietojärjestelmien neuvoa-antavat ryhmät, kun asiaankuuluvan laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskevassa unionin säädöksessä niin säädetään.

2. Kukin sellainen jäsenvaltio, jota unionin oikeuden nojalla sitoo mikä tahansa tietyn laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskeva unionin säädös, ja komissio nimittävät kyseessä olevan laaja-alaisen tietojärjestelmän neuvoa-antavaan ryhmään yhden jäsenen neljän vuoden toimikaudeksi, joka voidaan uusia.

Myös Tanska nimittää jäsenen laaja-alaisen tietojärjestelmän neuvoa-antavaan ryhmään, jos se pöytäkirjassa N:o 22 olevan 4 artiklan nojalla päättää saattaa kyseessä olevan laaja-alaisen tietojärjestelmän kehittämistä, perustamista, toimintaa ja käyttöä koskevan unionin säädöksen osaksi kansallista lainsäädäntöään.

Kukin Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuva valtio, joka osallistuu tiettyyn laaja-alaiseen tietojärjestelmään, nimittää yhden jäsenen tämän laaja-alaisen tietojärjestelmän neuvoa-antavaan ryhmään.

3. Europol, Eurojust sekä Euroopan raja- ja merivartiovirasto voivat kukin nimittää edustajan SIS II -järjestelmän neuvoa-antavaan ryhmään. Europol voi nimittää edustajan myös VIS-, Eurodac- ja EES- ja ETIAS-järjestelmien neuvoa-antavaan ryhmään. Euroopan raja- ja merivartiovirasto voi myös nimittää edustajan EES- ja ETIAS-järjestelmien neuvoa-antavaan ryhmään.

4. Hallintoneuvoston jäsenet ja heidän varajäsenensä eivät saa kuulua mihinkään neuvoa-antavaan ryhmään. Toimitusjohtajalla tai toimitusjohtajan edustajalla on oikeus osallistua tarkkailijana kaikkiin neuvoa-antavien ryhmien kokouksiin.

5. Neuvoa-antavat ryhmät tekevät tarvittaessa keskenään yhteistyötä. Neuvoa-antavien ryhmien toimintaa ja yhteistyötä koskevat menettelyt vahvistetaan viraston työjärjestyksessä.

6. Kunkin neuvoa-antavan ryhmän jäsenten on lausuntoa valmistellessaan pyrittävä parhaansa mukaan saavuttamaan yksimielisyys. Jos yksimielisyyttä ei saavuteta, neuvoa-antavan ryhmän kantana pidetään jäsenten enemmistön kantaa perusteluineen. Myös vähemmistön kanta tai kannat perusteluineen kirjataan. Edellä olevaa 23 artiklan 3 ja 5 kohtaa sovelletaan tämän mukaisesti. Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuvia valtioita edustavat jäsenet voivat esittää lausuntoja kysymyksistä, joissa heillä ei ole äänioikeutta.

7. Kunkin jäsenvaltion ja Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuvan valtion on helpotettava neuvoa-antavien ryhmien toimintaa.

8. Neuvoa-antavien ryhmien puheenjohtajan osalta sovelletaan 21 artiklaa soveltuvin osin.

IV LUKU

YLEISET SÄÄNNÖKSET

28 artikla

Henkilöstö

1. Viraston henkilöstöön ja toimitusjohtajaan sovelletaan henkilöstösääntöjä sekä henkilöstösääntöjen täytäntöönpanosäännöksiä, jotka on hyväksytty unionin toimielinten yhteisellä päätöksellä.

2. Henkilöstösääntöjen soveltamiseksi virasto katsotaan virkamiehiin sovellettavien henkilöstösääntöjen 1 a artiklan 2 kohdassa tarkoitetuksi virastoksi.

3. Viraston henkilöstö koostuu virkamiehistä, väliaikaisista toimihenkilöistä ja sopimussuhteisista toimihenkilöistä. Jos sopimukset, jotka toimitusjohtaja aikoo uusia, muuttuisivat palvelusuhteen ehtojen mukaisesti toistaiseksi voimassa oleviksi sopimuksiksi, hallintoneuvoston on annettava siihen vuosittain suostumus.

4. Virasto ei ota palvelukseen tilapäisiä työntekijöitä hoitamaan arkaluonteisina pidettäviä rahoitustehtäviä.

5. Komissio ja jäsenvaltiot voivat siirtää tilapäisesti virkamiehiä ja kansallisia asiantuntijoita viraston palvelukseen. Hallintoneuvosto tekee päätöksen, jossa vahvistetaan säännöt kansallisten asiantuntijoiden siirtämisestä viraston palvelukseen.

6. Virasto soveltaa asianmukaisia vaitiolovelvollisuutta tai muita vastaavia salassapitovelvollisuutta koskevia sääntöjä, sanotun kuitenkaan rajoittamatta virkamiehiin sovellettavien henkilöstösääntöjen 17 artiklan soveltamista.

7. Hallintoneuvosto vahvistaa yhteisymmärryksessä komission kanssa tarvittavat virkamiehiin sovellettavien henkilöstösääntöjen 110 artiklassa tarkoitetut täytäntöönpanosäännöt.

29 artikla

Yleinen etu

Hallintoneuvoston jäsenet, toimitusjohtaja, varatoimitusjohtaja ja neuvoa-antavien ryhmien jäsenet sitoutuvat toimimaan yleisen edun mukaisesti. Heidän on annettava tätä varten vuosittainen kirjallinen sitoumus, joka on julkinen ja julkaistaan viraston verkkosivustolla.

Hallintoneuvoston jäsenten ja neuvoa-antavien ryhmien jäsenten luettelo julkaistaan viraston verkkosivustolla.

30 artikla

Päätoimipaikkasopimus ja teknisiä toimipaikkoja koskevat sopimukset

1. Viraston sijaintijäsenvaltioiden virastolle tarjoamia tiloja ja palveluja koskevat tarvittavat järjestelyt sekä hallintoneuvoston jäseniin, toimitusjohtajaan, viraston muuhun henkilöstöön ja heidän perheenjäseniinsä sijaintijäsenvaltioissa sovellettavat erityissäännöt vahvistetaan viraston kotipaikkaa koskevassa päätoimipaikkasopimuksessa ja teknisiä toimipaikkoja koskevissa sopimuksissa. Tällaiset sopimukset viraston ja viraston sijaintijäsenvaltioiden välillä tehdään sen jälkeen, kun hallintoneuvosto on ne hyväksynyt.

2. Viraston sijaintijäsenvaltioiden on tarjottava tarvittavat olosuhteet viraston asianmukaisen toiminnan varmistamiseksi, mukaan lukien muun muassa monikieliset ja eurooppahenkiset koulunkäyntimahdollisuudet sekä asianmukaiset kulkuyhteydet.

31 artikla

Erioikeudet ja vapaudet

Virastoon sovelletaan Euroopan unionin erioikeuksista ja vapauksista tehtyä pöytäkirjaa.

32 artikla

Vastuu

1. Viraston sopimusperusteinen vastuu määräytyy asianomaiseen sopimukseen sovellettavan lain mukaan.

2. Euroopan unionin tuomioistuimella on toimivalta antaa ratkaisu viraston tekemään sopimukseen mahdollisesti sisältyvän välityslausekkeen nojalla.

3. Jos kyseessä on sopimuksenulkoinen vastuu, virasto korvaa jäsenvaltioiden lainsäädäntöön sisältyvien yhteisten perusperiaatteiden mukaisesti vahingon, jonka viraston yksiköt tai henkilöstön jäsenet ovat tehtäviään suorittaessaan aiheuttaneet.

4. Euroopan unionin tuomioistuimella on toimivalta ratkaista riidat, jotka koskevat 3 kohdassa tarkoitettujen vahinkojen korvaamista.

5. Viraston henkilöstön henkilökohtaisesta vastuusta virastoa kohtaan määrätään unionin virkamiehiin sovellettavissa henkilöstösäännöissä tai palvelussuhteen ehdoissa.

33 artikla

Kielijärjestelyt

1. Virastoon sovelletaan neuvoston asetuksen N:o 1 (46) säännöksiä.

2. Edellä 19 artiklan 1 kohdan r alakohdassa tarkoitettu yhtenäinen ohjelma-asiakirja ja 19 artiklan 1 kohdan t alakohdassa tarkoitettu vuotuinen toimintakertomus laaditaan kaikilla unionin toimielinten virallisilla kielillä, sanotun kuitenkaan rajoittamatta Euroopan unionin toiminnasta tehdyn sopimuksen 342 artiklan nojalla tehtyjen päätösten soveltamista.

3. Hallintoneuvosto voi antaa päätöksen työkielistä, sanotun kuitenkaan rajoittamatta 1 ja 2 kohdassa säädettyjen velvollisuuksien soveltamista.

4. Euroopan unionin elinten käännöskeskus huolehtii viraston toiminnan edellyttämistä käännöspalveluista.

34 artikla

Avoimuus ja tiedottaminen

1. Viraston hallussa oleviin asiakirjoihin sovelletaan asetusta (EY) N:o 1049/2001.

2. Hallintoneuvosto hyväksyy toimitusjohtajan esityksestä asetuksen (EY) N:o 1049/2001 soveltamista koskevat yksityiskohtaiset säännöt viipymättä.

3. Päätöksistä, jotka virasto tekee asetuksen (EY) N:o 1049/2001 8 artiklan nojalla, voidaan tehdä kantelu Euroopan oikeusasiamiehelle Euroopan unionin toiminnasta tehdyn sopimuksen 228 artiklassa määrättyjen edellytysten mukaisesti tai nostaa kanne Euroopan unionin tuomioistuimessa Euroopan unionin toiminnasta tehdyn sopimuksen 263 artiklassa määrättyjen edellytysten mukaisesti.

4. Virasto huolehtii laaja-alaisten tietojärjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevien unionin säädösten mukaisesta tiedottamisesta ja voi harjoittaa omasta aloitteestaan tiedotustoimintaa toimivaltaansa kuuluvissa asioissa. Virasto huolehtii erityisesti siitä, että 19 artiklan 1 kohdan r, t, ii, jj, kk ja ll alakohdassa ja 47 artiklan 9 kohdassa säädetyn julkaisemisen lisäksi yleisölle ja asianomaisille osapuolille annetaan nopeasti objektiivista, paikkansapitävää, luotettavaa, kattavaa ja helppotajuista tietoa viraston työstä. Resurssien osoittaminen tiedotustoimiin ei saa haitata 3–16 artiklassa tarkoitettujen viraston tehtävien tehokasta hoitamista. Tiedotustoimet on toteutettava hallintoneuvoston hyväksymien asiaankuuluvien tiedotusta ja viestintää koskevien suunnitelmien mukaisesti.

5. Luonnollisilla henkilöillä ja oikeushenkilöillä on oikeus käyttää mitä tahansa unionin virallista kieltä lähettäessään kirjallisia viestejä virastolle. Kyseisillä henkilöillä on oikeus saada vastaus samalla kielellä.

35 artikla

Tietosuoja

1. Viraston suorittamaan henkilötietojen käsittelyyn sovelletaan asetusta (EU) 2018/1725.

2. Hallintoneuvosto hyväksyy toimenpiteet, joiden mukaisesti virasto soveltaa asetusta (EU) 2018/1725, mukaan lukien tietosuojavastaavaa koskevat toimenpiteet. Kyseiset toimenpiteet hyväksytään Euroopan tietosuojavaltuutetun kuulemisen jälkeen.

36 artikla

Henkilötietojen käsittelyn tarkoitukset

1. Virasto voi käsitellä henkilötietoja ainoastaan seuraavissa tarkoituksissa:

a)	kun se on tarpeen virastolle unionin oikeudessa osoitettujen, laaja-alaisten tietojärjestelmien operatiivisen hallinnointiin liittyvien tehtävien hoitamiseksi;

b)	kun se on tarpeen viraston hallinnollisten tehtävien hoitamiseksi.

2. Kun virasto käsittelee henkilötietoja tämän artiklan 1 kohdan a alakohdan mukaisessa tarkoituksessa, sovelletaan asetusta (EU) 2018/1725, sanotun kuitenkaan rajoittamatta järjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevien unionin säädösten sisältämien tietosuojaa ja tietoturvallisuutta koskevien erityisten säännösten soveltamista.

37 artikla

Turvallisuusluokiteltujen tietojen ja arkaluonteisten turvallisuusluokittelemattomien tietojen suojelemista koskevat turvallisuussäännöt

1. Virasto hyväksyy omat turvallisuussääntönsä, jotka perustuvat Euroopan unionin turvallisuusluokiteltujen tietojen ja arkaluonteisten turvallisuusluokittelemattomien tietojen suojelemista koskevissa komission turvallisuussäännöissä vahvistettuihin periaatteisiin ja sääntöihin, muun muassa tällaisten tietojen vaihtamista kolmansien valtioiden kanssa, käsittelyä ja tallentamista koskeviin sääntöihin, jotka on vahvistettu komission päätöksissä (EU, Euratom) 2015/443 (47) ja (EU, Euratom) 2015/444 (48). Turvallisuusluokiteltujen tietojen vaihtoa kolmannen valtion asiaankuuluvien viranomaisten kanssa koskeville hallinnollisille järjestelyille tai, jos tällaisia järjestelyjä ei ole, Euroopan unionin turvallisuusluokiteltujen tietojen poikkeukselliselle tapauskohtaiselle luovuttamiselle tällaisille viranomaisille on saatava komission ennakkohyväksyntä.

2. Hallintoneuvosto vahvistaa tämän artiklan 1 kohdassa tarkoitetut turvallisuussäännöt komission hyväksyttyä ne. Virasto voi toteuttaa kaikki tarvittavat toimenpiteet helpottaakseen tehtäviinsä liittyvää tietojenvaihtoa komission ja jäsenvaltioiden sekä tarpeen mukaan asiaankuuluvien unionin virastojen kanssa. Virasto kehittää tietojärjestelmän, jolla voidaan vaihtaa turvallisuusluokiteltuja tietoja komission, jäsenvaltioiden ja asiaankuuluvien unionin virastojen kanssa päätöksen (EU, Euratom) 2015/444 mukaisesti, ja käyttää kyseistä tietojärjestelmää. Hallintoneuvosto tekee tämän asetuksen 2 artiklan ja 19 artiklan 1 kohdan z alakohdan mukaisesti päätöksen sellaisesta viraston sisäisestä rakenteesta, jota asianmukaisten turvallisuusperiaatteiden noudattaminen edellyttää.

38 artikla

Viraston turvallisuus

1. Virasto vastaa turvallisuudesta ja järjestyksen ylläpitämisestä rakennuksissa, tiloissa ja maa-alueilla, jotka ovat sen käytössä. Virasto noudattaa laaja-alaisten tietojärjestelmien kehittämistä, perustamista, toimintaa ja käyttöä koskevissa unionin säädöksissä säädettyjä turvallisuusperiaatteita ja niiden asiaankuuluvia säännöksiä.

2. Viraston sijaintijäsenvaltioiden on toteutettava kaikki tehokkaat ja riittävät toimenpiteet järjestyksen ja turvallisuuden ylläpitämiseksi viraston käytössä olevien rakennusten, tilojen ja maa-alueiden välittömässä läheisyydessä ja huolehdittava viraston asianmukaisesta suojelusta viraston kotipaikkaa koskevan päätoimipaikkasopimuksen sekä teknisiä toimipaikkoja ja varayksiköitä koskevien sopimusten mukaisesti sekä taattava samalla viraston valtuuttamille henkilöille vapaa pääsy kyseisiin rakennuksiin, tiloihin ja maa-alueille.

39 artikla

Arviointi

1. Komissio arvioi hallintoneuvostoa kuultuaan ja antamiensa ohjeiden mukaisesti viraston toimintaa suhteessa sen tavoitteisiin, toimeksiantoon, sijaintipaikkoihin ja tehtäviin viimeistään 12 päivänä joulukuuta 2023 ja sen jälkeen viiden vuoden välein. Arvioinnissa tarkastellaan myös tämän asetuksen täytäntöönpanoa sekä sitä, miten ja missä määrin virasto todellisuudessa osallistuu laaja-alaisten tietojärjestelmien operatiiviseen hallinnointiin ja koordinoidun, kustannustehokkaan ja johdonmukaisen unionin tason tietotekniikkaympäristön luomiseen vapauden, turvallisuuden ja oikeuden alueella. Kyseisessä arvioinnissa käsitellään erityisesti mahdollista tarvetta muuttaa viraston toimeksiantoa ja tällaisten muutosten taloudellisia vaikutuksia. Hallintoneuvosto voi antaa komissiolle suosituksia tämän asetuksen muuttamisesta.

2. Jos komissio katsoo, ettei viraston toiminnan jatkaminen ole enää perusteltua sille asetettuihin tavoitteisiin, toimeksiantoon ja tehtäviin nähden, se voi ehdottaa, että tätä asetusta muutetaan vastaavasti tai että se kumotaan.

3. Komissio raportoi 1 kohdassa tarkoitetun arvioinnin tuloksista Euroopan parlamentille, neuvostolle ja hallintoneuvostolle. Arvioinnin tulokset julkistetaan.

40 artikla

Hallinnolliset tutkimukset

Euroopan oikeusasiamies voi tutkia viraston toimintaa Euroopan unionin toiminnasta tehdyn sopimuksen 228 artiklan mukaisesti.

41 artikla

Yhteistyö unionin toimielinten, elinten ja laitosten kanssa

1. Virasto tekee tämän asetuksen soveltamisalaan kuuluvissa asioissa yhteistyötä komission ja erityisesti vapauden, turvallisuuden ja oikeuden alueella perustettujen muiden unionin toimielinten, elinten ja laitosten kanssa ja etenkin Euroopan unionin perusoikeusviraston kanssa, jotta voidaan toteuttaa muun muassa koordinointia ja säästöjä, välttää päällekkäisyyksiä sekä edistää synergiaa ja täydentävyyttä niiden kunkin toiminnassa.

2. Virasto tekee yhteistyötä komission kanssa sellaisen työjärjestelyn puitteissa, jossa vahvistetaan operatiiviset työmenetelmät.

3. Virasto tutustuu verkko- ja tietoturvallisuutta koskeviin Euroopan verkko- ja tietoturvaviraston suosituksiin ja toteuttaa tarvittaessa niitä koskevia jatkotoimia.

4. Yhteistyö unionin elinten ja laitosten kanssa toteutetaan työjärjestelyjen puitteissa. Hallintoneuvosto antaa luvan tällaisille työjärjestelyille ottaen huomioon komission lausunnon. Jos virasto ei noudata komission lausuntoa, se ilmoittaa perustelunsa. Näissä työjärjestelyissä voidaan määrätä palvelujen jakamisesta tarvittaessa virastojen kesken joko sijaintipaikkojen läheisyyden tai toimialan perusteella virastojen toimivaltuuksien rajoissa ja rajoittamatta niiden keskeisiä tehtäviä. Näissä työjärjestelyissä voidaan ottaa käyttöön kustannusten takaisinperintämekanismi.

5. Unionin toimielimet, elimet ja laitokset käyttävät virastolta saamiaan tietoja ainoastaan toimivaltansa rajoissa ja sikäli kuin ne kunnioittavat perusoikeuksia, tietosuojavaatimukset mukaan lukien. Viraston käsittelemien henkilötietojen välittämisessä eteenpäin tai niiden muussa ilmaisemisessa unionin toimielimille, elimille tai laitoksille sovelletaan henkilötietojen siirtoa koskevia erityisiä työjärjestelyjä, ja siihen tarvitaan Euroopan tietosuojavaltuutetun ennakkohyväksyntä. Kaiken viraston suorittaman henkilötietojen siirtämisen on oltava 35 ja 36 artiklan mukaista. Turvallisuusluokiteltujen tietojen käsittelyn osalta tällaisilla työjärjestelyillä on varmistettava, että kyseinen unionin toimielin, elin tai laitos noudattaa viraston soveltamia turvallisuussääntöjä ja -vaatimuksia vastaavia sääntöjä ja vaatimuksia.

42 artikla

Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuvien maiden osallistuminen

1. Viraston toimintaan voivat osallistua maat, jotka ovat tehneet unionin kanssa sopimuksen osallistumisestaan Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin.

2. Edellä 1 kohdassa tarkoitettujen sopimusten asiaankuuluvien määräysten mukaisesti tehdään järjestelyjä, joissa erityisesti määritetään, miten ja missä määrin 1 kohdassa tarkoitetut maat osallistuvat viraston toimintaan, ja annetaan tätä koskevat yksityiskohtaiset säännöt, mukaan lukien määräykset rahoitusosuuksista, henkilöstöstä ja äänioikeudesta.

43 artikla

Yhteistyö kansainvälisten järjestöjen ja muiden asiaankuuluvien yhteisöjen kanssa

1. Jos unionin säädöksessä niin säädetään ja siinä määrin kuin se on tarpeen viraston tehtävien hoitamiseksi, virasto voi työjärjestelyistä sopimalla luoda ja pitää yllä suhteita kansainvälisiin järjestöihin ja niiden alaisiin elimiin, joihin sovelletaan kansainvälistä julkisoikeutta, tai muihin asiaankuuluviin yhteisöihin tai elimiin, jotka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

2. Työjärjestelyistä voidaan sopia 1 kohdan mukaisesti erityisesti tällaisen yhteistyön laajuuden, luonteen, tarkoituksen ja määrän täsmentämiseksi. Tällaisista työjärjestelyistä voidaan sopia ainoastaan hallintoneuvoston luvalla komission annettua siihen ennakkohyväksyntänsä.

V LUKU

TALOUSARVION LAATIMINEN JA RAKENNE

1 OSASTO

Yhtenäinen ohjelma-asiakirja

44 artikla

Yhtenäinen ohjelma-asiakirja

1. Toimitusjohtaja laatii vuosittain luonnoksen seuraavan vuoden yhtenäiseksi ohjelma-asiakirjaksi delegoidun asetuksen (EU) N:o 1271/2013 32 artiklan ja tämän asetuksen 49 artiklan nojalla hyväksyttyjen viraston varainhoitosääntöjen asiaankuuluvan säännöksen mukaisesti ottaen huomioon komission antamat ohjeet.

Yhtenäisen ohjelma-asiakirjan on sisällettävä monivuotinen ohjelma, vuotuinen työohjelma sekä viraston talousarvio ja sen resursseja koskevia tietoja, jotka esitetään yksityiskohtaisesti 49 artiklan nojalla hyväksytyissä viraston varainhoitosäännöissä.

2. Hallintoneuvosto hyväksyy yhtenäisen ohjelma-asiakirjan luonnoksen neuvoa-antavia ryhmiä kuultuaan ja toimittaa sen Euroopan parlamentille, neuvostolle ja komissiolle viimeistään kunkin vuoden 31 päivänä tammikuuta samoin kuin kyseisen asiakirjan mahdolliset päivitetyt versiot.

3. Hallintoneuvosto hyväksyy yhtenäisen ohjelma-asiakirjan ennen kunkin vuoden 30 päivää marraskuuta äänivaltaisten jäsentensä kahden kolmasosan enemmistöllä ja vuotuisen talousarviomenettelyn mukaisesti komission lausunnon huomioon ottaen. Hallintoneuvosto huolehtii siitä, että yhtenäisen ohjelma-asiakirjan lopullinen versio toimitetaan Euroopan parlamentille, neuvostolle ja komissiolle ja että se julkaistaan.

4. Yhtenäisestä ohjelma-asiakirjasta tulee lopullinen, kun unionin yleinen talousarvio on lopullisesti hyväksytty, ja sitä on tarvittaessa mukautettava talousarviota vastaavasti. Hyväksytty yhtenäinen ohjelma-asiakirja toimitetaan sitten Euroopan parlamentille, neuvostolle ja komissiolle ja julkaistaan.

5. Seuraavan vuoden vuotuisessa työohjelmassa esitetään yksityiskohtaiset tavoitteet ja odotettavissa olevat tulokset, tulosindikaattorit mukaan lukien. Lisäksi siinä esitetään kuvaus rahoitettavista toimista ja maininta kuhunkin toimeen osoitetuista taloudellisista ja henkilöresursseista toimintoperusteisen budjetoinnin ja hallinnoinnin periaatteiden mukaisesti. Vuotuisen työohjelman on oltava yhdenmukainen 6 kohdassa tarkoitetun monivuotisen työohjelman kanssa. Siinä ilmoitetaan selkeästi, mitä tehtäviä on lisätty, muutettu tai poistettu edelliseen varainhoitovuoteen verrattuna. Hallintoneuvosto muuttaa hyväksyttyä vuotuista työohjelmaa, jos virastolle annetaan uusi tehtävä. Vuotuiseen työohjelmaan tehtävät merkittävät muutokset hyväksytään samaa menettelyä noudattaen kuin alkuperäinen vuotuinen työohjelma. Hallintoneuvosto voi siirtää toimitusjohtajalle valtuudet tehdä vuotuiseen työohjelmaan muita kuin olennaisia muutoksia.

6. Monivuotisessa ohjelmassa vahvistetaan yleinen strateginen ohjelma, mukaan lukien tavoitteet, odotetut tulokset ja tulosindikaattorit. Siinä esitetään myös resursseja koskeva suunnitelma, mukaan lukien monivuotinen talousarvio ja henkilöstösuunnitelma. Resursseja koskevaa suunnitelmaa päivitetään vuosittain. Strategista ohjelmaa päivitetään tarvittaessa ja erityisesti 39 artiklassa tarkoitetun arvioinnin tulosten huomioon ottamiseksi.

45 artikla

Talousarvion laatiminen

1. Toimitusjohtaja laatii vuosittain, viraston toteuttamat toimet huomioon ottaen, viraston seuraavan varainhoitovuoden tuloja ja menoja koskevan ennakkoarvion luonnoksen, johon sisältyy esitys henkilöstötaulukoksi, ja toimittaa sen hallintoneuvostolle.

2. Hallintoneuvosto laatii toimitusjohtajan laatiman ennakkoarvioluonnoksen perusteella viraston seuraavan varainhoitovuoden tuloja ja menoja koskevan ennakkoarvioehdotuksen, johon sisältyy esitys henkilöstötaulukoksi. Hallintoneuvosto toimittaa sen viimeistään kunkin vuoden 31 päivänä tammikuuta komissiolle ja Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuville maille osana yhtenäistä ohjelma-asiakirjaa.

3. Komissio toimittaa ennakkoarvioehdotuksen unionin yleistä talousarviota koskevan alustavan esityksen yhteydessä budjettivallan käyttäjälle.

4. Ennakkoarvioehdotuksen perusteella komissio sisällyttää unionin yleistä talousarviota koskevaan esitykseen määrärahat, joita se pitää henkilöstötaulukon perusteella välttämättöminä, sekä yleisestä talousarviosta suoritettavan avustuksen määrän ja toimittaa talousarvioesityksen budjettivallan käyttäjälle Euroopan unionin toiminnasta tehdyn sopimuksen 313 ja 314 artiklan mukaisesti.

5. Budjettivallan käyttäjä hyväksyy virastolle annettavaa rahoitusta koskevat määrärahat.

6. Budjettivallan käyttäjä vahvistaa viraston henkilöstötaulukon.

7. Hallintoneuvosto hyväksyy viraston talousarvion. Siitä tulee lopullinen, kun unionin yleinen talousarvio on lopullisesti hyväksytty. Viraston talousarviota muutetaan tarvittaessa unionin yleisen talousarvion mukaisesti.

8. Muutokset viraston talousarvioon ja henkilöstötaulukkoon tehdään noudattaen samaa menettelyä, jota sovelletaan alkuperäisen talousarvion hyväksymiseen.

9. Hallintoneuvosto ilmoittaa budjettivallan käyttäjälle mahdollisimman pian aikomuksestaan toteuttaa hankkeita, joilla voi olla huomattavaa taloudellista vaikutusta sen talousarvion rahoittamiseen, ja erityisesti hankkeita, jotka liittyvät kiinteistöihin, kuten kiinteistöjen vuokraus tai hankinta, sanotun kuitenkaan rajoittamatta 17 artiklan 5 kohdan soveltamista. Hallintoneuvosto ilmoittaa asiasta komissiolle. Jos jompikumpi budjettivallan käyttäjä aikoo antaa lausunnon, se ilmoittaa hallintoneuvostolle tästä aikomuksestaan kahden viikon kuluessa siitä, kun se on saanut tiedon hankkeesta. Jos tällaista lausuntoa ei anneta, virasto voi käynnistää suunnitellun hankkeen. Kaikkiin rakennushankkeisiin, joilla on todennäköisesti huomattava vaikutus viraston talousarvioon, sovelletaan delegoitua asetusta (EU) N:o 1271/2013.

2 OSASTO

Talousarvion esittäminen, toteuttaminen ja valvonta

46 artikla

Talousarvion rakenne

1. Viraston kaikista tuloista ja menoista laaditaan kutakin kalenterivuotta vastaavaa varainhoitovuotta varten ennakkoarvio, jonka perusteella tulot ja menot otetaan viraston talousarvioon.

2. Viraston talousarvioon otettavien tulojen ja menojen on oltava tasapainossa.

3. Viraston tulot koostuvat seuraavista, rajoittamatta kuitenkaan muita tulomuotoja:

a)	unionin yleiseen talousarvioon (komissiota koskevaan pääluokkaan) otettu unionin rahoitusosuus;

sellaisten Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuvien maiden rahoitusosuus, jotka osallistuvat viraston toimintaan asiaa koskevien sopimusten ja 42 artiklassa tarkoitettujen, niiden rahoitusosuuden määrittävien järjestelyjen mukaisesti;

c)	unionin rahoitusosuus, joka annetaan valtuutussopimusten muodossa 49 artiklan nojalla hyväksyttyjen viraston varainhoitosääntöjen ja unionin politiikkoja tukeviin asianomaisiin välineisiin sovellettavien säännösten mukaisesti;

d)	rahoitusosuudet, jotka jäsenvaltiot maksavat niille tarjotuista palveluista 16 artiklassa tarkoitetun valtuutussopimuksen mukaisesti;

e)	unionin elinten ja laitosten kustannusten takaisinperintää varten suorittamat maksut niille tarjotuista palveluista 41 artiklassa tarkoitettujen työjärjestelyjen mukaisesti; ja

f)	jäsenvaltioiden mahdollinen vapaaehtoinen rahoitusosuus.

4. Viraston menoihin kuuluvat henkilökunnan palkat, hallinto- ja infrastruktuurimenot sekä toimintamenot.

47 artikla

Talousarvion toteuttaminen ja valvonta

1. Toimitusjohtaja huolehtii viraston talousarvion toteuttamisesta.

2. Toimitusjohtaja toimittaa vuosittain budjettivallan käyttäjälle kaikki arviointimenettelyjen tulosten kannalta tärkeät tiedot.

3. Viraston tilinpitäjä toimittaa varainhoitovuoden n alustavan tilinpäätöksen komission tilinpitäjälle ja tilintarkastustuomioistuimelle viimeistään varainhoitovuoden n + 1 maaliskuun 1 päivänä. Komission tilinpitäjä konsolidoi toimielinten ja hajautettujen elinten alustavat tilinpäätökset asetuksen (EU, Euratom) 2018/1046 245 artiklan mukaisesti.

4. Toimitusjohtaja toimittaa selvityksen vuoden n talousarvio- ja varainhallinnosta Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle viimeistään vuoden n + 1 maaliskuun 31 päivänä.

5. Komission tilinpitäjä toimittaa viraston vuoden n alustavan tilinpäätöksen konsolidoituna komission tilinpäätöksen kanssa tilintarkastustuomioistuimelle viimeistään vuoden n + 1 maaliskuun 31 päivänä.

6. Saatuaan viraston alustavaa tilinpäätöstä koskevat huomautukset, jotka tilintarkastustuomioistuin on esittänyt asetuksen (EU, Euratom) 2018/1046 246 artiklan nojalla, toimitusjohtaja laatii viraston lopullisen tilinpäätöksen omalla vastuullaan ja toimittaa sen hallintoneuvostolle lausuntoa varten.

7. Hallintoneuvosto antaa lausunnon viraston vuoden n lopullisesta tilinpäätöksestä.

8. Toimitusjohtaja toimittaa viimeistään vuoden n + 1 heinäkuun 1 päivänä lopullisen tilinpäätöksen ja hallintoneuvoston lausunnon Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle sekä Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen sekä Dublin- ja Eurodac-järjestelmiä koskeviin toimenpiteisiin osallistuville maille.

9. Vuoden n lopullinen tilinpäätös julkaistaan Euroopan unionin virallisessa lehdessä viimeistään vuoden n + 1 marraskuun 15 päivänä.

10. Toimitusjohtaja toimittaa tilintarkastustuomioistuimelle vastauksen tämän huomautuksiin viimeistään vuoden n + 1 syyskuun 30 päivänä. Toimitusjohtaja toimittaa tämän vastauksen myös hallintoneuvostolle.

11. Toimitusjohtaja antaa asetuksen (EU, Euratom) 2018/1046 261 artiklan 3 kohdan mukaisesti Euroopan parlamentille tämän pyynnöstä kaikki vuotta n koskevan vastuuvapausmenettelyn moitteettomaksi toteuttamiseksi tarvittavat tiedot.

12. Euroopan parlamentti myöntää neuvoston määräenemmistöllä antamasta suosituksesta toimitusjohtajalle vuoden n talousarvion toteuttamista koskevan vastuuvapauden ennen vuoden n + 2 toukokuun 15 päivää.

48 artikla

Eturistiriitojen estäminen

Virasto hyväksyy sisäiset säännöt, joissa edellytetään, että sen hallintoneuvoston ja neuvoa-antavien ryhmien jäsenet ja henkilöstön jäsenet välttävät tehtävänsä tai toimikautensa aikana tilanteita, jotka voivat aiheuttaa eturistiriidan, ja ilmoittavat tällaisista tilanteista. Kyseiset sisäiset säännöt julkaistaan viraston verkkosivustolla.

49 artikla

Varainhoitosäännöt

Hallintoneuvosto hyväksyy virastoon sovellettavat varainhoitosäännöt komissiota kuultuaan. Ne voivat poiketa delegoidusta asetuksesta (EU) N:o 1271/2013 ainoastaan, jos viraston toiminta sitä erityisesti edellyttää ja jos komissio on antanut siihen ennalta suostumuksensa.

50 artikla

Petostentorjunta

1. Petosten, lahjonnan ja muun laittoman toiminnan torjumiseksi sovelletaan asetusta (EU, Euratom) N:o 883/2013 ja asetusta (EU) 2017/1939.

2. Virasto liittyy 25 päivänä toukokuuta 1999 tehtyyn toimielinten väliseen sopimukseen Euroopan petostentorjuntaviraston (OLAF) sisäisistä tutkimuksista ja vahvistaa viipymättä sopimuksen liitteessä olevaa mallia käyttäen asianmukaiset määräykset, joita sovelletaan viraston kaikkiin työntekijöihin.

3. Tilintarkastustuomioistuimella on valtuudet tehdä kaikkien virastolta unionin rahoitusta saaneiden avustuksensaajien, toimeksisaajien ja alihankkijoiden osalta asiakirjoihin perustuvia ja paikan päällä suoritettavia tarkastuksia.

4. OLAF voi asetuksessa (EU, Euratom) N:o 883/2013 ja neuvoston asetuksessa (Euratom, EY) N:o 2185/96 (49) vahvistettujen säännösten ja menettelyjen mukaisesti tehdä tutkimuksia, mukaan luettuina paikan päällä suoritettavat tarkastukset ja todentamiset, selvittääkseen, onko viraston rahoittamaan avustukseen tai sopimukseen liittynyt unionin taloudellisia etuja vahingoittavia petoksia, lahjontaa tai muuta laitonta toimintaa.

5. Viraston sopimuksiin, avustussopimuksiin ja avustuspäätöksiin on sisällytettävä määräyksiä, joissa nimenomaisesti annetaan tilintarkastustuomioistuimelle, OLAFille ja EPPOlle valtuudet tehdä tarkastuksia ja tutkimuksia kukin oman toimivaltansa mukaisesti, sanotun kuitenkaan rajoittamatta 1, 2, 3 ja 4 kohdan soveltamista.

VI LUKU

MUIDEN UNIONIN SÄÄDÖSTEN MUUTTAMINEN

51 artikla

Asetuksen (EY) N:o 1987/2006 muuttaminen

Korvataan asetuksen (EY) N:o 1987/2006 15 artiklan 2 ja 3 kohta seuraavasti:

”2. Tietokantaa hallinnoiva viranomainen vastaa kaikista viestintäinfrastruktuuriin liittyvistä tehtävistä, erityisesti seuraavista:

valvonta;

b)	turvallisuus;

c)	jäsenvaltioiden ja viestintäinfrastruktuurin tarjoajan välisten suhteiden koordinointi;

d)	talousarvion toteuttamiseen liittyvät tehtävät;

e)	hankinnat ja uusimiset; ja

f)	sopimusasiat.”

52 artikla

Päätöksen 2007/533/YOS muuttaminen

Korvataan päätöksen 2007/533/YOS 15 artiklan 2 ja 3 kohta seuraavasti:

”2. Tietokantaa hallinnoiva viranomainen vastaa myös kaikista viestintäinfrastruktuuriin liittyvistä tehtävistä, erityisesti seuraavista:

valvonta;

b)	turvallisuus;

c)	jäsenvaltioiden ja viestintäinfrastruktuurin tarjoajan välisten suhteiden koordinointi;

d)	talousarvion toteuttamiseen liittyvät tehtävät;

e)	hankinnat ja uusimiset; ja

f)	sopimusasiat.”

VII LUKU

SIIRTYMÄSÄÄNNÖKSET

53 artikla

Oikeusseuraanto

1. Tällä asetuksella perustettava virasto on asetuksella (EU) N:o 1077/2011 perustetun vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston oikeusseuraaja kaikkien sen tekemien sopimusten, sitä velvoittavien sitoumusten ja kaiken sen hankkiman omaisuuden suhteen.

2. Tämä asetus ei vaikuta asetuksella (EU) N:o 1077/2011 perustetun viraston tekemien sopimusten, työjärjestelyjen eikä yhteisymmärryspöytäkirjojen oikeudelliseen sitovuuteen, sanotun kuitenkaan rajoittamatta niihin tämän asetuksen nojalla tehtäviä mahdollisia muutoksia.

54 artikla

Hallintoneuvostoa ja neuvoa-antavia ryhmiä koskevat siirtymäjärjestelyt

1. Asetuksen (EU) N:o 1077/2011 13 ja 14 artiklan mukaisesti nimitetyt hallintoneuvoston jäsenet, puheenjohtaja ja varapuheenjohtaja jatkavat tehtävissään toimikausiensa loppuun.

2. Asetuksen (EU) N:o 1077/2011 19 artiklan mukaisesti nimitetyt neuvoa-antavien ryhmien jäsenet, puheenjohtajat ja varapuheenjohtajat jatkavat tehtävissään toimikautensa loppuun.

55 artikla

Hallintoneuvoston hyväksymien sisäisten sääntöjen voimassaolo

Hallintoneuvoston asetuksen (EU) N:o 1077/2011 perusteella hyväksymät sisäiset säännöt ja toimenpiteet pysyvät voimassa 11 päivän joulukuuta 2018 jälkeen, sanotun kuitenkaan rajoittamatta niihin tämän asetuksen nojalla mahdollisesti tehtäviä muutoksia.

56 artikla

Toimitusjohtajaa koskevat siirtymäsäännökset

Asetuksen (EU) N:o 1077/2011 18 artiklan nojalla nimitetty vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston toimitusjohtaja osoitetaan toimikautensa jäljellä olevaksi ajaksi hoitamaan tämän asetuksen 24 artiklassa säädettyjä viraston toimitusjohtajan tehtäviä. Muut häntä koskevat sopimusehdot säilyvät muuttumattomina. Jos päätös toimitusjohtajan toimikauden jatkamisesta asetuksen (EU) N:o 1077/2011 18 artiklan 4 kohdan mukaisesti hyväksytään ennen 11 päivää joulukuuta 2018, toimikautta jatketaan automaattisesti 31 päivään lokakuuta 2022.

VIII LUKU

LOPPUSÄÄNNÖKSET

57 artikla

Korvaaminen ja kumoaminen

Korvataan asetus (EU) N:o 1077/2011 niiden jäsenvaltioiden osalta, joita tämä asetus sitoo.

Näin ollen asetus (EU) N:o 1077/2011 kumotaan.

Niiden jäsenvaltioiden osalta, joita tämä asetus sitoo, viittauksia kumottuun asetukseen pidetään viittauksina tähän asetukseen tämän asetuksen liitteessä olevan vastaavuustaulukon mukaisesti.

58 artikla

Voimaantulo ja soveltaminen

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tätä asetusta sovelletaan 11 päivästä joulukuuta 2018. Tämän asetuksen 19 artiklan 1 kohdan x alakohdan, 24 artiklan 3 kohdan h ja i alakohdan sekä 50 artiklan 5 kohdan viittauksia EPPOon ja tämän asetuksen 50 artiklan 1 kohdan viittauksia asetukseen (EU) 2017/1939 sovelletaan kuitenkin asetuksen (EU) 2017/1939 120 artiklan 2 kohdan toisessa alakohdassa tarkoitetussa komission päätöksessä vahvistettavasta päivästä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan jäsenvaltioissa perussopimusten mukaisesti.

Tehty Strasbourgissa 14 päivänä marraskuuta 2018.

Euroopan parlamentin puolesta

Puhemies

A. TAJANI

Neuvoston puolesta

Puheenjohtaja

K. EDTSTADLER

(1) Euroopan parlamentin kanta, vahvistettu 5. heinäkuuta 2018 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 9. marraskuuta 2018.

(2) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, annettu 20 päivänä joulukuuta 2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä (EUVL L 381, 28.12.2006, s. 4).

(3) Neuvoston päätös 2007/533/YOS, tehty 12 päivänä kesäkuuta 2007, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä (EUVL L 205, 7.8.2007, s. 63).

(4) Neuvoston päätös 2004/512/EY, tehty 8 päivänä kesäkuuta 2004, viisumitietojärjestelmän (VIS) perustamisesta (EUVL L 213, 15.6.2004, s. 5).

(5) Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, annettu 9 päivänä heinäkuuta 2008, viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta (VIS-asetus) (EUVL L 218, 13.8.2008, s. 60).

(6) Neuvoston asetus (EY) N:o 2725/2000, annettu 11 päivänä joulukuuta 2000, Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten Dublinin yleissopimuksen tehokkaaksi soveltamiseksi (EYVL L 316, 15.12.2000, s. 1).

(7) Neuvoston asetus (EY) N:o 407/2002, annettu 28 päivänä helmikuuta 2002, tietyistä säännöistä Eurodac-järjestelmän perustamisesta sormenjälkien vertailemista varten Dublinin yleissopimuksen tehokkaaksi soveltamiseksi annetun asetuksen (EY) N:o 2725/2000 täytäntöönpanemiseksi (EYVL L 62, 5.3.2002, s. 1).

(8) Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, annettu 26 päivänä kesäkuuta 2013, Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä sekä vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston perustamisesta annetun asetuksen (EU) N:o 1077/2011 muuttamisesta (EUVL L 180, 29.6.2013, s. 1).

(9) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1077/2011, annettu 25 päivänä lokakuuta 2011, vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston perustamisesta (EUVL L 286, 1.11.2011, s. 1).

(10) Neuvoston päätös 2008/633/YOS, tehty 23 päivänä kesäkuuta 2008, jäsenvaltioiden nimeämien viranomaisten ja Europolin pääsystä tekemään hakuja viisumitietojärjestelmästä (VIS) terrorismirikosten ja muiden vakavien rikosten torjumiseksi, havaitsemiseksi ja tutkimiseksi (EUVL L 218, 13.8.2008, s. 129).

(11) Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226, annettu 30 päivänä marraskuuta 2017, rajanylitystietojärjestelmän (EES) perustamisesta jäsenvaltioiden ulkorajat ylittävien kolmansien maiden kansalaisten maahantuloa, maastalähtöä ja pääsyn epäämistä koskevien tietojen rekisteröimiseksi ja edellytysten määrittämisestä pääsylle EES:n tietoihin lainvalvontatarkoituksissa sekä Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen ja asetusten (EY) N:o 767/2008 ja (EU) N:o 1077/2011 muuttamisesta (EUVL L 327, 9.12.2017, s. 20).

(12) Komission asetus (EY) N:o 1560/2003, annettu 2 päivänä syyskuuta 2003, niiden perusteiden ja menettelyjen vahvistamisesta, joiden mukaisesti määritetään kolmannen maan kansalaisen johonkin jäsenvaltioon jättämän turvapaikkahakemuksen käsittelystä vastuussa oleva jäsenvaltio, annetun neuvoston asetuksen (EY) N:o 343/2003 soveltamista koskevista säännöistä (EUVL L 222, 5.9.2003, s. 3).

(13) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240, annettu 12 päivänä syyskuuta 2018, Euroopan matkustustieto- ja -lupajärjestelmän (ETIAS) perustamisesta ja asetusten (EU) N:o 1077/2011, (EU) N:o 515/2014, (EU) 2016/399, (EU) 2016/1624 ja (EU) 2017/2226 muuttamisesta (EUVL L 236, 19.9.2018, s. 1).

(14) Euroopan parlamentin ja neuvoston päätös N:o 922/2009/EY, tehty 16 päivänä syyskuuta 2009, yhteentoimivuusratkaisuista eurooppalaisille julkishallinnoille (ISA) (EUVL L 280, 3.10.2009, s. 20).

(15) Euroopan parlamentin ja neuvoston päätös (EU) 2015/2240, annettu 25 päivänä marraskuuta 2015, eurooppalaisia julkishallintoja, yrityksiä ja kansalaisia palvelevia yhteentoimivuusratkaisuja sekä yhteisiä toteutuspuitteita koskevasta ohjelmasta (ISA2-ohjelma) julkisen sektorin nykyaikaistamisen välineenä (EUVL L 318, 4.12.2015, s. 1).

(16) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046, annettu 18 päivänä heinäkuuta 2018, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta (EUVL L 193, 30.7.2018, s. 1).

(17) Neuvoston asetus (EU) N:o 1053/2013, annettu 7 päivänä lokakuuta 2013, arviointi- ja valvontamekanismin perustamisesta Schengenin säännöstön soveltamisen varmistamista varten ja toimeenpanevan komitean 16 päivänä syyskuuta 1998 pysyvän Schengenin arviointi- ja soveltamiskomitean perustamisesta tekemän päätöksen kumoamisesta (EUVL L 295, 6.11.2013, s. 27).

(18) Euroopan parlamentin ja neuvoston asetus (EU) 2016/1624, annettu 14 päivänä syyskuuta 2016, eurooppalaisesta raja- ja merivartiostosta ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/399 muuttamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 863/2007, neuvoston asetuksen (EY) N:o 2007/2004 ja neuvoston päätöksen 2005/267/EY kumoamisesta (EUVL L 251, 16.9.2016, s. 1).

(19) Euroopan parlamentin ja neuvoston asetus (EU) N:o 515/2014, annettu 16 päivänä huhtikuuta 2014, ulkorajojen ja viisumipolitiikan rahoitusvälineen perustamisesta osana sisäisen turvallisuuden rahastoa ja päätöksen N:o 574/2007/EY kumoamisesta (EUVL L 150, 20.5.2014, s. 143).

(20) EUVL C 373, 20.12.2013, s. 1.

(21) Euroopan parlamentin ja neuvoston asetus (EU) N:o 526/2013, annettu 21 päivänä toukokuuta 2013, Euroopan unionin verkko- ja tietoturvavirastosta (ENISA) ja asetuksen (EY) N:o 460/2004 kumoamisesta (EUVL L 165, 18.6.2013, s. 41).

(23) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(24) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

(25) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) N:o 883/2013, annettu 11 päivänä syyskuuta 2013, Euroopan petostentorjuntaviraston (OLAF) tutkimuksista sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1073/1999 ja neuvoston asetuksen (Euratom) N:o 1074/1999 kumoamisesta (EUVL L 248, 18.9.2013, s. 1).

(26) EYVL L 136, 31.5.1999, s. 15.

(27) Neuvoston asetus (EU) 2017/1939, annettu 12 päivänä lokakuuta 2017, tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa (EUVL L 283, 31.10.2017, s. 1).

(28) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta ja komission virkamiehiin väliaikaisesti sovellettavista erityistoimenpiteistä (EYVL L 56, 4.3.1968, s. 1).

(29) Komission delegoitu asetus (EU) N:o 1271/2013, annettu 30 päivänä syyskuuta 2013, Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) N:o 966/2012 208 artiklassa tarkoitettuja elimiä koskevasta varainhoidon puiteasetuksesta (EUVL L 328, 7.12.2013, s. 42).

(30) EUVL L 66, 8.3.2006, s. 38.

(31) Neuvoston päätös 2000/365/EY, tehty 29 päivänä toukokuuta 2000, Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan pyynnöstä saada osallistua joihinkin Schengenin säännöstön määräyksiin (EYVL L 131, 1.6.2000, s. 43).

(32) Neuvoston päätös (EU) 2018/1600, annettu 28 päivänä syyskuuta 2018, Ison-Britannian ja Pohjois-Irlannin yhdistyneen kuningaskunnan esittämästä pyynnöstä osallistua joihinkin Schengenin säännöstön määräyksiin, jotka koskevat laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vapauden, turvallisuuden ja oikeuden alueella vastaavaa Euroopan unionin virastoa (eu-LISA) (EUVL L 267, 25.10.2018, s. 3).

(33) Neuvoston päätös 2002/192/EY, tehty 28 päivänä helmikuuta 2002, Irlannin pyynnöstä saada osallistua joihinkin Schengenin säännöstön määräyksiin (EYVL L 64, 7.3.2002, s. 20).

(34) EYVL L 176, 10.7.1999, s. 36.

(35) Neuvoston päätös 1999/437/EY, tehty 17 päivänä toukokuuta 1999, tietyistä Euroopan unionin neuvoston, Islannin tasavallan ja Norjan kuningaskunnan välillä näiden kahden valtion osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen tehdyn sopimuksen yksityiskohtaisista soveltamissäännöistä (EYVL L 176, 10.7.1999, s. 31).

(36) EYVL L 93, 3.4.2001, s. 40.

(37) EUVL L 53, 27.2.2008, s. 52.

(38) Neuvoston päätös 2008/146/EY, tehty 28 päivänä tammikuuta 2008, Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välisen, Sveitsin valaliiton osallistumista Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen koskevan sopimuksen tekemisestä Euroopan yhteisön puolesta (EUVL L 53, 27.2.2008, s. 1).

(39) EUVL L 53, 27.2.2008, s. 5.

(40) EUVL L 160, 18.6.2011, s. 21.

(41) Neuvoston päätös 2011/350/EU, annettu 7 päivänä maaliskuuta 2011, Liechtensteinin ruhtinaskunnan liittymisestä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen, joka koskee Sveitsin valaliiton osallistumista Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen, Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välillä tehtävän pöytäkirjan tekemisestä Euroopan unionin puolesta, siltä osin kuin kyse on tarkastusten poistamisesta sisärajoilta ja henkilöiden liikkumisesta rajojen yli (EUVL L 160, 18.6.2011, s. 19).

(42) EUVL L 160, 18.6.2011, s. 39.

(43) Euroopan parlamentin ja neuvoston asetus (EU) N:o 604/2013, annettu 26 päivänä kesäkuuta 2013, kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta (EUVL L 180, 29.6.2013, s. 31).

(44) Neuvoston direktiivi 2004/82/EY, annettu 29 päivänä huhtikuuta 2004, liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista (EUVL L 261, 6.8.2004, s. 24).

(45) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681, annettu 27 päivänä huhtikuuta 2016, matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten (EUVL L 119, 4.5.2016, s. 132).

(46) Neuvoston asetus N:o 1, annettu 15 päivänä huhtikuuta 1958, Euroopan talousyhteisössä käytettäviä kieliä koskevista järjestelyistä (EYVL 17, 6.10.1958, s. 385/58).

(47) Komission päätös (EU, Euratom) 2015/443, annettu 13 päivänä maaliskuuta 2015, turvallisuudesta komissiossa (EUVL L 72, 17.3.2015, s. 41).

(48) Komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä (EUVL L 72, 17.3.2015, s. 53).

(49) Neuvoston asetus (Euratom, EY) N:o 2185/96, annettu 11 päivänä marraskuuta 1996, komission paikan päällä suorittamista tarkastuksista ja todentamisista Euroopan yhteisöjen taloudellisiin etuihin kohdistuvien petosten ja muiden väärinkäytösten estämiseksi (EYVL L 292, 15.11.1996, s. 2).

LIITE

VASTAAVUUSTAULUKKO

Asetus (EU) N:o 1077/2011	Tämä asetus

1 artiklan 1 kohta	1 artiklan 1 kohta
—	1 artiklan 2 kohta
1 artiklan 2 kohta	1 artiklan 3 ja 4 kohta
1 artiklan 3 kohta	1 artiklan 5 kohta
1 artiklan 4 kohta	1 artiklan 6 kohta
2 artikla	2 artikla
3 artikla	3 artikla
4 artikla	4 artikla
5 artikla	5 artikla
5 a artikla	6 artikla
—	7 artikla
—	8 artikla
6 artikla	9 artikla
—	10 artikla
7 artiklan 1 ja 2 kohta	11 artiklan 1 kohta
7 artiklan 3 kohta	11 artiklan 2 kohta
7 artiklan 4 kohta	11 artiklan 3 kohta
7 artiklan 5 kohta	11 artiklan 4 kohta
7 artiklan 6 kohta	11 artiklan 5 kohta
—	12 artikla
—	13 artikla
8 artiklan 1 kohta	14 artiklan 1 kohta
—	14 artiklan 2 kohta
8 artiklan 2 kohta	14 artiklan 3 kohta
9 artiklan 1 ja 2 kohta	15 artiklan 1 ja 2 kohta
—	15 artiklan 3 kohta
—	15 artiklan 4 kohta
—	16 artikla
10 artiklan 1 ja 2 kohta	17 artiklan 1 ja 2 kohta
10 artiklan 3 kohta	24 artiklan 2 kohta
10 artiklan 4 kohta	17 artiklan 3 kohta
—	17 artiklan 4 kohta
—	17 artiklan 5 kohta
11 artikla	18 artikla
12 artiklan 1 kohta	19 artiklan 1 kohta
—	19 artiklan 1 kohdan a alakohta
—	19 artiklan 1 kohdan b alakohta
12 artiklan 1 kohdan a alakohta	19 artiklan 1 kohdan c alakohta
12 artiklan 1 kohdan b alakohta	19 artiklan 1 kohdan d alakohta
12 artiklan 1 kohdan c alakohta	19 artiklan 1 kohdan e alakohta
—	19 artiklan 1 kohdan f alakohta
12 artiklan 1 kohdan d alakohta	19 artiklan 1 kohdan g alakohta
—	19 artiklan 1 kohdan h alakohta
—	19 artiklan 1 kohdan i alakohta
—	19 artiklan 1 kohdan j alakohta
—	19 artiklan 1 kohdan k alakohta
12 artiklan 1 kohdan e alakohta	19 artiklan 1 kohdan l alakohta
—	19 artiklan 1 kohdan m alakohta
12 artiklan 1 kohdan f alakohta	19 artiklan 1 kohdan n alakohta
12 artiklan 1 kohdan g alakohta	19 artiklan 1 kohdan o alakohta
—	19 artiklan 1 kohdan p alakohta
12 artiklan 1 kohdan h alakohta	19 artiklan 1 kohdan q alakohta
12 artiklan 1 kohdan i alakohta	19 artiklan 1 kohdan q alakohta
12 artiklan 1 kohdan j alakohta	19 artiklan 1 kohdan r alakohta
—	19 artiklan 1 kohdan s alakohta
12 artiklan 1 kohdan k alakohta	19 artiklan 1 kohdan t alakohta
12 artiklan 1 kohdan l alakohta	19 artiklan 1 kohdan u alakohta
12 artiklan 1 kohdan m alakohta	19 artiklan 1 kohdan v alakohta
12 artiklan 1 kohdan n alakohta	19 artiklan 1 kohdan w alakohta
12 artiklan 1 kohdan o alakohta	19 artiklan 1 kohdan x alakohta
—	19 artiklan 1 kohdan y alakohta
12 artiklan 1 kohdan p alakohta	19 artiklan 1 kohdan z alakohta
12 artiklan 1 kohdan q alakohta	19 artiklan 1 kohdan bb alakohta
12 artiklan 1 kohdan r alakohta	19 artiklan 1 kohdan cc alakohta
12 artiklan 1 kohdan s alakohta	19 artiklan 1 kohdan dd alakohta
12 artiklan 1 kohdan t alakohta	19 artiklan 1 kohdan ff alakohta
12 artiklan 1 kohdan u alakohta	19 artiklan 1 kohdan gg alakohta
12 artiklan 1 kohdan v alakohta	19 artiklan 1 kohdan hh alakohta
12 artiklan 1 kohdan w alakohta	19 artiklan 1 kohdan ii alakohta
12 artiklan 1 kohdan x alakohta	19 artiklan 1 kohdan jj alakohta
—	19 artiklan 1 kohdan ll alakohta
12 artiklan 1 kohdan y alakohta	19 artiklan 1 kohdan mm alakohta
12 artiklan 1 kohdan z alakohta	19 artiklan 1 kohdan nn alakohta
—	19 artiklan 1 kohdan oo alakohta
12 artiklan 1 kohdan aa alakohta	19 artiklan 1 kohdan pp alakohta
12 artiklan 1 kohdan sa alakohta	19 artiklan 1 kohdan ee alakohta
12 artiklan 1 kohdan xa alakohta	19 artiklan 1 kohdan kk alakohta
12 artiklan 1 kohdan za alakohta	19 artiklan 1 kohdan mm alakohta
—	19 artiklan 1 kohdan toinen alakohta
—	19 artiklan 2 kohta
12 artiklan 2 kohta	19 artiklan 3 kohta
13 artiklan 1 kohta	20 artiklan 1 kohta
13 artiklan 2 ja 3 kohta	20 artiklan 2 kohta
13 artiklan 4 kohta	20 artiklan 3 kohta
13 artiklan 5 kohta	20 artiklan 4 kohta
14 artiklan 1 ja 3 kohta	21 artiklan 1 kohta
14 artiklan 2 kohta	21 artiklan 2 kohta
15 artiklan 1 kohta	22 artiklan 1 ja 3 kohta
15 artiklan 2 kohta	22 artiklan 2 kohta
15 artiklan 3 kohta	22 artiklan 5 kohta
15 artiklan 4 ja 5 kohta	22 artiklan 4 kohta
15 artiklan 6 kohta	22 artiklan 6 kohta
16 artiklan 1–5 kohta	23 artiklan 1–5 kohta
—	23 artiklan 6 kohta
16 artiklan 6 kohta	23 artiklan 7 kohta
16 artiklan 7 kohta	23 artiklan 8 kohta
17 artiklan 1 ja 4 kohta	24 artiklan 1 kohta
17 artiklan 2 kohta	—
17 artiklan 3 kohta	—
17 artiklan 5 ja 6 kohta	24 artiklan 3 kohta
17 artiklan 5 kohdan a alakohta	24 artiklan 3 kohdan a alakohta
17 artiklan 5 kohdan b alakohta	24 artiklan 3 kohdan b alakohta
17 artiklan 5 kohdan c alakohta	24 artiklan 3 kohdan c alakohta
17 artiklan 5 kohdan d alakohta	24 artiklan 3 kohdan o alakohta
17 artiklan 5 kohdan e alakohta	22 artiklan 2 kohta
17 artiklan 5 kohdan f alakohta	19 artiklan 2 kohta
17 artiklan 5 kohdan g alakohta	24 artiklan 3 kohdan p alakohta
17 artiklan 5 kohdan h alakohta	24 artiklan 3 kohdan q alakohta
17 artiklan 6 kohdan a alakohta	24 artiklan 3 kohdan d ja g alakohta
17 artiklan 6 kohdan b alakohta	24 artiklan 3 kohdan k alakohta
17 artiklan 6 kohdan c alakohta	24 artiklan 3 kohdan d alakohta
17 artiklan 6 kohdan d alakohta	24 artiklan 3 kohdan l alakohta
17 artiklan 6 kohdan e alakohta	—
17 artiklan 6 kohdan f alakohta	—
17 artiklan 6 kohdan g alakohta	24 artiklan 3 kohdan r alakohta
17 artiklan 6 kohdan h alakohta	24 artiklan 3 kohdan s alakohta
17 artiklan 6 kohdan i alakohta	24 artiklan 3 kohdan t alakohta
17 artiklan 6 kohdan j alakohta	24 artiklan 3 kohdan v alakohta
17 artiklan 6 kohdan k alakohta	24 artiklan 3 kohdan u alakohta
17 artiklan 7 kohta	24 artiklan 4 kohta
—	24 artiklan 5 kohta
18 artikla	25 artikla
18 artiklan 1 kohta	25 artiklan 1 ja 10 kohta
18 artiklan 2 kohta	25 artiklan 2, 3 ja 4 kohta
18 artiklan 3 kohta	25 artiklan 5 kohta
18 artiklan 4 kohta	25 artiklan 6 kohta
18 artiklan 5 kohta	25 artiklan 7 kohta
18 artiklan 6 kohta	24 artiklan 1 kohta
—	25 artiklan 8 kohta
18 artiklan 7 kohta	25 artiklan 9 ja 10 kohta
—	25 artiklan 11 kohta
—	26 artikla
19 artikla	27 artikla
20 artikla	28 artikla
20 artiklan 1 ja 2 kohta	28 artiklan 1 ja 2 kohta
20 artiklan 3 kohta	—
20 artiklan 4 kohta	28 artiklan 3 kohta
20 artiklan 5 kohta	28 artiklan 4 kohta
20 artiklan 6 kohta	28 artiklan 5 kohta
20 artiklan 7 kohta	28 artiklan 6 kohta
20 artiklan 8 kohta	28 artiklan 7 kohta
21 artikla	29 artikla
22 artikla	30 artikla
23 artikla	31 artikla
24 artikla	32 artikla
25 artiklan 1 ja 2 kohta	33 artiklan 1 ja 2 kohta
—	33 artiklan 3 kohta
25 artiklan 3 kohta	33 artiklan 4 kohta
26 ja 27 artikla	34 artikla
28 artiklan 1 kohta	35 artiklan 1 kohta ja 36 artiklan 2 kohta
28 artiklan 2 kohta	35 artiklan 2 kohta
—	36 artiklan 1 kohta
29 artiklan 1 ja 2 kohta	37 artiklan 1 kohta
29 artiklan 3 kohta	37 artiklan 2 kohta
30 artikla	38 artikla
31 artiklan 1 kohta	39 artiklan 1 kohta
31 artiklan 2 kohta	39 artiklan 1 ja 3 kohta
—	39 artiklan 2 kohta
—	40 artikla
—	41 artikla
—	43 artikla
—	44 artikla
32 artiklan 1 kohta	46 artiklan 3 kohta
32 artiklan 2 kohta	46 artiklan 4 kohta
32 artiklan 3 kohta	46 artiklan 2 kohta
32 artiklan 4 kohta	45 artiklan 2 kohta
32 artiklan 5 kohta	45 artiklan 2 kohta
32 artiklan 6 kohta	44 artiklan 2 kohta
32 artiklan 7 kohta	45 artiklan 3 kohta
32 artiklan 8 kohta	45 artiklan 4 kohta
32 artiklan 9 kohta	45 artiklan 5 ja 6 kohta
32 artiklan 10 kohta	45 artiklan 7 kohta
32 artiklan 11 kohta	45 artiklan 8 kohta
32 artiklan 12 kohta	45 artiklan 9 kohta
33 artiklan 1–4 kohta	47 artiklan 1–4 kohta
—	47 artiklan 5 kohta
33 artiklan 5 kohta	47 artiklan 6 kohta
33 artiklan 6 kohta	47 artiklan 7 kohta
33 artiklan 7 kohta	47 artiklan 8 kohta
33 artiklan 8 kohta	47 artiklan 9 kohta
33 artiklan 9 kohta	47 artiklan 10 kohta
33 artiklan 10 kohta	47 artiklan 11 kohta
33 artiklan 11 kohta	47 artiklan 12 kohta
—	48 artikla
34 artikla	49 artikla
35 artiklan 1 ja 2 kohta	50 artiklan 1 ja 2 kohta
—	50 artiklan 3 kohta
35 artiklan 3 kohta	50 artiklan 4 ja 5 kohta
36 artikla	—
37 artikla	42 artikla
—	51 artikla
—	52 artikla
—	53 artikla
—	54 artikla
—	55 artikla
—	56 artikla
—	57 artikla
38 artikla	58 artikla
—	Liite

21.11.2018

Euroopan unionin virallinen lehti

L 295/138

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2018/1727,

annettu 14 päivänä marraskuuta 2018,

Euroopan unionin rikosoikeudellisen yhteistyön virastosta (Eurojust) ja neuvoston päätöksen 2002/187/YOS korvaamisesta ja kumoamisesta

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 85 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

noudattavat tavallista lainsäätämisjärjestystä (1),

sekä katsovat seuraavaa:

(1)

Eurojust perustettiin neuvoston päätöksellä 2002/187/YOS (2) unionin elimeksi, joka on oikeushenkilö, edistämään ja parantamaan jäsenvaltioiden toimivaltaisten oikeusviranomaisten välistä koordinointia ja yhteistyötä erityisesti vakavan järjestäytyneen rikollisuuden alalla. Eurojustin oikeudellista kehystä on muutettu neuvoston päätöksillä 2003/659/YOS (3) ja 2009/426/YOS (4).

(2)

Euroopan unionin toiminnasta tehdyn sopimuksen 85 artiklan mukaan Eurojustin toimintaa on säänneltävä asetuksella, joka annetaan tavallista lainsäätämisjärjestystä noudattaen. Siinä määrätään myös, että on säädettävä menettelytavoista, jotka koskevat Euroopan parlamentin ja kansallisten parlamenttien osallistumista Eurojustin toiminnan arviointiin.

(3)

Euroopan unionin toiminnasta tehdyn sopimuksen 85 artiklassa määrätään myös, että Eurojustin tehtävänä on jäsenvaltioiden viranomaisten ja Euroopan unionin lainvalvontayhteistyöviraston (Europol) toteuttamien operaatioiden sekä niiden toimittamien tietojen perusteella tukea ja tehostaa kansallisten tutkinta- ja syyttäjäviranomaisten toiminnan yhteensovittamista ja yhteistyötä sellaisen vakavan rikollisuuden alalla, joka koskee kahta tai useampaa jäsenvaltiota tai edellyttää yhteisin perustein toteutettavia syytetoimia.

(4)	Tämän asetuksen tarkoituksena on muuttaa ja laajentaa päätöksen 2002/187/YOS säännöksiä. Koska tehtävät muutokset ovat merkittäviä sekä lukumääränsä että luonteensa osalta, päätös 2002/187/YOS olisi selkeyden vuoksi kumottava kokonaan niiden jäsenvaltioiden osalta, joita tämä asetus sitoo.

(5)

Koska Euroopan syyttäjänvirasto (EPPO) on perustettu tiiviimmän yhteistyön keinoin, neuvoston asetus (EU) 2017/1939 (5) on kaikilta osiltaan velvoittava ja sitä sovelletaan sellaisenaan ainoastaan niissä jäsenvaltioissa, jotka osallistuvat tiiviimpään yhteistyöhön. Niiden jäsenvaltioiden osalta, jotka eivät osallistu EPPOon, Eurojust on sen vuoksi edelleen täysin toimivaltainen tämän asetuksen liitteessä I lueteltujen vakavan rikollisuuden muotojen osalta.

(6)

Euroopan unionista tehdyn sopimuksen 4 artiklan 3 kohdassa viitataan vilpittömän yhteistyön periaatteeseen, jonka mukaan unioni ja jäsenvaltiot kunnioittavat ja avustavat toisiaan Euroopan unionista tehdystä sopimuksesta ja Euroopan unionin toiminnasta tehdystä sopimuksesta johtuvia tehtäviä täyttäessään.

(7)	Eurojustin ja EPPOn välisen yhteistyön helpottamiseksi Eurojustin olisi käsiteltävä tarvittaessa EPPOn kannalta merkityksellisiä kysymyksiä.

(8)

Koska EPPO on perustettu tiiviimmän yhteistyön kautta, EPPOn ja Eurojustin toimivallan jakautuminen unionin taloudellisia etuja vahingoittavien rikosten osalta on tarpeen määrittää selvästi. Siitä päivästä, jona EPPO alkaa hoitaa tehtäviään, Eurojustin olisi voitava käyttää toimivaltaansa tapauksissa, jotka koskevat rikoksia, joiden osalta EPPO on toimivaltainen, jos niihin liittyy sekä jäsenvaltioita, jotka osallistuvat tiiviimpään yhteistyöhön EPPOn perustamisessa, että jäsenvaltioita, jotka eivät osallistu tällaiseen tiiviimpään yhteistyöhön. Tällaisissa tapauksissa Eurojustin olisi toimittava tiiviimpään yhteistyöhön osallistumattomien jäsenvaltioiden tai EPPOn pyynnöstä. Eurojustin olisi joka tapauksessa oltava edelleen toimivaltainen unionin taloudellisia etuja vahingoittavien rikosten osalta silloin, kun EPPO ei ole toimivaltainen tai kun se on toimivaltainen muttei käytä toimivaltaansa. Jäsenvaltiot, jotka eivät osallistu tiiviimpään yhteistyöhön EPPOn perustamisessa, voivat edelleen pyytää Eurojustin tukea kaikissa unionin taloudellisia etuja vahingoittavia rikoksia koskevissa tapauksissa. EPPOn ja Eurojustin olisi kehitettävä tiivistä operatiivista yhteistyötä kummankin toimivaltuuksien mukaisesti.

(9)

Jotta Eurojust voisi hoitaa toimeksiantonsa ja kehittää sen koko potentiaalia vakavan rajat ylittävän rikollisuuden torjunnassa, sen operatiivisia tehtäviä olisi vahvistettava vähentämällä kansallisten jäsenten hallinnollista työtaakkaa ja sen eurooppalaista ulottuvuutta syvennettävä ottamalla komissio mukaan johtokuntaan ja lisäämällä Euroopan parlamentin ja kansallisten parlamenttien osallistumista sen toiminnan arviointiin.

(10)	Sen vuoksi tällä asetuksella olisi määritettävä parlamentaarista osallistumista koskevat järjestelyt, uudistettava Eurojustin rakennetta ja yksinkertaistettava sen voimassa olevaa oikeudellista kehystä säilyttäen kuitenkin ne osatekijät, jotka ovat osoittautuneet tehokkaiksi sen toiminnassa.

(11)

Olisi selkeästi määriteltävä kahta tai useampaa jäsenvaltiota koskevat vakavan rikollisuuden muodot, jotka kuuluvat Eurojustin toimivaltaan. Lisäksi olisi määriteltävä tapaukset, joihin ei liity kahta tai useampaa jäsenvaltiota mutta jotka edellyttävät yhteisin perustein toteutettavia syytetoimia. Näihin tapauksiin voi sisältyä tutkinta- ja syytetoimia, jotka koskevat vain yhtä jäsenvaltiota ja jotakin kolmatta maata, jos kyseisen kolmannen maan kanssa on tehty sopimus tai jos Eurojustin osallistumiselle voi olla erityinen tarve. Tällaiset syytetoimet voivat koskea myös tapauksia, jotka koskevat yhtä jäsenvaltiota ja joilla on vaikutuksia unionin tasolla.

(12)

Hoitaessaan konkreettisiin rikostapauksiin liittyviä operatiivisia tehtäviään jäsenvaltioiden toimivaltaisten viranomaisten pyynnöstä tai omasta aloitteestaan Eurojustin olisi toimittava joko yhden tai useamman kansallisen jäsenensä kautta tai kollegiona. Toimimalla omasta aloitteestaan Eurojust voi olla aloitteellisempi tapausten koordinoinnissa, kuten tukiessaan kansallisia viranomaisia niiden tutkinta- ja syytetoimissa. Tähän voi sisältyä se, että mukaan otetaan jäsenvaltioita, jotka eivät välttämättä ole alun perin olleet mukana tapauksessa, ja että havaitaan yhteyksiä tapausten välillä niiden tietojen perusteella, joita se saa Europolilta, Euroopan petostentorjuntavirastolta (OLAF), EPPOlta ja kansallisilta viranomaisilta. Tämä antaa Eurojustille myös mahdollisuuden laatia ohjeita, toimintapoliittisia asiakirjoja ja tapaustyöskentelyyn liittyviä analyyseja osana sen strategista työtä.

(13)

Eurojustin olisi voitava jäsenvaltion toimivaltaisen viranomaisen tai komission pyynnöstä myös avustaa tutkintatoimissa, jotka liittyvät ainoastaan kyseiseen jäsenvaltioon mutta joilla on vaikutuksia unionin tasolla. Esimerkkejä tällaisista tutkintatoimista ovat tapaukset, jotka liittyvät jonkin unionin toimielimen tai elimen jäseneen. Tällaiset tutkintatoimet kattavat myös tapaukset, joihin liittyy merkittävä määrä jäsenvaltioita ja jotka voivat mahdollisesti edellyttää koordinoituja Euroopan tason toimia.

(14)	Eurojustin kirjalliset lausunnot eivät sido jäsenvaltioita, mutta niihin olisi vastattava tämän asetuksen mukaisesti.

(15)

Jotta Eurojust voi asianmukaisesti tukea ja koordinoida rajat ylittäviä tutkintatoimia, on tarpeen, että kaikilla kansallisilla jäsenillä on jäsenvaltionsa osalta kyseisen jäsenvaltion lainsäädännön mukaisesti tarvittavat operatiiviset valtuudet, jotta nämä voivat tehdä yhteistyötä keskenään ja kansallisten viranomaisten kanssa aiempaa johdonmukaisemmin ja tuloksellisemmin. Kansallisille jäsenille olisi myönnettävä nämä valtuudet, joiden avulla Eurojust voi asianmukaisesti hoitaa toimeksiantonsa. Näihin valtuuksiin olisi sisällyttävä pääsy kansallisissa julkisissa rekistereissä oleviin olennaisiin tietoihin, mahdollisuus ottaa suoraan yhteyttä toimivaltaisiin viranomaisiin ja vaihtaa tietoja näiden kanssa sekä mahdollisuus osallistua yhteisiin tutkintaryhmiin. Kansalliset jäsenet voivat kansallisen lainsäädäntönsä mukaisesti säilyttää niille kansallisina viranomaisina kuuluvat valtuudet. Kansalliset jäsenet voivat toimivaltaisen kansallisen viranomaisen suostumuksella tai kiireellisissä tapauksissa myös määrätä tutkintatoimia ja valvottuja läpilaskuja sekä esittää ja panna täytäntöön keskinäistä oikeusapua tai vastavuoroista tunnustamista koskevia pyyntöjä. Koska näitä valtuuksia käytetään kansallisen lainsäädännön mukaisesti, jäsenvaltioiden tuomioistuinten olisi oltava toimivaltaisia valvomaan näitä toimenpiteitä kansallisessa lainsäädännössä vahvistettujen vaatimusten ja menettelyjen mukaisesti.

(16)

Eurojustille on tarpeen luoda hallinto- ja johtamisrakenne, jonka avulla se voi hoitaa tehtävänsä aiempaa tuloksellisemmin, joka on unionin virastoihin sovellettavien periaatteiden mukainen ja jossa noudatetaan täysimääräisesti perusoikeuksia ja -vapauksia ja säilytetään samalla Eurojustin erityispiirteet ja turvataan sen riippumattomuus operatiivisten tehtävien hoidossa. Tätä varten olisi täsmennettävä kansallisten jäsenten, kollegion ja hallintojohtajan tehtävät sekä perustettava johtokunta.

(17)

Olisi annettava säännöksiä, joilla kollegion operatiiviset ja hallinnointitehtävät erotetaan selvästi toisistaan, ja vähennettävä näin mahdollisimman paljon kansallisten jäsenten hallinnollista taakkaa, jotta voidaan keskittyä Eurojustin operatiiviseen työhön. Kollegion hallinnointitehtäviin olisi sisällyttävä erityisesti Eurojustin työohjelmien, talousarvion, vuotuisen toimintakertomuksen ja yhteistyökumppanien kanssa tehtävien käytännön yhteistyöjärjestelyjen hyväksyminen. Kollegion olisi käytettävä nimittävän viranomaisen toimivaltaa suhteessa hallintojohtajaan. Kollegion olisi myös vahvistettava Eurojustin työjärjestys. Koska työjärjestys saattaa vaikuttaa jäsenvaltioiden oikeudelliseen toimintaan, neuvostolle olisi siirrettävä täytäntöönpanovaltaa työjärjestyksen hyväksymiseksi.

(18)	Jotta voitaisiin parantaa Eurojustin hallintotapaa ja virtaviivaistaa menettelyjä, olisi perustettava johtokunta avustamaan kollegiota hallinnointitehtävien hoitamisessa ja nopeuttamaan strategisia ja muita kuin operatiivisia kysymyksiä koskevaa päätöksentekoa.

(19)

Komission olisi oltava edustettuna kollegiossa kollegion hoitaessa hallinnointitehtäviään. Kollegiossa olevan komission edustajan olisi oltava sen edustaja myös johtokunnassa, jotta voidaan varmistaa Eurojustin muita kuin operatiivisia kysymyksiä koskeva valvonta ja jotta sille voidaan antaa strategista ohjausta.

(20)

Eurojustin tehokkaan päivittäisen toiminnan hallinnoinnin varmistamiseksi hallintojohtajan olisi toimittava viraston oikeudellisena edustajana ja johdettava sitä ja vastattava toiminnastaan kollegiolle. Hallintojohtajan olisi valmisteltava ja pantava täytäntöön kollegion ja johtokunnan päätökset. Hallintojohtaja olisi nimitettävä ansioiden, dokumentoitujen hallinto- ja johtamistaitojen sekä asiaankuuluvan pätevyyden ja kokemuksen perusteella.

(21)

Kollegion olisi valittava kansallisten jäsenten keskuudesta Eurojustin puheenjohtaja ja kaksi varapuheenjohtajaa neljän vuoden toimikaudeksi. Kun kansallinen jäsen valitaan puheenjohtajaksi, asianomaisen jäsenvaltion olisi voitava lähettää toinen asianmukaisen pätevyyden omaava henkilö kansalliseen osastoon ja hakea korvausta Eurojustin talousarviosta.

(22)

Asianmukaisen pätevyyden omaavat henkilöt ovat henkilöitä, joilla on tarvittava pätevyys ja kokemus vaadittujen tehtävien suorittamiseksi niin, että voidaan varmistaa kansallisen osaston tehokas toiminta. Heillä voi olla puheenjohtajaksi valitun kansallisen jäsenen varajäsenen tai avustajan asema tai heillä voi olla hallinnollisempi tai teknisempi tehtävä. Kunkin jäsenvaltion olisi voitava päättää omista vaatimuksistaan tässä asiassa.

(23)

Äänivaltaisuudesta ja äänestysmenettelyistä olisi määrättävä Eurojustin työjärjestyksessä. Poikkeuksellisissa tapauksissa kansallisen jäsenen ja hänen varajäsenensä poissa ollessa asianomaisen kansallisen jäsenen avustajalla olisi oltava oikeus äänestää kollegiossa, jos avustajalla on syyttäjän, tuomarin tai oikeusviranomaisen edustajan asema.

(24)	Koska korvausjärjestelyllä on talousarviovaikutuksia, tässä asetuksessa olisi siirrettävä neuvostolle täytäntöönpanovaltaa kyseisen järjestelyn määrittämiseksi.

(25)

Eurojustiin on tarpeen perustaa päivystävä koordinaatio, jotta Eurojust voi toimia tehokkaammin ja jotta sillä olisi ympärivuorokautisesti valmius ryhtyä toimiin kiireellisissä tapauksissa. Kunkin jäsenvaltion olisi varmistettava, että sen edustajat päivystävässä koordinaatiossa kykenevät toimimaan joka päivä ympärivuorokautisesti.

(26)

Jäsenvaltioihin olisi perustettava Eurojustin kansallisia koordinointijärjestelmiä koordinoimaan työtä, jota Eurojustin kansalliset yhteyshenkilöt, terrorismiasioiden kansallinen yhteyshenkilö, mikä tahansa kansallinen yhteyshenkilö EPPOn toimivaltaa koskevissa kysymyksissä, Euroopan oikeudellisen verkoston kansallinen yhteyshenkilö ja enintään kolme muuta Euroopan oikeudellisen verkoston yhteysviranomaista sekä yhteisten tutkintaryhmien verkoston edustajat ja neuvoston päätöksillä 2002/494/YOS (6), 2007/845/YOS (7) ja 2008/852/YOS (8) perustettujen verkostojen edustajat tekevät. Jäsenvaltiot voivat päättää, että sama kansallinen yhteyshenkilö hoitaa yhtä tai useampia näistä tehtävistä.

(27)

Kansallisten tutkinta- ja syyttäjäviranomaisten välisen toiminnan yhteensovittamisen ja yhteistyön edistämiseksi ja tehostamiseksi on ensiarvoisen tärkeää, että Eurojust saa kansallisilta viranomaisilta tietoja, jotka ovat tarpeen sen tehtävien hoitamiseksi. Tätä varten toimivaltaisten kansallisten viranomaisten olisi ilmoitettava ilman aiheetonta viivytystä kansallisille jäsenilleen yhteisten tutkintaryhmien perustamisesta ja niiden saavuttamista tuloksista. Toimivaltaisten kansallisten viranomaisten olisi ilmoitettava ilman aiheetonta viivytystä kansallisille jäsenille myös Eurojustin toimivaltaan kuuluvista tapauksista, joihin liittyy suoraan ainakin kolme jäsenvaltiota ja joihin liittyviä oikeudellista yhteistyötä koskevia pyyntöjä tai päätöksiä on toimitettu ainakin kahdelle jäsenvaltiolle. Tietyissä olosuhteissa niiden olisi myös ilmoitettava kansallisille jäsenille toimivaltaristiriidoista, valvotuista läpilaskuista ja toistuvista vaikeuksista oikeudellisessa yhteistyössä.

(28)

Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/680 (9) vahvistetaan yhdenmukaiset säännöt sellaisten henkilötietojen suojelulle ja vapaalle liikkuvuudelle, joita käsitellään rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Jotta varmistetaan, että luonnollisilla henkilöillä on samantasoinen suoja ja täytäntöönpanokelpoiset oikeudet kaikkialla unionissa ja jotta estetään Eurojustin ja jäsenvaltioiden toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa haittaavat eroavuudet, Eurojustin käsittelemien operatiivisten henkilötietojen suojelua ja vapaata liikkuvuutta koskevien sääntöjen olisi oltava yhdenmukaiset direktiivin (EU) 2016/680 kanssa.

(29)

Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1725 (10) olevan operatiivisten henkilötietojen käsittelyä koskevan erillisen luvun yleisiä sääntöjä olisi sovellettava rajoittamatta tämän asetuksen erityisiä tietosuojasääntöjä. Tällaisia erityisiä sääntöjä olisi pidettävä erityissäännöksenä (lex specialis) asetuksen (EU) 2018/1725 kyseisessä luvussa oleviin säännöksiin nähden (lex specialis derogat legi generali). Jotta vähennettäisiin lainsäädännön hajanaisuutta, tässä asetuksessa olevien erityisten tietosuojasääntöjen olisi oltava sopusoinnussa asetuksen (EU) 2018/1725 kyseisen luvun taustalla olevien periaatteiden sekä riippumatonta valvontaa, oikeussuojakeinoja, vastuuta ja seuraamuksia koskevien kyseisen asetuksen säännösten kanssa.

(30)

Rekisteröidyn oikeuksien ja vapauksien suojelu edellyttää tässä asetuksessa vahvistettujen tietosuojaa koskevien velvollisuuksien selkeää kohdentamista. Jäsenvaltioiden olisi vastattava Eurojustille toimittamiensa ja Eurojustin muuttamattomina käsittelemien tietojen paikkansapitävyydestä, tällaisten tietojen pitämisestä ajan tasalla ja näiden tietojen Eurojustille siirtämisen lainmukaisuudesta. Eurojustin olisi vastattava muilta tahoilta saamiensa tietojen tai sen omista analyyseista tai tiedonkeruusta peräisin olevien tietojen paikkansapitävyydestä ja tällaisten tietojen pitämisestä ajan tasalla. Eurojustin olisi varmistettava, että tietoja käsitellään asianmukaisesti ja lainmukaisesti ja että ne kerätään ja niitä käsitellään nimenomaisesti määriteltyä tarkoitusta varten. Eurojustin olisi myös varmistettava, että tiedot ovat asianmukaisia ja olennaisia mutta eivät liian laajoja siihen tarkoitukseen nähden, jota varten niitä käsitellään, ettei niitä säilytetä pidempään, kuin on tarpeen, tuon tarkoituksen toteuttamiseksi ja että niiden käsittelyssä varmistetaan asianmukainen henkilötietojen turvallisuus ja tietojenkäsittelyn luottamuksellisuus.

(31)	Asianmukaiset suojatoimet operatiivisten henkilötietojen säilyttämiseksi yleisen edun mukaisia arkistointitarkoituksia tai tilastollisia tarkoituksia varten olisi sisällytettävä Eurojustin työjärjestykseen.

(32)

Rekisteröidyn olisi voitava käyttää asetuksessa (EU) 2018/1725 artiklassa tarkoitettua oikeuttaan saada pääsy itseään koskeviin Eurojustin käsittelemiin operatiivisiin henkilötietoihin. Rekisteröity voi esittää tällaisen pyynnön kohtuullisin väliajoin maksutta Eurojustille tai kansalliselle valvontaviranomaiselle valitsemassaan jäsenvaltiossa.

(33)	Tämän asetuksen tietosuojasäännökset eivät vaikuta sovellettaviin sääntöihin, jotka koskevat henkilötietojen hyväksyttävyyttä todisteina rikosoikeudellisessa esitutkinnassa ja rikosoikeudenkäynneissä.

(34)	Kaikkea henkilötietojen käsittelyä, jota Eurojust toteuttaa toimivaltansa puitteissa tehtäviensä suorittamiseksi, olisi pidettävä operatiivisten henkilötietojen käsittelynä.

(35)	Koska Eurojust käsittelee myös hallinnollisia henkilötietoja, jotka eivät liity rikostutkintaan, tällaisten tietojen käsittelyyn olisi sovellettava asetuksen (EU) 2018/1725 yleisiä sääntöjä.

(36)	Kun jäsenvaltio siirtää tai toimittaa Eurojustille operatiivisia henkilötietoja, toimivaltaisella viranomaisella, kansallisella jäsenellä tai Eurojustin kansallisella yhteyshenkilöllä olisi oltava oikeus pyytää kyseisten operatiivisten henkilötietojen oikaisemista tai poistamista.

(37)

Eurojustin tai valtuutetun henkilötietojen käsittelijän olisi ylläpidettävä selostetta kaikista vastuullaan olevista käsittelytoimien ryhmistä voidakseen osoittaa, että se noudattaa tätä asetusta. Eurojust ja kukin valtuutettu henkilötietojen käsittelijä olisi velvoitettava tekemään yhteistyötä Euroopan tietosuojavaltuutetun kanssa ja saattamaan pyydettäessä selosteensa sen saataville, jotta käsittelytoimia voidaan seurata niiden pohjalta. Eurojustilla tai sen valtuutetulla henkilötietojen käsittelijällä, silloin kun se käsittelee tietoja muissa kuin automatisoiduissa käsittelyjärjestelmissä, olisi oltava käytössään tehokkaat menetelmät kuten lokitiedot tai muunmuotoinen seloste, jotta osoitetaan käsittelyn laillisuus, mahdollistetaan omaehtoinen valvonta ja varmistetaan tietojen eheys ja tietoturva.

(38)

Eurojustin johtokunnan olisi nimettävä tietosuojavastaava, jonka olisi oltava henkilöstön jäsen. Eurojustin tietosuojavastaavaksi nimetyn henkilön olisi oltava käynyt tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityinen koulutus saadakseen erityisasiantuntemusta tältä alalta. Tarvittavan erityisasiantuntemuksen tason olisi määräydyttävä suhteessa Eurojustin suorittaman tietojenkäsittelyn ja käsiteltävien henkilötietojen edellyttämään suojaan.

(39)

Euroopan tietosuojavaltuutetun olisi vastattava tämän asetuksen tietosuojasäännösten valvonnasta ja niiden täysimääräisen soveltamisen varmistamisesta Eurojustin suorittamassa operatiivisten henkilötietojen käsittelyssä. Euroopan tietosuojavaltuutetulle olisi annettava valtuudet, joiden nojalla hänen on mahdollista täyttää tämä tehtävänsä tehokkaasti. Euroopan tietosuojavaltuutetulla olisi oltava oikeus kuulla Eurojustia esitetyistä pyynnöistä, saattaa asioita Eurojustin käsiteltäväksi sen suorittamaa operatiivisten henkilötietojen käsittelyä koskevien esille tulleiden huolenaiheiden ratkaisemiseksi, tehdä ehdotuksia rekisteröityjen suojelun parantamiseksi ja määrätä Eurojust toteuttamaan erityistoimia operatiivisten henkilötietojen käsittelyssä. Täten Euroopan tietosuojavaltuutetulla on tarpeen olla keinot siihen, että määräyksiä noudatetaan ja ne pannaan täytäntöön. Hänellä olisi näin ollen oltava myös valtuudet antaa Eurojustille huomautus. Huomautuksella tarkoitetaan suullista tai kirjallista muistutusta Eurojustin velvollisuudesta panna Euroopan tietosuojavaltuutetun määräykset täytäntöön tai noudattaa Euroopan tietosuojavaltuutetun ehdotuksia ja muistutusta toimenpiteistä, joita sovelletaan, jos Eurojust ei jollain tavoin noudata määräystä tai kieltäytyy panemasta sen täytäntöön.

(40)

Euroopan tietosuojavaltuutetun tehtäviä ja valtuuksia, kuten toimivaltaa määrätä Eurojust oikaisemaan operatiiviset henkilötiedot, rajoittamaan niiden käsittelyä tai poistamaan ne, jos niitä on käsitelty tähän asetukseen sisältyvien tietosuojasäännösten vastaisesti, ei pitäisi ulottaa koskemaan kansallisiin tapausaineistoihin sisältyviä henkilötietoja.

(41)

Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten yhteistyön helpottamiseksi, mutta rajoittamatta kuitenkaan Euroopan tietosuojavaltuutetun riippumattomuutta tai hänen vastuutaan Eurojustin tietosuojavalvonnasta, Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten olisi kokoonnuttava säännöllisesti Euroopan tietosuojaneuvostossa asetuksessa (EU) 2018/1725 vahvistettujen koordinoitua valvontaa koskevien sääntöjen mukaisesti.

(42)

Eurojustin olisi vastattava kolmansien maiden tai kansainvälisten järjestöjen toimittamien tai niiltä hankittujen tietojen paikkansapitävyydestä, koska se on tällaisten tietojen ensimmäinen vastaanottaja unionin alueella. Eurojustin olisi toteutettava toimenpiteitä todentaakseen mahdollisuuksien mukaan tietojen paikkansapitävyyden vastaanottaessaan tiedot tai asettaessaan tietoja muiden viranomaisten saataville.

(43)	Eurojustiin olisi sovellettava unionin toimielimiin, elimiin ja laitoksiin sovellettavia, sopimusperusteista vastuuta ja sopimukseen perustumatonta vastuuta koskevia yleisiä sääntöjä.

(44)	Eurojustin olisi voitava vaihtaa olennaisia henkilötietoja muiden unionin toimielinten, elinten ja laitosten kanssa ja pitää yllä yhteistyösuhteita niihin, siinä määrin kuin on tarpeen sen tai niiden tehtävien suorittamiseksi.

(45)

Käyttötarkoituksen rajaamisen takaamiseksi on tärkeää varmistaa, että Eurojust voi siirtää henkilötietoja kolmansiin maihin ja kansainvälisille järjestöille ainoastaan, jos se on tarpeen Eurojustin tehtävien puitteisiin kuuluvien rikosten ehkäisyä ja torjuntaa varten. Tätä varten on tarpeen varmistaa, että henkilötietoja siirrettäessä vastaanottaja vahvistaa, että se käyttää tietoja tai tiedot siirretään edelleen kolmannen maan toimivaltaiselle viranomaiselle vain niihin tarkoituksiin, joihin ne on alun perin siirretty. Tietojen siirtäminen edelleen on suoritettava tämän asetuksen mukaisesti.

(46)

Kaikki jäsenvaltiot ovat Kansainvälisen rikospoliisijärjestön (Interpol) jäseniä. Toimeksiantonsa mukaisesti Interpol vastaanottaa, säilyttää ja jakaa henkilötietoja avustaakseen toimivaltaisia viranomaisia kansainvälisen rikollisuuden ehkäisemisessä ja torjunnassa. Sen vuoksi unionin ja Interpolin yhteistyötä on aiheellista tiivistää edistämällä tehokasta henkilötietojen vaihtoa ja turvaamalla samalla perusoikeuksien ja -vapauksien noudattaminen henkilötietojen automaattisessa käsittelyssä. Kun operatiivisia henkilötietoja siirretään Eurojustista Interpolille ja siihen jäseniä lähettäneisiin maihin, olisi sovellettava tätä asetusta ja erityisesti sen kansainvälisiä siirtoja koskevia säännöksiä. Tämä asetus ei saisi vaikuttaa neuvoston yhteisessä kannassa 2005/69/YOS (11) ja neuvoston päätöksessä 2007/533/YOS (12) vahvistettuihin erityisiin sääntöihin.

(47)

Kun Eurojust siirtää operatiivisia henkilötietoja kolmannen maan viranomaiselle tai kansainväliselle järjestölle Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti tehdyn kansainvälisen sopimuksen nojalla, olisi määrättävä yksityisyyden sekä yksilöiden perusoikeuksien ja -vapauksien suojaa koskevista asianmukaisista suojatoimista, joilla varmistetaan, että sovellettavia tietosuojasääntöjä noudatetaan.

(48)

Eurojustin olisi varmistettava, että tietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle vain, jos se on tarpeen rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, ja jos rekisterinpitäjä kolmannessa maassa tai kansainvälisessä järjestössä on tässä asetuksessa tarkoitettu toimivaltainen viranomainen. Vain rekisterinpitäjänä toimivan Eurojustin olisi voitava siirtää tietoja. Tietoja voidaan siirtää, jos komissio on päättänyt, että kyseinen kolmas maa tai kansainvälinen järjestö huolehtii tietosuojan riittävyydestä, tai jos on toteutettu asianmukaiset suojatoimet tai jos sovelletaan erityistilanteita koskevia poikkeuksia.

(49)

Eurojustin olisi voitava siirtää henkilötietoja kolmannen maan viranomaiselle tai kansainväliselle järjestölle sellaisen komission päätöksen perusteella, jonka mukaan kyseisen maan tai järjestön tietosuojan taso on riittävä, jäljempänä ”tietosuojan riittävyyttä koskeva päätös”, tai siinä tapauksessa, että tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, sellaisen kansainvälisen sopimuksen perusteella, jonka unioni on tehnyt Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan nojalla, tai Eurojustin ja kolmannen maan välillä ennen tämän asetuksen soveltamispäivää tehdyn, henkilötietojen vaihdon mahdollistavan yhteistyösopimuksen perusteella.

(50)

Jos kollegio toteaa, että yhteistyöhön kolmannen maan tai kansainvälisen järjestön kanssa on operatiivinen tarve, sen olisi voitava ehdottaa neuvostolle, että tämä kiinnittää komission huomion tietosuojan riittävyyttä koskevan päätöksen tai Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan nojalla tehtävästä kansainvälisestä sopimuksesta käytävien neuvottelujen aloittamista koskevan suosituksen tarpeeseen.

(51)

Siirrot, jotka eivät perustu tietosuojan riittävyyttä koskevaan päätökseen, olisi sallittava vain, jos oikeudellisesti sitovassa välineessä on toteutettu asianmukaiset suojatoimet, joilla varmistetaan henkilötietojen suoja, tai jos Eurojust on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja katsoo arvionsa perusteella, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet. Tällaisia oikeudellisesti sitovia välineitä voisivat olla esimerkiksi oikeudellisesti sitovat kahdenväliset sopimukset, joita jäsenvaltiot ovat tehneet, jotka on pantu täytäntöön niiden oikeusjärjestyksessä ja joihin kyseisen maan rekisteröidyt voisivat vedota ja joissa varmistetaan tietosuojaa koskevien vaatimusten noudattaminen ja rekisteröityjen oikeuksien kunnioittaminen, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Eurojustin olisi voitava ottaa huomioon Eurojustin ja kolmansien maiden välillä tehdyt yhteistyösopimukset, jotka mahdollistavat henkilötietojen vaihdon, arvioidessaan kaikkia tiedonsiirtoon liittyviä seikkoja. Eurojustin olisi voitava ottaa huomioon myös se, että henkilötietojen siirtoihin sovelletaan salassapitovelvollisuutta ja tietyn käsittelytarkoituksen periaatetta, joilla varmistetaan, ettei tietoja käsitellä muita kuin siirron tarkoituksia varten. Tämän lisäksi Eurojustin olisi otettava huomioon se, että henkilötietoja ei käytetä kuolemanrangaistuksen tai minkään julman ja epäinhimillisen kohtelun pyytämiseen, määräämiseen tai täytäntöönpanemiseen. Vaikka nämä edellytykset voitaisiin katsoa tietojen siirron mahdollistaviksi asianmukaisiksi suojatoimiksi, Eurojustin olisi voitava vaatia muita suojatoimia.

(52)

Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty tai asianmukaisia suojatoimia ei ole toteutettu, henkilötietojen siirto tai siirtojen sarja voidaan toteuttaa ainoastaan erityistilanteissa, jos se on tarpeen rekisteröidyn tai muun henkilön elintärkeiden etujen suojaamiseksi tai rekisteröidyn oikeutettujen etujen turvaamiseksi, jos henkilötiedot siirtävän jäsenvaltion laissa niin säädetään; jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi; yksittäistapauksessa rikosten ennalta estämiseksi, tutkimiseksi, paljastamiseksi tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten; tai yksittäistapauksessa oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Näitä poikkeuksia olisi tulkittava tiukasti, eikä niissä saisi sallia henkilötietojen toistuvia, laajoja ja rakenteellisia siirtoja tai tietojen laajamittaista siirtoa, vaan ne olisi rajoitettava koskemaan pelkästään välttämättömiä tietoja. Tällaiset siirrot olisi dokumentoitava ja niitä koskevat asiakirjat olisi toimitettava pyynnöstä Euroopan tietosuojavaltuutetulle siirron laillisuuden valvontaa varten.

(53)

Eurojustin olisi poikkeuksellisissa tapauksissa voitava tavoitteidensa saavuttamiseksi pidentää operatiivisten henkilötietojen säilyttämisen määräaikoja, kunhan henkilötietojen käsittelyyn kaikessa sen toiminnassa sovellettavaa käyttötarkoituksen rajaamisen periaatetta noudatetaan. Tällaisia päätöksiä tehtäessä olisi harkittava tarkkaan kaikkia kyseeseen tulevia etuja, rekisteröityjen edut mukaan lukien. Tapauksissa, joissa syytteen nostamiselle on asetettu määräaika kaikissa asianomaisissa jäsenvaltioissa, henkilötietojen käsittelyn määräajan pidentämisestä olisi päätettävä ainoastaan, jos avun antamiseen tämän asetuksen nojalla on erityinen tarve.

(54)

Eurojustin olisi pidettävä yllä kuulemiseen ja täydentävyyteen perustuvia erityissuhteita Euroopan oikeudelliseen verkostoon. Tällä asetuksella olisi autettava selkeyttämään Eurojustin ja Euroopan oikeudellisen verkoston tehtäviä ja niiden keskinäisiä suhteita säilyttäen samalla Euroopan oikeudellisen verkoston erityispiirteet.

(55)	Eurojustin olisi ylläpidettävä yhteistyösuhteita muihin unionin toimielimiin, elimiin ja laitoksiin, EPPOon, kolmansien maiden toimivaltaisiin viranomaisiin ja kansainvälisiin järjestöihin, siltä osin kuin on tarpeen sen tehtävien suorittamiseksi.

(56)

Jotta voidaan tehostaa Eurojustin ja Europolin operatiivista yhteistyötä ja erityisesti luoda yhteyksiä jommankumman viraston hallussa jo olevien tietojen välille, Eurojustin olisi voitava antaa Europolille pääsy Eurojustin hallussa oleviin tietoihin osuma / ei osumaa -tyyppisten hakujen pohjalta. Eurojustin ja Europolin olisi varmistettava, että niiden operatiivisen yhteistyön optimoimiseksi luodaan tarvittavat järjestelyt ottaen asianmukaisesti huomioon niiden toimivaltuudet sekä jäsenvaltioiden mahdollisesti asettamat rajoitukset. Näillä käytännön yhteistyöjärjestelyillä olisi varmistettava pääsy ja hakumahdollisuus kaikkiin tietoihin, jotka on toimitettu Europolille ristiintarkistamista varten tässä asetuksessa säädettyjen erityisten suojatoimien ja tietosuojatakuiden mukaisesti. Europolin pääsy Eurojustin hallussa oleviin tietoihin olisi rajoitettava teknisin keinoin tietoihin, jotka kuuluvat näiden unionin virastojen toimivaltuuksien piiriin.

(57)	Eurojustin ja Europolin olisi ilmoitettava toisilleen kaikesta toiminnasta, johon sisältyy yhteisten tutkintaryhmien rahoitusta.

(58)	Eurojustin olisi voitava vaihtaa henkilötietoja unionin toimielinten, elinten ja laitosten kanssa siinä määrin, kuin on tarpeen sen tehtävien suorittamiseksi yksityisyydensuojaa sekä muita perusoikeuksia ja -vapauksia täysin kunnioittaen.

(59)

Eurojustin olisi tehostettava yhteistyötään kolmansien maiden toimivaltaisten viranomaisten ja kansainvälisten järjestöjen kanssa komissiota kuullen laaditun strategian mukaisesti. Tätä varten olisi säädettävä Eurojustin mahdollisuudesta lähettää kolmansiin maihin yhteystuomareita neuvoston yhteisen toiminnan 96/277/OSA (13) perusteella lähetetyille yhteystuomareille asetettuja tavoitteita vastaavien tavoitteiden saavuttamiseksi.

(60)

Olisi säädettävä Eurojustin mahdollisuudesta koordinoida kolmansien maiden esittämien oikeudellista yhteistyötä koskevien pyyntöjen täytäntöönpanoa, jos pyynnöt edellyttävät täytäntöönpanoa vähintään kahdessa jäsenvaltiossa osana samaa tutkintaa. Eurojustin olisi ryhdyttävä huolehtimaan tällaisesta koordinoinnista ainoastaan asianomaisten jäsenvaltioiden suostumuksella.

(61)

Eurojustin täyden itsemääräämisoikeuden ja riippumattomuuden varmistamiseksi sillä olisi oltava oma talousarvio, joka riittää siihen, että se voi tehdä työnsä asianmukaisesti, ja jonka varat muodostuvat suurimmaksi osaksi unionin talousarviosta saatavasta rahoitusosuudesta, lukuun ottamatta kansallisten jäsenten, varajäsenten ja avustajien palkkoja ja palkkioita, joista vastaa heidän jäsenvaltionsa. Unionin talousarviomenettelyä olisi noudatettava siltä osin, kuin kyseessä ovat unionin rahoitusosuus tai muut unionin yleisestä talousarviosta maksettavat tuet. Tilintarkastustuomioistuimen olisi suoritettava ja Euroopan parlamentin talousarvion valvontavaliokunnan hyväksyttävä tilintarkastus.

(62)

Eurojustin läpinäkyvyyden ja demokraattisen valvonnan lisäämiseksi on tarpeen säätää Euroopan unionin toiminnasta tehdyn sopimuksen 85 artiklan 1 kohdan mukaisesta mekanismista, joka koskee Euroopan parlamentin ja kansallisten parlamenttien suorittamaa Eurojustin toiminnan yhteistä arviointia. Arviointi olisi toteutettava parlamenttien välisessä valiokuntakokouksessa Euroopan parlamentin tiloissa Brysselissä niin, että siihen osallistuu Euroopan parlamentin toimivaltaisten valiokuntien ja kansallisten parlamenttien jäseniä. Parlamenttien välisessä valiokuntakokouksessa olisi kunnioitettava täysimääräisesti Eurojustin riippumattomuutta erityisiin operatiivisiin tapauksiin liittyvien toimien sekä pidättymis- ja salassapitovelvollisuuksien suhteen.

(63)	Tämän asetuksen soveltamista on asianmukaista arvioida säännöllisesti.

(64)

Eurojustin toiminnan olisi oltava avointa Euroopan unionin toiminnasta tehdyn sopimuksen 15 artiklan 3 kohdan mukaisesti. Kollegion olisi hyväksyttävä erityiset säännökset siitä, kuinka yleisön oikeus tutustua asiakirjoihin varmistetaan. Tällä asetuksella ei ole miltään osin tarkoitus rajoittaa yleisön oikeutta tutustua asiakirjoihin, sikäli kuin se on turvattu unionissa ja jäsenvaltioissa, erityisesti Euroopan unionin perusoikeuskirjan, jäljempänä ”perusoikeuskirja”, 42 artiklassa. Unionin virastoihin sovellettavia avoimuutta koskevia yleisiä sääntöjä olisi sovellettava myös Eurojustiin siten, että ei millään tavalla vaaranneta salassapitovelvollisuutta sen operatiivisessa toiminnassa. Samoin Euroopan oikeusasiamiehen olisi hallinnollisissa tutkimuksissaan kunnioitettava Eurojustin salassapitovelvollisuutta.

(65)	Lisätäkseen avoimuuttaan unionin kansalaisia kohtaan ja vastuullisuuttaan Eurojustin olisi julkaistava verkkosivustollaan luettelo johtokuntansa jäsenistä sekä tarvittaessa yhteenvedot johtokunnan kokousten tuloksista noudattaen samalla tietosuojavaatimuksia.

(66)	Eurojustiin olisi sovellettava Euroopan parlamentin ja neuvoston asetusta (EU, Euratom) 2018/1046 (14).

(67)	Eurojustiin olisi sovellettava Euroopan parlamentin ja neuvoston asetusta (EU, Euratom) N:o 883/2013 (15).

(68)

Tarvittavat säännökset, jotka koskevat Eurojustin sijoittamista jäsenvaltioon, jossa sen toimipaikka sijaitsee, eli Alankomaihin, sekä Eurojustin henkilöstöön ja heidän perheenjäseniinsä sovellettavat erityiset säännöt olisi vahvistettava toimipaikkaa koskevassa sopimuksessa. Vastaanottavan jäsenvaltion olisi varmistettava parhaat mahdolliset edellytykset Eurojustin toiminnan varmistamiseksi, mukaan lukien monikieliset ja Eurooppa-suuntautuneet koulunkäyntimahdollisuudet sekä asianmukaiset liikenneyhteydet, jotta voidaan houkutella korkealuokkaisia henkilöresursseja mahdollisimman laajalta maantieteelliseltä alueelta.

(69)

Tällä asetuksella perustettavan Eurojustin olisi oltava päätöksellä 2002/187/YOS perustetun Eurojustin oikeusseuraaja suhteessa kaikkiin sen sopimusvelvoitteisiin, työsopimukset mukaan lukien, sekä sen vastuihin ja sen hankkimaan omaisuuteen. Kyseisellä päätöksellä perustetun Eurojustin tekemien kansainvälisten sopimusten olisi pysyttävä voimassa.

(70)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta, joka on jäsenvaltioiden oikeusviranomaisten toiminnan yhteensovittamisen ja yhteistyön tukemisesta ja tehostamisesta vastaavan yksikön perustaminen sellaisen vakavan rikollisuuden alalla, joka koskee kahta tai useampaa jäsenvaltiota tai edellyttää yhteisin perustein toteutettavia syytetoimia, vaan se voidaan toiminnan vaikutusten ja laajuuden vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(71)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyssä pöytäkirjassa N:o 21 olevien 1 ja 2 artiklan sekä 4 a artiklan 1 kohdan mukaisesti nämä jäsenvaltiot eivät osallistu tämän asetuksen hyväksymiseen, asetus ei sido näitä jäsenvaltioita eikä sitä sovelleta näihin jäsenvaltioihin, sanotun kuitenkaan rajoittamatta mainitun pöytäkirjan 4 artiklan soveltamista.

(72)	Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyssä, Tanskan asemasta tehdyssä pöytäkirjassa N:o 22 olevien 1 ja 2 artiklan mukaisesti Tanska ei osallistu tämän asetuksen hyväksymiseen, asetus ei sido Tanskaa eikä sitä sovelleta Tanskaan.

(73)	Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (16) 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon 5 päivänä maaliskuuta 2014.

(74)	Tässä asetuksessa kunnioitetaan täysimääräisesti perusoikeuksia ja suojatoimia ja noudatetaan erityisesti perusoikeuskirjassa tunnustettuja periaatteita,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

EUROJUSTIN PERUSTAMINEN, TAVOITTEET JA TEHTÄVÄT

1 artikla

Euroopan unionin rikosoikeudellisen yhteistyön viraston perustaminen

1. Perustetaan Euroopan unionin rikosoikeudellisen yhteistyön virasto (Eurojust).

2. Tällä asetuksella perustettava Eurojust korvaa päätöksellä 2002/187/YOS perustetun Eurojustin ja on sen seuraaja.

3. Eurojustilla on oikeushenkilön asema.

2 artikla

Tehtävät

1. Eurojust tukee ja tehostaa jäsenvaltioiden viranomaisten, Europolin, EPPOn ja OLAFin toteuttamien operaatioiden sekä niiden toimittamien tietojen perusteella kansallisten tutkinta- ja syyttäjäviranomaisten toiminnan yhteensovittamista ja yhteistyötä sellaisen vakavan rikollisuuden alalla, jota Eurojust on toimivaltainen käsittelemään 3 artiklan 1 ja 3 kohdan mukaisesti, jos rikollisuus koskee kahta tai useampaa jäsenvaltiota tai edellyttää yhteisin perustein toteutettavia syytetoimia.

2. Tehtäviään hoitaessaan Eurojust

a)	ottaa huomioon jäsenvaltion toimivaltaisen viranomaisen esittämät pyynnöt, perussopimusten mukaisesti annettujen säännösten nojalla toimivaltaisten unionin viranomaisten, toimielinten, elinten ja laitosten antamat tiedot ja Eurojustin itse keräämät tiedot;

b)	helpottaa oikeudellista yhteistyötä koskevien pyyntöjen ja päätösten täytäntöönpanoa, mukaan lukien vastavuoroisen tunnustamisen periaatetta toteuttaviin välineisiin perustuvat pyynnöt ja päätökset.

3. Eurojust hoitaa tehtäviään jäsenvaltioiden toimivaltaisten viranomaisten pyynnöstä, omasta aloitteestaan tai EPPOn pyynnöstä EPPOn toimivallan rajoissa.

3 artikla

Eurojustin toimivalta

1. Eurojustin toimivalta kattaa liitteessä I luetellut vakavan rikollisuuden muodot. Siitä päivästä, jona EPPO alkaa hoitaa sille asetuksen (EU) 2017/1939 120 artiklan 2 kohdan mukaisesti annettuja tutkinta- ja syyttämistehtäviä, Eurojust ei kuitenkaan käytä toimivaltaansa rikoksissa, joiden osalta EPPO käyttää toimivaltaansa, lukuun ottamatta tapauksia, joihin liittyy myös jäsenvaltioita, jotka eivät osallistu EPPOn perustamista koskevaan tiiviimpään yhteistyöhön, ja kyseisten jäsenvaltioiden pyynnöstä tai EPPOn pyynnöstä.

2. Eurojust käyttää toimivaltaansa unionin taloudellisia etuja vahingoittavissa rikoksissa tapauksissa, joihin liittyy jäsenvaltioita, jotka osallistuvat EPPOn perustamista koskevaan tiiviimpään yhteistyöhön, mutta joiden osalta EPPOlla ei ole toimivaltaa tai se päättää olla käyttämättä toimivaltaansa.

Eurojust, EPPO ja kyseiset jäsenvaltiot neuvottelevat ja tekevät yhteistyötä keskenään helpottaakseen sitä, että Eurojust käyttää tämän kohdan mukaista toimivaltaansa. Tämän kohdan mukaisen toimivallan käytön käytännön yksityiskohtiin sovelletaan 47 artiklan 3 kohdassa tarkoitettua käytännön yhteistyöjärjestelyä.

3. Muiden kuin liitteessä I lueteltujen rikollisuuden muotojen osalta Eurojust voi lisäksi tehtäviensä mukaisesti avustaa tutkinta- ja syytetoimissa, jos jäsenvaltion toimivaltainen viranomainen sitä pyytää.

4. Eurojustin toimivalta käsittää liitteessä I lueteltuihin rikoksiin liittyvät liitännäisrikokset. Liitännäisrikoksiksi katsotaan seuraavat rikosten ryhmät:

a)	rikokset, jotka tehdään liitteessä I lueteltujen vakavien rikosten tekemiseen tarvittavien välineiden hankkimiseksi;

b)	rikokset, jotka tehdään liitteessä I lueteltujen vakavien rikosten helpottamiseksi tai tekemiseksi;

c)	rikokset, jotka tehdään liitteessä I lueteltujen vakavien rikosten tekijöiden rankaisematta jäämisen varmistamiseksi.

5. Eurojust voi jäsenvaltion toimivaltaisen viranomaisen pyynnöstä avustaa myös tutkinta- ja syytetoimissa, jotka koskevat vain tätä jäsenvaltiota ja kolmatta maata sillä edellytyksellä, että kyseisen kolmannen maan kanssa on tehty yhteistyösopimus tai yhteistyöjärjestely 52 artiklan mukaisesti tai sillä edellytyksellä, että tietyssä tapauksessa tällaisen avun antamiseen liittyy keskeinen etu.

6. Eurojust voi joko jäsenvaltion toimivaltaisen viranomaisen tai komission pyynnöstä avustaa tutkinta- ja syytetoimissa, jotka koskevat vain tätä jäsenvaltiota mutta joilla on vaikutuksia unionin tasolla. Ennen kuin Eurojust toimii komission pyynnöstä, Eurojust kuulee asianomaisen jäsenvaltion toimivaltaista viranomaista. Kyseinen toimivaltainen viranomainen voi Eurojustin asettamassa määräajassa vastustaa sitä, että Eurojust panee pyynnön täytäntöön, perustelemalla kantansa kussakin tapauksessa.

4 artikla

Eurojustin operatiiviset tehtävät

1. Eurojust

a)	tiedottaa jäsenvaltioiden toimivaltaisille viranomaisille tiedossaan olevista tutkinta- ja syytetoimista, joilla on vaikutuksia unionin tasolla tai jotka saattavat koskea muitakin kuin asiaan suoranaisesti liittyviä jäsenvaltioita;

b)	avustaa jäsenvaltioiden toimivaltaisia viranomaisia tutkinta- ja syytetoimien parhaan mahdollisen koordinoinnin varmistamisessa;

c)	avustaa jäsenvaltioiden toimivaltaisten viranomaisten yhteistyön parantamisessa, erityisesti Europolin analyysien pohjalta;

d)	tekee yhteistyötä ja neuvottelee rikosoikeuden alan Euroopan oikeudellisen verkoston kanssa, mukaan lukien verkoston dokumentaatiotietokannan käyttö ja sen kehittämiseen osallistuminen;

e)	tekee tiivistä yhteistyötä EPPOn kanssa sen toimivaltaan liittyvissä asioissa;

f)	antaa operatiivista, teknistä ja taloudellista tukea jäsenvaltioiden rajat ylittäville operaatioille ja tutkintatoimille, yhteiset tutkintaryhmät mukaan lukien;

g)	tukee Europolin ja muiden unionin toimielinten, elinten ja laitosten kehittämiä erikoistuneita unionin keskuksia ja tarvittaessa osallistuu niihin;

h)	tekee yhteistyötä unionin toimielinten, elinten ja laitosten sekä Euroopan unionin toiminnasta tehdyn sopimuksen V osastolla säännellyllä vapauden, turvallisuuden ja oikeuden alueella perustettujen verkostojen kanssa;

i)	tukee jäsenvaltioiden toimia liitteessä I lueteltujen vakavan rikollisuuden muotojen torjumisessa.

2. Eurojust voi tehtäviään hoitaessaan pyytää, perustellen pyyntönsä, asianomaisten jäsenvaltioiden toimivaltaisia viranomaisia

a)	toteuttamaan tiettyjä tekoja koskevat tutkinta- tai syytetoimet;

b)	hyväksymään, että yhdellä niistä voi olla muita paremmat edellytykset toteuttaa tiettyjä tekoja koskevat tutkinta- tai syytetoimet;

c)	koordinoimaan asianomaisten jäsenvaltioiden toimivaltaisten viranomaisten välisiä toimia;

d)	perustamaan yhteisen tutkintaryhmän asiaa koskevien yhteistyövälineiden mukaisesti;

e)	antamaan Eurojustille kaikki sen tehtävien suorittamiseen tarvittavat tiedot;

f)	toteuttamaan erityisiä tutkintatoimia;

g)	toteuttamaan muita toimenpiteitä, jotka ovat tutkinta- tai syytetoimien kannalta perusteltuja.

3. Eurojust voi myös

a)	antaa Europolille lausuntoja Europolin tekemien analyysien pohjalta;

b)	antaa logistiikkatukea, mukaan lukien kääntäminen ja tulkkaus sekä koordinointikokousten järjestäminen.

4. Jos vähintään kaksi jäsenvaltiota ei 2 kohdan a tai b alakohdan nojalla tehdyn pyynnön saatuaan pysty sopimaan, kumman niistä olisi toteutettava tutkinta- tai syytetoimet, Eurojust antaa tapauksesta kirjallisen lausunnon. Eurojust toimittaa lausunnon välittömästi asianomaisille jäsenvaltioille.

5. Eurojust antaa toimivaltaisen viranomaisen pyynnöstä tai omasta aloitteestaan kirjallisen lausunnon oikeudellista yhteistyötä koskevien pyyntöjen ja päätösten täytäntöönpanoon liittyvistä toistuvista hylkäämisistä tai vaikeuksista, mukaan lukien vastavuoroisen tunnustamisen periaatetta toteuttaviin välineisiin perustuvat pyynnöt ja päätökset, edellyttäen, että asiaa ei ole mahdollista ratkaista toimivaltaisten kansallisten viranomaisen keskinäisellä sopimuksella tai asianomaisten kansallisten jäsenten toimilla. Eurojust toimittaa lausunnon välittömästi asianomaisille jäsenvaltioille.

6. Asianomaisten jäsenvaltioiden toimivaltaisten viranomaisten on vastattava ilman aiheetonta viivytystä 2 kohdan mukaisiin Eurojustin pyyntöihin ja 4 tai 5 kohdan mukaisiin kirjallisiin lausuntoihin. Jäsenvaltioiden toimivaltaiset viranomaiset voivat kieltäytyä noudattamasta tällaisia pyyntöjä tai ottamasta huomioon kirjallista lausuntoa, jos näin toimiminen vahingoittaisi keskeisiä kansallisia turvallisuusetuja, vaarantaisi vireillä olevan tutkinnan onnistumisen tai vaarantaisi yksilön turvallisuuden.

5 artikla

Operatiivisten ja muiden tehtävien hoitaminen

1. Eurojust toimii yhden tai useamman asianomaisen kansallisen jäsenen välityksellä toteuttaessaan 4 artiklan 1 tai 2 kohdassa tarkoitettuja toimia. Kollegio keskittyy operatiivisiin kysymyksiin ja muihin kysymyksiin, jotka liittyvät suoraan operatiivisiin asioihin, sanotun kuitenkaan rajoittamatta tämän artiklan 2 kohdan soveltamista. Kollegio osallistuu hallinnollisiin asioihin ainoastaan siinä määrin, kuin on tarpeen sen operatiivisten tehtävien hoitamiseksi.

2. Eurojust toimii kollegiona

toteuttaessaan 4 artiklan 1 tai 2 kohdassa tarkoitettuja toimia,

i)	yhden tai useamman kansallisen jäsenen, jota Eurojustin käsittelemä asia koskee, pyynnöstä;

ii)	jos asia liittyy tutkinta- tai syytetoimiin, joilla on vaikutuksia unionin tasolla tai jotka saattavat koskea muitakin kuin asiaan suoranaisesti liittyviä jäsenvaltioita;

b)	toteuttaessaan 4 artiklan 3, 4 tai 5 kohdassa tarkoitettuja toimia;

c)	sen operatiivisten tavoitteiden toteuttamiseen liittyvän yleisen kysymyksen ollessa kyseessä;

d)	hyväksyessään Eurojustin vuotuisen talousarvion, jolloin päätös tehdään sen jäsenten kahden kolmasosan enemmistöllä;

e)	hyväksyessään 15 artiklassa tarkoitetun ohjelma-asiakirjan tai Eurojustin vuotuisen toimintakertomuksen, jolloin päätös tehdään sen jäsenten kahden kolmasosan enemmistöllä;

f)	valitessaan tai erottaessaan puheenjohtajan ja varapuheenjohtajat 11 artiklan mukaisesti;

g)	nimittäessään hallintojohtajan tai tapauksen mukaan jatkaessaan tämän toimikautta tai erottaessaan tämän 17 artiklan mukaisesti;

h)	hyväksyessään 47 artiklan 3 kohdan ja 52 artiklan mukaisesti käytännön yhteistyöjärjestelyjä;

i)	hyväksyessään säännöt jäseniinsä liittyvien eturistiriitojen ehkäisemistä ja hallinnointia varten, myös heidän sidonnaisuuksiaan koskevien ilmoitusten osalta;

j)	hyväksyessään raportteja, toimintapoliittisia asiakirjoja, suuntaviivoja kansallisten viranomaisten avuksi ja lausuntoja, jotka koskevat Eurojustin operatiivista työtä, aina kun kyseiset asiakirjat ovat luonteeltaan strategisia;

k)	nimittäessään yhteystuomareita 53 artiklan mukaisesti;

l)	tehdessään päätöksiä, joita ei ole tällä asetuksella nimenomaisesti annettu johtokunnan tehtäviksi tai jotka eivät ole hallintojohtajan vastuulla, 18 artiklan mukaisesti;

m)	silloin kun siitä tässä asetuksessa muutoin säädetään.

3. Tehtäviään suorittaessaan Eurojust ilmoittaa, toimiiko se yhden tai useamman kansallisen jäsenen välityksellä vai kollegiona.

4. Kollegio voi osoittaa hallintojohtajalle ja johtokunnalle hallinnollisia lisätehtäviä 16 ja 18 artiklassa säädettyjen tehtävien lisäksi operatiivisten tarpeidensa mukaisesti.

Jos poikkeukselliset olosuhteet sitä edellyttävät, kollegio voi päättää keskeyttää tilapäisesti nimittävän viranomaisen toimivallan siirron hallintojohtajalle ja tämän edelleen siirtämän toimivallan siirron ja käyttää kyseistä toimivaltaa itse tai siirtää sen jollekin jäsenistään tai jollekulle henkilöstöön kuuluvalle, joka on muu kuin hallintojohtaja.

5. Kollegio hyväksyy Eurojustin työjärjestyksen jäsentensä kahden kolmasosan enemmistöllä. Jos asiasta ei päästä sopimukseen kahden kolmasosan enemmistöllä, päätös tehdään yksinkertaisella enemmistöllä. Neuvosto hyväksyy Eurojustin työjärjestyksen täytäntöönpanosäädöksillä.

II LUKU

EUROJUSTIN RAKENNE JA ORGANISAATIO

I JAKSO

Rakenne

6 artikla

Eurojustin rakenne

Eurojust muodostuu seuraavista:

a)	kansalliset jäsenet;

kollegio;

c)	johtokunta;

d)	hallintojohtaja.

II JAKSO

Kansalliset jäsenet

7 artikla

Kansallisten jäsenten asema

1. Eurojustissa on kustakin jäsenvaltiosta yksi jäsenvaltion oman oikeusjärjestelmänsä mukaisesti lähettämä kansallinen jäsen. Kansallisen jäsenen tavanomaisen työskentelypaikan on oltava Eurojustin kotipaikassa.

2. Kutakin kansallista jäsentä avustaa yksi varajäsen ja yksi avustaja. Varajäsenen ja avustajan tavanomaisen työskentelypaikan on lähtökohtaisesti oltava Eurojustin kotipaikassa. Kukin jäsenvaltio voi päättää, että varajäsenen tai avustajan tai molempien tavanomainen työskentelypaikka on heidän jäsenvaltiossaan. Jos jäsenvaltio tekee tällaisen päätöksen, sen on ilmoitettava siitä kollegiolle. Jos Eurojustin operatiiviset tarpeet sitä edellyttävät, kollegio voi pyytää jäsenvaltiota sijoittamaan varajäsenen tai avustajan tai molemmat työskentelemään Eurojustin kotipaikkaan tietyksi ajaksi. Jäsenvaltion on noudatettava tällaista kollegion pyyntöä ilman aiheetonta viivytystä.

3. Kansallista jäsentä voi avustaa useampi varajäsen tai avustaja, ja näiden tavanomainen työskentelypaikka voi tarvittaessa ja kollegion suostumuksella olla Eurojustissa. Jäsenvaltioiden on ilmoitettava Eurojustille ja komissiolle kansallisten jäsenten, varajäsenten ja avustajien nimittämisestä.

4. Kansallisilla jäsenillä ja varajäsenillä on oltava syyttäjän, tuomarin tai kansallisen lainsäädännön mukaisesti syyttäjän tai tuomarin toimivaltaa vastaavaa toimivaltaa käyttävän oikeusviranomaisen edustajan asema. Jäsenvaltioiden on annettava heille vähintään tässä asetuksessa tarkoitetut valtuudet, jotta he voivat hoitaa tehtävänsä.

5. Kansallisten jäsenten ja heidän varajäsentensä toimikausi on viisi vuotta, ja se voidaan uusia kerran. Tapauksissa, joissa varajäsen ei voi toimia kansallisen jäsenen lukuun tai sijasta, kansallinen jäsen jatkaa toimikautensa päättyessä tehtävässään jäsenvaltionsa suostumuksella, kunnes toimikausi uusitaan tai kunnes hänen tilalleen nimetään uusi henkilö.

6. Jäsenvaltioiden on nimitettävä kansalliset jäsenet ja varajäsenet todistetusti korkeatasoisen asiaankuuluvan rikosoikeuden alan käytännön kokemuksen perusteella.

7. Varajäsenen on voitava toimia kansallisen jäsenen lukuun tai sijasta. Myös avustaja voi toimia kansallisen jäsenen lukuun tai sijasta, jos hänellä on 4 kohdassa tarkoitettu asema.

8. Eurojustin ja jäsenvaltioiden välinen operatiivinen tietojenvaihto tapahtuu kansallisten jäsenten välityksellä.

9. Kansallisten jäsenten, varajäsenten ja avustajien palkoista ja palkkioista vastaa heidän jäsenvaltionsa, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.

10. Kun kansalliset jäsenet, varajäsenet ja avustajat hoitavat Eurojustille kuuluvia tehtäviä, näistä tehtävistä aiheutuvia menoja pidetään toimintamenoina.

8 artikla

Kansallisten jäsenten valtuudet

1. Kansallisilla jäsenillä on valtuudet

a)	helpottaa tai muulla tavoin tukea keskinäistä oikeusapua tai vastavuoroista tunnustamista koskevien pyyntöjen esittämistä tai täytäntöönpanoa;

b)	olla suoraan yhteydessä jäsenvaltion toimivaltaisiin kansallisiin viranomaisiin tai muihin toimivaltaisiin unionin elimiin tai laitoksiin, EPPO mukaan lukien, ja vaihtaa näiden kanssa tietoja;

c)	olla suoraan yhteydessä toimivaltaisiin kansainvälisiin viranomaisiin ja vaihtaa näiden kanssa tietoja jäsenvaltionsa kansainvälisten sitoumusten mukaisesti;

d)	osallistua yhteisten tutkintaryhmien toimintaan, niiden perustaminen mukaan lukien.

2. Jäsenvaltiot voivat myöntää kansallisille jäsenille lisävaltuuksia kansallisen lainsäädäntönsä mukaisesti, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Tällaisten jäsenvaltioiden on annettava komissiolle ja kollegiolle ilmoitus näistä valtuuksista.

3. Toimivaltaisen kansallisen viranomaisen suostumuksella kansalliset jäsenet voivat kansallisen lainsäädäntönsä mukaisesti

a)	esittää tai panna täytäntöön keskinäistä oikeusapua tai vastavuoroista tunnustamista koskevia pyyntöjä;

b)	määrätä, pyytää tai panna täytäntöön Euroopan parlamentin ja neuvoston direktiivissä 2014/41/EU (17) säädettyjä tutkintatoimia.

4. Kiireellisissä tapauksissa, joissa ei ole mahdollista määrittää toimivaltaista kansallista viranomaista tai saada tähän yhteyttä ajoissa, kansallisilla jäsenillä on toimivalta toteuttaa 3 kohdassa tarkoitetut toimenpiteet kansallisen lainsäädäntönsä mukaisesti sillä edellytyksellä, että ne ilmoittavat tästä toimivaltaiselle kansalliselle viranomaiselle mahdollisimman pian.

5. Kansallinen jäsen voi tehdä ehdotuksen toimivaltaiselle kansalliselle viranomaiselle 3 ja 4 kohdassa tarkoitettujen toimenpiteiden toteuttamiseksi, jos se, että kyseinen kansallinen jäsen käyttää 3 ja 4 kohdassa tarkoitettuja valtuuksia, olisi vastoin

a)	jäsenvaltion perustuslain sääntöjä; tai

jäsenvaltion kansallisen rikosoikeusjärjestelmän perusteita

i)	poliisin, syyttäjien ja tuomareiden toimivallan jaon osalta;

ii)	syyttäjäviranomaisten välisen tehtävien mukaisen työnjaon osalta; tai

iii)	asianomaisen jäsenvaltion liittovaltiorakenteen osalta.

6. Jäsenvaltioiden on varmistettava, että 5 kohdassa tarkoitetuissa tapauksissa toimivaltainen kansallinen viranomainen käsittelee niiden kansallisen jäsenen tekemän ehdotuksen ilman aiheetonta viivytystä.

9 artikla

Pääsy kansallisiin rekistereihin

Kansallisilla jäsenillä on oltava pääsy seuraavanlaisiin jäsenvaltionsa rekistereihin tai ainakin mahdollisuus saada niissä olevat tiedot kansallisen lainsäädäntönsä mukaisesti:

a)	rikosrekisterit;

b)	pidätettyjen henkilöiden rekisterit;

c)	tutkintarekisterit;

d)	DNA-rekisterit;

e)	jäsenvaltionsa viranomaisten muut rekisterit, jos kyseiset tiedot ovat tarpeen heidän tehtäviensä hoitamiseksi.

III JAKSO

Kollegio

10 artikla

Kollegion kokoonpano

1. Kollegio muodostuu seuraavista:

a)	kaikki kansalliset jäsenet; ja

b)	yksi komission edustaja kollegion hoitaessa hallinnointitehtäviään.

Ensimmäisen alakohdan b kohdan mukaisesti nimitetyn komission edustajan olisi oltava sama henkilö, joka on komission edustajana johtokunnassa 16 artiklan 4 kohdan mukaisesti.

2. Hallintojohtaja osallistuu kollegion hallinnointikokouksiin, mutta hänellä ei ole äänioikeutta.

3. Kollegio voi kutsua kokouksiinsa tarkkailijoiksi henkilöitä, joiden lausunnoilla voi olla merkitystä.

4. Kollegion jäsenillä voi olla avustajinaan neuvonantajia tai asiantuntijoita, jollei Eurojustin työjärjestyksen määräyksistä muuta johdu.

11 artikla

Eurojustin puheenjohtaja ja varapuheenjohtaja

1. Kollegio valitsee kansallisten jäsenten keskuudesta puheenjohtajan ja kaksi varapuheenjohtajaa jäsentensä kahden kolmasosan enemmistöllä. Jos kahden kolmasosan enemmistöä ei saavuteta toisen valintakierroksen jälkeen, varapuheenjohtajat valitaan kollegion jäsenten yksinkertaisella enemmistöllä, mutta puheenjohtajan valintaan vaaditaan edelleen kahden kolmasosan enemmistö.

2. Puheenjohtaja hoitaa tehtäviään kollegion lukuun. Puheenjohtaja

a)	edustaa Eurojustia;

b)	kutsuu koolle kollegion ja johtokunnan kokoukset, johtaa niissä puhetta ja tiedottaa kollegiolle kaikista sitä kiinnostavista asioista;

c)	johtaa kollegion työskentelyä ja valvoo hallintojohtajan hoitamaa Eurojustin päivittäistä hallintoa;

d)	hoitaa muita Eurojustin työjärjestyksessä vahvistettuja tehtäviä.

3. Varapuheenjohtajat hoitavat puheenjohtajan heille antamia 2 kohdassa säädettyjä tehtäviä. He toimivat puheenjohtajan sijaisena tämän ollessa estyneenä. Eurojustin hallintohenkilöstö avustaa puheenjohtajaa ja varapuheenjohtajia heidän tehtäviensä hoitamisessa.

4. Puheenjohtajan ja varapuheenjohtajan toimikausi on neljä vuotta. Heidät voidaan valita uudelleen kerran.

5. Kun kansallinen jäsen valitaan Eurojustin puheenjohtajaksi tai varapuheenjohtajaksi, hänen toimikauttaan jatketaan sen varmistamiseksi, että hän voi hoitaa tehtävänsä puheenjohtajana tai varapuheenjohtajana.

6. Jos puheenjohtaja tai varapuheenjohtaja ei enää täytä tehtäviensä hoitamiseksi vaadittuja edellytyksiä, kollegio voi erottaa hänet jäsentensä kolmasosan ehdotuksesta. Päätös tehdään kollegion jäsenten kahden kolmasosan enemmistöllä, asianomainen puheenjohtaja tai varapuheenjohtaja pois lukien.

7. Kun kansallinen jäsen valitaan Eurojustin puheenjohtajaksi, kyseinen jäsenvaltio voi lähettää Eurojustiin toisen asianmukaisen pätevyyden omaavan henkilön vahvistamaan kansallista osastoa puheenjohtajaksi valitun henkilön toimikauden keston ajaksi.

Jäsenvaltiolla, joka päättää lähettää tällaisen henkilön, on oikeus hakea korvausta 12 artiklan mukaisesti.

12 artikla

Puheenjohtajan tehtävään valintaan liittyvä korvausjärjestely

1. Neuvosto määrittää komission ehdotuksesta täytäntöönpanosäädöksin viimeistään 12 päivänä joulukuuta 2019 11 artiklan 7 kohdan soveltamiseksi korvausmallin niiden jäsenvaltioiden käyttöön, joiden kansallinen jäsen valitaan puheenjohtajaksi.

2. Korvaus on jäsenvaltion käytettävissä, jos

a)	sen kansallinen jäsen on valittu puheenjohtajaksi; ja

b)	se pyytää korvausta kollegiolta ja esittää perustelut sille, että sen kansallista osastoa on tarpeen vahvistaa lisääntyneen työtaakan vuoksi.

3. Annettava korvaus on 50 prosenttia lähetetyn henkilön kansallisesta palkasta. Elinkustannukset ja muut asiaan liittyvät kulut korvataan vastaavasti kuin tilapäisesti muihin tehtäviin ulkomaille siirretyille unionin virkamiehille tai muulle henkilöstölle korvatut tällaiset kustannukset ja kulut.

4. Korvausjärjestelyn kustannukset katetaan Eurojustin talousarviosta.

13 artikla

Kollegion kokoukset

1. Kollegion kokoukset kutsuu koolle puheenjohtaja.

2. Kollegio pitää vähintään yhden kokouksen kuukaudessa. Lisäksi se kokoontuu puheenjohtajan aloitteesta, komission pyynnöstä kollegion hallintotehtävistä keskustelemista varten tai jos vähintään kolmasosa kollegion jäsenistä sitä pyytää.

3. Eurojust lähettää EPPOlle kollegion kokousten esityslistan aina, kun käsitellyillä asioilla on merkitystä EPPOn tehtävien hoitamisen kannalta. Eurojust kutsuu EPPOn osallistumaan tällaisiin kokouksiin, mutta sillä ei ole äänioikeutta. Kun EPPO kutsutaan kollegion kokoukseen, Eurojust toimittaa sille asiaan liittyvät asiakirjat esityslistan tueksi.

14 artikla

Kollegion äänestyssäännöt

1. Ellei toisin mainita ja kun yksimielisyyteen ei päästä, kollegio tekee päätökset jäsentensä enemmistöllä.

2. Kullakin jäsenellä on yksi ääni. Äänioikeutetun jäsenen poissa ollessa varajäsenellä on oikeus käyttää äänioikeutta 7 artiklan 7 kohdassa säädettyjen edellytysten mukaisesti. Varajäsenen poissa ollessa myös avustajalla on oikeus käyttää äänioikeutta 7 artiklan 7 kohdassa säädettyjen edellytysten mukaisesti.

15 artikla

Vuotuinen ja monivuotinen ohjelmasuunnittelu

1. Kollegio hyväksyy vuosittain viimeistään 30 päivänä marraskuuta ohjelma-asiakirjan, joka sisältää vuotuisen ja monivuotisen ohjelmasuunnittelun, hallintojohtajan laatiman luonnoksen perusteella ottaen huomioon komission lausunnon. Kollegio toimittaa ohjelma-asiakirjan Euroopan parlamentille, neuvostolle, komissiolle ja EPPOlle. Ohjelma-asiakirjasta tulee lopullinen, kun unionin yleinen talousarvio on lopullisesti vahvistettu, ja sitä on tarvittaessa mukautettava talousarviota vastaavasti.

2. Vuotuiseen työohjelmaan on sisällytettävä yksityiskohtaiset tavoitteet ja odotettavissa olevat tulokset, mukaan lukien suoritusindikaattorit. Siinä on myös esitettävä kuvaus rahoitettavista toimista ja mainittava kuhunkin toimeen osoitetut taloudelliset resurssit ja henkilöresurssit toimintoperusteisen budjetoinnin ja hallinnoinnin periaatteiden mukaisesti. Vuotuisen työohjelman on oltava yhdenmukainen 4 kohdassa tarkoitetun monivuotisen työohjelman kanssa. Siinä on selkeästi ilmoitettava, mitkä toiminnot on lisätty tai poistettu tai mitä toimia on muutettu edelliseen varainhoitovuoteen verrattuna.

3. Kollegio muuttaa hyväksyttyä vuotuista työohjelmaa, jos Eurojustille annetaan uusi tehtävä. Vuotuiseen työohjelmaan tehtävät olennaiset muutokset on hyväksyttävä samaa menettelyä noudattaen kuin alkuperäinen vuotuinen työohjelma. Kollegio voi siirtää hallintojohtajalle valtuudet tehdä vuotuiseen työohjelmaan muita kuin olennaisia muutoksia.

4. Monivuotisessa työohjelmassa on esitettävä yleinen strateginen ohjelma, mukaan lukien tavoitteet, 52 artiklassa tarkoitettu strategia yhteistyöstä kolmansien maiden viranomaisten ja kansainvälisten järjestöjen kanssa, odotetut tulokset ja suoritusindikaattorit. Siinä on myös esitettävä resurssisuunnittelu, mukaan lukien monivuotinen talousarvio ja henkilöstösuunnitelma. Resurssisuunnittelu on saatettava ajan tasalle vuosittain. Strateginen ohjelma on saatettava ajan tasalle tarvittaessa ja erityisesti 69 artiklassa tarkoitetun arvioinnin tulosten huomioon ottamiseksi.

IV JAKSO

Johtokunta

16 artikla

Johtokunnan toiminta

1. Kollegiota avustaa johtokunta. Johtokunta vastaa hallinnollisten päätösten tekemisestä Eurojustin asianmukaisen toiminnan varmistamiseksi. Se valvoo hallintojohtajan tarvittavaa valmistelutyötä, joka koskee muita kollegion hyväksyttäviksi annettavia hallinnollisia asioita. Se ei osallistu 4 ja 5 artiklassa tarkoitettuihin Eurojustin operatiivisiin tehtäviin.

2. Johtokunta voi tehtäviään hoitaessaan kuulla kollegiota.

3. Lisäksi johtokunta

a)	tarkastelee 15 artiklassa tarkoitettua Eurojustin ohjelma-asiakirjaa hallintojohtajan laatiman luonnoksen perusteella ja toimittaa sen kollegion hyväksyttäviksi;

b)	hyväksyy Eurojustin petostentorjuntastrategian, joka on oikeassa suhteessa petosriskeihin nähden, kun otetaan huomioon toteutettavien toimenpiteiden kustannukset ja hyödyt, ja joka perustuu hallintojohtajan laatimaan luonnokseen;

vahvistaa tarvittavat neuvoston asetuksessa (ETY, Euratom, EHTY) N:o 259/68 (18) säädettyjen Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen, jäljempänä ”henkilöstösäännöt”, ja Euroopan unionin muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen, jäljempänä ”muuhun henkilöstöön sovellettavat palvelussuhteen ehdot”, täytäntöönpanosäännöt henkilöstösääntöjen 110 artiklan mukaisesti;

d)	huolehtii siitä, että sisäisen tai ulkoisen tarkastuksen raportteihin, arviointeihin ja tutkimuksiin, Euroopan tietosuojavaltuutetun ja OLAFin raportit, arvioinnit ja tutkimukset mukaan lukien, perustuvien havaintojen ja suositusten perusteella toteutetaan asianmukaiset jatkotoimet;

e)	tekee kaikki päätökset Eurojustin sisäisten hallintorakenteiden luomisesta ja tarvittaessa niiden muuttamisesta;

f)	avustaa ja neuvoo hallintojohtajaa kollegion päätösten täytäntöönpanossa hallinnon ja varainhoidon valvonnan lujittamiseksi, sanotun kuitenkaan rajoittamatta 18 artiklassa säädettyjä hallintojohtajan velvollisuuksia;

g)	huolehtii hallinnollisista lisätehtävistä, jotka kollegio osoittaa sille 5 artiklan 4 kohdan nojalla;

h)	hyväksyy Eurojustiin sovellettavat varainhoitosäännöt 64 artiklan mukaisesti;

hyväksyy henkilöstösääntöjen 110 artiklan mukaisesti henkilöstösääntöjen 2 artiklan 1 kohtaan ja muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen 6 artiklaan perustuvan päätöksen, jolla siirretään nimittävän viranomaisen toimivalta hallintojohtajalle ja vahvistetaan olosuhteet, joissa tällainen toimivallan siirto voidaan keskeyttää; hallintojohtajalla on lupa siirtää tämä toimivalta edelleen;

j)	tarkastelee luonnosta Eurojustin vuotuiseksi talousarvioksi kollegion hyväksymistä varten;

k)	tarkastelee luonnosta Eurojustin vuotuiseksi toimintakertomukseksi ja toimittaa sen kollegion hyväksyttäväksi;

l)	nimittää tilinpitäjän ja tietosuojavastaavan, jotka hoitavat tehtäviään toiminnallisesti riippumattomasti.

4. Johtokunta koostuu Eurojustin puheenjohtajasta ja varapuheenjohtajista, yhdestä komission edustajasta ja kahdesta muusta kollegion jäsenestä, jotka nimetään kiertojärjestelmää noudattaen kahdeksi vuodeksi Eurojustin työjärjestyksen mukaisesti. Hallintojohtaja osallistuu johtokunnan kokouksiin, mutta hänellä ei ole äänioikeutta.

5. Johtokunnan puheenjohtajana toimii Eurojustin puheenjohtaja. Johtokunta tekee päätöksensä jäsentensä enemmistöllä. Kullakin jäsenellä on yksi ääni. Jos äänet menevät tasan, Eurojustin puheenjohtajan ääni ratkaisee.

6. Johtokunnan jäsenten toimikausi päättyy, kun heidän toimikautensa kansallisina jäseninä, puheenjohtajana tai varapuheenjohtajana päättyy.

7. Johtokunta kokoontuu vähintään kerran kuukaudessa. Lisäksi se kokoontuu puheenjohtajansa aloitteesta tai jos komissio tai vähintään kaksi sen muista jäsenistä sitä pyytää.

8. Eurojust lähettää EPPOlle johtokunnan kokousten esityslistan ja neuvottelee EPPOn kanssa tarpeesta osallistua kyseisiin kokouksiin. Aina kun käsitellyillä asioilla on merkitystä EPPOn toiminnan kannalta, Eurojust kutsuu EPPOn osallistumaan kokouksiin, mutta sillä ei ole äänioikeutta.

Kun EPPO kutsutaan johtokunnan kokoukseen, Eurojust toimittaa sille asiaan liittyvät asiakirjat esityslistan tueksi.

V JAKSO

Hallintojohtaja

17 artikla

Hallintojohtajan asema

1. Hallintojohtaja otetaan palvelukseen Eurojustin väliaikaisena toimihenkilönä muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen 2 artiklan a alakohdan nojalla.

2. Kollegio nimittää hallintojohtajan johtokunnan laatimassa luettelossa olevien hakijoiden joukosta avointa ja läpinäkyvää valintamenettelyä noudattaen Eurojustin työjärjestyksen mukaisesti. Tehtäessä työsopimusta hallintojohtajan kanssa Eurojustia edustaa Eurojustin puheenjohtaja.

3. Hallintojohtajan toimikausi on neljä vuotta. Toimikauden päättymiseen mennessä johtokunta laatii arvion, jossa otetaan huomioon arviointi siitä, miten hallintojohtaja on suoriutunut tehtävistään.

4. Kollegio voi johtokunnan ehdotuksesta, jossa otetaan huomioon 3 kohdassa tarkoitettu arvio, jatkaa hallintojohtajan toimikautta kerran enintään neljäksi vuodeksi.

5. Hallintojohtaja, jonka toimikautta on jatkettu, ei saa enää jatketun toimikautensa päättyessä osallistua kyseisen toimen uuteen valintamenettelyyn.

6. Hallintojohtaja vastaa toiminnastaan kollegiolle.

7. Hallintojohtaja voidaan erottaa ainoastaan kollegion päätöksellä, jonka se tekee johtokunnan ehdotuksen perusteella.

18 artikla

Hallintojohtajan velvollisuudet

1. Eurojustia johtaa hallinnollisissa kysymyksissä hallintojohtaja.

2. Hallintojohtaja hoitaa tehtäviään riippumattomasti, eikä hän saa pyytää eikä ottaa vastaan ohjeita miltään hallitukselta eikä miltään muulta elimeltä, sanotun kuitenkaan rajoittamatta kollegion tai johtokunnan valtuuksia.

3. Hallintojohtaja on Eurojustin laillinen edustaja.

4. Hallintojohtaja vastaa Eurojustille uskottujen hallinnollisten tehtävien täytäntöönpanosta, erityisesti seuraavien hallinnollisten tehtävien osalta:

a)	Eurojustin päivittäisen toiminnan hallinnointi ja henkilöstöhallinto;

b)	kollegion ja johtokunnan tekemien päätösten täytäntöönpano;

c)	15 artiklassa tarkoitetun ohjelma-asiakirjan laatiminen ja sen esittäminen johtokunnalle tarkasteltavaksi;

d)	15 artiklassa tarkoitetun ohjelma-asiakirjan täytäntöönpano ja siitä raportoiminen johtokunnalle ja kollegiolle;

e)	Eurojustin vuotuisen toimintakertomuksen laatiminen ja sen esittäminen johtokunnalle tarkasteltavaksi ja kollegiolle hyväksyttäväksi;

toimintasuunnitelman laatiminen sisäisen tai ulkoisen tarkastuksen raporttien, arviointien ja tutkimusten, Euroopan tietosuojavaltuutetun ja OLAFin raportit, arvioinnit ja tutkimukset mukaan lukien, perusteella ja raportointi edistymisestä kollegiolle, johtokunnalle, komissiolle ja Euroopan tietosuojavaltuutetulle kahdesti vuodessa;

g)	Eurojustin petostentorjuntastrategian laatiminen ja sen esittäminen johtokunnalle hyväksyttäväksi;

h)	Eurojustiin sovellettavien varainhoitosääntöjen luonnoksen laatiminen;

i)	Eurojustin tuloja ja menoja koskevan ennakkoarvion luonnoksen laatiminen ja viraston talousarvion toteuttaminen;

j)	henkilöstösäännöissä nimittävälle viranomaiselle ja muuhun henkilöstöön sovellettavissa palvelussuhteen ehdoissa muun henkilöstön työsopimusten tekemiseen valtuutetulle viranomaiselle annettujen valtuuksien, jäljempänä ”nimittävän viranomaisen valtuudet”, käyttäminen Eurojustin henkilöstön suhteen;

k)	sen varmistaminen, että annetaan tarvittava hallinnollinen tuki Eurojustin operatiivisen toiminnan helpottamiseksi;

l)	sen varmistaminen, että puheenjohtajaa ja varapuheenjohtajia tuetaan näiden tehtävien suorittamisessa;

m)	Eurojustin vuotuista talousarviota koskevan ehdotusluonnoksen laatiminen; johtokunta tarkastelee ehdotusluonnosta, ennen kuin kollegio hyväksyy sen.

III LUKU

OPERATIIVISET ASIAT

19 artikla

Päivystävä koordinaatio

1. Jotta Eurojust voi hoitaa tehtävänsä kiireellisissä tapauksissa, Eurojustissa toimii päivystävä koordinaatio, jolla on valmius vastaanottaa ja käsitellä sille toimitettuja pyyntöjä kaikkina vuorokauden aikoina. Päivystävään koordinaatioon on voitava saada yhteys joka päivä ympärivuorokautisesti.

2. Päivystävää koordinaatiota hoitaa kustakin jäsenvaltiosta yksi päivystävän koordinaation edustaja, joka voi olla joko kansallinen jäsen, hänen varajäsenensä, avustaja, jolla on oikeus toimia kansallisen jäsenen sijaisena, tai kansallinen asiantuntija. Päivystävän koordinaation edustajan on voitava toimia joka päivä ympärivuorokautisesti.

3. Päivystävän koordinaation edustajien on toimittava tehokkaasti ja viipymättä pyynnön panemiseksi täytäntöön jäsenvaltiossaan.

20 artikla

Eurojustin kansallinen koordinointijärjestelmä

1. Kukin jäsenvaltio nimittää yhden tai useamman kansallisen yhteyshenkilön Eurojustia varten.

2. Kaikilla jäsenvaltioiden 1 kohdan nojalla nimittämillä kansallisilla yhteyshenkilöillä on oltava tehtäviensä hoitamisen edellyttämä osaaminen ja kokemus.

3. Kunkin jäsenvaltion on perustettava Eurojustin kansallinen koordinointijärjestelmä seuraavien henkilöiden toiminnan koordinoimiseksi:

a)	Eurojustin kansalliset yhteyshenkilöt;

b)	EPPOn toimivaltaa koskevia kysymyksiä käsittelevät kansalliset yhteyshenkilöt;

c)	Eurojustin terrorismiasioiden kansallinen yhteyshenkilö;

d)	rikosoikeuden alan Euroopan oikeudellisen verkoston kansallinen yhteyshenkilö ja enintään kolme muuta Euroopan oikeudellisen verkoston yhteysviranomaista;

e)	yhteisten tutkintaryhmien verkoston kansalliset jäsenet tai yhteyspisteet ja päätöksillä 2002/494/YOS, 2007/845/YOS ja 2008/852/YOS perustettujen verkostojen kansalliset jäsenet tai yhteyspisteet;

f)	soveltuvin osin muut asiaankuuluvat oikeusviranomaiset.

4. Edellä 1 ja 3 kohdassa tarkoitettujen henkilöiden kansallisen lainsäädännön mukainen asema ja tehtävä pysyvät ennallaan ilman, että tällä on merkittävää vaikutusta heidän tämän asetuksen mukaisten tehtäviensä hoitamiseen.

5. Eurojustin kansalliset yhteyshenkilöt vastaavat Eurojustin kansallisen koordinointijärjestelmänsä toiminnasta. Jos Eurojustille on nimitetty useita yhteyshenkilöitä, yksi heistä vastaa Eurojustin kansallisen koordinointijärjestelmänsä toiminnasta.

6. Kansallisille jäsenille on ilmoitettava kaikista heidän Eurojustin kansallisen koordinointijärjestelmänsä kokouksista, joissa käsitellään tapaustyöskentelyyn liittyviä asioita. Kansalliset jäsenet voivat osallistua tällaisiin kokouksiin tarvittaessa.

7. Kukin Eurojustin kansallinen koordinointijärjestelmä helpottaa Eurojustin tehtävien suorittamista asianomaisessa jäsenvaltiossa, erityisesti

a)	varmistamalla, että 23 artiklassa tarkoitettu asianhallintajärjestelmä saa asianomaiseen jäsenvaltioon liittyvät tiedot tehokkaalla ja luotettavalla tavalla;

b)	avustamalla sen ratkaisemisessa, olisiko pyyntö käsiteltävä Eurojustin vai Euroopan oikeudellisen verkoston avulla;

c)	avustamalla kansallista jäsentä niiden viranomaisten määrittämisessä, jotka vastaavat oikeudellista yhteistyötä koskevien pyyntöjen ja päätösten täytäntöönpanosta, mukaan lukien vastavuoroisen tunnustamisen periaatetta toteuttaviin välineisiin perustuvat pyynnöt ja päätökset;

d)	pitämällä yllä tiiviitä suhteita Europolin kansalliseen yksikköön, muihin Euroopan oikeudellisen verkoston yhteysviranomaisiin ja muihin asiaankuuluviin toimivaltaisiin kansallisiin viranomaisiin.

8. Edellä 7 kohdassa mainittujen tavoitteiden saavuttamiseksi 1 kohdassa ja 3 kohdan a, b ja c alakohdassa tarkoitetuilla henkilöillä on oltava ja 3 kohdan d ja e alakohdassa tarkoitetuilla henkilöillä tai viranomaisilla voi olla yhteys asianhallintajärjestelmään tämän artiklan ja 23, 24, 25 ja 34 artiklan mukaisesti. Yhteydestä asianhallintajärjestelmään aiheutuvat kustannukset katetaan unionin yleisestä talousarviosta.

9. Eurojustin kansallisen koordinointijärjestelmän perustaminen ja kansallisten yhteyshenkilöiden nimittäminen ei estä suoria yhteyksiä kansallisen jäsenen ja hänen jäsenvaltionsa toimivaltaisten viranomaisten välillä.

21 artikla

Tietojenvaihto jäsenvaltioiden kanssa ja kansallisten jäsenten välillä

1. Jäsenvaltioiden toimivaltaisten viranomaisten on vaihdettava Eurojustin kanssa kaikki sen 2 ja 4 artiklan mukaisten tehtävien suorittamiseksi tarvittavat tiedot sovellettavien tietosuojasääntöjen mukaisesti. Tämän on käsitettävä vähintään tämän artiklan 4, 5 ja 6 kohdassa tarkoitetut tiedot.

2. Tietojen toimittaminen Eurojustille tulkitaan Eurojustille osoitetuksi avunpyynnöksi kyseisessä tapauksessa ainoastaan, jos toimivaltainen viranomainen näin ilmoittaa.

3. Kansallisten jäsenten on ilman ennakkolupaa vaihdettava kaikki Eurojustin tehtävien suorittamiseksi tarvittavat tiedot keskenään tai toimivaltaisten kansallisten viranomaistensa kanssa. Toimivaltaisten kansallisten viranomaisten on ilmoitettava kansallisille jäsenilleen viipymättä niitä koskevista tapauksista.

4. Toimivaltaisten kansallisten viranomaisten on tiedotettava kansallisille jäsenilleen yhteisten tutkintaryhmien perustamisesta ja niiden työskentelyn tuloksista.

5. Toimivaltaisten kansallisten viranomaisten on tiedotettava kansallisille jäsenilleen ilman aiheetonta viivytystä kaikista tapauksista, jotka koskevat vähintään kolmea jäsenvaltiota ja joihin liittyvät oikeudellista yhteistyötä koskevat pyynnöt tai päätökset, mukaan lukien vastavuoroisen tunnustamisen periaatetta toteuttaviin välineisiin perustuvat pyynnöt ja päätökset, on toimitettu vähintään kahdelle jäsenvaltiolle, kun yksi tai useampi seuraavista edellytyksistä täyttyy:

kyseisestä rikoksesta voi seurata pyynnön esittävässä tai toimittavassa jäsenvaltiossa vapaudenmenetyksen käsittävä rangaistus tai turvaamistoimenpide, jonka enimmäiskesto on vähintään viisi tai kuusi vuotta kyseisen jäsenvaltion päätöksen mukaisesti, ja rikos sisältyy seuraavaan luetteloon:

i)	ihmiskauppa;

ii)	seksuaalinen hyväksikäyttö tai seksuaalinen riisto, mukaan lukien lapsipornografia ja lapsen houkuttelu seksuaalisiin tarkoituksiin;

iii)	laiton huumausainekauppa;

iv)	ampuma-aseiden, niiden osien tai komponenttien taikka ampumatarvikkeiden tai räjähteiden laiton kauppa;

lahjonta;

vi)	unionin taloudellisia etuja vahingoittavat rikokset;

vii)	rahan tai maksuvälineiden väärentäminen;

viii)

rahanpesu;

ix)	tietotekniikkarikollisuus;

b)	on tosiseikkoihin perustuvaa näyttöä siitä, että rikollisjärjestö on osallisena tapaukseen;

c)	on näyttöä siitä, että tapauksella saattaa olla vakava rajat ylittävä ulottuvuus tai vaikutuksia unionin tasolla tai että se saattaa koskea muita kuin asiaan suoranaisesti liittyviä jäsenvaltioita.

6. Toimivaltaisten kansallisten viranomaisten on tiedotettava kansallisille jäsenilleen

a)	tapauksista, joissa on ilmennyt tai todennäköisesti ilmenee toimivaltaristiriitoja;

b)	valvotuista läpilaskuista, jotka koskevat vähintään kolmea maata, joista vähintään kaksi on jäsenvaltioita;

c)	toistuvista vaikeuksista tai kieltäytymisistä panna täytäntöön oikeudellista yhteistyötä koskevia pyyntöjä tai päätöksiä, mukaan lukien vastavuoroisen tunnustamisen periaatetta toteuttaviin välineisiin perustuvat pyynnöt ja päätökset.

7. Toimivaltaiset kansalliset viranomaiset eivät yksittäisessä tapauksessa ole velvollisia välittämään tietoja, jos tietojen siirto vahingoittaisi keskeisiä kansallisia turvallisuusetuja tai vaarantaisi henkilöiden turvallisuuden.

8. Tämä artikla ei vaikuta jäsenvaltioiden ja kolmansien maiden välisissä kahdenvälisissä tai monenvälisissä sopimuksissa tai järjestelyissä määrättyihin ehtoihin, mukaan lukien mahdolliset kolmansien maiden asettamat toimitettujen tietojen käyttöä koskevat ehdot.

9. Tämä artikla ei vaikuta muihin velvoitteisiin, jotka koskevat tietojen toimittamista Eurojustille, mukaan lukien neuvoston päätös 2005/671/YOS (19).

10. Tässä artiklassa tarkoitetut tiedot on toimitettava Eurojustin määrittämällä jäsennellyllä tavalla. Toimivaltainen kansallinen viranomainen ei ole velvollinen toimittamaan tällaisia tietoja, jos ne on jo toimitettu Eurojustille tämän asetuksen muiden säännösten mukaisesti.

22 artikla

Eurojustin toimivaltaisille kansallisille viranomaisille toimittamat tiedot

1. Eurojust toimittaa ilman aiheetonta viivytystä toimivaltaisille kansallisille viranomaisille tiedot tietojen käsittelyn tuloksista, mukaan lukien olemassa olevat yhteydet tapauksiin, jotka on jo tallennettu asianhallintajärjestelmään. Näihin tietoihin voi sisältyä henkilötietoja.

2. Jos toimivaltainen kansallinen viranomainen pyytää Eurojustia toimittamaan sille tietoja tietyssä määräajassa, Eurojust toimittaa kyseiset tiedot mainitussa määräajassa.

23 artikla

Asianhallintajärjestelmä, hakemisto ja tilapäiset tietokannat

1. Eurojust perustaa asianhallintajärjestelmän, joka koostuu tilapäisistä tietokannoista ja hakemistosta, jotka sisältävät liitteessä II tarkoitetut henkilötiedot sekä muita tietoja.

2. Asianhallintajärjestelmän tarkoituksena on

a)	tukea sellaisten tutkinta- ja syytetoimien hallinnointia ja koordinointia, joissa Eurojust avustaa, erityisesti tietoja koskevilla ristiviittauksilla;

b)	helpottaa pääsyä tietoihin meneillään olevista tutkinta- ja syytetoimista;

c)	helpottaa Eurojustin suorittaman henkilötietojen käsittelyn lainmukaisuuden valvontaa ja sen sovellettavien tietosuojasääntöjen noudattamista.

3. Asianhallintajärjestelmä voidaan yhdistää neuvoston päätöksen 2008/976/YOS (20) 9 artiklassa tarkoitettuun suojattuun tietoliikenneyhteyteen.

4. Hakemistossa on oltava viittaukset Eurojustissa käsiteltäviin tilapäisiin tietokantoihin, ja siinä ei saa olla muita kuin liitteessä II olevissa 1 kohdan a–i, k ja m alakohdassa sekä 2 kohdassa tarkoitettuja henkilötietoja.

5. Tehtäviensä suorittamiseksi kansalliset jäsenet voivat käsitellä tilapäisessä tietokannassa tietoja, jotka koskevat heidän käsiteltävänään olevia yksittäisiä tapauksia. Heidän on sallittava tietosuojavastaavalle pääsy tilapäiseen tietokantaan. Kyseisen kansallisen jäsenen on ilmoitettava tietosuojavastaavalle kunkin uuden henkilötietoja sisältävän tilapäisen tietokannan avaamisesta.

6. Käsitellessään operatiivisia henkilötietoja Eurojust ei saa luoda muita automaattisesti käsiteltäviä tietokantoja kuin asianhallintajärjestelmän. Kansallinen jäsen voi kuitenkin tilapäisesti tallentaa ja analysoida henkilötietoja määrittääkseen, ovatko tällaiset tiedot merkityksellisiä Eurojustin tehtävien kannalta ja voidaanko ne sisällyttää asianhallintajärjestelmään. Näitä tietoja voidaan säilyttää enintään kolmen kuukauden ajan.

24 artikla

Tilapäisten tietokantojen ja hakemiston toiminta

1. Kansallisen jäsenen on avattava tilapäinen tietokanta jokaisesta asiasta, josta hänelle toimitetaan tietoja, siltä osin kuin tiedot toimitetaan tämän asetuksen tai muiden sovellettavien oikeusvälineiden mukaisesti. Kansallinen jäsen vastaa avaamiensa tilapäisten tietokantojen hallinnoinnista.

2. Tilapäisen tietokannan avannut kansallinen jäsen päättää tapauskohtaisesti siitä, pidetäänkö tilapäinen tietokanta rajoitettuna vai sallitaanko pääsy siihen tai sen osiin muille kansallisille jäsenille, valtuutetulle Eurojustin henkilöstölle tai muille Eurojustin lukuun työskenteleville henkilöille, jotka ovat saaneet tarvittavan valtuutuksen hallintojohtajalta.

3. Tilapäisen tietokannan avannut kansallinen jäsen päättää siitä, mitkä kyseiseen tietokantaan liittyvät tiedot merkitään hakemistoon 23 artiklan 4 kohdan mukaisesti.

25 artikla

Pääsy asianhallintajärjestelmään kansallisella tasolla

1. Edellä 20 artiklan 3 kohdassa tarkoitetuilla henkilöillä, siltä osin kuin heillä on yhteys asianhallintajärjestelmään, on pääsy ainoastaan

a)	hakemistoon, paitsi jos kansallinen jäsen, joka on päättänyt merkitä tiedot hakemistoon, on nimenomaisesti kieltänyt tällaisen pääsyn;

b)	tilapäisiin tietokantoihin, jotka heidän jäsenvaltionsa kansallinen jäsen on avannut;

c)	tilapäisiin tietokantoihin, jotka muiden jäsenvaltioiden kansalliset jäsenet ovat avanneet ja joihin heidän jäsenvaltionsa kansallinen jäsen on saanut pääsyn, paitsi jos tilapäisen tietokannan avannut kansallinen jäsen on nimenomaisesti kieltänyt tällaisen pääsyn.

2. Kansallinen jäsen päättää tämän artiklan 1 kohdassa säädetyin rajoituksin, miten laaja pääsy tilapäisiin tietokantoihin hänen jäsenvaltiossaan myönnetään 20 artiklan 3 kohdassa tarkoitetuille henkilöille, siltä osin kuin heillä on yhteys asianhallintajärjestelmään.

3. Kukin jäsenvaltio päättää kansallista jäsentään kuultuaan, miten laaja pääsy hakemistoon kyseisessä jäsenvaltiossa myönnetään 20 artiklan 3 kohdassa tarkoitetuille henkilöille, siltä osin kuin heillä on yhteys asianhallintajärjestelmään. Jäsenvaltioiden on ilmoitettava Eurojustille ja komissiolle tämän kohdan täytäntöönpanoa koskevasta päätöksestään. Komissio ilmoittaa tästä muille jäsenvaltioille.

4. Henkilöillä, joille on myönnetty 2 kohdan mukainen pääsy, on oltava pääsy hakemistoon ainakin siltä osin, kuin se on tarpeen niihin tilapäisiin tietokantoihin pääsemiseksi, joihin heille on myönnetty pääsy.

IV LUKU

TIETOJENKÄSITTELY

26 artikla

Eurojustin suorittama henkilötietojen käsittely

1. Tätä asetusta ja asetuksen (EU) 2018/1725 3 artiklaa ja IX lukua sovelletaan Eurojustin suorittamaan operatiivisten henkilötietojen käsittelyyn. Asetusta (EU) 2018/1725 sovelletaan sen IX lukua lukuun ottamatta Eurojustin suorittamaan hallinnollisten henkilötietojen käsittelyyn.

2. Tämän asetuksen viittauksia ”sovellettaviin tietosuojasääntöihin” on pidettävä viittauksina tämän asetuksen ja asetuksen (EU) 2018/1725 tietosuojasäännöksiin.

3. Tähän asetukseen sisältyviä operatiivisten henkilötietojen käsittelyä koskevia tietosuojasääntöjä pidetään erityisinä tietosuojasääntöinä asetuksen (EU) 2018/1725 3 artiklassa ja IX luvussa vahvistettuihin yleisiin sääntöihin nähden.

4. Eurojust määrittää hallinnollisten henkilötietojen säilyttämisen aikarajat työjärjestyksensä tietosuojamääräyksissä.

27 artikla

Operatiivisten henkilötietojen käsittely

1. Siltä osin kuin se on tarpeen sen tehtävien hoitamiseksi, Eurojust saa toimivaltansa puitteissa ja operatiivisten tehtäviensä suorittamiseksi käsitellä automaattisesti tai strukturoitujen manuaalisten arkistojen avulla tämän asetuksen mukaisesti ainoastaan liitteessä II olevassa 1 kohdassa lueteltuja operatiivisia henkilötietoja henkilöistä, jotka kyseisten jäsenvaltioiden kansallisen lainsäädännön mukaisesti ovat henkilöitä, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä Eurojustin toimivaltaan kuuluvaan rikokseen tai jotka on tuomittu tällaisesta rikoksesta.

2. Eurojust saa käsitellä ainoastaan liitteessä II olevassa 2 kohdassa lueteltuja operatiivisia henkilötietoja henkilöistä, joita kyseisten jäsenvaltioiden kansallisen lainsäädännön mukaisesti pidetään rikoksen uhreina tai rikokseen nähden kolmansina osapuolina, kuten henkilöinä, jotka voidaan kutsua todistamaan yhtä tai useampaa 3 artiklassa tarkoitettua rikollisuuden lajia ja rikosta koskevissa tutkinta- tai syytetoimissa, henkilöinä, jotka voivat antaa tietoa rikoksista, tai 1 kohdassa tarkoitetun henkilön kontakteina tai kumppaneina. Tällaisten operatiivisten henkilötietojen käsittely on sallittua ainoastaan, jos se on välttämätöntä Eurojustin tehtävien hoitamiseksi, sen toimivallan puitteissa ja sen operatiivisten tehtävien suorittamiseksi.

3. Eurojust saa poikkeuksellisissa tapauksissa ja rajoitetun ajan, joka ei saa olla pidempi kuin aika, joka tarvitaan sen asian saattamiseksi päätökseen, jonka yhteydessä henkilötietoja käsitellään, käsitellä myös muita operatiivisia henkilötietoja kuin liitteessä II tarkoitettuja henkilötietoja, jotka liittyvät rikoksen tekohetken olosuhteisiin, jos tällaisilla tiedoilla on välitöntä merkitystä meneillään oleville tutkintatoimille, joita Eurojust koordinoi tai joiden koordinointiin se osallistuu, ja jos ne ovat osa tällaisia tutkintatoimia, edellyttäen, että niiden käsittely on välttämätöntä 1 kohdassa yksilöityjen tarkoitusten kannalta. Jäljempänä 36 artiklassa tarkoitetulle tietosuojavastaavalle on ilmoitettava välittömästi tällaisten operatiivisten henkilötietojen käsittelystä, ja hänelle on ilmoitettava erityisolosuhteista, joiden perusteella kyseisten operatiivisten henkilötietojen käsittely on välttämätöntä. Jos tällaiset muut tiedot koskevat tämän artiklan 2 kohdassa tarkoitettuja todistajia tai uhreja, kyseisten kansallisten jäsenten on yhdessä tehtävä päätös tietojen käsittelystä.

4. Eurojust saa käsitellä erityisiä operatiivisten henkilötietojen ryhmiä asetuksen (EU) 2018/1725 76 artiklan mukaisesti. Kyseisiä tietoja ei saa käsitellä tämän asetuksen 23 artiklan 4 kohdassa tarkoitetussa hakemistossa. Jos tällaiset muut tiedot koskevat tämän artiklan 2 kohdassa tarkoitettuja todistajia tai uhreja, kyseisten kansallisten jäsenten on tehtävä päätös tietojen käsittelystä.

28 artikla

Tietojenkäsittely Eurojustin tai henkilötietojen käsittelijän alaisuudessa

Henkilötietojen käsittelijä tai kukaan Eurojustin tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy operatiivisiin henkilötietoihin, ei saa käsitellä niitä muuten kuin Eurojustin ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä tätä edellytetä.

29 artikla

Operatiivisten henkilötietojen säilyttämisen aikarajat

1. Eurojust saa säilyttää käsittelemiään operatiivisia henkilötietoja ainoastaan niin kauan, kuin se on tarpeen sen tehtävien suorittamiseksi. Rajoittamatta tämän artiklan 3 kohdan soveltamista varsinkaan 27 artiklassa tarkoitettuja operatiivisia henkilötietoja ei saa säilyttää seuraavista ajankohdista ensimmäisen soveltuvan ajankohdan jälkeen:

a)	päivä, jona syytteen nostamiselle asetettu määräaika on päättynyt vanhentumissääntöjen nojalla kaikissa jäsenvaltioissa, joita tutkinta- ja syytetoimet koskevat;

b)	päivä, jona Eurojustille ilmoitetaan, että henkilöön kohdistuneet syytteet on hylätty lopullisesti ja tuomioistuimen päätös on tullut lainvoimaiseksi, jolloin asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta Eurojustille;

c)	kolme vuotta sen päivän jälkeen, jona tuomioistuimen päätös on tullut lainvoimaiseksi viimeisessä niistä jäsenvaltioista, joita tutkinta- ja syytetoimet koskevat;

d)	päivä, jona Eurojust ja asianomaiset jäsenvaltiot yhteisymmärryksessä ovat todenneet tai sopineet, että Eurojustin ei enää tarvitse koordinoida kyseisiä tutkinta- ja syytetoimia, jollei tämän asetuksen 21 artiklan 5 tai 6 kohdan nojalla edellytetä kyseisten tietojen toimittamista Eurojustille;

e)	kolme vuotta sen päivän jälkeen, jona operatiiviset henkilötiedot toimitettiin 21 artiklan 5 tai 6 kohdan mukaisesti.

2. Eurojustin suorittamalla asianmukaisella automaattisella tietojen käsittelyllä on jatkuvasti tarkistettava, että tämän artiklan 1 kohdassa tarkoitettuja säilyttämisen määräaikoja noudatetaan, erityisesti sen jälkeen, kun Eurojust on lopettanut asian käsittelyn. Lisäksi tietojen säilyttämisen tarpeellisuus on tarkistettava kolmen vuoden välein tietojen tallentamisesta; tällaisten tarkistusten tuloksia sovelletaan asiaan kokonaisuudessaan. Jos 27 artiklan 4 kohdassa tarkoitettuja operatiivisia henkilötietoja säilytetään yli viiden vuoden ajan, asiasta on ilmoitettava Euroopan tietosuojavaltuutetulle.

3. Ennen kuin jokin 1 kohdassa tarkoitetuista säilyttämisen määräajoista umpeutuu, Eurojust tarkistaa operatiivisten henkilötietojen säilyttämisen jatkamisen tarpeellisuuden, jos ja niin pitkään kuin se on tarpeen sen tehtävien suorittamiseksi. Se voi päättää säilyttää näitä tietoja poikkeuksellisesti seuraavaan säilyttämisen tarpeellisuutta koskevaan tarkistukseen saakka. Syyt säilyttämisen jatkamiseen on perusteltava ja dokumentoitava. Jos päätöstä operatiivisten henkilötietojen säilyttämisen jatkamisesta ei tehdä tarkistuksen ajankohtana, ne on poistettava automaattisesti.

4. Jos operatiivisia henkilötietoja on 3 kohdan mukaisesti säilytetty 1 kohdassa tarkoitettujen säilyttämisen aikarajojen jälkeen, myös Euroopan tietosuojavaltuutettu tarkistaa tietojen säilyttämisen tarpeellisuuden kolmen vuoden välein.

5. Kun tietokannasta saadun viimeisen automaattisesti käsitellyn tiedon säilyttämisen määräaika on umpeutunut, kaikki tietokannan asiakirjat on hävitettävä lukuun ottamatta mahdollisia alkuperäisiä asiakirjoja, jotka Eurojust on saanut kansallisilta viranomaisilta ja jotka on palautettava asiakirjat toimittaneelle viranomaiselle.

6. Jos Eurojust on koordinoinut tutkinta- tai syytetoimia, asianomaisten kansallisten jäsenten on ilmoitettava toisilleen aina, kun ne saavat tiedon siitä, että asian käsittely on lopetettu tai että kaikki asiaan liittyvät tuomioistuimen päätökset ovat tulleet lainvoimaisiksi.

7. Edellä olevaa 5 kohtaa ei sovelleta, jos

a)	tämä vahingoittaisi suojaa vaativan rekisteröidyn etuja; tässä tapauksessa operatiivisia henkilötietoja saa käyttää ainoastaan rekisteröidyn nimenomaisella kirjallisella suostumuksella;

b)	rekisteröity kiistää operatiivisten henkilötietojen paikkansapitävyyden; tässä tapauksessa 5 kohtaa ei sovelleta ajanjaksolla, jonka kuluessa jäsenvaltiot voivat tai tarvittaessa Eurojust voi varmistaa tällaisten tietojen paikkansapitävyyden;

c)	operatiiviset henkilötiedot on määrä säilyttää todistelua tai oikeusvaateen laatimista, esittämistä tai puolustamista varten;

d)	rekisteröity vastustaa operatiivisten henkilötietojen poistamista ja pyytää sen sijaan niiden käytön rajoittamista; tai

e)	operatiivisia henkilötietoja tarvitaan edelleen yleisen edun mukaisia arkistointitarkoituksia tai tilastollisia tarkoituksia varten.

30 artikla

Operatiivisten henkilötietojen turvallisuus

Eurojust ja jäsenvaltiot määrittävät mekanismit, joiden avulla voidaan varmistaa, että asetuksen (EU) 2018/1725 91 artiklassa tarkoitetut turvatoimenpiteet otetaan huomioon yli tietojärjestelmien rajojen.

31 artikla

Rekisteröidyn oikeus saada pääsy tietoihin

1. Jokainen rekisteröity, joka haluaa käyttää asetuksen (EU) 2018/1725 80 artiklassa tarkoitettua oikeuttaan saada pääsy itseään koskeviin operatiivisiin henkilötietoihin, joita Eurojust on käsitellyt, voi esittää asiaa koskevan pyynnön Eurojustille tai kansalliselle valvontaviranomaiselle valitsemassaan jäsenvaltiossa. Kyseisen viranomaisen on saatettava asia Eurojustin käsiteltäväksi viipymättä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

2. Eurojust vastaa pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa kolmen kuukauden kuluessa siitä, kun se on vastaanottanut pyynnön.

3. Eurojust kuulee asianomaisten jäsenvaltioiden toimivaltaisia viranomaisia pyynnön johdosta tehtävästä päätöksestä. Eurojust tekee tietoihin pääsyä koskevan päätöksen vain tiiviissä yhteistyössä niiden jäsenvaltioiden kanssa, joihin kyseisten tietojen luovuttaminen suoraan liittyy. Jos jäsenvaltio vastustaa Eurojustin päätösehdotusta, sen on ilmoitettava vastustuksensa perusteet Eurojustille. Eurojust noudattaa tällaisia vastustuksen ilmaisuja. Asianomaisten kansallisten jäsenten on tämän jälkeen annettava Eurojustin päätöksen sisältö tiedoksi toimivaltaisille viranomaisille.

4. Asianomaisten kansallisten jäsenten on käsiteltävä pyyntö ja tehtävä päätös Eurojustin puolesta. Jos asianomaiset kansalliset jäsenet eivät pääse yhteisymmärrykseen, heidän on annettava asia käsiteltäväksi kollegiolle, joka tekee pyyntöä koskevan päätöksensä kahden kolmasosan enemmistöllä.

32 artikla

Tietoihin pääsyä koskevan oikeuden rajoittaminen

Asetuksen (EU) 2018/1725 81 artiklassa tarkoitetuissa tapauksissa Eurojust ilmoittaa asiasta rekisteröidylle kuultuaan asianomaisten jäsenvaltioiden toimivaltaisia viranomaisia tämän asetuksen 31 artiklan 3 kohdan mukaisesti.

33 artikla

Oikeus käsittelyn rajoittamiseen

Jos operatiivisten henkilötietojen käsittelyä on rajoitettu asetuksen (EU) 2018/1725 82 artiklan 3 kohdan nojalla, näitä operatiivisia henkilötietoja saa, käsitellä ainoastaan rekisteröidyn oikeuksien suojaamiseksi tai sellaisten menettelyjen, joihin Eurojust osallistuu, osapuolena olevan toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi taikka asetuksen (EU) 2018/1725 82 artiklan 3 kohdassa säädettyjä tarkoituksia varten, sanotun kuitenkaan rajoittamatta tämän asetuksen 29 artiklan 7 kohdassa säädettyjen poikkeusten soveltamista.

34 artikla

Sallittu pääsy operatiivisiin henkilötietoihin Eurojustissa

Ainoastaan kansallisilla jäsenillä, heidän varajäsenillään, heidän avustajillaan ja valtuutetuilla kansallisilla asiantuntijoilla, 20 artiklan 3 kohdassa tarkoitetuilla henkilöillä, siltä osin kuin heillä on yhteys asianhallintajärjestelmään, ja Eurojustin valtuutetulla henkilöstöllä on Eurojustin tehtävien suorittamiseksi ja 23, 24 ja 25 artiklassa säädetyissä rajoissa pääsy Eurojustin käsittelemiin operatiivisiin henkilötietoihin.

35 artikla

Käsittelytoimien ryhmiä koskevat selosteet

1. Eurojust ylläpitää selostetta kaikista vastuullaan olevista käsittelytoimien ryhmistä. Selosteen on käsitettävä kaikki seuraavat tiedot:

a)	Eurojustin yhteystiedot sekä sen tietosuojavastaavan nimi ja yhteystiedot;

b)	käsittelyn tarkoitukset;

c)	kuvaus rekisteröityjen ryhmistä ja operatiivisten henkilötietojen ryhmistä;

d)	operatiivisten henkilötietojen vastaanottajien ryhmät, joille operatiivisia henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

e)	tarvittaessa tiedot operatiivisten henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä;

f)	mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

g)	mahdollisuuksien mukaan yleinen kuvaus asetuksen (EU) 2018/1725 91 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.

2. Edellä 1 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

3. Eurojust saattaa pyydettäessä selosteen Euroopan tietosuojavaltuutetun saataville.

36 artikla

Tietosuojavastaavan nimeäminen

1. Johtokunnan on nimettävä tietosuojavastaava. Tietosuojavastaavan on oltava erityisesti tähän tarkoitukseen nimitetty henkilöstön jäsen. Tietosuojavastaavan on tehtäviään suorittaessaan toimittava itsenäisesti, eikä hän saa ottaa vastaan ohjeita.

2. Tietosuojavastaavaa valittaessa otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa tässä asetuksessa ja erityisesti 38 artiklassa tarkoitetut tehtävät.

3. Tietosuojavastaavan valinta ei saa aiheuttaa eturistiriitaa tietosuojavastaavan tämän aseman ja hänen muiden mahdollisten virkavelvollisuuksiensa välille, erityisesti tämän asetuksen säännöksiä sovellettaessa.

4. Tietosuojavastaava nimitetään toimikaudeksi, jonka kesto on neljä vuotta, ja hänet voidaan nimittää uudeksi toimikaudeksi kuitenkin niin, että yhteenlaskettu toimikausi voi olla enintään kahdeksan vuotta. Jos tietosuojavastaava ei enää täytä tehtäviensä suorittamiseksi vaadittavia edellytyksiä, johtokunta voi erottaa hänet, kuitenkin ainoastaan Euroopan tietosuojavaltuutetun suostumuksella.

5. Eurojust julkistaa tietosuojavastaavan yhteystiedot ja ilmoittaa ne Euroopan tietosuojavaltuutetulle.

37 artikla

Tietosuojavastaavan asema

1. Eurojust varmistaa, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2. Eurojust tukee tietosuojavastaavaa tämän suorittaessa 38 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit ja henkilöstön, jotka ovat tarpeen näiden tehtävien täyttämisessä, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.

3. Eurojust varmistaa, ettei tietosuojavastaava ota vastaan ohjeita, jotka koskevat hänen tehtäviensä hoitamista. Johtokunta ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan kollegiolle operatiivisista henkilötiedoista ja johtokunnalle hallinnollisista henkilötiedoista.

4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja heidän tähän asetukseen ja asetukseen (EU) 2018/1725 perustuvien oikeuksiensa käyttöön.

5. Johtokunta hyväksyy tietosuojavastaavaan sovellettavat täytäntöönpanosäännöt. Nämä täytäntöönpanosäännöt koskevat erityisesti tietosuojavastaavan valintamenettelyä ja hänen erottamistaan, tehtäviään, velvollisuuksiaan ja toimivaltuuksiaan sekä tietosuojavastaavan riippumattomuutta koskevia takeita.

6. Tietosuojavastaavaa ja hänen henkilöstöään sitoo salassapitovelvollisuus 72 artiklan mukaisesti.

7. Rekisterinpitäjä ja henkilötietojen käsittelijä, asianomainen henkilöstökomitea ja kuka tahansa luonnollinen henkilö voivat virkatietä käyttämättä kuulla tietosuojavastaavaa kaikissa tämän asetuksen ja asetuksen (EU) 2018/1725 soveltamiseen tai tulkintaan liittyvissä asioissa. Kenellekään ei saa aiheutua haittaa sen johdosta, että tietosuojavastaavan tietoon on saatettu asia, jonka osalta väitetään, että tätä asetusta tai asetusta (EU) 2018/1725 on rikottu.

8. Tietosuojavastaavan nimeämisen jälkeen Eurojust ilmoittaa hänen nimensä Euroopan tietosuojavaltuutetulle.

38 artikla

Tietosuojavastaavan tehtävät

1. Tietosuojavastaavalle kuuluvat erityisesti seuraavat henkilötietojen käsittelyyn liittyvät tehtävät:

varmistaa riippumattomalla tavalla se, että Eurojust noudattaa tämän asetuksen ja asetuksen (EU) 2018/1725 tietosuojasäännöksiä sekä Eurojustin työjärjestyksen asiaankuuluvia tietosuojamääräyksiä; tähän sisältyy sen seuraaminen, että noudatetaan tätä asetusta, asetusta (EU) 2018/1725, muita unionin tai kansallisia tietosuojasäännöksiä ja Eurojustin toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

b)	antaa Eurojustille sekä henkilötietoja käsittelevälle henkilöstölle tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen, asetuksen (EU) 2018/1725 ja muiden unionin tai kansallisten tietosuojasäännösten mukaisia velvollisuuksia;

c)	antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta asetuksen (EU) 2018/1725 89 artiklan mukaisesti;

d)	varmistaa siirrettyjen ja vastaanotettujen henkilötietojen kirjaaminen Eurojustin työjärjestyksessä vahvistettavien määräysten mukaisesti;

e)	tehdä yhteistyötä tietojenkäsittelymenettelyistä, -koulutuksesta ja -neuvonnasta vastaavan Eurojustin henkilöstön kanssa;

f)	tehdä yhteistyötä Euroopan tietosuojavaltuutetun kanssa;

g)	varmistaa, että rekisteröidyille tiedotetaan heidän tästä asetuksesta ja asetuksesta (EU) 2018/1725 johtuvista oikeuksistaan;

h)	toimia Euroopan tietosuojavaltuutetun yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien asetuksen (EU) 2018/1725 90 artiklan mukainen ennakkokuuleminen, ja tarvittaessa kuulla tätä muista mahdollisista kysymyksistä;

i)	antaa pyydettäessä neuvoja henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tarpeellisuudesta asetuksen (EU) 2018/1725 92 ja 93 artiklan mukaisesti;

j)	laatia vuosikertomus ja toimittaa se johtokunnalle, kollegiolle ja Euroopan tietosuojavaltuutetulle.

2. Tietosuojavastaavan on suoritettava asetuksessa (EU) 2018/1725 säädetyt tehtävät hallinnollisten henkilötietojen osalta.

3. Eurojustin tietosuojavastaavalla ja henkilöstöllä, joka avustaa tietosuojavastaavaa tämän tehtävissä, on pääsy Eurojustin käsittelemiin henkilötietoihin ja sen tiloihin siltä osin, kuin on välttämätöntä heidän tehtäviensä suorittamiseksi.

4. Jos tietosuojavastaava katsoo, että hallinnollisten henkilötietojen käsittelyä koskevia asetuksen (EU) 2018/1725 säännöksiä tai operatiivisten henkilötietojen käsittelyä koskevia tämän asetuksen tai asetuksen (EU) 2018/1725 3 artiklan ja IX luvun säännöksiä ei ole noudatettu, hän ilmoittaa asiasta johtokunnalle ja pyytää tätä korjaamaan tilanteen tiettyyn määräaikaan mennessä. Jollei johtokunta korjaa säännösten noudattamatta jättämistä sovitussa määräajassa, tietosuojavastaava saattaa asian Euroopan tietosuojavaltuutetun käsiteltäväksi.

39 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen asiaankuuluville viranomaisille

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, Eurojust ilmoittaa siitä ilman aiheetonta viivytystä kyseisen jäsenvaltion toimivaltaisille viranomaisille.

2. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)	kuvattava henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien ja tarvittaessa asianomaisten rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät;

b)	kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

c)	kuvattava toimenpiteet, joita Eurojust on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta; ja

d)	tarvittaessa suositeltava toimenpiteitä henkilötietojen tietoturvaloukkauksen mahdollisten haittavaikutusten lieventämiseksi.

40 artikla

Euroopan tietosuojavaltuutetun suorittama valvonta

1. Euroopan tietosuojavaltuutetun tehtävänä on valvoa tämän asetuksen ja asetuksen (EU) 2018/1725 niiden säännösten soveltamista, jotka koskevat luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua Eurojustin suorittaman operatiivisten henkilötietojen käsittelyn yhteydessä, ja varmistaa niiden soveltaminen sekä antaa ohjeita Eurojustille ja rekisteröidyille kaikista operatiivisten henkilötietojen käsittelyä koskevista seikoista. Tätä varten Euroopan tietosuojavaltuutettu suorittaa tämän artiklan 2 kohdassa säädetyt tehtävät, käyttää tämän artiklan 3 kohdassa myönnettyjä valtuuksia ja tekee yhteistyötä kansallisten valvontaviranomaisten kanssa 42 artiklan mukaisesti.

2. Euroopan tietosuojavaltuutetun tehtävänä on tämän asetuksen ja asetuksen (EU) 2018/1725 nojalla

a)	vastaanottaa ja tutkia kanteluja sekä ilmoittaa rekisteröidylle niiden käsittelyn tuloksesta kohtuullisen määräajan kuluessa;

b)	suorittaa tutkimuksia joko omasta aloitteestaan tai kantelun perusteella sekä ilmoittaa rekisteröidyille niiden tuloksista kohtuullisen määräajan kuluessa;

c)	valvoa tämän asetuksen ja asetuksen (EU) 2018/1725 niiden säännösten soveltamista, jotka liittyvät luonnollisten henkilöiden suojeluun Eurojustin suorittaman operatiivisten henkilötietojen käsittelyn yhteydessä, ja varmistaa niiden soveltaminen;

neuvoa Eurojustia joko omasta aloitteestaan tai vastauksena lausuntopyyntöön kaikissa operatiivisten henkilötietojen käsittelyä koskevissa asioissa, erityisesti ennen kuin Eurojust laatii sisäiset, yksilön perusvapauksien ja -oikeuksien suojaan liittyvät säännöt operatiivisten henkilötietojen käsittelyä varten.

3. Euroopan tietosuojavaltuutettu voi tämän asetuksen ja asetuksen (EU) 2018/1725 nojalla ottaen huomioon vaikutukset tutkinta- ja syytetoimiin jäsenvaltioissa

a)	antaa rekisteröidyille neuvontaa heille kuuluvien oikeuksien käyttämisessä;

b)	saattaa asian Eurojustin käsiteltäväksi, jos operatiivisten henkilötietojen käsittelyä koskevia säännöksiä väitetään rikotun, ja tehdä tarvittaessa ehdotuksia rikkomisen korjaamiseksi ja rekisteröityjen suojan parantamiseksi;

c)	kuulla Eurojustia, jos operatiivisia henkilötietoja koskevien tiettyjen oikeuksien käyttöä koskevat pyynnöt on evätty tämän asetuksen 31, 32 tai 33 artiklan taikka asetuksen (EU) 2018/1725 77–82 tai 84 artiklan vastaisesti;

d)	antaa Eurojustille huomautuksen;

määrätä Eurojustin oikaisemaan operatiiviset henkilötiedot, rajoittamaan niiden käsittelyä tai poistamaan ne, jos Eurojust on käsitellyt niitä operatiivisten henkilötietojen käsittelyä koskevien säännösten vastaisesti, sekä ilmoittamaan näistä toimenpiteistä niille kolmansille osapuolille, joille tietoja on luovutettu, edellyttäen että tämä ei haittaa 2 artiklassa säädettyjä Eurojustin tehtäviä;

f)	saattaa asian Euroopan unionin tuomioistuimen, jäljempänä ”unionin tuomioistuin”, käsiteltäväksi Euroopan unionin toiminnasta tehdyssä sopimuksessa määrättyjen edellytysten mukaisesti;

g)	olla väliintulijana käsiteltäessä unionin tuomioistuimessa nostettuja kanteita.

4. Euroopan tietosuojavaltuutetulla on pääsy Eurojustin käsittelemiin operatiivisiin henkilötietoihin ja sen tiloihin siltä osin, kuin se on välttämätöntä hänen tehtäviensä suorittamiseksi.

5. Euroopan tietosuojavaltuutettu laatii vuosikertomuksen Eurojustiin liittyvästä valvontatoiminnastaan. Kyseinen kertomus on osa asetuksen (EU) 2018/1725 60 artiklassa tarkoitettua Euroopan tietosuojavaltuutetun vuosikertomusta. Kansallisia valvontaviranomaisia pyydetään toimittamaan huomautuksia kyseiseen kertomukseen, ennen kuin siitä tulee osa asetuksen (EU) 2018/1725 60 artiklassa tarkoitettua Euroopan tietosuojavaltuutetun vuosikertomusta. Euroopan tietosuojavaltuutettu ottaa kansallisten valvontaviranomaisten tekemät huomautukset mahdollisimman hyvin huomioon ja mainitsee ne joka tapauksessa vuosikertomuksessa.

6. Eurojust tekee Euroopan tietosuojavaltuutetun pyynnöstä hänen kanssaan yhteistyötä hänen tehtäviensä suorittamiseksi.

41 artikla

Euroopan tietosuojavaltuutetun salassapitovelvollisuus

1. Euroopan tietosuojavaltuutettu ja hänen henkilöstönsä ovat sekä toimikautensa aikana että sen päätyttyä velvollisia pitämään salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

2. Euroopan tietosuojavaltuutettu ottaa valvontavaltuuksiaan käyttäessään rikostutkintaa ja rikosoikeudellisia menettelyjä koskevan salassapitovelvollisuuden mahdollisimman hyvin huomioon unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

42 artikla

Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välinen yhteistyö

1. Euroopan tietosuojavaltuutettu toimii tiiviissä yhteistyössä kansallisten valvontaviranomaisten kanssa sellaisten erityiskysymysten yhteydessä, jotka edellyttävät jäsenvaltioiden toimia, erityisesti jos Euroopan tietosuojavaltuutettu tai kansallinen valvontaviranomainen havaitsee jäsenvaltioiden käytänteiden välillä suuria eroja tai mahdollisesti lainvastaisia tiedonsiirtoja Eurojustin tiedonvaihtokanavia pitkin, tai yhden tai useamman kansallisen valvontaviranomaisen esittämien, tämän asetuksen täytäntöönpanoa ja tulkintaa koskevien kysymysten yhteydessä.

2. Edellä 1 kohdassa tarkoitetuissa tapauksissa koordinoitu valvonta varmistetaan asetuksen (EU) 2018/1725 62 artiklan mukaisesti.

3. Euroopan tietosuojavaltuutettu pitää kansalliset valvontaviranomaiset täysin ajan tasalla kaikista niihin suoraan vaikuttavista tai niille muutoin tärkeistä kysymyksistä. Euroopan tietosuojavaltuutettu antaa yhden tai useamman kansallisen valvontaviranomaisen pyynnöstä selonteon erityisistä kysymyksistä.

4. Tapauksissa, jotka liittyvät yhdestä tai useammasta jäsenvaltiosta peräisin oleviin tietoihin, myös 43 artiklan 3 kohdassa tarkoitetuissa tapauksissa, Euroopan tietosuojavaltuutettu kuulee asianomaisia kansallisia valvontaviranomaisia. Euroopan tietosuojavaltuutettu ei päätä jatkotoimien toteuttamisesta, ennen kuin kyseiset kansalliset valvontaviranomaiset ovat ilmoittaneet tietosuojavaltuutetulle kantansa tämän asettamassa määräajassa. Kyseinen määräaika on vähintään yksi kuukausi ja enintään kolme kuukautta. Euroopan tietosuojavaltuutettu ottaa kyseisten kansallisten valvontaviranomaisten kannat mahdollisimman hyvin huomioon. Jos Euroopan tietosuojavaltuutettu ei aio noudattaa kansallisen valvontaviranomaisen kantaa, hän ilmoittaa siitä kyseiselle viranomaiselle, esittää perustelut ja toimittaa asian Euroopan tietosuojaneuvoston käsiteltäväksi.

Euroopan tietosuojavaltuutettu voi äärimmäisen kiireellisiksi katsomissaan tapauksissa päättää toteuttaa toimia välittömästi. Tällaisissa tapauksissa Euroopan tietosuojavaltuutettu ilmoittaa asiasta välittömästi kyseisille kansallisille valvontaviranomaisille ja perustelee tilanteen kiireellisyyden ja toteuttamansa toimet.

5. Kansallisten valvontaviranomaisten on ilmoitettava Euroopan tietosuojavaltuutetulle kaikista toteuttamistaan toimista, jotka koskevat jäsenvaltioiden tämän asetuksen mukaisesti suorittamaa operatiivisten henkilötietojen siirtoa, hakua tai muuta toimittamista.

43 artikla

Oikeus tehdä operatiivisia henkilötietoja koskeva kantelu Euroopan tietosuojavaltuutetulle

1. Jokaisella rekisteröidyllä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle, jos hän katsoo, että Eurojust ei ole häntä koskevien operatiivisten henkilötietojen käsittelyssä noudattanut tätä asetusta tai asetusta (EU) 2018/1725.

2. Jos kantelu koskee tämän asetuksen 31, 32 tai 33 artiklassa tai asetuksen (EU) 2018/1725 80, 81 tai 82 artiklassa tarkoitettua päätöstä, Euroopan tietosuojavaltuutettu kuulee sen jäsenvaltion kansallisia valvontaviranomaisia tai toimivaltaista lainkäyttöviranomaista, joka toimitti tiedot, tai asiaan suoranaisesti liittyvää jäsenvaltiota. Euroopan tietosuojavaltuutettu tekee päätöksensä, jossa hän voi evätä tietojen luovuttamisen, ottaen huomioon kansallisen valvontaviranomaisen tai toimivaltaisen lainkäyttöviranomaisen lausunnon.

3. Kun kantelu koskee jäsenvaltion Eurojustille toimittamien tietojen käsittelyä, Euroopan tietosuojavaltuutettu ja tiedot toimittaneen jäsenvaltion kansallinen valvontaviranomainen varmistavat oman toimivaltansa puitteissa, että tietojen käsittelyn lainmukaisuutta koskevat tarvittavat tarkastukset on suoritettu asianmukaisesti.

4. Kun kantelu koskee unionin elinten tai laitosten taikka kolmansien maiden tai kansainvälisten järjestöjen Eurojustille toimittamien tietojen käsittelyä tai sellaisten tietojen käsittelyä, jotka Eurojust on hankkinut yleisesti saatavilla olevista lähteistä, Euroopan tietosuojavaltuutettu varmistaa, että Eurojust on suorittanut asianmukaisesti tietojen käsittelyn lainmukaisuutta koskevat tarvittavat tarkastukset.

5. Euroopan tietosuojavaltuutettu ilmoittaa rekisteröidylle kantelun etenemisestä ja tuloksista sekä mahdollisuudesta käyttää 44 artiklan mukaisia oikeussuojakeinoja.

44 artikla

Oikeus Euroopan tietosuojavaltuutetun toimien laillisuuden valvontaan

Operatiivisia henkilötietoja koskeviin Euroopan tietosuojavaltuutetun päätöksiin voidaan hakea muutosta Euroopan unionin tuomioistuimessa.

45 artikla

Tietosuojavastuu

1. Eurojust käsittelee operatiivisia henkilötietoja siten, että on mahdollista todeta, mikä viranomainen on toimittanut tiedot tai mistä ne on hankittu.

2. Vastuu operatiivisten henkilötietojen paikkansapitävyydestä on

a)	Eurojustilla jäsenvaltion tai unionin toimielimen, elimen tai laitoksen toimittamien operatiivisten henkilötietojen osalta, jos toimitettuja tietoja on muutettu Eurojustin suorittaman käsittelyn aikana;

b)	tiedot Eurojustille toimittaneella jäsenvaltiolla tai unionin toimielimellä, elimellä tai laitoksella, jos toimitettuja tietoja ei ole muutettu Eurojustin suorittaman käsittelyn aikana;

c)	Eurojustilla kolmansien maiden tai kansainvälisten järjestöjen toimittamien operatiivisten henkilötietojen osalta sekä Eurojustin yleisesti saatavilla olevista lähteistä hankkimien operatiivisten henkilötietojen osalta.

3. Vastuu siitä, että hallinnollisten henkilötietojen osalta noudatetaan asetusta (EU) 2018/1725 ja operatiivisten henkilötietojen osalta noudatetaan tätä asetusta ja asetuksen (EU) 2018/1725 3 artiklaa ja IX lukua, on Eurojustilla.

Vastuu operatiivisten henkilötietojen siirron lainmukaisuudesta on

a)	asianomaiset operatiiviset henkilötiedot Eurojustille toimittaneella jäsenvaltiolla;

b)	Eurojustilla, jos se on toimittanut asianomaiset operatiiviset henkilötiedot jäsenvaltioille, unionin toimielimille, elimille tai laitoksille, kolmansille maille taikka kansainvälisille järjestöille.

4. Jollei tämän asetuksen muista säännöksistä muuta johdu, Eurojust vastaa kaikista käsittelemistään tiedoista.

46 artikla

Vastuu tietojen luvattomasta tai virheellisestä käsittelystä

1 Eurojust on Euroopan unionin toiminnasta tehdyn sopimuksen 340 artiklan mukaisesti vastuussa henkilölle aiheutuneesta vahingosta, joka johtuu Eurojustin suorittamasta tietojen luvattomasta tai virheellisestä käsittelystä.

2. Tämän artiklan 1 kohdassa tarkoitettuun korvausvastuuseen perustuvat Eurojustia koskevat valitukset käsitellään Euroopan unionin toiminnasta tehdyn sopimuksen 268 artiklan mukaisesti unionin tuomioistuimessa.

3. Kukin jäsenvaltio on kansallisen lainsäädäntönsä mukaisesti vastuussa henkilölle aiheutuneesta vahingosta, joka johtuu Eurojustille toimitettujen tietojen luvattomasta tai virheellisestä käsittelystä kyseisessä jäsenvaltiossa.

V LUKU

SUHTEET YHTEISTYÖKUMPPANEIHIN

I JAKSO

Yhteiset säännökset

47 artikla

Yhteiset säännökset

1. Eurojust voi luoda ja pitää yllä yhteistyösuhteita unionin toimielimiin, elimiin ja laitoksiin näiden toimielinten, elinten ja laitosten tavoitteiden mukaisesti, ja kolmansien maiden toimivaltaisiin viranomaisiin ja kansainvälisiin järjestöihin 52 artiklassa tarkoitetun yhteistyöstrategian mukaisesti, siltä osin kuin on tarpeen sen tehtävien suorittamiseksi.

2. Eurojust voi suoraan vaihtaa kaikkia tietoja, henkilötietoja lukuun ottamatta, tämän artiklan 1 kohdassa tarkoitettujen yhteisöjen kanssa, siltä osin kuin sillä on merkitystä sen tehtävien suorittamiseksi ja jollei 21 artiklan 8 kohdan ja 76 artiklan nojalla asetetuista mahdollisista rajoituksista muuta johdu.

3. Eurojust voi tehdä 1 kohdassa tarkoitettujen yhteisöjen kanssa käytännön yhteistyöjärjestelyjä 1 ja 2 kohdassa vahvistettuja tarkoituksia varten. Tällaiset käytännön yhteistyöjärjestelyt eivät muodosta perustaa henkilötietojen vaihtamisen sallimiseksi, eivätkä ne sido unionia tai sen jäsenvaltioita.

4. Eurojust voi vastaanottaa henkilötietoja 1 kohdassa tarkoitetuilta yhteisöiltä ja käsitellä niitä, siltä osin kuin on tarpeen sen tehtävien suorittamiseksi, jollei sovellettavista tietosuojasäännöistä muuta johdu.

5. Eurojust voi siirtää henkilötietoja unionin toimielimille, elimille tai laitoksille, kolmansille maille tai kansainvälisille järjestöille ainoastaan, jos se on tarpeen sen tehtävien suorittamiseksi ja tapahtuu 55 ja 56 artiklan mukaisesti. Jos siirrettävät tiedot on toimittanut jäsenvaltio, Eurojustin on saatava asianomaisen jäsenvaltion asiaankuuluvan toimivaltaisen viranomaisen suostumus, paitsi jos jäsenvaltio on antanut ennalta luvan tällaiselle tietojen edelleen siirtämiselle yleisesti tai tiettyjen ehtojen täyttyessä. Suostumus voidaan peruuttaa milloin tahansa.

6. Jos jäsenvaltiot, unionin toimielimet, elimet tai laitokset, kolmannet maat taikka kansainväliset järjestöt ovat saaneet Eurojustilta henkilötietoja, näiden henkilötietojen siirtäminen edelleen kolmansille osapuolille on kiellettyä, paitsi jos kaikki seuraavat edellytykset täyttyvät:

a)	Eurojust on saanut ennalta suostumuksen tiedot toimittaneelta jäsenvaltiolta;

b)	Eurojust on käsillä olevan tapauksen olosuhteita harkittuaan antanut siihen nimenomaisen suostumuksensa;

c)	henkilötiedot siirretään edelleen ainoastaan sellaista tarkoitusta varten, joka ei ole ristiriidassa sen tarkoituksen kanssa, jota varten tiedot toimitettiin.

II JAKSO

Suhteet yhteistyökumppaneihin unionissa

48 artikla

Yhteistyö Euroopan oikeudellisen verkoston ja rikosasioissa tehtävään oikeudelliseen yhteistyöhön osallistuvien muiden unionin verkostojen kanssa

1. Eurojust ja rikosoikeuden alan Euroopan oikeudellinen verkosto pitävät keskenään yllä erityissuhteita, jotka perustuvat kuulemiseen ja täydentävyyteen, erityisesti kansallisen jäsenen, kansallisen jäsenen jäsenvaltion Euroopan oikeudellisen verkoston yhteysviranomaisten sekä Eurojustin ja Euroopan oikeudellisen verkoston kansallisten yhteyshenkilöiden kesken. Tehokkaan yhteistyön varmistamiseksi on toteutettava seuraavat toimenpiteet:

a)	kansallisten jäsenten on tiedotettava tapauskohtaisesti Euroopan oikeudellisen verkoston yhteysviranomaisille kaikista tapauksista, joiden käsittelyyn ne katsovat verkostolla olevan paremmat edellytykset;

b)	Euroopan oikeudellisen verkoston sihteeristö kuuluu Eurojustin henkilöstöön; se toimii erillisenä yksikkönä; se voi käyttää Eurojustin hallinnollisia resursseja, jotka ovat tarpeen Euroopan oikeudellisen verkoston tehtävien hoitamiseksi, kuten verkoston täysistuntojen kustannusten kattamiseksi;

c)	Euroopan oikeudellisen verkoston yhteysviranomaisia voidaan tapauskohtaisesti kutsua Eurojustin kokouksiin;

d)	Eurojust ja Euroopan oikeudellinen verkosto voivat käyttää Eurojustin kansallista koordinointijärjestelmää määrittäessään 20 artiklan 7 kohdan b alakohdan nojalla, olisiko pyyntö käsiteltävä Eurojustin vai Euroopan oikeudellisen verkoston avustuksella.

2. Yhteisten tutkintaryhmien verkoston sihteeristö ja päätöksellä 2002/494/YOS perustetun verkoston sihteeristö kuuluvat Eurojustin henkilöstöön. Nämä sihteeristöt toimivat erillisinä yksikköinä. Ne voivat käyttää Eurojustin hallinnollisia resursseja, jotka ovat tarpeen niiden tehtävien hoitamiseksi. Eurojust huolehtii sihteeristöjen koordinoinnista. Tätä kohtaa sovelletaan minkä tahansa sellaisen rikosasioissa tehtävään oikeudelliseen yhteistyöhön osallistuvan asiaankuuluvan verkoston sihteeristöön, jolle Eurojustin on määrä antaa tukea sihteeristön muodossa. Eurojust voi tukea, tapauksen mukaan myös Eurojustin yhteydessä toimivan sihteeristön välityksellä, rikosasioissa tehtävään oikeudelliseen yhteistyöhön osallistuvia asiaankuuluvia eurooppalaisia verkostoja ja elimiä.

3. Päätöksellä 2008/852/YOS perustettu verkosto voi pyytää, että Eurojust järjestää sille sihteeristön. Jos tällainen pyyntö esitetään, sovelletaan 2 kohtaa.

49 artikla

Suhteet Europoliin

1. Eurojust toteuttaa kaikki tarvittavat toimenpiteet sen mahdollistamiseksi, että Europolilla on toimivaltuuksiensa puitteissa osuma / ei osumaa -tyyppisten hakujen pohjalta epäsuora pääsy Eurojustille toimitettuihin tietoihin, sanotun kuitenkaan rajoittamatta kyseiset tiedot toimittaneen jäsenvaltion, unionin toimielimen, elimen tai laitoksen, kolmannen maan taikka kansainvälisen järjestön ilmoittamien rajoitusten soveltamista. Jos haku tuottaa osuman, Eurojust aloittaa menettelyn, jonka avulla osumaan johtaneet tiedot voidaan jakaa tiedot Eurojustille toimittaneen jäsenvaltion, unionin toimielimen, elimen tai laitoksen, kolmannen maan taikka kansainvälisen järjestön päätöksen mukaisesti.

2. Edellä olevan 1 kohdan mukaisia hakuja saa tehdä ainoastaan sen selvittämiseksi, täsmäävätkö Europolin käytettävissä olevat tiedot Eurojustin käsittelemien tietojen kanssa.

3. Eurojust sallii 1 kohdan mukaiset haut vasta saatuaan Europolilta tiedot siitä, ketkä Europolin henkilöstöön kuuluvat on valtuutettu tekemään tällaisia hakuja.

4. Jos Eurojust tai jäsenvaltio toteaa yksittäiseen tutkintaan liittyvien Eurojustin tietojenkäsittelytoimien yhteydessä, että tarvitaan Europolin toimivaltuuksien mukaista koordinointia, yhteistyötä tai tukea, Eurojust ilmoittaa asiasta Europolille ja aloittaa menettelyn, jonka avulla tiedot voidaan jakaa tiedot toimittaneen jäsenvaltion tekemän päätöksen mukaisesti. Tällaisissa tapauksissa Eurojust neuvottelee Europolin kanssa.

5. Eurojust luo tiiviit yhteistyösuhteet Europoliin ja pitää niitä yllä siltä osin, kuin sillä on merkitystä näiden virastojen tehtävien suorittamiseksi ja niiden tavoitteiden toteuttamiseksi, ottaen huomioon tarpeen välttää päällekkäistä työtä.

Tätä varten Europolin pääjohtaja ja Eurojustin puheenjohtaja tapaavat säännöllisesti keskustellakseen molempia kiinnostavista kysymyksistä.

6. Europol noudattaa kaikkia tietoihin pääsyä tai niiden käyttöä koskevia yleisiä tai nimenomaisia rajoituksia, joista jäsenvaltio, unionin elin tai laitos, kolmas maa taikka kansainvälinen järjestö on ilmoittanut toimittamiensa tietojen osalta.

50 artikla

Suhteet EPPOon

1. Eurojust luo EPPOon tiiviin suhteen ja pitää sitä yllä kummankin toimivaltuuksien ja toimivallan puitteissa tapahtuvan keskinäisen yhteistyön sekä virastojen välisten, tässä artiklassa määriteltyjen operatiivisten sekä hallinnon ja johdon välisten yhteyksien kehittämisen kautta. Tätä varten Eurojustin puheenjohtaja ja Euroopan pääsyyttäjä tapaavat säännöllisesti keskustellakseen yhteisen edun mukaisista kysymyksistä. He tapaavat Eurojustin puheenjohtajan tai Euroopan pääsyyttäjän pyynnöstä.

2. Eurojust käsittelee EPPOn esittämät tukea koskevat pyynnöt ilman aiheetonta viivytystä ja kohtelee tällaisia pyyntöjä tapauksen mukaan samoin kuin oikeudellisen yhteistyön alalla toimivaltaisen kansallisen viranomaisen esittämiä pyyntöjä.

3. Eurojust käyttää 20 artiklan mukaisesti perustettua Eurojustin kansallista koordinointijärjestelmää sekä suhteitaan kolmansiin maihin, yhteystuomarit mukaan lukien, kun se on tarpeen tämän artiklan 1 kohdan mukaisesti käynnistetyn yhteistyön tukemiseksi.

4. EPPOn toimivallan kannalta merkityksellisissä operatiivisissa asioissa Eurojust tiedottaa EPPOlle rajat ylittäviä tapauksia koskevista toimistaan ja tapauksen mukaan ottaa sen niihin mukaan muun muassa seuraavin tavoin:

a)	jakamalla tapauksiinsa liittyviä tietoja, myös henkilötietoja, tämän asetuksen asiaa koskevien säännösten mukaisesti;

b)	pyytämällä tukea EPPOlta.

5. Eurojustille annetaan osuma / ei osumaa -tyyppisten hakujen pohjalta epäsuora pääsy EPPOn asianhallintajärjestelmässä oleviin tietoihin. Jos EPPOn asianhallintajärjestelmään syöttämien tietojen ja Eurojustin hallussa olevien tietojen väliltä löytyy vastaavuus, tästä ilmoitetaan Eurojustille ja EPPOlle sekä jäsenvaltiolle, joka toimitti tiedot Eurojustille. Eurojust toteuttaa asianmukaiset toimenpiteet epäsuoran pääsyn antamiseksi EPPOlle osuma / ei osumaa -tyyppisten hakujen pohjalta asianhallintajärjestelmässään oleviin tietoihin.

6. EPPO voi saada Eurojustin hallinnolta tukipalveluja ja hyödyntää sen resursseja. Tätä varten Eurojust voi tarjota EPPOlle yhteisen edun mukaisia palveluja. Järjestelyn yksityiskohdista määrätään sopimuksella.

51 artikla

Suhteet muihin unionin elimiin ja laitoksiin

1. Eurojust luo yhteistyösuhteet Euroopan juridiseen koulutusverkostoon ja pitää niitä yllä.

2. OLAF osallistuu Eurojustin koordinointityöhön unionin taloudellisten etujen suojaamiseksi sille asetuksella (EU, Euratom) N:o 883/2013 annetun toimeksiannon mukaan.

3. Euroopan raja- ja merivartiovirasto osallistuu Eurojustin työhön myös välittämällä sen Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/1624 (21) 8 artiklan 1 kohdan m alakohdan mukaisen toimeksiannon ja tehtävien mukaisesti käsiteltyjä asiaan liittyviä tietoja. Euroopan raja- ja merivartioviraston tähän liittyvää henkilötietojen käsittelyä säännellään asetuksella (EU) 2018/1725.

4. Vastaanotettaessa ja siirrettäessä tietoja Eurojustin ja OLAFin välillä jäsenvaltioiden on varmistettava, että Eurojustin kansallisia jäseniä pidetään jäsenvaltion toimivaltaisina viranomaisina ainoastaan sovellettaessa asetusta (EU, Euratom) N:o 883/2013, sanotun kuitenkaan rajoittamatta tämän asetuksen 8 artiklan soveltamista. OLAFin ja kansallisten jäsenten välinen tietojenvaihto ei vaikuta velvollisuuksiin toimittaa tietoja näiden asetusten nojalla muille toimivaltaisille viranomaisille.

III JAKSO

Kansainvälinen yhteistyö

52 artikla

Suhteet kolmansien maiden viranomaisiin ja kansainvälisiin järjestöihin

1. Eurojust voi luoda yhteistyösuhteet kolmansien maiden viranomaisiin ja kansainvälisiin järjestöihin ja pitää niitä yllä.

Tätä varten Eurojust laatii komissiota kuullen neljän vuoden välein yhteistyöstrategian, jossa määritetään ne kolmannet maat ja kansainväliset järjestöt, joiden kanssa tehtävään yhteistyöhön on operatiivinen tarve.

2. Eurojust voi tehdä käytännön yhteistyöjärjestelyjä 47 artiklan 1 kohdassa tarkoitettujen yhteisöjen kanssa.

3. Eurojust voi asianomaisten toimivaltaisten viranomaisten suostumuksella nimetä yhteyspisteitä kolmansissa maissa yhteistyön helpottamiseksi Eurojustin operatiivisten tarpeiden mukaisesti.

53 artikla

Kolmansiin maihin lähetetyt yhteystuomarit

1. Kollegio voi lähettää yhteystuomareita kolmanteen maahan kolmansien maiden kanssa tehtävän oikeudellisen yhteistyön helpottamiseksi tapauksissa, joissa Eurojust antaa apua tämän asetuksen mukaisesti, jos kyseisen kolmannen maan toimivaltaisten viranomaisten kanssa on tehty 47 artiklan 3 kohdassa tarkoitettu käytännön yhteistyöjärjestely.

2. Yhteystuomareiden tehtäviin sisältyvät kaikki toimet, joiden tarkoituksena on edistää ja nopeuttaa kaikkia rikosasioissa tehtävän oikeudellisen yhteistyön muotoja, erityisesti luomalla suoria yhteyksiä asianomaisen kolmannen maan toimivaltaisiin viranomaisiin. Yhteystuomarit voivat tehtäviään suorittaessaan vaihtaa operatiivisia henkilötietoja asianomaisen kolmannen maan toimivaltaisten viranomaisten kanssa 56 artiklan mukaisesti.

3. Edellä 1 kohdassa tarkoitetulla yhteystuomarilla on oltava kokemusta Eurojustin kanssa työskentelystä sekä riittävät tiedot oikeudellisesta yhteistyöstä ja Eurojustin toiminnasta. Yhteystuomarin lähettäminen Eurojustin lukuun edellyttää tuomarin ja hänen jäsenvaltionsa ennakkosuostumusta.

4. Jos Eurojustin lähettämä yhteystuomari valitaan kansallisista jäsenistä, varajäsenistä tai avustajista,

a)	asianomaisen jäsenvaltion on korvattava hänet kansallisen jäsenen, varajäsenen tai avustajan tehtävässä;

b)	hänellä ei ole enää oikeutta käyttää hänelle 8 artiklan nojalla myönnettyjä valtuuksia.

5. Kollegio laatii yhteystuomareiden lähettämistä koskevat ehdot, mukaan lukien heidän palkkatasonsa, sanotun kuitenkaan rajoittamatta henkilöstösääntöjen 110 artiklan soveltamista. Kollegio hyväksyy asiaa koskevat tarvittavat täytäntöönpanojärjestelyt komissiota kuullen.

6. Euroopan tietosuojavaltuutettu valvoo Eurojustin lähettämien yhteystuomareiden toimintaa. Yhteystuomarit raportoivat kollegiolle, joka tiedottaa heidän toiminnastaan Euroopan parlamentille ja neuvostolle vuosikertomuksessa ja asianmukaisella tavalla. Yhteystuomarit tiedottavat kansallisille jäsenille ja toimivaltaisille kansallisille viranomaisille kaikista edustamaansa jäsenvaltiota koskevista tapauksista.

7. Jäsenvaltioiden toimivaltaiset viranomaiset ja 1 kohdassa tarkoitetut yhteystuomarit voivat olla toisiinsa suorassa yhteydessä. Tällöin yhteystuomari ilmoittaa kyseisestä yhteydenpidosta asianomaiselle kansalliselle jäsenelle.

8. Edellä 1 kohdassa tarkoitetuilla yhteystuomareilla on yhteys asianhallintajärjestelmään.

54 artikla

Kolmansien maiden esittämät ja niille esitettävät oikeudellista yhteistyötä koskevat pyynnöt

1. Eurojust voi asianomaisten jäsenvaltioiden suostumuksella koordinoida kolmansien maiden esittämien oikeudellista yhteistyötä koskevien pyyntöjen täytäntöönpanoa, jos tällaiset pyynnöt edellyttävät täytäntöönpanoa vähintään kahdessa jäsenvaltiossa osana samaa tutkintaa. Myös toimivaltainen kansallinen viranomainen voi välittää Eurojustille tällaisia pyyntöjä.

2. Päivystävä koordinaatio voi kiireellisissä tapauksissa ja 19 artiklan mukaisesti vastaanottaa ja välittää tämän artiklan 1 kohdassa tarkoitettuja pyyntöjä, jos pyynnöt on esittänyt Eurojustin kanssa yhteistyösopimuksen tai käytännön yhteistyöjärjestelyn tehnyt kolmas maa.

3. Jos oikeudellista yhteistyötä koskevat pyynnöt, jotka liittyvät samaan tutkintaan ja edellyttävät täytäntöönpanoa kolmannessa maassa, on esittänyt asianomainen jäsenvaltio, Eurojust helpottaa oikeudellista yhteistyötä kyseisen kolmannen maan kanssa, sanotun kuitenkaan rajoittamatta 3 artiklan 5 kohdan soveltamista.

IV JAKSO

Henkilötietojen siirrot

55 artikla

Operatiivisten henkilötietojen toimittaminen unionin toimielimille, elimille ja laitoksille

1. Jollei muista tämän asetuksen ja erityisesti 21 artiklan 8 kohdan, 47 artiklan 5 kohdan ja 76 artiklan mukaisista lisärajoituksista muuta johdu, Eurojust toimittaa operatiivisia henkilötietoja toiselle unionin toimielimelle, elimelle tai laitokselle ainoastaan, jos tiedot ovat tarpeen tämän toisen unionin toimielimen, elimen tai laitoksen toimivaltaan kuuluvien tehtävien lainmukaista suorittamista varten.

2. Jos operatiiviset henkilötiedot toimitetaan toisen unionin toimielimen, elimen tai laitoksen pyynnöstä, sekä rekisterinpitäjä että vastaanottaja ovat vastuussa kyseisen siirron lainmukaisuudesta.

Eurojust on velvollinen todentamaan, että toinen unionin toimielin, elin tai laitos on toimivaltainen, ja arvioimaan alustavasti operatiivisten henkilötietojen toimittamisen tarpeellisuuden. Jos tarpeellisuudesta on epäilyksiä, Eurojust pyytää vastaanottajalta lisäselvityksiä.

Toinen unionin toimielin, elin tai laitos varmistaa, että operatiivisten henkilötietojen toimittamisen tarpeellisuus voidaan myöhemmin todentaa.

3. Toinen unionin toimielin, elin tai laitos käsittelee operatiivisia henkilötietoja ainoastaan sitä tarkoitusta varten, jonka vuoksi ne on siirretty.

56 artikla

Operatiivisten henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevat yleiset periaatteet

1. Eurojust voi siirtää operatiivisia henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle sovellettavia tietosuojasäännöksiä ja tämän asetuksen muita säännöksiä noudattaen ja ainoastaan, jos seuraavat edellytykset täyttyvät:

a)	siirto on tarpeen Eurojustin tehtävien suorittamiseksi;

b)	kolmannen maan viranomainen tai kansainvälinen järjestö, jolle operatiiviset henkilötiedot siirretään, on toimivaltainen lainvalvonta- ja rikosasioissa;

jos jäsenvaltio on siirtänyt tämän artiklan mukaisesti siirrettävät operatiiviset henkilötiedot Eurojustille tai asettanut ne sen saataville, Eurojustin on saatava kyseisen jäsenvaltion toimivaltaiselta viranomaiselta siirrolle ennakkolupa tämän jäsenvaltion kansallisen lainsäädännön mukaisesti, jollei kyseinen jäsenvaltio ole antanut tällaisille siirroille lupaa yleisesti tai tiettyjen ehtojen täyttyessä;

jos kolmas maa tai kansainvälinen järjestö siirtää operatiiviset henkilötiedot edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, Eurojust edellyttää, että operatiiviset henkilötiedot siirtävä kolmas maa tai kansainvälinen järjestö saa Eurojustilta edelleen siirtämiselle ennakkoluvan.

Eurojust voi myöntää d alakohdan mukaisen luvan ainoastaan saatuaan ennakkoluvan jäsenvaltiolta, jolta tiedot ovat peräisin, otettuaan asianmukaisesti huomioon kaikki asian kannalta merkitykselliset tekijät, kuten rikoksen vakavuuden, operatiivisten henkilötietojen alkuperäisen siirron tarkoituksen ja henkilötietojen suojan tason siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle operatiiviset henkilötiedot siirretään edelleen.

2. Jollei tämän artiklan 1 kohdassa säädetyistä edellytyksistä muuta johdu, Eurojust voi siirtää operatiivisia henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyse on jostain seuraavista tilanteista:

komissio on päättänyt 57 artiklan mukaisesti, että kyseinen kolmas maa tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason, tai jos tällaista tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, asianmukaisista suojatoimista on säädetty tai ne ovat olemassa 58 artiklan 1 kohdan mukaisesti, tai jos ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä eikä myöskään ole toteutettu tällaisia asianmukaisia suojatoimia, sovelletaan 59 artiklan 1 kohdan mukaisia erityistilanteita koskevia poikkeuksia;

b)	Eurojustin ja kyseisen kolmannen maan tai kansainvälisen järjestön välillä on tehty operatiivisten henkilötietojen vaihtamisen mahdollistava yhteistyösopimus ennen 12 päivää joulukuuta 2019 päätöksen 2002/187/YOS 26 a artiklan mukaisesti; tai

c)	unionin ja kolmannen maan tai kansainvälisen järjestön välillä on tehty Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan nojalla kansainvälinen sopimus, jossa määrätään yksityisyyden sekä yksilöiden perusoikeuksien ja -vapauksien suojaa koskevista asianmukaisista suojatoimista.

3. Edellä 47 artiklan 3 kohdassa tarkoitetuissa käytännön yhteistyöjärjestelyissä voidaan esittää yksityiskohtaiset säännöt tämän artiklan 2 kohdassa tarkoitettujen sopimusten tai tietosuojan riittävyyttä koskevien päätösten täytäntöönpanemiseksi.

4. Eurojust voi kiireellisissä tapauksissa siirtää operatiivisia henkilötietoja ilman jäsenvaltion antamaa 1 kohdan c alakohdan mukaista ennakkolupaa. Eurojust menettelee näin ainoastaan, jos operatiivisten henkilötietojen siirto on tarpeen jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen tai jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä ennakkolupaa voida saada ajoissa. Ennakkoluvan antamisesta vastaavalle viranomaiselle on ilmoitettava asiasta viipymättä.

5. Jäsenvaltiot tai unionin toimielimet, elimet tai laitokset eivät saa siirtää Eurojustilta saatuja operatiivisia henkilötietoja edelleen kolmanteen maahan tai kansainväliselle järjestölle. Tästä poiketen ne voivat toteuttaa tällaisen siirron tapauksissa, joissa Eurojust on antanut siihen luvan otettuaan asianmukaisesti huomioon kaikki merkittävät tekijät, kuten rikoksen vakavuuden, operatiivisten henkilötietojen alkuperäisen siirron tarkoituksen ja henkilötietojen suojan tason siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle operatiiviset henkilötiedot siirretään edelleen.

6. Tämän asetuksen 57, 58 ja 59 artiklaa on sovellettava, jotta varmistetaan, ettei tällä asetuksella ja unionin oikeudella taattua luonnollisten henkilöiden suojelun tasoa heikennetä.

57 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

Eurojust voi siirtää operatiivisia henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, jos komissio on direktiivin (EU) 2016/680 36 artiklan mukaisesti päättänyt, että kyseinen kolmas maa tai kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori taikka kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason.

58 artikla

Siirto asianmukaisia suojatoimia soveltaen

1. Jollei tietosuojan riittävyyttä koskevaa päätöstä ole tehty, Eurojust voi siirtää operatiivisia henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, jos

a)	oikeudellisesti sitovassa välineessä on määrätty asianmukaisista suojatoimista, joilla varmistetaan operatiivisten henkilötietojen suoja; tai

b)	Eurojust on arvioinut kaikkia operatiivisten henkilötietojen siirtoon liittyviä seikkoja ja katsonut, että operatiivisten henkilötietojen suojaamiseksi on olemassa asianmukaiset suojatoimet.

2. Eurojust ilmoittaa Euroopan tietosuojavaltuutetulle 1 kohdan b alakohdassa tarkoitettujen siirtojen ryhmät.

3. Kun siirto perustuu 1 kohdan b alakohtaan, se on dokumentoitava ja asiakirjat on asetettava pyynnöstä Euroopan tietosuojavaltuutetun saataville. Asiakirjoihin on sisällyttävä tieto siirron päivämäärästä ja ajankohdasta sekä tiedot vastaanottavasta toimivaltaisesta viranomaisesta, siirron perusteista ja siirretyistä operatiivisista henkilötiedoista.

59 artikla

Erityistilanteita koskevat poikkeukset

1. Tietosuojan riittävyyttä koskevan päätöksen tai 58 artiklan mukaisten asianmukaisten suojatoimien puuttuessa Eurojust voi siirtää operatiivisia henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain sillä edellytyksellä, että siirto on tarpeen

a)	rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi;

b)	rekisteröidyn oikeutettujen etujen turvaamiseksi;

c)	jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi; tai

d)	yksittäistapauksissa Eurojustin tehtävien suorittamiseksi, paitsi jos Eurojust katsoo, että asianomaisen rekisteröidyn perusoikeudet ja -vapaudet syrjäyttävät yleisen edun siirrossa.

2. Kun siirto perustuu 1 kohtaan, se on dokumentoitava ja asiakirjat on asetettava pyynnöstä Euroopan tietosuojavaltuutetun saataville. Asiakirjoihin on sisällyttävä tieto siirron päivämäärästä ja ajankohdasta sekä tiedot vastaanottavasta toimivaltaisesta viranomaisesta, siirron perusteista ja siirretyistä operatiivisista henkilötiedoista.

VI LUKU

VARAINHOITOSÄÄNNÖKSET

60 artikla

Talousarvio

1. Eurojustin kaikista tuloista ja menoista laaditaan kalenterivuotta vastaavaa varainhoitovuotta varten arvio, jonka perusteella tulot ja menot otetaan Eurojustin talousarvioon.

2. Eurojustin talousarvioon otettavien tulojen ja menojen on oltava tasapainossa.

3. Eurojustin tulot koostuvat seuraavista, rajoittamatta kuitenkaan muita lähteitä:

a)	unionin yleiseen talousarvioon otettu unionin rahoitusosuus;

b)	jäsenvaltioiden mahdollinen vapaaehtoinen rahoitusosuus;

c)	Eurojustin julkaisuista ja muista suoritteista saadut tulot;

d)	kertaluonteiset avustukset.

4. Eurojustin menoihin kuuluvat henkilöstön palkat, hallinto- ja infrastruktuurimenot sekä toimintamenot, mukaan lukien yhteisten tutkintaryhmien rahoitus.

61 artikla

Talousarvion laatiminen

1. Hallintojohtaja laatii vuosittain Eurojustin seuraavan varainhoitovuoden tuloja ja menoja koskevan ennakkoarvion luonnoksen, johon sisältyy henkilöstötaulukko, ja toimittaa sen johtokunnalle. Euroopan oikeudelliselle verkostolle ja muille 48 artiklassa tarkoitetuille rikosasioissa tehtävään oikeudelliseen yhteistyöhön osallistuville unionin verkostoille on ilmoitettava niiden toimiin liittyvistä osista hyvissä ajoin ennen ennakkoarvion toimittamista komissiolle.

2. Johtokunta tarkastelee ennakkoarvion luonnoksen perusteella Eurojustin seuraavan varainhoitovuoden tuloja ja menoja koskevaa alustavaa ennakkoarviota, jonka se toimittaa kollegiolle hyväksyttäväksi.

3. Alustava ennakkoarvio Eurojustin tuloista ja menoista toimitetaan komissiolle viimeistään kunkin vuoden 31 päivänä tammikuuta. Eurojust toimittaa lopullisen ennakkoarvion, johon sisältyy henkilöstötaulukkoa koskeva esitys, komissiolle viimeistään saman vuoden 31 päivänä maaliskuuta.

4. Komissio toimittaa ennakkoarvion unionin yleistä talousarviota koskevan esityksen kanssa Euroopan parlamentille ja neuvostolle, jäljempänä ”budjettivallan käyttäjä”.

5. Komissio sisällyttää tämän ennakkoarvion perusteella unionin yleistä talousarviota koskevaan esitykseen määrärahat, joita se pitää henkilöstötaulukon perusteella välttämättöminä, sekä yleisestä talousarviosta otettavan rahoitusosuuden määrän ja toimittaa talousarvioesityksen budjettivallan käyttäjälle Euroopan unionin toiminnasta tehdyn sopimuksen 313 ja 314 artiklan mukaisesti.

6. Budjettivallan käyttäjä hyväksyy Eurojustille annettavaa unionin rahoitusosuutta koskevat määrärahat.

7. Budjettivallan käyttäjä vahvistaa Eurojustin henkilöstötaulukon. Kollegio vahvistaa Eurojustin talousarvion. Siitä tulee lopullinen, kun unionin yleinen talousarvio on lopullisesti vahvistettu. Kollegio mukauttaa Eurojustin talousarviota tarvittaessa tätä vastaavasti.

8. Kaikkiin rakennushankkeisiin, joilla on todennäköisesti huomattava vaikutus Eurojustin talousarvioon, sovelletaan komission delegoidun asetuksen (EU) N:o 1271/2013 (22) 88 artiklaa.

62 artikla

Talousarvion toteuttaminen

Hallintojohtaja toimii Eurojustin tulojen ja menojen hyväksyjänä ja toteuttaa Eurojustin talousarvion omalla vastuullaan talousarviossa asetetuissa rajoissa.

63 artikla

Tilinpäätöksen esittäminen ja vastuuvapauden myöntäminen

1. Eurojustin tilinpitäjä toimittaa varainhoitovuoden (N) alustavan tilinpäätöksen komission tilinpitäjälle ja tilintarkastustuomioistuimelle viimeistään seuraavan varainhoitovuoden (N + 1) maaliskuun 1 päivänä.

2. Eurojust toimittaa selvityksen vuoden N talousarvio- ja varainhallinnosta Euroopan parlamentille, neuvostolle ja tilintarkastustuomioistuimelle viimeistään vuoden N + 1 maaliskuun 31 päivänä.

3. Komission tilinpitäjä toimittaa Eurojustin vuoden N alustavan tilinpäätöksen konsolidoituna komission tilinpäätökseen tilintarkastustuomioistuimelle viimeistään vuoden N + 1 maaliskuun 31 päivänä.

4. Tilintarkastustuomioistuin esittää Eurojustin alustavaa tilinpäätöstä koskevat huomautuksensa asetuksen (EU, Euratom) 2018/1046 246 artiklan 1 kohdan mukaisesti viimeistään vuoden N + 1 kesäkuun 1 päivänä.

5. Saatuaan Eurojustin alustavaa tilinpäätöstä koskevat tilintarkastustuomioistuimen huomautukset asetuksen (EU, Euratom) 2018/1046 246 artiklan mukaisesti hallintojohtaja laatii Eurojustin lopullisen tilinpäätöksen omalla vastuullaan ja toimittaa sen johtokunnalle lausuntoa varten.

6. Johtokunta antaa lausunnon Eurojustin lopullisesta tilinpäätöksestä.

7. Hallintojohtaja toimittaa vuoden N lopullisen tilinpäätöksen ja johtokunnan lausunnon Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle viimeistään vuoden N + 1 heinäkuun 1 päivänä.

8. Vuoden N lopullinen tilinpäätös julkaistaan Euroopan unionin virallisessa lehdessä viimeistään vuoden N + 1 marraskuun 15 päivänä.

9. Hallintojohtaja toimittaa tilintarkastustuomioistuimelle vastauksen tämän huomautuksiin viimeistään vuoden N + 1 syyskuun 30 päivänä. Hallintojohtaja toimittaa kyseisen vastauksen myös johtokunnalle ja komissiolle.

10. Hallintojohtaja antaa Euroopan parlamentille tämän pyynnöstä asetuksen (EU, Euratom) 2018/1046 261 artiklan 3 kohdan mukaisesti kaikki kyseistä varainhoitovuotta koskevan vastuuvapausmenettelyn asianmukaista toteuttamista varten tarvittavat tiedot.

11. Euroopan parlamentti myöntää neuvoston määräenemmistöllä antamasta suosituksesta hallintojohtajalle ennen vuoden N + 2 toukokuun 15 päivää vastuuvapauden vuoden N talousarvion toteuttamisesta.

12. Euroopan parlamentti myöntää neuvoston suosituksesta vastuuvapauden Eurojustin talousarvion toteuttamisesta noudattaen menettelyä, joka vastaa Euroopan unionin toiminnasta tehdyn sopimuksen 319 artiklassa määrättyä sekä asetuksen (EU, Euratom) 2018/1046 260, 261 ja 262 artiklassa säädettyä menettelyä, ja tilintarkastustuomioistuimen tarkastuskertomuksen perusteella.

Jos Euroopan parlamentti ei myönnä vastuuvapautta viimeistään vuoden N + 2 toukokuun 15 päivänä, hallintojohtaja kutsutaan selvittämään kantaansa kollegiolle, joka tekee hallintojohtajan asemaa koskevan lopullisen päätöksensä olosuhteet huomioon ottaen.

64 artikla

Varainhoitosäännöt

1. Johtokunta hyväksyy Eurojustiin sovellettavat varainhoitosäännöt delegoidun asetuksen (EU) N:o 1271/2013 mukaisesti komissiota kuultuaan. Varainhoitosäännöt voivat poiketa delegoidusta asetuksesta (EU) N:o 1271/2013 ainoastaan, jos Eurojustin toiminta sitä erityisesti edellyttää ja jos komissio on antanut siihen ennalta suostumuksensa.

Yhteisten tutkintaryhmien toimille annettavan taloudellisen tuen osalta Eurojust ja Europol laativat yhdessä säännöt ja edellytykset tällaista tukea koskevien hakemusten käsittelylle.

2. Eurojust voi myöntää avustuksia, jotka liittyvät sen 4 artiklan 1 kohdassa mainittujen tehtävien täyttämiseen. Edellä 4 artiklan 1 kohdan f alakohtaan liittyviin tehtäviin annettavia avustuksia voidaan myöntää jäsenvaltioille ilman ehdotuspyyntöä.

VII LUKU

HENKILÖSTÖÄ KOSKEVAT SÄÄNNÖKSET

65 artikla

Yleiset säännökset

1. Eurojustin henkilöstöön sovelletaan henkilöstösääntöjä ja muuhun henkilöstöön sovellettavia palvelussuhteen ehtoja sekä henkilöstösääntöjen ja muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen täytäntöönpanosääntöjä, jotka on hyväksytty unionin toimielinten välisellä sopimuksella.

2. Eurojustin henkilöstö koostuu henkilöstöstä, joka otetaan palvelukseen unionin virkamiehiin ja muuhun henkilöstöön sovellettavien sääntöjen mukaisesti ottaen huomioon kaikki henkilöstösääntöjen 27 artiklan mukaiset vaatimukset, maantieteellinen jakautuminen mukaan lukien.

66 artikla

Kansalliset asiantuntijat ja muu henkilöstö

1. Eurojust voi käyttää oman henkilöstönsä lisäksi kansallisia asiantuntijoita ja muuta henkilöstöä, joka ei ole sen palveluksessa.

2. Kollegio tekee päätöksen, jossa annetaan säännöt kansallisten asiantuntijoiden tilapäisestä siirtämisestä Eurojustin palvelukseen sekä muun henkilöstön käyttämisestä, etenkin mahdollisten eturistiriitojen välttämiseksi.

3. Eurojust toteuttaa eturistiriitojen, mukaan lukien työsuhteen päättymisen jälkeisiin kysymyksiin liittyvät eturistiriidat, välttämiseksi asianmukaiset hallinnolliset toimenpiteet muun muassa ottamalla käyttöön koulutus- ja ennaltaehkäisystrategioita.

VIII LUKU

ARVIOINTI JA RAPORTOINTI

67 artikla

Unionin toimielinten ja kansallisten parlamenttien rooli

1. Eurojust toimittaa vuosikertomuksensa Euroopan parlamentille, neuvostolle ja kansallisille parlamenteille, jotka voivat esittää siitä huomautuksia ja päätelmiä.

2. Tultuaan valituksi Eurojustin vasta valittu puheenjohtaja kutsutaan antamaan lausuma yhdelle tai useammalle Euroopan parlamentin toimivaltaiselle valiokunnalle ja vastaamaan niiden jäsenten esittämiin kysymyksiin. Keskusteluissa ei saa viitata suoraan tai epäsuorasti yksittäisiin operatiivisiin tapauksiin liittyviin konkreettisiin toimiin.

3. Eurojustin puheenjohtaja osallistuu kerran vuodessa Euroopan parlamentin ja kansallisten parlamenttien parlamenttienvälisessä valiokuntakokouksessa toteuttamaan Eurojustin toiminnan yhteiseen arviointiin keskustellakseen Eurojustin senhetkisestä toiminnasta ja esitelläkseen sen vuosikertomuksen tai Eurojustin muita keskeisiä asiakirjoja.

Keskusteluissa ei saa viitata suoraan tai epäsuorasti yksittäisiin operatiivisiin tapauksiin liittyviin konkreettisiin toimiin.

4. Tässä asetuksessa säädettyjen muiden tiedonanto- ja kuulemisvelvoitteiden lisäksi Eurojust toimittaa Euroopan parlamentille ja kansallisille parlamenteille niiden virallisilla kielillä tiedoksi

a)	Eurojustin laatimien tai tilaamien tutkimusten ja strategisten hankkeiden tulokset;

b)	15 artiklassa tarkoitetun ohjelma-asiakirjan;

c)	kolmansien osapuolten kanssa tehdyt käytännön yhteistyöjärjestelyt;

68 artikla

Lausunnot ehdotuksista lainsäätämisjärjestyksessä hyväksyttäviksi säädöksiksi

Komissio ja Euroopan unionin toiminnasta tehdyn sopimuksen 76 artiklan b alakohtaan perustuvia oikeuksiaan käyttävät jäsenvaltiot voivat pyytää Eurojustilta lausuntoa kaikista mainitun sopimuksen 76 artiklassa tarkoitetuista ehdotuksista lainsäätämisjärjestyksessä hyväksyttäviksi säädöksiksi.

69 artikla

Arviointi ja uudelleentarkastelu

1. Komissio teettää viimeistään 13 päivänä joulukuuta 2024 ja sen jälkeen viiden vuoden välein arvioinnin tämän asetuksen täytäntöönpanosta ja vaikutuksista sekä Eurojustin ja sen toimintatapojen vaikuttavuudesta ja tehokkuudesta. Kollegiota kuullaan arvioinnissa. Arvioinnissa voidaan tarkastella erityisesti mahdollista tarvetta muuttaa Eurojustin toimivaltuuksia ja tällaisten muutosten taloudellisia vaikutuksia.

2. Komissio toimittaa arviointikertomuksen sekä päätelmänsä Euroopan parlamentille, kansallisille parlamenteille, neuvostolle ja kollegiolle. Arvioinnin tulokset julkistetaan.

IX LUKU

YLEISET SÄÄNNÖKSET JA LOPPUSÄÄNNÖKSET

70 artikla

Erioikeudet ja vapaudet

Eurojustiin ja sen henkilöstöön sovelletaan Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitettyä Euroopan unionin erioikeuksista ja vapauksista tehtyä pöytäkirjaa N:o 7.

71 artikla

Kielijärjestelyt

1. Eurojustiin sovelletaan neuvoston asetusta N:o 1 (23).

2. Kollegio päättää jäsentensä kahden kolmasosan enemmistöllä Eurojustin sisäisistä kielijärjestelyistä.

3. Neuvoston asetuksella (EY) N:o 2965/94 (24) perustettu Euroopan unionin elinten käännöskeskus huolehtii Eurojustin toiminnassa tarvittavista käännöspalveluista, jollei se, ettei käännöskeskus ole käytettävissä, edellytä, että etsitään muu ratkaisu.

72 artikla

Salassapitovelvollisuus

1. Edellä 7 artiklassa tarkoitetut kansalliset jäsenet ja heidän varajäsenensä ja avustajat, Eurojustin henkilöstö, kansalliset yhteyshenkilöt, kansalliset asiantuntijat, yhteystuomarit, tietosuojavastaava sekä Euroopan tietosuojavaltuutetun jäsenet ja henkilöstö ovat velvollisia pitämään salassa kaikki tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

2. Salassapitovelvollisuus koskee kaikkia henkilöitä ja kaikkia elimiä, jotka työskentelevät Eurojustin kanssa.

3. Salassapitovelvollisuutta sovelletaan 1 ja 2 kohdassa tarkoitettuihin henkilöihin myös viranhoidon, työsuhteen tai toiminnan päätyttyä.

4. Salassapitovelvollisuus koskee kaikkia Eurojustin saamia tai vaihtamia tietoja, ellei tietoja ole jo lainmukaisesti julkistettu tai elleivät ne ole yleisesti saatavilla.

73 artikla

Kansallisten menettelyjen luottamuksellisuutta koskevat ehdot

1. Jos tietoja saadaan tai vaihdetaan Eurojustin välityksellä, tiedot toimittaneen jäsenvaltion viranomainen voi kansallisen lainsäädäntönsä mukaisesti asettaa näitä tietoja vastaanottavalle viranomaiselle niiden käyttöä kansallisissa menettelyissä koskevia ehtoja, sanotun kuitenkaan rajoittamatta 21 artiklan 3 kohdan soveltamista.

2. Nämä ehdot sitovat 1 kohdassa tarkoitetut tiedot vastaanottavan jäsenvaltion viranomaista.

74 artikla

Avoimuus

1. Eurojustin hallussa oleviin asiakirjoihin sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1049/2001 (25).

2. Johtokunta laatii kuuden kuukauden kuluessa ensimmäisestä kokouksestaan yksityiskohtaiset säännöt asetuksen (EY) N:o 1049/2001 soveltamisesta kollegion hyväksyttäviksi.

3. Päätöksistä, jotka Eurojust on tehnyt asetuksen (EY) N:o 1049/2001 8 artiklan nojalla, voidaan tehdä kantelu Euroopan oikeusasiamiehelle Euroopan unionin toiminnasta tehdyn sopimuksen 228 artiklassa määrättyjen edellytysten mukaisesti tai nostaa kanne unionin tuomioistuimessa Euroopan unionin toiminnasta tehdyn sopimuksen 263 artiklassa määrättyjen edellytysten mukaisesti.

4. Eurojust julkaisee verkkosivustollaan luettelon johtokunnan jäsenistä sekä yhteenvedot johtokunnan kokousten tuloksista. Yhteenvetojen julkaiseminen jätetään tekemättä tai sitä rajoitetaan väliaikaisesti tai pysyvästi, jos niiden julkaiseminen vaarantaisi Eurojustin tehtävien hoitamisen, kun otetaan huomioon sen pidättymis- ja salassapitovelvollisuudet ja Eurojustin operatiivinen luonne.

75 artikla

OLAF ja tilintarkastustuomioistuin

1. Edistääkseen asetuksen (EU, Euratom) N:o 883/2013 soveltamisalaan kuuluvien petosten, lahjonnan ja muun laittoman toiminnan torjuntaa Eurojust liittyy kuuden kuukauden kuluessa tämän asetuksen voimaantulosta 25 päivänä toukokuuta 1999 tehtyyn Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan yhteisöjen komission tekemään toimielinten väliseen sopimukseen Euroopan petostentorjuntaviraston (OLAF) sisäisistä tutkimuksista (26). Eurojust vahvistaa mainitun sopimuksen liitteessä olevaa mallia käyttäen asianmukaiset määräykset, joita sovelletaan kaikkiin kansallisiin jäseniin, heidän varajäseniinsä ja avustajiin, kaikkiin kansallisiin asiantuntijoihin ja Eurojustin koko henkilöstöön.

2. Tilintarkastustuomioistuimella on valtuudet tehdä kaikkien Eurojustilta unionin rahoitusta saaneiden avustuksensaajien, toimeksisaajien ja alihankkijoiden osalta asiakirjoihin perustuvia ja paikan päällä suoritettavia tarkastuksia.

3. OLAF voi asetuksessa (EU, Euratom) N:o 883/2013 ja neuvoston asetuksessa (Euratom, EY) N:o 2185/96 (27) vahvistettujen säännösten ja menettelyjen mukaisesti tehdä tutkimuksia, mukaan lukien paikan päällä suoritettavat tarkastukset ja todentamiset, selvittääkseen, onko Eurojustin rahoittamiin menoihin liittynyt unionin taloudellisia etuja vahingoittavia sääntöjenvastaisuuksia.

4. Eurojustin käytännön yhteistyöjärjestelyihin kolmansien maiden tai kansainvälisten järjestöjen kanssa, sopimuksiin, avustussopimuksiin ja avustuspäätöksiin on sisällytettävä määräyksiä, joissa nimenomaisesti annetaan tilintarkastustuomioistuimelle ja OLAFille valtuudet tehdä tällaisia tarkastuksia ja tutkimuksia oman toimivaltansa mukaisesti, sanotun kuitenkaan rajoittamatta 1, 2 ja 3 kohdan soveltamista.

5. Eurojustin henkilöstön, hallintojohtajan sekä kollegion ja johtokunnan jäsenten on viipymättä ja ilman, että heidän vastuutaan voidaan asettaa kyseenalaiseksi tämän takia, ilmoitettava OLAFille ja EPPOlle kaikista niiden toimivaltuuksien puitteissa tapahtunutta sääntöjenvastaista tai laitonta toimintaa koskevista epäilyistä, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä hoitamisen yhteydessä.

76 artikla

Arkaluonteisten turvallisuusluokittelemattomien tietojen ja turvallisuusluokiteltujen tietojen suojaamista koskevat säännöt

1. Eurojust laatii tietojen käsittelyä ja luottamuksellisuutta sekä arkaluonteisten turvallisuusluokittelemattomien tietojen suojaamista koskevat sisäiset säännöt, jotka koskevat myös tällaisten tietojen luomista ja käsittelyä Eurojustissa.

2. Eurojust laatii Euroopan unionin turvallisuusluokiteltujen tietojen suojaamista koskevat sisäiset säännöt, joiden on oltava neuvoston päätöksen 2013/488/EU (28) mukaiset, jotta tällaisille tiedoille voidaan varmistaa vastaavan tasoinen suoja.

77 artikla

Hallinnolliset tutkimukset

Euroopan oikeusasiamies voi tutkia Eurojustin hallinnollista toimintaa Euroopan unionin toiminnasta tehdyn sopimuksen 228 artiklan mukaisesti.

78 artikla

Muu vastuu kuin vastuu tietojen luvattomasta tai virheellisestä käsittelystä

1. Eurojustin sopimusoikeudellinen vastuu määräytyy sopimukseen sovellettavan lain mukaan.

2. Unionin tuomioistuimella on toimivalta antaa ratkaisu Eurojustin tekemässä sopimuksessa mahdollisesti olevan välityslausekkeen nojalla.

3. Muun kuin sopimusperusteisen vastuun osalta Eurojust korvaa Eurojustin tai sen henkilöstön tehtäviään suorittaessaan aiheuttamat vahingot jäsenvaltioiden lainsäädäntöön sisältyvien yhteisten perusperiaatteiden mukaisesti ja 46 artiklan mukaisesta vastuusta riippumatta.

4. Edellä olevaa 3 kohtaa sovelletaan myös kansallisen jäsenen, varajäsenen tai avustajan tehtäviään suorittaessaan aiheuttamiin vahinkoihin. Jos hän kuitenkin toimii hänelle 8 artiklan nojalla myönnettyjen valtuuksien perusteella, hänen jäsenvaltionsa korvaa Eurojustille määrät, jotka Eurojust on maksanut korvatakseen vahingon.

5. Unionin tuomioistuimella on toimivalta ratkaista riidat, jotka koskevat 3 kohdassa tarkoitettujen vahinkojen korvaamista.

6. Ne jäsenvaltioiden kansalliset tuomioistuimet, jotka ovat toimivaltaisia käsittelemään tässä artiklassa tarkoitettuja Eurojustin vastuuta koskevia riita-asioita, määräytyvät Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1215/2012 (29) mukaan.

7. Eurojustin henkilöstöön kuuluvien henkilökohtaisesta vastuusta Eurojustia kohtaan määrätään henkilöstösäännöissä ja muuhun henkilöstöön sovellettavissa palvelussuhteen ehdoissa.

79 artikla

Toimipaikkaa koskeva sopimus ja toimintaedellytykset

1. Eurojustin toimipaikka on Haag Alankomaissa.

2. Alankomaiden Eurojustille tarjoamia tiloja ja palveluja varten tarvittavat järjestelyt sekä hallintojohtajaan, kollegion jäseniin, Eurojustin henkilöstöön ja heidän perheenjäseniinsä Alankomaissa sovellettavat erityissäännöt vahvistetaan Eurojustin ja Alankomaiden välisessä toimipaikkaa koskevassa sopimuksessa, joka tehdään sen jälkeen, kun on saatu kollegion hyväksyntä.

80 artikla

Siirtymäjärjestelyt

1. Tällä asetuksella perustettava Eurojust on päätöksellä 2002/187/YOS perustetun Eurojustin yleinen oikeusseuraaja kaikkien sen tekemien sopimusten, sitä velvoittavien vastuiden ja kaiken sen hankkiman omaisuuden suhteen.

2. Kunkin jäsenvaltion päätöksen 2002/187/YOS mukaisesti lähettämät kyseisellä päätöksellä perustetun Eurojustin kansalliset jäsenet toimivat Eurojustin kansallisina jäseninä tämän asetuksen II luvun II jakson mukaisesti. Heidän toimikausiaan voidaan jatkaa kerran tämän asetuksen 7 artiklan 5 kohdan mukaisesti tämän asetuksen tultua voimaan riippumatta siitä, onko niitä jatkettu aiemmin.

3. Henkilöt, jotka toimivat päätöksellä 2002/187/YOS perustetun Eurojustin puheenjohtajana ja varapuheenjohtajina tämän asetuksen tullessa voimaan, toimivat Eurojustin puheenjohtajana ja varapuheenjohtajina tämän asetuksen 11 artiklan mukaisesti, kunnes heidän mainitun päätöksen mukaiset toimikautensa päättyvät. Heidät voidaan valita kerran uudelleen tämän asetuksen 11 artiklan 4 kohdan mukaisesti tämän asetuksen tultua voimaan riippumatta siitä, onko heidät valittu aiemmin uudelleen.

4. Henkilö, joka on viimeksi nimitetty hallintojohtajaksi päätöksen 2002/187/YOS 29 artiklan mukaisesti, toimii hallintojohtajana tämän asetuksen 17 artiklan mukaisesti, kunnes hänen mainitun päätöksen mukainen toimikautensa päättyy. Kyseisen hallintojohtajan toimikautta voidaan jatkaa kerran tämän asetuksen tultua voimaan.

5. Tämä asetus ei vaikuta niiden sopimusten pätevyyteen, jotka päätöksellä 2002/187/YOS perustettu Eurojust on tehnyt. Kaikki Eurojustin tekemät kansainväliset sopimukset, jotka ovat tulleet voimaan ennen 12 päivää joulukuuta 2019, ovat edelleen päteviä.

6. Päätöksen 2002/187/YOS 35 artiklan mukaisesti hyväksyttyjä talousarvioita koskeva vastuuvapausmenettely toteutetaan päätöksen 2002/187/YOS 36 artiklassa vahvistettujen sääntöjen mukaisesti.

7. Asetus ei vaikuta työsopimuksiin, jotka on tehty päätöksen 2002/187/YOS mukaisesti ennen tämän asetuksen voimaantuloa. Henkilö, joka on viimeksi nimitetty tietosuojavastaavaksi mainitun päätöksen 17 artiklan mukaisesti, toimii tietosuojavastaavana tämän asetuksen 36 artiklan mukaisesti.

81 artikla

Korvaaminen ja kumoaminen

1. Korvataan päätös 2002/187/YOS niiden jäsenvaltioiden osalta, joita tämä asetus sitoo, 12 päivästä joulukuuta 2019.

Näin ollen päätös 2002/187/YOS kumotaan 12 päivästä joulukuuta 2019.

2. Niiden jäsenvaltioiden osalta, joita tämä asetus sitoo, viittauksia 1 kohdassa tarkoitettuun päätökseen pidetään viittauksina tähän asetukseen.

82 artikla

Voimaantulo ja soveltaminen

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Sitä sovelletaan 12 päivästä joulukuuta 2019.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan jäsenvaltioissa perussopimusten mukaisesti.

Tehty Strasbourgissa 14 päivänä marraskuuta 2018.

Euroopan parlamentin puolesta

Puhemies

A. TAJANI

Neuvoston puolesta

Puheenjohtaja

K. EDTSTADLER

(1) Euroopan parlamentin kanta, vahvistettu 4. lokakuuta 2018 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 6. marraskuuta 2018.

(2) Neuvoston päätös 2002/187/YOS, tehty 28 päivänä helmikuuta 2002, Eurojust-yksikön perustamisesta vakavan rikollisuuden torjunnan tehostamiseksi (EYVL L 63, 6.3.2002, s. 1).

(3) Neuvoston päätös 2003/659/YOS, tehty 18 päivänä kesäkuuta 2003, Eurojust-yksikön perustamisesta vakavan rikollisuuden torjunnan tehostamiseksi tehdyn päätöksen 2002/187/YOS muuttamisesta (EUVL L 245, 29.9.2003, s. 44).

(4) Neuvoston päätös 2009/426/YOS, tehty 16 päivänä joulukuuta 2008, Eurojustin vahvistamisesta sekä Eurojust-yksikön perustamisesta vakavan rikollisuuden torjunnan tehostamiseksi tehdyn päätöksen 2002/187/YOS muuttamisesta (EUVL L 138, 4.6.2009, s. 14).

(5) Neuvoston asetus (EU) 2017/1939, annettu 12 päivänä lokakuuta 2017, tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa (EUVL L 283, 31.10.2017, s. 1).

(6) Neuvoston päätös 2002/494/YOS, tehty 13 päivänä kesäkuuta 2002, joukkotuhonnasta, ihmisyyttä vastaan tehdyistä rikoksista ja sotarikoksista vastuussa olevia henkilöitä koskevan eurooppalaisen yhteyspisteiden verkoston perustamisesta (EYVL L 167, 26.6.2002, s. 1).

(7) Neuvoston päätös 2007/845/YOS, tehty 6 päivänä joulukuuta 2007, varallisuuden takaisin hankinnasta vastaavien jäsenvaltioiden toimistojen yhteistyöstä rikoksen tuottaman hyödyn tai muun rikokseen liittyvän omaisuuden jäljittämisessä ja tunnistamisessa (EUVL L 332, 18.12.2007, s. 103).

(8) Neuvoston päätös 2008/852/YOS, tehty 24 päivänä lokakuuta 2008, korruption vastaisesta yhteyspisteiden verkostosta (EUVL L 301, 12.11.2008, s. 38).

(9) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(10) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (ks. tämän virallisen lehden s. 39).

(11) Neuvoston yhteinen kanta 2005/69/YOS, vahvistettu 24 päivänä tammikuuta 2005, eräiden tietojen vaihdosta Interpolin kanssa (EUVL L 27, 29.1.2005, s. 61).

(12) Neuvoston päätös 2007/533/YOS, tehty 12 päivänä kesäkuuta 2007, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä (EUVL L 205, 7.8.2007, s. 63).

(13) Neuvoston yhteinen toiminta 96/277/OSA, 22 päivältä huhtikuuta 1996, Euroopan unionin jäsenvaltioiden välisen oikeudellisen yhteistyön edistämiseen tähtäävää yhteystuomareiden vaihtojärjestelmää koskien (EYVL L 105, 27.4.1996, s. 1).

(14) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046, annettu 18 päivänä heinäkuuta 2018, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta (EUVL L 193, 30.7.2018, s. 1).

(15) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) N:o 883/2013, annettu 11 päivänä syyskuuta 2013, Euroopan petostentorjuntaviraston (OLAF) tutkimuksista sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1073/1999 ja neuvoston asetuksen (Euratom) N:o 1074/1999 kumoamisesta (EUVL L 248, 18.9.2013, s. 1).

(16) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(17) Euroopan parlamentin ja neuvoston direktiivi 2014/41/EU, annettu 3 päivänä huhtikuuta 2014, rikosasioita koskevasta eurooppalaisesta tutkintamääräyksestä (EUVL L 130, 1.5.2014, s. 1).

(18) EYVL L 56, 4.3.1968, s. 1.

(19) Neuvoston päätös 2005/671/YOS, tehty 20 päivänä syyskuuta 2005, terrorismirikoksia koskevasta tiedonvaihdosta ja yhteistyöstä (EUVL L 253, 29.9.2005, s. 22).

(20) Neuvoston päätös 2008/976/YOS, tehty 16 päivänä joulukuuta 2008, Euroopan oikeudellisesta verkostosta (EUVL L 348, 24.12.2008, s. 130).

(21) Euroopan parlamentin ja neuvoston asetus (EU) 2016/1624, annettu 14 päivänä syyskuuta 2016, Eurooppalaisesta raja- ja merivartiostosta ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/399 muuttamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 863/2007, neuvoston asetuksen (EY) N:o 2007/2004 ja neuvoston päätöksen 2005/267/EY kumoamisesta (EUVL L 251, 16.9.2016, s. 1).

(22) Komission delegoitu asetus (EU) N:o 1271/2013, annettu 30 päivänä syyskuuta 2013, Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) N:o 966/2012 208 artiklassa tarkoitettuja elimiä koskevasta varainhoidon puiteasetuksesta (EUVL L 328, 7.12.2013, s. 42).

(23) Neuvoston asetus N:o 1 Euroopan talousyhteisössä käytettäviä kieliä koskevista järjestelyistä (EYVL 17, 6.10.1958, s. 385/58).

(24) Neuvoston asetus (EY) N:o 2965/94, annettu 28 päivänä marraskuuta 1994, Euroopan unionin elinten käännöskeskuksen perustamisesta (EYVL L 314, 7.12.1994, s. 1).

(25) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

(26) EYVL L 136, 31.5.1999, s. 15.

(27) Neuvoston asetus (Euratom, EY) N:o 2185/96, annettu 11 päivänä marraskuuta 1996, komission paikan päällä suorittamista tarkastuksista ja todentamisista Euroopan yhteisöjen taloudellisiin etuihin kohdistuvien petosten ja muiden väärinkäytösten estämiseksi (EYVL L 292, 15.11.1996, s. 2).

(28) Neuvoston päätös 2013/488/EU, annettu 23 päivänä syyskuuta 2013, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (EUVL L 274, 15.10.2013, s. 1).

(29) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1215/2012, annettu 12 päivänä joulukuuta 2012, tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta siviili- ja kauppaoikeuden alalla (EUVL L 351, 20.12.2012, s. 1).

LIITE I

Luettelo vakavan rikollisuuden muodoista, joita Eurojust on toimivaltainen käsittelemään 3 artiklan 1 kohdan mukaisesti:

—	terrorismi,

—	järjestäytynyt rikollisuus,

—	laiton huumausainekauppa,

—	rahanpesu,

—	ydin- ja radioaktiivisiin aineisiin liittyvät rikokset,

—	maahanmuuttajien salakuljetus,

—	ihmiskauppa,

—	varastettujen ajoneuvojen laittomaan kauppaan liittyvä rikollisuus,

—	tahallinen henkirikos, pahoinpitely ja vakavan ruumiinvamman aiheuttaminen,

—	ihmisen elinten ja kudosten laiton kauppa,

—	ihmisryöstö, vapaudenriisto ja panttivangin ottaminen,

—	rasismi ja muukalaisviha,

—	ryöstö ja törkeä varkaus,

—	kulttuuriomaisuuden, mukaan lukien antiikki- ja taide-esineiden, laiton kauppa,

—	kavallus ja petos,

—	unionin taloudellisia etuja vahingoittavat rikokset,

—	sisäpiirikauppa ja finanssimarkkinoiden manipulointi,

—	ryöstön tapainen kiristys sekä kiristys,

—	tuotteiden luvaton väärentäminen ja jäljentäminen,

—	hallinnollisten asiakirjojen väärentäminen ja kaupankäynti väärennöksillä,

—	rahan ja maksuvälineiden väärentäminen,

—	tietotekniikkarikollisuus,

—

lahjonta,

—	laiton ase-, ammus- ja räjähteiden kauppa,

—	uhanalaisten eläinlajien laiton kauppa,

—	uhanalaisten kasvilajien ja -lajikkeiden laiton kauppa,

—	ympäristörikollisuus, mukaan lukien alusten aiheuttama meren pilaantuminen,

—	hormonivalmisteiden ja muiden kasvua edistävien aineiden laiton kauppa,

—	seksuaalinen hyväksikäyttö ja seksuaalinen riisto, mukaan lukien lasten hyväksikäyttöön liittyvä materiaali ja lapsen houkuttelu seksuaalisiin tarkoituksiin,

—	joukkotuhonta, rikokset ihmisyyttä vastaan ja sotarikokset.

LIITE II

27 ARTIKLASSA TARKOITETUT HENKILÖTIETORYHMÄT

a)	sukunimi, alkuperäinen sukunimi, etunimet ja tarvittaessa salanimi tai peitenimi;

b)	syntymäaika ja -paikka;

c)	kansalaisuus;

d)	sukupuoli;

e)	asuinpaikka, ammatti ja asianomaisen henkilön oleskelupaikka;

f)	sosiaaliturvatunnus tai muut jäsenvaltiossa henkilöiden tunnistamiseen käytettävät viralliset tunnukset, ajokortit, henkilöasiakirjat ja passitiedot, tulli- ja verotunnistenumerot;

g)	oikeushenkilöitä koskevat tiedot, jos niihin liittyy sellaisten tunnistettujen tai tunnistettavissa olevien henkilöiden tietoja, joiden osalta on käynnistetty tutkinta- tai syytetoimia;

h)	yksityiskohtaiset tiedot pankeissa tai muissa rahoituslaitoksissa olevista tileistä;

i)	väitettyjen rikosten kuvaus ja luonne, ajankohta, jona ne on tehty, niiden rikosoikeudellinen määrittely ja tutkinnan edistyminen;

j)	tosiseikat, jotka viittaavat tapauksen kansainväliseen ulottuvuuteen;

k)	yksityiskohtaiset tiedot väitetystä kuulumisesta rikollisjärjestöön;

l)	puhelinnumerot, sähköpostiosoitteet, liikennetiedot ja sijaintitiedot sekä niihin liittyvät, palvelun tilaajan tai käyttäjän tunnistamiseksi tarvittavat tiedot;

m)	ajoneuvorekisteritiedot;

n)	DNA-tunnisteet, jotka on saatu DNA:n koodaamattomasta osasta, valokuvat ja sormenjäljet.

a)	sukunimi, alkuperäinen sukunimi, etunimet ja tarvittaessa salanimi tai peitenimi;

b)	syntymäaika ja -paikka;

c)	kansalaisuus;

d)	sukupuoli;

e)	asuinpaikka, ammatti ja asianomaisen henkilön oleskelupaikka;

f)	asianomaiseen henkilöön liittyvien rikosten kuvaus ja luonne, ajankohta, jona rikokset on tehty, rikosten rikosoikeudellinen määrittely ja tutkinnan edistyminen;

g)	sosiaaliturvatunnus tai muut jäsenvaltioissa henkilöiden tunnistamiseen käytettävät viralliset tunnukset, ajokortit, henkilöasiakirjat ja passitiedot, tulli- ja verotunnistenumerot;

h)	yksityiskohtaiset tiedot pankeissa ja muissa rahoituslaitoksissa olevista tileistä;

i)	puhelinnumerot, sähköpostiosoitteet, liikennetiedot ja sijaintitiedot sekä niihin liittyvät, palvelun tilaajan tai käyttäjän tunnistamiseksi tarvittavat tiedot;

j)	ajoneuvorekisteritiedot.

Sisältö		I Lainsäätämisjärjestyksessä hyväksyttävät säädökset	Sivu
		ASETUKSET
	*	Euroopan parlamentin ja neuvoston asetus (EU) 2018/1724, annettu 2 päivänä lokakuuta 2018, tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja saataville tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 muuttamisesta ( 1 )	1
	*	Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta ( 1 )	39
	*	Euroopan parlamentin ja neuvoston asetus (EU) 2018/1726, annettu 14 päivänä marraskuuta 2018, vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavasta Euroopan unionin virastosta (eu-LISA) sekä asetuksen (EY) N:o 1987/2006 ja neuvoston päätöksen 2007/533/YOS muuttamisesta ja asetuksen (EU) N:o 1077/2011 kumoamisesta	99
	*	Euroopan parlamentin ja neuvoston asetus (EU) 2018/1727, annettu 14 päivänä marraskuuta 2018, Euroopan unionin rikosoikeudellisen yhteistyön virastosta (Eurojust) ja neuvoston päätöksen 2002/187/YOS korvaamisesta ja kumoamisesta	138

		ISSN 1977-0812
Euroopan unionin virallinen lehti		L 295

Suomenkielinen laitos	Lainsäädäntö	61. vuosikerta 21. marraskuuta 2018