ID-kaart

Lihtotsing

Komisjoni otsus (EL) 2020/969, 3. juuli 2020, millega kehtestatakse andmekaitseametnikku, andmesubjektide õiguste piiranguid ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 kohaldamist käsitlevad rakenduseeskirjad ning tunnistatakse kehtetuks komisjoni otsus 2008/597/EÜ
Euroopa Komisjon 03.07.2020 otsus number 969; jõustumiskuupäev 26.07.2020

redaktsioon 26.07.2020

6.7.2020   

ET

Euroopa Liidu Teataja

L 213/12


KOMISJONI OTSUS (EL) 2020/969,

3. juuli 2020,

millega kehtestatakse andmekaitseametnikku, andmesubjektide õiguste piiranguid ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 kohaldamist käsitlevad rakenduseeskirjad ning tunnistatakse kehtetuks komisjoni otsus 2008/597/EÜ

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 249 lõiget 1,

võttes arvesse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (1) eriti selle artikli 45 lõiget 3,

ning arvestades järgmist:

(1)

Selleks et tagada komisjoni andmekaitseametniku büroo nõuetekohane toimimine, on vaja määrata üksikasjalikult kindlaks andmekaitseametniku ülesanded, kohustused ja volitused.

(2)

Määrusega (EL) 2018/1725 on vastutavatele töötlejatele määratud selged kohustused, eriti seoses andmesubjektidega. Tagamaks et komisjon täidab oma kohustusi vastutava töötlejana ühtsel ja läbipaistval viisil, tuleks kehtestada eeskirjad selle kohta, kuidas teha kindlaks, kes vastutab komisjoni talitus(t)es komisjoni nimel tehtava töötlemistoimingu eest. Sellega seoses on sobilik võtta kasutusele delegeeritud vastutava töötleja mõiste, et väljendada täpsemalt komisjoni üksuste vastutusvaldkondi, eelkõige seoses andmesubjektide õiguste alaste üksikotsustega. Lisaks sellele on kohane võtta kasutusele tegeliku vastutava töötleja mõiste; tegelik vastutav töötleja tagab delegeeritud vastutava töötleja vastutusalas tegelikkuses nõuetele vastavuse ning töötleb andmesubjektide töötlemistoiminguga seotud taotlusi. Tegeliku vastutava töötleja nimetamine ei takista tegelikkuses kontaktpunkti, näiteks eriotstarbelise e-posti aadressi kasutamist andmesubjektide taotluste jaoks.

(3)

Teatavatel juhtudel võivad mitu komisjoni talitust teha oma ülesannete täitmiseks töötlemistoimingu ühiselt. Neil juhtudel peaksid nad tagama, et neil on kasutusel sisekord, mille abil määratakse läbipaistval viisil kindlaks nende vastavad vastutusvaldkonnad määruse (EL) 2018/1725 alusel, eelkõige seoses andmesubjektide, Euroopa Andmekaitseinspektori teavitamise ja registri pidamisega.

(4)

Selleks et lihtsustada delegeeritud vastutavate töötlejate kohustuste täitmist, peaks iga komisjoni talitus nimetama andmekaitsekoordinaatori. Andmekaitsekoordinaator peaks osalema komisjoni andmekaitsekoordinaatorite võrgustikus, et tagada määruse (EL) 2018/1725 järjepidev rakendamine ja tõlgendamine komisjonis ning arutada ühist huvi pakkuvaid teemasid.

(5)

Seoses andmekaitseametniku ülesandega jaotada vastutusvaldkondi kooskõlas määruse (EL) 2018/1725 artikli 45 lõike 1 punktiga b, peaks andmekaitseametnik andma täiendavaid suuniseid andmekaitsekoordinaatori ülesannete kohta.

(6)

Komisjon töötleb mitmeid isikuandmete kategooriaid seoses andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsioonitegevusega. Komisjon töötleb eelkõige identifitseerimisandmeid, kontaktandmeid, kutsetegevuse andmeid ja andmeid juhtumiga seotuse kohta. Kõnealuseid andmeid säilitatakse viie aasta jooksul pärast tegevuse lõpetamist kooskõlas ühtse komisjoniülese säilitustähtaegade loeteluga (2).

(7)

Teatavatel juhtudel on vaja leida tasakaal andmesubjektidele määruse (EL) 2018/1725 alusel antud õiguste ning järgmiste vajaduste ja nõuete vahel: komisjoni vajadus täita andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesandeid, vajadus tagada muude komisjoni talitustega vahetatava teabe konfidentsiaalsus ning nõue austada täielikult teiste andmesubjektide põhiõigusi ja -vabadusi. Seda silmas pidades on määruse (EL) 2018/1725 artikli 25 lõikega 1 jäetud komisjonile võimalus piirata määruse artiklite 14–17, 19, 20 ja 35 ning artikli 4 lõike 1 punktis a sätestatud läbipaistvuspõhimõtte kohaldamist, kui selle sätted vastavad kõnealuse määruse artiklites 14–17, 19 ja 20 sätestatud õigustele ja kohustustele.

(8)

Selleks et tagada andmekaitseametniku järelevalve-, uurimis-, auditi ja konsultatsiooniülesannete konfidentsiaalsus ja tulemuslikkus, järgides samas määruses (EL) 2018/1725 sätestatud isikuandmete kaitse norme, tuleb vastu võtta sise-eeskirjad, mille kohaselt oleks andmekaitseametnikul võimalik piirata andmesubjektide õigusi kooskõlas määruse (EL) 2018/1725 artikliga 25.

(9)

Kõnealuseid sise-eeskirju tuleks kohaldada kõigi andmetöötlustoimingute suhtes, mida komisjon teeb andmekaitseametniku järelevalve-, uurimis-, auditi- või konsultatsiooniülesannete täitmisel. Neid eeskirju tuleks kohaldada nii enne uurimise või auditi algust kui ka uurimise või auditi ajal tehtavate töötlemistoimingute suhtes, samuti uurimis- või audititulemuste järelmeetmete järelevalve käigus tehtavate töötlemistoimingute suhtes. Neid eeskirju tuleks kohaldada ka andmekaitseametniku uurimis- või auditiülesannetega seotud töötlemistoimingute, näiteks andmekaitseametniku poolse kaebuste töötlemise suhtes. Eeskirju tuleks kohaldada ka andmekaitseametniku tehtava järelevalve ja temaga konsulteerimise suhtes, kui andmekaitseametnik abistab komisjoni talitusi ja teeb nendega koostööd väljaspool oma halduslikke uurimisi ja auditeid.

(10)

Komisjon peaks määruse (EL) 2018/1725 artiklite 14, 15 ja 16 nõuete täitmiseks teavitama kõiki üksikisikuid andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannetest, mis hõlmavad nende isikuandmete töötlemist, ning nende õigustest, mis tulenevad määrusest (EL) 2018/1725. Komisjon peaks teavitama neid üksikisikuid läbipaistval ja sidusal viisil komisjoni veebisaidil avaldatud andmekaitset käsitlevate teadete abil ning teavitama iga andmesubjekti, keda andmekaitseametniku järelevalve-, uurimis-, auditi- või konsultatsioonitegevus puudutab.

(11)

Teatavas olukorras võib komisjonil olla vaja piirata andmesubjektidele teabe esitamist ja andmesubjektide muude õiguste kohaldamist. Ta võib seda teha, et kaitsta andmekaitseametniku järelevalve-, uurimis-, auditi- või konsultatsiooniülesandeid, nendega seotud muude komisjoni talituste uurimisi või menetlusi, andmekaitseametniku uurimiste ja auditite käigus kasutatavaid vahendeid ja meetodeid ning andmekaitseametniku ülesannetega seotud muude isikute õigusi.

(12)

Mõnel juhul võib konkreetse teabe edastamine andmesubjektidele või andmekaitseametniku järelevalve-, uurimis-, auditi- või konsultatsioonitegevuse olemasolu paljastamine oluliselt kahjustada nii töötlemistoimingu eesmärgi saavutamist kui ka andmekaitseametniku suutlikkust seda ellu viia või need võimatuks muuta.

(13)

Lisaks sellele peaks komisjon kaitsma teabe esitaja isikut; teabe esitaja ei tohiks kannatada seetõttu, et ta tegi andmekaitseametnikuga koostööd.

(14)

Seetõttu võib komisjonil olla vaja kohaldada määruse (EL) 2018/1725 artikli 25 lõike 1 punktides c, g ja h osutatud piirangute aluseid andmetöötlustoimingute suhtes, mida tehakse kõnealuse määruse artiklis 45 sätestatud andmekaitseametniku järelevalve-, uurimis-, auditi- või konsultatsiooniülesannete täitmise raames.

(15)

Lisaks sellele võib komisjonil olla vaja tulemusliku koostöö säilitamiseks kehtestada piiranguid andmesubjektide õigustele, et kaitsta teavet, mis sisaldab muudest komisjoni talitustest, liidu institutsioonidest või organitest pärit isikuandmeid. Selleks peaks andmekaitseametnik konsulteerima nende talituste, institutsioonide ja organitega piirangute kehtestamise põhjuste ning piirangute vajalikkuse ja proportsionaalsuse üle.

(16)

Andmekaitseametnik vahetab oma järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmise käigus teavet, sh isikuandmeid, teiste komisjoni talitustega. Seepärast peaksid kõik komisjoni talitused, kes töötlevad isikuandmeid, mida andmekaitseametnik oma ülesannete täitmisel töötleb, kohaldama käesolevas otsuses sätestatud eeskirju, et tagada andmekaitseametniku tehtavate töötlemistoimingute kaitse. Sellisel juhul peaksid asjaomased komisjoni talitused konsulteerima andmekaitseametnikuga, et teha ühtse kohaldamise tagamise eesmärgil kindlaks piirangute kehtestamise asjakohased alused ning selliste piirangute vajalikkus ja proportsionaalsus.

(17)

Andmekaitseametnik ja vajaduse korral muud komisjoni talitused peaksid kõiki piiranguid kohaldama läbipaistval viisil ning registreerima kõik kohaldatavad piirangud asjakohases registris.

(18)

Vastavalt määruse (EL) 2018/1725 artikli 25 lõikele 8 võivad vastutavad töötlejad piirangu kohaldamise põhjusi käsitleva teabe andmesubjektile edastamist edasi lükata või selle andmisest keelduda, kui asjaomase teabe edastamine võiks piirangu eesmärgi saavutamist mingil viisil kahjustada. Eelkõige võib piirangust teatamine kahjustada artiklites 16 ja 35 sätestatud õiguste piiramise eesmärgi saavutamist. Tagamaks, et andmesubjekti õigus olla teavitatud vastavalt määruse (EL) 2018/1725 artiklitele 16 ja 35, on piiratud vaid seni, kuni teabe esitamise edasilükkamise põhjused kehtivad, peaks komisjon regulaarselt oma seisukoha üle vaatama.

(19)

Kui rakendatakse teiste andmesubjektide õiguste piiramist, peaks andmekaitseametnik juhtumipõhiselt hindama, kas piirangust teavitamine läheks vastuollu piirangu eesmärgiga.

(20)

Andmekaitseametnik peaks teistes komisjoni talitustes käesoleval otsusel põhinevate piirangute kohaldamise sõltumatult läbi vaatama, et tagada käesoleva otsuse täitmine.

(21)

Kõik käesoleva otsuse alusel kohaldatavad piirangud peaksid olema vajalikud ja proportsionaalsed, võttes arvesse ohtu andmesubjektide õigustele ja vabadustele.

(22)

Kooskõlas määruse (EL) 2018/1725 artikli 41 lõigetega 1 ja 2 on teavitatud Euroopa Andmekaitseinspektorit ja temaga konsulteeritud ning ta esitas oma arvamuse 16. septembril 2019.

(23)

Komisoni otsusega 2008/597/EÜ (3) on ette nähtud andmekaitseametnikuga seotud rakenduseeskirjad kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 45/2001 (4). Määrusega (EL) 2018/1725 tunnistati määrus (EÜ) nr 45/2001 alates 11. detsembrist 2019 kehtetuks. Tagamaks, et andmekaitseametniku suhtes kohaldatakse ainult üht rakenduseeskirjade komplekti, tuleks ka otsus 2008/597/EÜ kehtetuks tunnistada,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

1. PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese ja kohaldamisala

1.   Käesoleva otsusega kehtestatakse eeskirjad ja menetlused, mille kohaselt komisjon kohaldab määrust (EL) 2018/1725, ning komisjoni andmekaitseametnikuga seotud rakenduseeskirjad.

2.   Käesolevas otsuses sätestatakse ka eeskirjad, mida komisjon kohaldab andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmise raames seoses andmesubjektide teavitamisega nende isikuandmete töötlemisest vastavalt määruse (EL) 2018/1725 artiklitele 14, 15 ja 16.

3.   Käesolevas otsuses sätestatakse seoses andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannetega ka tingimused, mille korral komisjon võib kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, g ja h piirata kõnealuse määruse artiklite 4, 14–17, 19, 20 ja 35 kohaldamist.

4.   Käesolevat otsust kohaldatakse isikuandmete töötlemise suhtes, mida komisjon teeb määruse (EL) 2018/1725 artiklis 45 osutatud andmekaitseametniku ülesannete, eelkõige järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmiseks või nendega seoses.

Artikkel 2

Vastutus

Käesoleva otsuse kohaldamisel käsitatakse komisjoni vastutava töötlejana määruse (EL) 2018/1725 artikli 3 punkti 8 tähenduses.

Artikkel 3

Mõisted

Käesolevas otsuses kasutatakse järgmisi mõisteid:

1)

„andmekaitseametnik“ – isik, kelle komisjon on nimetanud ametisse vastavalt määruse (EL) 2018/1725 artiklile 43;

2)

„andmekaitseametniku ülesanded“ – andmekaitseametniku ülesanded, millele on osutatud määruse (EL) 2018/1725 artiklis 45, eelkõige järelevalve-, uurimis-, auditi- ja konsultatsiooniülesanded;

3)

„andmekaitsekoordinaator“ – komisjoni töötaja, kelle komisjoni peadirektoraat või talitus on nimetanud nõustama ja abistama kõnealust peadirektoraati või talitust kõigis isikuandmete kaitsega seotud küsimustes;

4)

„delegeeritud vastutav töötleja“ – peadirektoraadi, talituse, kabineti või kantselei juhataja, kes teeb töötlemistoimingut komisjoni nimel peadirektoraadi, talituse, kabineti või kantselei ülesannet täites;

5)

„tegelik vastutav töötleja“ – komisjoni keskastme või kõrgemasse juhtkonda kuuluv töötaja, kelle delegeeritud vastutav töötleja nimetab ametisse, et tagada töötlemistoimingu registreerimine ja tegutseda andmesubjektide jaoks selle töötlemistoimingu puhul peamise kontaktisikuna;

6)

„sisekord“ – kahe või enama peadirektoraadi või talituse vaheline korraldus, millega määratakse kindlaks nende vastutusvaldkonnad seoses töötlemistoiminguga, mille nad viivad ühiselt ellu või mille puhul viib osa delegeeritud vastutava töötleja töötlemistoimingust ellu peadirektoraat või talitus või mitu peadirektoraati või talitust, ning kooskõlastatakse selle töötlemistoiminguga seotud töötlemise registreerimist;

7)

„teabe esitaja“ – isik, kes annab andmekaitseametnikule teada määruse (EL) 2018/1725 sätete väidetavast rikkumisest või esitab taotluse, et andmekaitseametnik uuriks otseselt andmekaitseametniku ülesannetega seotud küsimusi ja juhtumeid, millest see isik annab andmekaitseametnikule teada.

2. PEATÜKK

ANDMEKAITSEAMETNIK JA ANDMEKAITSEKOORDINAATOR

Artikkel 4

Ametisse nimetamine ja ametikoht

Andmekaitseametnik valitakse komisjoni töötajate hulgast tema kutseoskuste (sh põhjalikud teadmised komisjoni talitustest, nende struktuurist ning nende halduseeskirjadest ja -menetlustest) alusel.

Artikkel 5

Ülesanded ja kohustused

1.   Andmekaitseametnik aitab luua komisjonis isikuandmete kaitse kultuuri, mis põhineb riskihindamisel ja vastutusel.

2.   Andmekaitseametnik teeb komisonis määruse (EL) 2018/1725 rakendamise järelevalvet, kehtestades muu hulgas igal aastal kontrollide ja auditite tööprogrammi ning viies selle ellu.

3.   Andmekaitseametnik korraldab andmekaitsekoordinaatorite korrapäraseid kohtumisi ja on nende eesistuja.

4.   Andmekaitseametnik registreerib komisjoni töötlemistoimingud keskregistris ja teeb selle üldsusele kättesaadavaks.

Andmekaitseametnik peab ka komisjonisisest isikuandmetega seotud rikkumiste registrit määruse (EL) 2018/1725 artikli 3 punkti 16 tähenduses.

5.   Andmekaitseametnik teeb oma ülesannete täitmisel koostööd muude liidu institutsioonide ja organite nimetatud andmekaitseametnikega.

6.   Andmekaitseametnikku peetakse tema töötlemistoimingutega seoses määrusest (EL) 2018/1725 tulenevate andmesubjektide õiguste kohta tehtavate üksikotsuste puhul delegeeritud vastutavaks töötlejaks.

Artikkel 6

Volitused

Andmekaitseametniku ülesandeid täites:

a)

on andmekaitseametnikul juurdepääs töödeldavatele isikuandmetele ning kõikidele tööruumidele, andmetöötlusseadmetele ja andmekandjatele, kui see on vajalik tema ülesannete täitmiseks;

b)

võib andmekaitseametnik küsida komisjoni õigustalituselt õiguslikku arvamust;

c)

võib andmekaitseametnik juhul, kui temal ning delegeeritud vastutaval töötajal, tegelikul vastutaval töötlejal või volitatud töötlejal tekivad erimeelsused määruse (EL) 2018/1725 tõlgendamise või rakendamise asjus, teavitada pädevat delegeeritud vastutavat töötlejat ja peasekretäri;

d)

võib andmekaitseametnik edastada komisjoni asjaomastele peadirektoraatidele või talitustele toimikuid asjakohaste järelmeetmete võtmiseks;

e)

võib andmekaitseametnik taotluse korral või omal algatusel uurida küsimusi ja juhtumeid, mis on otseselt seotud tema ülesannetega, kooskõlas artiklis 11 sätestatud menetlusega;

f)

võib andmekaitseametnik soovituste ja nõuannete andmisel:

i)

kutsuda delegeeritud vastutavat töötlejat või volitatud töötlejat üles rahuldama andmesubjekti taotluse kasutada oma õigusi, mis tulenevad määrusest (EL) 2018/1725;

ii)

esitada delegeeritud vastutavale töötlejale või volitatud töötlejale hoiatusi, kui töötlemistoimingu käigus rikutakse määruse (EL) 2018/1725 sätteid, ning kutsuda neid üles viima asjakohasel juhul töötlemistoimingu teataval viisil ja teatava ajavahemiku jooksul nõuetega vastavusse;

iii)

kutsuda delegeeritud vastutavat töötlejat või volitatud töötlejat üles peatama liikmesriigis või kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevood;

iv)

paluda delegeeritud vastutaval töötlejal või volitatud töötlejal teatada kindlaksmääratud tähtaja jooksul andmekaitseametnikule tema soovituste või nõuannete alusel võetud järelmeetmed;

g)

võib andmekaitseametnik juhtida peasekretäri tähelepanu sellele, et delegeeritud vastutav töötleja, tegelik vastutav töötleja või volitatud töötleja ei ole järginud artikli 6 punkti f alusel võetud meetmeid;

h)

vastutab andmekaitseametnik Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1049/2001 (5) kohaselt tema büroo käsutuses olevatele dokumentidele juurdepääsu saamise taotluste asjus algsete otsuste tegemise eest.

Artikkel 7

Andmekaitsekoordinaatorid

1.   Delegeeritud vastutav töötleja nimetab oma vastutusalasse kuuluvas peadirektoraadis või talituses ametisse andmekaitsekoordinaatori ja vajaduse korral ühe või mitu andmekaitsekoordinaatori abi. Kaks või enam delegeeritud vastutavat töötlejat võivad sidususe või tõhususe kaalutlustel otsustada nimetada ühise andmekaitsekoordinaatori või andmekaitsekoordinaatori abi või jagada juba ametisse nimetatud andmekaitsekoordinaatori või andmekaitsekoordinaatori abi teenuseid. Asjaomased delegeeritud vastutavad töötlejad dokumenteerivad sellekohase kokkuleppe kirjalikult.

2.   Peadirektoraadi või talituse nimetatud andmekaitsekoordinaatori pädevusalasse kuulub ka selle peadirektoraadi või talituse eest vastutav kantselei. Peasekretariaadi jaoks ametisse nimetatud andmekaitsekoordinaatori pädevusalasse kuulub presidendi kantselei ning kantseleid, mille puhul see peadirektoraat on ainus tugiteenistus. Kui kabinet või kantselei vastutab mitme peadirektoraadi või talituse eest, siis otsustavad delegeeritud vastutavad töötlejad, milliste nende andmekaitsekoordinaatorite pädevusalasse see kabinet või kantselei kuulub.

3.   Alati, kui ametisse nimetatakse uus andmekaitsekoordinaator, teavitatakse sellest andmekaitseametnikku, asjaomase peadirektoraadi või talituse töötajaid ning asjaomast kantseleid.

Uued ametisse nimetatud andmekaitsekoordinaatorid läbivad ametisse nimetamisest kuue kuu jooksul väljaõppe, et omandada andmekaitsekoordinaatori rolli jaoks vajalik pädevus. Sellest väljaõppe nõudest vabastatakse andmekaitsekoordinaatorid, kes on tegutsenud varem andmekaitsekoordinaatorina teises peadirektoraadis või talituses või kes on töötanud kahe aasta jooksul enne andmekaitsekoordinaatorina ametisse nimetamist andmekaitseametniku alluvuses.

4.   Delegeeritud vastutavad töötlejad võtavad kasutusele asjakohase korra tagamaks, et andmekaitsekoordinaator on nõuetekohaselt ja õigel ajal kaasatud kõikidesse küsimustesse, mis on seotud andmekaitsega vastavas peadirektoraadis või talituses, ning et andmekaitsekoordinaatori esitatud arvamused tehakse andmekaitsekoordinaatori palvel viivitamata teatavaks delegeeritud vastutavale töötlejale.

5.   Andmekaitsekoordinaatorid valitakse lähtuvalt nende teadmistest ja kogemustest asjaomase peadirektoraadi või talituse toimimise valdkonnas, motiveeritusest asjaomaseid ülesandeid täita, andmekaitsega seotud pädevustest, teabesüsteemide põhimõtete mõistmisest ja suhtlusoskusest.

6.   Andmekaitsekoordinaatori ülesandeid võidakse kombineerida muude ülesannetega. Delegeeritud vastutav töötleja tagab, et need ülesanded sobivad kokku andmekaitsekoordinaatori ülesannetega.

7.   Andmekaitsekoordinaatori ülesanded on osa iga andmekaitsekoordinaatoriks nimetatud töötaja töökirjeldusest. Nende vastutusvaldkondadele ja saavutustele osutatakse iga-aastases hindamisaruandes.

8.   Andmekaitsekoordinaator tegutseb delegeeritud vastutava töötleja, tegeliku vastutava töötleja, volitatud töötleja ja andmekaitseametniku vahelise kontaktisikuna.

9.   Andmekaitsekoordinaatoritel on õigus hankida oma peadirektoraadis või talituses mis tahes teavet, mis on vajalik andmekaitsekoordinaatori ülesannete täitmiseks. Andmekaitsekoordinaatorid tutvuvad isikuandmetega ainult juhul, kui see on vajalik nende ülesannete täitmiseks.

10.   Andmekaitsekoordinaatorid peavad peadirektoraadile, talitusele, kabinetile või kantseleile esitatud andmesubjektide taotluste registrit ja teevad nende kohta anonüümitud statistikat, märkides ära taotluste arvu ning täielikult või osaliselt tagasi lükatud taotluste arvu. Andmekaitseametnik määrab kindlaks taotluste kategooriad, mille kohta statistikat tehakse. Andmekaitseametnik võib määrata kindlaks lisateabe, mis tuleb esitada.

Andmekaitsekoordinaator teeb peadirektoraadi, talituse, kabineti või kantselei hallatud isikuandmetega seotud rikkumiste anonüümitud statistikat, märkides isikuandmetega seotud rikkumiste koguarvu, Euroopa Andmekaitseinspektorile teada antud isikuandmetega seotud rikkumiste arvu ja andmesubjektidele teada antud isikuandmetega seotud rikkumiste arvu.

11.   Andmekaitsekoordinaator suurendab oma peadirektoraadis või talituses teadlikkust andmekaitsega seotud rikkumistest ning nõustab ja abistab delegeeritud vastutavaid töötlejaid ja tegelikke vastutavaid töötlejad nende kohustuste täitmisel, eelkõige seoses:

a)

määruse (EL) 2018/1725 üldpõhimõtete rakendamisega;

b)

töötlemistoimingute dokumenteerimisega;

c)

delegeeritud vastutavate töötlejate töötlemistoimingute kohta teabe esitamisega andmekaitseametnikule kooskõlas artikliga 10;

d)

isikuandmete kaitset käsitlevate avalduste koostamisega.

12.   Andmekaitsekoordinaatorid osalevad andmekaitsekoordinaatorite kohtumistel ja vajaduse korral nende töörühmades.

13.   Andmekaitseametnik väljastab täiendavaid suuniseid andmekaitsekoordinaatori vastutusvaldkondade ja ülesannete kohta.

3. PEATÜKK

VASTUTAVAD TÖÖTLEJAD

Artikkel 8

Delegeeritud vastutavad töötlejad ja tegelikud vastutavad töötlejad

1.   Delegeeritud vastutavad töötlejad tegutsevad komisjoni nimel vastutava töötlejana määruse (EL) 2018/1725 kohaldamise otstarbel.

2.   Delegeeritud vastutavad töötlejad ja tegelikud vastutavad töötlejad:

a)

võivad vajaduse korral konsulteerida andmekaitsekoordinaatori kaudu andmekaitseametnikuga töötlemistoimingute nõuetele vastavuse küsimuses, eriti juhul, kui selle suhtes esineb kahtlusi;

b)

teatavad andmekaitsekoordinaatori kaudu andmekaitseametnikule andmesubjektilt saadud ja tema õiguste kasutamist käsitlevate taotluste menetlemisest.

3.   Delegeeritud vastutav töötleja:

a)

nimetab tegeliku vastutava töötleja, kes abistab delegeeritud vastutavat töötlejat määruse (EL) 2018/1725 täitmise tagamisel, eelkõige seoses andmesubjektidega;

b)

tagab, et muude peadirektoraatide või talitustega on kasutusel sisekord, mille alusel delegeeritud vastutav töötleja teeb töötlemistoiminguid ühiselt kõnealuste peadirektoraatide või talitustega või mille alusel kõnealused peadirektoraadid või talitused teevad osa delegeeritud vastutava töötleja töötlemistoimingust.

Punktis b osutatud korra alusel määratakse kindlaks kõikide osapoolte vastutus seoses nende andmekaitsekohustuste täitmisega. Eelkõige tuleb täpsustada delegeeritud vastutav töötleja, kes määrab kindlaks töötlemistoimingu vahendi ja eesmärgi ning töötlemistoimingu tegeliku vastutava töötleja, ning vajaduse korral need isikud ja/või üksused, kes abistavad tegelikku vastutavat töötlejat, esitades muu hulgas teavet andmetega seotud rikkumiste kohta või andmesubjektide õiguste kasutamisega seotud küsimustes.

4.   Tegelik vastutav töötleja:

a)

võtab vastu kõik andmesubjektide taotlused ja töötleb neid;

b)

teavitab Euroopa Andmekaitseinspektorit isikuandmetega seotud rikkumistest;

c)

teavitab andmekaitsekoordinaatorit ja andmekaitseametnikku isikuandmetega seotud rikkumistest ning teavitab vajaduse korral andmesubjekti;

d)

tagab, et andmekaitsekoordinaatorile antakse teada kõigist andmekaitsega seotud küsimustest, eelkõige andmesubjektide taotlustest;

e)

täidab delegeeritud vastutava töötleja taotluse korral mis tahes muid ülesandeid, mis kuuluvad käesoleva otsuse kohaldamisalasse.

4. PEATÜKK

MUUD KOHUSTUSED JA MENETLUSED

Artikkel 9

Teave

Delegeeritud vastutav töötleja teavitab koostöös andmekaitsekoordinaatoriga andmekaitseametnikku, kui ta konsulteerib Euroopa Andmekaitseinspektoriga võib teavitab teada kooskõlas määrusega (EL) 2018/1725 ja eelkõige selle artiklitega 40 ja 41. Lisaks sellele teavitab delegeeritud vastutav töötleja, tegelik vastutav töötleja või andmekaitsekoordinaator andmekaitseametnikku mis tahes muust otsesest suhtlusest Euroopa Andmekaitseinspektoriga seoses määruse (EL) 2018/1725 rakendamisega.

Artikkel 10

Register

1.   Andmekaitseametnik tagab, et komisjoni töötlemistoimingute register on juurdepääsetav nii komisjoni sisevõrgus asuva andmekaitseametniku veebisaidi kui ka Europa veebisaidil asuva andmekaitseametniku veebisaidi kaudu.

2.   Delegeeritud vastutavad töötlejad esitavad andmekaitseametnikule andmekaitsekoordinaatori kaudu teabe oma töötlemistoimingute kohta, kasutades komisjoni veebipõhist teatamissüsteemi, mis on kättesaadav komisjoni sisevõrgus asuva andmekaitseametniku veebisaidi kaudu.

Artikkel 11

Uurimismenetlus

1.   Artikli 6 punktis e nimetatud uurimise taotlused edastatakse andmekaitseametnikule kirjalikult. Andmekaitseametnik saadab 15 tööpäeva jooksul pärast taotluse laekumist uurimise tellinud isikule kättesaamise kinnituse ning kontrollib, kas taotlust tuleb selle konfidentsiaalsuse tagamiseks käsitada konfidentsiaalsena, välja arvatud juhul, kui asjaomane andmesubjekt nõustub ühemõtteliselt taotluse muul viisil menetlemisega. Juhul kui uurimise taotlemise õigust on ilmselgelt kuritarvitatud, ei ole andmekaitseametnik kohustatud taotlejale vastama.

2.   Andmekaitseametnik küsib asjakohase kirjaliku seletuse delegeeritud vastutavalt töötlejalt, kes vastutab kõnealuse andmetöötlustoimingu eest. Delegeeritud vastutav töötleja esitab oma vastuse andmekaitseametnikule 15 tööpäeva jooksul. Andmekaitseametnik võib taotleda delegeeritud vastutavalt töötlejalt, volitatud töötlejalt või muudelt osaliselt lisateavet 15 tööpäeva jooksul.

3.   Andmekaitseametnik annab uurimise taotlejale aru kolme kuu jooksul pärast taotluse saamist. Nimetatud tähtaja võib peatada, kuni andmekaitseametnik on saanud kogu vajaliku teabe, mida ta on küsinud.

4.   Keegi ei tohi kannatada seepärast, et ta juhtis andmekaitseametniku tähelepanu väidetavale määruse (EL) 2018/1725 rikkumisele.

Artikkel 12

Haldus ja juhtimine

1.   Andmekaitseametnik on haldusotstarbel seotud peasekretariaadiga. Sellest tulenevalt osaleb andmekaitseametnik peasekretariaadi aasta juhtimisplaani ja esialgse eelarveprojekti koostamises.

2.   Andmekaitseametnik on andmekaitseasutuse töötajate hindaja. Peasekretäri asetäitja on hinnangu kinnitaja. Andmekaitseametnik osaleb vajaduse korral peasekretariaadi juhtimise koordineerimisel.

5. PEATÜKK

ANDMESUBJEKTIDE ÕIGUSTE SUHTES KOHALDATAVAD PIIRANGUD

Artikkel 13

Kohaldatavad erandid ja piirangud

1.   Kui komisjon täidab oma ülesandeid, mis puudutavad määruse (EL) 2018/1725 kohaseid andmesubjektide õigusi, kaalub ta, kas mõni selles määruses sätestatud erand kuulub kohaldamisele.

2.   Kui käesoleva otsuse artiklitest 14–18 ei tulene teisiti, võib komisjon kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, g ja h piirata kõnealuse määruse artiklite 14–17, 19, 20 ja 35 ning artikli 4 lõike 1 punktis a sätestatud läbipaistvuse põhimõtte kohaldamist, kui selle sätted vastavad määruse (EL) 2018/1725 artiklites 14–17, 19 ja 20 ette nähtud õigustele ja kohustustele ning kui nende õiguste kasutamine ja kohustuste täitmine ohustaks andmekaitseametniku ülesandeid, paljastaks muu hulgas tema uurimis- ja auditivahendid ning -meetodid või kahjustaks teiste andmesubjektide õigusi ja vabadusi.

3.   Kui käesoleva otsuse artiklitest 14–18 ei tulene teisiti, võib komisjon piirata käesoleva artikli lõikes 2 osutatud õigusi ja kohustusi isikuandmete puhul, mille andmekaitseametnik on saanud komisoni talitustelt või muudelt liidu institutsioonidelt ja organitelt. Komisjon võib seda teha, kui nende õiguste kasutamist ja kohustuste täitmist võiksid piirata kõnealused komisjoni talitused, liidu institutsioonid ja organid määruse (EL) 2018/1725 artiklis 25 osutatud muude õigusaktide alusel või kooskõlas selle määruse IX peatükiga või kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/794 (6) või nõukogu määrusega (EL) 2017/1939; (7)

Enne piirangute kohaldamist esimeses lõigus osutatud asjaoludel konsulteerib komisjon asjaomaste liidu institutsioonide või organitega, välja arvatud juhul, kui komisjoni jaoks on selge, et piirangu kohaldamine on ette nähtud mõne selles lõigus osutatud õigusaktiga.

4.   Käesoleva artikli lõikes 2 osutatud õiguste ja kohustuste piiramine peab olema vajalik ja proportsionaalne, võttes arvesse ohtu andmesubjektide õigustele ja vabadustele.

Artikkel 14

Andmesubjektide teavitamine

1.   Komisjon avaldab oma veebisaidil andmekaitset käsitlevad teated, millega teavitatakse kõiki andmesubjekte andmekaitseametniku ülesannetest, millega kaasneb nende isikuandmete töötlemine.

2.   Komisjon teavitab asjakohasel viisil individuaalselt kõiki füüsilisi isikuid, keda ta peab andmekaitseametnike ülesannetega seotud isikuks või teabe esitajaks.

3.   Kui komisjon piirab osaliselt või täielikult andmesubjekti teavitamist, nagu on sätestatud lõikes 2, dokumenteerib ja registreerib komisjon piirangu põhjused kooskõlas artikliga 17.

Artikkel 15

Andmesubjekti õigus andmetega tutvuda, neid kustutada ja nende töötlemist piirata

1.   Kui komisjon piirab täielikult või osaliselt määruse (EL) 2018/1725 artiklites 17, 19 ja 20 osutatud õigust andmetega tutvuda, neid kustutada ja nende töötlemist piirata, teavitab ta andmesubjekti oma vastuses viimase taotlusele andmetega tutvuda, need kustutada või nende töötlemist piirata, piirangu kohaldamisest ja selle peamistest põhjustest ning võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.

2.   Lõikes 1 osutatud piirangu põhjustest teavitamise võib edasi lükata, teabe esitamata jätta või selle esitamisest keelduda seni, kui teabe esitamine kahjustaks piirangu eesmärki.

3.   Komisjon dokumenteerib ja registreerib piirangu põhjused kooskõlas artikliga 17.

4.   Kui õigust andmetega tutvuda on osaliselt või täielikult piiratud, võib andmesubjekt kasutada oma õigust andmetega tutvuda Euroopa Andmekaitseinspektori vahendusel kooskõlas määruse (EL) 2018/1725 artikli 25 lõigetega 6, 7 ja 8.

Artikkel 16

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

Kui komisjon piirab andmesubjekti teavitamist isikuandmetega seotud rikkumistest, nagu on osutatud määruse (EL) 2018/1725 artiklis 35, dokumenteerib ja registreerib ta piirangu põhjused kooskõlas käesoleva otsuse artikliga 17.

Artikkel 17

Piirangute dokumenteerimine ja registreerimine

1.   Komisjon dokumenteerib iga käesoleva otsuse alusel kohaldatava piirangu põhjused, sealhulgas juhtumipõhise hinnangu selle piirangu vajalikkusele ja proportsionaalsusele, võttes arvesse määruse (EL) 2018/1725 artikli 25 lõikes 2 esitatud asjakohaseid sätteid.

Selleks tuleb dokumenteerida, kuidas õiguse kasutamine ohustaks käesoleva otsuse kohaste andmekaitseametniku ülesannete või artikli 13 lõike 2 või 3 kohaselt kohaldatavate piirangute eesmärgi täitmist ning kuidas see kahjustaks teiste andmesubjektide õigusi ja vabadusi.

2.   Dokumenteeritud teave ning vajaduse korral ka asjakohaseid faktilisi ja õiguslikke asjaolusid sisaldavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile.

Artikkel 18

Piirangute kestus

1.   Artiklites 14, 15 ja 16 osutatud piiranguid kohaldatakse seni, kuni kehtivad nende kohaldamise põhjused.

2.   Kui artiklis 14 või 16 osutatud piirangu põhjus enam ei kehti, tühistab komisjon selle piirangu ja teatab andmesubjektile piirangu põhjused. Samal ajal teavitab komisjon andmesubjekti võimalusest esitada ükskõik millal kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.

3.   Komisjon vaatab artiklites 14 ja 16 osutatud piirangute kohaldamise läbi iga kuue kuu tagant pärast nende kehtestamist ning igal juhul siis, kui asjaomane andmekaitseametniku tegevus lõpetatakse. Pärast seda hindab komisjon piirangute säilitamise või pikendamise vajalikkust kord aastas.

Artikkel 19

Andmekaitseametniku tehtav läbivaatamine

1.   Kui muud komisjoni talitused leiavad, et andmesubjekti õigusi tuleks kooskõlas käesoleva otsusega piirata, teavitavad nad sellest andmekaitseametnikku. Komisjoni talitused annavad andmekaitseametnikule ka juurdepääsu asjakohasele teabele ning võimalikele faktilisi ja õiguslikke asjaolusid sisaldavatele dokumentidele.

2.   Andmekaitseametnik võib taotleda, et asjaomase komisjoni talituse delegeeritud vastutav töötleja vaataks piirangute kohaldamise läbi. Asjaomase komisjoni talituse delegeeritud vastutav töötleja teavitab andmekaitseametnikku taotluse kohaselt korraldatud läbivaatamise tulemustest kirjalikult.

6. PEATÜKK

LÕPPSÄTTED

Artikkel 20

Kehtetuks tunnistamine

Otsus 2008/597/EÜ tunnistatakse kehtetuks.

Artikkel 21

Jõustumine

Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Brüssel, 3. juuli 2020

Komisjoni nimel

eesistuja

Ursula VON DER LEYEN


(1)  ELT L 295, 21.11.2018, lk 39.

(2)  SEC(2019) 900/2.

(3)  Komisjoni 3. juuni 2008. aasta otsus 2008/597/EÜ, millega võetakse vastu andmekaitseametnikuga seotud rakenduseeskirjad vastavalt määruse (EÜ) nr 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta) artikli 24 lõikele 8 (ELT L 193, 22.7.2008, lk 7).

(4)  Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(5)  Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43).

(6)  Euroopa Parlamendi ja nõukogu 11. mai 2016. aasta määrus (EL) 2016/794, mis käsitleb Euroopa Liidu Õiguskaitsekoostöö Ametit (Europol) ning millega asendatakse ja tunnistatakse kehtetuks nõukogu otsused 2009/371/JSK, 2009/934/JSK, 2009/935/JSK, 2009/936/JSK ja 2009/968/JSK (ELT L 135, 24.5.2016, lk 53).

(7)  Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1).


Top

avalikgif