1.   Denne afgørelse fastlægger generelle regler for de betingelser, hvorunder dataansvarlige i henhold til artikel 25, stk. 1, i EUDPR kan begrænse anvendelsen af, alt efter hvad der er relevant, artikel 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 og 36 i EUDPR samt artikel 4 i EUDPR, for så vidt at bestemmelserne heri er i overensstemmelse med rettighederne og forpligtelserne i artikel 14 til 22 i EUDPR.

2.   I denne afgørelse forstås ved:

a)

»personoplysninger«: alle oplysninger vedrørende en registreret, der behandles under udførelsen af aktiviteter eller procedurer, der ikke henhører under anvendelsesområdet for kapitel 4 eller kapitel 5 i afsnit V i traktaten om Den Europæiske Unions funktionsmåde, i modsætning til operationelle personoplysninger i henhold til artikel 3, stk. 2, i EUDPR

b)

»dataansvarlig«: den enhed, der, alene eller i fællesskab med andre, rent faktisk fastlægger formålene med og midlerne til behandling af personoplysninger inden for rammerne af aktiviteter og procedurer, der udføres af udvalget, uanset om ansvaret for denne fastlæggelse er blevet uddelegeret eller ej.

3.   Denne afgørelse finder anvendelse på behandlingen af personoplysninger inden for rammerne af de aktiviteter og procedurer, der udføres af udvalget. Den finder ikke anvendelse, hvis en retsakt på grundlag af traktaterne indeholder bestemmelser om begrænsning af registreredes rettigheder.

4.   Den dataansvarlige i henhold til artikel 3, stk. 8, i EUDPR er udvalget, der kan uddelegere ansvaret for at fastslå formålene med og midlerne til behandling af personoplysninger.

5.   For hver enkelt behandling, begrænsning eller udsættelse, udeladelse eller nægtelse af oplysninger fastslås det, hvem der er dataansvarlig i overensstemmelse med udvalgets relevante interne beslutninger, procedurer og gennemførelsesbestemmelser.

1.   Før der anvendes begrænsninger i medfør af artikel 3, stk. 1, vurderer den dataansvarlige, om nogen af undtagelserne eller fravigelserne i forordningen finder anvendelse, navnlig i henhold til artikel 15, stk. 4, artikel 16, stk. 5, artikel 19, stk. 3, artikel 25, stk. 3 og 4, og artikel 35, stk. 3 i EUDPR.

2.   Anvendelsen af fravigelser skal være underlagt passende garantier i overensstemmelse med artikel 13 i EUDPR og artikel 6 i denne afgørelse.

1.   Dataansvarlige kan, alt efter hvad der er relevant, begrænse anvendelsen af artikel 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 og 36 i EUDPR samt artikel 4 i EUDPR, for så vidt bestemmelserne heri er i overensstemmelse med rettighederne og forpligtelserne i artikel 14 til 22 i EUDPR, hvis registreredes udøvelse af deres rettigheder ville have negative virkninger for formålet med eller resultatet af en eller flere af de aktiviteter eller procedurer, der udføres af udvalget, navnlig:

a)

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i EUDPR, når ansættelsesmyndigheden og den myndighed, der er bemyndiget til at indgå ansættelseskontrakter for udvalget (»ansættelsesmyndigheden«), gennemfører disciplinærsager, administrative undersøgelser og efterforskninger vedrørende personaleanliggender i henhold til artikel 86 i vedtægten for tjenestemænd i Den Europæiske Union (»tjenestemandsvedtægten«) og Bilag IX til tjenestemandsvedtægten samt artikel 50a og 119 i ansættelsesvilkårene for Unionens øvrige ansatte (6) (»ansættelsesvilkårene«), og efterforskninger i forbindelse med anmodninger om bistand, der er indgivet i henhold til artikel 24 i tjenestemandsvedtægten og artikel 11 og 81 i ansættelsesvilkårene, og med hensyn til påståede tilfælde af chikane jf. artikel 12a i tjenestemandsvedtægten,

b)	i henhold til artikel 25, stk. 1, litra b), c), f) og h), i EUDPR, når ansættelsesmyndigheden gennemgår anmodninger og klager indsendt af tjenestemænd og øvrige ansatte i udvalget (»ansatte«) i henhold til artikel 90 i tjenestemandsvedtægten og artikel 46 og 117 i ansættelsesvilkårene,

c)	i henhold til artikel 25, stk. 1, litra c) og h), i EUDPR, når ansættelsesmyndigheden gennemfører udvalgets personalepolitik ved at gennemføre procedurer med henblik på udvælgelse (rekruttering), evaluering (bedømmelse) og forfremmelse,

d)

i henhold til artikel 25, stk. 1, litra c), f), g) og h), i EUDPR, når udvalgets anvisningsberettigede (»den anvisningsberettigede«) gennemfører sektionen vedrørende udvalget i Den Europæiske Unions almindelige budget ved at gennemføre tildelingsprocedurer i overensstemmelse med de finansielle regler vedrørende Unionens almindelige budget (7) (»finansforordningen«),

e)

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i EUDPR, når den anvisningsberettigede gennemfører overvågning og efterforskninger vedrørende lovligheden af finansielle transaktioner, der udføres af og i udvalget, vedrørende udvalgets medlemmers og suppleanters (»udvalgets medlemmer«) økonomiske rettigheder (8) og vedrørende finansieringen af aktiviteter og arrangementer, der arrangeres og medarrangeres af udvalget, og håndterer økonomiske uregelmæssigheder hos en ansat i overensstemmelse med artikel 93 i finansforordningen,

f)

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i EUDPR, når udvalget leverer oplysninger og dokumenter til Det Europæiske Kontor for Bekæmpelse af Svig (OLAF), enten på anmodning fra OLAF eller på eget initiativ, indberetter sager til OLAF eller behandler oplysninger og dokumenter, der modtages fra OLAF (9),

g)	i henhold til artikel 25, stk. 1, litra c), g) og h), i EUDPR, når udvalget gennemfører interne revisioner i henhold til artikel 118 og 119 i finansforordningen og i forbindelse med dets afdelingers aktiviteter og procedurer,

h)

i henhold til artikel 25, stk. 1, litra c), d) og h), i EUDPR, når udvalget gennemfører interne risikovurderinger, adgangskontroller, herunder baggrundstjek, foranstaltninger til forebyggelse og efterforskning af sikkerhedshændelser, herunder hændelser, der involverer udvalgets medlemmer og ansatte, samt hændelser vedrørende udvalgets infrastruktur og informations- og kommunikationsteknologi samt sikkerhedsforespørgsler og supplerende undersøgelser, herunder af dets elektroniske kommunikationsnet, på eget initiativ eller på anmodning af tredjepart,

i)

i henhold til artikel 25, stk. 1, litra c), d) og h), i EUDPR, når databeskyttelsesrådgiveren, på eget initiativ eller på anmodning af tredjepart, gennemfører efterforskninger vedrørende anliggender og hændelser, der har direkte forbindelse til dennes opgaver, og som denne er blevet opmærksom på, i henhold til artikel 45, stk. 2, i EUDPR,

j)

i henhold til artikel 25, stk. 1, litra h), i EUDPR, når dataansvarlige behandler personoplysninger, der er opnået i forbindelse med en ansat, der i god tro rapporterer om faktuelle elementer, der peger på enten potentielt ulovlige aktiviteter, herunder svig og korruption, som er til skade for Unionens interesser (»alvorlige uregelmæssigheder«), eller adfærd i forbindelse med udførelsen af arbejdsopgaver, der kan udgøre en alvorlig manglende efterlevelse af ansattes forpligtelser (»alvorlige forseelse«),

k)	i henhold til artikel 25, stk. 1, litra h), i EUDPR, når dataansvarlige behandler personoplysninger, der er opnået af fortrolige rådgivere i forbindelse med den uformelle procedure i sager om påstået chikane,

l)

i henhold til artikel 25, stk. 1, litra h), i EUDPR, når dataansvarlige behandler personoplysninger vedrørende enten et medlem af udvalgets eller en ansats helbred (»medicinske data«), herunder af psykologisk eller psykiatrisk art, der er indeholdt i den lægejournal, som udvalget er i besiddelse af om den pågældende registrerede,

m)	i henhold til artikel 25, stk. 1, litra e), i EUDPR, når den dataansvarlige behandler personoplysninger i dokumenter, som er udarbejdet eller indhentet af parterne eller intervenienterne i forbindelse med sager ved Den Europæiske Unions Domstol (»Domstolen«),

n)

i henhold til artikel 25, stk. 1, litra b), c), d), g) og h), i EUDPR, når udvalget yder eller modtager bistand til eller fra andre af Unionens institutioner, organer, kontorer og agenturer og samarbejder med dem i forbindelse med de aktiviteter eller procedurer, der er omhandlet i stk. 1, litra a) til m), og i henhold til de gældende serviceleveranceaftaler, aftalememoranda og samarbejdsaftaler,

o)

i henhold til artikel 25, stk. 1, litra b), c), g) og h), i EUDPR, når udvalget yder eller modtager bistand til eller fra medlemsstaternes og tredjelandes myndigheder eller internationale organisationer og samarbejder med sådanne myndigheder og organisationer, enten på deres anmodning eller på eget initiativ,

p)	i henhold til artikel 25, stk. 1, litra a), b), e) og f), i EUDPR, når udvalget leverer oplysninger og dokumenter til medlemsstaternes og tredjelandes myndigheder eller internationale organisationer, som de anmoder om i forbindelse med efterforskninger.

2.   Begrænsningerne i stk. 1 kan omfatte både objektive (»hårde data«) og subjektive (»bløde data«) personoplysninger, navnlig, men ikke udelukkende, en eller flere af følgende kategorier:

a)	Identifikationsoplysninger

b)	Kontaktoplysninger

c)	Erhvervsrelaterede oplysninger (10)

d)	Økonomiske oplysninger

e)	Overvågningsdata (11)

f)	Trafikdata (12)

g)	Medicinske data (13)

h)	Genetiske data  (13)

i)	Biometriske data (13)

j)	Oplysninger om en fysisk persons sexliv eller seksuelle orientering (13)

k)	Oplysninger, der afslører race eller etnisk oprindelse, religiøs eller filosofisk overbevisning, politiske holdninger eller politisk tilhørsforhold eller medlemsskab af en fagforening (13)

l)	Oplysninger, der afslører præstationer eller adfærd hos fysiske personer, som deltager i procedurer med henblik på udvælgelse (rekruttering), evaluering (bedømmelse) eller forfremmelse (14)

m)	Oplysninger om fysiske personers tilstedeværelse

n)	Oplysninger om fysiske personers eksterne aktiviteter

o)	Data vedrørende mistanke om strafbare forhold, lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger

p)	Elektronisk kommunikation

q)	Alle andre oplysninger vedrørende genstanden for den relevante aktivitet eller procedure, der kræver behandling af disse data.

3.   Enhver begrænsning skal respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund, og den skal være begrænset til det, der er strengt nødvendigt for at opnå målet.

4.   Enhver begrænsning, uanset om den er hel eller delvis, af anvendelsen af artikel 36 i EUDPR (Fortrolighed af elektronisk kommunikation) efter stk. 1 skal være i overensstemmelse med gældende EU-ret vedrørende databeskyttelse inden for elektronisk kommunikation (15).

5.   Dataansvarlige gennemgår regelmæssigt den anvendelse af begrænsninger, der er omtalt i stk. 1, mindst hver sjette måned fra deres indførelse, men også hvis vigtige og afgørende elementer i sagen ændrer sig, og når den aktivitet eller procedure, der førte til begrænsningerne, er færdig eller afsluttet. Derefter skal de årligt overvåge behovet for at opretholde enhver begrænsning.

6.   Begrænsningerne omhandlet i stk. 1 gælder, så længe de årsager, der berettiger dem, er til stede. Hvis årsagerne til en begrænsning omhandlet i stk. 1 ikke længere er til stede, skal den dataansvarlige fjerne begrænsningen.

7.   Når dataansvarlige behandler personoplysninger modtaget fra tredjepart i forbindelse med udvalgets opgaver hører de disse tredjeparter om eventuelle grunde til at indføre begrænsninger og om nødvendigheden og forholdsmæssigheden af de pågældende begrænsninger, medmindre dette ville være til skade for udvalgets aktiviteter eller procedurer.

1.   Inden dataansvarlige anvender begrænsninger, vurderer de fra sag til sag, om de overvejede begrænsninger er nødvendige og forholdsmæssige.

2.   Når dataansvarlige vurderer nødvendigheden og forholdsmæssigheden af en begrænsning, tager de de potentielle risici for den registreredes rettigheder og frihedsrettigheder i betragtning.

3.   Vurderinger af risici for registreredes rettigheder og frihedsrettigheder, der opstår som følge af indførelsen af begrænsningerne, navnlig risikoen for, at deres personoplysninger kan blive behandlet yderligere uden deres viden, og at de kan blive forhindret i at udøve deres rettigheder i henhold til forordningen, samt oplysninger om den periode, disse begrænsninger finder anvendelse, registreres i fortegnelsen over behandlingsaktiviteter, der føres af dataansvarlige i henhold til artikel 31, stk. 1, i EUDPR. De noteres ligeledes i konsekvensanalyser vedrørende databeskyttelse i forbindelse med de begrænsninger, der foretages i henhold til artikel 39 i EUDPR.

1.   Når dataansvarlige anvender begrænsninger, skal de føre en fortegnelse, hvori de registrerer:

a)	Årsagerne til, at der anvendes begrænsninger

b)	Grundlaget for anvendelsen af begrænsningerne

c)	Hvordan udøvelsen af de registreredes rettigheder ville være til skade for formålet med eller resultatet af en eller flere af de aktiviteter eller procedurer, der udføres af udvalget

d)	Resultatet af vurderingen jf. artikel 4, stk. 1.

2.   Fortegnelserne i stk. 1 skal være en del af den centrale fortegnelse jf. artikel 31, stk. 5, i EUDPR og gøres tilgængelige for EDPS på anmodning.

3.   Hvis dataansvarlige begrænser anvendelsen af artikel 35 i EUDPR (Underretning om brud på persondatasikkerheden til den registrerede), inkluderes fortegnelsen i stk. 1 i underretningen til EDPS jf. artikel 34, stk. 1, i EUDPR.

1.   Dataansvarlige træffer sikkerhedsforanstaltninger for at forhindre misbrug af, ulovlig adgang til eller overførsel af personoplysninger, der kan være underlagt begrænsninger i henhold til artikel 3, stk. 1. Sådanne sikkerhedsforanstaltninger omfatter passende tekniske og organisatoriske tiltag og præciseres om nødvendigt i udvalgets relevante interne afgørelser, procedurer og gennemførelsesbestemmelser.

2.   De i stk. 1 omhandlede sikkerhedsforanstaltninger omfatter:

a)	klart definerede roller, ansvarsområder og proceduremæssige skridt

b)	hvis det er relevant, et sikkert elektronisk miljø, der forhindrer ulovlig eller utilsigtet adgang til elektroniske data eller overførsel heraf til uautoriserede personer

c)	hvis det er relevant, sikker opbevaring og behandling af papirbaserede dokumenter

d)	behørig overvågning af begrænsninger og regelmæssig vurdering af deres anvendelse.

3.   Personoplysningerne opbevares i overensstemmelse med udvalgets gældende regler om dataopbevaring (16), som skal defineres i de fortegnelser, der føres af dataansvarlige i henhold til artikel 31, stk. 1, i EUDPR. Personoplysningerne slettes, anonymiseres på en måde, så den registrerede ikke kan eller ikke længere kan identificeres, eller overføres til udvalgets arkiv, alt efter hvad der er relevant, i henhold til artikel 13 i EUDPR, når opbevaringsperioden udløber.

1.   De meddelelser om databeskyttelse, der offentliggøres på udvalgets offentlige hjemmeside og på dets intranet, skal indeholde et afsnit, der giver registrerede generelle oplysninger om den potentielle begrænsning af deres rettigheder i forbindelse med de af udvalgets aktiviteter og procedurer, der omfatter behandling af deres personoplysninger. I dette afsnit specificeres de rettigheder, der kan blive begrænset, grundlaget for anvendelsen af begrænsninger, disse begrænsningers potentielle varighed og de administrative og juridiske retsmidler, der er til rådighed for registrerede.

2.   Når dataansvarlige anvender begrænsninger, informerer de direkte og uden unødigt ophold og i det mest passende format hver enkelt registrerede om:

a)	alle eksisterende eller kommende begrænsninger af deres rettigheder

b)	de vigtigste grunde for anvendelsen af begrænsningen

c)	deres ret til at høre databeskyttelsesrådgiveren med henblik på at anfægte begrænsningen

d)	deres ret til at klage til EDPS

e)	deres ret til at indbringe sagen for Domstolen.

3.   Når dataansvarlige uanset stk. 2 i særlige tilfælde begrænser anvendelsen af artikel 35 i EUDPR (Underretning om brud på persondatasikkerheden til den registrerede), meddeler de bruddet på persondatasikkerheden til den pågældende registrerede og giver de oplysninger, der er nævnt i stk. 2, litra b), d) og e), så snart årsagerne til at begrænse denne kommunikation ikke længere er til stede.

4.   Når dataansvarlige uanset stk. 2 i særlige tilfælde begrænser anvendelsen af artikel 36 i EUDPR (Fortrolighed af elektronisk kommunikation), giver de oplysningerne omhandlet i stk. 2 i deres svar på enhver anmodning fra den pågældende registrerede.

5.   Dataansvarlige kan udsætte, udelade eller afvise at udlevere oplysningerne omhandlet i stk. 2 (»udsættelse, udeladelse eller afvisning af oplysninger«), så længe det ville ophæve virkningen af begrænsningen. De skal give den pågældende registrerede oplysningerne omhandlet i stk. 2, så snart dette ikke længere vil ophæve virkningen af begrænsningen.

6.   Artikel 4 og artikel 5 finder tilsvarende anvendelse vedrørende enhver udsættelse, udeladelse eller afvisning af oplysninger.

1.   Dataansvarlige informerer uden unødigt ophold databeskyttelsesrådgiveren skriftligt, når de begrænser en registrerets rettigheder i henhold til artikel 3, stk. 1, udfører de regelmæssige evalueringer omhandlet i artikel 3, stk. 5, fjerner begrænsninger, jf. artikel 3, stk. 6, eller udsætter, udelader eller afviser at udlevere oplysningerne omhandlet i artikel 7, stk. 2, i henhold til artikel 7, stk. 5. Databeskyttelsesrådgiveren giver på anmodning adgang til de tilknyttede fortegnelser og alle dokumenter, der indeholder de faktuelle og retlige elementer, der ligger til grund.

2.   Databeskyttelsesrådgiveren kan anmode dataansvarlige om at vurdere alle eksisterende begrænsninger samt udsættelser, udeladelser eller afvisninger af oplysninger og anvendelsen heraf. Databeskyttelsesrådgiveren underrettes skriftligt om resultatet af den anmodede vurdering.

3.   Involveringen af databeskyttelsesrådgiveren i henhold til stk. 1 og 2 i forbindelse med anvendelsen af begrænsninger og udsættelser, udeladelser og afvisninger af oplysninger skal dokumenteres behørigt af dataansvarlige, herunder de oplysninger, der deles med databeskyttelsesrådgiveren.

4.   Databeskyttelsesrådgiveren giver på anmodning sin udtalelse til dataansvarlige om fastlæggelsen af deres ansvarsområder i forbindelse med fælles dataansvar i henhold til artikel 28, stk. 1, i EUDPR.

1.   Generalsekretæren kan efter behov udstede instrukser eller vedtage gennemførelsesforanstaltninger for om nødvendigt yderligere at præcisere eller effektuere bestemmelser i denne afgørelse i overensstemmelse med denne.

2.   Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.