Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32019D0236

Kommissionens afgørelse (EU) 2019/236 af 7. februar 2019 om interne regler vedrørende underretning af registrerede og begrænsning af visse af deres rettigheder i forbindelse med Europa-Kommissionens behandling af personoplysninger med henblik på den interne sikkerhed i EU-institutionerne

C/2019/761

OJ L 37, 8.2.2019, p. 144–149 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec/2019/236/oj

8.2.2019   

DA

Den Europæiske Unions Tidende

L 37/144


KOMMISSIONENS AFGØRELSE (EU) 2019/236

af 7. februar 2019

om interne regler vedrørende underretning af registrerede og begrænsning af visse af deres rettigheder i forbindelse med Europa-Kommissionens behandling af personoplysninger med henblik på den interne sikkerhed i EU-institutionerne

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 249, stk. 1, og

ud fra følgende betragtninger:

(1)

Kommissionen skal kunne arbejde i et sikkert og trygt miljø. Den har derfor brug for en sammenhængende og integreret tilgang til Kommissionens sikkerhed, hvor personer, aktiver og oplysninger sikres den rette grad af beskyttelse afstemt efter de konstaterede risici, og hvor sikkerheden garanteres effektivt og rettidigt. Kommissionen står over for store sikkerhedsmæssige trusler og udfordringer, især i form af terrorisme, cyberangreb og politisk og kommerciel spionage.

(2)

For at garantere sikkerhedsbeskyttelsen af personer, aktiver og oplysninger træffer Kommissionen, bl.a. via Sikkerhedsdirektoratet i Generaldirektoratet for Menneskelige Ressourcer og Sikkerhed, foranstaltninger i medfør af Kommissionens afgørelse (EU, Euratom) 2015/443 (1), som indebærer behandling af forskellige kategorier af personoplysninger. Disse foranstaltninger omfatter bl.a. baggrundskontrol i henhold til artikel 7, stk. 5, trusselsvurderinger i henhold til artikel 12 og sikkerhedsundersøgelser i henhold til artikel 13 i afgørelse (EU, Euratom) 2015/443. Kommissionen indsamler inden for rammerne af sine undersøgelsesbeføjelser oplysninger af interesse for en undersøgelse, herunder personoplysninger, fra forskellige kilder — offentlige myndigheder og fysiske personer — og udveksler dem med EU's øvrige institutioner, organer, kontorer og agenturer, med kompetente myndigheder i medlemsstaterne og tredjelande samt med internationale organisationer inden, under og efter undersøgelses- eller koordineringsaktiviteterne.

(3)

De kategorier af personoplysninger, der behandles af Kommissionen, består f.eks. i identifikationsoplysninger, kontaktoplysninger, erhvervsmæssige oplysninger og oplysninger relateret til eller sat i forbindelse med genstanden for baggrundskontrollen, trusselsvurderingen eller undersøgelsen. Personoplysningerne lagres i et sikret elektronisk miljø for at forhindre ulovlig adgang til eller videregivelse af oplysninger til personer uden for Kommissionen. Personoplysningerne opbevares i de af Kommissionens tjenestegrene, der er ansvarlige for undersøgelsen, indtil undersøgelsen er afsluttet. Der gælder forskellige opbevaringsfrister for forskellige behandlinger afhængigt af, hvilken kategori af undersøgelse der er tale om, dvs. om der er tale om mistanke om strafbare handlinger, kontraefterretning eller bekæmpelse af terrorisme. Ved udløbet af opbevaringsperioden slettes de sagsrelaterede oplysninger, herunder personoplysninger (2).

(4)

Kommissionen er under udførelsen af sine opgaver forpligtet til at overholde fysiske personers rettigheder med hensyn til behandling af personoplysninger, jf. artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde, samt de rettigheder, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (3). Samtidig er Kommissionen forpligtet til at overholde de strenge fortrolighedsregler, der er omhandlet i artikel 9 i afgørelse (EU, Euratom) 2015/443.

(5)

I visse tilfælde er det nødvendigt at afveje hensynet til de registreredes rettigheder i henhold til forordning (EU) 2018/1725 mod Kommissionens behov for effektivt at kunne udføre sin opgave med at sikkerhedsbeskytte personer, aktiver og oplysninger i Kommissionen i henhold til afgørelse (EU, Euratom) 2015/443, navnlig sine sikkerhedsundersøgelser, og andre registreredes grundlæggende rettigheder og frihedsrettigheder, som også skal overholdes til fulde. Med henblik herpå fastsættes det i artikel 25, stk. 1, litra c), d) og h), i forordning (EU) 2018/1725, at Kommissionen kan begrænse anvendelsen af artikel 14-17, artikel 19, 20 og 35 samt gennemsigtighedsprincippet i artikel 4, stk. 1, litra a), for så vidt bestemmelserne heri svarer til de rettigheder og forpligtelser, der er fastsat i nævnte forordnings artikel 14-17, 19 og 20.

(6)

For at sikre, at Kommissionen effektivt kan udføre sin opgave med at sikkerhedsbeskytte personer, aktiver og oplysninger i Kommissionen i henhold til afgørelse (EU, Euratom) 2015/443, navnlig sine sikkerhedsundersøgelser, er det nødvendigt at vedtage interne regler, som giver Kommissionen mulighed for at begrænse registreredes rettigheder i overensstemmelse med artikel 25, stk. 1, litra c), d), og h), i forordning (EU) 2018/1725, samtidig med at standarderne for beskyttelse af personoplysninger i henhold til forordning (EU) 2018/1725 overholdes.

(7)

Disse interne regler bør omfatte al behandling af personoplysninger, som Kommissionen foretager i forbindelse med udførelsen af sine opgaver for at garantere sikkerhedsbeskyttelsen af personer, aktiver og oplysninger i Kommissionen i henhold til afgørelse (EU, Euratom) 2015/443, især sin undersøgelsesfunktion på sikkerhedsområdet. De bør gælde for den behandling af personoplysninger, der foretages forud for en undersøgelse, i løbet af en undersøgelse og som led i tilsynet med, at der følges op på resultatet af en undersøgelse.

(8)

For at efterleve artikel 14, 15 og 16 i forordning (EU) 2018/1725 bør Kommissionen underrette alle fysiske personer om de af dens aktiviteter, der indebærer behandling af deres personoplysninger, og om deres rettigheder på en gennemsigtig og sammenhængende måde via en databeskyttelsesmeddelelse, der offentliggøres på Kommissionens websted.

(9)

Kommissionen bør derudover i en hensigtsmæssig form underrette de enkelte registrerede, der er omfattet af en sikkerhedsundersøgelse, dvs. de pågældende personer og vidner. Kommissionen bør endvidere enkeltvis underrette personer, hvis oplysninger behandles som led i sikkerhedsforanstaltninger, der er truffet i henhold til artikel 7, stk. 5, og artikel 12, stk. 1, litra d) og e), i afgørelse (EU, Euratom) 2015/443, dvs. i forbindelse med gennemsøgning af Kommissionens lokaliteter og kommunikations- og informationssystemer og -udstyr.

(10)

På grundlag af artikel 25 i forordning (EU) 2018/1725 kan det være nødvendigt for Kommissionen at begrænse udleveringen af oplysninger til de registrerede og udøvelsen af andre af de registreredes rettigheder for at beskytte navnlig en sikkerhedsundersøgelse, dens undersøgelsesværktøjer og metoder, andre offentlige myndigheders sikkerhedsundersøgelser og databehandling samt de rettigheder, som andre personer med relation til den pågældende sikkerhedsundersøgelse, de pågældende undersøgelser og/eller den pågældende databehandling måtte have.

(11)

I visse tilfælde kan meddelelsen af bestemte oplysninger til de registrerede eller afsløringen af, at der er indledt en undersøgelse, eller af, at der er truffet sikkerhedsforanstaltninger i henhold til artikel 12, stk. 1, litra d) og e), i afgørelse (EU, Euratom) 2015/443, dvs. en gennemsøgning af Kommissionens lokaliteter og kommunikations- og informationssystemer og -udstyr, gøre det umuligt at gennemføre undersøgelsen eller i alvorlig grad skade formålet med undersøgelsen og Kommissionens evne til at garantere Kommissionens sikkerhed og især til at foretage sikkerhedsundersøgelser effektivt i fremtiden.

(12)

Desuden kan Kommissionen for at bevare et effektivt samarbejde, jf. artikel 17, stk. 2 og 3, i afgørelse (EU, Euratom) 2015/443, være nødsaget til at begrænse udøvelsen af de registreredes rettigheder for at beskytte behandlingen af personoplysninger i EU's andre institutioner, organer, kontorer og agenturer eller hos medlemsstaternes kompetente myndigheder. Kommissionen bør derfor rådføre sig med de pågældende institutioner, organer, kontorer, agenturer og myndigheder om det relevante grundlag for at indføre begrænsninger samt om begrænsningernes nødvendighed og proportionalitet.

(13)

Det kan også være nødvendigt for Kommissionen at begrænse underretningen af de registrerede og udøvelsen af andre af de registreredes rettigheder i forbindelse med personoplysninger, der modtages fra tredjelande eller internationale organisationer, for at kunne opfylde pligten til at samarbejde med disse lande eller organisationer og dermed beskytte et vigtigt mål i Unionens almene interesse. I visse tilfælde kan den registreredes interesser eller grundlæggende rettigheder imidlertid tilsidesætte hensynet til det internationale samarbejde.

(14)

Kommissionen bør behandle alle begrænsninger på en gennemsigtig måde og registrere enhver anvendelse af begrænsninger i det tilhørende registreringssystem.

(15)

I henhold til artikel 25, stk. 8, i forordning (EU) 2018/1725 kan den dataansvarlige udsætte, udelade eller afvise at meddele den registrerede årsagerne til at anvende en begrænsning, hvis meddelelsen på nogen måde ville være til skade for begrænsningens formål. Dette gælder navnlig begrænsninger af de rettigheder, der er omhandlet i artikel 16 og 35 i forordning (EU) 2018/1725.

(16)

Kommissionen bør jævnligt tage de pålagte begrænsninger op til fornyet overvejelse for at sikre, at den registreredes ret til at blive underrettet, jf. artikel 16 og 35 i forordning (EU) 2018/1725, kun begrænses, så længe begrænsningerne er nødvendige for, at Kommissionen kan garantere sikkerheden og navnlig foretage sine sikkerhedsundersøgelser.

(17)

Hvis andre af de registreredes rettigheder begrænses, bør den dataansvarlige i hvert enkelt tilfælde vurdere, om det vil være til skade for formålet at underrette om begrænsningen.

(18)

Kommissionens databeskyttelsesansvarlige bør foretage en uafhængig gennemgang af anvendelsen af begrænsninger med henblik på at sikre, at denne afgørelse overholdes.

(19)

Den Europæiske Tilsynsførende for Databeskyttelse afgav udtalelse den 10. december 2018 —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

Genstand og anvendelsesområde

1.   I denne afgørelse fastsættes de regler, der gælder for Kommissionens underretning af registrerede om behandlingen af deres personoplysninger i henhold til artikel 14, 15 og 16 i forordning (EU) 2018/1725 i forbindelse med udførelsen af alle dens opgaver i henhold afgørelse (EU, Euratom) 2015/443.

I afgørelsen fastsættes også betingelserne for, hvornår Kommissionen kan begrænse anvendelsen af artikel 4, 14-17, 19, 20 og 35 i forordning (EU) 2018/1725 i henhold til samme forordnings artikel 25, stk. 1, litra c), d) og h).

2.   Denne afgørelse finder anvendelse på Kommissionens behandling af personoplysninger med henblik på eller i forbindelse med de aktiviteter, som den udfører for at kunne garantere sikkerhedsbeskyttelsen af personer, aktiver og oplysninger i Kommissionen i overensstemmelse med afgørelse (EU, Euratom) 2015/443.

Artikel 2

Gældende undtagelser og begrænsninger

1.   Når Kommissionen opfylder sine pligter med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, overvejer den, om en eller flere af undtagelserne i nævnte forordning gælder.

2.   I henhold til artikel 3-7 i denne afgørelse kan Kommissionen begrænse anvendelsen af artikel 14-17, 19, 20 og 35 i forordning (EU) 2018/1725 og gennemsigtighedsprincippet i artikel 4, stk. 1, litra a), i samme forordning, for så vidt som bestemmelserne deri svarer til de rettigheder og forpligtelser, der er fastsat i artikel 14-17, 19 og 20 i forordning (EU) 2018/1725, hvis udøvelsen af disse rettigheder og forpligtelser ville bringe den interne sikkerhed i EU's institutioner, organer, kontorer eller agenturer, herunder deres elektroniske kommunikationsnet, i fare, bl.a. ved at afsløre dens undersøgelsesredskaber og -metoder i forbindelse med sikkerhedsundersøgelser, eller påvirke andre registreredes rettigheder og frihedsrettigheder negativt.

3.   I henhold til artikel 3-7 kan Kommissionen begrænse de rettigheder og forpligtelser, der er omhandlet i stk. 2, med hensyn til personoplysninger indhentet fra EU's andre institutioner, organer, agenturer og kontorer, fra kompetente myndigheder i medlemsstater eller tredjelande eller fra internationale organisationer i følgende tilfælde:

a)

hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af EU's andre institutioner, organer, agenturer og kontorer på grundlag af andre retsakter, jf. artikel 25 i forordning (EU) 2018/1725, eller i overensstemmelse med nævnte forordnings kapitel IX, Europa-Parlamentets og Rådets forordning (EU) 2016/794 (4) eller Rådets forordning (EU) 2017/1939 (5)

b)

hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af medlemsstaternes kompetente myndigheder på grundlag af de retsakter, der er omhandlet i artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6), eller på grundlag af nationale foranstaltninger til gennemførelse af artikel 13, stk. 3, artikel 15, stk. 3, eller artikel 16, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (7)

c)

hvis udøvelsen af disse rettigheder og forpligtelser kunne bringe Kommissionens samarbejde med tredjelande eller internationale organisationer med hensyn til udveksling af oplysninger om potentielle trusler mod kontraefterretning og terrorismebekæmpelse og dens sikkerhedsundersøgelser i fare.

Inden Kommissionen anvender begrænsninger i de tilfælde, der er anført i første afsnit, litra a) og b), hører den de relevante EU-institutioner, EU-organer, EU-agenturer, EU-kontorer eller kompetente myndigheder i medlemsstaterne, medmindre det er klart for den, at der er retsgrundlag for anvendelsen af en begrænsning i medfør af en af de retsakter, der henvises til i de pågældende litraer, eller at en sådan høring ville bringe formålet med dens aktiviteter i henhold til afgørelse (EU, Euratom) 2015/443 i fare.

Første afsnit, litra c), finder ikke anvendelse, hvis hensynet til de registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud for Kommissionens interesse i at samarbejde med tredjelande eller internationale organisationer.

4.   Stk. 1, 2 og 3 berører ikke anvendelsen af andre kommissionsafgørelser om interne regler om underretning af registrerede og begrænsning af visse rettigheder i henhold til artikel 25 i forordning (EU) 2018/1725 og artikel 23 i Kommissionens forretningsorden.

Artikel 3

Underretning af registrerede

1.   Kommissionen offentliggør på sit websted databeskyttelsesmeddelelser, hvorved alle registrerede underrettes om de af dens aktiviteter, der indebærer behandling af deres personoplysninger med henblik på varetagelsen af dens opgaver i henhold til afgørelse (EU, Euratom) 2015/443.

2.   Kommissionen underretter enkeltvis vidner og de personer, der er berørt af en sikkerhedsundersøgelse, om behandlingen af deres personoplysninger i en hensigtsmæssig form. Den underretter også enkeltvis personer, hvis oplysninger behandles som led i sikkerhedsforanstaltninger, der er truffet i henhold til artikel 7, stk. 5, og artikel 12, stk. 1, litra d) og e), i afgørelse (EU, Euratom) 2015/443, dvs. i forbindelse med gennemsøgning af Kommissionens lokaliteter og kommunikations- og informationssystemer og -udstyr.

3.   Hvis Kommissionen helt eller delvist begrænser den i stk. 2 omhandlede underretning af registrerede, indfører og registrerer den årsagerne til begrænsningen i henhold til denne afgørelses artikel 6.

Artikel 4

Registreredes ret til indsigt, ret til sletning og ret til begrænsning af behandling

1.   Når Kommissionen helt eller delvist begrænser registreredes ret til indsigt i personoplysninger, ret til sletning eller ret til begrænsning af behandling som omhandlet i henholdsvis artikel 17, 19 og 20 i forordning (EU) 2018/1725, underretter den i sin besvarelse af anmodningen om indsigt, sletning eller begrænsning af behandling den pågældende registrerede om, hvilken begrænsning der er anvendt, og om hovedårsagerne hertil samt om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe en sag for Den Europæiske Unions Domstol.

2.   Meddelelsen af oplysninger vedrørende årsagerne til den i stk. 1 nævnte begrænsning kan udsættes, udelades eller afvises, så længe den vil være til skade for begrænsningens formål.

3.   Kommissionen dokumenterer og registrerer årsagerne til begrænsningen i henhold til denne afgørelses artikel 6.

4.   Hvis retten til indsigt helt eller delvist begrænses, kan den registrerede udøve sin ret til indsigt gennem Den Europæiske Tilsynsførende for Databeskyttelse i henhold til artikel 25, stk. 6, 7 og 8, i forordning (EU) 2018/1725.

Artikel 5

Meddelelse af et brud på persondatasikkerheden til registrerede

Hvis Kommissionen begrænser meddelelsen af et brud på persondatasikkerheden til registrerede, jf. artikel 35 i forordning (EU) 2018/1725, dokumenterer og registrerer den årsagerne til begrænsningen i henhold til denne afgørelses artikel 6.

Artikel 6

Dokumentering og registrering af begrænsninger

1.   Kommissionen dokumenterer årsagerne til enhver begrænsning, der anvendes i henhold til denne afgørelse, herunder en vurdering af begrænsningens nødvendighed og proportionalitet, under hensyntagen til de relevante elementer i artikel 25, stk. 2, i forordning (EU) 2018/1725.

Med dette for øje skal det af dokumenteringen fremgå, hvordan udøvelsen af denne ret ville bringe formålet med Kommissionens opgaver i henhold til afgørelse (EU, Euratom) 2015/443 eller med de anvendte begrænsninger i henhold til artikel 2, stk. 2 eller 3, i fare eller ville påvirke andre registreredes rettigheder og frihedsrettigheder negativt.

2.   Dokumenteringen og, hvor det er relevant, det materiale, der indeholder de underliggende faktiske og retlige elementer, skal registreres. Det stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 7

Begrænsningernes varighed

1.   De begrænsninger, der er omhandlet i dennes afgørelses artikel 3, 4 og 5, finder fortsat anvendelse, så længe årsagerne til dem stadig gør sig gældende.

2.   Hvis årsagerne til en begrænsning, der er omhandlet i denne afgørelses artikel 3 eller 5, ikke længere gør sig gældende, ophæver Kommissionen begrænsningen og underretter den registrerede om årsagerne til begrænsningen. Samtidig oplyser Kommissionen den registrerede om muligheden for når som helst at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe en sag for Den Europæiske Unions Domstol.

3.   Kommissionen vurderer anvendelsen af de i artikel 4 og 6 omhandlede begrænsninger hver sjette måned regnet fra vedtagelsen heraf og ved den pågældende undersøgelses afslutning. Derefter vurderer Kommissionen på årsbasis, om det er nødvendigt at opretholde en begrænsning/udsættelse.

Artikel 8

Den databeskyttelsesansvarliges vurdering

1.   Kommissionens databeskyttelsesansvarlige skal uden unødigt ophold underrettes, når en registrerets rettigheder begrænses i henhold til denne afgørelse. Efter anmodning gives den databeskyttelsesansvarlige adgang til dokumenteringen og al materiale, der indeholder underliggende faktiske og retlige elementer.

2.   Kommissionens databeskyttelsesansvarlige kan anmode om en evaluering af begrænsningerne. Den databeskyttelsesansvarlige underrettes om resultatet af den ønskede evaluering.

3.   Udvekslingen af oplysninger med den databeskyttelsesansvarlige gennem hele forløbet registreres i en passende form.

Artikel 9

Denne afgørelse træder i kraft på tredjedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Udfærdiget i Bruxelles, den 7. februar 2019.

På Kommissionens vegne

Jean-Claude JUNCKER

Formand


(1)  Kommissionens afgørelse (EU, Euratom) 2015/443 af 13. marts 2015 om sikkerhedsbeskyttelse i Kommissionen (EUT L 72 af 17.3.2015, s. 41.

(2)  I Kommissionen styres opbevaring af sagsakter ved hjælp af den fælles opbevaringsliste, som er et retligt dokument (den seneste version er SEC(2012) 713) i form af en opbevaringsplan, hvori der fastsættes opbevaringsperioder for Kommissionens forskellige typer sagsakter.

(3)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(4)  Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT L 135 af 24.5.2016, s. 53).

(5)  Rådets forordning (EU) 2017/1939 af 12. oktober 2017 om gennemførelse af et forstærket samarbejde om oprettelse af Den Europæiske Anklagemyndighed (»EPPO«) (EUT L 283 af 31.10.2017, s. 1).

(6)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(7)  Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).


Top