EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D2243
Commission Decision (EU) 2021/2243 of 15 December 2021 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of the processing of personal data for the purposes of the security of information and communication systems of the Commission
Kommissionens afgørelse (EU) 2021/2243 af 15. december 2021 om interne regler vedrørende underretning af registrerede og begrænsning af visse af deres rettigheder i forbindelse med behandlingen af personoplysninger med henblik på sikkerheden i Kommissionens informations- og kommunikationssystemer
Kommissionens afgørelse (EU) 2021/2243 af 15. december 2021 om interne regler vedrørende underretning af registrerede og begrænsning af visse af deres rettigheder i forbindelse med behandlingen af personoplysninger med henblik på sikkerheden i Kommissionens informations- og kommunikationssystemer
C/2021/9176
EUT L 450 af 16.12.2021, p. 149–155
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
16.12.2021 |
DA |
Den Europæiske Unions Tidende |
L 450/149 |
KOMMISSIONENS AFGØRELSE (EU) 2021/2243
af 15. december 2021
om interne regler vedrørende underretning af registrerede og begrænsning af visse af deres rettigheder i forbindelse med behandlingen af personoplysninger med henblik på sikkerheden i Kommissionens informations- og kommunikationssystemer
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 249, stk. 1, og
ud fra følgende betragtninger:
|
(1) |
Kommissionen er under udførelsen af sine opgaver forpligtet til at respektere fysiske personers rettigheder med hensyn til behandling af personoplysninger, jf. artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde. Den skal også respektere de rettigheder, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (1). Samtidig skal Kommissionen håndtere IT-sikkerhedshændelser i overensstemmelse med reglerne i artikel 15 i afgørelse (EU, Euratom) 2017/46 (2). |
|
(2) |
For at garantere IT-sikkerheden, hvorved forstås bevarelse af fortroligheden, integriteten og tilgængeligheden af kommunikations- og informationssystemerne og de datasæt, som de behandler, for så vidt angår fysiske personer, aktiver og oplysninger, træffer Kommissionen, bl.a. via Generaldirektoratet for Informationsteknologi, foranstaltninger i medfør af afgørelse (EU, Euratom) 2017/46 og afgørelse C(2017) 8841 final (3). Disse foranstaltninger omfatter overvågning af IT-sikkerhedsrisici og af de gennemførte IT-sikkerhedsforanstaltninger, anmodning af systemejere om at træffe specifikke IT-sikkerhedsforanstaltninger for at begrænse IT-sikkerhedsrisici for Kommissionens kommunikations- og informationssystemer og håndtering af IT-sikkerhedshændelser. |
|
(3) |
Generaldirektoratet for Informationsteknologi leverer IT-sikkerhedsoperationer og -tjenester til Kommissionen og skal kunne behandle flere kategorier af personoplysninger for at kunne:
|
|
(4) |
IT-sikkerhedshændelser, der kan underminere sikkerheden i Kommissionens informations- og kommunikationssystemer, kan opstå som led i enhver behandlingsaktivitet, der udføres af Kommissionen. De kan omfatte enhver kategori af personoplysninger, som Kommissionen behandler. |
|
(5) |
I visse tilfælde er det nødvendigt at afveje hensynet til de registreredes rettigheder i henhold til forordning (EU) 2018/1725 mod Kommissionens behov for effektivt at kunne udføre sine opgaver for at garantere IT-sikkerhedsbeskyttelsen af personer, aktiver og oplysninger i Kommissionen i henhold til afgørelse (EU, Euratom) 2017/46, samtidig med at andre registreredes grundlæggende rettigheder og frihedsrettigheder respekteres fuldt ud. Med henblik herpå har Kommissionen i henhold til artikel 25, stk. 1, i forordning (EU) 2018/1725 mulighed for at begrænse anvendelsen af artikel 14-17, 19, 20 og 35 i nævnte forordning samt det i samme forordnings artikel 4, stk. 1, litra a), nævnte gennemsigtighedsprincip for så vidt bestemmelserne heri svarer til de rettigheder og forpligtelser, der er fastsat i nævnte forordnings artikel 14-17, 19 og 20. |
|
(6) |
Denne afgørelse bør anvendes på alle de behandlingsaktiviteter, som Kommission som dataansvarlig udfører i forbindelse med udførelsen af sine opgaver for at garantere IT-sikkerhedsbeskyttelsen af personer, aktiver og oplysninger i Kommissionen i henhold til afgørelse (EU, Euratom) 2017/46. Den bør derfor omfatte de registrerede, som de kategorier af personoplysninger, der er omfattet af alle disse behandlingsaktiviteter, hører til, dvs. personer, som interagerer med et af Kommissionens informations- og kommunikationssystemer. |
|
(7) |
Personoplysninger opbevares i et sikret elektronisk miljø for at forhindre, at personer uden for Kommissionen får ulovlig adgang. Der gælder forskellige dataopbevaringsperioder for forskellige behandlingsaktiviteter, afhængigt af hvilken type personoplysninger der er tale om. I Kommissionen styres opbevaringen af sagsakter ved hjælp af den fælles opbevaringsliste (SEC(2019) 900) udarbejdet på kommissionsniveau, som er et retligt dokument i form af en opbevaringsplan, hvori der fastsættes opbevaringsperioder for Kommissionens forskellige typer sagsakter for at begrænse dataopbevaringen til det nødvendige. |
|
(8) |
Kommissionen kan være nødsaget til at begrænse anvendelsen af registreredes rettigheder for at garantere den interne sikkerhed, jf. artikel 25, stk. 1, litra d), i forordning (EU) 2018/1725 (dvs. for at sikre fortroligheden, integriteten og tilgængeligheden af sine kommunikations- og informationssystemer og de datasæt, som disse behandler, sine aktiver og oplysninger). Dette kan navnlig være nødvendigt, når Kommissionen:
|
|
(9) |
Hvad angår håndteringen af IT-sikkerhedshændelser, jf. artikel 15 i afgørelse (EU, Euratom) 2017/46, kan Generaldirektoratet for Informationsteknologi udveksle oplysninger med cyberangrebsenheden under Generaldirektorat for Menneskelige Ressourcer og Sikkerhed. |
|
(10) |
For at overholde artikel 14, 15 og 16 i forordning (EU) 2018/1725 bør Kommissionen underrette alle fysiske personer om de aktiviteter, der indebærer, at deres personoplysninger behandles, og som påvirker deres rettigheder. Den bør gøre dette på en gennemsigtig og sammenhængende måde ved at offentliggøre en databeskyttelsesmeddelelse på Kommissionens websted. Hvis det er relevant, bør den træffe yderligere beskyttelsesforanstaltninger for at underrette registrerede individuelt i en passende form. |
|
(11) |
Ved overholdelse af artikel 14, 15 og 16 i forordning (EU) 2018/1725 kan IT-sikkerhedsforanstaltninger, -sårbarheder eller -hændelser, jf. artikel 15 i afgørelse (EU, Euratom) 2017/46 blive afsløret. Bliver af sådanne IT-sikkerhedsforanstaltninger, -sårbarheder og -hændelser kendt, øges risikoen for, at den opdagede IT-sikkerhedsforanstaltning vil blive omgået, at den eksponerede sårbarhed dernæst vil blive udnyttet, og at en igangværende IT-sikkerhedsanalyse kan blive undermineret, fordi genstande kan manipuleres utilsigtet eller forsætligt af en bruger eller en ondsindet aktør. Dette kan i alvorlig grad forringe Kommissionens mulighed for at garantere den interne IT-sikkerhed og navnlig for at håndtere IT-sikkerhedshændelser effektivt i fremtiden. |
|
(12) |
Ifølge artikel 25, stk. 1, litra h), i forordning (EU) 2018/1725 kan Kommissionen også begrænse anvendelsen af registreredes rettigheder for at beskytte andre personers rettigheder og frihedsrettigheder i forbindelse IT-sikkerhedshændelser, som kunne underminere IT-sikkerhedsaktiviteter. |
|
(13) |
Kommissionen kan også blive nødt til at begrænse underretningen af de registrerede og anvendelsen af andre af de registreredes rettigheder i forbindelse med personoplysninger, der modtages fra tredjelande eller internationale organisationer, med henblik på at opfylde sin pligt til at samarbejde med disse lande eller organisationer. Dette er en del af Kommissionens pligt til at beskytte et vigtigt mål i Unionens generelle samfundsinteresser, jf. artikel 25, stk. 1, litra c), i forordning (EU) 2018/1725. I visse tilfælde kan den registreredes grundlæggende rettigheder dog gå forud for hensynet til det internationale samarbejde. |
|
(14) |
Kommissionen har derfor fastsat, at de hensyn, der er anført i artikel 25, stk. 1, litra c), d) og h), i forordning (EU) 2018/1725, kan udgøre begrundelser for begrænsninger, som det kan være nødvendigt at anvende på databehandlingsaktiviteter, der udføres af Generaldirektoratet for Informationsteknologi i forbindelse med levering af IT-sikkerhedsaktiviteter og -tjenester til Kommissionen. |
|
(15) |
Enhver begrænsning, der anvendes i henhold til denne afgørelse, bør være nødvendig og stå i rimeligt forhold til formålet under hensyntagen til risiciene for registreredes rettigheder og frihedsrettigheder. |
|
(16) |
Kommissionen bør behandle alle begrænsninger på en gennemsigtig måde og registrere enhver anvendelse af begrænsninger i det tilsvarende registreringssystem. |
|
(17) |
I henhold til artikel 25, stk. 8, i forordning (EU) 2018/1725 kan den dataansvarlige udsætte, undlade eller afvise at underrette den registrerede om årsagerne til anvendelsen af en begrænsning, hvis underretningen på nogen måde ville underminere virkningen af begrænsningen. Dette gælder navnlig begrænsninger i de forpligtelser, der er omhandlet i artikel 16 og 35 i forordning (EU) 2018/1725. Kommissionen bør jævnligt tage de pålagte begrænsninger op til fornyet overvejelse for at sikre, at den registreredes ret til at blive underrettet, jf. artikel 16 og 35 i forordning (EU) 2018/1725, kun begrænses, så længe begrænsningerne er nødvendige for, at Kommissionen kan garantere sikkerheden og navnlig håndtere IT-sikkerhedshændelser. |
|
(18) |
Hvis Kommissionen begrænser anvendelsen af andre rettigheder end dem, den registrerede er omfattet af i henhold til artikel 16 og 35 i forordning (EU) 2018/1725, bør den dataansvarlige fra sag til sag vurdere, om det ville underminere formålet med begrænsningen at underrette herom. |
|
(19) |
Kommissionens databeskyttelsesrådgiver bør foretage en uafhængig gennemgang af anvendelsen af begrænsninger med henblik på at sikre, at denne afgørelse overholdes. |
|
(20) |
For at gøre det umiddelbart muligt for Kommissionen at begrænse anvendelsen af visse rettigheder og forpligtelser i overensstemmelse med artikel 25 i forordning (EU) 2018/1725 bør denne afgørelse træde i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. |
|
(21) |
Den Europæiske Tilsynsførende for Databeskyttelse afgav udtalelse den 16. september 2021 — |
VEDTAGET DENNE AFGØRELSE:
Artikel 1
Genstand og anvendelsesområde
1. Ved denne afgørelse fastsættes de regler, som Kommissionen skal følge med hensyn til at underrette registrerede om behandlingen af deres personoplysninger i henhold til artikel 14, 15 og 16 i forordning (EU) 2018/1725 i forbindelse med udførelsen af dens opgaver i henhold afgørelse (EU, Euratom) 2017/46.
Der fastsættes også betingelser for, hvornår Kommissionen kan begrænse anvendelsen af artikel 4, 14-17, 19, 20 og 35 i forordning (EU) 2018/1725 i henhold til samme forordnings artikel 25, stk. 1, litra c), d) og h), i forbindelse med udførelsen af dens opgaver i henhold til afgørelse (EU, Euratom) 2017/46.
2. Denne afgørelse finder anvendelse på behandling af personoplysninger, som foretages af eller på vegne af Kommissionen med henblik på eller i forbindelse med de aktiviteter, som den udfører for at kunne garantere IT-sikkerheden for personer, aktiver og oplysninger i Kommissionen i overensstemmelse med afgørelse (EU, Euratom) 2017/46.
Artikel 2
Gældende undtagelser og begrænsninger
1. Når Kommissionen udøver sine pligter med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, overvejer den, om en eller flere af undtagelserne i nævnte forordning finder anvendelse.
2. Hvis udøvelsen af de rettigheder og forpligtelser, der er fastsat i artikel 14-17, 19, 20 og 35 i forordning (EU) 2018/1725, i forbindelse med Kommissionens behandling af personoplysninger vil kunne underminere formålet med at levere IT-sikkerhedsaktiviteter og -tjenester, bl.a. ved at afsløre Kommissionens undersøgelsesværktøjer, sårbarheder og metoder, eller vil kunne skade andre registreredes rettigheder, frihedsrettigheder og sikkerhed, navnlig behandlingen af personoplysninger med henblik på at:
|
— |
udsende alarmer og advarsler vedrørende IT-sikkerhedsbegivenheder og -hændelser |
|
— |
reagere på og begrænse IT-sikkerhedsbegivenheder og -hændelser |
|
— |
understøtte værktøjer og operationer ved hjælp af sikkerhedsrevisioner, sikkerhedsvurderinger og sårbarhedsstyring |
|
— |
øge bevidstheden om cybersikkerhed blandt Kommissionens personale |
|
— |
overvåge, opdage og forhindre IT-sikkerhedsbegivenheder og -hændelser |
|
— |
kontrollere privilegerede brugerkonti, |
kan Kommissionen, uden at det berører artikel 3-7, i denne afgørelse begrænse anvendelsen af:
|
a) |
artikel 14-17, 19, 20 og 35 i forordning (EU) 2018/1725 og |
|
b) |
princippet om gennemsigtighed, jf. artikel 4, stk. 1, litra a), i forordning (EU) 2018/1725, for så vidt som bestemmelserne heri svarer til de rettigheder og forpligtelser, der er fastsat i artikel 14-17, 19 og 20 i forordning (EU) 2018/1725. |
Kommissionen kan gøre dette i overensstemmelse med artikel 25, stk. 1, litra c), d) og h), i forordning (EU) 2018/1725.
3. Uden at det berører artikel 3-7, kan Kommissionen begrænse de rettigheder og forpligtelser, der er omhandlet i denne artikels stk. 2:
|
a) |
hvis udøvelsen af disse rettigheder og forpligtelser med hensyn til personoplysninger, der er indhentet fra en anden EU-institution eller et andet EU-organ, -agentur eller -kontor, kan begrænses af denne anden EU-institution eller dette andet EU-organ, -agentur eller -kontor på grundlag af de retsakter, der er omhandlet i artikel 25 i forordning (EU) 2018/1725, eller i henhold til kapitel IX i nævnte forordning, i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/794 (4) eller i overensstemmelse med Rådets forordning (EU) 2017/1939 (5) |
|
b) |
hvis udøvelsen af disse rettigheder og forpligtelser med hensyn til personoplysninger indhentet fra en medlemsstats kompetente myndighed kan begrænses af denne medlemsstats kompetente myndigheder på grundlag af lovgivningsmæssige foranstaltninger, jf. artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6), eller på grundlag af nationale foranstaltninger til gennemførelse af artikel 13, stk. 3, artikel 15, stk. 3, eller artikel 16, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (7) |
|
c) |
hvis udøvelsen af disse rettigheder og forpligtelser vil underminere Kommissionens samarbejde med tredjelande eller internationale organisationer om fælles cybersikkerhedstrusler. |
Inden Kommissionen anvender begrænsninger i de tilfælde, der er anført i første afsnit, litra a) og b), hører den de relevante EU-institutioner, EU-organer, EU-agenturer, EU-kontorer eller kompetente myndigheder i medlemsstaterne om de mulige grunde til at pålægge begrænsninger og om nødvendigheden og proportionaliteten af de pågældende begrænsninger, medmindre dette vil underminere Kommissionens aktiviteter, og medmindre det er klart for den, at der er retsgrundlag for at anvende en begrænsning i en af de retsakter, der henvises til i de pågældende litraer, eller at en sådan høring vil bringe formålet med dens aktiviteter i henhold til afgørelse (EU, Euratom) 2017/46 i fare.
Første afsnit, litra c), finder ikke anvendelse, hvis den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud for Kommissionens interesse i at samarbejde med tredjelande eller internationale organisationer.
4. Stk. 1, 2 og 3 berører ikke anvendelsen af andre kommissionsafgørelser vedrørende interne regler om underretning af registrerede og begrænsning af anvendelsen af visse rettigheder i henhold til artikel 25 i forordning (EU) 2018/1725.
5. Enhver begrænsning af rettigheder og forpligtelser, jf. stk. 2, skal være nødvendig og stå i rimeligt forhold til risiciene for registreredes rettigheder og frihedsrettigheder.
6. Der foretages en nødvendigheds- og proportionalitetstest fra sag til sag, før der anvendes begrænsninger, og begrænsningerne skal begrænses til, hvad der er strengt nødvendigt for at opfylde det tilsigtede formål.
Artikel 3
Underretning af registrerede
1. Kommissionen offentliggør en databeskyttelsesmeddelelse på sit websted, hvorved alle registrerede underrettes om de af dens aktiviteter, der indebærer behandling af deres personoplysninger med henblik på udførelsen af dens opgaver i henhold til afgørelse (EU, Euratom) 2017/46, herunder en beskrivelse af de involverede kategorier af personoplysninger. Hvis det lader sig gøre, uden at IT-sikkerheden bringes i fare, sikrer Kommissionen, at de registrerede underrettes individuelt i en passende form.
2. Hvis Kommissionen helt eller delvist begrænser underretningen af de registrerede, hvis personoplysninger behandles med henblik på udførelsen af dens opgaver i henhold til afgørelse (EU, Euratom) 2017/46, dokumenterer og registrerer den årsagerne til begrænsningen i henhold til denne afgørelses artikel 6.
Artikel 4
Den registreredes indsigtsret, ret til sletning og ret til begrænsning af databehandling
1. Hvis Kommissionen helt eller delvis begrænser registreredes ret til indsigt i personoplysninger, ret til sletning eller ret til begrænsning af databehandling, jf. artikel 17, 19 og 20 i forordning (EU) 2018/1725, underretter den i sit svar på anmodningen om indsigt, sletning eller begrænsning af databehandlingen den pågældende registrerede:
|
a) |
om den anvendte begrænsning og om hovedårsagerne hertil og |
|
b) |
om, hvordan en klage indgives til Den Europæiske Tilsynsførende for Databeskyttelse, eller hvordan en sag indbringes for Den Europæiske Unions Domstol. |
2. Kommissionen kan udsætte, undlade eller afvise at underrette om årsagerne til den i stk. 1 omhandlede begrænsning, så længe dette vil underminere formålet med begrænsningen.
3. Kommissionen dokumenterer og registrerer årsagerne til begrænsningen i henhold til artikel 6.
4. Hvis retten til indsigt helt eller delvist begrænses, kan den registrerede udøve sin ret til indsigt ved at rette henvendelse til Den Europæiske Tilsynsførende for Databeskyttelse i henhold til artikel 25, stk. 6, 7 og 8, i forordning (EU) 2018/1725.
Artikel 5
Underretning om et brud på persondatasikkerheden til registrerede
Hvis Kommissionen begrænser underretningen om et brud på persondatasikkerheden til den registrerede, jf. artikel 35 i forordning (EU) 2018/1725, dokumenterer og registrerer den årsagerne til begrænsningen i henhold til denne afgørelses artikel 6. Kommissionen meddeler denne dokumentation til Den Europæiske Tilsynsførende for Databeskyttelse på det tidspunkt, hvor bruddet på persondatasikkerheden anmeldes.
Artikel 6
Dokumentering og registrering af begrænsninger
1. Kommissionen dokumenterer årsagerne til enhver begrænsning, der anvendes i henhold til denne afgørelse, herunder en henvisning til retsgrundlaget for begrænsningen og en vurdering af begrænsningens nødvendighed og proportionalitet, under hensyntagen til de relevante elementer i artikel 25, stk. 2, i forordning (EU) 2018/1725.
2. Det skal af dokumenteringen fremgå, hvordan den registreredes udøvelse af en rettighed vil kunne underminere formålet med at levere IT-sikkerhedsaktiviteter og -tjenester til Kommissionen i henhold til afgørelse (EU, Euratom) 2017/46 eller formålet med de begrænsninger, der anvendes i henhold til denne afgørelses artikel 2, stk. 2 eller 3, eller vil være til skade for andre registreredes rettigheder og frihedsrettigheder.
3. Kommissionen registrerer denne dokumentation og andre dokumenter, som indeholder underliggende faktiske og retlige elementer. Dokumentationen stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.
Artikel 7
Begrænsningernes varighed
1. De begrænsninger, der er omhandlet i artikel 3, 4 og 5, finder fortsat anvendelse, så længe årsagerne hertil fortsat er gyldige.
2. Når årsagerne til en begrænsning omhandlet i artikel 3, 4 og 5 ikke længere er gyldige skal Kommissionen:
|
a) |
ophæve begrænsningen |
|
b) |
oplyse den registrerede om de vigtigste årsager til begrænsningen |
|
c) |
oplyse den registrerede om, hvordan der kan indgives klage til Den Europæiske Tilsynsførende for Databeskyttelse eller indbringes en sag for Den Europæiske Unions Domstol. |
Artikel 8
Beskyttelsesforanstaltninger og opbevaringsperioder
1. Kommissionen foretager en gennemgang af anvendelsen af de i artikel 3, 4 og 5 omhandlede begrænsninger seks måneder efter vedtagelsen heraf og ved den pågældende IT-sikkerhedsaktivitets afslutning. Derefter gennemgår og overvåger Kommissionen årligt behovet for at opretholde enhver begrænsning.
Gennemgangen skal omfatte en vurdering af begrænsningens nødvendighed og proportionalitet under hensyntagen til de relevante elementer i artikel 25, stk. 2, i forordning (EU) 2018/1725.
2. Med henblik på at undgå hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret fremsendelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet, har Kommissionen vedtaget tekniske og organisatoriske foranstaltninger såsom forvaltning af adgangsrettigheder, politik for sikkerhedskopiering og andre foranstaltninger i overensstemmelse med afgørelse (EU/Euratom) 2017/46.
3. Kommissionen dokumenterer de gældende opbevaringsperioder i overensstemmelse med den fælles opbevaringsliste på kommissionsniveau og oplyser registrerede om de relevante opbevaringsperioder for behandlingsaktiviteterne i sin databeskyttelsesmeddelelse.
Artikel 9
Gennemgang foretaget af Kommissionens databeskyttelsesrådgiver
1. Databeskyttelsesrådgiveren skal uden unødigt ophold underrettes, når en registrerets rettigheder begrænses i henhold til denne afgørelse. Efter anmodning gives databeskyttelsesrådgiveren adgang til dokumenteringen og alt materiale, der indeholder underliggende faktiske og retlige elementer.
2. Databeskyttelsesrådgiveren kan anmode om en fornyet gennemgang af begrænsningerne og skal underrettes om resultatet af den fornyede gennemgang.
3. Kommissionen dokumenterer inddragelsen af databeskyttelsesrådgiveren, når en registrerets rettigheder begrænses i henhold til denne afgørelse.
Artikel 10
Ikrafttræden
Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Udfærdiget i Bruxelles, den 15. december 2021.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
(2) Kommissionens afgørelse (EU, Euratom) 2017/46 af 10. januar 2017 om kommunikations- og informationssystemernes sikkerhed i Europa-Kommissionen (EUT L 6 af 11.1.2017, s. 40).
(3) Commission Decision (C(2017) 8841) of 13 December 2017 laying down implementing rules for Articles 3, 5, 7, 8, 9, 10, 11, 12, 14, 15 of Commission Decision 2017/46 on the security of communications and information systems in the Commission.
(4) Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT L 135 af 24.5.2016, s. 53).
(5) Rådets forordning (EU) 2017/1939 af 12. oktober 2017 om gennemførelse af et forstærket samarbejde om oprettelse af Den Europæiske Anklagemyndighed (»EPPO«) (EUT L 283 af 31.10.2017, s. 1).
(6) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(7) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).