Tietosuoja ETSK:ssa

Henkilötietojen suoja on perusoikeus, joka vahvistetaan Euroopan unionin toiminnasta tehdyssä sopimuksessa (16 artikla) ja EU:n perusoikeuskirjassa (8 artikla).

Asetuksessa (EU) 2018/1725 vahvistetaan säännöt, jotka koskevat tietosuojaa EU:n toimielimissä, elimissä, toimistoissa ja virastoissa. Siinä esitetään henkilötietojen käsittelyä koskevat oikeudelliset periaatteet ja vahvistetaan rekisteröityjen oikeudet, rekisterinpitäjien velvollisuudet sekä tietosuojavastaavan tehtävät.

Rekisteröidyillä (henkilöt, joiden henkilötietoja käsitellään) on oikeus pyytää pääsy itseään koskeviin henkilötietoihin esteittä ja maksutta. Heillä on oikeus pyytää omien henkilötietojensa oikaisemista tai poistamista tai niiden käsittelyn rajoittamista. Rekisteröidyillä on myös oikeus vastustaa omien henkilötietojensa käsittelyä.

Rekisteröidyillä on tarvittaessa oikeus saada itseään koskevat henkilötiedot, jotka on toimitettu rekisterinpitäjälle, tai pyytää, että nämä tiedot siirretään suoraan toiselle rekisterinpitäjälle (tietojen siirrettävyys). Heillä on myös oikeus perua suostumuksensa milloin tahansa, jos heidän henkilötietojaan käsitellään tämän oikeusperustan pohjalta.

Yhtä tai useampaa rekisteröidyn oikeutta voidaan tietyissä tapauksissa rajoittaa väliaikaisesti asetuksen (EU) 2018/1725 25 artiklan ja ETSK:n päätöksessä N:o 206/17 A vahvistettujen sisäisten sääntöjen nojalla muun muassa rikosten ennalta estämistä, tutkimista, paljastamista ja rikoksiin liittyviä syytetoimia koskevista syistä tai muista soveltuvista syistä (sisäisten sääntöjen mukaisesti). Nämä rajoitukset ovat määräaikaisia ja oikeasuhteisia ja niissä kunnioitetaan edellä mainittujen oikeuksien keskeistä sisältöä. Rajoitus poistetaan heti, kun sen perusteena olleet edellytykset eivät enää täyty. Rekisteröidyt saavat tarkemman tietosuojailmoituksen, kun tämä määräaika on kulunut umpeen. Rekisteröidyille ilmoitetaan yleensä rajoituksen pääasiallisista syistä, paitsi jos nämä tiedot poistaisivat rajoituksen vaikutuksen.

Rekisterinpitäjien (organisatorinen kokonaisuus, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot) on varmistettava, että henkilötietoja käsitellään ainoastaan perusteltua ja selkeästi määriteltyä tarkoitusta varten, asianmukaisesti ja laillisesti sekä turvallisesti. Niiden vastuulla on myös varmistaa, että tiedot ovat täsmällisiä, asianmukaisia ja olennaisia, että tiedot eivät ole liian laajoja ja ettei tietoja säilytetä pidempään kuin on tarpeen. Rekisterinpitäjien on myös ilmoitettava rekisteröidyille, miten heidän tietojaan käsitellään, ja varmistettava, että tietoja siirretään kolmansille osapuolille vasta sen jälkeen, kun asianmukaiset suojatoimet on toteutettu.

Asetuksessa (EU) 2018/1725 säädetään lisäksi, että kunkin toimielimen ja elimen on nimitettävä tietosuojavastaava, jonka tehtävänä on antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja niiden velvollisuuksista sekä tiedottaa rekisteröidyille heidän oikeuksistaan ja velvollisuuksistaan. Tietosuojavastaavan on varmistettava riippumattomalla tavalla asetuksen säännösten soveltaminen asianomaisen toimielimen sisällä.

Tietosuojavastaava antaa pyydettäessä neuvoja henkilötietojen tietoturvaloukkausta koskevan ilmoituksen sekä tietosuojaa koskevan vaikutustenarvioinnin toteuttamisen tarpeellisuudesta (myös Euroopan tietosuojavaltuutetun [EDPS] ennakkokuulemisen osalta). Lisäksi tietosuojavastaava vastaa Euroopan tietosuojavaltuutetun tekemiin pyyntöihin ja tekee yhteistyötä valvontaviranomaisen kanssa ja voi antaa suosituksia tietosuojan parantamiseksi organisaatiossa. Tietosuojavastaava voi myös tutkia seikkoja ja tapauksia, jotka liittyvät suoraan hänen tehtäviinsä, ja häntä voi kuulla kuka tahansa henkilö virallisia kanavia käyttämättä mistä tahansa asiasta, joka koskee asetuksen tulkintaa tai soveltamista.

Lisätietoa henkilötietojen käsittelystä antaa tietosuojaselosteessa ilmoitettu henkilötietojen käsittelystä vastaava yksikkö. On myös mahdollista ottaa milloin tahansa yhteyttä ETSK:n tietosuojavastaavaan ja/tai Euroopan tietosuojavaltuutettuun (edps@edps.europa.eu).