ISSN 1977-0634
Den Europæiske Unions
Tidende
L 37
Dansk udgave
Retsforskrifter
63. årgang
10. februar 2020
|
ISSN 1977-0634 |
||
|
Den Europæiske Unions Tidende |
L 37 |
|
|
|
||
|
Dansk udgave |
Retsforskrifter |
63. årgang |
|
Indhold |
|
II Ikke-lovgivningsmæssige retsakter |
Side |
|
|
|
FORORDNINGER |
|
|
|
* |
||
|
|
* |
||
|
|
* |
Kommissionens gennemførelsesforordning (EU) 2020/180 af 7. februar 2020 om godkendelse af et præparat af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP som tilsætningsstof til foder til alle dyrearter ( 1 ) |
|
|
|
|
AFGØRELSER |
|
|
|
* |
Kommissionens gennemførelsesafgørelse (EU) 2020/181 af 7. februar 2020 om visse midlertidige beskyttelsesforanstaltninger over for afrikansk svinepest i Grækenland (meddelt under nummer C(2020) 799) ( 1 ) |
|
|
|
|
FORRETNINGSORDENER OG PROCESREGLEMENTER |
|
|
|
* |
||
|
|
* |
|
|
|
|
|
(1) EØS-relevant tekst. |
|
DA |
De akter, hvis titel er trykt med magre typer, er løbende retsakter inden for rammerne af landbrugspolitikken og har normalt en begrænset gyldighedsperiode. Titlen på alle øvrige akter er trykt med fede typer efter en asterisk. |
II Ikke-lovgivningsmæssige retsakter
FORORDNINGER
|
10.2.2020 |
DA |
Den Europæiske Unions Tidende |
L 37/1 |
KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2020/178
af 31. januar 2020
om formidling af oplysninger til passagerer, der ankommer fra tredjelande, og til posttjenestekunder og visse professionelle operatører om forbud for så vidt angår indførsel af planter, planteprodukter og andre objekter til Unionens område, jf. Europa-Parlamentets og Rådet forordning (EU) 2016/2031
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2016/2031 af 26. oktober 2016 om beskyttelsesforanstaltninger mod planteskadegørere og om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 228/2013, (EU) nr. 652/2014 og (EU) nr. 1143/2014 og om ophævelse af Rådets direktiv 69/464/EØF, 74/647/EØF, 93/85/EØF, 98/57/EF, 2000/29/EF, 2006/91/EF og 2007/33/EF (1), særlig artikel 45, stk. 1, fjerde afsnit og
ud fra følgende betragtninger:
|
(1) |
I henhold til forordning (EU) 2016/2031 skal medlemsstaterne, søhavne, lufthavne og internationale transportoperatører stille oplysninger til rådighed for passagerer om forbud og krav for så vidt angår indførsel af planter, planteprodukter og andre objekter til Unionens område. |
|
(2) |
Posttjenester og professionelle operatører, der er involveret i salg via fjernsalgsaftaler, skal ligeledes stille disse oplysninger til rådighed for deres kunder. |
|
(3) |
Oplysningerne bør formidles på en let og umiddelbart forståelig måde. De bør derfor visuelt vise følgende genstande, som det er forbudt for passagererne at medbringe: planter til plantning, afskårne blomster, frugter og grøntsager. |
|
(4) |
For at sikre klarhed bør oplysningerne også indeholde en meddelelse om de vigtigste regler og krav vedrørende indførsel af planter, planteprodukter og andre objekter til Unionens område. Meddelelsen bør indeholde oplysninger om frugter, der er undtaget fra kravet om et plantesundhedscertifikat, jf. artikel 73 i forordning (EU) 2016/2031, om de tredjelande, fra hvilke et plantesikkerhedscertifikat ikke er nødvendigt, og om, fra hvilke af Unionens områder det er nødvendigt med et sådant certifikat. |
|
(5) |
Disse oplysninger bør være tilgængelige ved alle EU-indgangssteder eller på alle transportmidler til Unionen. Medlemsstaterne bør ligeledes frit kunne vælge yderligere steder, såsom afgangssteder fra Unionen til tredjelande, for i god tid at gøre disse oplysninger tilgængelige for passagerer, som på et senere tidspunkt vender tilbage fra disse lande til Unionen. |
|
(6) |
Denne forordning bør træde i kraft på tredjedagen efter offentliggørelsen for at sikre, at passagerer og posttjenestekunder og professionelle operatører, der er involveret i salg via fjernsalgsaftaler, informeres så hurtigt som muligt om anvendelsen af de nye regler. |
|
(7) |
Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Den Stående Komité for Planter, Dyr, Fødevarer og Foder — |
VEDTAGET DENNE FORORDNING:
Artikel 1
Formidling af oplysninger til passagerer, der ankommer fra tredjelande, og til posttjenestekunder og til visse professionelle operatører
1. Medlemsstater, søhavne, lufthavne og internationale transportoperatører skal opsætte plakater med de oplysninger, der er anført i bilaget, ved alle EU-indgangssteder eller på alle transportmidler til Unionen til orientering af passagerer fra tredjelande.
Medlemsstater, søhavne, lufthavne og internationale transportoperatører kan som nævnt i første afsnit også opsætte plakater ved afgangssteder ud af Unionen.
2. Posttjenester og professionelle operatører, der er involveret i salg via fjernsalgsaftaler, skal som minimum via internettet stille de oplysninger, der er angivet i bilaget, til rådighed.
3. De oplysninger, der er angivet i bilaget, skal placeres på steder, hvor de er synlige, både på fysiske steder og på internettet.
Artikel 2
Ikrafttræden
Denne forordning træder i kraft på tredjedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 31. januar 2020.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
BILAG
Plakat omhandlet i artikel 1
|
10.2.2020 |
DA |
Den Europæiske Unions Tidende |
L 37/4 |
KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2020/179
af 3. februar 2020
om godkendelse af en ændring af varespecifikationen for en registreret geografisk betegnelse for spiritus (Berliner Kümmel)
EUROPA-KOMMISSIONEN HAR
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2019/787 af 17. april 2019 om definition, beskrivelse, præsentation og mærkning af spiritus, brugen af betegnelser for spiritus i præsentation og mærkning af andre fødevarer, beskyttelse af geografiske betegnelser for spiritus, brugen af landbrugsethanol og landbrugsdestillater i alkoholholdige drikkevarer samt om ophævelse af forordning (EF) nr. 110/2008 (1), særlig artikel 30, stk. 2, og
ud fra følgende betragtninger:
|
(1) |
Kommissionen har i overensstemmelse med artikel 21 sammenholdt med artikel 17, stk. 5, i Europa-Parlamentets og Rådets forordning (EF) nr. 110/2008 (2) behandlet Tysklands ansøgning af 28. september 2017 om godkendelse af en ændring af den tekniske dokumentation for en registreret geografisk betegnelse »Berliner Kümmel«, der er beskyttet i henhold til forordning (EF) nr. 110/2008. |
|
(2) |
Forordning (EU) 2019/787, som erstatter forordning (EF) nr. 110/2008, trådte i kraft den 25. maj 2019. I overensstemmelse med artikel 49, stk. 1, i nævnte forordning ophæves kapitel III i forordning (EF) nr. 110/2008 vedrørende geografiske betegnelser med virkning fra den 8. juni 2019. I henhold til artikel 22, stk. 2, i forordning (EU) 2019/787 anses teknisk dokumentation indgivet som led i ansøgninger før den 8. juni 2019 i henhold til forordning (EF) nr. 110/2008 for at være varespecifikationer i henhold til denne artikel. |
|
(3) |
Efter at have konkluderet, at ansøgningen er i overensstemmelse med forordning (EF) nr. 110/2008, har Kommissionen i henhold til artikel 17, stk. 6, i nævnte forordning offentliggjort anmodning om ændring i Den Europæiske Unions Tidende (3) i overensstemmelse med artikel 50, stk. 4, første afsnit, i forordning (EU) 2019/787. |
|
(4) |
Da Kommissionen ikke har modtaget indsigelser, jf. artikel 27, stk. 1, i forordning (EU) 2019/787, skal ændringen af varespecifikationen godkendes i henhold til artikel 30, stk. 2, i nævnte forordning, der finder tilsvarende anvendelse på ændringerne i varespecifikationen |
VEDTAGET DENNE FORORDNING:
Artikel 1
Den ændring af varespecifikationen, der er offentliggjort i Den Europæiske Unions Tidende, og som vedrører betegnelsen »Berliner Kümmel«, godkendes.
Artikel 2
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 3. februar 2020.
På Kommissionens vegne
For formanden
Janusz WOJCIECHOWSKI
Medlem af Kommissionen
(1) EUT L 130 af 17.5.2019, s. 1.
(2) Europa-Parlamentets og Rådets forordning (EF) nr. 110/2008 af 15. januar 2008 om definition, betegnelse, præsentation og mærkning af samt beskyttelse af geografiske betegnelser for spiritus og om ophævelse af Rådets forordning (EØF) nr. 1576/89 (EUT L 39 af 13.2.2008, s. 16).
|
10.2.2020 |
DA |
Den Europæiske Unions Tidende |
L 37/5 |
KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2020/180
af 7. februar 2020
om godkendelse af et præparat af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP som tilsætningsstof til foder til alle dyrearter
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 1831/2003 af 22. september 2003 om fodertilsætningsstoffer (1), særlig artikel 9, stk. 2, og
ud fra følgende betragtninger:
|
(1) |
Forordning (EF) nr. 1831/2003 indeholder bestemmelser om godkendelse af fodertilsætningsstoffer og om grundlaget og procedurerne for meddelelse af sådan godkendelse. |
|
(2) |
I overensstemmelse med artikel 7 i forordning (EF) nr. 1831/2003, er der indgivet en ansøgning om godkendelse af et præparat af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP som tilsætningsstof til foder til alle dyrearter. Ansøgningen var vedlagt de oplysninger og dokumenter, der kræves i henhold til samme forordnings artikel 7, stk. 3. |
|
(3) |
Ansøgningen vedrører godkendelse i tilsætningsstofkategorien »zootekniske tilsætningsstoffer« af et præparat af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP til anvendelse i sojabønner. |
|
(4) |
Den Europæiske Fødevaresikkerhedsautoritet (»autoriteten«) konkluderede i sine udtalelser af 8. september 2015 (2) og 18. september 2018 (3), at præparatet af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP på de foreslåede anvendelsesbetingelser ikke har nogen skadelig virkning for dyrs sundhed eller for miljøet. Autoriteten konkluderede imidlertid også, at tilsætningsstoffet betragtes som hud- og øjenirriterende samt som hudsensibiliserende og respiratorisk sensibiliserende stof. Kommissionen mener derfor, at der bør træffes passende beskyttelsesforanstaltninger for at forhindre negative virkninger for menneskers sundhed, navnlig hvad angår brugerne af tilsætningsstoffet. Autoriteten konkluderede også, at tilsætningsstoffet potentielt kan være effektivt med henblik på reducering af koncentrationen af oligosakkarider i raffinoseserierne og trypsin-inhibitor i sojabønner. Autoriteten mener ikke, at der er behov for særlige krav vedrørende overvågning efter markedsføringen. Den har også gennemgået den rapport om metoder til analyse af fodertilsætningsstoffet, der blev forelagt af det ved forordning (EF) nr. 1831/2003 oprettede referencelaboratorium. |
|
(5) |
Vurderingen af præparatet af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP viser, at betingelserne for godkendelse, jf. artikel 5 i forordning (EF) nr. 1831/2003, er opfyldt. Derfor bør anvendelsen af dette præparat godkendes som anført i bilaget til nærværende forordning. |
|
(6) |
Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Den Stående Komité for Planter, Dyr, Fødevarer og Foder — |
VEDTAGET DENNE FORORDNING:
Artikel 1
Det i bilaget opførte præparat, der tilhører tilsætningsstofkategorien »teknologiske tilsætningsstoffer« og den funktionelle gruppe »andre teknologiske tilsætningsstoffer«, godkendes som fodertilsætningsstof, jf. nævnte bilag.
Artikel 2
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 7. februar 2020.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 268 af 18.10.2003, s. 29.
(2) EFSA Journal 2015;13(9):4230.
(3) EFSA Journal 2018;16(5):5275.
BILAG
|
Tilsætningsstoffets identifikationsnummer |
Tilsætningsstof |
Sammensætning, kemisk betegnelse, beskrivelse, analysemetode |
Dyreart eller -kategori |
Maksimumsalder |
Minimumsindhold |
Maksimumsindhold |
Andre bestemmelser |
Godkendelse gyldig til |
||||||
|
CFU tilsætningsstof/kg sojabønner |
||||||||||||||
|
Kategori af teknologiske tilsætningsstoffer. Funktionel gruppe: andre teknologiske tilsætningsstoffer (reducering af anti-ernæringsmæssig faktorer i sojabønner) |
||||||||||||||
|
1o01 |
Bacillus subtilis KCCM 10673P Aspergillus oryzae KCTC 10258BP |
Tilsætningsstoffets sammensætning Præparat af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP med et indhold på mindst 1,2 × 108 CFU/g tilsætningsstof og 2,0 × 108 CFU/g tilsætningsstof. |
Alle dyrearter |
— |
Bacillus subtilis 1,2 × 106 Aspergillus oryzae 2,0 × 106 |
— |
|
1.3.2030 |
||||||
|
Aktivstoffets karakteristika Levedygtige celler af Bacillus subtilis KCCM 10673P og Aspergillus oryzae KCTC 10258BP. |
||||||||||||||
|
Analysemetode (1) Kvantitativ bestemmelse af Bacillus subtilis KCCM 10673P i fodertilsætningsstoffet, forblandinger og foderstoffer: Pladespredningsmetode med trypton-soja-agar (EN 15784). Identifikation af Bacillus subtilis KCCM 10673P i fodertilsætningsstoffet: PFG-elektroforese (pulsed field gel electrophoresis) Identifikation af Aspergillus oryzae KCTC 10258BP i fodertilsætningsstoffet: Polymerasekædereaktion (PCR). |
||||||||||||||
(1) Nærmere oplysninger om analysemetoderne findes på referencelaboratoriets hjemmeside: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports.
AFGØRELSER
|
10.2.2020 |
DA |
Den Europæiske Unions Tidende |
L 37/8 |
KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2020/181
af 7. februar 2020
om visse midlertidige beskyttelsesforanstaltninger over for afrikansk svinepest i Grækenland
(meddelt under nummer C(2020) 799)
(Kun den græske udgave er autentisk)
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Rådets direktiv 89/662/EØF af 11. december 1989 om veterinærkontrol i samhandelen i Fællesskabet med henblik på gennemførelse af det indre marked (1), særlig artikel 9, stk. 3,
under henvisning til Rådets direktiv 90/425/EØF af 26. juni 1990 om veterinærkontrol i samhandelen med visse levende dyr og produkter inden for Unionen med henblik på gennemførelse af det indre marked (2), særlig artikel 10, stk. 3,
ud fra følgende betragtninger:
|
(1) |
Afrikansk svinepest er en infektiøs virussygdom, der rammer populationer af tamsvin og vildtlevende svin og kan have alvorlige konsekvenser for svineproduktionens rentabilitet, og som forårsager forstyrrelser i samhandelen i Unionen og eksporten til tredjelande. |
|
(2) |
Ved et udbrud af afrikansk svinepest er der risiko for, at sygdomsagensen spreder sig til andre svinebedrifter og til vildtlevende svin. Den kan således sprede sig fra én medlemsstat til en anden medlemsstat og til tredjelande via handel med levende svin eller produkter fremstillet heraf. |
|
(3) |
Der er ved Rådets direktiv 2002/60/EF (3) fastsat minimumsforanstaltninger, der skal gennemføres i Unionen til bekæmpelse af afrikansk svinepest. I henhold til artikel 9 i direktiv 2002/60/EF skal der i tilfælde af udbrud af sygdommen oprettes beskyttelses- og overvågningszoner, hvor de foranstaltninger, der er fastsat i direktivets artikel 10 og 11, skal anvendes. |
|
(4) |
Grækenland har underrettet Kommissionen om den aktuelle situation med hensyn til afrikansk svinepest i landet og har i henhold til artikel 9 i direktiv 2002/60/EF oprettet beskyttelses- og overvågningszoner, hvor de foranstaltninger, der er omhandlet i direktivets artikel 10 og 11, skal anvendes. |
|
(5) |
For at hindre unødvendige forstyrrelser i samhandelen i Unionen og for at undgå, at tredjelande indfører uberettigede handelshindringer, bør de områder, der er oprettet som beskyttelses- og overvågningszoner for så vidt angår afrikansk svinepest i Grækenland, beskrives på EU-plan i samarbejde med denne medlemsstat. |
|
(6) |
I afventning af næste møde i Den Stående Komité for Planter, Dyr, Fødevarer og Foder bør de områder, der er oprettet som beskyttelses- og overvågningszoner i Grækenland, derfor opføres i bilaget til denne afgørelse, ligesom regionaliseringens varighed bør fastsættes. |
|
(7) |
Denne afgørelse vil blive taget op til fornyet vurdering på det næste møde i Den Stående Komité for Planter, Dyr, Fødevarer og Foder — |
VEDTAGET DENNE AFGØRELSE:
Artikel 1
Grækenland sikrer, at de i henhold til artikel 9 i direktiv 2002/60/EF oprettede beskyttelses- og overvågningszoner som minimum omfatter de områder, der er opført som beskyttelses- og overvågningszoner i bilaget til denne afgørelse.
Artikel 2
Denne afgørelse anvendes indtil den 6. april 2020.
Artikel 3
Denne afgørelse er rettet til Den Hellenske Republik.
Udfærdiget i Bruxelles, den 7. februar 2020.
På Kommissionens vegne
Stella KYRIAKIDES
Medlem af Kommissionen
(1) EFT L 395 af 30.12.1989, s. 13.
(2) EFT L 224 af 18.8.1990, s. 29.
(3) Rådets direktiv 2002/60/EF af 27. juni 2002 om specifikke bestemmelser for bekæmpelse af afrikansk svinepest og om ændring af direktiv 92/119/EØF for så vidt angår Teschener syge og afrikansk svinepest (EFT L 192 af 20.7.2002, s. 27).
BILAG
|
Grækenland |
Områder, jf. artikel 1 |
Anvendelsen ophører (dato) |
||||||||||||||
|
Beskyttelseszone |
Municipality of Visaltias (Serres Regional Unit) |
6. april 2020 |
||||||||||||||
|
Overvågningszone |
In Thessaloniki Regional Unit:
In Serres Regional Unit:
|
6. april 2020 |
FORRETNINGSORDENER OG PROCESREGLEMENTER
|
10.2.2020 |
DA |
Den Europæiske Unions Tidende |
L 37/11 |
AFGØRELSE FRA BESTYRELSEN FOR DEN EUROPÆISKE UNIONS AGENTUR FOR CYBERSIKKERHED
af 21. november 2019
om interne regler vedrørende begrænsning af visse rettigheder for registrerede i forbindelse med behandling af personoplysninger inden for rammerne af ENISA's funktionsmåde
BESTYRELSEN FOR ENISA HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (1), særlig artikel 25,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (2), særlig artikel 15, stk. 1,
under henvisning til udtalelse fra EDPS af 17. oktober 2019 og til EDPS' vejledning om artikel 25 i forordning (EU) 2018/1725 og interne regler, og
ud fra følgende betragtninger:
|
(1) |
I overensstemmelse med artikel 25, stk. 1, i forordning (EU) 2018/1725 bør begrænsninger for at anvende artikel 14-22, 35 og 36 samt artikel 4 i nævnte forordning, for så vidt bestemmelserne heri svarer til de rettigheder og forpligtelser, der er omhandlet i artikel 14-22, baseres på interne regler, der vedtages af ENISA, når disse ikke er baseret på retsakter, der er vedtaget på grundlag af traktaterne. |
|
(2) |
Disse interne regler, herunder deres bestemmelser om vurdering af nødvendigheden og proportionaliteten af en begrænsning, bør ikke finde anvendelse, når en retsakt, der er vedtaget på grundlag af traktaterne, indeholder en begrænsning af den registreredes rettigheder. |
|
(3) |
Hvor ENISA udfører sit hverv med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal det overveje, om nogen af de undtagelser, der er fastsat i denne forordning, finder anvendelse. |
|
(4) |
Inden for rammerne af sin administrative funktionsmåde kan ENISA foretage administrative undersøgelser, gennemføre disciplinærsager, udføre indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, behandle whistleblowingsager, iværksætte (formelle og uformelle) procedurer til at forebygge chikane, behandle interne og eksterne klager, gennemføre interne revisioner, gennemføre vurderinger af cybersikkerhedshændelser i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881, iværksætte efterforskninger på foranledning af den databeskyttelsesansvarlige i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725, og interne (IT-relaterede) sikkerhedsefterforskninger. ENISA behandler flere kategorier af personoplysninger, herunder hårde data (»objektive« data såsom identifikationsdata, kontaktoplysninger, faglige data, administrative oplysninger, data fra specifikke kilder, elektronisk kommunikations- og trafikdata) og/eller bløde data (»subjektive« data vedrørende sagen såsom argumenter, adfærdsdata, medarbejdervurderinger, præstations- og adfærdsdata samt data, der er knyttet til eller fremsat i forbindelse med genstanden for proceduren eller aktiviteten). |
|
(5) |
ENISA, som repræsenteres af den administrerende direktør, fungerer som dataansvarlig uanset yderligere delegering af rollen som dataansvarlig internt i ENISA for at afspejle det operationelle ansvar for specifikke behandlingsaktiviteter vedrørende personoplysninger. |
|
(6) |
Personoplysningerne opbevares sikkert i et elektronisk miljø eller på papir, hvilket forhindrer ulovlig adgang for eller overførsel af data til personer, der ikke har brug for denne viden. De behandlede personoplysninger opbevares ikke længere, end det er nødvendigt og passende for de formål, hvortil oplysningerne behandles, i den periode, der er angivet i ENISA's databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser. |
|
(7) |
De interne regler bør finde anvendelse på alle de behandlingsaktiviteter, som ENISA udfører i forbindelse med administrative undersøgelser, disciplinærsager, indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, whistleblowingsager, (formelle og uformelle) procedurer i sager om chikane, behandling af interne og eksterne klager, interne revisioner, vurderinger af cybersikkerhedshændelser i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881, efterforskninger iværksat af den databeskyttelsesansvarlige i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725, (IT-relaterede) sikkerhedsefterforskninger, der gennemføres internt eller med ekstern deltagelse (f.eks. af CERT-EU). |
|
(8) |
De bør gælde for behandlingsaktiviteter, der udføres, før ovennævnte procedurer indledes, under disse procedurer og i forbindelse med, at opfølgningen på udfaldet af disse procedurer overvåges. De bør også omfatte bistand og samarbejde, som ydes af ENISA til de nationale myndigheder og internationale organisationer uden for myndighedens administrative undersøgelser. |
|
(9) |
I de tilfælde, hvor disse interne regler gælder, skal ENISA fremlægge en begrundelse, der forklarer, hvorfor begrænsningerne er strengt nødvendige og forholdsmæssige i et demokratisk samfund og respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder. |
|
(10) |
Inden for disse rammer er ENISA forpligtet til i videst muligt omfang at respektere de registreredes grundlæggende rettigheder i løbet af de ovennævnte procedurer, især dem, der vedrører retten til oplysninger, indsigt og berigtigelse, retten til sletning, begrænsning af behandling, retten til underretning om et brud på persondatasikkerheden til en registreret eller kommunikationsfortrolighed som nedfældet i forordning (EU) 2018/1725. |
|
(11) |
ENISA kan dog være forpligtet til at begrænse oplysningerne til den registreredes og andre registreredes rettigheder for at beskytte især sine egne undersøgelser, andre offentlige myndigheders undersøgelser og sager samt andre personers rettigheder vedrørende ENISA's undersøgelser eller andre procedurer. |
|
(12) |
ENISA kan således begrænse oplysningerne med det formål at beskytte undersøgelsen og andre registreredes grundlæggende rettigheder og frihedsrettigheder. |
|
(13) |
ENISA bør lejlighedsvis overvåge, at de betingelser, der ligger til grund for begrænsningen, er gældende, og ophæve begrænsningen, hvis de ikke længere er gældende. |
|
(14) |
Den dataansvarlige bør informere den databeskyttelsesansvarlige på udsættelsestidspunktet og under revisionerne |
|
(15) |
Grundet vigtigheden af de interne regler for beskyttelsen af den registreredes rettigheder skal afgørelsen træde i kraft så hurtigt som muligt efter offentliggørelsen i Den Europæiske Unions Tidende — |
VEDTAGET DENNE AFGØRELSE:
Artikel 1
Genstand og anvendelsesområde
1. Denne afgørelse indeholder bestemmelser om de betingelser, under hvilke ENISA inden for rammerne af de procedurer, der er fastsat i stk. 2, kan begrænse anvendelsen af de rettigheder, der er fastsat i artikel 14-21, artikel 35 og 36 samt artikel 4, jf. artikel 25 i forordning (EU) 2018/1725.
2. Inden for rammerne af ENISA's administrative funktionsmåde finder denne afgørelse anvendelse på ENISA's behandlingsaktiviteter vedrørende personoplysninger i forbindelse med administrative undersøgelser, disciplinærsager, indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, behandling af whistleblowingsager, (formelle og uformelle) procedurer for forebyggelse af chikane, behandling af interne og eksterne klager, udførelse af interne revisioner, udførelse af vurderinger af cybersikkerhedshændelser i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881, efterforskninger iværksat af den databeskyttelsesansvarlige i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725, og (IT-relaterede) sikkerhedsefterforskninger, der gennemføres internt eller med ekstern deltagelse (f.eks. af CERT-EU).
3. De pågældende datakategorier er hårde data (»objektive« data såsom identifikationsdata, kontaktoplysninger, faglige data, administrative oplysninger, data fra specifikke kilder, elektronisk kommunikations- og trafikdata) og/eller bløde data (»subjektive« data, der vedrører sagen, såsom argumenter, adfærdsdata, medarbejdervurderinger, præstations- og adfærdsdata samt data, der er knyttet til eller fremsat i forbindelse med genstanden for proceduren eller aktiviteten).
4. Hvor ENISA udfører sit hverv med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal det overveje, om nogen af de undtagelser, der er fastsat i denne forordning, finder anvendelse.
5. På de betingelser, der er fastsat i denne afgørelse, kan begrænsningerne gælde følgende rettigheder: informering af registrerede, ret til indsigt, berigtigelse, sletning, begrænsning af behandlingen, underretning af den registrerede om et brud på persondatasikkerheden eller kommunikationsfortrolighed.
Artikel 2
Specifikation af den dataansvarlige og sikkerhedsforanstaltninger
1. De sikkerhedsforanstaltninger, der er indført for at undgå brud på datasikkerheden, læk eller uautoriseret videregivelse, er som følger:
|
a) |
Papirdokumenter opbevares i sikrede skabe og er kun tilgængelige for autoriseret personale. |
|
b) |
Alle elektroniske oplysninger opbevares i en sikker IT-anordning i henhold til ENISA's sikkerhedsstandarder såvel som i specifikke elektroniske mapper, som kun er tilgængelige for autoriseret personale. Passende adgangsniveauer fastsættes individuelt. |
|
c) |
Databasen er beskyttet af en adgangskode med et fælles indlogningssystem og er automatisk forbundet med brugerens ID og adgangskode. Det er strengt forbudt at udskifte brugere. E-fortegnelser føres sikkert for at garantere, at de deri indeholdte oplysninger forbliver fortrolige og private. |
|
d) |
Alle personer, der har adgang til oplysningerne, er underlagt tavshedspligt. |
2. Den dataansvarlige for behandlingsaktiviteterne er ENISA, repræsenteret ved den administrerende direktør, som kan uddelegere den dataansvarliges funktion. Registrerede skal underrettes om den delegerede dataansvarlige via bekendtgørelser eller fortegnelser om databeskyttelse, der offentliggøres på ENISA's websted og/eller intranet.
3. Opbevaringsperioden for de personoplysninger, der er omhandlet i artikel 1, stk. 3, er ikke længere end nødvendig og er passende for det formål, hvortil oplysningerne behandles. Den er under ingen omstændigheder længere end den opbevaringsperiode, der er angivet i de i artikel 5, stk. 1, omhandlede databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser.
4. Hvis ENISA overvejer at anvende en begrænsning, vægtes risikoen for den registreredes rettigheder og frihedsrettigheder, især i forhold til risikoen for andre registreredes rettigheder og frihedsrettigheder og risikoen for at miste effekten af ENISA's undersøgelser eller procedurer, eksempelvis ved at ødelægge beviser. Risiciene for den registreredes grundlæggende rettigheder og frihedsrettigheder vedrører primært, men er ikke begrænset til, omdømmemæssige risici og risici for retten til forsvar og retten til at blive hørt.
Artikel 3
Begrænsninger
1. Enhver begrænsning må kun anvendes af ENISA med det formål at beskytte:
|
a) |
forebyggelse, efterforskning, afsløring og retsforfølgelse af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed |
|
b) |
andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed |
|
c) |
den interne sikkerhed i Unionens institutioner og organer, herunder deres elektroniske kommunikationsnet |
|
d) |
forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv |
|
e) |
kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a) og b) |
|
f) |
beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder. |
2. Vurderingen af cybersikkerhedshændelser, der udføres af ENISA i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881 (forordningen om cybersikkerhed), henhører under stk. 1, litra b), i denne artikel.
3. Som en konkret anvendelse af de i stk. 1 beskrevne formål kan ENISA anvende begrænsninger vedrørende personoplysninger, der udveksles med Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -agenturer og -kontorer, de kompetente myndigheder i medlemsstaterne eller tredjelande eller internationale organisationer, under følgende omstændigheder:
|
a) |
hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -agenturer og -kontorer på grundlag af andre retsakter, der er omhandlet i artikel 25 i forordning (EU) 2018/1725, eller i overensstemmelse med kapitel IX i nævnte forordning eller med de grundlæggende retsakter for andre EU-institutioner, -organer, -agenturer og -kontorer |
|
b) |
hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af medlemsstaternes kompetente myndigheder på grundlag af de retsakter, der er omhandlet i artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3), eller i henhold til nationale foranstaltninger til gennemførelse af artikel 13, stk. 3, artikel 15, stk. 3, eller artikel 16, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (4) |
|
c) |
hvis udøvelsen af disse rettigheder og forpligtelser kan bringe ENISA's samarbejde med tredjelande eller internationale organisationer i forbindelse med udførelsen af sine opgaver i fare. |
Inden der pålægges begrænsninger i de tilfælde, som er omtalt i første afsnit, litra a) og b), skal ENISA høre Kommissionens relevante tjenestegrene, Unionens institutioner, organer, agenturer, kontorer eller de kompetente myndigheder i medlemsstaterne, medmindre det står klart for ENISA, at anvendelsen af en begrænsning er fastsat i en af de retsakter, der er nævnt i disse bestemmelser.
4. Enhver begrænsning er nødvendig og forholdsmæssig under hensyntagen til risiciene for de registreredes grundlæggende rettigheder og frihedsrettigheder og respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder i et demokratisk samfund.
5. Hvis anvendelsen af en begrænsning overvejes, foretages der en nødvendigheds- og proportionalitetstest baseret på de nuværende regler. Den dokumenteres gennem en intern vurderingsnote med henblik på ansvarlighed fra sag til sag.
6. Begrænsningerne ophæves, så snart de omstændigheder, der begrunder dem, ikke længere gør sig gældende. Især når det vurderes, at udøvelsen af den begrænsede ret ikke længere vil ophæve virkningen af den pålagte begrænsning eller forringe andre registreredes rettigheder eller frihedsrettigheder.
Artikel 4
Fornyet gennemgang foretaget af den databeskyttelsesansvarlige
1. ENISA underretter uden unødig forsinkelse ENISA's databeskyttelsesansvarlige (»den databeskyttelsesansvarlige«), når den dataansvarlige begrænser anvendelsen af de registreredes rettigheder eller forlænger begrænsningen i overensstemmelse med denne afgørelse. Den dataansvarlige giver den databeskyttelsesansvarlige adgang til den fortegnelse, som indeholder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig, og dokumenterer datoen for underretningen af den databeskyttelsesansvarlige i fortegnelsen. ENISA skal inddrage den databeskyttelsesansvarlige i løbet af alle relevante procedurer, og den databeskyttelsesansvarliges deltagelse skal dokumenteres.
2. Den databeskyttelsesansvarlige kan skriftligt anmode den dataansvarlige om på ny at gennemgå anvendelsen af begrænsningerne. Den dataansvarlige underretter skriftligt den databeskyttelsesansvarlige om udfaldet af den fornyede gennemgang, der anmodes om.
3. Den dataansvarlige underretter den databeskyttelsesansvarlige, når begrænsningen er blevet ophævet.
Artikel 5
Underretning af registrerede
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til information i forbindelse med følgende behandlingsaktiviteter:
|
a) |
udførelsen af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter i forbindelse med potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer i sager om chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
interne revisioner |
|
g) |
de efterforskninger, som den databeskyttelsesansvarlige har iværksat i henhold til artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
h) |
(IT-relaterede) sikkerhedsefterforskninger gennemført internt eller med ekstern deltagelse (f.eks. af CERT-EU) |
|
i) |
vurderinger af cybersikkerhedshændelser, der udføres af ENISA i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881 i henhold til artikel 3, stk. 2, i denne afgørelse. |
De i artikel 31 i forordning (EU) 2018/1725 omhandlede databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser, som ENISA offentliggør på sit websted og/eller intranet for at informere de registrerede om deres rettigheder inden for rammerne af en given procedure, indeholder information om den potentielle begrænsning af disse rettigheder. Informationen redegør for, hvilke rettigheder der kan begrænses, årsagerne hertil og den potentielle varighed.
2. Med forbehold af bestemmelserne i stk. 3 i denne artikel, og hvor det er forholdsmæssigt, informerer ENISA også hver registrerede, der betragtes som en person, der er berørt af den specifikke behandling, om dennes rettigheder vedrørende gældende eller kommende begrænsninger, uden unødig forsinkelse og skriftligt.
3. Hvor ENISA helt eller delvist begrænser formidling af oplysninger til de registrerede, der er omhandlet i stk. 2 i denne artikel, registrerer det årsagerne til begrænsningen og retsgrundlaget i overensstemmelse med artikel 3 i denne afgørelse, herunder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen.
Fortegnelsen og, i givet fald, de dokumenter, der indeholder underliggende faktuelle og retlige elementer, registreres. De stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.
4. Begrænsningen i stk. 3 i denne artikel finder fortsat anvendelse, så længe begrundelsen derfor er til stede.
Hvor begrundelsen for begrænsningen ikke længere er til stede, underretter ENISA den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen. ENISA informerer samtidig den registrerede om, at denne til enhver tid har ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller til at indbringe sagen for Den Europæiske Unions Domstol.
ENISA foretager en fornyet gennemgang af anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse, procedure eller efterforskning. Derefter vurderer den dataansvarlige med seks måneders mellemrum, om der er behov for at opretholde en eventuel begrænsning.
Artikel 6
Den registreredes ret til aktindsigt
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til aktindsigt, for så vidt det er nødvendigt og forholdsmæssigt, i forbindelse med følgende behandlingsaktiviteter:
|
a) |
udførelsen af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter i forbindelse med potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer i sager om chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
interne revisioner |
|
g) |
de efterforskninger, som den databeskyttelsesansvarlige har iværksat i henhold til artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
h) |
(IT-relaterede) sikkerhedsefterforskninger gennemført internt eller med ekstern deltagelse (f.eks. af CERT-EU) |
|
i) |
vurderinger af cybersikkerhedshændelser, der udføres af ENISA i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881 i henhold til artikel 3, stk. 2, i denne afgørelse. |
Hvis registrerede anmoder om aktindsigt i deres personoplysninger, der behandles i forbindelse med en eller flere bestemte sager eller behandlingsaktiviteter, begrænser ENISA i henhold til artikel 17 i forordning (EU) 2018/1725 sin vurdering af anmodningen til kun at omfatte sådanne personoplysninger.
2. Hvis ENISA helt eller delvist begrænser retten til aktindsigt, der er omhandlet i artikel 17 i forordning (EU) 2018/1725, tager det følgende skridt:
|
a) |
i sit svar på anmodningen underrette den pågældende registrerede om den pålagte begrænsning og om det vigtigste grundlag dertil og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for Den Europæiske Unions Domstol |
|
b) |
i en intern vurderingsnote dokumentere begrundelserne for begrænsningen, herunder en vurdering af nødvendigheden og proportionaliteten af begrænsningen og af varigheden heraf. |
Leveringen af information omhandlet i litra a) kan udskydes, udelades eller afvises, hvis den ville medføre en ophævelse af virkningen af begrænsningen, i overensstemmelse med artikel 25, stk. 8, i forordning (EU) 2018/1725.
ENISA foretager en fornyet gennemgang af anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse. Derefter vurderer den dataansvarlige med seks måneders mellemrum, om der er behov for at opretholde en eventuel begrænsning.
3. Fortegnelsen og, i givet fald, de dokumenter, der indeholder underliggende faktuelle og retlige elementer, registreres. De stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.
Artikel 7
Ret til berigtigelse, sletning og begrænsning af behandling
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til berigtigelse, sletning og begrænsning, for så vidt det er nødvendigt og hensigtsmæssigt, i forbindelse med følgende behandlingsaktiviteter:
|
a) |
udførelsen af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter i forbindelse med potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer i sager om chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
interne revisioner |
|
g) |
de efterforskninger, som den databeskyttelsesansvarlige har iværksat i henhold til artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
h) |
(IT-relaterede) sikkerhedsefterforskninger gennemført internt eller med ekstern deltagelse (f.eks. af CERT-EU) |
|
i) |
vurderinger af cybersikkerhedshændelser, der udføres af ENISA i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881 i henhold til artikel 3, stk. 2, i denne afgørelse. |
2. Hvis ENISA helt eller delvist begrænser anvendelsen af retten til berigtigelse, sletning og begrænsning af den behandling, der er omhandlet i artikel 18, artikel 19, stk. 1, og artikel 20, stk. 1, i forordning (EU) 2018/1725, skal den tage de skridt, som er fastsat i artikel 6, stk. 2, i denne afgørelse, og i overensstemmelse med artikel 6, stk. 3.
Artikel 8
Underretning om et brud på persondatasikkerheden til den registrerede og fortrolighed af elektronisk kommunikation
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til underretning om et brud på persondatasikkerheden, for så vidt det er nødvendigt og hensigtsmæssigt, i forbindelse med følgende behandlingsaktiviteter:
|
a) |
udførelsen af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter i forbindelse med potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
behandling af interne og eksterne klager |
|
e) |
interne revisioner |
|
f) |
de efterforskninger, som den databeskyttelsesansvarlige har iværksat i henhold til artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
g) |
(IT-relaterede) sikkerhedsefterforskninger gennemført internt eller med ekstern deltagelse (f.eks. af CERT-EU) |
|
h) |
vurderinger af cybersikkerhedshændelser, der udføres af ENISA i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881 i henhold til artikel 3, stk. 2, i denne afgørelse. |
2. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til fortrolighed af elektronisk kommunikation, for så vidt det er nødvendigt og hensigtsmæssigt, i forbindelse med følgende behandlingsaktiviteter:
|
a) |
udførelsen af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter i forbindelse med potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
formelle procedurer i sager om chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
(IT-relaterede) sikkerhedsefterforskninger gennemført internt eller med ekstern deltagelse (f.eks. af CERT-EU) |
|
g) |
vurderinger af cybersikkerhedshændelser, der udføres af ENISA i henhold til artikel 7, stk. 4, i forordning (EU) 2019/881 i henhold til artikel 3, stk. 2, i denne afgørelse. |
3. Hvis ENISA begrænser underretningen af den registrerede om et brud på persondatasikkerheden eller fortroligheden af elektronisk kommunikation som omhandlet i artikel 35 og 36 i forordning (EU) 2018/1725, skal det anvende bestemmelserne i artikel 5, stk. 3, i denne afgørelse. Artikel 5, stk. 4, i denne afgørelse finder anvendelse.
Artikel 9
Ikrafttrædelse
Denne afgørelse træder i kraft på dagen efter dens offentliggørelse i Den Europæiske Unions Tidende.
Udfærdiget i Athen, den 21. november 2019.
På vegne af ENISA
Jean Baptiste DEMAISON
Bestyrelsens formandskab
(1) EUT L 295 af 21.11.2018, s. 39.
(2) EUT L 151 af 7.6.2019, s. 15.
(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(4) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
|
10.2.2020 |
DA |
Den Europæiske Unions Tidende |
L 37/18 |
AFGØRELSE FRA BESTYRELSEN FOR FUSION FOR ENERGY
af 9. december 2019
om interne regler vedrørende begrænsning af visse rettigheder for registrerede i forbindelse med behandling af personoplysninger inden for rammerne af Fusion for Energys funktionsmåde
BESTYRELSEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (1), særlig artikel 25,
under henvisning til Rådets beslutning 2007/198/Euratom af 27. marts 2007 om oprettelse af et europæisk fællesforetagende for ITER og fusionsenergiudvikling (herefter kaldet »Fusion for Energy«) (2), særlig artikel 6,
under henvisning til vedtægterne, som er vedlagt til ovennævnte beslutning, særlig artikel 10,
under henvisning til vedtægten for tjenestemænd i Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte i Den Europæiske Union (»personalevedtægten«), især artikel 2, stk. 3, og artikel 30 i bilag IX,
under henvisning til Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013 af 11. september 2013 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1073/1999 og Rådets forordning (Euratom) nr. 1074/1999 (3),
under henvisning til vejledningen fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) af 18. december 2018 og dens udtalelse af 26. juli 2019 efter underretningen i medfør af artikel 41, stk. 2, i forordning (EU) 2018/1725,
efter høring af personaleudvalget,
ud fra følgende betragtninger:
|
(1) |
Fusion for Energy udfører sine aktiviteter i overensstemmelse med vedtægterne, som er vedlagt til beslutning 2007/198/Euratom. |
|
(2) |
I henhold til artikel 25, stk. 1, i forordning (EU) 2018/1725 bør begrænsninger i anvendelsen af artikel 14-22, 35 og 36, samt artikel 4 i nævnte forordning, for så vidt bestemmelserne deri svarer til rettighederne og forpligtelserne i artikel 14-22, baseres på interne regler, som fastsættes af Fusion for Energy, når disse ikke har hjemmel i en retsakt vedtaget på grundlag af traktaterne. |
|
(3) |
Disse interne regler, herunder deres bestemmelser om vurderingen af nødvendigheden og forholdsmæssigheden af en begrænsning, bør ikke finde anvendelse, når en retsakt vedtaget på grundlag af traktaterne foreskriver en begrænsning af registreredes rettigheder. |
|
(4) |
Hvor Fusion for Energy udfører sit hverv med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal det overveje, om nogen af de undtagelser, der er fastsat i denne forordning, finder anvendelse. |
|
(5) |
Inden for rammerne af dets administrative funktion kan Fusion for Energy foretage administrative undersøgelser og gennemføre disciplinærsager i overensstemmelse med reglerne i personalevedtægten. Fusion for Energy kan også udføre særlige indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, behandle whistleblowingsager, iværksætte (formelle og uformelle) procedurer til at forebygge chikane, behandle interne og eksterne klager, behandle medicinske data, gennemføre interne revisioner, udføre undersøgelser på foranledning af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 og (IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU). |
|
(6) |
Fusion for Energy behandler flere kategorier af personoplysninger, herunder hårde oplysninger (»objektive« oplysninger såsom identifikationsoplysninger, kontaktoplysninger, faglige oplysninger, administrative oplysninger, oplysninger modtaget fra specifikke kilder, elektronisk kommunikation og trafikoplysninger) og/eller bløde oplysninger (»subjektive« oplysninger i forbindelse med f.eks. ræsonnementer, adfærdsmæssige oplysninger, vurderinger, ydeevne og adfærdsoplysninger samt oplysninger relateret til eller fremkommet i forbindelse med genstanden for den pågældende procedure eller aktivitet). |
|
(7) |
Fusion for Energy, repræsenteret ved dets direktør, fungerer som dataansvarlig uanset yderligere delegering af rollen som dataansvarlig i Fusion for Energy for at afspejle det operationelle ansvar for specifikke behandlingsaktiviteter vedrørende personoplysninger. |
|
(8) |
Personoplysningerne opbevares sikkert i et elektronisk miljø eller på papir, hvilket forhindrer ulovlig adgang til eller overførsel af data til personer, der ikke har behov for denne viden. De behandlede personoplysninger opbevares ikke længere, end det er nødvendigt og passende for de formål, hvortil oplysningerne behandles, i den periode, der er angivet i Fusion for Energys databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser. |
|
(9) |
Disse interne regler bør gælde for behandlingsaktiviteter, der gennemføres forud for indledningen af ovennævnte procedurer (betragtning 5), i løbet af disse procedurer og under overvågning af opfølgningen på resultatet af disse procedurer. De bør også omfatte bistand og samarbejde, som ydes af Fusion for Energy til de nationale myndigheder og internationale organisationer uden for dets administrative undersøgelser. Disse interne regler bør også gælde for aktiviteter i forbindelse med samarbejde med og fremsendelse af oplysninger vedrørende administrative undersøgelser eller disciplinærsager til EU-institutioner og -organer. Med henblik herpå bør Fusion for Energy høre disse institutioner, organer, agenturer, myndigheder eller organisationer om de relevante begrundelser for at pålægge begrænsninger og om nødvendigheden og forholdsmæssigheden af begrænsningerne. |
|
(10) |
I de tilfælde, hvor disse interne regler gælder, skal Fusion for Energy give begrundelser, der forklarer, hvorfor begrænsningerne er strengt nødvendige og forholdsmæssige i et demokratisk samfund og respekterer det væsentlige indhold af de grundlæggende rettigheder og frihedsrettigheder. |
|
(11) |
Inden for disse rammer er Fusion for Energy forpligtet til i videst muligt omfang at respektere de registreredes grundlæggende rettigheder i løbet af de ovennævnte procedurer, især dem, der vedrører retten til oplysninger, indsigt og berigtigelse, retten til sletning, begrænsning af behandling, retten til underretning om et brud på persondatasikkerheden til en registreret eller fortroligheden af kommunikation som fastsat i forordning (EU) 2018/1725. |
|
(12) |
Fusion for Energy kan dog være forpligtet til at begrænse oplysningerne til den registreredes og andre registreredes rettigheder for at beskytte især sine egne undersøgelser og procedurer, andre offentlige myndigheders undersøgelser og sager samt andre personers rettigheder vedrørende Fusion for Energys undersøgelser eller andre procedurer. |
|
(13) |
Fusion for Energy kan således begrænse oplysningerne med det formål at beskytte undersøgelsen og andre registreredes grundlæggende rettigheder og frihedsrettigheder. Fusion for Energy kan navnlig udsætte underretningen for at beskytte sine administrative undersøgelser og disciplinærsager, andre offentlige myndigheders undersøgelser og sager samt for at beskytte identiteten af informanter og andre personer, der er involveret i procedurerne, herunder whistleblowere og vidner, så disse ikke udsættes for negative konsekvenser i forbindelse med deres samarbejde. I henhold til artikel 25, stk. 8, i forordning (EU) 2018/1725 kan den dataansvarlige udsætte, udelade eller afvise underretning om begrundelsen for at anvende en begrænsning på den registrerede, hvis den ville ophæve virkningen af den pålagte begrænsning. |
|
(14) |
Fusion for Energy bør periodisk overvåge, at de betingelser, der berettiger begrænsningen, stadig foreligger, og ophæve begrænsningen, når disse betingelser ikke længere er gældende. |
|
(15) |
Den dataansvarlige bør underrette databeskyttelsesrådgiveren på tidspunktet for udsættelsen af oplysninger, eller når andre begrænsninger af registreredes rettigheder finder anvendelse samt under revisionerne — |
TRUFFET FØLGENDE AFGØRELSE:
Artikel 1
Genstand og anvendelsesområde
1. I denne afgørelse fastlægges regler vedrørende betingelserne for, hvornår Fusion for Energy inden for rammerne af de procedurer, der er fastsat i stk. 2, kan begrænse anvendelsen af de rettigheder, der er nedfældet i artikel 14-21, 35 og 36, samt artikel 4, efter artikel 25 i forordning (EU) 2018/1725.
2. Inden for rammerne af Fusion for Energys administrative funktion finder denne afgørelse anvendelse på behandlingsaktiviteter, der udføres af Fusion for Energy i forbindelse med: udførelsen af administrative undersøgelser og disciplinærsager samt udførelse af indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, whistleblowingsager, iværksættelse af (formelle og uformelle) procedurer til at forebygge chikane, behandling af interne og eksterne klager, behandling af medicinske data, gennemførelse af interne revisioner, udførelse af undersøgelser på foranledning af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 og (IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU).
Denne afgørelse bør også gælde for Fusion for Energys aktiviteter forbundet med bistand og samarbejde, som ydes af Fusion for Energy uden for dets administrative undersøgelser til nationale myndigheder og internationale organisationer.
Endvidere gælder denne afgørelse for aktiviteter i forbindelse med samarbejde med og fremsendelse af oplysninger vedrørende en administrativ undersøgelse eller disciplinærsag til EU-institutioner og -organer, når sådanne oplysninger er nødvendige for at modtageren kan vurdere begrundelserne for at indlede en formel undersøgelse eller sag.
3. De relevante kategorier af personoplysninger er hårde oplysninger (»objektive« oplysninger såsom identifikationsoplysninger, kontaktoplysninger, faglige oplysninger, administrative oplysninger, oplysninger modtaget fra specifikke kilder, elektronisk kommunikation og trafikoplysninger) og/eller bløde oplysninger (»subjektive« oplysninger i forbindelse med f.eks. ræsonnementer, adfærdsmæssige oplysninger, vurderinger, resultat- og adfærdsoplysninger samt oplysninger relateret til eller fremkommet i forbindelse med genstanden for den pågældende procedure eller aktivitet).
4. Hvor Fusion for Energy udfører sit hverv med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal det overveje, om nogen af de undtagelser, der er fastsat i denne forordning, finder anvendelse.
5. På de betingelser, der er fastsat i denne afgørelse, kan begrænsningerne gælde følgende rettigheder: oplysninger til de registrerede, indsigtsret, berigtigelse, sletning, begrænsning af behandling, underretning om et brud på persondatasikkerheden til en registreret eller fortroligheden af kommunikation.
Artikel 2
Specifikation af den dataansvarlige og sikkerhedsforanstaltninger
1. De sikkerhedsforanstaltninger, der er indført for at undgå brud på datasikkerheden, læk eller uautoriseret videregivelse, er som følger:
|
a) |
Papirdokumenter opbevares i sikrede skabe, som kun er tilgængelige for autoriseret personale. |
|
b) |
Alle elektroniske oplysninger opbevares i en sikker IT-anordning i henhold til Fusion for Energys sikkerhedsstandarder såvel som i specifikke elektroniske mapper, som kun er tilgængelige for autoriseret personale. Passende adgangsniveauer tildeles enkeltvis. |
|
c) |
Databasen er beskyttet af en adgangskode med et fælles indlogningssystem og tilsluttes automatisk brugerens ID og adgangskode. Det er strengt forbudt at udskifte brugere. E-registre skal føres forsvarligt for at sikre fortroligheden og privatlivsbeskyttelsen af de indsamlede oplysninger. |
|
d) |
Alle personer, der har adgang til oplysningerne, er bundet af tavshedspligt. |
2. Den dataansvarlige med hensyn til behandlingsaktiviteter er Fusion for Energy, repræsenteret ved dets direktør, som kan uddelegere den dataansvarliges funktion. Registrerede skal underrettes om den delegerede dataansvarlige via de databeskyttelsesmeddelelser eller fortegnelser, der offentliggøres på Fusion for Energys websted og/eller intranet.
3. Den opbevaringsperiode for personoplysninger, der er omhandlet i artikel 1, stk. 3, må ikke være længere end det, der er nødvendigt og passende for de formål, hvortil oplysningerne behandles. Den er under ingen omstændigheder længere end den opbevaringsperiode, der fremgår af de databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser, der er omhandlet i artikel 5, stk. 1.
4. Hvis Fusion for Energy påtænker at anvende en begrænsning, afvejes risikoen for den registreredes rettigheder og frihedsrettigheder især i forhold til risikoen for andre registreredes rettigheder og frihedsrettigheder og risikoen for at ophæve virkningen af Fusion for Energys undersøgelser eller procedurer, eksempelvis ved at ødelægge beviser. Risici for den registreredes rettigheder og frihedsrettigheder vedrører primært, men er ikke begrænset til, omdømmemæssige risici og risici for retten til forsvar og retten til at blive hørt.
Artikel 3
Begrænsninger
1. Enhver begrænsning må kun anvendes af Fusion for Energy med det formål at beskytte:
|
a) |
forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed |
|
b) |
andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed |
|
c) |
den indre sikkerhed i Unionens institutioner og organer, herunder deres elektroniske kommunikationsnet |
|
d) |
beskyttelse af retsvæsenets uafhængighed og retssager |
|
e) |
forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv |
|
f) |
kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-c) |
|
g) |
beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder |
|
h) |
håndhævelse af civilretlige krav. |
2. Som en særlig anvendelse af de formål, der er beskrevet i stk. 1 ovenfor, kan Fusion for Energy anvende begrænsninger i forbindelse med personoplysninger, der er udvekslet med Kommissionens tjenestegrene eller andre af Unionens institutioner, organer, agenturer og kontorer, medlemsstaternes kompetente myndigheder eller tredjelande eller internationale organisationer, under følgende omstændigheder:
|
a) |
hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af Kommissionens tjenestegrene eller andre af Unionens institutioner, organer, agenturer og kontorer på grundlag af andre retsakter, der er omhandlet i artikel 25 i forordning (EU) 2018/1725 eller i overensstemmelse med kapitel IX i nævnte forordning eller med de grundlæggende retsakter for andre af Unionens institutioner, organer, agenturer og kontorer |
|
b) |
hvis udøvelsen af disse rettigheder og forpligtelser kan begrænses af medlemsstaternes kompetente myndigheder på grundlag af de retsakter, der er omhandlet i artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (4), eller i henhold til nationale foranstaltninger til gennemførelse af artikel 13, stk. 3, artikel 15, stk. 3, eller artikel 16, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (5) |
|
c) |
hvis udøvelsen af disse rettigheder og forpligtelser kan bringe Fusion for Energys samarbejde med tredjelande eller internationale organisationer i fare ved udførelsen af dets opgaver. |
Inden der pålægges begrænsninger i de tilfælde, som er omtalt i første afsnit, litra a) og b), skal Fusion for Energy høre Kommissionens relevante tjenestegrene, Unionens institutioner, organer, agenturer og kontorer eller de kompetente myndigheder i medlemsstaterne, medmindre det står klart for Fusion for Energy, at anvendelsen af en begrænsning er fastsat i en af de retsakter, der er nævnt i disse bestemmelser.
3. Enhver begrænsning skal være nødvendig og forholdsmæssig under hensyntagen til de risici, den medfører for de registreredes rettigheder og frihedsrettigheder, og respektere det væsentlige indhold af de grundlæggende rettigheder og frihedsrettigheder i et demokratisk samfund.
4. Hvis det overvejes at pålægge begrænsninger, foretages der en vurdering af nødvendigheden og forholdsmæssigheden på baggrund af de gældende regler. Af hensyn til ansvarlighed dokumenteres vurderingen gennem et internt notat i hvert enkelt tilfælde.
5. Begrænsningerne ophæves, så snart de betingelser, der berettiger dem, ikke længere gælder. Især når det vurderes, at udøvelsen af den begrænsede ret ikke længere vil ophæve virkningen af den pålagte begrænsning eller forringe andre registreredes rettigheder eller frihedsrettigheder.
Artikel 4
Gennemgang af databeskyttelsesrådgiveren
1. Fusion for Energy underretter uden unødig forsinkelse sin databeskyttelsesrådgiver, når den dataansvarlige begrænser anvendelsen af de registreredes rettigheder eller udvider begrænsningen i overensstemmelse med denne afgørelse. Den dataansvarlige giver databeskyttelsesrådgiveren adgang til den fortegnelse, som indeholder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen og dokumenterer datoen for underretningen af databeskyttelsesrådgiveren i fortegnelsen.
2. Databeskyttelsesrådgiveren kan skriftligt anmode den dataansvarlige om at vurdere anvendelsen af begrænsningerne. Den dataansvarlige underretter databeskyttelsesrådgiveren skriftligt om resultatet af den ønskede gennemgang.
3. Den dataansvarlige underretter databeskyttelsesrådgiveren, når begrænsningen er blevet ophævet.
Artikel 5
Underretning af registrerede
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til oplysninger begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter:
|
a) |
udførelse af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer til at forebygge chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
interne revisioner |
|
g) |
de undersøgelser, der udføres af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
h) |
(IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU). |
De i artikel 31 i forordning (EU) 2018/1725 omhandlede databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser, som Fusion for Energy offentliggør på sit websted og/eller intranet for at informere de registrerede om deres rettigheder inden for rammerne af en given procedure, indeholder oplysninger om den potentielle begrænsning af disse rettigheder. Oplysningerne omfatter, hvilke rettigheder der kan begrænses.
2. Med forbehold af bestemmelserne i stk. 3 underretter Fusion for Energy, hvor det er forholdsmæssigt, også enkeltvist alle registrerede, der anses for at være berørt af den konkrete behandlingsaktivitet, om vedkommendes rettigheder vedrørende gældende eller kommende begrænsninger, uden unødig forsinkelse og skriftligt.
3. Hvis Fusion for Energy helt eller delvist begrænser formidlingen af oplysninger til de registrerede, der er omhandlet i stk. 2, registrerer det begrundelserne for begrænsningen og retsgrundlaget i overensstemmelse med artikel 3 i denne afgørelse, herunder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen.
Fortegnelsen og i givet fald de dokumenter, der indeholder de underliggende faktuelle og retlige elementer, registreres. De stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.
4. Begrænsningen i stk. 3 finder fortsat anvendelse, så længe begrundelserne derfor finder anvendelse.
Fusion for Energy skal underrette den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen. Fusion for Energy informerer samtidig den registrerede om, at denne til enhver tid har ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller til at indbringe sagen for Den Europæiske Unions Domstol.
Fusion for Energy gennemgår begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse, procedure eller efterforskning. Derefter overvåger den dataansvarlige hvert halve år behovet for at opretholde begrænsningerne.
Artikel 6
Den registreredes indsigtsret
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan indsigtsretten begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og forholdsmæssigt:
|
a) |
udførelse af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer til at forebygge chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
behandling af medicinske data, kun i særligt begrundede tilfælde (6) |
|
g) |
interne revisioner |
|
h) |
de undersøgelser, der udføres af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
i) |
(IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU). |
Hvis registrerede anmoder om indsigt i deres personoplysninger, der behandles i forbindelse med en eller flere bestemte sager eller behandlingsaktiviteter, begrænser Fusion for Energy i henhold til artikel 17 i forordning (EU) 2018/1725 sin vurdering af anmodningen udelukkende til sådanne personoplysninger.
2. Hvis Fusion for Energy helt eller delvist begrænser indsigtsretten, der er omhandlet i artikel 17 i forordning (EU) 2018/1725, tager det følgende skridt:
|
a) |
i sit svar på anmodningen underrette den pågældende registrerede om den pålagte begrænsning og om de vigtigste bevæggrunde derfor og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen |
|
b) |
i en intern vurdering dokumentere begrundelserne for begrænsningen, herunder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen og dens varighed. |
Underretningen omhandlet i litra a) kan udsættes, udelades eller afvises, hvis den ville ophæve virkningen af den pålagte begrænsning i henhold til artikel 25, stk. 8, i forordning (EU) 2018/1725.
Fusion for Energy gennemgår begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse, procedure eller efterforskning. Derefter overvåger den dataansvarlige hvert halve år behovet for at opretholde begrænsningerne.
3. Fortegnelsen og i givet fald de dokumenter, der indeholder de underliggende faktuelle og retlige elementer, registreres. De stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.
Artikel 7
Ret til berigtigelse, sletning og begrænsning af behandlingen
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til berigtigelse, sletning og begrænsning begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og passende:
|
a) |
udførelse af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer til at forebygge chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
behandling af medicinske data, kun i særligt begrundede tilfælde (7) |
|
g) |
interne revisioner |
|
h) |
de undersøgelser, der udføres af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
i) |
(IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU). |
2. Hvis Fusion for Energy helt eller delvist begrænser anvendelsen af retten til berigtigelse, sletning og begrænsning af den behandling, der er omhandlet i artikel 18, 19, stk. 1, og artikel 20, stk. 1, i forordning (EU) 2018/1725, skal artikel 6, stk. 2 og 3, i denne afgørelse finde anvendelse.
Artikel 8
Underretning om et brud på persondatasikkerheden til den registrerede og fortrolighed af elektronisk kommunikation
1. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til underretning om et brud på persondatasikkerheden begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og passende:
|
a) |
udførelse af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
(formelle og uformelle) procedurer til at forebygge chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
interne revisioner |
|
g) |
de undersøgelser, der udføres af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 |
|
h) |
(IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU). |
2. I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til fortrolighed af elektronisk kommunikation begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og passende:
|
a) |
udførelse af administrative undersøgelser og disciplinærsager |
|
b) |
indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF |
|
c) |
whistleblowingprocedurer |
|
d) |
formelle procedurer til at forebygge chikane |
|
e) |
behandling af interne og eksterne klager |
|
f) |
(IT-relaterede) sikkerhedsundersøgelser behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU). |
3. Hvis Fusion for Energy begrænser underretning om et brud på persondatasikkerheden til den registrerede eller fortrolighed af elektronisk kommunikation som omhandlet i artikel 35 og 36 i forordning (EU) 2018/1725, skal artikel 5, stk. 3 og 4, i denne afgørelse finde anvendelse.
Artikel 9
Ikrafttræden
Denne afgørelse træder i kraft på dagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Udfærdiget i Barcelona, den 9. december 2019.
På vegne af Fusion for Energy
Joaquín SÁNCHEZ
Bestyrelsesformand
(1) EUT L 295 af 21.11.2018, s. 39.
(2) EUT L 90 af 30.3.2007, s. 58.
(3) EUT L 248 af 18.9.2013, s. 1
(4) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(5) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
(6) Disse situationer er forklaret i den pågældende databeskyttelsesmeddelelse (f.eks. opnåelse af adgang til lægejournalen under tilstedeværelse af F4E-lægen) en generel begrænsning af adgangen til lægers personlige notater inde for rammerne af invaliditetsproceduren i overensstemmelse med begrænsningen omhandlet i artikel 25, stk. 1, litra h), i den nye forordning (dvs. beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder).
(7) Disse situationer er forklaret i den pågældende databeskyttelsesmeddelelse (f.eks. er berigtigelse begrænset til administrative data).