1.   I denne afgørelse fastsættes reglerne og procedurerne for anvendelse af Kommissionens forordning (EU) 2018/1725 samt gennemførelsesbestemmelserne vedrørende Kommissionens databeskyttelsesrådgiver.

2.   I denne afgørelse fastsættes også de regler, der gælder for Kommissionens underretning af registrerede om behandlingen af deres personoplysninger i henhold til artikel 14, 15 og 16 i forordning (EU) 2018/1725 i forbindelse med databeskyttelsesrådgiverens tilsyns-, undersøgelses-, revisions- og høringsopgaver.

3.   I afgørelsen fastsættes endvidere betingelserne for, hvornår Kommissionen i forbindelse med databeskyttelsesrådgiverens tilsyns-, undersøgelses-, revisions- og høringsopgaver kan begrænse anvendelsen af artikel 4, 14-17, 19, 20 og 35 i forordning (EU) 2018/1725 i overensstemmelse med nævnte forordnings artikel 25, stk. 1, litra c), g) og h).

4.   Denne afgørelse finder anvendelse på Kommissionens behandling af personoplysninger med henblik på eller i forbindelse med databeskyttelsesrådgiverens opgaver, som omhandlet i artikel 45 i forordning (EU) 2018/1725, navnlig i forbindelse med databeskyttelsesrådgiverens tilsyns-, undersøgelses-, revisions- og høringsopgaver.

1.   Databeskyttelsesrådgiveren bidrager til at skabe en kultur for beskyttelse af personoplysninger i Kommissionen baseret på risikovurdering og ansvarlighed.

2.   Databeskyttelsesrådgiveren fører tilsyn med gennemførelsen af forordning (EU) 2018/1725 i Kommissionen ved bl.a. at udarbejde og udføre et årligt arbejdsprogram for inspektioner og revisioner.

3.   Databeskyttelsesrådgiveren arrangerer og leder de regelmæssige møder for databeskyttelseskoordinatorer.

4.   Databeskyttelsesrådgiveren fører fortegnelser over Kommissionens behandlingsaktiviteter i et centralt register og gør dette offentligt tilgængeligt.

Databeskyttelsesrådgiveren fører endvidere fortegnelser internt i Kommissionen over brud på persondatasikkerheden som omhandlet i artikel 3, stk. 16, i forordning (EU) 2018/1725.

5.   Ved udøvelsen af sit hverv samarbejder databeskyttelsesrådgiveren med de databeskyttelsesrådgivere, der er udpeget af andre af Unionens institutioner og organer.

6.   Databeskyttelsesrådgiveren anses for at være delegeret dataansvarlig for så vidt angår individuelle afgørelser vedrørende de registreredes rettigheder i henhold til forordning (EU) 2018/1725 i forbindelse med databeskyttelsesrådgiverens behandlingsaktiviteter.

1.   Den delegerede dataansvarlige udnævner en databeskyttelseskoordinator og, hvis det er hensigtsmæssigt, en eller flere stedfortrædende databeskyttelseskoordinatorer i det generaldirektorat eller den tjenestegren, han eller hun har ansvaret for. For at opnå større konsekvens eller effektivitet kan to eller flere delegerede dataansvarlige beslutte at udnævne en fælles databeskyttelseskoordinator eller stedfortrædende databeskyttelseskoordinator eller benytte sig af en allerede udnævnt databeskyttelseskoordinators eller stedfortrædende databeskyttelseskoordinators tjenester. De berørte delegerede dataansvarlige nedfælder deres beslutning herom på skrift.

2.   Den databeskyttelseskoordinator, som er udnævnt af et generaldirektorat eller en tjenestegren, er også kompetent for det kabinet, som har ansvaret for det pågældende generaldirektorat eller den pågældende tjenestegren. Den databeskyttelseskoordinator, som er udnævnt for generalsekretariatet, er kompetent for både formandens kabinet og de kabinetter, for hvilke Generalsekretariatet er den eneste støttetjeneste. Hvis et kabinet har ansvaret for flere generaldirektorater eller tjenestegrene, afgør de delegerede dataansvarlige, hvilken af deres respektive databeskyttelseskoordinatorer der skal være kompetent for det pågældende kabinet.

3.   Når der er blevet udpeget en ny databeskyttelseskoordinator, underrettes databeskyttelsesrådgiveren, medarbejderne i det pågældende generaldirektorat eller den pågældende tjenestegren samt medarbejderne i det pågældende kabinet.

Nyudnævnte databeskyttelseskoordinatorer skal inden for seks måneder efter udnævnelsen fuldføre en uddannelse for at erhverve den kompetence, der er nødvendig for at udføre rollen som databeskyttelseskoordinator. Uddannelseskravet gælder dog ikke for en databeskyttelseskoordinator, der tidligere har været databeskyttelseskoordinator i et andet generaldirektorat eller en anden tjenestegren, eller som har været ansat i databeskyttelsesrådgiverens kontor inden for to år forud for udpegelsen som databeskyttelseskoordinator.

4.   Delegerede dataansvarlige indfører passende ordninger med henblik på at sikre, at databeskyttelseskoordinatoren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse i deres generaldirektorat eller tjenestegren, og at den delegerede dataansvarlige på databeskyttelseskoordinatorens anmodning omgående underrettes om databeskyttelseskoordinatorens udtalelser.

5.   Databeskyttelseskoordinatorerne udvælges på grundlag af deres kendskab til og erfaringer med det pågældende generaldirektorats eller den pågældende tjenestegrens drift, deres motivation for opgaverne, kompetencer i forbindelse med databeskyttelse, indsigt i principperne for informationssystemer samt kommunikationsevner.

6.   Databeskyttelseskoordinatorens opgaver kan kombineres med andre opgaver. Den delegerede dataansvarlige sikrer, at disse opgaver kan forenes med databeskyttelseskoordinatorens opgaver.

7.   Databeskyttelseskoordinatorens opgaver indgår i jobbeskrivelsen for hver af de ansatte, der er udpeget som databeskyttelseskoordinatorer. Der henvises til deres ansvarsområder og opnåede resultater i den årlige bedømmelsesrapport.

8.   Databeskyttelseskoordinatoren fungerer som kontaktpunkt mellem den delegerede dataansvarlige og den operationelle dataansvarlige og databehandleren samt databeskyttelsesrådgiveren.

9.   Databeskyttelseskoordinatorerne har ret til at indhente alle de oplysninger i deres generaldirektorat eller tjenestegren, der er nødvendige for at udføre deres opgaver som databeskyttelseskoordinatorer. Databeskyttelseskoordinatorerne har kun adgang til personoplysninger, hvis det er nødvendigt for udførelsen af deres opgaver.

10.   Databeskyttelseskoordinatoren fører fortegnelser og udarbejder anonymiserede statistikker over anmodninger fra registrerede til generaldirektoratet, tjenestegrenen eller kabinettet med præcise angivelser af det samlede antal anmodninger samt antallet af helt eller delvist afviste anmodninger. Databeskyttelsesrådgiveren præciserer, over hvilke anmodningskategorier der skal føres statistik. Databeskyttelsesrådgiveren kan præcisere, hvilke yderligere oplysninger der skal fremlægges.

Databeskyttelseskoordinatoren opbevarer anonymiserede statistikker over brud på persondatasikkerheden, som forvaltes af generaldirektoratet, tjenestegrenen eller kabinettet, og som præcist angiver det samlede antal brud på persondatasikkerheden, antallet af brud på persondatasikkerheden, der er blevet anmeldt til EDPS, og antallet af brud på persondatasikkerheden, som er blevet formidlet til de registrerede.

11.   Databeskyttelseskoordinatoren øger kendskabet til databeskyttelse i sit eget generaldirektorat eller sin egen tjenestegren samt rådgiver og bistår de delegerede dataansvarlige og operationelle dataansvarlige med hensyn til at opfylde deres forpligtelser, navnlig for så vidt angår:

12.   Databeskyttelseskoordinatorerne deltager i møderne og, for så vidt det er nødvendigt, i arbejdsgrupperne for databeskyttelseskoordinatorer.

13.   Databeskyttelsesrådgiveren udsteder yderligere retningslinjer for databeskyttelseskoordinatorens ansvarsområder og opgaver.

1.   Med henblik på anvendelsen af forordning (EU) 2018/1725 handler de delegerede dataansvarlige som dataansvarlig på Kommissionens vegne.

2.   Delegerede dataansvarlige og operationelle dataansvarlige:

3.   Den delegerede dataansvarlige:

I de ordninger, der er omhandlet i første afsnit, litra b), fastlægges deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser. Dette skal navnlig omfatte udpegelse af den delegerede dataansvarlige, der skal fastlægge hjælpemidlerne til og formålene med behandlingsaktiviteterne, såvel som den operationelle dataansvarlige for behandlingsaktiviteterne samt, hvis det er hensigtsmæssigt, den person og/eller enhed, der skal bistå den operationelle dataansvarlige, bl.a. med formidling i tilfælde af brud på datasikkerheden eller med at tage højde for de registreredes rettigheder.

4.   Den operationelle dataansvarlige:

1.   Databeskyttelsesrådgiveren sikrer, at registret over Kommissionens behandling af personoplysninger er tilgængeligt via databeskyttelsesrådgiverens websted på Kommissionens intranet og via databeskyttelsesrådgiverens websted på Europa-webstedet.

2.   De delegerede dataansvarlige underretter via deres databeskyttelseskoordinator databeskyttelsesrådgiveren om fortegnelserne over deres behandlingsaktiviteter ved hjælp af Kommissionens online-anmeldelsessystem, der er tilgængeligt via databeskyttelsesrådgiverens websted på Kommissionens intranet.

1.   Anmodninger om en undersøgelse som omhandlet i artikel 6, litra e), skal fremsættes skriftligt til databeskyttelsesrådgiveren. Databeskyttelsesrådgiveren sender inden for 15 dage efter modtagelsen af anmodningen en kvittering for modtagelse til den person, der har anmodet om undersøgelsen, og kontrollerer, om anmodningen skal behandles fortroligt for at sikre fortrolighed omkring anmodningen, medmindre de berørte registrerede utvetydigt har givet deres samtykke til, at anmodningen behandles på anden måde. I tilfælde af åbenlyst misbrug af retten til at anmode om en undersøgelse er databeskyttelsesrådgiveren ikke forpligtet til at besvare anmodningen.

2.   Databeskyttelsesrådgiveren anmoder den delegerede dataansvarlige, som er ansvarlig for behandlingsaktiviteten, om at fremsætte en skriftlig udtalelse om spørgsmålet. Den delegerede dataansvarlige sender sit svar til databeskyttelsesrådgiveren inden for en frist på 15 arbejdsdage. Databeskyttelsesrådgiveren kan udbede sig yderligere oplysninger fra den delegerede dataansvarlige eller andre parter inden for en frist på 15 dage.

3.   Databeskyttelsesrådgiveren aflægger rapport til den person, der har anmodet om undersøgelsen, senest tre måneder efter modtagelsen af anmodningen. Denne frist kan suspenderes, indtil databeskyttelsesrådgiveren har modtaget alle de nødvendige oplysninger, han/hun har anmodet om.

4.   Ingen må lide skade som følge af at have underrettet databeskyttelsesrådgiveren om en sag om påstået overtrædelse af bestemmelserne i forordning (EU) 2018/1725.

1.   Databeskyttelsesrådgiveren tilknyttes af administrative hensyn Generalsekretariatet. I den forbindelse deltager databeskyttelsesrådgiveren i udarbejdelsen af den årlige forvaltningsplan og Generalsekretariatets foreløbige budgetforslag.

2.   Databeskyttelsesrådgiveren udarbejder bedømmelsen for personalet i Kontoret for Databeskyttelse. Vicegeneralsekretæren er medbedømmer. Databeskyttelsesrådgiveren deltager i koordineringen af Generalsekretariatets forvaltning, hvis dette er hensigtsmæssigt.

1.   Når Kommissionen udøver sine pligter med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal den overveje, om en eller flere af undtagelserne i denne forordning finder anvendelse.

2.   I henhold til artikel 14-18 i nærværende afgørelse kan Kommissionen begrænse anvendelsen af artikel 14-17, 19, 20 og 35 i forordning (EU) 2018/1725 samt gennemsigtighedsprincippet i samme forordnings artikel 4, stk. 1, litra a), for så vidt som bestemmelserne deri svarer til de rettigheder og forpligtelser, der er fastsat i artikel 14-17, 19 og 20 i forordning (EU) 2018/1725, hvis udøvelsen af disse rettigheder og forpligtelser ville bringe formålet med databeskyttelsesrådgiverens opgaver i fare, herunder ved at afsløre databeskyttelsesrådgiverens undersøgelsesredskaber og -metoder, eller påvirke andre registreredes rettigheder og frihedsrettigheder negativt i henhold til artikel 25, stk. 1, litra c), g) og h).

3.   I henhold til artikel 14-18 i denne afgørelse kan Kommissionen begrænse de rettigheder og forpligtelser, der er omhandlet i denne artikels stk. 2, med hensyn til personoplysninger, som databeskyttelsesrådgiveren modtager fra Kommissionens tjenestegrene eller fra andre af Unionens institutioner eller organer. Kommissionen kan gøre dette i de tilfælde, hvor udøvelsen af disse rettigheder og forpligtelser kan begrænses af disse kommissionstjenestegrene, unionsinstitutioner eller -organer på grundlag af andre retsakter, jf. artikel 25 i forordning (EU) 2018/1725, eller i overensstemmelse med nævnte forordnings kapitel IX, Europa-Parlamentets og Rådets forordning (EU) 2016/794 (6) eller Rådets forordning (EU) 2017/1939 (7).

Inden der anvendes begrænsninger i de tilfælde, der er omhandlet i første afsnit, skal Kommissionen høre den eller det pågældende af Unionens institutioner eller organer, medmindre det er klart for Kommissionen, at anvendelsen af en begrænsning er fastsat ved en af de retsakter, der er omhandlet i nævnte afsnit.

4.   Enhver begrænsning af anvendelsen af rettigheder og forpligtelser, jf. denne artikels stk. 2, skal være nødvendig og forholdsmæssig under hensyntagen til risiciene for registreredes rettigheder og frihedsrettigheder.

1.   Kommissionen offentliggør databeskyttelsesmeddelelser på sit websted, hvorved alle registrerede oplyses om de af databeskyttelsesrådgiverens opgaver, der indebærer behandling af personoplysninger.

2.   Kommissionen underretter individuelt og i et passende format enhver fysisk person, som anses for at være informant eller en person, der er berørt af databeskyttelsesrådgiverens opgaver.

3.   Hvis Kommissionen helt eller delvist begrænser den i stk. 2 omhandlede underretning af registrerede, indfører og registrerer den i overensstemmelse med artikel 17 årsagerne til begrænsningen.

1.   Når Kommissionen helt eller delvist begrænser registreredes indsigtsret i personoplysninger, ret til sletning eller ret til begrænsning af behandling som omhandlet i henholdsvis artikel 17, 19 og 20 i forordning (EU) 2018/1725, underretter Kommissionen i sin besvarelse af anmodningen om indsigt, sletning eller begrænsning af behandling den berørte registrerede om den anvendte begrænsning og om hovedårsagerne dertil samt om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller søge domstolsprøvelse ved EU-Domstolen.

2.   Underretning om årsagerne til den begrænsning, der er omhandlet i stk. 1, kan udsættes, udelades eller afvises, så længe det vil være til skade for formålet med begrænsningen at videregive dem.

3.   Kommissionen optegner og registrerer i overensstemmelse med artikel 17 årsagerne til begrænsningen.

4.   Hvis retten til indsigt helt eller delvist begrænses, har den registrerede ret til at udøve sin ret til indsigt gennem EDPS i henhold til artikel 25, stk. 6, 7 og 8, i forordning (EU) 2018/1725.

1.   Kommissionen optegner årsagerne til enhver begrænsning, der anvendes i henhold til denne afgørelse, herunder en individuel vurdering af begrænsningens nødvendighed og proportionalitet, under hensyntagen til de relevante elementer i artikel 25, stk. 2, i forordning (EU) 2018/1725.

Med dette for øje skal det af fortegnelsen fremgå, hvordan udøvelsen af denne ret ville bringe formålet med databeskyttelsesrådgiverens opgaver i henhold til denne afgørelse eller med de anvendte begrænsninger i henhold til artikel 13, stk. 2 eller 3, i fare eller ville påvirke andre registreredes rettigheder og frihedsrettigheder negativt.

2.   Fortegnelsen og, i givet fald, de dokumenter, der indeholder de underliggende faktuelle og retlige elementer, registreres. De stilles til rådighed for EDPS på dennes anmodning.

1.   De begrænsninger, der er omhandlet i artikel 14, 15 og 16, finder fortsat anvendelse, så længe årsagerne hertil gælder.

2.   Hvis årsagerne til en begrænsning som omhandlet i artikel 14 eller 16 ikke længere gælder, ophæver Kommissionen begrænsningen og meddeler den registrerede årsagerne til begrænsningen. Samtidig underretter Kommissionen den registrerede om muligheden for til enhver tid at indgive en klage til EDPS eller søge domstolsprøvelse i Den Europæiske Unions Domstol.

3.   Kommissionen evaluerer anvendelsen af de i artikel 14 og 16 omhandlede begrænsninger hver sjette måned regnet fra vedtagelsen heraf og under alle omstændigheder ved afslutningen af den pågældende handling foretaget af databeskyttelsesrådgiveren. Kommissionen fører derefter på årlig basis tilsyn med, om det er nødvendigt at opretholde en begrænsning eller udsættelse.

1.   Hvis andre af Kommissionens tjenestegrene konkluderer, at en registrerets rettigheder bør begrænses i medfør af denne afgørelse, underretter de databeskyttelsesrådgiveren. De giver ligeledes databeskyttelsesrådgiveren adgang til den fortegnelse og alle dokumenter, der indeholder de underliggende faktiske og retlige elementer.

2.   Databeskyttelsesrådgiveren kan anmode om, at den delegerede dataansvarlige i den berørte kommissionstjenestegren evaluerer anvendelsen af begrænsningerne. Den delegerede dataansvarlige i den berørte kommissionstjenestegren underretter skriftligt den databeskyttelsesansvarlige om resultatet af den anmodede evaluering.