1.   Tässä päätöksessä vahvistetaan EKP:n osalta asetuksen (EU) 2018/1725 täytäntöönpanoa koskevat yleiset säännöt. Siinä täsmennetään erityisesti säännöt, jotka koskevat EKP:n tietosuojavastaavan nimittämistä ja roolia, mukaan lukien tietosuojavastaavan tehtävät, velvollisuudet ja toimivaltuudet.

2.   Tässä päätöksessä määritellään myös rekisterinpitäjien ja tietosuojakoordinaattorin roolit, tehtävät ja velvollisuudet sekä pannaan täytäntöön säännöt, joiden nojalla rekisteröidyt voivat käyttää oikeuksiaan.

1.   Johtokunta

2.   Johtokunta varmistaa, että tietosuojavastaava kykenee suorittamaan asetuksen (EU) 2018/1725 45 artiklassa tarkoitetut tehtävät ja velvollisuudet riippumattomasti ilman, että hän saa ohjeita tehtäviensä hoitamisesta. Tätä riippumattomuutta rajoittamatta

3.   Johtokunta voi nimittää varatietosuojavastaavan, johon sovelletaan edellä 1 ja 2 kohtaa. Varatietosuojavastaava avustaa tietosuojavastaavaa tämän tehtävien ja velvollisuuksien hoitamisessa sekä toimii tietosuojavastaavan sijaisena tämän ollessa estynyt.

4.   Kaikkien EKP:n henkilöstön jäsenten, jotka avustavat tietosuojavastaavaa tietosuojaan liittyvissä asioissa, on toimittava yksinomaan tietosuojavastaavan ohjeiden mukaisesti, ja heitä sitoo salassapitovelvollisuus asetuksen (EU) 2018/1725 44 artiklan 5 kohdan ja EKPJ:n perussäännön 37 artiklan mukaisesti.

5.   Asetuksen (EU) 2018/1725 43 artiklan 2 kohdan mukaisesti tietosuojavastaavalle voidaan EJRK:n pyynnöstä antaa lupa hoitaa asetuksen (EU) 2018/1725 45 artiklassa säädettyjä tehtäviä myös EJRK:n osalta.

1.   Kaikki 4 artiklan b alakohdan mukaista tutkimusta koskevat pyynnöt on osoitettava tietosuojavastaavalle kirjallisesti.

2.   Tietosuojavastaavan on lähetettävä seitsemän työpäivän kuluessa 1 kohdassa tarkoitetun pyynnön vastaanottamisesta pyynnön esittäjälle vastaanottoilmoitus.

3.   Tietosuojavastaava voi tutkia pyynnön kohteena olevaa asiaa paikan päällä ja pyytää rekisterinpitäjältä kirjallisen lausunnon. Asianomaisen rekisterinpitäjän on vastattava tietosuojavastaavalle 20 työpäivän kuluessa tietosuojavastaavan pyynnön vastaanottamisesta. Tietosuojavastaava voi milloin tahansa pyytää lisätietoja tai apua miltä tahansa EKP:n yksiköltä. Kyseisen yksikön on annettava tällaiset lisätiedot tai apu 20 työpäivän kuluessa tietosuojavastaavan pyynnöstä.

4.   Tietosuojavastaava arvioi tutkimukseen liittyviä kysymyksiä ja tosiseikkoja puolueettomasti ja ottaa rekisteröidyn oikeudet asianmukaisella tavalla huomioon. Tietosuojavastaava ilmoittaa tutkimuksesta kaikille muille asianomaisille osapuolille, jos se katsotaan aiheelliseksi ja jollei 5 kohdasta johdu muuta.

5.   Tietosuojavastaavan on varmistettava, että pyyntö käsitellään luottamuksellisena ja että se paljastetaan vain siinä määrin kuin se on tarpeen tutkinnan suorittamista varten, ellei asianomainen rekisteröity anna suostumustaan siihen, ettei pyyntöä käsitellä luottamuksellisena.

6.   Tietosuojavastaavan on annettava pyynnön esittäjälle asiaa koskeva selvitys viimeistään kolmen kuukauden kuluessa pyynnön vastaanottamisesta.

1.   Rekisterinpitäjän on varmistettava, että kaikessa sen vastuualueella suoritettavassa henkilötietojen käsittelyssä noudatetaan asetuksen (EU) 2018/1725 säännöksiä ja muita EKP:hen sovellettavia unionin tietosuojasäännöksiä.

2.   Rekisterinpitäjän on varmistettava, että tietosuojavastaavalle ilmoitetaan ilman aiheetonta viivytystä

3.   Rekisterinpitäjän on erityisesti

4.   Auttaessaan tietosuojavastaavaa ja Euroopan tietosuojavaltuutettua näiden tehtävien suorittamisessa rekisterinpitäjän on 20 työpäivän kuluessa pyynnön vastaanottamisesta annettava kaikki tarvittavat tiedot ja mahdollisuus tutustua henkilötietoihin sekä vastattava kysymyksiin.

1.   Tietosuojakoordinaattorit auttavat rekisterinpitäjiä täyttämään velvollisuutensa joko rekisterinpitäjien pyynnöstä tai omasta aloitteestaan. Tässä tehtävässään tietosuojakoordinaattoreiden on oltava yhteydessä rekisterinpitäjiin, joiden on annettava tietosuojakoordinaattoreille kaikki tarvittavat tiedot.

2.   Tietosuojakoordinaattorin on avustettava tietosuojavastaavaa seuraavissa tehtävissä:

3.   Tietosuojakoordinaattorin on yleensä oltava tiedonhallinnan asiantuntija tai hänellä on oltava tarvittava asiantuntemus ja/tai koulutus.

1.   Rekisterinpitäjien on toimitettava käsittelytoimia koskevat selosteensa tietosuojavastaavalle, jonka on säilytettävä selosteet keskusrekisterissä.

2.   Keskusrekisteri toimii kaikkien EKP:ssä suoritettujen henkilötietojen käsittelytoimien arkistona. Keskusrekisteri toimii tietojen lähteenä rekisteröidyille ja helpottaa heille asetuksen (EU) 2018/1725 17–24 artiklan nojalla kuuluvien oikeuksien käyttämistä. Keskusrekisteri on asetettava julkisesti saataville. Keskusrekisterissä on oltava vähintään asetuksen (EU) 2018/1725 31 artiklan 1 kohdan a–g alakohdassa tarkoitetut tiedot.

1.   Yhteisrekisterinpitäjän tietosuojavelvoitteet vahvistetaan asetuksen (EU) 2018/1725 28 artiklan mukaisesti.

2.   Jos EKP toimii yhteisrekisterinpitäjänä yhdessä yhden tai useamman rekisterinpitäjän kanssa, yhteisrekisterinpitäjien vastuu tietosuojavelvoitteiden noudattamisesta määritetään niiden välisellä järjestelyllä, paitsi jos ja siltä osin kuin nämä velvollisuudet määritellään yhteisrekisterinpitäjiin sovellettavassa unionin tai jäsenvaltion lainsäädännössä.

1.   Rekisteröidyt voivat ottaa yhteyttä asianomaiseen rekisterinpitäjään käyttääkseen asetuksen (EU) 2018/1725 17–24 artiklan mukaisia oikeuksiaan.

2.   Rekisteröidyn oikeuksia voi käyttää ainoastaan rekisteröity tai hänen asianmukaisesti valtuuttamansa edustaja. Kaikkien näiden oikeuksien käyttäminen on näille henkilöille maksutonta.

3.   Rekisteröidyn oikeuksien käyttämistä koskevat pyynnöt on toimitettava asianomaiselle rekisterinpitäjälle kirjallisesti tai tarvittaessa sähköisesti. Saatuaan pyynnön rekisteröidyltä asianomainen rekisterinpitäjän on lähetettävä rekisteröidylle vastaanottoilmoitus viiden työpäivän kuluessa, annettava tälle tietosuojavastaavan yhteystiedot ja ilmoitettava mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle ja hakea muutosta tuomioistuimessa.

4.   Jos asianomaisella rekisterinpitäjällä on perusteltua syytä epäillä rekisteröidyn tai hänen valtuutetun edustajansa henkilöllisyyttä, asianomainen rekisterinpitäjä voi pyytää lisätietoja, jotka ovat tarpeen rekisteröidyn tai hänen valtuutetun edustajansa tunnistamiseksi. Jos rekisteröityä edustaa valtuutettu edustaja, asianomaisen rekisterinpitäjän on myös tarkistettava asianomainen valtuutus. Asianomainen rekisterinpitäjä voi pyytää rekisteröidyltä lisätietoja selvittääkseen rekisteröidyn pyynnön ja vastatakseen siihen tehokkaasti.

5.   Asianomaisen rekisterinpitäjän on asetuksen (EU) 2018/1725 14 artiklan 3 ja 4 kohdan mukaisesti ilmoitettava rekisteröidylle kaikista pyynnön johdosta toteutetuista toimista ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Tätä määräaikaa voidaan tarvittaessa pidentää kahdella kuukaudella ottaen huomioon asianomaisen rekisterinpitäjän vastaanottamien rekisteröityjen pyyntöjen monimutkaisuus ja lukumäärä. Asianomaisen rekisterinpitäjän on ilmoitettava rekisteröidylle määräajan pidennyksestä kuukauden kuluessa pyynnön vastaanottamisesta ja esitettävä viivästyksen syyt.

6.   Asianomaisen rekisterinpitäjän on tarvittaessa vastattava rekisteröidyn pyyntöön kirjallisesti, ja jos rekisteröidyn pyyntö on toimitettu sähköisesti, asianomaisen rekisterinpitäjän on myös toimitettava pyydetyt tiedot sähköisesti.

7.   Rekisteröity voi milloin tahansa ottaa yhteyttä tietosuojavastaavaan, erityisesti jos

Tietosuojavastaavan on annettava asianomaiselle rekisterinpitäjälle neuvoja asianmukaisista toimintatavoista.

8.   Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia erityisesti toistuvan luonteensa vuoksi, asianomainen rekisterinpitäjä voi tietosuojavastaavaa kuultuaan kieltäytyä toteuttamasta pyyntöä asetuksen (EU) 2018/1725 14 artiklan 5 kohdan mukaisesti, ja sen on ilmoitettava tästä rekisteröidylle.