11.3.2022   

DA

Den Europæiske Unions Tidende

L 84/44


REGIONSUDVALGETS PRÆSIDIUMS AFGØRELSE nr. 4/2022

af 25. januar 2022

om fastsættelse af interne regler vedrørende begrænsning af visse rettigheder for registrerede i forbindelse med behandling af personoplysninger inden for rammerne af aktiviteter og procedurer udført af Regionsudvalget

REGIONSUDVALGETS PRÆSIDIUM HAR —

Under henvisning til traktaten om Den Europæiske Unions funktionsmåde (1), særlig artikel 306,

Under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (2) (»forordningen« eller »EUDPR«), særlig artikel 25,

Under henvisning til Det Europæiske Regionsudvalgs forretningsorden (3), særlig artikel 37, litra d),

Under henvisning til udtalelse D(2021) 0894 (sag 2021-0345) fra Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) af 20. april 2021, hørt i overensstemmelse med artikel 41, stk. 2, i EUDPR,

og ud fra følgende betragtninger:

(1)

I henhold til artikel 3, stk. 1, i EUDPR bør alle oplysninger vedrørende en identificeret eller identificerbar fysisk person (»registreret«) anses for personoplysninger.

(2)

Forordningen finder på samme måde som på alle Unionens institutioner anvendelse på Regionsudvalget (»udvalget«), hvad angår behandling af personoplysninger inden for rammerne af de aktiviteter og procedurer, det udfører.

(3)

Den dataansvarlige i henhold til artikel 3, stk. 8, i EUDPR er udvalget, der kan uddelegere ansvaret for at fastslå formålene med og midlerne til behandling af personoplysninger.

(4)

I medfør af artikel 45, stk. 3, i EUDPR vedtog Regionsudvalgets præsidium (»præsidiet«) gennemførelsesbestemmelser (4) vedrørende forordningen og udvalgets databeskyttelsesrådgiver. I henhold til disse regler bør den afdeling (direktorat, kontor eller sektor) i udvalgets generalsekretariat eller sekretariatet for en af de politiske grupper i udvalget, der, alene eller i fællesskab med andre, fastslår formålene med og midlerne til behandling af de personoplysninger, handle på vegne af udvalget som delegeret dataansvarlig i forhold til disse data.

(5)

Udvalget og Det Europæiske Økonomiske og Sociale Udvalg (»EØSU«) er fælles om visse afdelinger og ressourcer (»de fælles tjenestegrene«) inden for rammerne af det interinstitutionelle samarbejde, og de gældende interne regler vedrørende begrænsninger af registreredes rettigheder i forbindelse med de fælles tjenestegrenes behandling af personoplysninger bør fastslås i overensstemmelse med de ordninger, der er aftalt mellem udvalget og EØSU til det formål.

(6)

Til udførelsen af udvalgets opgaver indsamler og behandler dataansvarlige oplysninger og flere kategorier af personoplysninger, herunder identifikationsoplysninger om fysiske personer, kontaktoplysninger, information om arbejdsroller og -opgaver, information om adfærd og indsats i privatlivet og i jobfunktioner og økonomiske oplysninger. Dataansvarlige er derfor i henhold til forordningen forpligtet til at give de registrerede oplysninger om disse behandlingsaktiviteter og respektere deres rettigheder som registrerede.

(7)

Det kan være nødvendigt for dataansvarlige at forene disse rettigheder med formålene med undersøgelser, efterforskninger, kontroller, aktiviteter, revisioner og procedurer, der gennemføres i udvalget. Det kan også være nødvendigt for dem at afveje en registrerets rettigheder over for andre registreredes grundlæggende rettigheder og frihedsrettigheder. Til det formål giver artikel 25, stk. 1, i EUDPR dataansvarlige mulighed for at begrænse anvendelsen af artikel 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 og 36 i EUDPR samt artikel 4 i EUDPR, for så vidt at bestemmelserne heri er i overensstemmelse med rettighederne og forpligtelserne i artikel 14 til 22 i EUDPR.

(8)

Dataansvarlige bør kun anvende begrænsninger, når de respekterer det væsentligste indhold af grundlæggende rettigheder og frihedsrettigheder og er en strengt nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund.

(9)

Dataansvarlige bør begrunde, hvorfor disse begrænsninger er berettigede, og de bør føre fortegnelser over deres anvendelse af begrænsninger af registreredes rettigheder.

(10)

Dataansvarlige bør ophæve en begrænsning, så snart de forhold, der berettigede begrænsningen, ikke længere er til stede. De bør regelmæssigt vurdere disse forhold.

(11)

For at sikre den størst mulige beskyttelse af registreredes rettigheder og frihedsrettigheder bør databeskyttelsesrådgiveren høres i god tid om eventuelle begrænsninger, der måtte blive anvendt, og kontrollere, at de er i overensstemmelse med denne afgørelse

(12)

Medmindre der er fastsat begrænsninger i en retsakt, der er vedtaget på grundlag af traktaterne (5), er det nødvendigt at vedtage interne regler, som giver dataansvarlige ret til at begrænse registreredes rettigheder.

(13)

Denne afgørelse bør ikke finde anvendelse i tilfælde, hvor en af undtagelserne i artikel 15, stk. 4, og artikel 16, stk. 5, i EUDPR vedrørende de oplysninger, der skal gives til en registreret, gælder —

TRUFFET FØLGENDE AFGØRELSE:

Artikel 1

Genstand, anvendelsesområde og definitioner

1.   Denne afgørelse fastlægger generelle regler for de betingelser, hvorunder dataansvarlige i henhold til artikel 25, stk. 1, i EUDPR kan begrænse anvendelsen af, alt efter hvad der er relevant, artikel 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 og 36 i EUDPR samt artikel 4 i EUDPR, for så vidt at bestemmelserne heri er i overensstemmelse med rettighederne og forpligtelserne i artikel 14 til 22 i EUDPR.

2.   I denne afgørelse forstås ved:

a)

»personoplysninger«: alle oplysninger vedrørende en registreret, der behandles under udførelsen af aktiviteter eller procedurer, der ikke henhører under anvendelsesområdet for kapitel 4 eller kapitel 5 i afsnit V i traktaten om Den Europæiske Unions funktionsmåde, i modsætning til operationelle personoplysninger i henhold til artikel 3, stk. 2, i EUDPR

b)

»dataansvarlig«: den enhed, der, alene eller i fællesskab med andre, rent faktisk fastlægger formålene med og midlerne til behandling af personoplysninger inden for rammerne af aktiviteter og procedurer, der udføres af udvalget, uanset om ansvaret for denne fastlæggelse er blevet uddelegeret eller ej.

3.   Denne afgørelse finder anvendelse på behandlingen af personoplysninger inden for rammerne af de aktiviteter og procedurer, der udføres af udvalget. Den finder ikke anvendelse, hvis en retsakt på grundlag af traktaterne indeholder bestemmelser om begrænsning af registreredes rettigheder.

4.   Den dataansvarlige i henhold til artikel 3, stk. 8, i EUDPR er udvalget, der kan uddelegere ansvaret for at fastslå formålene med og midlerne til behandling af personoplysninger.

5.   For hver enkelt behandling, begrænsning eller udsættelse, udeladelse eller nægtelse af oplysninger fastslås det, hvem der er dataansvarlig i overensstemmelse med udvalgets relevante interne beslutninger, procedurer og gennemførelsesbestemmelser.

Artikel 2

Undtagelser og fravigelser

1.   Før der anvendes begrænsninger i medfør af artikel 3, stk. 1, vurderer den dataansvarlige, om nogen af undtagelserne eller fravigelserne i forordningen finder anvendelse, navnlig i henhold til artikel 15, stk. 4, artikel 16, stk. 5, artikel 19, stk. 3, artikel 25, stk. 3 og 4, og artikel 35, stk. 3 i EUDPR.

2.   Anvendelsen af fravigelser skal være underlagt passende garantier i overensstemmelse med artikel 13 i EUDPR og artikel 6 i denne afgørelse.

Artikel 3

Begrænsninger

1.   Dataansvarlige kan, alt efter hvad der er relevant, begrænse anvendelsen af artikel 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 og 36 i EUDPR samt artikel 4 i EUDPR, for så vidt bestemmelserne heri er i overensstemmelse med rettighederne og forpligtelserne i artikel 14 til 22 i EUDPR, hvis registreredes udøvelse af deres rettigheder ville have negative virkninger for formålet med eller resultatet af en eller flere af de aktiviteter eller procedurer, der udføres af udvalget, navnlig:

a)

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i EUDPR, når ansættelsesmyndigheden og den myndighed, der er bemyndiget til at indgå ansættelseskontrakter for udvalget (»ansættelsesmyndigheden«), gennemfører disciplinærsager, administrative undersøgelser og efterforskninger vedrørende personaleanliggender i henhold til artikel 86 i vedtægten for tjenestemænd i Den Europæiske Union (»tjenestemandsvedtægten«) og Bilag IX til tjenestemandsvedtægten samt artikel 50a og 119 i ansættelsesvilkårene for Unionens øvrige ansatte (6) (»ansættelsesvilkårene«), og efterforskninger i forbindelse med anmodninger om bistand, der er indgivet i henhold til artikel 24 i tjenestemandsvedtægten og artikel 11 og 81 i ansættelsesvilkårene, og med hensyn til påståede tilfælde af chikane jf. artikel 12a i tjenestemandsvedtægten,

b)

i henhold til artikel 25, stk. 1, litra b), c), f) og h), i EUDPR, når ansættelsesmyndigheden gennemgår anmodninger og klager indsendt af tjenestemænd og øvrige ansatte i udvalget (»ansatte«) i henhold til artikel 90 i tjenestemandsvedtægten og artikel 46 og 117 i ansættelsesvilkårene,

c)

i henhold til artikel 25, stk. 1, litra c) og h), i EUDPR, når ansættelsesmyndigheden gennemfører udvalgets personalepolitik ved at gennemføre procedurer med henblik på udvælgelse (rekruttering), evaluering (bedømmelse) og forfremmelse,

d)

i henhold til artikel 25, stk. 1, litra c), f), g) og h), i EUDPR, når udvalgets anvisningsberettigede (»den anvisningsberettigede«) gennemfører sektionen vedrørende udvalget i Den Europæiske Unions almindelige budget ved at gennemføre tildelingsprocedurer i overensstemmelse med de finansielle regler vedrørende Unionens almindelige budget (7) (»finansforordningen«),

e)

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i EUDPR, når den anvisningsberettigede gennemfører overvågning og efterforskninger vedrørende lovligheden af finansielle transaktioner, der udføres af og i udvalget, vedrørende udvalgets medlemmers og suppleanters (»udvalgets medlemmer«) økonomiske rettigheder (8) og vedrørende finansieringen af aktiviteter og arrangementer, der arrangeres og medarrangeres af udvalget, og håndterer økonomiske uregelmæssigheder hos en ansat i overensstemmelse med artikel 93 i finansforordningen,

f)

i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i EUDPR, når udvalget leverer oplysninger og dokumenter til Det Europæiske Kontor for Bekæmpelse af Svig (OLAF), enten på anmodning fra OLAF eller på eget initiativ, indberetter sager til OLAF eller behandler oplysninger og dokumenter, der modtages fra OLAF (9),

g)

i henhold til artikel 25, stk. 1, litra c), g) og h), i EUDPR, når udvalget gennemfører interne revisioner i henhold til artikel 118 og 119 i finansforordningen og i forbindelse med dets afdelingers aktiviteter og procedurer,

h)

i henhold til artikel 25, stk. 1, litra c), d) og h), i EUDPR, når udvalget gennemfører interne risikovurderinger, adgangskontroller, herunder baggrundstjek, foranstaltninger til forebyggelse og efterforskning af sikkerhedshændelser, herunder hændelser, der involverer udvalgets medlemmer og ansatte, samt hændelser vedrørende udvalgets infrastruktur og informations- og kommunikationsteknologi samt sikkerhedsforespørgsler og supplerende undersøgelser, herunder af dets elektroniske kommunikationsnet, på eget initiativ eller på anmodning af tredjepart,

i)

i henhold til artikel 25, stk. 1, litra c), d) og h), i EUDPR, når databeskyttelsesrådgiveren, på eget initiativ eller på anmodning af tredjepart, gennemfører efterforskninger vedrørende anliggender og hændelser, der har direkte forbindelse til dennes opgaver, og som denne er blevet opmærksom på, i henhold til artikel 45, stk. 2, i EUDPR,

j)

i henhold til artikel 25, stk. 1, litra h), i EUDPR, når dataansvarlige behandler personoplysninger, der er opnået i forbindelse med en ansat, der i god tro rapporterer om faktuelle elementer, der peger på enten potentielt ulovlige aktiviteter, herunder svig og korruption, som er til skade for Unionens interesser (»alvorlige uregelmæssigheder«), eller adfærd i forbindelse med udførelsen af arbejdsopgaver, der kan udgøre en alvorlig manglende efterlevelse af ansattes forpligtelser (»alvorlige forseelse«),

k)

i henhold til artikel 25, stk. 1, litra h), i EUDPR, når dataansvarlige behandler personoplysninger, der er opnået af fortrolige rådgivere i forbindelse med den uformelle procedure i sager om påstået chikane,

l)

i henhold til artikel 25, stk. 1, litra h), i EUDPR, når dataansvarlige behandler personoplysninger vedrørende enten et medlem af udvalgets eller en ansats helbred (»medicinske data«), herunder af psykologisk eller psykiatrisk art, der er indeholdt i den lægejournal, som udvalget er i besiddelse af om den pågældende registrerede,

m)

i henhold til artikel 25, stk. 1, litra e), i EUDPR, når den dataansvarlige behandler personoplysninger i dokumenter, som er udarbejdet eller indhentet af parterne eller intervenienterne i forbindelse med sager ved Den Europæiske Unions Domstol (»Domstolen«),

n)

i henhold til artikel 25, stk. 1, litra b), c), d), g) og h), i EUDPR, når udvalget yder eller modtager bistand til eller fra andre af Unionens institutioner, organer, kontorer og agenturer og samarbejder med dem i forbindelse med de aktiviteter eller procedurer, der er omhandlet i stk. 1, litra a) til m), og i henhold til de gældende serviceleveranceaftaler, aftalememoranda og samarbejdsaftaler,

o)

i henhold til artikel 25, stk. 1, litra b), c), g) og h), i EUDPR, når udvalget yder eller modtager bistand til eller fra medlemsstaternes og tredjelandes myndigheder eller internationale organisationer og samarbejder med sådanne myndigheder og organisationer, enten på deres anmodning eller på eget initiativ,

p)

i henhold til artikel 25, stk. 1, litra a), b), e) og f), i EUDPR, når udvalget leverer oplysninger og dokumenter til medlemsstaternes og tredjelandes myndigheder eller internationale organisationer, som de anmoder om i forbindelse med efterforskninger.

2.   Begrænsningerne i stk. 1 kan omfatte både objektive (»hårde data«) og subjektive (»bløde data«) personoplysninger, navnlig, men ikke udelukkende, en eller flere af følgende kategorier:

a)

Identifikationsoplysninger

b)

Kontaktoplysninger

c)

Erhvervsrelaterede oplysninger (10)

d)

Økonomiske oplysninger

e)

Overvågningsdata (11)

f)

Trafikdata (12)

g)

Medicinske data (13)

h)

Genetiske data  (13)

i)

Biometriske data (13)

j)

Oplysninger om en fysisk persons sexliv eller seksuelle orientering (13)

k)

Oplysninger, der afslører race eller etnisk oprindelse, religiøs eller filosofisk overbevisning, politiske holdninger eller politisk tilhørsforhold eller medlemsskab af en fagforening (13)

l)

Oplysninger, der afslører præstationer eller adfærd hos fysiske personer, som deltager i procedurer med henblik på udvælgelse (rekruttering), evaluering (bedømmelse) eller forfremmelse (14)

m)

Oplysninger om fysiske personers tilstedeværelse

n)

Oplysninger om fysiske personers eksterne aktiviteter

o)

Data vedrørende mistanke om strafbare forhold, lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger

p)

Elektronisk kommunikation

q)

Alle andre oplysninger vedrørende genstanden for den relevante aktivitet eller procedure, der kræver behandling af disse data.

3.   Enhver begrænsning skal respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund, og den skal være begrænset til det, der er strengt nødvendigt for at opnå målet.

4.   Enhver begrænsning, uanset om den er hel eller delvis, af anvendelsen af artikel 36 i EUDPR (Fortrolighed af elektronisk kommunikation) efter stk. 1 skal være i overensstemmelse med gældende EU-ret vedrørende databeskyttelse inden for elektronisk kommunikation (15).

5.   Dataansvarlige gennemgår regelmæssigt den anvendelse af begrænsninger, der er omtalt i stk. 1, mindst hver sjette måned fra deres indførelse, men også hvis vigtige og afgørende elementer i sagen ændrer sig, og når den aktivitet eller procedure, der førte til begrænsningerne, er færdig eller afsluttet. Derefter skal de årligt overvåge behovet for at opretholde enhver begrænsning.

6.   Begrænsningerne omhandlet i stk. 1 gælder, så længe de årsager, der berettiger dem, er til stede. Hvis årsagerne til en begrænsning omhandlet i stk. 1 ikke længere er til stede, skal den dataansvarlige fjerne begrænsningen.

7.   Når dataansvarlige behandler personoplysninger modtaget fra tredjepart i forbindelse med udvalgets opgaver hører de disse tredjeparter om eventuelle grunde til at indføre begrænsninger og om nødvendigheden og forholdsmæssigheden af de pågældende begrænsninger, medmindre dette ville være til skade for udvalgets aktiviteter eller procedurer.

Artikel 4

Vurdering af nødvendighed og forholdsmæssighed

1.   Inden dataansvarlige anvender begrænsninger, vurderer de fra sag til sag, om de overvejede begrænsninger er nødvendige og forholdsmæssige.

2.   Når dataansvarlige vurderer nødvendigheden og forholdsmæssigheden af en begrænsning, tager de de potentielle risici for den registreredes rettigheder og frihedsrettigheder i betragtning.

3.   Vurderinger af risici for registreredes rettigheder og frihedsrettigheder, der opstår som følge af indførelsen af begrænsningerne, navnlig risikoen for, at deres personoplysninger kan blive behandlet yderligere uden deres viden, og at de kan blive forhindret i at udøve deres rettigheder i henhold til forordningen, samt oplysninger om den periode, disse begrænsninger finder anvendelse, registreres i fortegnelsen over behandlingsaktiviteter, der føres af dataansvarlige i henhold til artikel 31, stk. 1, i EUDPR. De noteres ligeledes i konsekvensanalyser vedrørende databeskyttelse i forbindelse med de begrænsninger, der foretages i henhold til artikel 39 i EUDPR.

Artikel 5

Registrering af begrænsninger

1.   Når dataansvarlige anvender begrænsninger, skal de føre en fortegnelse, hvori de registrerer:

a)

Årsagerne til, at der anvendes begrænsninger

b)

Grundlaget for anvendelsen af begrænsningerne

c)

Hvordan udøvelsen af de registreredes rettigheder ville være til skade for formålet med eller resultatet af en eller flere af de aktiviteter eller procedurer, der udføres af udvalget

d)

Resultatet af vurderingen jf. artikel 4, stk. 1.

2.   Fortegnelserne i stk. 1 skal være en del af den centrale fortegnelse jf. artikel 31, stk. 5, i EUDPR og gøres tilgængelige for EDPS på anmodning.

3.   Hvis dataansvarlige begrænser anvendelsen af artikel 35 i EUDPR (Underretning om brud på persondatasikkerheden til den registrerede), inkluderes fortegnelsen i stk. 1 i underretningen til EDPS jf. artikel 34, stk. 1, i EUDPR.

Artikel 6

Garantier og opbevaringsperiode

1.   Dataansvarlige træffer sikkerhedsforanstaltninger for at forhindre misbrug af, ulovlig adgang til eller overførsel af personoplysninger, der kan være underlagt begrænsninger i henhold til artikel 3, stk. 1. Sådanne sikkerhedsforanstaltninger omfatter passende tekniske og organisatoriske tiltag og præciseres om nødvendigt i udvalgets relevante interne afgørelser, procedurer og gennemførelsesbestemmelser.

2.   De i stk. 1 omhandlede sikkerhedsforanstaltninger omfatter:

a)

klart definerede roller, ansvarsområder og proceduremæssige skridt

b)

hvis det er relevant, et sikkert elektronisk miljø, der forhindrer ulovlig eller utilsigtet adgang til elektroniske data eller overførsel heraf til uautoriserede personer

c)

hvis det er relevant, sikker opbevaring og behandling af papirbaserede dokumenter

d)

behørig overvågning af begrænsninger og regelmæssig vurdering af deres anvendelse.

3.   Personoplysningerne opbevares i overensstemmelse med udvalgets gældende regler om dataopbevaring (16), som skal defineres i de fortegnelser, der føres af dataansvarlige i henhold til artikel 31, stk. 1, i EUDPR. Personoplysningerne slettes, anonymiseres på en måde, så den registrerede ikke kan eller ikke længere kan identificeres, eller overføres til udvalgets arkiv, alt efter hvad der er relevant, i henhold til artikel 13 i EUDPR, når opbevaringsperioden udløber.

Artikel 7

Oplysninger til registrerede om begrænsningen af deres rettigheder

1.   De meddelelser om databeskyttelse, der offentliggøres på udvalgets offentlige hjemmeside og på dets intranet, skal indeholde et afsnit, der giver registrerede generelle oplysninger om den potentielle begrænsning af deres rettigheder i forbindelse med de af udvalgets aktiviteter og procedurer, der omfatter behandling af deres personoplysninger. I dette afsnit specificeres de rettigheder, der kan blive begrænset, grundlaget for anvendelsen af begrænsninger, disse begrænsningers potentielle varighed og de administrative og juridiske retsmidler, der er til rådighed for registrerede.

2.   Når dataansvarlige anvender begrænsninger, informerer de direkte og uden unødigt ophold og i det mest passende format hver enkelt registrerede om:

a)

alle eksisterende eller kommende begrænsninger af deres rettigheder

b)

de vigtigste grunde for anvendelsen af begrænsningen

c)

deres ret til at høre databeskyttelsesrådgiveren med henblik på at anfægte begrænsningen

d)

deres ret til at klage til EDPS

e)

deres ret til at indbringe sagen for Domstolen.

3.   Når dataansvarlige uanset stk. 2 i særlige tilfælde begrænser anvendelsen af artikel 35 i EUDPR (Underretning om brud på persondatasikkerheden til den registrerede), meddeler de bruddet på persondatasikkerheden til den pågældende registrerede og giver de oplysninger, der er nævnt i stk. 2, litra b), d) og e), så snart årsagerne til at begrænse denne kommunikation ikke længere er til stede.

4.   Når dataansvarlige uanset stk. 2 i særlige tilfælde begrænser anvendelsen af artikel 36 i EUDPR (Fortrolighed af elektronisk kommunikation), giver de oplysningerne omhandlet i stk. 2 i deres svar på enhver anmodning fra den pågældende registrerede.

5.   Dataansvarlige kan udsætte, udelade eller afvise at udlevere oplysningerne omhandlet i stk. 2 (»udsættelse, udeladelse eller afvisning af oplysninger«), så længe det ville ophæve virkningen af begrænsningen. De skal give den pågældende registrerede oplysningerne omhandlet i stk. 2, så snart dette ikke længere vil ophæve virkningen af begrænsningen.

6.   Artikel 4 og artikel 5 finder tilsvarende anvendelse vedrørende enhver udsættelse, udeladelse eller afvisning af oplysninger.

Artikel 8

Involvering af udvalgets databeskyttelsesrådgiver

1.   Dataansvarlige informerer uden unødigt ophold databeskyttelsesrådgiveren skriftligt, når de begrænser en registrerets rettigheder i henhold til artikel 3, stk. 1, udfører de regelmæssige evalueringer omhandlet i artikel 3, stk. 5, fjerner begrænsninger, jf. artikel 3, stk. 6, eller udsætter, udelader eller afviser at udlevere oplysningerne omhandlet i artikel 7, stk. 2, i henhold til artikel 7, stk. 5. Databeskyttelsesrådgiveren giver på anmodning adgang til de tilknyttede fortegnelser og alle dokumenter, der indeholder de faktuelle og retlige elementer, der ligger til grund.

2.   Databeskyttelsesrådgiveren kan anmode dataansvarlige om at vurdere alle eksisterende begrænsninger samt udsættelser, udeladelser eller afvisninger af oplysninger og anvendelsen heraf. Databeskyttelsesrådgiveren underrettes skriftligt om resultatet af den anmodede vurdering.

3.   Involveringen af databeskyttelsesrådgiveren i henhold til stk. 1 og 2 i forbindelse med anvendelsen af begrænsninger og udsættelser, udeladelser og afvisninger af oplysninger skal dokumenteres behørigt af dataansvarlige, herunder de oplysninger, der deles med databeskyttelsesrådgiveren.

4.   Databeskyttelsesrådgiveren giver på anmodning sin udtalelse til dataansvarlige om fastlæggelsen af deres ansvarsområder i forbindelse med fælles dataansvar i henhold til artikel 28, stk. 1, i EUDPR.

Artikel 9

De fælles tjenestegrene

Databeskyttelsesrådgiveren samarbejder med EØSU's databeskyttelsesrådgiver, hvad angår de fælles tjenestegrenes behandling af personoplysninger med henblik på at sikre en effektiv gennemførelse af denne afgørelse.

Artikel 10

Afsluttende bestemmelser

1.   Generalsekretæren kan efter behov udstede instrukser eller vedtage gennemførelsesforanstaltninger for om nødvendigt yderligere at præcisere eller effektuere bestemmelser i denne afgørelse i overensstemmelse med denne.

2.   Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Udfærdiget i Bruxelles, den 25. januar 2022.

På vegne af Regionsudvalgets præsidium

Apostolos TZITZIKOSTAS

Formand


(1)   EUT C 202 af 7.6.2016, s. 47.

(2)   EUT L 295 af 21.11.2018, s. 39.

(3)   EUT L 472 af 30.12.2021, s. 1.

(4)  Regionsudvalgets præsidiums afgørelse nr. 19/2020 af 9. oktober 2020 om vedtagelse af gennemførelsesbestemmelser til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger (»afgørelse nr. 19/2020«).

(5)  Traktaten om Den Europæiske Union (»TEU«) (EUT C 202 af 7.6.2016, s. 13) og traktaten om Den Europæiske Unions funktionsmåde (»TEUF«).

(6)  Bilag til Rådets forordning nr. 31 (EØF), nr. 11 (Euratom) om vedtægten for tjenestemænd i Det Europæiske Økonomiske Fællesskab og om øvrige ansatte i Det europæiske økonomiske Fællesskab og Det europæiske Atomenergifællesskab (EUT P 45 af 14.6.1962, s. 1385) som ændret ved Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 af 29. februar 1968 om vedtægten for tjenestemænd i De europæiske Fællesskaber og om ansættelsesvilkårene for de øvrige ansatte i disse Fællesskaber samt om særlige midlertidige foranstaltninger for tjenestemænd i Kommissionen (EUT L 56 af 4.3.1968, s. 1) som senere ændret, ajourført, suppleret eller på anden måde omarbejdet.

(7)  Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 af 18. juli 2018 om de finansielle regler vedrørende Unionens almindelige budget, om ændring af forordning (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 og afgørelse nr. 541/2014/EU og om ophævelse af forordning (EU, Euratom) nr. 966/2012 (EUT L 193 af 30.7.2018, s. 1).

(8)  Herunder, men ikke begrænset til, godtgørelse af generelle udgifter, godtgørelse til ansatte, godtgørelse af udstyr og faciliteter og af rejse- og opholdsudgifter, mødedagpenge (herunder for videomøder) samt andre godtgørelser, der betales i henhold til artikel 238 i finansforordningen.

(9)  Dette punkt finder ikke anvendelse på behandlingen af personoplysninger, for hvilke OLAF fungerer som eneansvarlig, navnlig i sager, hvor OLAF behandler personoplysninger, der opbevares hos udvalget.

(10)  Herunder, men ikke begrænset til, ansættelseskontrakter, tjenesteyderkontrakter og data vedrørende tjenesterejser.

(11)  Herunder, men ikke begrænset til, lyd- og videooptagelser og log af- og på-registre.

(12)  Herunder, men ikke begrænset til, log af- og på-tider, adgang til interne applikationer og netværksbaserede ressourcer og internetbrug.

(13)  For så vidt at disse data behandles i henhold til artikel 10, stk. 2 i EUDPR.

(14)  Herunder, men ikke begrænset til, skriftlige prøver, indspillede taler, evalueringsark og bedømmeres vurderinger, betragtninger eller holdninger.

(15)  Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EUT L 201 af 31.7.2002, s. 37).

(16)  Regionsudvalgets generalsekretærs afgørelse nr. 129/2003 af 17. juni 2003 om dokumenthåndtering i Regionsudvalget.