Lihtotsing

1.   Käesoleva otsusega kehtestatakse eeskirjad ja menetlused, mille kohaselt komisjon kohaldab määrust (EL) 2018/1725, ning komisjoni andmekaitseametnikuga seotud rakenduseeskirjad.

2.   Käesolevas otsuses sätestatakse ka eeskirjad, mida komisjon kohaldab andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmise raames seoses andmesubjektide teavitamisega nende isikuandmete töötlemisest vastavalt määruse (EL) 2018/1725 artiklitele 14, 15 ja 16.

3.   Käesolevas otsuses sätestatakse seoses andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannetega ka tingimused, mille korral komisjon võib kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, g ja h piirata kõnealuse määruse artiklite 4, 14–17, 19, 20 ja 35 kohaldamist.

4.   Käesolevat otsust kohaldatakse isikuandmete töötlemise suhtes, mida komisjon teeb määruse (EL) 2018/1725 artiklis 45 osutatud andmekaitseametniku ülesannete, eelkõige järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmiseks või nendega seoses.

1.   Andmekaitseametnik aitab luua komisjonis isikuandmete kaitse kultuuri, mis põhineb riskihindamisel ja vastutusel.

2.   Andmekaitseametnik teeb komisonis määruse (EL) 2018/1725 rakendamise järelevalvet, kehtestades muu hulgas igal aastal kontrollide ja auditite tööprogrammi ning viies selle ellu.

3.   Andmekaitseametnik korraldab andmekaitsekoordinaatorite korrapäraseid kohtumisi ja on nende eesistuja.

4.   Andmekaitseametnik registreerib komisjoni töötlemistoimingud keskregistris ja teeb selle üldsusele kättesaadavaks.

Andmekaitseametnik peab ka komisjonisisest isikuandmetega seotud rikkumiste registrit määruse (EL) 2018/1725 artikli 3 punkti 16 tähenduses.

5.   Andmekaitseametnik teeb oma ülesannete täitmisel koostööd muude liidu institutsioonide ja organite nimetatud andmekaitseametnikega.

6.   Andmekaitseametnikku peetakse tema töötlemistoimingutega seoses määrusest (EL) 2018/1725 tulenevate andmesubjektide õiguste kohta tehtavate üksikotsuste puhul delegeeritud vastutavaks töötlejaks.

1.   Delegeeritud vastutav töötleja nimetab oma vastutusalasse kuuluvas peadirektoraadis või talituses ametisse andmekaitsekoordinaatori ja vajaduse korral ühe või mitu andmekaitsekoordinaatori abi. Kaks või enam delegeeritud vastutavat töötlejat võivad sidususe või tõhususe kaalutlustel otsustada nimetada ühise andmekaitsekoordinaatori või andmekaitsekoordinaatori abi või jagada juba ametisse nimetatud andmekaitsekoordinaatori või andmekaitsekoordinaatori abi teenuseid. Asjaomased delegeeritud vastutavad töötlejad dokumenteerivad sellekohase kokkuleppe kirjalikult.

2.   Peadirektoraadi või talituse nimetatud andmekaitsekoordinaatori pädevusalasse kuulub ka selle peadirektoraadi või talituse eest vastutav kantselei. Peasekretariaadi jaoks ametisse nimetatud andmekaitsekoordinaatori pädevusalasse kuulub presidendi kantselei ning kantseleid, mille puhul see peadirektoraat on ainus tugiteenistus. Kui kabinet või kantselei vastutab mitme peadirektoraadi või talituse eest, siis otsustavad delegeeritud vastutavad töötlejad, milliste nende andmekaitsekoordinaatorite pädevusalasse see kabinet või kantselei kuulub.

3.   Alati, kui ametisse nimetatakse uus andmekaitsekoordinaator, teavitatakse sellest andmekaitseametnikku, asjaomase peadirektoraadi või talituse töötajaid ning asjaomast kantseleid.

Uued ametisse nimetatud andmekaitsekoordinaatorid läbivad ametisse nimetamisest kuue kuu jooksul väljaõppe, et omandada andmekaitsekoordinaatori rolli jaoks vajalik pädevus. Sellest väljaõppe nõudest vabastatakse andmekaitsekoordinaatorid, kes on tegutsenud varem andmekaitsekoordinaatorina teises peadirektoraadis või talituses või kes on töötanud kahe aasta jooksul enne andmekaitsekoordinaatorina ametisse nimetamist andmekaitseametniku alluvuses.

4.   Delegeeritud vastutavad töötlejad võtavad kasutusele asjakohase korra tagamaks, et andmekaitsekoordinaator on nõuetekohaselt ja õigel ajal kaasatud kõikidesse küsimustesse, mis on seotud andmekaitsega vastavas peadirektoraadis või talituses, ning et andmekaitsekoordinaatori esitatud arvamused tehakse andmekaitsekoordinaatori palvel viivitamata teatavaks delegeeritud vastutavale töötlejale.

5.   Andmekaitsekoordinaatorid valitakse lähtuvalt nende teadmistest ja kogemustest asjaomase peadirektoraadi või talituse toimimise valdkonnas, motiveeritusest asjaomaseid ülesandeid täita, andmekaitsega seotud pädevustest, teabesüsteemide põhimõtete mõistmisest ja suhtlusoskusest.

6.   Andmekaitsekoordinaatori ülesandeid võidakse kombineerida muude ülesannetega. Delegeeritud vastutav töötleja tagab, et need ülesanded sobivad kokku andmekaitsekoordinaatori ülesannetega.

7.   Andmekaitsekoordinaatori ülesanded on osa iga andmekaitsekoordinaatoriks nimetatud töötaja töökirjeldusest. Nende vastutusvaldkondadele ja saavutustele osutatakse iga-aastases hindamisaruandes.

8.   Andmekaitsekoordinaator tegutseb delegeeritud vastutava töötleja, tegeliku vastutava töötleja, volitatud töötleja ja andmekaitseametniku vahelise kontaktisikuna.

9.   Andmekaitsekoordinaatoritel on õigus hankida oma peadirektoraadis või talituses mis tahes teavet, mis on vajalik andmekaitsekoordinaatori ülesannete täitmiseks. Andmekaitsekoordinaatorid tutvuvad isikuandmetega ainult juhul, kui see on vajalik nende ülesannete täitmiseks.

10.   Andmekaitsekoordinaatorid peavad peadirektoraadile, talitusele, kabinetile või kantseleile esitatud andmesubjektide taotluste registrit ja teevad nende kohta anonüümitud statistikat, märkides ära taotluste arvu ning täielikult või osaliselt tagasi lükatud taotluste arvu. Andmekaitseametnik määrab kindlaks taotluste kategooriad, mille kohta statistikat tehakse. Andmekaitseametnik võib määrata kindlaks lisateabe, mis tuleb esitada.

Andmekaitsekoordinaator teeb peadirektoraadi, talituse, kabineti või kantselei hallatud isikuandmetega seotud rikkumiste anonüümitud statistikat, märkides isikuandmetega seotud rikkumiste koguarvu, Euroopa Andmekaitseinspektorile teada antud isikuandmetega seotud rikkumiste arvu ja andmesubjektidele teada antud isikuandmetega seotud rikkumiste arvu.

11.   Andmekaitsekoordinaator suurendab oma peadirektoraadis või talituses teadlikkust andmekaitsega seotud rikkumistest ning nõustab ja abistab delegeeritud vastutavaid töötlejaid ja tegelikke vastutavaid töötlejad nende kohustuste täitmisel, eelkõige seoses:

12.   Andmekaitsekoordinaatorid osalevad andmekaitsekoordinaatorite kohtumistel ja vajaduse korral nende töörühmades.

13.   Andmekaitseametnik väljastab täiendavaid suuniseid andmekaitsekoordinaatori vastutusvaldkondade ja ülesannete kohta.

1.   Delegeeritud vastutavad töötlejad tegutsevad komisjoni nimel vastutava töötlejana määruse (EL) 2018/1725 kohaldamise otstarbel.

2.   Delegeeritud vastutavad töötlejad ja tegelikud vastutavad töötlejad:

3.   Delegeeritud vastutav töötleja:

Punktis b osutatud korra alusel määratakse kindlaks kõikide osapoolte vastutus seoses nende andmekaitsekohustuste täitmisega. Eelkõige tuleb täpsustada delegeeritud vastutav töötleja, kes määrab kindlaks töötlemistoimingu vahendi ja eesmärgi ning töötlemistoimingu tegeliku vastutava töötleja, ning vajaduse korral need isikud ja/või üksused, kes abistavad tegelikku vastutavat töötlejat, esitades muu hulgas teavet andmetega seotud rikkumiste kohta või andmesubjektide õiguste kasutamisega seotud küsimustes.

4.   Tegelik vastutav töötleja:

1.   Andmekaitseametnik tagab, et komisjoni töötlemistoimingute register on juurdepääsetav nii komisjoni sisevõrgus asuva andmekaitseametniku veebisaidi kui ka Europa veebisaidil asuva andmekaitseametniku veebisaidi kaudu.

2.   Delegeeritud vastutavad töötlejad esitavad andmekaitseametnikule andmekaitsekoordinaatori kaudu teabe oma töötlemistoimingute kohta, kasutades komisjoni veebipõhist teatamissüsteemi, mis on kättesaadav komisjoni sisevõrgus asuva andmekaitseametniku veebisaidi kaudu.

1.   Artikli 6 punktis e nimetatud uurimise taotlused edastatakse andmekaitseametnikule kirjalikult. Andmekaitseametnik saadab 15 tööpäeva jooksul pärast taotluse laekumist uurimise tellinud isikule kättesaamise kinnituse ning kontrollib, kas taotlust tuleb selle konfidentsiaalsuse tagamiseks käsitada konfidentsiaalsena, välja arvatud juhul, kui asjaomane andmesubjekt nõustub ühemõtteliselt taotluse muul viisil menetlemisega. Juhul kui uurimise taotlemise õigust on ilmselgelt kuritarvitatud, ei ole andmekaitseametnik kohustatud taotlejale vastama.

2.   Andmekaitseametnik küsib asjakohase kirjaliku seletuse delegeeritud vastutavalt töötlejalt, kes vastutab kõnealuse andmetöötlustoimingu eest. Delegeeritud vastutav töötleja esitab oma vastuse andmekaitseametnikule 15 tööpäeva jooksul. Andmekaitseametnik võib taotleda delegeeritud vastutavalt töötlejalt, volitatud töötlejalt või muudelt osaliselt lisateavet 15 tööpäeva jooksul.

3.   Andmekaitseametnik annab uurimise taotlejale aru kolme kuu jooksul pärast taotluse saamist. Nimetatud tähtaja võib peatada, kuni andmekaitseametnik on saanud kogu vajaliku teabe, mida ta on küsinud.

4.   Keegi ei tohi kannatada seepärast, et ta juhtis andmekaitseametniku tähelepanu väidetavale määruse (EL) 2018/1725 rikkumisele.

1.   Andmekaitseametnik on haldusotstarbel seotud peasekretariaadiga. Sellest tulenevalt osaleb andmekaitseametnik peasekretariaadi aasta juhtimisplaani ja esialgse eelarveprojekti koostamises.

2.   Andmekaitseametnik on andmekaitseasutuse töötajate hindaja. Peasekretäri asetäitja on hinnangu kinnitaja. Andmekaitseametnik osaleb vajaduse korral peasekretariaadi juhtimise koordineerimisel.

1.   Kui komisjon täidab oma ülesandeid, mis puudutavad määruse (EL) 2018/1725 kohaseid andmesubjektide õigusi, kaalub ta, kas mõni selles määruses sätestatud erand kuulub kohaldamisele.

2.   Kui käesoleva otsuse artiklitest 14–18 ei tulene teisiti, võib komisjon kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, g ja h piirata kõnealuse määruse artiklite 14–17, 19, 20 ja 35 ning artikli 4 lõike 1 punktis a sätestatud läbipaistvuse põhimõtte kohaldamist, kui selle sätted vastavad määruse (EL) 2018/1725 artiklites 14–17, 19 ja 20 ette nähtud õigustele ja kohustustele ning kui nende õiguste kasutamine ja kohustuste täitmine ohustaks andmekaitseametniku ülesandeid, paljastaks muu hulgas tema uurimis- ja auditivahendid ning -meetodid või kahjustaks teiste andmesubjektide õigusi ja vabadusi.

3.   Kui käesoleva otsuse artiklitest 14–18 ei tulene teisiti, võib komisjon piirata käesoleva artikli lõikes 2 osutatud õigusi ja kohustusi isikuandmete puhul, mille andmekaitseametnik on saanud komisoni talitustelt või muudelt liidu institutsioonidelt ja organitelt. Komisjon võib seda teha, kui nende õiguste kasutamist ja kohustuste täitmist võiksid piirata kõnealused komisjoni talitused, liidu institutsioonid ja organid määruse (EL) 2018/1725 artiklis 25 osutatud muude õigusaktide alusel või kooskõlas selle määruse IX peatükiga või kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/794 (6) või nõukogu määrusega (EL) 2017/1939; (7)

Enne piirangute kohaldamist esimeses lõigus osutatud asjaoludel konsulteerib komisjon asjaomaste liidu institutsioonide või organitega, välja arvatud juhul, kui komisjoni jaoks on selge, et piirangu kohaldamine on ette nähtud mõne selles lõigus osutatud õigusaktiga.

4.   Käesoleva artikli lõikes 2 osutatud õiguste ja kohustuste piiramine peab olema vajalik ja proportsionaalne, võttes arvesse ohtu andmesubjektide õigustele ja vabadustele.

1.   Komisjon avaldab oma veebisaidil andmekaitset käsitlevad teated, millega teavitatakse kõiki andmesubjekte andmekaitseametniku ülesannetest, millega kaasneb nende isikuandmete töötlemine.

2.   Komisjon teavitab asjakohasel viisil individuaalselt kõiki füüsilisi isikuid, keda ta peab andmekaitseametnike ülesannetega seotud isikuks või teabe esitajaks.

3.   Kui komisjon piirab osaliselt või täielikult andmesubjekti teavitamist, nagu on sätestatud lõikes 2, dokumenteerib ja registreerib komisjon piirangu põhjused kooskõlas artikliga 17.

1.   Kui komisjon piirab täielikult või osaliselt määruse (EL) 2018/1725 artiklites 17, 19 ja 20 osutatud õigust andmetega tutvuda, neid kustutada ja nende töötlemist piirata, teavitab ta andmesubjekti oma vastuses viimase taotlusele andmetega tutvuda, need kustutada või nende töötlemist piirata, piirangu kohaldamisest ja selle peamistest põhjustest ning võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.

2.   Lõikes 1 osutatud piirangu põhjustest teavitamise võib edasi lükata, teabe esitamata jätta või selle esitamisest keelduda seni, kui teabe esitamine kahjustaks piirangu eesmärki.

3.   Komisjon dokumenteerib ja registreerib piirangu põhjused kooskõlas artikliga 17.

4.   Kui õigust andmetega tutvuda on osaliselt või täielikult piiratud, võib andmesubjekt kasutada oma õigust andmetega tutvuda Euroopa Andmekaitseinspektori vahendusel kooskõlas määruse (EL) 2018/1725 artikli 25 lõigetega 6, 7 ja 8.

1.   Komisjon dokumenteerib iga käesoleva otsuse alusel kohaldatava piirangu põhjused, sealhulgas juhtumipõhise hinnangu selle piirangu vajalikkusele ja proportsionaalsusele, võttes arvesse määruse (EL) 2018/1725 artikli 25 lõikes 2 esitatud asjakohaseid sätteid.

Selleks tuleb dokumenteerida, kuidas õiguse kasutamine ohustaks käesoleva otsuse kohaste andmekaitseametniku ülesannete või artikli 13 lõike 2 või 3 kohaselt kohaldatavate piirangute eesmärgi täitmist ning kuidas see kahjustaks teiste andmesubjektide õigusi ja vabadusi.

2.   Dokumenteeritud teave ning vajaduse korral ka asjakohaseid faktilisi ja õiguslikke asjaolusid sisaldavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile.

1.   Artiklites 14, 15 ja 16 osutatud piiranguid kohaldatakse seni, kuni kehtivad nende kohaldamise põhjused.

2.   Kui artiklis 14 või 16 osutatud piirangu põhjus enam ei kehti, tühistab komisjon selle piirangu ja teatab andmesubjektile piirangu põhjused. Samal ajal teavitab komisjon andmesubjekti võimalusest esitada ükskõik millal kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.

3.   Komisjon vaatab artiklites 14 ja 16 osutatud piirangute kohaldamise läbi iga kuue kuu tagant pärast nende kehtestamist ning igal juhul siis, kui asjaomane andmekaitseametniku tegevus lõpetatakse. Pärast seda hindab komisjon piirangute säilitamise või pikendamise vajalikkust kord aastas.

1.   Kui muud komisjoni talitused leiavad, et andmesubjekti õigusi tuleks kooskõlas käesoleva otsusega piirata, teavitavad nad sellest andmekaitseametnikku. Komisjoni talitused annavad andmekaitseametnikule ka juurdepääsu asjakohasele teabele ning võimalikele faktilisi ja õiguslikke asjaolusid sisaldavatele dokumentidele.

2.   Andmekaitseametnik võib taotleda, et asjaomase komisjoni talituse delegeeritud vastutav töötleja vaataks piirangute kohaldamise läbi. Asjaomase komisjoni talituse delegeeritud vastutav töötleja teavitab andmekaitseametnikku taotluse kohaselt korraldatud läbivaatamise tulemustest kirjalikult.