27.8.2020 |
DE |
Amtsblatt der Europäischen Union |
L 279/15 |
BESCHLUSS Nr. 64 DES VERWALTUNGSRATS DES EUROPÄISCHEN UNTERSTÜTZUNGSBÜROS FÜR ASYLFRAGEN
vom 6. Juli 2020
zur Annahme interner Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten des EASO
DER VERWALTUNGSRAT DES EUROPÄISCHEN UNTERSTÜTZUNGSBÜROS FÜR ASYLFRAGEN, im Folgenden EASO —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere Artikel 25,
gestützt auf die Verordnung (EU) Nr. 439/2010 des Europäischen Parlaments und des Rates vom 19. Mai 2010 zur Einrichtung eines Europäischen Unterstützungsbüros für Asylfragen (2), insbesondere Artikel 29,
gestützt auf die Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) vom 20. Mai 2020 und auf die Leitlinien des Europäischen Datenschutzbeauftragten zu Artikel 25 der neuen Verordnung und den internen Vorschriften,
nach Rücksprache mit dem Personalausschuss,
in Erwägung nachstehender Gründe:
(1) |
EASO übt seine Tätigkeiten gemäß seiner Gründungsverordnung (EU) Nr. 439/2010 aus. |
(2) |
Gemäß Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 sollten Beschränkungen der Anwendung der Artikel 14 bis 21, 35 und 36 sowie des Artikels 4 derselben Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 21 vorgesehenen Rechten und Pflichten entsprechen, auf von EASO zu erlassenden internen Vorschriften beruhen, soweit diese nicht auf Rechtsakten basieren, die auf der Grundlage der Verträge erlassen worden sind. |
(3) |
Diese internen Vorschriften, einschließlich ihrer Bestimmungen über die Beurteilung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung, sollten keine Anwendung finden, wenn durch einen auf der Grundlage der Verträge erlassenen Rechtsakt eine Beschränkung von Rechten betroffener Personen vorgesehen ist. |
(4) |
Wenn EASO seine Pflichten bezüglich Rechten betroffener Personen gemäß Verordnung (EU) 2018/1725 erfüllt, ist zu berücksichtigen, ob etwaige der in dieser Verordnung vorgesehenen Ausnahmen Geltung haben. |
(5) |
Im Rahmen seiner Verwaltungstätigkeit ist EASO befugt, Verwaltungsuntersuchungen, Disziplinarverfahren und vorläufige Aktivitäten im Zusammenhang mit Fällen potenzieller Unregelmäßigkeiten, die dem OLAF gemeldet werden, durchzuführen, Meldungen von Missständen (Whistleblowing) zu bearbeiten, (formelle und informelle) Verfahren bei Fällen von Belästigung umzusetzen, interne und externe Beschwerden zu bearbeiten, interne Audits durchzuführen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 und interne (IT-)Sicherheitsüberprüfungen durchzuführen und Anträge von Bediensteten auf Auskunft über ihre eigenen gesundheitsbezogenen Daten zu bearbeiten. EASO verarbeitet mehrere Kategorien personenbezogener Daten, einschließlich harter Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weicher Daten („subjektive“ fallbezogene Daten wie Beweisführung, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten sowie Daten, die mit dem Gegenstand des Verfahrens oder der Aktivität in Beziehung stehen oder im Zusammenhang damit vorgebracht worden sind). |
(6) |
EASO, vertreten durch seinen Exekutivdirektor, ist der für die Verarbeitung Verantwortliche; dies gilt auch, wenn Befugnisse des für die Verarbeitung Verantwortlichen innerhalb von EASO weiter übertragen werden, um den operativen Verantwortlichkeiten für bestimmte personenbezogene Daten betreffende Verarbeitungsvorgänge Rechnung zu tragen. |
(7) |
Die personenbezogenen Daten werden sicher in einem elektronischen Umfeld oder in Papierform aufbewahrt, um den Missbrauch der Daten, den unrechtmäßigen Zugang zu den Daten oder die Übermittlung der Daten an Personen, die keine Kenntnis davon haben müssen, zu verhindern. Die verarbeiteten personenbezogenen Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und angemessen ist, sowie für die in den Datenschutzhinweisen oder Verzeichnissen von EASO angegebene Dauer. |
(8) |
Die internen Vorschriften sollten für alle Verarbeitungsvorgänge gelten, die von der Agentur im Rahmen von Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufigen Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten, von Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), von (formellen und informellen) Verfahren bei Fällen von Belästigung, der Bearbeitung von internen und externen Beschwerden, von internen Audits, von Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725, von intern oder mit externer Beteiligung (z. B. CERT-EU) durchgeführten (IT-)Sicherheitsüberprüfungen sowie der Bearbeitung von Anträgen von Bediensteten auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ausgeführt werden. |
(9) |
Diese internen Vorschriften sollten für Verarbeitungsvorgänge gelten, die vor der Einleitung der vorstehend genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen durchgeführt werden. Unterstützung und Zusammenarbeit, die EASO nationalen Behörden und internationalen Organisationen außerhalb ihrer Verwaltungsuntersuchungen gewährt, sollten ebenfalls mit eingeschlossen sein. |
(10) |
Wenn diese internen Vorschriften Anwendung finden, sollte EASO die Gründe dafür darlegen und erläutern, warum die Beschränkungen in einer demokratischen Gesellschaft eine unbedingt erforderliche und verhältnismäßige Maßnahme darstellen und den Wesensgehalt der Grundrechte und Grundfreiheiten achten. |
(11) |
Innerhalb dieses Rahmens ist EASO verpflichtet, die Grundrechte der betroffenen Personen, insbesondere jene bezüglich des Rechts auf Unterrichtung über personenbezogene Daten und des Auskunftsrechts der betroffenen Person, des Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung von personenbezogenen Daten, des Rechts auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und des Rechts auf Vertraulichkeit der elektronischen Kommunikation gemäß Verordnung (EU) 2018/1725, während der obigen Vorgänge in größtmöglichem Umfang zu achten. |
(12) |
EASO kann jedoch verpflichtet sein, das Recht auf Unterrichtung der betroffenen Person und andere Rechte der betroffenen Person zu beschränken, um insbesondere seine eigenen Untersuchungen, die Untersuchungen und Verfahren anderer Behörden sowie die Rechte anderer in seine Untersuchungen oder in andere Verfahren einbezogener Personen zu schützen. |
(13) |
EASO sollte regelmäßig überprüfen, ob die Bedingungen, die die Beschränkung rechtfertigen, noch gelten, und die Beschränkung aufheben, sobald diese nicht mehr gegeben sind. |
(14) |
Der Verantwortliche sollte den Datenschutzbeauftragten zum Zeitpunkt der Anwendung der Beschränkung sowie während nachfolgender Überprüfungen unterrichten und ihn über das gesamte Verfahren hindurch einbeziehen, bis die Beschränkung aufgehoben wird — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Gegenstand und Anwendungsbereich
(1) Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen EASO die in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 der Verordnung (EU) 2018/1725 verankerten Rechte im Zusammenhang mit den in Absatz 2 genannten Verfahren gemäß Artikel 25 dieser Verordnung beschränken darf.
(2) Im Rahmen der Verwaltungstätigkeit von EASO gilt dieser Beschluss für die von EASO durchgeführten Verarbeitungsvorgänge in Bezug auf personenbezogene Daten: Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren, vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten, Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), Umsetzung (formeller und informeller) Verfahren bei Fällen von Belästigung, Bearbeitung von internen und externen Beschwerden, Durchführung interner Audits, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene (IT)-Sicherheitsüberprüfungen und Bearbeitung von Anträgen von Bediensteten auf Auskunft über ihre eigenen gesundheitsbezogenen Daten.
(3) Die betroffenen Datenkategorien sind harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Beweisführung, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten sowie Daten, die mit dem Gegenstand des Verfahrens in Beziehung stehen oder im Zusammenhang damit vorgebracht worden sind).
(4) Wenn EASO seine Pflichten bezüglich Rechten betroffener Personen gemäß Verordnung (EU) 2018/1725 erfüllt, ist zu berücksichtigen, ob etwaige der in dieser Verordnung vorgesehenen Ausnahmen Geltung haben.
(5) Vorbehaltlich der in diesem Beschluss genannten Bedingungen können die Beschränkungen für die folgenden Rechte Anwendung finden: Recht auf Unterrichtung der betroffenen Person, Auskunftsrecht der betroffenen Person, Recht der betroffenen Person auf Berichtigung, Löschung und Einschränkung der Verarbeitung von personenbezogenen Daten, Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und Recht auf Vertraulichkeit der elektronischen Kommunikation.
Artikel 2
Angaben zu dem Verantwortlichen und Garantien
(1) EASO richtet die folgenden Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung ein:
a) |
Dokumente in Papierform werden in gesicherten Schränken aufbewahrt und ausschließlich befugtem Personal zugänglich gemacht. |
b) |
Alle elektronischen Daten werden in einer sicheren IT-Anwendung gemäß den Sicherheitsstandards von EASO sowie in speziellen elektronischen Ordnern gespeichert, die ausschließlich befugtem Personal zugänglich sind. Angemessener Zugang wird auf individueller Basis erteilt. |
c) |
Die IT-Umgebung von EASO ist über ein Single-Sign-on-System zugänglich und automatisch mit der ID und dem Passwort des Benutzers verbunden. Elektronische Aufzeichnungen werden sicher aufbewahrt, um die Vertraulichkeit und den Schutz der darin enthaltenen Daten zu garantieren. |
d) |
Alle Personen, die Zugang zu den Daten haben, sind zur Vertraulichkeit verpflichtet. |
(2) Der für die Verarbeitungsvorgänge Verantwortliche ist EASO, vertreten durch seinen Exekutivdirektor, der die Funktion des Verantwortlichen delegieren kann. In Fällen, in denen der Exekutivdirektor einer Verwaltungsuntersuchung, einem Disziplinarverfahren oder einer internen Untersuchung unterliegt, vertritt der Vorstand das EASO als Datenverantwortlichen (als Anstellungsbehörde für den Exekutivdirektor). Betroffene Personen werden über den delegierten Verantwortlichen über Datenschutzhinweise oder Verzeichnisse unterrichtet, die auf der Website und im Intranet von EASO veröffentlicht werden.
(3) Die Aufbewahrungsfrist der in Artikel 1 Absatz 3 dieses Beschlusses genannten personenbezogenen Daten darf nicht länger als erforderlich sein und muss den Zwecken, zu denen die Daten verarbeitet werden, angemessen sein. Sie darf keinesfalls länger sein als die in den Datenschutzhinweisen oder in den Verzeichnissen angegebene Aufbewahrungsfrist, auf die in Artikel 3 Absatz 3 dieses Beschlusses Bezug genommen wird.
(4) Wenn EASO eine Beschränkung in Erwägung zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Person abgewogen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie gegenüber dem Risiko einer Untergrabung der Wirksamkeit der von EASO durchgeführten Untersuchungen oder Verfahren, z. B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten der betroffenen Person erstrecken sich in erster Linie u. a. auf Risiken im Zusammenhang mit der Reputation, dem Verteidigungsrecht und dem Anspruch auf rechtliches Gehör.
Artikel 3
Beschränkungen
(1) Jede Beschränkung darf von EASO nur auf der Grundlage eines oder mehrerer der in Artikel 25 Absatz 1 Buchstaben a bis i der Verordnung (EU) 2018/1725 aufgeführten Gründe angewandt werden. Insbesondere im Zusammenhang mit den in Artikel 1 Absatz 2 dieses Beschlusses genannten Zwecken der Verarbeitung personenbezogener Daten können sich Beschränkungen auf folgende Gründe stützen:
a) |
Für die Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben b, c, g und h der Verordnung (EU) 2018/1725 festgelegt werden. |
b) |
Für vorläufige Tätigkeiten im Zusammenhang mit Fällen potenzieller Unregelmäßigkeiten, die dem OLAF gemeldet werden, können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Verordnung (EU) 2018/1725 festgelegt werden. |
c) |
Für Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Verordnung (EU) 2018/1725 festgelegt werden. |
d) |
Für (formelle und informelle) Verfahren bei Fällen von Belästigung können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben b, f, h und i der Verordnung (EU) 2018/1725 festgelegt werden. |
e) |
Für die Bearbeitung von internen und externen Beschwerden können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben c, e, g und h der Verordnung (EU) 2018/1725 festgelegt werden. |
f) |
Für interne Audits können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung (EU) 2018/1725 festgelegt werden. |
g) |
Für Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben c, g und h dieser Verordnung festgelegt werden. |
h) |
Für intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene IT-Sicherheitsüberprüfungen können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstaben c, d, g und h der Verordnung (EU) 2018/1725 festgelegt werden. |
i) |
Für die Bearbeitung von Anträgen von Bediensteten auf Auskunft über ihre eigenen gesundheitsbezogenen Daten können Beschränkungen auf der Grundlage von Artikel 25 Absatz 1 Buchstabe h der Verordnung (EU) 2018/1725 festgelegt werden. |
(2) Im Rahmen der besonderen Anwendung der in oben stehendem Absatz 1 genannten Zwecke kann EASO die in Artikel 1 Absatz 5 dieses Beschlusses genannten Rechte unter folgenden Umständen beschränken:
a) |
wenn ein anderes Organ, eine andere Einrichtung oder eine sonstige Stelle der Union dazu berechtigt ist, auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder gemäß Kapitel IX dieser Verordnung oder gemäß den Gründungsakten anderer Organe, Einrichtungen und sonstiger Stellen der Union die Ausübung dieser Rechte zu beschränken, und wenn der Zweck einer solchen Beschränkung durch das Organ, die Einrichtung oder die sonstige Stelle der Union gefährdet wäre, falls EASO keine vergleichbare Beschränkung in Bezug auf dieselben personenbezogenen Daten anwenden würde; |
b) |
wenn die zuständige Behörde eines Mitgliedstaats dazu berechtigt ist, auf der Grundlage von in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (3) genannten Rechtsakten oder im Rahmen nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (4) die Ausübung dieser Rechte zu beschränken, und wenn der Zweck einer solchen Beschränkung durch die zuständige Behörde des Mitgliedstaats gefährdet wäre, falls EASO keine vergleichbare Beschränkung in Bezug auf dieselben personenbezogenen Daten anwenden würde; |
c) |
wenn die Ausübung dieser Rechte die Zusammenarbeit von EASO mit Drittländern oder internationalen Organisationen bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnte. |
Vor der Anwendung von Beschränkungen unter den in Unterabsatz 1 Buchstaben a und b genannten Umständen konsultiert EASO das betreffende Organ, die betreffende Einrichtung oder die betreffende sonstige Stelle der Union oder die betreffende zuständige Behörde eines Mitgliedstaats, es sei denn, für EASO ist klar, dass die Anwendung einer Beschränkung durch einen der unter diesen Buchstaben genannten Rechtsakte vorgesehen ist.
(3) EASO nimmt in die auf seiner Website und in seinem Intranet veröffentlichten Datenschutzhinweise oder Verzeichnisse im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, in denen betroffene Personen über ihre Rechte im Rahmen eines gegebenen Verfahrens informiert werden, Informationen über die mögliche Beschränkung dieser Rechte auf. Die Informationen umfassen die Frage, welche Rechte beschränkt werden können, die Gründe für solche Beschränkungen sowie die mögliche Dauer der Beschränkung.
Unbeschadet der Bestimmungen in Artikel 5 Absatz 2 informiert EASO, sofern dies verhältnismäßig ist, auch alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, einzeln, unverzüglich und schriftlich über gegenwärtige oder künftige Beschränkungen ihrer Rechte.
(4) Jede Beschränkung muss eine notwendige und verhältnismäßige Maßnahme darstellen und die Risiken für die Rechte und Freiheiten betroffener Personen berücksichtigen sowie den Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft achten.
(5) Wenn die Anwendung einer Beschränkung in Betracht gezogen wird, wird auf der Grundlage der vorliegenden Vorschriften eine Prüfung auf Notwendigkeit und Verhältnismäßigkeit durchgeführt. Diese Prüfung wird zu Rechenschaftszwecken auf Einzelfallbasis durch einen internen Beurteilungsvermerk dokumentiert.
(6) Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gelten, insbesondere wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirksamkeit der verhängten Beschränkung nicht mehr zunichtemacht oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigt.
Artikel 4
Überprüfung durch den Datenschutzbeauftragten
(1) Der Datenschutzbeauftragte („DSB“) von EASO wird unverzüglich unterrichtet, wenn der Verantwortliche gemäß diesem Beschluss die Anwendung der Rechte betroffener Personen beschränkt oder die Beschränkung ausweitet. Der Verantwortliche gewährt dem DSB Zugang zu dem Verzeichnis, das die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthält, und dokumentiert das Datum, an dem der DSB unterrichtet wurde, im Verzeichnis. Der DSB wird über das gesamte Verfahren hindurch bis zur Aufhebung der Beschränkung einbezogen.
(2) Der DSB kann den Verantwortlichen schriftlich zur Überprüfung der vorgenommenen Beschränkungen auffordern. Der Verantwortliche unterrichtet den DSB schriftlich über das Ergebnis der angeforderten Überprüfung.
(3) Der Verantwortliche unterrichtet den DSB, wenn die Beschränkung aufgehoben wurde.
Artikel 5
Beschränkung des Rechts auf Unterrichtung der betroffenen Person
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung der betroffenen Person durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen beschränkt werden:
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
b) |
vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten; |
c) |
Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing); |
d) |
(formelle und informelle) Verfahren bei Fällen von Belästigung; |
e) |
Bearbeitung von internen und externen Beschwerden; |
f) |
interne Audits; |
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
h) |
intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene (IT-)Sicherheitsüberprüfungen. |
(2) Wenn EASO das in den Artikeln 14 bis 16 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Unterrichtung der betroffenen Person ganz oder teilweise beschränkt, erfasst EASO die Gründe für die Beschränkung und die Rechtsgrundlage gemäß Artikel 3 dieses Beschlusses, einschließlich einer Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung.
Die erfassten Angaben und gegebenenfalls die Unterlagen, die die zugrunde liegenden sachlichen und rechtlichen Umstände enthalten, werden in einem Register verzeichnet. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.
(3) Die in Absatz 2 genannte Beschränkung gilt so lange, wie die sie rechtfertigenden Gründe dafür vorliegen.
Wenn die Gründe für die Beschränkung nicht mehr vorliegen, unterrichtet EASO die betroffene Person über die Hauptgründe, auf denen die Anwendung einer Beschränkung beruht. Gleichzeitig teilt EASO der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union („Gerichtshof“) einlegen kann.
EASO überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme sowie nach Abschluss der entsprechenden Prüfung, des entsprechenden Verfahrens oder der entsprechenden Untersuchung. Danach überprüft der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung einer Beschränkung. Im Rahmen dieser regelmäßigen Überprüfungen wird ebenfalls die in Artikel 3 Absatz 5 vorgesehene Prüfung auf Notwendigkeit und Verhältnismäßigkeit durchgeführt, nachdem beurteilt wurde, ob die sachlichen und rechtlichen Gründe für eine Beschränkung weiterhin gegeben sind.
Artikel 6
Beschränkung des Auskunftsrechts der betroffenen Person
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Auskunftsrecht der betroffenen Person durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
b) |
vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten; |
c) |
Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing); |
d) |
(formelle und informelle) Verfahren bei Fällen von Belästigung; |
e) |
Bearbeitung von internen und externen Beschwerden; |
f) |
interne Audits; |
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
h) |
intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene (IT-)Sicherheitsüberprüfungen; |
i) |
Bearbeitung von Anträgen von Bediensteten auf Auskunft über ihre eigenen gesundheitsbezogenen Daten. |
Wenn betroffene Personen gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre im Zusammenhang mit einem oder mehreren spezifischen Fällen verarbeiteten personenbezogenen Daten oder über einen bestimmten Verarbeitungsvorgang beantragen, begrenzt EASO seine Beurteilung des Antrags nur auf diese personenbezogene Daten.
(2) Wenn EASO das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Auskunftsrecht ganz oder teilweise beschränkt, ergreift es die folgenden Maßnahmen:
a) |
Es unterrichtet die jeweils betroffene Person in seiner Antwort auf den Antrag über die vorgenommene Beschränkung und die Hauptgründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof einzulegen. |
b) |
Es dokumentiert in Form eines internen Beurteilungsvermerks die Gründe für die Beschränkung, einschließlich der Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung und ihrer Dauer. |
Beschränkungen des Rechts der Bediensteten auf Auskunft über ihre eigenen gesundheitsbezogenen Daten betreffen nur Anträge auf direkten Zugang von Bediensteten zu gesundheitsbezogenen Daten psychologischer oder psychiatrischer Art, wenn eine Einzelfallprüfung ergibt, dass ein indirekter Zugang zum Schutz der betroffenen Person erforderlich ist. Die Auskunft über solche Daten erfolgt über einen von der betroffenen Person benannten Arzt. Der von der betroffenen Person benannte Arzt erhält Zugang zu allen Informationen, und ihm wird ein Ermessensspielraum bei der Entscheidung eingeräumt, wie und in welcher Form der betroffenen Person Auskunft gewährt wird.
Die unter Buchstabe a genannte Unterrichtung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendeten Beschränkung zunichtemachen würde.
EASO überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme sowie nach Abschluss der entsprechenden Prüfung, des entsprechenden Verfahrens oder der entsprechenden Untersuchung. Danach überprüft der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung einer Beschränkung.
Im Rahmen dieser regelmäßigen Überprüfungen wird ebenfalls die in Artikel 3 Absatz 5 vorgesehene Prüfung auf Notwendigkeit und Verhältnismäßigkeit durchgeführt, nachdem beurteilt wurde, ob die sachlichen und rechtlichen Gründe für eine Beschränkung weiterhin gegeben sind.
(3) Die erfassten Angaben und gegebenenfalls die Unterlagen, die die zugrunde liegenden sachlichen und rechtlichen Umstände enthalten, werden in einem Register verzeichnet. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.
Artikel 7
Beschränkung des Rechts der betroffenen Person auf Berichtigung, Löschung und Einschränkung der Verarbeitung
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht der betroffenen Person auf Berichtigung, Löschung und Einschränkung der Verarbeitung von personenbezogenen Daten durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
b) |
vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten; |
c) |
Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing); |
d) |
(formelle und informelle) Verfahren bei Fällen von Belästigung; |
e) |
Bearbeitung von internen und externen Beschwerden; |
f) |
interne Audits; |
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
h) |
intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene (IT-)Sicherheitsüberprüfungen. |
(2) Wenn EASO das in Artikel 18, in Artikel 19 Absatz 1 und in Artikel 20 Absatz 1 der Verordnung (EU) 2018/1725 jeweils vorgesehene Recht der betroffenen Person auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise beschränkt, ergreift EASO die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und verzeichnet die erfassten Angaben gemäß Artikel 6 Absatz 3 dieses Beschlusses in einem Register.
Artikel 8
Beschränkung des Rechts auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und des Rechts auf Vertraulichkeit der elektronischen Kommunikation
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
b) |
vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten; |
c) |
Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing); |
d) |
Bearbeitung von internen und externen Beschwerden; |
e) |
interne Audits; |
f) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
g) |
intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene (IT-)Sicherheitsüberprüfungen. |
(2) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Vertraulichkeit der elektronischen Kommunikation durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
b) |
vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten; |
c) |
Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing); |
d) |
formelle Verfahren bei Fällen von Belästigung; |
e) |
Bearbeitung von internen und externen Beschwerden; |
f) |
intern oder mit externer Beteiligung (z. B. CERT-EU) vorgenommene (IT-)Sicherheitsüberprüfungen. |
(3) Wenn EASO das in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 jeweils vorgesehene Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation beschränkt, erfasst und registriert sie die Gründe hierfür gemäß Artikel 5 Absatz 2 dieses Beschlusses. Artikel 5 Absatz 3 dieses Beschlusses gilt gleichermaßen.
Artikel 9
Inkrafttreten
Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Geschehen zu Valletta Harbour am 6. Juli 2020.
Für das Europäische Unterstützungsbüros für Asylfragen
David COSTELLO
Vorsitzender des Verwaltungsrats
(1) ABl. L 295 vom 21.11.2018, S. 39.
(2) ABl. L 132 vom 29.5.2010, S. 11.
(3) . Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(4) . Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).