Euroopan oikeusasiamies, joka

ottaa huomioon

1) luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23. lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (jäljempänä ”asetus”)^[1], ja erityisesti sen 45 artiklan 3 kohdan,

2) EU:n toimielinten ja elinten tietosuojavastaavien roolista annetun Euroopan tietosuojavaltuutetun (EDPS) kannanoton,

on päättänyt seuraavaa:

1 artikla Tietosuojavastaavan nimittäminen

1. Euroopan oikeusasiamies nimittää henkilöstöstään tietosuojavastaavan tämän henkilökohtaisten ja ammatillisten ominaisuuksiensa ja erityisesti tietosuojalainsäädäntöä ja -käytäntöjä koskevan erityisasiantuntemuksensa sekä tehtävien hoitamista koskevien kykyjensä perusteella. Lisäksi voidaan nimittää apulaistietosuojavastaava, kun tietosuojavastaavaa on kuultu^[2]. Tietosuojavastaavalla voi olla avustavaa henkilöstöä.

2. Tietosuojavastaavan toimikausi on viisi vuotta, ja se voidaan uusia.

3. Tietosuojavastaavan yhteystiedot ilmoitetaan Euroopan tietosuojavaltuutetulle ja julkaistaan Euroopan oikeusasiamiehen verkkosivustolla.

4. Euroopan oikeusasiamies voi erottaa tietosuojavastaavan ainoastaan Euroopan tietosuojavaltuutetun suostumuksella, jos tietosuojavastaava ei enää täytä tehtäviensä hoitamisen edellytyksiä. Euroopan oikeusasiamiehen on pääsihteerin esityksestä osoitettava, että tietosuojavastaava ei enää täytä näitä edellytyksiä. Euroopan tietosuojavaltuutettua on pyydettävä kirjallisesti ottamaan kantaa erottamista koskevan suostumuksen saamiseksi asetuksen 44 artiklan 8 kohdan mukaisesti. Jäljennös suostumuksesta tulee lähettää tietosuojavastaavalle.

2 artikla Tietosuojavastaavan asema

1. Tietosuojavastaava vastaa toimistaan Euroopan oikeusasiamiehen pääsihteerille.

2. Tietosuojavastaava toimii riippumattomasti sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Tietosuojavastaava ei saa ottaa vastaan ohjeita tehtäviensä hoitamisesta, eikä häntä saa erottaa tai rangaista näiden tehtävien suorittamisesta.

3. Euroopan oikeusasiamies varmistaa, että

(a) tietosuojavastaava osallistuu asianmukaisesti ja oikea-aikaisesti kaikkien tietosuojaan liittyvien kysymysten käsittelyyn

(b) tietosuojavastaavalla on riittävästi aikaa ja resursseja tehtäviensä suorittamiseen ja asiantuntemuksensa ylläpitämiseen

(c) tietosuojavastaavan tehtävien ja velvollisuuksien sekä hänen mahdollisesti hoitamiensa muiden virallisten tehtävien ja velvollisuuksien välillä ei ole eturistiriitaa.

4. Tietosuojavastaavaa ja häntä avustavaa henkilöstöä sitoo heidän tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden mukaisesti.

3 artikla Tietosuojavastaavan tehtävät, velvollisuudet ja toimivalta

1. Tietosuojavastaava tiedottaa Euroopan oikeusasiamiehelle asetuksen ja unionin muiden tietosuojasäännösten mukaisista velvoitteista ja neuvoo tätä tässä asiassa.

2. Tietosuojavastaava varmistaa riippumattomalla tavalla, että asetusta sovelletaan sisäisesti ja valvoo, että noudatetaan tätä asetusta, tietosuojasäännöksiä sisältävää muuta sovellettavaa unionin lainsäädäntöä sekä henkilötietojen suojaa koskevia Euroopan oikeusasiamiehen toimintaperiaatteita, mukaan lukien käsittelyyn osallistuvan henkilöstön vastuunjako, valistus ja koulutus, sekä asiaankuuluvia tarkastuksia.

3. Tietosuojavastaava varmistaa, että rekisteröidyille tiedotetaan heidän tästä asetuksesta johtuvista oikeuksistaan ja velvollisuuksistaan.

4. Tietosuojavastaava antaa pyydettäessä neuvoja seuraavista tarvittavista toimista:

(a) tehdä ilmoitus Euroopan tietosuojavaltuutetulle ja/tai ilmoitus rekisteröidylle henkilötietojen tietoturvaloukkauksesta;

(b) laatia tietosuojaa koskeva vaikutustenarviointi ja seurata sen suorittamista sekä kuulla Euroopan tietosuojavaltuutettua, jos on epäselvää, tarvitaanko tietosuojaa koskevaa vaikutustenarviointia;

(c) kuulla Euroopan tietosuojavaltuutettua etukäteen, ja kuulee tätä, jos on epäselvää, onko Euroopan tietosuojavaltuutettua kuultava etukäteen.

5. Tietosuojavastaava vastaa Euroopan tietosuojavaltuutetun pyyntöihin ja tekee toimivaltansa mukaisesti yhteistyötä ja kuulee Euroopan tietosuojavaltuutettua tämän pyynnöstä tai omasta aloitteestaan.

6. Tietosuojavastaavan on varmistettava, että käsittelytoimet, joiden rekisterinpitäjänä Euroopan oikeusasiamies on, eivät vaikuta haitallisesti rekisteröityjen oikeuksiin ja vapauksiin.

7. Tietosuojavastaavan tulee pitää keskusrekisteriä Euroopan oikeusasiamiehen vastuulla tapahtuneista käsittelytoimista laadittavista selosteista ja henkilötietojen tietoturvaloukkauksista. Tietosuojavastaavan on varmistettava, että käsittelytoimista laadittavien selosteiden rekisteri on julkisesti saatavilla, myös sähköisesti. Euroopan oikeusasiamiehen käsittelytoimista laadittavat selosteet on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

8. Euroopan oikeusasiamies, henkilöstökomitea ja yksittäiset henkilöt voivat virallisia kanavia käyttämättä kääntyä tietosuojavastaavan puoleen missä tahansa asetuksen tulkintaan tai soveltamiseen liittyvässä asiassa, siltä osin kuin se liittyy sellaisiin tietojenkäsittelytoimiin, joiden rekisterinpitäjänä Euroopan oikeusasiamies on. Tietosuojavastaavan on mahdollisuuksien mukaan annettava tietoja, jotka ovat ymmärrettäviä ilman erityisasiantuntemusta.

9. Tietosuojavastaava voi antaa Euroopan oikeusasiamiehelle suosituksia tietosuojan parantamiseksi käytännössä ja antaa neuvoja asioissa, jotka koskevat tietosuojasäännösten soveltamista henkilötietojen käsittelyyn, jonka rekisterinpitäjänä oikeusasiamies on.

10. Tietosuojavastaava voi omasta aloitteestaan tai Euroopan oikeusasiamiehen, pääsihteerin, henkilöstökomitean tai kenen tahansa henkilön pyynnöstä tutkia tehtäviinsä suoraan liittyviä seikkoja ja tapahtumia, jotka tulevat hänen tietoonsa, ja ilmoittaa tutkintansa tuloksista sen teettäneelle henkilölle tai Euroopan oikeusasiamiehelle. Tutkinnassa on noudatettava oikeudenmukaisuuden periaatetta ja asianomaisten henkilöiden oikeutta ilmaista näkemyksensä heitä koskevista tosiseikoista.

11. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja oikeuksiensa käyttämiseen liittyvissä asioissa.

12. Kenellekään ei saa aiheutua haittaa siitä, että tietosuojavastaavan tietoon on saatettu asia, jonka yhteydessä väitetään rikotun asetusta.

13. Tehtäviään suorittaessaan tietosuojavastaavalla on oltava milloin tahansa pääsy käsittelyn kohteena oleviin tietoihin sekä kaikkiin tiloihin, tietojenkäsittelylaitteistoihin ja tietovälineisiin.

14. Suorittaessaan tehtäviään, jotka liittyvät unionin toisen toimielimen tai elimen Euroopan oikeusasiamiehen puolesta suorittamaan käsittelyyn, tietosuojavastaava voi tehdä yhteistyötä kyseisen toimielimen tai elimen tietosuojavastaavan kanssa.

4 artikla Voimaantulo

Tämä päätös tulee voimaan päivänä, jona se hyväksytään.

Tehty Strasbourgissa 9.10.2019

Emily O’Reilly

[1] EUVL 2018 L 295, s. 39.

[2]Kun apulaistietosuojavastaava nimitetään tämän menettelyn mukaisesti, ilmaisulla ”tietosuojavastaava” tarkoitetaan sekä tietosuojavastaavaa että apulaistietosuojavastaavaa.