KOMMISSIONENS AFGØRELSE (EU) 2018/1962

af 11. december 2018

om interne regler for behandling af personoplysninger i Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) i forbindelse med underretning af de registrerede og begrænsning af visse af deres rettigheder i overensstemmelse med artikel 25 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 249, stk. 1, og

ud fra følgende betragtninger:

(1)	Det Europæiske Kontor for Bekæmpelse af Svig (i det følgende benævnt »kontoret«) blev oprettet ved Kommissionens afgørelse 1999/352/EF, EKSF, Euratom (1) som en tjenestegren i Kommissionen. Kontoret udfører sine undersøgelser i fuld uafhængighed.

(2)

Kontoret udfører administrative undersøgelser med henblik på at bekæmpe svig, korruption og alle andre former for ulovlig virksomhed, der skader Unionens finansielle interesser, i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013 (2). Kontoret udøver i den forbindelse de undersøgelsesbeføjelser, der i henhold til de relevante EU-retsakter er tillagt Kommissionen i medlemsstaterne samt, i medfør af gældende aftaler om samarbejde og gensidig bistand og enhver anden gældende retsakt, i tredjelande og internationale organisationers lokaler.

(3)

Kontoret udfører endvidere administrative undersøgelser i de institutioner, organer, kontorer og agenturer, som er oprettet ved eller på grundlag af traktaterne. Inden for rammerne af sine undersøgelsesbeføjelser indsamler kontoret oplysninger af undersøgelsesinteresse, herunder personoplysninger, fra forskellige kilder — offentlige myndigheder, private enheder og fysiske personer — og udveksler dem med EU's institutioner, organer, kontorer og agenturer, med kompetente myndigheder i medlemsstaterne og tredjelande samt med internationale organisationer inden, under og efter undersøgelses- eller koordineringsaktiviteterne.

(4)

Kontoret behandler i forbindelse med sine aktiviteter flere kategorier af personoplysninger, navnlig identifikationsoplysninger, kontaktoplysninger, erhvervsmæssige oplysninger og oplysninger om sagstilhørsforhold. Kontoret, der er repræsenteret ved sin generaldirektør, fungerer som dataansvarlig. Personoplysninger lagres i et sikret elektronisk miljø, som hindrer ulovlig adgang eller overførsel af oplysninger til personer, der ikke har behov for at kende til disse. Efter henlæggelse af en sag, eller efter at en undersøgelse eller koordineringssag er blevet afsluttet ved en afgørelse truffet af generaldirektøren, opbevares de behandlede personoplysninger i 15 år. Ved udløbet af opbevaringsperioden overføres de sagsrelaterede oplysninger, herunder personoplysninger, til de historiske arkiver.

(5)

Kontoret er under udførelsen af sine opgaver forpligtet til at overholde fysiske personers rettigheder i forbindelse med behandling af personoplysninger, jf. artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og traktatens artikel 16, stk. 1, samt retsakter baseret på disse bestemmelser. Samtidig er kontoret forpligtet til at overholde strenge regler om fortrolighed og tavshedspligt, jf. artikel 10 i forordning (EU, Euratom) nr. 883/2013, og sikre overholdelsen af de proceduremæssige rettigheder for berørte personer og vidner som omhandlet i nævnte forordnings artikel 9, navnlig de berørte personers ret til uskyldsformodning.

(6)

Det sikrede elektroniske miljø, hvori personoplysninger opbevares, samt de processuelle garantier og strenge regler om tavshedspligt og fortrolighed, der er nævnt henholdsvis i artikel 9 og 10 i forordning (EU, Euratom) nr. 883/2013, sikrer en høj grad af beskyttelse mod risici for de registreredes rettigheder og frihedsrettigheder i forbindelse med behandlingen.

(7)

I visse tilfælde er det nødvendigt at forene de registreredes rettigheder i henhold til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (3) med undersøgelsesbehovene og behovene for fortrolighed ved udveksling af oplysninger med andre kompetente offentlige myndigheder, samt at sikre, at andre registreredes grundlæggende rettigheder og frihedsrettigheder overholdes fuldt ud. I den forbindelse giver nævnte forordnings artikel 25 kontoret mulighed for at begrænse anvendelsen af artikel 14-22, 35 og 36 samt artikel 4, for så vidt dens bestemmelser svarer til de rettigheder og forpligtelser, som er omhandlet i artikel 14-22.

(8)	Kontoret har i henhold til artikel 10, stk. 4, i forordning (EU, Euratom) nr. 883/2013 udpeget en databeskyttelsesansvarlig, jf. artikel 24 i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (4).

(9)

Med henblik på at sikre fortrolighed og effektivitet i forbindelse med undersøgelser og andre operationelle aktiviteter, der udføres af kontoret, og samtidig overholde standarderne for beskyttelse af personoplysninger i henhold til forordning (EU) 2018/1725 er det nødvendigt at vedtage interne regler, i henhold til hvilke kontoret kan begrænse de registreredes rettigheder i overensstemmelse med nævnte forordnings artikel 25.

(10)

Anvendelsesområdet for denne retsakt bør omfatte alle behandlingsaktiviteter, der udføres af kontoret inden for rammerne af dets uafhængige undersøgelsesfunktion. Disse regler bør gælde for behandlingsaktiviteter, der udføres forud for indledningen af en undersøgelse, både i forbindelse med interne og eksterne undersøgelser, jf. artikel 3 og 4 i forordning (EU, Euratom) nr. 883/2013, og i forbindelse med overvågningen af opfølgningen på undersøgelsesresultaterne. De bør finde anvendelse på behandlingsaktiviteter, som udgør en del af de aktiviteter, der er knyttet til undersøgelsesfunktionen, såsom systemet til indberetning af svig, operationelle analyser, internationale samarbejdsdatabaser samt aktiviteter, der kan omfatte undersøgelsesoplysninger, som f.eks. i forbindelse med håndteringen af databeskyttelsesansvarliges undersøgelser eller andre klageprocesser, der gennemføres af kontoret. Dette bør også omfatte bistand og samarbejde, som ydes af kontoret til nationale myndigheder og internationale organisationer ved siden af dets administrative undersøgelser.

(11)

Med henblik på at efterkomme kravene i artikel 14, 15 og 16 i forordning (EU) 2018/1725 bør kontoret underrette alle berørte personer om de aktiviteter, der omfatter behandling af deres personoplysninger, og om deres rettigheder på en gennemsigtig og sammenhængende måde, i form af databeskyttelsesmeddelelser offentliggjort på kontorets websted, samt individuelt og på passende vis underrette registrerede, som er af interesse for undersøgelsen, dvs. berørte personer, vidner og informanter.

(12)

Uden at dette berører anvendelsen af undtagelserne, som er fastsat i forordning (EU) 2018/1725, kan det være nødvendigt for kontoret at begrænse underretningen af de registrerede og anvendelsen af de registreredes øvrige rettigheder for at beskytte dets egne undersøgelser, medlemsstaternes myndigheders undersøgelser og procedurer, efterforskningsværktøjerne og -metoderne samt andre personers rettigheder i forbindelse med dets undersøgelser.

(13)

I nogle tilfælde ville formidling af særlige oplysninger til de registrerede eller afsløring af eksistensen af en undersøgelse kunne gøre det umuligt at gennemføre behandlingen eller i alvorlig grad skade formålet med behandlingen og evnen hos kontoret, de kompetente nationale myndigheder og EU's institutioner, organer, kontorer og agenturer til at gennemføre en undersøgelse effektivt i fremtiden.

(14)	Derudover er kontoret forpligtet til at beskytte informanters identitet, herunder whistleblowere og vidner, så disse ikke udsættes for negative konsekvenser i forbindelse med deres samarbejde med kontoret.

(15)	Derfor kan det være nødvendigt for kontoret at anvende visse begrundelser for begrænsninger, jf. artikel 25 i forordning (EU) 2018/1725, i forbindelse med databehandlingsaktiviteter, der udføres inden for rammerne af kontorets opgaver som fastsat i artikel 2 i afgørelse 1999/352/EF, EKSF, Euratom.

(16)

Med henblik på at bevare et effektivt samarbejde kan det desuden være nødvendigt for kontoret at anvende begrænsninger af registreredes rettigheder for at beskytte oplysninger, der indeholder personoplysninger, og som stammer fra Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -kontorer og -agenturer, kompetente myndigheder i medlemsstaterne og tredjelande samt fra internationale organisationer. I den forbindelse bør kontoret høre disse tjenestegrene, institutioner, organer, kontorer, agenturer, myndigheder og internationale organisationer om de relevante begrundelser for og nødvendigheden og proportionaliteten af begrænsningerne.

(17)

Som led i sin undersøgelsesfunktion udveksler kontoret ofte oplysninger, herunder personoplysninger, med bl.a. Kommissionens tjenestegrene og forvaltningsorganer, som bistår Kommissionens tjenestegrene i forbindelse med gennemførelsen af deres programmer. I overensstemmelse med artikel 25, stk. 5, i forordning (EU) 2018/1725, hvorefter de interne regler kræves vedtaget på højeste forvaltningsniveau i Unionens institutioner, organer, kontorer og agenturer, omfatter denne afgørelse behandling af personoplysninger, der er indeholdt i oplysninger, som de skal overføre til kontoret. Derfor bør alle Kommissionens tjenestegrene og forvaltningsorganer, der behandler personoplysninger, for så vidt angår deres forpligtelse til at underrette kontoret i henhold til artikel 8, stk. 1, i forordning (EU, Euratom) nr. 883/2013, eller hvor sådanne personoplysninger behandles af kontoret i udførelsen af dets opgaver, anvende reglerne i denne afgørelse med henblik på at beskytte de behandlingsaktiviteter, der udføres af kontoret. Under sådanne omstændigheder bør Kommissionens tjenestegrene og forvaltningsorganer derfor høre kontoret om de relevante begrundelser for begrænsningerne og deres nødvendighed og proportionalitet med henblik på at sikre, at de anvendes på en sammenhængende måde.

(18)	Kontoret — og, hvor det er relevant, Kommissionens tjenestegrene og forvaltningsorganer — bør behandle alle begrænsninger på gennemsigtig vis og registrere hver enkelt anvendelse af begrænsninger i det tilsvarende registreringssystem.

(19)

I henhold til artikel 25, stk. 8, i forordning (EU) 2018/1725 kan de dataansvarlige udsætte eller undlade underretning om begrundelsen for at anvende en begrænsning på den registrerede, hvis dette på nogen måde ville kompromittere formålet med begrænsningen. Hvis der anvendes en begrænsning af de rettigheder, der er fastsat i artikel 16 og 35, ville underretning om en sådan begrænsning navnlig kompromittere formålet med begrænsningen. For at sikre, at den registreredes ret til at blive underrettet, jf. artikel 16 og 38 i forordning (EU) 2018/1725, kun begrænses, så længe udskydelsen er begrundet, bør kontoret jævnligt tage sin holdning op til overvejelse.

(20)	Hvis der anvendes en begrænsning af andre registreredes rettigheder, bør den dataansvarlige fra sag til sag vurdere, om det ville kompromittere formålet at informere om begrænsningen.

(21)	Den databeskyttelsesansvarlige for kontoret – og, hvor det er relevant, den databeskyttelsesansvarlige for Kommissionen eller for det pågældende forvaltningsorgan – bør ligeledes foretage en uafhængig vurdering af anvendelsen af begrænsninger med henblik på at sikre, at denne afgørelse overholdes.

(22)

Forordning (EU) 2018/1725 træder i stedet for forordning (EF) nr. 45/2001 uden nogen overgangsperiode fra den dato, hvor den træder i kraft. Muligheden for at indføre begrænsninger af visse rettigheder blev fastsat i forordning (EF) nr. 45/2001. For at undgå at bringe formålet med de undersøgelser, der hører under kontorets kompetence, i fare og krænke andres rettigheder og frihedsrettigheder bør denne afgørelse anvendes fra datoen for ikrafttrædelsen af forordning (EU) 2018/1725.

(23)	Den Europæiske Tilsynsførende for Databeskyttelse blev hørt den 23. november 2018 —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

Genstand og anvendelsesområde

1. I denne afgørelse fastsættes de regler, der skal følges af Det Europæiske Kontor for Bekæmpelse af Svig (»kontoret«) med henblik på at underrette registrerede om behandlingen af deres oplysninger i overensstemmelse med artikel 14, 15 og 16 i forordning (EU) 2018/1725.

Der fastsættes desuden betingelser for, hvornår kontoret kan begrænse anvendelsen af artikel 4, 14-20 og 35 i forordning (EU) 2018/1725, jf. nævnte forordnings artikel 25.

2. Denne afgørelse finder anvendelse på kontorets behandling af personoplysninger med henblik på eller i forbindelse med de aktiviteter, der udføres for at varetage kontorets opgaver som omhandlet i artikel 2 i afgørelse 1999/352/EF, EKSF, Euratom og forordning (EU, Euratom) nr. 883/2013.

3. Denne afgørelse finder anvendelse på behandlingen af personoplysninger i Kommissionens tjenestegrene og forvaltningsorganer, såfremt de behandler personoplysninger, der er indeholdt i oplysninger, som de skal fremsende til kontoret i henhold til artikel 8, stk. 1, i forordning (EU, Euratom) nr. 883/2013, eller personoplysninger, som allerede er behandlet af kontoret med henblik på eller i forbindelse med de i nærværende artikels stk. 2 omhandlede aktiviteter.

Artikel 2

Gældende undtagelser og begrænsninger

1. Kontoret skal ved opfyldelsen af sine forpligtelser for så vidt angår de registreredes rettigheder, jf. forordning (EU) 2018/1725, undersøge, om nogle af undtagelserne i denne forordning finder anvendelse.

2. Med forbehold af denne afgørelses artikel 3-6 kan kontoret begrænse anvendelsen af artikel 14-20 og artikel 35 i forordning (EU) 2018/1725 samt artikel 4, for så vidt dens bestemmelser svarer til de rettigheder og forpligtelser, som er omhandlet i artikel 14-20 og artikel 35 i forordning (EU) 2018/1725, såfremt udøvelsen af disse rettigheder og forpligtelser ville bringe formålet med kontorets undersøgelsesaktiviteter i fare, bl.a. ved at afsløre dets undersøgelsesredskaber og -metoder, eller krænke andre registreredes rettigheder og frihedsrettigheder.

3. Med forbehold af denne afgørelses artikel 3-6 kan kontoret begrænse de rettigheder og forpligtelser, der er omhandlet i denne artikels stk. 2, i forbindelse med personoplysninger fra Kommissionens tjenestegrene eller EU's øvrige institutioner, organer, agenturer og kontorer, kompetente myndigheder i medlemsstaterne eller tredjelande samt fra internationale organisationer, i følgende situationer:

hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af Kommissionens tjenestegrene eller EU's øvrige institutioner, organer, agenturer og kontorer på grundlag af andre retsakter, der er omhandlet i artikel 25 i forordning (EU) 2018/1725, eller i overensstemmelse med kapitel IX i samme forordning eller oprettelsesforordningerne for EU's øvrige institutioner, organer, agenturer og kontorer

hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af medlemsstaternes kompetente myndigheder på grundlag af retsakter, der er omhandlet i artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (5), eller i henhold til nationale foranstaltninger til gennemførelse af artikel 13, stk. 3, artikel 15, stk. 3, eller artikel 16, stk. 3, i Europa-Parlamentets og Rådet direktiv (EU) 2016/680 (6)

c)	hvis udøvelsen af disse rettigheder og forpligtelser kan bringe kontorets samarbejde med tredjelande eller internationale organisationer i fare ved udførelsen af dets opgaver.

Inden der anvendes begrænsninger i de tilfælde, der er nævnt i første afsnit, litra a) og b), skal kontoret høre de relevante tjenestegrene i Kommissionen, EU's institutioner, organer, agenturer, kontorer eller de kompetente myndigheder i medlemsstaterne, medmindre det er klart for kontoret, at anvendelsen af en begrænsning er fastsat ved en af de retsakter, der er nævnt i disse litraer.

Første afsnit, litra c), finder ikke anvendelse, hvis den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud for Unionens interesse i at samarbejde med tredjelande eller internationale organisationer.

4. Såfremt Kommissionens tjenestegrene og forvaltningsorganer behandler personoplysninger i de tilfælde, der er omhandlet i artikel 1, stk. 3, kan de om nødvendigt anvende begrænsninger i overensstemmelse med denne afgørelse. I den forbindelse skal de rådføre sig med kontoret, medmindre det er klart for de berørte tjenestegrene eller forvaltningsorganer i Kommissionen, at anvendelsen af en begrænsning er begrundet i henhold til denne afgørelse.

Artikel 3

Underretning af de registrerede

1. Kontoret skal på sit websted offentliggøre databeskyttelsesmeddelelser, der underretter alle registrerede om aktiviteter, der omfatter behandling af deres personoplysninger.

2. Kontoret skal enkeltvis underrette alle registrerede, som det anser for berørte personer, vidner eller informanter i henhold til forordning (EU, Euratom) nr. 883/2013.

3. Såfremt kontoret, helt eller delvist, begrænser underretningen af de registrerede som omhandlet i stk. 2, skal det registrere begrundelserne for begrænsningen, heriblandt en vurdering af nødvendigheden og proportionaliteten af begrænsningen.

I den forbindelse skal det fremgå, hvordan underretningen ville bringe formålet med kontorets undersøgelsesaktiviteter eller de anvendte begrænsninger i henhold til artikel 2, stk. 3, i fare eller ville krænke andres rettigheder og frihedsrettigheder.

De registrerede oplysninger og, hvis det er relevant, de dokumenter, der indeholder underliggende faktiske eller retlige elementer, registreres. Disse skal efter anmodning stilles til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

4. Den i stk. 3 nævnte begrænsning finder anvendelse, så længe begrundelsen herfor er gældende.

Såfremt begrundelsen for begrænsningen ikke længere er gældende, skal kontoret videregive de pågældende oplysninger til og underrette den registrerede om begrundelsen for begrænsningen. Samtidig underretter kontoret den registrerede om muligheden for til hver en tid at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller indbringe sagen for Den Europæiske Unions Domstol.

Kontoret vurderer anvendelsen af begrænsningen hver sjette måned fra dens vedtagelse og ved den pågældende undersøgelses afslutning. Derefter overvåger den dataansvarlige på årsbasis, om det er nødvendigt at opretholde begrænsningerne.

Artikel 4

Den registreredes ret til indsigt

1. Hvis den registrerede anmoder om adgang til sine egne personoplysninger, som behandles i forbindelse med et eller flere specifikke tilfælde eller en særlig behandlingsaktivitet, jf. artikel 17 i forordning (EU) 2018/1725, skal kontorets vurdering af anmodningen udelukkende være begrænset til sådanne personoplysninger.

2. Såfremt kontoret helt eller delvist begrænser indsigtsretten som omhandlet i artikel 17 i forordning (EU) 2018/1725, træffer det følgende foranstaltninger:

a)	det underretter i sit svar på anmodningen den pågældende registrerede om den anvendte begrænsning og om de vigtigste begrundelser herfor og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller indbringe sagen for Den Europæiske Unions Domstol

det registrerer begrundelserne for begrænsningen, herunder en vurdering af nødvendigheden og proportionaliteten af begrænsningen. I den forbindelse skal det af registreringen fremgå, hvordan adgangen til indsigt ville bringe formålet med kontorets undersøgelsesaktiviteter eller de anvendte begrænsninger i henhold til artikel 2, stk. 3, i fare eller ville krænke andre registreredes rettigheder og frihedsrettigheder.

Den i litra a) omhandlede bestemmelse om underretning kan udsættes, udelades eller afvises i overensstemmelse med artikel 25, stk. 8, i forordning (EU) 2018/1725.

3. Den i stk. 2, litra b), nævnte registrering og, hvis det er relevant, de dokumenter, der indeholder underliggende faktiske eller retlige elementer, registreres. Disse skal efter anmodning stilles til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse. Artikel 25, stk. 7, i forordning (EU) 2018/1725 finder anvendelse.

Artikel 5

Ret til berigtigelse, sletning og begrænsning af behandling

Hvis kontoret, helt eller delvist, begrænser anvendelsen af retten til berigtigelse, sletning eller begrænsning af behandling som omhandlet i artikel 18, artikel 19, stk. 1, og artikel 20, stk. 1, i forordning (EU) 2018/1725, træffer det de foranstaltninger, der er beskrevet i artikel 4, stk. 2, i denne afgørelse, og foretager den pågældende registrering i overensstemmelse med artikel 4, stk. 3.

Artikel 6

Underretning om brud på persondatasikkerheden til den registrerede

Hvis kontoret begrænser underretningen om brud på persondatasikkerheden til den registrerede som omhandlet i artikel 35 i forordning (EU) 2018/1725, registrerer det begrundelserne for begrænsningen i overensstemmelse med artikel 3, stk. 3, i denne afgørelse. Denne afgørelses artikel 3, stk. 4, finder anvendelse.

Artikel 7

Den databeskyttelsesansvarliges vurdering

1. Kontorets databeskyttelsesansvarlige underrettes uden unødig forsinkelse, såfremt den registreredes rettigheder begrænses i overensstemmelse med denne afgørelse. Kontorets databeskyttelsesansvarlige skal have adgang til registret og alle dokumenter, der indeholder de underliggende faktiske og retlige elementer.

Kontorets databeskyttelsesansvarlige kan anmode om en vurdering af begrænsningerne. Kontorets databeskyttelsesansvarlige skal underrettes skriftligt om resultatet af den vurdering, der er anmodet om.

2. Hvis Kommissionens tjenestegrene og forvaltningsorganer behandler personoplysninger i de tilfælde, der er omhandlet i artikel 1, stk. 3, skal Kommissionens databeskyttelsesansvarlige eller, hvor det relevant, den databeskyttelsesansvarlige for det pågældende forvaltningsorgan (»organets databeskyttelsesansvarlige«) underrettes uden unødig forsinkelse, såfremt de registreredes rettigheder begrænses i overensstemmelse med denne afgørelse. Kommissionens databeskyttelsesansvarlige eller, hvor det relevant, organets databeskyttelsesansvarlige skal efter anmodning gives adgang til registret og alle dokumenter, der indeholder de underliggende faktiske og retlige elementer.

Kommissionens databeskyttelsesansvarlige eller, hvor det er relevant, organets databeskyttelsesansvarlige kan anmode om en vurdering af begrænsningerne. Kommissionens databeskyttelsesansvarlige eller organets databeskyttelsesansvarlige skal underrettes skriftligt om resultatet af den vurdering, der er anmodet om.

3. Enhver udveksling af oplysninger med den databeskyttelsesansvarlige under hele proceduren skal registreres på passende vis.

Artikel 8

Ikrafttræden

Denne afgørelse træder i kraft på dagen for offentliggørelsen i Den Europæiske Unions Tidende.

Den anvendes fra den 11. december 2018.

Udfærdiget i Bruxelles, den 11. december 2018.

På Kommissionens vegne

Jean-Claude JUNCKER

Formand

(1) Kommissionens afgørelse 1999/352/EF, EKSF, Euratom af 28. april 1999 om oprettelse af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) (EFT L 136 af 31.5.1999, s. 20).

(2) Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013 af 11. september 2013 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1073/1999 og Rådets forordning (Euratom) nr. 1074/1999 (EUT L 248 af 18.9.2013, s. 1).

(3) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(4) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(5) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(6) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).