21.9.2004

DA

Den Europæiske Unions Tidende

L 296/16

---

RÅDETS AFGØRELSE

af 13. september 2004

om vedtagelse af gennemførelsesbestemmelser til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger

(2004/644/EF)

RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 286,

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (1), særlig artikel 24, stk. 8, og

ud fra følgende betragtninger:

(1)	Forordning (EF) nr. 45/2001, i det følgende benævnt »forordningen«, fastsætter de principper og regler, der gælder for alle fællesskabsinstitutioner og -organer, og bestemmer, at hver fællesskabsinstitution og hvert fællesskabsorgan skal udpege en databeskyttelsesansvarlig.

(2)

Artikel 24, stk. 8, i forordningen fastsætter, at yderligere gennemførelsesbestemmelser vedrørende den databeskyttelsesansvarlige vedtages af de enkelte fællesskabsinstitutioner eller organer i overensstemmelse med bestemmelserne i bilaget til forordningen. Disse gennemførelsesbestemmelser vedrører navnlig den databeskyttelsesansvarliges opgaver, hverv og beføjelser.

(3)

Gennemførelsesbestemmelserne bør også fastlægge, hvilke procedurer der skal anvendes i forbindelse med de registreredes udøvelse af deres rettigheder og opfyldelsen af de forpligtelser, som påhviler alle relevante aktører i fællesskabsinstitutionerne og organerne med hensyn til behandling af personoplysninger.

(4)

Gennemførelsesbestemmelserne til forordningen berører ikke forordning (EF) nr. 1049/2001 (2), afgørelse 2004/338/EF,Euratom (3), særlig bilag II, afgørelse 2001/264/EF (4), særlig del II, afsnit VI, i bilaget, samt afgørelse af 25. juni 2001 truffet af generalsekretæren for Rådet/den højtstående repræsentant for den fælles udenrigs- og sikkerhedspolitik (5) —

TRUFFET FØLGENDE AFGØRELSE:

AFDELING 1

ALMINDELIGE BESTEMMELSER

Artikel 1

Formål og anvendelsesområde

Denne afgørelse fastlægger yderligere gennemførelsesbestemmelser til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001, i det følgende benævnt »forordningen«, for så vidt angår Rådet for Den Europæiske Union.

Artikel 2

Definitioner

Med forbehold af definitionerne i forordningen forstås i denne afgørelse ved:

a)

»den registeransvarlige«: den institution, det generaldirektorat, det direktorat, den afdeling, det kontor eller enhver anden organisatorisk enhed, som alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, som angivet i den anmeldelse, der skal indgives til den databeskyttelsesansvarlige i overensstemmelse med forordningens artikel 25

b)

»kontaktperson«: den eller de assistenter i generaldirektoratet eller enhver anden ansat, der i samråd med den databeskyttelsesansvarlige er udpeget af vedkommendes generaldirektorat som dettes repræsentant med henblik på at varetage databeskyttelsesspørgsmål i tæt samarbejde med den databeskyttelsesansvarlige

c)

»de ansatte i GSR«: alle tjenestemænd i Generalsekretariatet for Rådet (i det følgende benævnt »GSR«) og alle andre personer, der er omfattet af vedtægten for tjenestemænd i De Europæiske Fællesskabet og ansættelsesvilkårene for de øvrige ansatte i Fællesskaberne som fastlagt i forordning (EØF, Euratom, EKSF) nr. 259/68 (6), i det følgende benævnt »personalevedtægten«, eller arbejder som kontraktansatte for GSR (praktikanter, konsulenter, leverandører af tjenesteydelser, tjenestemænd, der er udsendt af medlemsstaterne).

AFDELING 2

DEN DATABESKYTTELSESANSVARLIGE

Artikel 3

Udpegning af og status for den databeskyttelsesansvarlige

1.   Vicegeneralsekretæren for Rådet udpeger den databeskyttelsesansvarlige, som registreres hos Den Europæiske Tilsynsførende for Databeskyttelse. Den databeskyttelsesansvarlige er direkte tilknyttet Rådets vicegeneralsekretær.

2.   Den databeskyttelsesansvarliges mandat er treårigt og kan forlænges to gange.

3.   Den databeskyttelsesansvarlige udfører sine opgaver på uafhængig vis og i samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse. Navnlig må den databeskyttelsesansvarlige ikke modtage instrukser fra GSR's ansættelsesmyndighed eller fra andre vedrørende den interne anvendelse af forordningens bestemmelser eller vedrørende sit samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse.

4.   Evalueringen af den databeskyttelsesansvarliges udøvelse af sine opgaver og hverv finder sted efter forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse. Den databeskyttelsesansvarlige kan kun afsættes fra sit embede med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse, hvis vedkommende ikke længere opfylder de betingelser, der stilles for udførelsen af hvervet.

5.   Med forbehold af den procedure, der gælder for udpegning af den databeskyttelsesansvarlige, underrettes denne om alle kontakter med eksterne parter vedrørende anvendelsen af forordningen, bl.a. med hensyn til samspillet med Den Europæiske Tilsynsførende for Databeskyttelse.

6.   Med forbehold af de relevante bestemmelser i forordningen er den databeskyttelsesansvarlige og dennes medarbejdere underlagt de regler og forskrifter, der gælder for tjenestemænd og øvrige ansatte i De Europæiske Fællesskaber.

Artikel 4

Opgaver

Den databeskyttelsesansvarlige har til opgave:

a)

at sikre, at de registeransvarlige og de registrerede underrettes om deres rettigheder og forpligtelser i medfør af forordningen. Den databeskyttelsesansvarlige udarbejder som led i udførelsen af denne opgave navnlig oplysnings- og anmeldelsesformularer, hører berørte parter og øger den generelle bevidsthed om databeskyttelsesspørgsmål

b)	at besvare anmodninger fra Den Europæiske Tilsynsførende for Databeskyttelse og inden for rammerne af sine beføjelser at samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse på dennes anmodning eller på eget initiativ

c)	i fuld uafhængighed at sikre, at forordningens bestemmelser finder anvendelse internt i GSR

d)	at føre et register over de behandlinger, som de registeransvarlige foretager, og give enhver adgang hertil, enten direkte eller indirekte via Den Europæiske Tilsynsførende for Databeskyttelse

e)	at underrette Den Europæiske Tilsynsførende for Databeskyttelse om behandlinger, der vil kunne indebære en særlig risiko som omhandlet i forordningens artikel 27, stk. 2

f)	således at påse, at de registreredes rettigheder og frihedsrettigheder ikke risikerer at blive krænket som følge af behandlingerne.

Artikel 5

Hverv

1.   Ud over de generelle opgaver, der skal varetages, består den databeskyttelsesansvarliges hverv i:

a)

at fungere som rådgiver for GSR's ansættelsesmyndighed og for de registeransvarlige i spørgsmål vedrørende anvendelsen af databeskyttelsesbestemmelserne. Den databeskyttelsesansvarlige kan uden om de officielle kanaler høres af ansættelsesmyndigheden, de berørte registeransvarlige, Personaleudvalget samt enhver fysisk person om ethvert spørgsmål, der vedrører fortolkningen eller anvendelsen af forordningen

b)

på eget initiativ eller på initiativ af ansættelsesmyndigheden, de registeransvarlige, Personaleudvalget eller enhver fysisk person at undersøge anliggender og forhold, der har direkte tilknytning til vedkommendes opgaver, og som kommer til vedkommendes kendskab, og aflægge rapport til ansættelsesmyndigheden eller den person, der anmodede om undersøgelsen. Hvis det skønnes hensigtsmæssigt, bør alle andre berørte parter også underrettes. Såfremt klageren er en fysisk person eller handler på vegne af en fysisk person, skal den databeskyttelsesansvarlige i videst muligt omfang sikre, at anmodningen behandles fortroligt, medmindre den registrerede utvetydigt har givet sit samtykke til, at anmodningen behandles på anden måde

c)	i forbindelse med udøvelsen af sine funktioner at samarbejde med de databeskyttelsesansvarlige i andre fællesskabsinstitutioner og -organer, navnlig ved at udveksle erfaringer og god praksis

d)	at repræsentere GSR i alle spørgsmål, der vedrører databeskyttelse; dette kan indebære, at den databeskyttelsesansvarlige skal deltage i relevante udvalg og fora på internationalt plan, jf. dog afgørelse 2004/338/EF, Euratom

e)	at forelægge en årlig rapport om sin virksomhed for vicegeneralsekretæren for Rådet og gøre den tilgængelig for de ansatte.

2.   Den databeskyttelsesansvarlige og dennes medarbejdere må ikke videregive oplysninger eller dokumenter, som de kommer i besiddelse af som led i udførelsen af deres hverv, jf. dog artikel 4, litra b), artikel 5, stk. 1, litra b) og c), samt artikel 15.

Artikel 6

Beføjelser

Som led i den databeskyttelsesansvarliges udførelse af sine opgaver og hverv

a)	skal vedkommende til enhver tid have adgang til de oplysninger, der er under behandling, og til alle kontorer, databehandlingsanlæg og databærere

b)	kan vedkommende anmode Rådets Juridiske Tjeneste om juridiske udtalelser

c)

kan vedkommende anmode om ekstern it-ekspertbistand med forudgående samtykke fra den anvisningsberettigede i overensstemmelse med Rådets forordning (EF, Euratom) nr. 1605/2002 af 25. juni 2002 om finansforordningen vedrørende De Europæiske Fællesskabers almindelige budget (7) og gennemførelsesbestemmelserne hertil

d)	kan vedkommende med forbehold af de hverv og beføjelser, der er tillagt Den Europæiske Tilsynsførende for Databeskyttelse, foreslå GSR administrative foranstaltninger og fremsætte generelle henstillinger om, hvordan forordningen bør anvendes

e)	kan vedkommende i bestemte tilfælde fremsætte eventuelle andre henstillinger om praktiske forbedringer af databeskyttelsen til GSR og/eller alle andre berørte parter

f)	kan vedkommende bringe det til GSR's ansættelsesmyndigheds kendskab, såfremt en ansat ikke opfylder de i forordningen fastsatte forpligtelser, og foreslå, at der iværksættes en administrativ undersøgelse med henblik på i givet fald at anvende forordningens artikel 49.

Artikel 7

Ressourcer

Den databeskyttelsesansvarlige får stillet de medarbejdere og ressourcer til rådighed, som er nødvendige for, at vedkommende kan udføre sine hverv.

AFDELING 3

RETTIGHEDER OG FORPLIGTELSER FOR AKTØRER PÅ DATABESKYTTELSESOMRÅDET

Artikel 8

Ansættelsesmyndigheden

1.   Såfremt der indgives klage om overtrædelse af forordningens bestemmelser som omhandlet i artikel 90 i forordning (EF) nr. 723/2004, hører ansættelsesmyndigheden den databeskyttelsesansvarlige, som afgiver en skriftlig udtalelse senest 15 dage efter modtagelsen af anmodningen. Har den databeskyttelsesansvarlige ikke forelagt ansættelsesmyndigheden sin udtalelse inden udløbet af dette tidsrum, er den ikke længere påkrævet. Ansættelsesmyndigheden er ikke bundet af den databeskyttelsesansvarliges udtalelse.

2.   Den databeskyttelsesansvarlige underrettes hver gang et spørgsmål, som har eller vil kunne have databeskyttelsesmæssige følgevirkninger, behandles.

Artikel 9

Registeransvarlige

1.   De registeransvarlige har til opgave at sikre, at alle behandlinger under deres ansvar foretages i overensstemmelse med forordningen.

2.   De registeransvarlige skal navnlig:

a)

indgive forudgående anmeldelse til den databeskyttelsesansvarlige om enhver behandling eller sæt af behandlinger, der tjener ét enkelt formål eller flere relaterede formål, samt om enhver væsentlig ændring af en igangværende behandling. Behandlinger, der er foretaget inden forordningens ikrafttræden den 1. februar 2001, anmeldes straks

b)	bistå den databeskyttelsesansvarlige og Den Europæiske Tilsynsførende for Databeskyttelse i udførelsen af deres respektive hverv, navnlig ved at efterkomme disses anmodninger om oplysninger inden 30 dage

c)	træffe passende tekniske og organisatoriske foranstaltninger og give de fornødne instrukser til de ansatte i GSR med henblik på både at sikre behandlingens fortrolige karakter og tilvejebringe et sikkerhedsniveau, der er tilstrækkeligt i forhold til de risici, behandlingen indebærer

d)

når det er relevant, høre den databeskyttelsesansvarlige om, hvorvidt behandlingen er i overensstemmelse med forordningen, navnlig, når de har grund til at antage, at visse behandlinger strider imod forordningens artikel 4-10. De kan også høre den databeskyttelsesansvarlige og/eller it-sikkerhedseksperterne i generaldirektorat A, Sikkerhedskontoret og Kontoret for Informationssystemsikkerhed (Infosec-Kontoret), om spørgsmål, der vedrører behandlingernes fortrolige karakter og sikkerhedsforanstaltninger truffet i medfør af forordningens artikel 22.

Artikel 10

Kontaktpersoner

1.   Kontaktpersonen skal, med forbehold af den databeskyttelsesansvarliges ansvarsområder:

a)	bistå sit generaldirektorat eller sin enhed med at føre et register over alle igangværende behandlinger af personoplysninger

b)	bistå sit generaldirektorat eller sin enhed med at finde frem til de rette registeransvarlige

c)

have ret til at indhente relevante oplysninger fra de registeransvarlige og fra de ansatte, når det er nødvendigt for udførelsen af vedkommendes administrative opgaver i generaldirektoratet eller enheden. Dette omfatter ikke adgang til personoplysninger, der behandles under den registeransvarliges ansvar.

2.   Med forbehold af de registeransvarliges ansvarsområder skal kontaktpersonerne:

a)	bistå de registeransvarlige med at opfylde deres forpligtelser

b)	om fornødent lette kommunikationen mellem den databeskyttelsesansvarlige og de registeransvarlige.

Artikel 11

De ansatte i GSR

1.   Alle ansatte i GSR skal navnlig medvirke til anvendelsen af de fortroligheds- og sikkerhedsregler for behandling af personoplysninger, der er fastsat i forordningens artikel 21 og 22. Ingen ansat i GSR, som har adgang til personoplysninger, må behandle oplysningerne uden instruks fra den registeransvarlige, medmindre den pågældende har pligt hertil efter national lovgivning eller fællesskabslovgivningen.

2.   Enhver ansat i GSR kan uden om de officielle kanaler indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse om en påstået overtrædelse af forordningens bestemmelser vedrørende behandling af personoplysninger, jf. de regler, der er fastsat af Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 12

Registrerede

1.   Som led i de registreredes ret til at blive behørigt informeret om enhver behandling af personoplysninger, der vedrører dem, jf. forordningens artikel 11 og 12, kan de registrerede henvende sig til den relevante registeransvarlige med henblik på at udøve deres rettigheder efter forordningens artikel 13-19, jf. afdeling 5 i denne afgørelse.

2.   Uden at det berører et eventuelt muligt retsmiddel, kan den enkelte registrerede indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis vedkommende finder, at de rettigheder, som forordningen tillægger vedkommende, er blevet krænket som følge af en behandling af vedkommendes personoplysninger i GSR, jf. de regler, der er fastsat af Den Europæiske Tilsynsførende for Databeskyttelse.

3.   Ingen må lide skade som følge af, at der er indgivet en klage til Den Europæiske Tilsynsførende for Databeskyttelse, eller at et anliggende vedrørende en påstået overtrædelse af forordningens bestemmelser er bragt til den databeskyttelsesansvarliges kendskab.

AFDELING 4

REGISTER OVER ANMELDTE BEHANDLINGER

Artikel 13

Anmeldelsesprocedure

1.   Den registeransvarlige underretter den databeskyttelsesansvarlige om enhver behandling af personoplysninger ved hjælp af en anmeldelsesformular, der er tilgængelig på GSR's intranet (databeskyttelse). Anmeldelsen sendes elektronisk til den databeskyttelsesansvarlige. Der sendes en bekræftende note vedrørende anmeldelsen til den databeskyttelsesansvarlige inden ti arbejdsdage. Når den databeskyttelsesansvarlige har modtaget den bekræftende note, indfører vedkommende anmeldelsen i registeret.

2.   Anmeldelsen skal omfatte alle de oplysninger, der er anført i forordningens artikel 25, stk. 2. Enhver ændring, der berører disse oplysninger, meddeles straks den databeskyttelsesansvarlige.

3.   Yderligere regler og procedurer vedrørende den anmeldelsesprocedure, som de registeransvarlige skal følge, skal indgå i de generelle henstillinger, som den databeskyttelsesansvarlige fremsætter.

Artikel 14

Registerets indhold og formål

1.   Den databeskyttelsesansvarlige fører et register oprettet på grundlag af de anmeldelser, som modtages fra de registeransvarlige, over alle behandlinger, der foretages af personoplysninger.

2.   Registeret skal som et minimum indeholde de oplysninger, der er nævnt i forordningens artikel 25, stk. 2, litra a)-g). De oplysninger, som den databeskyttelsesansvarlige indfører i registeret, kan dog undtagelsesvis begrænses, når det er nødvendigt for at beskytte sikkerheden i forbindelse med en specifik behandling.

3.   Registeret skal være en fortegnelse over de behandlinger af personoplysninger, der finder sted i GSR. Det skal levere oplysninger til de registrerede og lette udøvelsen af disses rettigheder i henhold til forordningens artikel 13-19.

Artikel 15

Adgang til registeret

1.   Den databeskyttelsesansvarlige træffer passende foranstaltninger til at sikre, at alle personer har adgang til registeret, enten direkte eller indirekte via Den Europæiske Tilsynsførende for Databeskyttelse. Den databeskyttelsesansvarlige giver navnlig oplysninger til de berørte personer om, hvordan og hvor der kan indgives anmodning om adgang til registeret, og yder dem bistand hertil.

2.   Undtagen i tilfælde, hvor der gives onlineadgang til registeret, fremsættes anmodninger om adgang til registeret skriftligt, herunder elektronisk, på et af de sprog, der er nævnt i traktatens artikel 314, og tilstrækkelig præcist til, at den databeskyttelsesansvarlige kan identificere den relevante behandling. Der fremsendes straks en kvittering for modtagelse til den anmodende person.

3.   Hvis en anmodning ikke er tilstrækkelig præcis, beder den databeskyttelsesansvarlige den anmodende person om at præcisere anmodningen og bistår vedkommende hermed. Vedrører anmodningen et meget stort antal behandlinger, kan den databeskyttelsesansvarlige uformelt tage kontakt til den anmodende person med henblik på at finde en rimelig løsning.

4.   Enhver person kan anmode den databeskyttelsesansvarlige om en kopi af de oplysninger, som er tilgængelige i registeret om en hvilken som helst anmeldt behandling.

AFDELING 5

PROCEDURE FOR DE REGISTREREDES UDØVELSE AF DERES RETTIGHEDER

Artikel 16

Almindelige bestemmelser

1.   De rettigheder for registrerede, som fastsættes i denne afdeling, kan kun udøves af de berørte personer selv eller i undtagelsestilfælde på vegne af de pågældende på grundlag af behørig bemyndigelse. Anmodninger fremsættes skriftligt til den relevante registeransvarlige med kopi til den databeskyttelsesansvarlige. Om fornødent bistår den databeskyttelsesansvarlige den registrerede med at finde frem til den rette registeransvarlige. Den databeskyttelsesansvarlige stiller specifikke formularer til rådighed. De registeransvarlige imødekommer kun anmodningen, hvis formularen er fuldstændigt udfyldt, og klagerens identitet er blevet verificeret. Det er gratis for de registrerede at udøve deres rettigheder.

2.   Den registeransvarlige sender den anmodende person en kvittering for modtagelse senest fem arbejdsdage efter registreringen af anmodningen. Medmindre andet er fastsat, besvarer den registeransvarlige anmodningen senest 15 arbejdsdage efter registreringen af anmodningen, idet vedkommende enten imødekommer anmodningen eller skriftligt begrunder det fulde eller delvise afslag, navnlig i tilfælde, hvor den anmodende person ikke betragtes som registreret.

3.   Hvor der er tale om uregelmæssigheder eller åbenlyst misbrug fra den registreredes side med hensyn til udøvelsen af vedkommendes rettigheder, og hvor den registrerede hævder, at behandlingen er ulovlig, skal den registeransvarlige høre den databeskyttelsesansvarlige om anmodningen og/eller henvise den registrerede til den databeskyttelsesansvarlige, som afgør, om anmodningen skal behandles, og hvordan sagen skal følges op.

4.   Enhver berørt person kan høre den databeskyttelsesansvarlige om udøvelsen af sine rettigheder i et bestemt tilfælde. Uden at det berører et eventuelt muligt retsmiddel, kan den registrerede indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis vedkommende finder, at de rettigheder, som forordningen tillægger vedkommende, er blevet krænket som følge af en behandling af vedkommendes personoplysninger.

Artikel 17

Ret til indsigt

Den registrerede har indtil tre måneder efter, at den registeransvarlige har modtaget den registreredes anmodning, til enhver tid ret til hos den registeransvarlige uden begrænsning at få de oplysninger, der er omhandlet i forordningens artikel 13, litra a)-d), enten ved at konsultere oplysningerne på stedet eller ved at få udleveret en kopi, eventuelt også en elektronisk kopi, alt efter den registreredes ønske.

Artikel 18

Ret til berigtigelse

I en anmodning fra en registreret om berigtigelse af urigtige eller ufuldstændige personoplysninger præciseres det, hvilke oplysninger der er tale om, og hvilken berigtigelse der skal foretages. Den registeransvarlige behandler omgående en sådan anmodning.

Artikel 19

Ret til blokering

Den registeransvarlige behandler omgående enhver anmodning om blokering af personoplysninger efter forordningens artikel 15. I anmodningen præciseres det, hvilke personoplysninger der er tale om, og hvorfor de ønskes blokeret. Den registeransvarlige underretter den registrerede, som har indgivet anmodningen, inden oplysningerne frigives.

Artikel 20

Ret til sletning

Den registrerede kan anmode den registeransvarlige om omgående at slette personoplysninger, hvis behandlingen af dem er ulovlig, navnlig i tilfælde, hvor forordningens artikel 4-10 er overtrådt. I anmodningen præciseres det, hvilke oplysninger der er tale om, og det begrundes eller godtgøres, at behandlingen er ulovlig. I edb-baserede registre sker sletning i princippet med alle relevante tekniske hjælpemidler, der udelukker al yderligere behandling af slettede oplysninger. Hvis det af tekniske årsager ikke er muligt at slette oplysninger, sørger den registeransvarlige, efter høring af den databeskyttelsesansvarlige og den berørte person, for øjeblikkelig at blokere sådanne oplysninger.

Artikel 21

Underretning af tredjemand

Den registrerede kan kræve af den registeransvarlige, at denne i tilfælde af berigtigelse, blokering eller sletning på anmodning af den registrerede, underretter tredjemand, til hvem den registreredes personoplysninger er videregivet, medmindre dette viser sig umuligt eller kræver en uforholdsmæssig stor indsats.

Artikel 22

Indsigelsesret

Den registrerede har i henhold til forordningens artikel 18 ret til at gøre indsigelse mod behandling af personoplysninger, der vedrører vedkommende, mod videregivelse og anvendelse af sådanne oplysninger. I anmodningen præciseres det, hvilke oplysninger der er tale om, og anmodningen begrundes. Er der tale om en berettiget indsigelse, må den pågældende behandling ikke længere omfatte disse personoplysninger.

Artikel 23

Edb-baserede individuelle afgørelser

Den registrerede har i henhold til forordningens artikel 19 ret til ikke at være undergivet edb-baserede individuelle afgørelser, medmindre afgørelsen udtrykkeligt er tilladt i henhold til national lovgivning eller fællesskabslovgivningen eller en beslutning truffet af Den Europæiske Tilsynsførende for Databeskyttelse med henblik på at beskytte den registreredes legitime interesser. I begge tilfælde skal den registrerede have mulighed for forudgående at give sin mening til kende og rådføre sig med den databeskyttelsesansvarlige.

Artikel 24

Undtagelser og begrænsninger

1.   Den registeransvarlige kan, såfremt de i forordningens artikel 20 specificerede legitime grunde klart berettiger dette, begrænse de rettigheder, der er omhandlet i artikel 17-21 i denne afgørelse. Medmindre der er tale om en absolut nødvendighed, rådfører den registeransvarlige sig først med den databeskyttelsesansvarlige, hvis udtalelse ikke er bindende for institutionen. Den registeransvarlige besvarer omgående anmodninger, der vedrører anvendelsen af undtagelser eller begrænsninger i udøvelsen af rettigheder, og begrunder sin afgørelse.

2.   Enhver person kan anmode Den Europæiske Tilsynsførende for Databeskyttelse om at anvende forordningens artikel 47, stk. 1, litra c).

AFDELING 6

UNDERSØGELSESPROCEDUREN

Artikel 25

Praktiske gennemførelsesbestemmelser

1.   Anmodninger om en undersøgelse fremsættes skriftligt til den databeskyttelsesansvarlige ved hjælp af en særlig formular, som fås hos den databeskyttelsesansvarlige. I tilfælde af åbenlyst misbrug af retten til at anmode om en undersøgelse, f.eks. hvis den samme person kort tid forinden har indgivet en identisk anmodning, er den databeskyttelsesansvarlige ikke forpligtet til at besvare anmodningen.

2.   Den databeskyttelsesansvarlige sender inden 15 dage efter modtagelsen af anmodningen en kvittering for modtagelse til ansættelsesmyndigheden eller til den person, som anmodede om undersøgelsen, og kontrollerer, om anmodningen skal behandles fortroligt.

3.   Den databeskyttelsesansvarlige anmoder den registeransvarlige, som forestår den berørte behandling, om at fremsætte en skriftlig udtalelse om spørgsmålet. Den registeransvarlige sender sit svar til den databeskyttelsesansvarlige inden 15 dage. Den databeskyttelsesansvarlige kan eventuelt udbede sig supplerende oplysninger fra andre parter som f.eks. Sikkerhedskontoret og Kontoret for Informationssystemsikkerhed (Infosec-Kontoret) i GSR. Om fornødent kan den databeskyttelsesansvarlige anmode Rådets Juridiske Tjeneste om en udtalelse. Oplysningerne eller udtalelsen sendes til den databeskyttelsesansvarlige inden 30 dage.

4.   Den databeskyttelsesansvarlige aflægger rapport til ansættelsesmyndigheden eller til den person, der fremsatte anmodningen, senest tre måneder efter modtagelsen af anmodningen.

AFDELING 7

AFSLUTTENDE BESTEMMELSER

Artikel 26

Virkning

Denne afgørelse har virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

---

(1)  EFT L 8 af 12.1.2001, s. 1.

(2)  Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

(3)  Rådets afgørelse 2004/338/EF, Euratom af 22. marts 2004 om vedtagelse af Rådets forretningsorden (EUT L 106 af 15.4.2004, s. 22).

(4)  Rådets afgørelse 2001/264/EF af 19. marts 2001 om vedtagelse af Rådets sikkerhedsforskrifter (EFT L 101 af 11.4.2001, s. 1). Senest ændret ved afgørelse 2004/194/EF (EUT L 63 af 28.2.2004, s. 48).

(5)  Afgørelse truffet af generalsekretæren for Rådet/den højtstående repræsentant for den fælles udenrigs- og sikkerhedspolitik den 25. juni 2001 om en kodeks for god forvaltningsskik for Generalsekretariatet for Rådet for Den Europæiske Union og dets personale for så vidt angår deres tjenstlige forbindelser med offentligheden (EFT C 189 af 5.7.2001, s. 1).

(6)  EFT L 56 af 4.3.1968, s. 1. Senest ændret ved forordning (EF, Euratom) nr. 723/2004 (EUT L 124 af 27.4.2004, s. 1).

(7)  EFT L 248 af 16.9.2002, s. 1.

---