Bestyrelsens afgørelse om interne regler for begrænsninger af visse registreredes rettigheder i forbindelse med behandlingen af personoplysninger inden for rammerne af Det Europæiske Miljøagenturs aktiviteter

BESTYRELSEN FOR DET EUROPÆISKE MILJØAGENTUR HAR —

UNDER HENVISNING til traktaten om Den Europæiske Unions funktionsmåde,

UNDER HENVISNING til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (1), særlig artikel 25 deri,

UNDER HENVISNING til Europa-Parlamentets og Rådets forordning (EF) nr. 401/2009 af 23. april 2009 om Det Europæiske Miljøagentur og Det Europæiske Miljøoplysnings- og Miljøovervågningsnet (kodificeret udgave) (2), særlig artikel 8,

UNDER HENVISNING til Den Europæiske Tilsynsførende for Databeskyttelses (EDPS) udtalelse af 13. marts 2020 og EDPS' vejledning angående artikel 25 i forordning (EU) 2018/1725 og interne regler,

efter høring af personaleudvalget, og

UD FRA FØLGENDE BETRAGTNINGER:

(1)

Det Europæiske Miljøagentur (herefter kaldet »agenturet«) har beføjelse til at foretage administrative undersøgelser, procedurer forud for disciplinær forfølgning, disciplinær forfølgning og suspensionsprocedurer i overensstemmelse med vedtægten for tjenestemænd ved Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte i Den Europæiske Union, som er fastlagt i Rådets forordning (EØS, Euratom, EKSF) nr. 259/68 (»personalevedtægten«) (3), og med afgørelsen fra EEA's bestyrelse af 15. februar 2013 om gennemførelse af administrative undersøgelser og disciplinær forfølgning. Om nødvendigt henvises sager også til OLAF.

(2)

Agenturets ansatte er forpligtet til at indberette eventuelle ulovlige aktiviteter, herunder svig og korruption, som er til skade for Unionens interesser. De ansatte er også forpligtet til at indberette adfærd under udførelse af arbejdsopgaver, som kan være en alvorlig tilsidesættelse af de forpligtelser, der påhviler Unionens tjenestemænd. Dette reguleres af afgørelsen truffet af EEA's bestyrelse om retningslinjer for whistleblowing af 24. april 2018 (afgørelse EEA/MB/2018/011).

(3)

Agenturet har fastlagt en politik, der skal forebygge og effektivt behandle faktiske eller potentielle tilfælde af psykisk eller seksuel chikane på arbejdspladsen, jf. bestyrelsens afgørelse af 13. juni 2017 om EEA's politik om beskyttelse af menneskers værdighed og forebyggelse af psykisk og seksuel chikane (afgørelse EEA/MB/2017/011). I afgørelsen fastsættes en uformel procedure, som giver det formodede offer for chikane mulighed for at kontakte agenturets »fortrolige« rådgivere.

(4)	Agenturet er omfattet af både interne og eksterne revisioner vedrørende sine aktiviteter.

(5)	I forbindelse med sådanne administrative undersøgelser, revisioner og efterforskninger samarbejder agenturet med andre EU-institutioner, -organer, -kontorer og -agenturer.

(6)	Agenturet kan samarbejde med tredjelandes nationale myndigheder og internationale organisationer, enten efter anmodning eller på eget initiativ.

(7)	Agenturet kan også samarbejde med EU-medlemsstaternes offentlige myndigheder, enten efter anmodning eller på eget initiativ.

(8)

Agenturet er involveret i sager ved Den Europæiske Unions Domstol, enten ved at indbringe sager for Domstolen eller forsvare en afgørelse, som det har truffet, og som er blevet anfægtet ved Domstolen, eller ved at indtræde i retstvister, der er relevante for dets egne opgaver. I denne forbindelse kan det være nødvendigt for agenturet at sikre, at de personoplysninger, der indgår i dokumenter, som er indhentet af parterne eller intervenienterne, behandles fortroligt.

(9)

For at kunne udføre sine opgaver indsamler og behandler agenturet oplysninger og flere kategorier af personoplysninger, herunder information til identifikation af fysiske personer, kontaktoplysninger, information om arbejdsroller og -opgaver, information om adfærd og indsats i privatlivet og i jobfunktioner samt finansielle data. Agenturet fungerer som dataansvarlig.

(10)	I henhold til forordning (EU) 2018/1725 (herefter kaldet »forordningen«) er agenturet derfor forpligtet til at give de registrerede oplysninger om disse behandlingsaktiviteter og respektere deres rettigheder som registrerede.

(11)

Det kan være nødvendigt for agenturet at forene disse rettigheder med formålene med administrative undersøgelser, revisioner, efterforskninger og retssager. Det kan også være nødvendigt at afveje en registrerets rettigheder over for andre registreredes grundlæggende rettigheder og frihedsrettigheder. I den forbindelse giver artikel 25 i forordningen på strenge betingelser agenturet mulighed for at begrænse anvendelsen af artikel 14-22, 35 og 36 samt artikel 4, for så vidt som dens bestemmelser svarer til de rettigheder og forpligtelser, der er omhandlet i artikel 14-20. Medmindre der er fastsat begrænsninger i en retsakt, der er vedtaget på grundlag af traktaterne, er det nødvendigt at vedtage interne regler, i henhold til hvilke agenturet har ret til at begrænse disse rettigheder.

(12)

Agenturet kan eksempelvis blive nødt til at begrænse de oplysninger, som det giver en registreret om behandlingen af vedkommendes personoplysninger i den indledende vurderingsfase af en administrativ undersøgelse eller i løbet af selve undersøgelsen, forud for en eventuel henlæggelse af sagen eller under den disciplinære fase. Under visse omstændigheder kan det i alvorlig grad berøre agenturets evne til at gennemføre undersøgelsen på en effektiv måde, hvis der f.eks. er risiko for, at den pågældende person kunne tilintetgøre bevismateriale eller påvirke potentielle vidner, inden de afhøres. Agenturet kan også blive nødt til at beskytte vidners samt andre involverede personers rettigheder og frihedsrettigheder.

(13)

Det kan være nødvendigt at beskytte anonymiteten af et vidne eller en whistleblower, der har anmodet om ikke at blive identificeret. I så fald kan agenturet beslutte at begrænse adgangen til sådanne personers identitet, erklæringer og andre personoplysninger for at beskytte deres rettigheder og frihedsrettigheder.

(14)

Det kan være nødvendigt at beskytte fortrolige oplysninger vedrørende en ansat, der har kontaktet agenturets fortrolige rådgivere i forbindelse med en procedure vedrørende chikane. I sådanne tilfælde kan agenturet blive nødt til at begrænse adgangen til det formodede offers, den formodede chikanørs og andre involverede personers identitet, erklæringer og andre personoplysninger for at beskytte alle berørtes rettigheder og frihedsrettigheder.

(15)

Agenturet bør kun anvende begrænsninger, når de respekterer det væsentligste indhold af grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund. Agenturet bør fremlægge en begrundelse, der forklarer årsagerne til disse begrænsninger.

(16)	På grundlag af princippet om ansvarlighed fører agenturet en fortegnelse over sin anvendelse af begrænsninger.

(17)

Når agenturet under udførelsen af sit hverv behandler personoplysninger, der udveksles med andre organisationer, bør agenturet og disse organisationer høre hinanden om de potentielle begrundelser for at indføre begrænsninger og om nødvendigheden og forholdsmæssigheden af disse begrænsninger, medmindre dette vil bringe agenturets aktiviteter i fare.

(18)	I henhold til artikel 25, stk. 6, i forordningen skal den dataansvarlige underrette de registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om deres ret til at indgive en klage til EDPS.

(19)

I henhold til artikel 25, stk. 8, i forordningen har agenturet ret til at udsætte, udelade eller afvise at underrette den registrerede om årsagerne til anvendelsen af en begrænsning, hvis dette på nogen måde ville ophæve virkningen af begrænsningen. Agenturet bør i hvert enkelt tilfælde vurdere, om underretningen om begrænsningen ville ophæve dens virkning.

(20)	Agenturet bør ophæve begrænsningen, så snart de omstændigheder, der ligger til grund for begrænsningen, ikke længere er til stede, og vurdere disse omstændigheder regelmæssigt.

(21)

For at sikre den størst mulige beskyttelse af de registreredes rettigheder og frihedsrettigheder og i overensstemmelse med artikel 44, stk. 1, i forordningen bør den databeskyttelsesansvarlige høres i god tid om eventuelle begrænsninger, der måtte blive anvendt, og kontrollere deres overensstemmelse med denne afgørelse.

(22)	I artikel 16, stk. 5, og artikel 17, stk. 4, i forordningen fastsættes undtagelser for registreredes ret til oplysninger og indsigtsret. Hvis disse undtagelser finder anvendelse, behøver agenturet ikke at anvende en begrænsning i henhold til denne afgørelse —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

Genstand og anvendelsesområde

1. Denne afgørelse indeholder bestemmelser om de betingelser, under hvilke agenturet kan begrænse anvendelsen af artikel 4, 14-22, 35 og 36 i henhold til artikel 25 i forordningen.

2. Agenturet er som den dataansvarlige repræsenteret af sin administrerende direktør, der kan uddelegere rollen som dataansvarlig inden for agenturet for at afspejle det operationelle ansvar for specifikke behandlinger af personoplysninger.

Artikel 2

Begrænsninger

1. Agenturet kan begrænse anvendelsen af artikel 14-22, 35 og 36 samt artikel 4, for så vidt dens bestemmelser svarer til de rettigheder og forpligtelser, der er omhandlet i artikel 14-20:

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i forordningen i forbindelse med administrative undersøgelser, procedurer forud for disciplinær forfølgning, disciplinær forfølgning og suspensionsprocedurer i henhold til artikel 86 og bilag IX til personalevedtægten og agenturets afgørelse af 15. februar 2013 om gennemførelse af administrative undersøgelser og disciplinær forfølgning ved behandling af interne og eksterne klager samt ved indberetning af sager til OLAF

i henhold til artikel 25, stk. 1, litra h), i forordningen ved sikring af, at agenturets ansatte på fortrolig vis kan indberette faktiske forhold, når de mener, at der foreligger alvorlige uregelmæssigheder, jf. afgørelsen truffet af EEA's bestyrelse om retningslinjer for whistleblowing af 24. april 2018 (afgørelse EEA/MB/2018/011)

i henhold til artikel 25, stk. 1, litra h), i forordningen ved sikring af, at agenturets ansatte på fortrolig vis kan rapportere til fortrolige rådgivere i forbindelse med procedurer vedrørende chikane (formelle eller uformelle) som fastlagt i afgørelsen truffet af EEA's bestyrelse af 13. juni 2017 om EEA's politik om beskyttelse af menneskers værdighed og forebyggelse af psykisk og seksuel chikane (afgørelse EEA/MB/2017/011)

i henhold til artikel 25, stk. 1, litra c), g) og h), i forordningen, når der gennemføres interne revisioner i forbindelse med agenturets aktiviteter eller afdelinger, herunder undersøgelser foretaget af den databeskyttelsesansvarlige i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 og (IT-) sikkerhedsundersøgelser håndteret internt eller med ekstern involvering (f.eks. CERT-EU)

i henhold til artikel 25, stk. 1, litra c), d), g) og h), i forordningen ved ydelse af bistand til eller modtagelse af bistand fra andre EU-institutioner, -organer, -kontorer og -agenturer eller ved samarbejde med dem i forbindelse med aktiviteter i litra a)-d) i dette stykke og i henhold til relevante serviceleveranceaftaler, aftalememoranda og samarbejdsaftaler

i henhold til artikel 25, stk. 1, litra c), g) og h), i forordningen ved ydelse af bistand til eller modtagelse af bistand fra tredjelandes nationale myndigheder og internationale organisationer eller ved samarbejde med sådanne myndigheder og organisationer, enten efter anmodning eller på eget initiativ

g)	i henhold til artikel 25, stk. 1, litra c), g) og h), i forordningen ved ydelse af bistand til eller modtagelse af bistand fra og samarbejde med EU-medlemsstaternes offentlige myndigheder, enten efter anmodning eller på eget initiativ

h)	i henhold til artikel 25, stk. 1, litra e), i forordningen ved behandling af personoplysninger i dokumenter, som er indhentet af parterne eller intervenienterne i forbindelse med sager ved Den Europæiske Unions Domstol

i)	enhver begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund.

2. I hvert enkelt tilfælde gennemføres der nødvendigheds- og proportionalitetstest, inden der anvendes begrænsninger. Begrænsningerne anvendes kun, når det er strengt nødvendigt for at nå deres fastsatte mål.

3. Af ansvarlighedshensyn fører agenturet en fortegnelse, hvori der redegøres for årsagerne til de begrænsninger, der finder anvendelse, det relevante grundlag i stk. 1, der finder anvendelse, og resultatet af nødvendigheds- og proportionalitetstesten. Disse fortegnelser indgår i et register, som efter anmodning stilles til rådighed for EDPS. Agenturet udarbejder regelmæssigt rapporter om anvendelsen af artikel 25 i forordningen.

4. Når agenturet under udførelsen af sit hverv behandler personoplysninger, der er modtaget fra andre organisationer, hører agenturet disse organisationer om de potentielle begrundelser for at indføre begrænsninger og om nødvendigheden og forholdsmæssigheden af de pågældende begrænsninger, medmindre dette vil bringe agenturets aktiviteter i fare.

5. De relevante kategorier af personoplysninger er hårde oplysninger (»objektive« oplysninger såsom identifikationsoplysninger, kontaktoplysninger, faglige oplysninger, administrative oplysninger, oplysninger modtaget fra specifikke kilder, elektronisk kommunikation og trafikoplysninger) og/eller bløde oplysninger (»subjektive« oplysninger i forbindelse med f.eks. ræsonnementer, adfærdsmæssige oplysninger, vurderinger, resultat- og adfærdsoplysninger samt oplysninger relateret til eller fremkommet i forbindelse med genstanden for den pågældende procedure eller aktivitet).

Artikel 3

Risiciene for de registreredes rettigheder og frihedsrettigheder

1. Vurderinger af risiciene for de registreredes rettigheder og frihedsrettigheder ved at indføre begrænsninger og oplysninger om den periode, hvor disse begrænsninger finder anvendelse, registreres i fortegnelsen over behandlingsaktiviteter, der føres af agenturet i henhold til artikel 31 i forordningen. De registreres ligeledes i konsekvensanalyser vedrørende databeskyttelse i forbindelse med disse begrænsninger, der foretages i henhold til artikel 39 i forordningen.

2. Når agenturet vurderer nødvendigheden og forholdsmæssigheden af en begrænsning, tager det de potentielle risici for den registreredes rettigheder og frihedsrettigheder i betragtning.

Artikel 4

Garantier og opbevaringsperioder

1. Agenturet træffer sikkerhedsforanstaltninger for at undgå misbrug af eller ulovlig adgang til eller overførsel af personoplysninger, der kan være eller kunne blive omfattet af begrænsninger. Sådanne sikkerhedsforanstaltninger omfatter tekniske og organisatoriske tiltag og præciseres, når det er nødvendigt, i agenturets interne afgørelser, procedurer og gennemførelsesbestemmelser. Sikkerhedsforanstaltningerne omfatter:

a)	En klar definition af roller, ansvarsområder og proceduremæssige skridt.

Et sikkert elektronisk miljø, der forhindrer ulovlig og utilsigtet adgang eller overførsel af elektroniske data til uautoriserede personer. Alle elektroniske data skal opbevares i en sikker IT-applikation i henhold til agenturets sikkerhedsstandarder såvel som i specifikke elektroniske mapper, der kun er tilgængelige for autoriseret personale. Passende adgangsniveauer tildeles enkeltvis.

c)	Sikker opbevaring og behandling af papirbaserede dokumenter, der skal opbevares i sikrede skabe og kun må være tilgængelige for autoriseret personale.

d)	Behørig overvågning af begrænsninger og en periodisk gennemgang af deres anvendelse.

2. De i litra d) omhandlede vurderinger foretages mindst hver sjette måned.

3. Begrænsningerne ophæves, så snart de betingelser, der berettiger dem, ikke længere gælder.

4. Personoplysningerne opbevares i overensstemmelse med agenturets gældende regler, som skal defineres i de databeskyttelsesfortegnelser, der føres i henhold til artikel 31 i forordningen. Ved udløbet af opbevaringsperioden slettes, anonymiseres eller overføres personoplysningerne til arkiver i overensstemmelse med artikel 13 i forordningen.

Artikel 5

Inddragelse af den databeskyttelsesansvarlige

1. Agenturets databeskyttelsesansvarlige underrettes uden unødig forsinkelse, såfremt den registreredes rettigheder begrænses i overensstemmelse med denne afgørelse. Vedkommende tilstedes adgang til de tilhørende fortegnelser og alle dokumenter vedrørende den faktuelle eller retlige sammenhæng.

2. Agenturets databeskyttelsesansvarlige kan anmode om en vurdering af anvendelsen af en begrænsning. Agenturet underretter skriftligt sin databeskyttelsesansvarlige om resultatet af vurderingen.

3. Agenturet dokumenterer den databeskyttelsesansvarliges deltagelse i anvendelsen af begrænsninger, herunder hvilke oplysninger der er delt med vedkommende.

Artikel 6

Oplysninger til registrerede om begrænsninger i deres rettigheder

1. De meddelelser om databeskyttelse, der offentliggøres på agenturets intranet, omfatter et afsnit med generel information til registrerede om muligheden for begrænsning af registrerede rettigheder i henhold til artikel 2, stk. 1. Informationen omfatter, hvilke rettigheder der kan begrænses, grundlaget for at anvende begrænsninger og den mulige varighed af disse.

2. Agenturet underretter skriftligt og uden unødig forsinkelse de registrerede individuelt om nuværende eller fremtidige begrænsninger af deres rettigheder. Agenturet underretter den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, om vedkommendes ret til at rette henvendelse til den databeskyttelsesansvarlige med henblik på at anfægte begrænsningen og om vedkommendes ret til at indgive en klage til EDPS.

3. Agenturet kan udsætte, udelade eller afvise at underrette om årsagerne til anvendelsen af en begrænsning og retten til at indgive en klage til EDPS, så længe det ville ophæve virkningen af begrænsningen. Vurderingen af, om dette ville være begrundet, foretages i hvert enkelt tilfælde. Så snart det ikke længere ville ophæve virkningen af begrænsningen, giver agenturet den registrerede informationen.

Artikel 7

Underretning af den registrerede om brud på persondatasikkerheden

1. Hvis agenturet er forpligtet til at underrette om brud på datasikkerheden i henhold til artikel 35, stk. 1, i forordningen, kan det under særlige omstændigheder begrænse en sådan underretning helt eller delvist. Det dokumenterer i et notat årsagerne til begrænsningen, retsgrundlaget herfor i henhold til artikel 2 og en vurdering af nødvendigheden og proportionaliteten heraf. Notatet meddeles til EDPS på tidspunktet for anmeldelsen af bruddet på persondatasikkerheden.

2. Hvis årsagerne til begrænsningen ikke længere er til stede, underretter agenturet den pågældende registrerede om bruddet på persondatasikkerheden og om de vigtigste årsager til begrænsningen samt om vedkommendes ret til at indgive en klage til EDPS.

Artikel 8

Fortrolighed af elektronisk kommunikation

1. Under særlige omstændigheder kan agenturet begrænse retten til fortrolighed i forbindelse med elektronisk kommunikation i henhold til artikel 36 i forordningen. Sådanne begrænsninger er i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2002/58/EF (4).

2. Hvis agenturet begrænser retten til fortrolighed i forbindelse med elektronisk kommunikation, underretter det den pågældende registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om vedkommendes ret til at indgive en klage til EDPS.

Artikel 9

Ikrafttræden

Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Godkendt ved bestyrelsens skriftlige procedure.

19. april 2021.

Laura BURKE

Formand for EEA's bestyrelse

(1) EUT L 295 af 21.11.2018, s. 39.

(2) EUT L 126 af 21.5.2009, s. 13.

(3) Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 af 29. februar 1968 om vedtægten for tjenestemænd i De europæiske Fællesskaber og om ansættelsesvilkårene for de øvrige ansatte i disse Fællesskaber samt om særlige midlertidige foranstaltninger for tjenestemænd i Kommissionen (EFT L 56 af 4.3.1968, s. 1).

(4) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).