Logi sisse ☰ | Lihtotsing
KOMISJONI OTSUS (EL) 2020/969, 3. juuli 2020, millega kehtestatakse andmekaitseametnikku, andmesubjektide õiguste piiranguid ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 kohaldamist käsitlevad rakenduseeskirjad ning tunnistatakse kehtetuks komisjoni otsus 2008/597/EÜ EUROOPA KOMISJON, võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 249 lõiget 1, võttes arvesse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (1) eriti selle artikli 45 lõiget 3, ning arvestades järgmist:
ON VASTU VÕTNUD KÄESOLEVA OTSUSE: 1. PEATÜKK ÜLDSÄTTED Artikkel 1 Reguleerimisese ja kohaldamisala 1. Käesoleva otsusega kehtestatakse eeskirjad ja menetlused, mille kohaselt komisjon kohaldab määrust (EL) 2018/1725, ning komisjoni andmekaitseametnikuga seotud rakenduseeskirjad. 2. Käesolevas otsuses sätestatakse ka eeskirjad, mida komisjon kohaldab andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmise raames seoses andmesubjektide teavitamisega nende isikuandmete töötlemisest vastavalt määruse (EL) 2018/1725 artiklitele 14, 15 ja 16. 3. Käesolevas otsuses sätestatakse seoses andmekaitseametniku järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannetega ka tingimused, mille korral komisjon võib kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, g ja h piirata kõnealuse määruse artiklite 4, 14–17, 19, 20 ja 35 kohaldamist. 4. Käesolevat otsust kohaldatakse isikuandmete töötlemise suhtes, mida komisjon teeb määruse (EL) 2018/1725 artiklis 45 osutatud andmekaitseametniku ülesannete, eelkõige järelevalve-, uurimis-, auditi- ja konsultatsiooniülesannete täitmiseks või nendega seoses. Artikkel 2 Vastutus Käesoleva otsuse kohaldamisel käsitatakse komisjoni vastutava töötlejana määruse (EL) 2018/1725 artikli 3 punkti 8 tähenduses. Artikkel 3 Mõisted Käesolevas otsuses kasutatakse järgmisi mõisteid:
2. PEATÜKK ANDMEKAITSEAMETNIK JA ANDMEKAITSEKOORDINAATOR Artikkel 4 Ametisse nimetamine ja ametikoht Andmekaitseametnik valitakse komisjoni töötajate hulgast tema kutseoskuste (sh põhjalikud teadmised komisjoni talitustest, nende struktuurist ning nende halduseeskirjadest ja -menetlustest) alusel. Artikkel 5 Ülesanded ja kohustused 1. Andmekaitseametnik aitab luua komisjonis isikuandmete kaitse kultuuri, mis põhineb riskihindamisel ja vastutusel. 2. Andmekaitseametnik teeb komisonis määruse (EL) 2018/1725 rakendamise järelevalvet, kehtestades muu hulgas igal aastal kontrollide ja auditite tööprogrammi ning viies selle ellu. 3. Andmekaitseametnik korraldab andmekaitsekoordinaatorite korrapäraseid kohtumisi ja on nende eesistuja. 4. Andmekaitseametnik registreerib komisjoni töötlemistoimingud keskregistris ja teeb selle üldsusele kättesaadavaks. Andmekaitseametnik peab ka komisjonisisest isikuandmetega seotud rikkumiste registrit määruse (EL) 2018/1725 artikli 3 punkti 16 tähenduses. 5. Andmekaitseametnik teeb oma ülesannete täitmisel koostööd muude liidu institutsioonide ja organite nimetatud andmekaitseametnikega. 6. Andmekaitseametnikku peetakse tema töötlemistoimingutega seoses määrusest (EL) 2018/1725 tulenevate andmesubjektide õiguste kohta tehtavate üksikotsuste puhul delegeeritud vastutavaks töötlejaks. Artikkel 6 Volitused Andmekaitseametniku ülesandeid täites:
Artikkel 7 Andmekaitsekoordinaatorid 1. Delegeeritud vastutav töötleja nimetab oma vastutusalasse kuuluvas peadirektoraadis või talituses ametisse andmekaitsekoordinaatori ja vajaduse korral ühe või mitu andmekaitsekoordinaatori abi. Kaks või enam delegeeritud vastutavat töötlejat võivad sidususe või tõhususe kaalutlustel otsustada nimetada ühise andmekaitsekoordinaatori või andmekaitsekoordinaatori abi või jagada juba ametisse nimetatud andmekaitsekoordinaatori või andmekaitsekoordinaatori abi teenuseid. Asjaomased delegeeritud vastutavad töötlejad dokumenteerivad sellekohase kokkuleppe kirjalikult. 2. Peadirektoraadi või talituse nimetatud andmekaitsekoordinaatori pädevusalasse kuulub ka selle peadirektoraadi või talituse eest vastutav kantselei. Peasekretariaadi jaoks ametisse nimetatud andmekaitsekoordinaatori pädevusalasse kuulub presidendi kantselei ning kantseleid, mille puhul see peadirektoraat on ainus tugiteenistus. Kui kabinet või kantselei vastutab mitme peadirektoraadi või talituse eest, siis otsustavad delegeeritud vastutavad töötlejad, milliste nende andmekaitsekoordinaatorite pädevusalasse see kabinet või kantselei kuulub. 3. Alati, kui ametisse nimetatakse uus andmekaitsekoordinaator, teavitatakse sellest andmekaitseametnikku, asjaomase peadirektoraadi või talituse töötajaid ning asjaomast kantseleid. Uued ametisse nimetatud andmekaitsekoordinaatorid läbivad ametisse nimetamisest kuue kuu jooksul väljaõppe, et omandada andmekaitsekoordinaatori rolli jaoks vajalik pädevus. Sellest väljaõppe nõudest vabastatakse andmekaitsekoordinaatorid, kes on tegutsenud varem andmekaitsekoordinaatorina teises peadirektoraadis või talituses või kes on töötanud kahe aasta jooksul enne andmekaitsekoordinaatorina ametisse nimetamist andmekaitseametniku alluvuses. 4. Delegeeritud vastutavad töötlejad võtavad kasutusele asjakohase korra tagamaks, et andmekaitsekoordinaator on nõuetekohaselt ja õigel ajal kaasatud kõikidesse küsimustesse, mis on seotud andmekaitsega vastavas peadirektoraadis või talituses, ning et andmekaitsekoordinaatori esitatud arvamused tehakse andmekaitsekoordinaatori palvel viivitamata teatavaks delegeeritud vastutavale töötlejale. 5. Andmekaitsekoordinaatorid valitakse lähtuvalt nende teadmistest ja kogemustest asjaomase peadirektoraadi või talituse toimimise valdkonnas, motiveeritusest asjaomaseid ülesandeid täita, andmekaitsega seotud pädevustest, teabesüsteemide põhimõtete mõistmisest ja suhtlusoskusest. 6. Andmekaitsekoordinaatori ülesandeid võidakse kombineerida muude ülesannetega. Delegeeritud vastutav töötleja tagab, et need ülesanded sobivad kokku andmekaitsekoordinaatori ülesannetega. 7. Andmekaitsekoordinaatori ülesanded on osa iga andmekaitsekoordinaatoriks nimetatud töötaja töökirjeldusest. Nende vastutusvaldkondadele ja saavutustele osutatakse iga-aastases hindamisaruandes. 8. Andmekaitsekoordinaator tegutseb delegeeritud vastutava töötleja, tegeliku vastutava töötleja, volitatud töötleja ja andmekaitseametniku vahelise kontaktisikuna. 9. Andmekaitsekoordinaatoritel on õigus hankida oma peadirektoraadis või talituses mis tahes teavet, mis on vajalik andmekaitsekoordinaatori ülesannete täitmiseks. Andmekaitsekoordinaatorid tutvuvad isikuandmetega ainult juhul, kui see on vajalik nende ülesannete täitmiseks. 10. Andmekaitsekoordinaatorid peavad peadirektoraadile, talitusele, kabinetile või kantseleile esitatud andmesubjektide taotluste registrit ja teevad nende kohta anonüümitud statistikat, märkides ära taotluste arvu ning täielikult või osaliselt tagasi lükatud taotluste arvu. Andmekaitseametnik määrab kindlaks taotluste kategooriad, mille kohta statistikat tehakse. Andmekaitseametnik võib määrata kindlaks lisateabe, mis tuleb esitada. Andmekaitsekoordinaator teeb peadirektoraadi, talituse, kabineti või kantselei hallatud isikuandmetega seotud rikkumiste anonüümitud statistikat, märkides isikuandmetega seotud rikkumiste koguarvu, Euroopa Andmekaitseinspektorile teada antud isikuandmetega seotud rikkumiste arvu ja andmesubjektidele teada antud isikuandmetega seotud rikkumiste arvu. 11. Andmekaitsekoordinaator suurendab oma peadirektoraadis või talituses teadlikkust andmekaitsega seotud rikkumistest ning nõustab ja abistab delegeeritud vastutavaid töötlejaid ja tegelikke vastutavaid töötlejad nende kohustuste täitmisel, eelkõige seoses:
12. Andmekaitsekoordinaatorid osalevad andmekaitsekoordinaatorite kohtumistel ja vajaduse korral nende töörühmades. 13. Andmekaitseametnik väljastab täiendavaid suuniseid andmekaitsekoordinaatori vastutusvaldkondade ja ülesannete kohta. 3. PEATÜKK VASTUTAVAD TÖÖTLEJAD Artikkel 8 Delegeeritud vastutavad töötlejad ja tegelikud vastutavad töötlejad 1. Delegeeritud vastutavad töötlejad tegutsevad komisjoni nimel vastutava töötlejana määruse (EL) 2018/1725 kohaldamise otstarbel. 2. Delegeeritud vastutavad töötlejad ja tegelikud vastutavad töötlejad:
3. Delegeeritud vastutav töötleja:
Punktis b osutatud korra alusel määratakse kindlaks kõikide osapoolte vastutus seoses nende andmekaitsekohustuste täitmisega. Eelkõige tuleb täpsustada delegeeritud vastutav töötleja, kes määrab kindlaks töötlemistoimingu vahendi ja eesmärgi ning töötlemistoimingu tegeliku vastutava töötleja, ning vajaduse korral need isikud ja/või üksused, kes abistavad tegelikku vastutavat töötlejat, esitades muu hulgas teavet andmetega seotud rikkumiste kohta või andmesubjektide õiguste kasutamisega seotud küsimustes. 4. Tegelik vastutav töötleja:
4. PEATÜKK MUUD KOHUSTUSED JA MENETLUSED Artikkel 9 Teave Delegeeritud vastutav töötleja teavitab koostöös andmekaitsekoordinaatoriga andmekaitseametnikku, kui ta konsulteerib Euroopa Andmekaitseinspektoriga võib teavitab teada kooskõlas määrusega (EL) 2018/1725 ja eelkõige selle artiklitega 40 ja 41. Lisaks sellele teavitab delegeeritud vastutav töötleja, tegelik vastutav töötleja või andmekaitsekoordinaator andmekaitseametnikku mis tahes muust otsesest suhtlusest Euroopa Andmekaitseinspektoriga seoses määruse (EL) 2018/1725 rakendamisega. Artikkel 10 Register 1. Andmekaitseametnik tagab, et komisjoni töötlemistoimingute register on juurdepääsetav nii komisjoni sisevõrgus asuva andmekaitseametniku veebisaidi kui ka Europa veebisaidil asuva andmekaitseametniku veebisaidi kaudu. 2. Delegeeritud vastutavad töötlejad esitavad andmekaitseametnikule andmekaitsekoordinaatori kaudu teabe oma töötlemistoimingute kohta, kasutades komisjoni veebipõhist teatamissüsteemi, mis on kättesaadav komisjoni sisevõrgus asuva andmekaitseametniku veebisaidi kaudu. Artikkel 11 Uurimismenetlus 1. Artikli 6 punktis e nimetatud uurimise taotlused edastatakse andmekaitseametnikule kirjalikult. Andmekaitseametnik saadab 15 tööpäeva jooksul pärast taotluse laekumist uurimise tellinud isikule kättesaamise kinnituse ning kontrollib, kas taotlust tuleb selle konfidentsiaalsuse tagamiseks käsitada konfidentsiaalsena, välja arvatud juhul, kui asjaomane andmesubjekt nõustub ühemõtteliselt taotluse muul viisil menetlemisega. Juhul kui uurimise taotlemise õigust on ilmselgelt kuritarvitatud, ei ole andmekaitseametnik kohustatud taotlejale vastama. 2. Andmekaitseametnik küsib asjakohase kirjaliku seletuse delegeeritud vastutavalt töötlejalt, kes vastutab kõnealuse andmetöötlustoimingu eest. Delegeeritud vastutav töötleja esitab oma vastuse andmekaitseametnikule 15 tööpäeva jooksul. Andmekaitseametnik võib taotleda delegeeritud vastutavalt töötlejalt, volitatud töötlejalt või muudelt osaliselt lisateavet 15 tööpäeva jooksul. 3. Andmekaitseametnik annab uurimise taotlejale aru kolme kuu jooksul pärast taotluse saamist. Nimetatud tähtaja võib peatada, kuni andmekaitseametnik on saanud kogu vajaliku teabe, mida ta on küsinud. 4. Keegi ei tohi kannatada seepärast, et ta juhtis andmekaitseametniku tähelepanu väidetavale määruse (EL) 2018/1725 rikkumisele. Artikkel 12 Haldus ja juhtimine 1. Andmekaitseametnik on haldusotstarbel seotud peasekretariaadiga. Sellest tulenevalt osaleb andmekaitseametnik peasekretariaadi aasta juhtimisplaani ja esialgse eelarveprojekti koostamises. 2. Andmekaitseametnik on andmekaitseasutuse töötajate hindaja. Peasekretäri asetäitja on hinnangu kinnitaja. Andmekaitseametnik osaleb vajaduse korral peasekretariaadi juhtimise koordineerimisel. 5. PEATÜKK ANDMESUBJEKTIDE ÕIGUSTE SUHTES KOHALDATAVAD PIIRANGUD Artikkel 13 Kohaldatavad erandid ja piirangud 1. Kui komisjon täidab oma ülesandeid, mis puudutavad määruse (EL) 2018/1725 kohaseid andmesubjektide õigusi, kaalub ta, kas mõni selles määruses sätestatud erand kuulub kohaldamisele. 2. Kui käesoleva otsuse artiklitest 14–18 ei tulene teisiti, võib komisjon kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, g ja h piirata kõnealuse määruse artiklite 14–17, 19, 20 ja 35 ning artikli 4 lõike 1 punktis a sätestatud läbipaistvuse põhimõtte kohaldamist, kui selle sätted vastavad määruse (EL) 2018/1725 artiklites 14–17, 19 ja 20 ette nähtud õigustele ja kohustustele ning kui nende õiguste kasutamine ja kohustuste täitmine ohustaks andmekaitseametniku ülesandeid, paljastaks muu hulgas tema uurimis- ja auditivahendid ning -meetodid või kahjustaks teiste andmesubjektide õigusi ja vabadusi. 3. Kui käesoleva otsuse artiklitest 14–18 ei tulene teisiti, võib komisjon piirata käesoleva artikli lõikes 2 osutatud õigusi ja kohustusi isikuandmete puhul, mille andmekaitseametnik on saanud komisoni talitustelt või muudelt liidu institutsioonidelt ja organitelt. Komisjon võib seda teha, kui nende õiguste kasutamist ja kohustuste täitmist võiksid piirata kõnealused komisjoni talitused, liidu institutsioonid ja organid määruse (EL) 2018/1725 artiklis 25 osutatud muude õigusaktide alusel või kooskõlas selle määruse IX peatükiga või kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/794 (6) või nõukogu määrusega (EL) 2017/1939; (7) Enne piirangute kohaldamist esimeses lõigus osutatud asjaoludel konsulteerib komisjon asjaomaste liidu institutsioonide või organitega, välja arvatud juhul, kui komisjoni jaoks on selge, et piirangu kohaldamine on ette nähtud mõne selles lõigus osutatud õigusaktiga. 4. Käesoleva artikli lõikes 2 osutatud õiguste ja kohustuste piiramine peab olema vajalik ja proportsionaalne, võttes arvesse ohtu andmesubjektide õigustele ja vabadustele. Artikkel 14 Andmesubjektide teavitamine 1. Komisjon avaldab oma veebisaidil andmekaitset käsitlevad teated, millega teavitatakse kõiki andmesubjekte andmekaitseametniku ülesannetest, millega kaasneb nende isikuandmete töötlemine. 2. Komisjon teavitab asjakohasel viisil individuaalselt kõiki füüsilisi isikuid, keda ta peab andmekaitseametnike ülesannetega seotud isikuks või teabe esitajaks. 3. Kui komisjon piirab osaliselt või täielikult andmesubjekti teavitamist, nagu on sätestatud lõikes 2, dokumenteerib ja registreerib komisjon piirangu põhjused kooskõlas artikliga 17. Artikkel 15 Andmesubjekti õigus andmetega tutvuda, neid kustutada ja nende töötlemist piirata 1. Kui komisjon piirab täielikult või osaliselt määruse (EL) 2018/1725 artiklites 17, 19 ja 20 osutatud õigust andmetega tutvuda, neid kustutada ja nende töötlemist piirata, teavitab ta andmesubjekti oma vastuses viimase taotlusele andmetega tutvuda, need kustutada või nende töötlemist piirata, piirangu kohaldamisest ja selle peamistest põhjustest ning võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse. 2. Lõikes 1 osutatud piirangu põhjustest teavitamise võib edasi lükata, teabe esitamata jätta või selle esitamisest keelduda seni, kui teabe esitamine kahjustaks piirangu eesmärki. 3. Komisjon dokumenteerib ja registreerib piirangu põhjused kooskõlas artikliga 17. 4. Kui õigust andmetega tutvuda on osaliselt või täielikult piiratud, võib andmesubjekt kasutada oma õigust andmetega tutvuda Euroopa Andmekaitseinspektori vahendusel kooskõlas määruse (EL) 2018/1725 artikli 25 lõigetega 6, 7 ja 8. Artikkel 16 Andmesubjekti teavitamine isikuandmetega seotud rikkumisest Kui komisjon piirab andmesubjekti teavitamist isikuandmetega seotud rikkumistest, nagu on osutatud määruse (EL) 2018/1725 artiklis 35, dokumenteerib ja registreerib ta piirangu põhjused kooskõlas käesoleva otsuse artikliga 17. Artikkel 17 Piirangute dokumenteerimine ja registreerimine 1. Komisjon dokumenteerib iga käesoleva otsuse alusel kohaldatava piirangu põhjused, sealhulgas juhtumipõhise hinnangu selle piirangu vajalikkusele ja proportsionaalsusele, võttes arvesse määruse (EL) 2018/1725 artikli 25 lõikes 2 esitatud asjakohaseid sätteid. Selleks tuleb dokumenteerida, kuidas õiguse kasutamine ohustaks käesoleva otsuse kohaste andmekaitseametniku ülesannete või artikli 13 lõike 2 või 3 kohaselt kohaldatavate piirangute eesmärgi täitmist ning kuidas see kahjustaks teiste andmesubjektide õigusi ja vabadusi. 2. Dokumenteeritud teave ning vajaduse korral ka asjakohaseid faktilisi ja õiguslikke asjaolusid sisaldavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile. Artikkel 18 Piirangute kestus 1. Artiklites 14, 15 ja 16 osutatud piiranguid kohaldatakse seni, kuni kehtivad nende kohaldamise põhjused. 2. Kui artiklis 14 või 16 osutatud piirangu põhjus enam ei kehti, tühistab komisjon selle piirangu ja teatab andmesubjektile piirangu põhjused. Samal ajal teavitab komisjon andmesubjekti võimalusest esitada ükskõik millal kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse. 3. Komisjon vaatab artiklites 14 ja 16 osutatud piirangute kohaldamise läbi iga kuue kuu tagant pärast nende kehtestamist ning igal juhul siis, kui asjaomane andmekaitseametniku tegevus lõpetatakse. Pärast seda hindab komisjon piirangute säilitamise või pikendamise vajalikkust kord aastas. Artikkel 19 Andmekaitseametniku tehtav läbivaatamine 1. Kui muud komisjoni talitused leiavad, et andmesubjekti õigusi tuleks kooskõlas käesoleva otsusega piirata, teavitavad nad sellest andmekaitseametnikku. Komisjoni talitused annavad andmekaitseametnikule ka juurdepääsu asjakohasele teabele ning võimalikele faktilisi ja õiguslikke asjaolusid sisaldavatele dokumentidele. 2. Andmekaitseametnik võib taotleda, et asjaomase komisjoni talituse delegeeritud vastutav töötleja vaataks piirangute kohaldamise läbi. Asjaomase komisjoni talituse delegeeritud vastutav töötleja teavitab andmekaitseametnikku taotluse kohaselt korraldatud läbivaatamise tulemustest kirjalikult. 6. PEATÜKK LÕPPSÄTTED Artikkel 20 Kehtetuks tunnistamine Otsus 2008/597/EÜ tunnistatakse kehtetuks. Artikkel 21 Jõustumine Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas. Brüssel, 3. juuli 2020 Komisjoni nimel eesistuja Ursula VON DER LEYEN (1) ELT L 295, 21.11.2018, lk 39. (2) SEC(2019) 900/2. (3) Komisjoni 3. juuni 2008. aasta otsus 2008/597/EÜ, millega võetakse vastu andmekaitseametnikuga seotud rakenduseeskirjad vastavalt määruse (EÜ) nr 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta) artikli 24 lõikele 8 (ELT L 193, 22.7.2008, lk 7). (4) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1). (5) Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43). (6) Euroopa Parlamendi ja nõukogu 11. mai 2016. aasta määrus (EL) 2016/794, mis käsitleb Euroopa Liidu Õiguskaitsekoostöö Ametit (Europol) ning millega asendatakse ja tunnistatakse kehtetuks nõukogu otsused 2009/371/JSK, 2009/934/JSK, 2009/935/JSK, 2009/936/JSK ja 2009/968/JSK (ELT L 135, 24.5.2016, lk 53). (7) Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1). |