EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022Q0311(01)
Decision No 4/2022 of the Bureau of the Committee of the Regions of 25 January 2022 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the context of activities and procedures carried out by the Committee of the Regions
Beschluss Nr. 4/2022 des Präsidiums des Ausschusses der Regionen vom 25. Januar 2022 mit internen Vorschriften über die Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten und Verfahren des Ausschusses der Regionen
Beschluss Nr. 4/2022 des Präsidiums des Ausschusses der Regionen vom 25. Januar 2022 mit internen Vorschriften über die Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten und Verfahren des Ausschusses der Regionen
ABl. L 84 vom 11.3.2022, p. 44–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
11.3.2022 |
DE |
Amtsblatt der Europäischen Union |
L 84/44 |
BESCHLUSS Nr. 4/2022 DES PRÄSIDIUMS DES AUSSCHUSSES DER REGIONEN
vom 25. Januar 2022
mit internen Vorschriften über die Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten und Verfahren des Ausschusses der Regionen
DAS PRÄSIDIUM DES AUSSCHUSSES DER REGIONEN —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union (1), insbesondere Artikel 306,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (2) (im Folgenden „Datenschutzverordnung“), insbesondere auf Artikel 25,
gestützt auf die Geschäftsordnung des Europäischen Ausschusses der Regionen (3), insbesondere auf Artikel 37 Buchstabe d,
gestützt auf die Stellungnahme D(2021) 0894 (Fall 2021-0345) des Europäischen Datenschutzbeauftragten (im Folgenden „EDSB“) vom 20. April 2021, der gemäß Artikel 41 Absatz 2 der Datenschutzverordnung konsultiert wurde,
in Erwägung nachstehender Gründe:
|
(1) |
Gemäß Artikel 3 Absatz 1 der Datenschutzverordnung gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen, als „personenbezogene Daten“. |
|
(2) |
Der Ausschuss der Regionen (im Folgenden „der Ausschuss“) unterliegt im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen der von ihm durchgeführten Tätigkeiten und Verfahren in gleicher Weise wie alle anderen Organe und Einrichtungen der Europäischen Union der Datenschutzverordnung. |
|
(3) |
Der Verantwortliche im Sinne von Artikel 3 Absatz 8 der Datenschutzverordnung ist der Ausschuss, der die Zuständigkeit für die Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten übertragen kann. |
|
(4) |
Gemäß Artikel 45 Absatz 3 der Datenschutzverordnung hat das Präsidium des Ausschusses der Regionen (im Folgenden „das Präsidium“) Durchführungsvorschriften (4) betreffend die Verordnung und den Datenschutzbeauftragten des Ausschusses (im Folgenden „DSB“) erlassen. Nach diesen Vorschriften handelt die Dienststelle (Direktion, Referat oder Bereich) des Generalsekretariats des Ausschusses oder das Sekretariat einer der Fraktionen des Ausschusses, die bzw. das allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, bezüglich dieser Daten als delegierter Verantwortlicher im Namen des Ausschusses. |
|
(5) |
Der Ausschuss und der Europäische Wirtschafts- und Sozialausschuss (im Folgenden „EWSA“) haben im Rahmen der interinstitutionellen Zusammenarbeit bestimmte gemeinsame Dienststellen und Ressourcen („die gemeinsamen Dienste“). Daher sollten die internen Vorschriften zur Beschränkung der Rechte betroffener Personen bei der Verarbeitung personenbezogener Daten durch die gemeinsamen Dienste im Einklang mit den zwischen dem Ausschuss und dem EWSA zu diesem Zweck getroffenen Vereinbarungen festgelegt werden. |
|
(6) |
Zur Erfüllung der Aufgaben des Ausschusses erheben und verarbeiten die Verantwortlichen Informationen und verschiedene Kategorien personenbezogener Daten, darunter Daten zur Identifizierung natürlicher Personen, Kontaktdaten, Daten über berufliche Zuständigkeiten und Aufgaben, Angaben zu Verhalten und Leistungen auf privater und beruflicher Ebene sowie Finanzdaten. Die Verantwortlichen sind daher gemäß der Datenschutzverordnung verpflichtet, betroffene Personen über die von ihm durchgeführten Verarbeitungstätigkeiten zu unterrichten und deren Rechte als betroffene Personen zu wahren. |
|
(7) |
Unter Umständen kann es erforderlich sein, dass die Verantwortlichen diese Rechte mit den Zielen von Untersuchungen, Ermittlungen, Überprüfungen, Tätigkeiten, Audits und Verfahren, die im Ausschuss durchgeführt werden, in Einklang bringen müssen. Außerdem könnte es möglich sein, dass sie die Rechte einer betroffenen Person gegen die Grundrechte und -freiheiten anderer betroffener Personen abwägen müssen. Zu diesem Zweck wird den Verantwortlichen durch Artikel 25 Absatz 1 der Datenschutzverordnung die Möglichkeit eingeräumt, die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Datenschutzverordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, zu beschränken. |
|
(8) |
Die Verantwortlichen sollten eine solche Beschränkung nur vornehmen, wenn diese den Wesensgehalt der Grundrechte und Grundfreiheiten achtet, unbedingt notwendig ist und eine in einer demokratischen Gesellschaft verhältnismäßige Maßnahme darstellt. |
|
(9) |
Die Verantwortlichen sollten diese Beschränkungen begründen und ein Verzeichnis über die Anwendung von Beschränkungen der Rechte betroffener Personen führen. |
|
(10) |
Die Verantwortlichen sollten eine Beschränkung aufheben, sobald die Voraussetzungen für die Beschränkung nicht mehr gegeben sind. Sie sollten diese Voraussetzungen regelmäßig überprüfen. |
|
(11) |
Um den größtmöglichen Schutz der Rechte und Freiheiten der betroffenen Personen zu gewährleisten, sollte der DSB rechtzeitig zu solchen Beschränkungen konsultiert werden und deren Übereinstimmung mit diesem Beschluss überprüfen. |
|
(12) |
Sofern die Beschränkungen nicht in einem auf der Grundlage der Verträge (5) erlassenen Rechtsakt vorgesehen sind, ist es erforderlich, interne Vorschriften zu erlassen, kraft derer die Verantwortlichen die Rechte betroffener Personen beschränken können. |
|
(13) |
Dieser Beschluss sollte nicht in Fällen gelten, in denen eine der Ausnahmen gemäß Artikel 15 Absatz 4 und Artikel 16 Absatz 5 der Datenschutzverordnung in Bezug auf die einer betroffenen Person zu erteilenden Informationen Anwendung findet — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Gegenstand, Anwendungsbereich und Begriffsbestimmungen
(1) In diesem Beschluss werden allgemeine Regeln für die Voraussetzungen festgelegt, unter denen die Verantwortlichen gemäß Artikel 25 Absatz 1 der Datenschutzverordnung die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 der Verordnung vorgesehenen Rechten und Pflichten entsprechen, beschränken können.
(2) Für die Zwecke dieses Beschlusses bezeichnet der Ausdruck:
|
a) |
„personenbezogene Daten“ alle Informationen über eine betroffene Person, die bei der Ausübung von Tätigkeiten oder Verfahren verarbeitet werden, die nicht in den Anwendungsbereich von Titel V Kapitel 4 oder 5 des Dritten Teils des Vertrags über die Arbeitsweise der Europäischen Union fallen — im Gegensatz zu „operativen personenbezogenen Daten“ im Sinne von Artikel 3 Absatz 2 der Datenschutzverordnung; |
|
b) |
„Verantwortlicher“ die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten und Verfahren des Ausschusses bestimmt, unabhängig davon, ob die Zuständigkeit dafür übertragen wurde. |
(3) Dieser Beschluss gilt für die Verarbeitung personenbezogener Daten für die Zwecke der Tätigkeiten und Verfahren des Ausschusses. Er gilt nicht, wenn ein auf Grundlage der Verträge erlassener Rechtsakt eine Beschränkung der Rechte betroffener Personen vorsieht.
(4) Der Verantwortliche im Sinne von Artikel 3 Absatz 8 der Datenschutzverordnung ist der Ausschuss, der die Zuständigkeit für die Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten übertragen kann.
(5) Für die Zwecke jeder Verarbeitung und Beschränkung sowie Zurückstellung, Unterlassung oder Verweigerung der Unterrichtung wird der Verantwortliche gemäß den einschlägigen internen Beschlüssen, Verfahren und Durchführungsvorschriften des Ausschusses bestimmt.
Artikel 2
Ausnahmen und Abweichungen
(1) Vor der Anwendung von Beschränkungen gemäß Artikel 3 Absatz 1 prüfen die Verantwortlichen, ob eine der in der Datenschutzverordnung festgelegten Ausnahmen oder Abweichungen greift, insbesondere diejenigen gemäß Artikel 15 Absatz 4, Artikel 16 Absatz 5, Artikel 19 Absatz 3, Artikel 25 Absätze 3 und 4 sowie Artikel 35 Absatz 3 der Verordnung.
(2) Die Anwendung von Ausnahmeregelungen geht mit angemessenen Garantien gemäß Artikel 13 der Datenschutzverordnung und Artikel 6 dieses Beschlusses einher.
Artikel 3
Beschränkungen
(1) Die Verantwortlichen können die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Datenschutzverordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 der Datenschutzverordnung vorgesehenen Rechten und Pflichten entsprechen, beschränken, wenn die Ausübung dieser Rechte durch die betroffenen Personen den Zweck oder das Ergebnis einer oder mehrerer Tätigkeiten oder Verfahren des Ausschusses beeinträchtigen würde, und zwar insbesondere:
|
a) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Datenschutzverordnung, wenn die Anstellungsbehörde und die zum Abschluss von Dienstverträgen ermächtigte Behörde des Ausschusses (im Folgenden „Einstellungsbehörde“) Disziplinarverfahren, Verwaltungsuntersuchungen und Untersuchungen im Zusammenhang mit Personalangelegenheiten gemäß Artikel 86 des Statuts der Beamten der Europäischen Union (im Folgenden „Statut“) und Anhang IX des Statuts sowie den Artikeln 50a und 119 der Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (6) (im Folgenden „BBSB“) durchführen; ferner bei Untersuchungen im Zusammenhang mit Anträgen auf Beistand, die gemäß Artikel 24 des Statuts und den Artikeln 11 und 81 BBSB gestellt wurden, und in Bezug auf mutmaßliche Fälle von Belästigung im Sinne von Artikel 12a des Statuts; |
|
b) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, f und h der Datenschutzverordnung, wenn die Anstellungsbehörde Anträge und Beschwerden von Beamten und sonstigen Bediensteten des Ausschusses (im Folgenden „Bedienstete“) gemäß Artikel 90 des Statuts und den Artikeln 46 und 117 BBSB prüft; |
|
c) |
gemäß Artikel 25 Absatz 1 Buchstaben c und h der Datenschutzverordnung, wenn die Anstellungsbehörde die Personalpolitik des Ausschusses durch Auswahl (Einstellung), Bewertung (Beurteilung) und Beförderungsverfahren umsetzt; |
|
d) |
gemäß Artikel 25 Absatz 1 Buchstaben c, f, g und h der Datenschutzverordnung, wenn der Anweisungsbefugte des Ausschusses („der Anweisungsbefugte“) den Einzelplan des Ausschusses im Gesamthaushaltsplan der Europäischen Union ausführt, indem er Vergabeverfahren gemäß der Haushaltsordnung für den Gesamthaushaltsplan der Union (7) (im Folgenden „Haushaltsordnung“ oder „HO“) durchführt; |
|
e) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Datenschutzverordnung, wenn der Anweisungsbefugte die Rechtmäßigkeit der vom Ausschuss und innerhalb des Ausschusses durchgeführten Finanzvorgänge, die finanziellen Ansprüche (8) der Mitglieder und Stellvertreter des Ausschusses („Ausschussmitglieder“) sowie die Finanzierung der vom Ausschuss organisierten oder mitorganisierten Tätigkeiten und Veranstaltungen überwacht und untersucht und finanzielle Unregelmäßigkeiten eines Bediensteten gemäß Artikel 93 HO bearbeitet; |
|
f) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Datenschutzverordnung, wenn der Ausschuss dem Europäischen Amt für Betrugsbekämpfung („OLAF“) entweder auf Ersuchen des OLAF oder auf eigene Initiative Informationen und Dokumente zur Verfügung stellt, dem OLAF Fälle meldet oder vom OLAF erhaltene Informationen und Dokumente verarbeitet (9); |
|
g) |
gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Datenschutzverordnung, wenn der Ausschuss interne Prüfungen für die Zwecke der Artikel 118 und 119 HO und in Bezug auf die Tätigkeiten und Verfahren seiner Dienststellen durchführt; |
|
h) |
gemäß Artikel 25 Absatz 1 Buchstaben c, d und h der Datenschutzverordnung, wenn der Ausschuss auf eigene Initiative oder auf Ersuchen Dritter folgende Maßnahmen durchführt: interne Risikobewertungen, Zugangskontrollen, einschließlich Zuverlässigkeitsüberprüfungen, Maßnahmen zur Verhinderung und Untersuchung von Sicherheitsvorfällen, einschließlich Vorfällen, an denen Mitglieder oder Bedienstete des Ausschusses beteiligt sind, Vorfälle im Zusammenhang mit der Infrastruktur und den Informations- und Kommunikationstechnologien des Ausschusses sowie Sicherheitsuntersuchungen und ergänzende Untersuchungen, einschließlich seiner elektronischen Kommunikationsnetze; |
|
i) |
gemäß Artikel 25 Absatz 1 Buchstaben c, d und h der Datenschutzverordnung, wenn der DSB von sich aus oder auf Ersuchen Dritter gemäß Artikel 45 Absatz 2 der Datenschutzverordnung Untersuchungen zu Angelegenheiten und Vorkommnissen durchführt, die in unmittelbarem Zusammenhang mit seinen Aufgaben stehen und ihm zur Kenntnis gelangt sind; |
|
j) |
gemäß Artikel 25 Absatz 1 Buchstabe h der Datenschutzverordnung, wenn die Verantwortlichen personenbezogene Daten verarbeiten, die von einem Bediensteten stammen, der in gutem Glauben Tatsachen meldet, die auf mögliche rechtswidrige Handlungen, einschließlich Betrug und Korruption, zum Nachteil der Interessen der Union („schwerwiegende Unregelmäßigkeiten“) oder auf Verhaltensweisen im Zusammenhang mit der Ausübung der beruflichen Tätigkeit hindeuten, die eine schwerwiegende Verletzung der Pflichten des Bediensteten darstellen könnten („schwerwiegendes Fehlverhalten“); |
|
k) |
gemäß Artikel 25 Absatz 1 Buchstabe h der Datenschutzverordnung, wenn die Verantwortlichen personenbezogene Daten verarbeiten, die sie von Vertrauenspersonen im Rahmen des informellen Verfahrens in Fällen mutmaßlicher Belästigung erhalten haben; |
|
l) |
gemäß Artikel 25 Absatz 1 Buchstabe h der Datenschutzverordnung, wenn die Verantwortlichen personenbezogene Gesundheitsdaten („medizinische Daten“), auch psychologischer oder psychiatrischer Natur, eines Ausschussmitglieds oder eines Bediensteten verarbeiten, die in der vom Ausschuss geführten Gesundheitsakte der betroffenen Person enthalten sind; |
|
m) |
gemäß Artikel 25 Absatz 1 Buchstabe e der Datenschutzverordnung, wenn die Verantwortlichen personenbezogene Daten verarbeiten, die in Dokumenten enthalten sind, welche von den Parteien oder Streithelfern im Zusammenhang mit Verfahren vor dem Gerichtshof der Europäischen Union („Gerichtshof“) erlangt wurden; |
|
n) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, d, g und h der Datenschutzverordnung, wenn der Ausschuss anderen Organen, Einrichtungen und sonstigen Stellen der Europäischen Union (im Folgenden „EU-Institutionen“) Amtshilfe leistet oder von ihnen erhält und mit ihnen im Rahmen der in Absatz 1 Buchstaben a bis m genannten Tätigkeiten oder Verfahren sowie im Einklang mit den geltenden Dienstleistungsvereinbarungen, Absichtserklärungen und Kooperationsvereinbarungen zusammenarbeitet; |
|
o) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, g und h der Datenschutzverordnung, wenn der Ausschuss den Behörden der Mitgliedstaaten, den Behörden von Drittländern oder internationalen Organisationen Amtshilfe leistet oder von ihnen erhält und mit ihnen auf deren Ersuchen oder auf eigene Initiative zusammenarbeitet; |
|
p) |
gemäß Artikel 25 Absatz 1 Buchstaben a, b, e und f der Datenschutzverordnung, wenn der Ausschuss den Behörden der Mitgliedstaaten, den Behörden von Drittländern oder internationalen Organisationen Informationen und Unterlagen zur Verfügung stellt, die sie im Rahmen von Untersuchungen anfordern. |
(2) Die in Absatz 1 genannten Beschränkungen können sowohl objektive („harte Daten“) als auch subjektive („weiche Daten“) personenbezogene Daten betreffen, insbesondere, aber nicht ausschließlich, eine oder mehrere der folgenden Kategorien:
|
a) |
Daten zur Identifizierung; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten (10); |
|
d) |
Finanzdaten; |
|
e) |
Überwachungsdaten (11); |
|
f) |
Verkehrsdaten (12); |
|
g) |
Medizinische Daten (13); |
|
h) |
genetische Daten (13); |
|
i) |
biometrische Daten (13); |
|
j) |
Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person (13); |
|
k) |
Daten, aus denen die rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, politische Meinungen oder Zugehörigkeiten oder die Mitgliedschaft in einer Gewerkschaft hervorgehen (13); |
|
l) |
Daten, die Aufschluss über die Leistung oder das Verhalten natürlicher Personen geben, die an Verfahren zur Auswahl (Einstellung), Bewertung (Beurteilung) oder Beförderung beteiligt sind (14); |
|
m) |
Daten über die Anwesenheit natürlicher Personen; |
|
n) |
Daten über die externen Tätigkeiten natürlicher Personen; |
|
o) |
Daten über mutmaßliche Straftaten, Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen; |
|
p) |
Daten über elektronische Kommunikation; |
|
q) |
alle anderen Daten, die sich auf den Gegenstand der betreffenden Tätigkeit oder des betreffenden Verfahrens beziehen, für die die Verarbeitung dieser Daten erforderlich ist. |
(3) Jede Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.
(4) Jede vollständige oder teilweise Beschränkung der Anwendung von Artikel 36 der Datenschutzverordnung („Vertraulichkeit der elektronischen Kommunikation“) gemäß Absatz 1 muss mit den geltenden Rechtsvorschriften der Union zum Schutz der Privatsphäre in der elektronischen Kommunikation (15) im Einklang stehen.
(5) Die Verantwortlichen überprüfen die Anwendung der in Absatz 1 genannten Beschränkungen in regelmäßigen Abständen, mindestens jedoch alle sechs Monate nach Erlass der Beschränkung, aber auch dann, wenn sich wesentliche und entscheidende Elemente des Falls ändern, sowie bei Abschluss oder Beendigung der Tätigkeit oder des Verfahrens, die bzw. das zu den Beschränkungen geführt hat. Danach prüfen sie einmal jährlich, ob die jeweilige Beschränkung aufrechterhalten werden muss.
(6) Die in Absatz 1 genannten Beschränkungen gelten, solange die Gründe dafür weiterhin vorliegen. Liegen die Gründe für eine Beschränkung nach Absatz 1 nicht mehr vor, so heben die Verantwortlichen diese Beschränkung auf.
(7) Bei der Verarbeitung personenbezogener Daten, die der Ausschuss im Rahmen seiner Aufgaben von Dritten erhält, konsultierten die Verantwortlichen diese Dritten zu möglichen Grundlagen für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der betreffenden Beschränkungen, es sei denn, dies würde die Tätigkeiten und Verfahren des Ausschusses beeinträchtigen.
Artikel 4
Bewertung der Notwendigkeit und Verhältnismäßigkeit
(1) Vor der Anwendung von Beschränkungen prüfen die Verantwortlichen für jeden Einzelfall, ob die betreffenden Beschränkungen notwendig und verhältnismäßig sind.
(2) Bei jeder Bewertung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung berücksichtigen die Verantwortlichen die möglichen Risiken für die Rechte und Freiheiten der betroffenen Person.
(3) Die Bewertungen der sich aus der Vornahme von Beschränkungen ergebenden Risiken für die Rechte und Freiheiten der betroffenen Personen, insbesondere des Risikos, dass ihre personenbezogenen Daten ohne ihr Wissen weiterverarbeitet werden und dass sie ihre Rechte gemäß der Datenschutzverordnung womöglich nicht wahrnehmen können, sowie die Angaben zur Geltungsdauer dieser Beschränkungen werden in dem von den Verantwortlichen gemäß Artikel 31 Absatz 1 der Datenschutzverordnung geführten im Verzeichnis der Verarbeitungstätigkeiten erfasst. Außerdem sind sie gemäß Artikel 39 der Datenschutzverordnung in den einschlägigen Datenschutz-Folgenabschätzungen zu diesen Beschränkungen zu vermerken.
Artikel 5
Erfassung und Registrierung von Beschränkungen
(1) Wenden die Verantwortlichen Beschränkungen an, so erfassen sie:
|
a) |
die Gründe für die Anwendung der Beschränkung; |
|
b) |
die Grundlage für die Anwendung der Beschränkung; |
|
c) |
wie sich die Ausübung der Rechte der betroffenen Personen nachteilig auf den Zweck oder das Ergebnis einer oder mehrerer der vom Ausschuss durchgeführten Tätigkeiten oder Verfahren auswirken würde; |
|
d) |
das Ergebnis der Prüfung gemäß Artikel 4 Absatz 1. |
(2) Das in Absatz 1 genannte Verzeichnis ist Teil des zentralen Registers gemäß Artikel 31 Absatz 5 der Datenschutzverordnung und wird dem EDSB auf Anfrage zur Verfügung gestellt.
(3) Beschränken die Verantwortlichen die Anwendung von Artikel 35 der Datenschutzverordnung („Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“), so wird das in Absatz 1 genannte Verzeichnis in die Meldung an den EDSB gemäß Artikel 34 Absatz 1 der Datenschutzverordnung aufgenommen.
Artikel 6
Garantien und Speicherfrist
(1) Die Verantwortlichen führen Garantien ein, um den Missbrauch personenbezogener Daten, die Beschränkungen gemäß Artikel 3 Absatz 1 unterliegen könnten, sowie den unrechtmäßigen Zugriff auf diese Daten oder deren unrechtmäßige Übermittlung zu verhindern. Diese Garantien umfassen geeignete technische und organisatorische Maßnahmen und werden erforderlichenfalls in den einschlägigen internen Beschlüssen, Verfahren und Durchführungsvorschriften des Ausschusses im Einzelnen ausgeführt.
(2) Die in Absatz 1 genannten Garantien umfassen:
|
a) |
klar definierte Rollen, Zuständigkeiten und Verfahrensschritte; |
|
b) |
gegebenenfalls ein sicheres elektronisches Umfeld, das verhindert, dass Unbefugte unrechtmäßig oder versehentlich auf elektronische Daten zugreifen oder solche Daten erhalten; |
|
c) |
gegebenenfalls die sichere Aufbewahrung und Bearbeitung von Papierdokumenten; |
|
d) |
die ordnungsgemäße Überwachung der Beschränkungen und die regelmäßige Überprüfung ihrer Anwendung. |
(3) Die personenbezogenen Daten werden gemäß den einschlägigen geltenden Vorschriften (16) des Ausschusses gespeichert, die in dem von den Verantwortlichen gemäß Artikel 31 Absatz 1 der Datenschutzverordnung geführten Verzeichnis festgelegt werden. Nach Ablauf der Speicherfrist werden die personenbezogenen Daten gegebenenfalls gelöscht, so anonymisiert, dass die betroffene Person nicht oder nicht mehr identifizierbar ist, oder gemäß Artikel 13 der Datenschutzverordnung vom Ausschuss archiviert.
Artikel 7
Unterrichtung betroffener Personen über Beschränkungen ihrer Rechte
(1) Die auf der Website des Ausschusses im Intranet oder Internet veröffentlichten Datenschutzhinweise enthalten einen Abschnitt, in dem betroffene Personen allgemein darüber informiert werden, dass bei der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Tätigkeiten und Verfahren des Ausschusses ihre Rechte beschränkt werden können. In diesen Datenschutzhinweisen wird dargelegt, welche Rechte auf welcher Grundlage und für welche Dauer beschränkt werden können. Außerdem wird festgelegt, welche administrativen und rechtlichen Rechtsbehelfe den betroffenen Personen zur Verfügung stehen.
(2) Im Falle der Anwendung von Beschränkungen unterrichten die Verantwortlichen betroffene Personen einzeln, unverzüglich und in der am besten geeigneten Form über:
|
a) |
bestehende oder künftige Beschränkungen ihrer Rechte; |
|
b) |
die wichtigsten Gründe für die Anwendung der Beschränkung; |
|
c) |
ihr Recht, den DSB zu konsultieren, um die Beschränkung anzufechten; |
|
d) |
ihr Recht auf Beschwerde beim EDSB; |
|
e) |
ihr Recht, beim Gerichtshof Rechtsmittel einzulegen. |
(3) Ungeachtet des Absatzes 2 unterrichten die Verantwortlichen, die in Ausnahmefällen die Anwendung von Artikel 35 der Datenschutzverordnung („Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“) beschränken, die betroffene Person über die Verletzung des Schutzes personenbezogener Daten und übermitteln ihr die in Absatz 2 Buchstaben b, d und e genannten Informationen, sobald die Gründe für die Zurückhaltung einer solchen Benachrichtigung nicht mehr vorliegen.
(4) Ungeachtet des Absatzes 2 stellen die Verantwortlichen, die in Ausnahmefällen die Anwendung von Artikel 36 der Datenschutzverordnung („Vertraulichkeit der elektronischen Kommunikation“) beschränken, in ihrer Antwort auf jedwede Anfrage der betroffenen Person die in Absatz 2 genannten Informationen zur Verfügung.
(5) Die Verantwortlichen können die in Absatz 2 genannte Unterrichtung zurückstellen, unterlassen oder verweigern („Zurückstellung, Unterlassung oder Verweigerung der Unterrichtung“), wenn sie die Wirkung der Beschränkung zunichtemachen würde. Sie übermitteln der betroffenen Person die in Absatz 2 genannten Informationen, sobald dies die Beschränkung nicht mehr unwirksam machen würde.
(6) Die Artikel 4 und 5 gelten entsprechend für jeden Fall der Zurückstellung, Unterlassung oder Verweigerung der Unterrichtung.
Artikel 8
Einbeziehung des Datenschutzbeauftragten des Ausschusses
(1) Die Verantwortlichen setzen den DSB unverzüglich schriftlich davon in Kenntnis, wenn sie die Rechte einer betroffenen Person gemäß Artikel 3 Absatz 1 beschränken, die in Artikel 3 Absatz 5 genannten regelmäßigen Überprüfungen durchführen, die Beschränkungen gemäß Artikel 3 Absatz 6 aufheben oder die Bereitstellung der in Artikel 7 Absatz 2 genannten Informationen gemäß Artikel 7 Absatz 5 zurückstellen, unterlassen oder verweigern. Auf Antrag erhält der DSB Zugang zu allen Aufzeichnungen und Unterlagen, die Aufschluss über die zugrunde liegenden Fakten und rechtlichen Grundlagen geben.
(2) Der DSB kann die Verantwortlichen auffordern, bestehende Beschränkungen sowie Zurückstellungen, Unterlassungen oder Verweigerungen der Unterrichtung und deren Anwendung zu überprüfen. Der DSB wird schriftlich über das Ergebnis der angeforderten Überprüfung unterrichtet.
(3) Die in den Absätzen 1 und 2 vorgesehene Beteiligung des DSB in Bezug auf die Anwendung von Beschränkungen sowie die Zurückstellung, Unterlassung und Verweigerung der Unterrichtung wird von den Verantwortlichen ordnungsgemäß dokumentiert. Dazu zählen auch die Informationen, die dem DSB übermittelt werden.
(4) Der DSB übermittelt den Verantwortlichen auf Anfrage seine Stellungnahme zur Festlegung ihrer Verpflichtungen im Rahmen einer Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Artikel 28 Absatz 1 der Datenschutzverordnung.
Artikel 9
Gemeinsame Dienste
Der DSB arbeitet bei der Verarbeitung personenbezogener Daten durch die gemeinsamen Dienste mit dem Datenschutzbeauftragten des EWSA zusammen, um die wirksame Umsetzung dieses Beschlusses sicherzustellen.
Artikel 10
Schlussbestimmungen
(1) Erforderlichenfalls kann der Generalsekretär Anweisungen oder Durchführungsvorschriften erlassen, um gegebenenfalls die Ausführung und Einhaltung von Bestimmungen dieses Beschlusses in Übereinstimmung mit dem Beschluss zu präzisieren.
(2) Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Brüssel, den 25. Januar 2022
Für das Präsidium des Ausschusses der Regionen
Apostolos TZITZIKOSTAS
Präsident
(1) ABl. C 202 vom 7.6.2016, S. 47.
(2) ABl. L 295 vom 21.11.2018, S. 39.
(3) ABl. L 472 vom 30.12.2021, S. 1.
(4) Beschluss Nr. 19/2020 des Präsidiums des Ausschusses der Regionen vom 9. Oktober 2020 zum Erlass von Durchführungsbestimmungen zur Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und zum freien Datenverkehr („Beschluss Nr. 19/2020“).
(5) Vertrag über die Europäische Union (EUV) (ABl. C 202 vom 7.6.2016, S. 13) und Vertrag über die Arbeitsweise der Europäischen Union (AEUV).
(6) Anhang zur Verordnung Nr. 31 (EWG) 11 (EAG) des Rates über das Statut der Beamten und über die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Wirtschaftsgemeinschaft und der Europäischen Atomgemeinschaft (ABl. P 45 vom 14.6.1962, S. 1385), geändert durch die Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (ABl. L 56 vom 4.3.1968, S. 1), in den später geänderten, neugefassten, ergänzten oder in anderer Form abgeänderten Fassungen.
(7) Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).
(8) u. a. allgemeine Kostenvergütungen, Zulagen für Mitarbeiter, Ausrüstungs- und Einrichtungszulagen, Reise-, Aufenthalts- und Sitzungsvergütungen (auch für Sitzungen per Videokonferenz) sowie sonstige Vergütungen gemäß Artikel 238 HO.
(9) Dies gilt nicht für die Verarbeitung personenbezogener Daten, für die das OLAF als alleiniger Verantwortlicher fungiert, insbesondere in Fällen, in denen das OLAF personenbezogene Daten verarbeitet, die in den Räumlichkeiten des Ausschusses aufbewahrt werden.
(10) Dazu gehören unter anderem Arbeitsverträge, Verträge mit Dienstleistern und Daten über Dienstreisen.
(11) Unter anderem Audio- und Videoaufzeichnungen sowie Anmelde- und Abmelderegister.
(12) Unter anderem An- und Abmeldezeiten, Zugriff auf interne Anwendungen und netzbasierte Ressourcen sowie Internetnutzung.
(13) Soweit diese Daten gemäß Artikel 10 Absatz 2 der Datenschutzverordnung verarbeitet werden.
(14) Dazu gehören u. a. schriftliche Prüfungen, aufgezeichnete mündliche Äußerungen, Bewertungsbögen und Bewertungen, Anmerkungen oder Stellungnahmen der Bewerter.
(15) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
(16) Beschluss Nr. 129/2003 des Generalsekretärs des Ausschusses der Regionen vom 17. Juni 2003 über die Dokumentenverwaltung des Ausschusses der Regionen.