32021D2243

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Απόφαση - 2021/2243 - EN - EUR-Lex

Document 32021D2243

Help

Απόφαση (ΕΕ) 2021/2243 της Επιτροπής της 15ης Δεκεμβρίου 2021 για τη θέσπιση εσωτερικών κανόνων σχετικά με την ενημέρωση των υποκειμένων των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων τους στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της ασφάλειας των συστημάτων πληροφοριών και επικοινωνιών της Επιτροπής

C/2021/9176

ΕΕ L 450 της 16.12.2021, p. 149–155 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2021/2243/oj

HTML

PDF

Official Journal

16.12.2021

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 450/149

ΑΠΟΦΑΣΗ (ΕΕ) 2021/2243 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 15ης Δεκεμβρίου 2021

για τη θέσπιση εσωτερικών κανόνων σχετικά με την ενημέρωση των υποκειμένων των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων τους στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της ασφάλειας των συστημάτων πληροφοριών και επικοινωνιών της Επιτροπής

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 249 παράγραφος 1,

Εκτιμώντας τα ακόλουθα:

(1)

Κατά την άσκηση των καθηκόντων της, η Επιτροπή υποχρεούται να σέβεται τα δικαιώματα των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αναγνωρίζονται με το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Θα πρέπει επίσης να σέβεται τα δικαιώματα που προβλέπονται στον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1). Ταυτόχρονα, η Επιτροπή πρέπει να χειρίζεται συμβάντα ασφάλειας ΤΠ σύμφωνα με τους κανόνες που ορίζονται στο άρθρο 15 της απόφασης (ΕΕ, Ευρατόμ) 2017/46 (2).

(2)

Για την εγγύηση της ασφάλειας ΤΠ, δηλαδή της διαφύλαξης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των συστημάτων επικοινωνίας και πληροφοριών και των συνόλων δεδομένων τα οποία επεξεργάζονται, όσον αφορά πρόσωπα, περιουσιακά στοιχεία και πληροφορίες, η Επιτροπή, ιδίως μέσω της Γενικής Διεύθυνσης Πληροφορικής, έχει λάβει μέτρα όπως προβλέπεται στην απόφαση (ΕΕ, Ευρατόμ) 2017/46 και στην απόφαση C(2017)8841 final (3). Τα εν λόγω μέτρα περιλαμβάνουν την παρακολούθηση των κινδύνων ασφάλειας ΤΠ και των μέτρων ασφάλειας ΤΠ που εφαρμόζονται, την απαίτηση από τους ιδιοκτήτες συστημάτων να λαμβάνουν ειδικά μέτρα ασφάλειας ΤΠ για τον μετριασμό των κινδύνων ασφάλειας ΤΠ στα συστήματα επικοινωνίας και πληροφοριών της Επιτροπής, καθώς και τη διαχείριση συμβάντων ασφάλειας ΤΠ.

(3)

Η Γενική Διεύθυνση Πληροφορικής παρέχει λειτουργίες και υπηρεσίες ασφάλειας ΤΠ στην Επιτροπή και πρέπει να επεξεργάζεται διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα προκειμένου:

—	να γνωστοποιεί καταχωρίσεις και προειδοποιήσεις σχετικά με συμβάντα και περιστατικά που αφορούν την ασφάλεια ΤΠ·

—	να ανταποκρίνεται σε συμβάντα και περιστατικά που αφορούν την ασφάλεια ΤΠ και να τα περιορίζει·

—	να διευκολύνει τη χρήση εργαλείων και τις λειτουργίες μέσω ελέγχων ασφαλείας, αξιολογήσεων ασφάλειας και διαχείρισης τρωτών σημείων·

—	να ευαισθητοποιεί το προσωπικό της Επιτροπής στον τομέα της κυβερνοασφάλειας·

—	να παρακολουθεί, να εντοπίζει και να προλαμβάνει την εμφάνιση συμβάντων και περιστατικών που αφορούν την ασφάλεια ΤΠ·

—	να επανεξετάζει τους λογαριασμούς προνομιούχων χρηστών.

(4)

Συμβάντα ασφάλειας ΤΠ που θα μπορούσαν να υπονομεύσουν την ασφάλεια των συστημάτων πληροφοριών και επικοινωνιών της Επιτροπής μπορούν να προκύψουν σε κάθε πράξη επεξεργασίας που διενεργείται από την Επιτροπή. Μπορούν να αφορούν οποιαδήποτε κατηγορία δεδομένων προσωπικού χαρακτήρα τα οποία επεξεργάζεται η Επιτροπή.

(5)

Σε ορισμένες περιπτώσεις, μπορεί να αποδειχθεί αναγκαίο τα δικαιώματα των υποκειμένων των δεδομένων βάσει του κανονισμού (ΕΕ) 2018/1725 να συνδυάζονται με την ανάγκη της Επιτροπής να ασκεί αποτελεσματικά τα καθήκοντά της για την εγγύηση της ασφαλείας ΤΠ των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή, δυνάμει της απόφασης (ΕΕ, Ευρατόμ) 2017/46, και με πλήρη σεβασμό των θεμελιωδών δικαιωμάτων και των ελευθεριών των άλλων υποκειμένων των δεδομένων. Προς τον σκοπό αυτόν, το άρθρο 25 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 εξουσιοδοτεί την Επιτροπή να περιορίζει την εφαρμογή των άρθρων 14 έως 17, 19, 20 και 35 του εν λόγω κανονισμού, καθώς και την αρχή της διαφάνειας που καθορίζεται στο άρθρο 4 παράγραφος 1 στοιχείο α), εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 17, 19 και 20 του εν λόγω κανονισμού.

(6)

Η παρούσα απόφαση θα πρέπει να εφαρμόζεται σε όλες τις πράξεις επεξεργασίας που εκτελούνται από την Επιτροπή ως υπεύθυνη επεξεργασίας δεδομένων κατά τη άσκηση των καθηκόντων της που αφορούν την εγγύηση της ασφάλειας ΤΠ των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46. Ως εκ τούτου, θα πρέπει να αφορά τα υποκείμενα δεδομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα που καλύπτονται από όλες αυτές τις πράξεις επεξεργασίας, δηλαδή τα άτομα που αλληλεπιδρούν με οποιοδήποτε από τα συστήματα πληροφοριών και επικοινωνιών της Επιτροπής.

(7)

Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε ασφαλές ηλεκτρονικό περιβάλλον για να αποτρέπεται η παράνομη πρόσβαση προσώπων εκτός της Επιτροπής. Ισχύουν διαφορετικές περίοδοι διατήρησης των δεδομένων για διαφορετικές πράξεις επεξεργασίας, ανάλογα με το είδος των δεδομένων προσωπικού χαρακτήρα. Η διατήρηση των φακέλων στην Επιτροπή διέπεται από τον κοινό κατάλογο διατήρησης φακέλων σε επίπεδο Επιτροπής [SEC(2019)900], ένα κανονιστικό έγγραφο σε μορφή χρονοδιαγράμματος διατήρησης που καθορίζει τις περιόδους διατήρησης για τα διάφορα είδη φακέλων της Επιτροπής, με σκοπό τον περιορισμό της διατήρησης δεδομένων στα απολύτως αναγκαία.

(8)

Η Επιτροπή θα πρέπει ενδεχομένως να περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων προκειμένου να διαφυλάσσει την εσωτερική της ασφάλεια σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο δ) του κανονισμού (ΕΕ) 2018/1725 (δηλαδή να διαφυλάσσει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των συστημάτων επικοινωνίας και πληροφοριών και των συνόλων δεδομένων τα οποία επεξεργάζεται, των περιουσιακών στοιχείων και των πληροφοριών της). Ειδικότερα, η Επιτροπή θα μπορούσε να το πράττει όταν:

—	γνωστοποιεί καταχωρίσεις και προειδοποιήσεις σχετικά με συμβάντα και περιστατικά που αφορούν την ασφάλεια ΤΠ·

—	αντιδρά σε συμβάντα και περιστατικά που αφορούν την ασφάλεια ΤΠ και τα περιορίζει· διευκολύνει τη χρήση εργαλείων και τις λειτουργίες μέσω ελέγχων ασφαλείας, αξιολογήσεων ασφάλειας και διαχείρισης τρωτών σημείων·

—	ευαισθητοποιεί το προσωπικό της Επιτροπής στον τομέα της κυβερνοασφάλειας·

—	παρακολουθεί, εντοπίζει και προλαμβάνει την εμφάνιση συμβάντων και περιστατικών που αφορούν την ασφάλεια ΤΠ·

—	επανεξετάζει τους λογαριασμούς προνομιούχων χρηστών.

(9)	Για τον χειρισμό συμβάντων ασφάλειας ΤΠ, όπως αναφέρεται στο άρθρο 15 της απόφασης (ΕΕ, Ευρατόμ) 2017/46, η Γενική Διεύθυνση Πληροφορικής μπορεί να ανταλλάσσει πληροφορίες με την ομάδα απόκρουσης κυβερνοεπιθέσεων, η οποία υπάγεται στη Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας.

(10)

Για τη συμμόρφωση με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή θα πρέπει να ενημερώνει όλα τα φυσικά πρόσωπα για τις δραστηριότητες που περιλαμβάνουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και οι οποίες θίγουν τα δικαιώματά τους. Θα πρέπει να το πράττει με διαφανή και συνεκτικό τρόπο, με τη δημοσίευση ανακοίνωσης για την προστασία των δεδομένων στον ιστότοπο της Επιτροπής. Κατά περίπτωση, θα πρέπει να εφαρμόζει πρόσθετες εγγυήσεις ώστε να ενημερώνει τα υποκείμενα των δεδομένων ατομικά, σε κατάλληλη μορφή.

(11)

Η συμμόρφωση με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725 θα μπορούσε να αποκαλύψει την ύπαρξη μέτρων ασφάλειας ΤΠ, τρωτών σημείων ή συμβάντων που λαμβάνονται δυνάμει του άρθρου 15 της απόφασης (ΕΕ, Ευρατόμ) 2017/46. Η αποκάλυψη των εν λόγω μέτρων ασφάλειας ΤΠ, τρωτών σημείων και συμβάντων αυξάνει τον κίνδυνο να καταστρατηγηθεί το εκτιθέμενο μέτρο ασφάλειας ΤΠ, στη συνέχεια να γίνει κατάχρηση του εκτεθειμένου τρωτού σημείου και να υπονομευθεί η υπό εξέλιξη ανάλυση συμβάντων ασφάλειας ΤΠ, επειδή τα σφάλματα ενδέχεται να αξιοποιηθούν τυχαία ή εσκεμμένα από χρήστη ή κακόβουλο παράγοντα. Αυτό θα μπορούσε να διακυβεύσει σοβαρά την ικανότητα της Επιτροπής να εγγυάται την ασφάλεια ΤΠ και ιδίως να χειρίζεται αποτελεσματικά τα συμβάντα που αφορούν την ασφάλεια ΤΠ στο μέλλον.

(12)

Σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή εξουσιοδοτείται επίσης να περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων, για να προστατεύει τα δικαιώματα και τις ελευθερίες άλλων φυσικών προσώπων που σχετίζονται με συμβάντα που θέτουν σε κίνδυνο την ασφάλεια ΤΠ και τα οποία θα μπορούσαν να υπονομεύσουν τις λειτουργίες ασφάλειας ΤΠ.

(13)

Η Επιτροπή ενδέχεται επίσης να πρέπει να περιορίζει την ενημέρωση των υποκειμένων των δεδομένων και την εφαρμογή άλλων δικαιωμάτων των υποκειμένων των δεδομένων όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που λαμβάνονται από τρίτες χώρες ή διεθνείς οργανισμούς, με στόχο την εκπλήρωση του καθήκοντος συνεργασίας της με τις εν λόγω χώρες ή οργανισμούς. Η υποχρέωση αυτή αποτελεί μέρος του καθήκοντος της Επιτροπής να διασφαλίζει έναν σημαντικό στόχο γενικού δημόσιου συμφέροντος της ΕΕ, όπως αναφέρεται στο άρθρο 25 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2018/1725. Ωστόσο, σε ορισμένες περιπτώσεις, το συμφέρον ή τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων ενδέχεται να υπερισχύουν του συμφέροντος διεθνούς συνεργασίας.

(14)

Ως εκ τούτου, η Επιτροπή έχει καθορίσει τους λόγους που παρατίθενται στο άρθρο 25 παράγραφος 1 στοιχεία γ), δ) και η) του κανονισμού (ΕΕ) 2018/1725 ως λόγους περιορισμών, οι οποίοι ενδέχεται να είναι απαραίτητο να εφαρμόζονται σε πράξεις επεξεργασίας δεδομένων που διενεργούνται από τη Γενική Διεύθυνση Πληροφορικής και αφορούν την παροχή λειτουργιών και υπηρεσιών ασφάλειας ΤΠ προς την Επιτροπή.

(15)	Κάθε περιορισμός που εφαρμόζεται βάσει της παρούσας απόφασης θα πρέπει να είναι αναγκαίος και αναλογικός, λαμβανομένων υπόψη των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

(16)	Η Επιτροπή θα πρέπει να χειρίζεται όλους τους περιορισμούς με διαφάνεια και να καταχωρίζει κάθε εφαρμογή περιορισμών στο αντίστοιχο σύστημα αρχειοθέτησης.

(17)

Σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725, οι υπεύθυνοι επεξεργασίας μπορεί να αναβάλλουν, να παραλείπουν ή να απορρίπτουν την παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με τους λόγους που αιτιολογούν την επιβολή περιορισμού, εφόσον η παροχή τέτοιων πληροφοριών θα υπονόμευε με οποιονδήποτε τρόπο το αποτέλεσμα του περιορισμού. Αυτό ισχύει, ιδίως, στην περίπτωση των περιορισμών των υποχρεώσεων που προβλέπονται στα άρθρα 16 και 35 του κανονισμού (ΕΕ) 2018/1725. Η Επιτροπή θα πρέπει να επανεξετάζει σε τακτική βάση τους περιορισμούς που επιβάλλονται προκειμένου να διασφαλίζει ότι τα δικαιώματα των υποκειμένων των δεδομένων να ενημερώνονται σύμφωνα με τα άρθρα 16 και 35 του κανονισμού (ΕΕ) 2018/1725 περιορίζονται μόνον για το χρονικό διάστημα κατά το οποίο οι εν λόγω περιορισμοί είναι αναγκαίοι για να μπορεί η Επιτροπή να εγγυάται την ασφάλεια ΤΠ και, ειδικότερα, να χειρίζεται συμβάντα ασφάλειας ΤΠ.

(18)	Όταν η Επιτροπή περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων, πέραν όσων αναφέρονται στα άρθρα 16 και 35 του κανονισμού (ΕΕ) 2018/1725, ο υπεύθυνος επεξεργασίας δεδομένων θα πρέπει να αξιολογεί κατά περίπτωση αν η γνωστοποίηση του περιορισμού θα υπονομεύσει τον σκοπό του.

(19)	Ο υπεύθυνος προστασίας δεδομένων της Επιτροπής θα πρέπει να διενεργεί ανεξάρτητο έλεγχο της εφαρμογής περιορισμών προκειμένου να διασφαλίζεται η συμμόρφωση με την παρούσα απόφαση.

(20)	Για να δοθεί η δυνατότητα στην Επιτροπή να περιορίσει την εφαρμογή ορισμένων δικαιωμάτων και υποχρεώσεων σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725, η παρούσα απόφαση θα πρέπει να αρχίσει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

(21)	Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέδωσε γνώμη στις 16 Σεπτεμβρίου 2021,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Αντικείμενο και πεδίο εφαρμογής

1. Η παρούσα απόφαση ορίζει τους κανόνες που θα πρέπει να ακολουθεί η Επιτροπή για να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των δεδομένων τους σύμφωνα με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725 κατά την εκτέλεση των καθηκόντων που υπέχει δυνάμει της απόφασης (ΕΕ, Ευρατόμ) 2017/46.

Επιπλέον, καθορίζει τις προϋποθέσεις υπό τις οποίες η Επιτροπή μπορεί να περιορίζει την εφαρμογή των άρθρων 4, 14 έως 17, 19, 20 και 35 του κανονισμού (ΕΕ) 2018/1725, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ) και η) του εν λόγω κανονισμού, κατά την εκτέλεση των καθηκόντων που υπέχει δυνάμει της απόφασης (ΕΕ, Ευρατόμ) 2017/46.

2. Η παρούσα απόφαση εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα είτε από την Επιτροπή είτε για λογαριασμό της, για τον σκοπό ή σε σχέση με δραστηριότητες που διενεργούνται για να διασφαλίζεται η ασφάλεια ΤΠ των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46.

Άρθρο 2

Εφαρμοστέες εξαιρέσεις και περιορισμοί

1. Όταν η Επιτροπή ασκεί τα καθήκοντά της όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725, εξετάζει κατά πόσον εφαρμόζεται οποιαδήποτε από τις εξαιρέσεις που προβλέπονται στον εν λόγω κανονισμό.

2. Με την επιφύλαξη των άρθρων 3 έως 7 της παρούσας απόφασης, όταν η άσκηση των δικαιωμάτων και υποχρεώσεων που προβλέπονται στα άρθρα 14 έως 17, 19, 20 και 35 του κανονισμού (ΕΕ) 2018/1725 σε σχέση με δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται η Επιτροπή θα υπονόμευε τον σκοπό της παροχής λειτουργιών και υπηρεσιών ασφάλειας ΤΠ, μεταξύ άλλων λόγω της αποκάλυψης των ερευνητικών εργαλείων, των τρωτών σημείων και των μεθόδων της Επιτροπής, ή θα έθιγε τα δικαιώματα και τις ελευθερίες και την ασφάλεια άλλων υποκειμένων των δεδομένων, ιδίως για την επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό:

—	τη γνωστοποίηση καταχωρίσεων και προειδοποιήσεων σχετικά με συμβάντα και περιστατικά που αφορούν την ασφάλεια ΤΠ·

—	την ανταπόκριση σε συμβάντα και περιστατικά που αφορούν την ασφάλεια ΤΠ και τον περιορισμό τους·

—	τη διευκόλυνση της χρήσης εργαλείων και λειτουργιών μέσω ελέγχων ασφαλείας, αξιολογήσεων ασφάλειας και διαχείρισης τρωτών σημείων·

—	την ευαισθητοποίηση του προσωπικού της Επιτροπής στον τομέα της κυβερνοασφάλειας·

—	την παρακολούθηση, τον εντοπισμό και την πρόληψη της εκδήλωσης συμβάντων και περιστατικών που αφορούν την ασφάλεια ΤΠ·

—	την επανεξέταση λογαριασμών προνομιούχων χρηστών,

η Επιτροπή μπορεί να περιορίσει την εφαρμογή:

α)	των άρθρων 14 έως 17, 19, 20 και 35 του κανονισμού (ΕΕ) 2018/1725·

β)	της αρχής της διαφάνειας που προβλέπεται στο άρθρο 4 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2018/1725, στον βαθμό που οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 17, 19 και 20 του κανονισμού (EE) 2018/1725.

Η Επιτροπή μπορεί να το πράξει σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ) και η) του κανονισμού (ΕΕ) 2018/1725.

3. Με την επιφύλαξη των διατάξεων των άρθρων 3 έως 7, η Επιτροπή μπορεί να περιορίζει τα δικαιώματα και τις υποχρεώσεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου:

α)

όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που λαμβάνονται από άλλα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ θα μπορούσε να περιοριστεί από τα εν λόγω άλλα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ δυνάμει των νομικών πράξεων που προβλέπονται στο άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 ή σύμφωνα με το κεφάλαιο IX του εν λόγω κανονισμού ή σύμφωνα με τον κανονισμό (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) ή σύμφωνα με τον κανονισμό (ΕΕ) 2017/1939 του Συμβουλίου (5)·

β)

όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που λαμβάνονται από αρμόδια αρχή κράτους μέλους θα μπορούσε να περιοριστεί από αρμόδιες αρχές του εν λόγω κράτους μέλους βάσει των νομοθετικών μέτρων που αναφέρονται στο άρθρο 23 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6), ή βάσει εθνικών μέτρων για τη μεταφορά του άρθρου 13 παράγραφος 3, του άρθρου 15 παράγραφος 3 ή του άρθρου 16 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου στο εθνικό δίκαιο (7)·

γ)	όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα υπονόμευε τη συνεργασία της Επιτροπής με χώρες εκτός ΕΕ ή διεθνείς οργανισμούς όσον αφορά κοινές απειλές για την κυβερνοασφάλεια.

Πριν από την εφαρμογή περιορισμών στις περιπτώσεις που αναφέρονται στο πρώτο εδάφιο στοιχεία α) και β), η Επιτροπή διαβουλεύεται με τα σχετικά θεσμικά και λοιπά όργανα, οργανισμούς, υπηρεσίες της ΕΕ ή αρχές των κρατών μελών σχετικά με τους πιθανούς λόγους επιβολής περιορισμών και με την αναγκαιότητα και αναλογικότητα των σχετικών περιορισμών, εκτός εάν αυτό θα υπονόμευε τις δραστηριότητες της Επιτροπής και εκτός εάν είναι σαφές στην Επιτροπή ότι η εφαρμογή περιορισμού προβλέπεται από μία από τις πράξεις που αναφέρονται στα εν λόγω σημεία ή η διαβούλευση θα υπονόμευε τον σκοπό των δραστηριοτήτων της βάσει της απόφασης (ΕΕ, Ευρατόμ) 2017/46.

Το πρώτο εδάφιο στοιχείο γ) δεν εφαρμόζεται όταν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων υπερισχύουν του συμφέροντος της Επιτροπής να συνεργαστεί με χώρες εκτός ΕΕ ή διεθνείς οργανισμούς.

4. Οι παράγραφοι 1, 2 και 3 δεν θίγουν την εφαρμογή άλλων αποφάσεων της Επιτροπής για τη θέσπιση εσωτερικών κανόνων που διέπουν την παροχή πληροφοριών στα υποκείμενα των δεδομένων και τον περιορισμό της εφαρμογής ορισμένων δικαιωμάτων δυνάμει του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725.

5. Κάθε περιορισμός των δικαιωμάτων και των υποχρεώσεων που αναφέρονται στην παράγραφο 2 είναι αναγκαίος και αναλογικός προς τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

6. Πριν από την εφαρμογή των περιορισμών διενεργείται έλεγχος αναγκαιότητας και αναλογικότητας κατά περίπτωση και οι περιορισμοί περιορίζονται στα απολύτως αναγκαία για την επίτευξη του επιδιωκόμενου σκοπού.

Άρθρο 3

Παροχή πληροφοριών στα υποκείμενα των δεδομένων

1. Η Επιτροπή δημοσιεύει στον ιστότοπό της ανακοίνωση για την προστασία των δεδομένων με την οποία ενημερώνει όλα τα υποκείμενα των δεδομένων για τις δραστηριότητές της που περιλαμβάνουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν για τον σκοπό της εκπλήρωσης των καθηκόντων της σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46, συμπεριλαμβανομένης περιγραφής των σχετικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η Επιτροπή διασφαλίζει ότι τα υποκείμενα των δεδομένων ενημερώνονται ατομικά, στην κατάλληλη μορφή, όταν αυτό είναι εφικτό χωρίς να υπονομεύεται η ασφάλεια ΤΠ.

2. Όταν η Επιτροπή περιορίζει, εν όλω ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων, των οποίων τα δεδομένα προσωπικού χαρακτήρα επεξεργάζεται με σκοπό την εκπλήρωση των καθηκόντων της σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46, καταγράφει και καταχωρίζει τους λόγους επιβολής του περιορισμού σύμφωνα με το άρθρο 6 της εν λόγω απόφασης.

Άρθρο 4

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, δικαίωμα διαγραφής και δικαίωμα περιορισμού της επεξεργασίας

1. Όταν η Επιτροπή περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων σε δεδομένα προσωπικού χαρακτήρα που τα αφορούν, το δικαίωμα διαγραφής ή το δικαίωμα περιορισμού της επεξεργασίας όπως προβλέπονται στα άρθρα 17, 19 και 20 του κανονισμού (ΕΕ) 2018/1725, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων, στην απάντησή της στο αίτημα για πρόσβαση, διαγραφή ή περιορισμό της επεξεργασίας των δεδομένων:

α)	σχετικά με τον επιβαλλόμενο περιορισμό και τους ουσιώδεις λόγους αυτής της ενέργειας·

β)	σχετικά με τον τρόπο υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή τον τρόπο άσκησης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

2. Η Επιτροπή μπορεί να αναβάλλει, να παραλείπει ή να απορρίπτει την παροχή πληροφοριών σχετικά με τους λόγους που αιτιολογούν την επιβολή περιορισμού που αναφέρεται στην παράγραφο 1, για το χρονικό διάστημα κατά το οποίο κάτι τέτοιο θα υπονόμευε τον σκοπό του περιορισμού.

3. Η Επιτροπή καταγράφει και καταχωρίζει τους λόγους επιβολής του περιορισμού σύμφωνα με το άρθρο 6.

4. Όταν το δικαίωμα πρόσβασης περιορίζεται εν όλω ή εν μέρει, τα υποκείμενα των δεδομένων δύνανται να ασκήσουν το δικαίωμά τους για πρόσβαση στα δεδομένα επικοινωνώντας με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, σύμφωνα με το άρθρο 25 παράγραφοι 6, 7 και 8 του κανονισμού (ΕΕ) 2018/1725.

Άρθρο 5

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων

Όταν η Επιτροπή περιορίζει την ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όπως προβλέπεται στο άρθρο 35 του κανονισμού (ΕΕ) 2018/1725, καταγράφει και καταχωρίζει τους λόγους επιβολής του περιορισμού σύμφωνα με το άρθρο 6 της παρούσας απόφασης. Η Επιτροπή κοινοποιεί το αρχείο καταγραφής στον ΕΕΠΔ κατά τη στιγμή της γνωστοποίησης της παραβίασης των δεδομένων προσωπικού χαρακτήρα.

Άρθρο 6

Καταγραφή και καταχώριση περιορισμών

1. Η Επιτροπή καταγράφει τους λόγους οποιουδήποτε περιορισμού που επιβάλλεται σύμφωνα με την παρούσα απόφαση, συμπεριλαμβανομένης αναφοράς της νομικής βάσης που στηρίζει τον περιορισμό και εκτίμησης της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβανομένων υπόψη των σχετικών στοιχείων που προβλέπονται στο άρθρο 25 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.

2. Στο αρχείο καταγραφής αναφέρεται ο τρόπος με τον οποίο η άσκηση δικαιώματος από το υποκείμενο των δεδομένων θα υπονόμευε τον σκοπό της παροχής λειτουργιών και υπηρεσιών ασφάλειας ΤΠ στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46, ή των περιορισμών που εφαρμόζονται σύμφωνα με το άρθρο 2 παράγραφος 2 ή με το άρθρο 3 της παρούσας απόφασης, ή θα επηρέαζε δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων.

3. Η Επιτροπή καταχωρίζει τα εν λόγω αρχεία και κάθε έγγραφο που περιέχει βασικά πραγματικά και νομικά στοιχεία. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

Άρθρο 7

Διάρκεια των περιορισμών

1. Οι περιορισμοί που αναφέρονται στα άρθρα 3, 4 και 5 εξακολουθούν να επιβάλλονται για όσο χρονικό διάστημα εξακολουθούν να συντρέχουν οι λόγοι που τους αιτιολογούν.

2. Όταν οι λόγοι περιορισμού που αναφέρονται στα άρθρα 3, 4 και 5 δεν συντρέχουν πλέον, η Επιτροπή:

α)	αίρει τον περιορισμό·

β)	ενημερώνει το υποκείμενο των δεδομένων για τους κύριους λόγους επιβολής του περιορισμού·

γ)	ενημερώνει το υποκείμενο των δεδομένων σχετικά με τον τρόπο υποβολής καταγγελίας ανά πάσα στιγμή στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή άσκησης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

Άρθρο 8

Διασφαλίσεις και περίοδοι αποθήκευσης

1. Η Επιτροπή επανεξετάζει την επιβολή των περιορισμών που προβλέπονται στα άρθρα 3, 4 και 5 έξι μήνες μετά την έγκρισή τους και κατά το πέρας της επιμέρους πράξης ασφάλειας ΤΠ. Στη συνέχεια, η Επιτροπή επανεξετάζει και ελέγχει σε ετήσια βάση κατά πόσο είναι αναγκαίο να διατηρηθεί οποιοσδήποτε περιορισμός.

Η επανεξέταση περιλαμβάνει εκτίμηση της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβανομένων υπόψη των σχετικών στοιχείων που προβλέπονται στο άρθρο 25 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.

2. Η Επιτροπή έχει θεσπίσει τεχνικά και οργανωτικά μέτρα για την αποφυγή τυχαίας ή παράνομης καταστροφής, απώλειας, αλλοίωσης, άνευ αδείας κοινολόγησης ή προσπέλασης δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, όπως διαχείριση δικαιωμάτων πρόσβασης, πολιτική αντιγράφων ασφαλείας και κάθε άλλο μέτρο σύμφωνα με την απόφαση (ΕΕ/Ευρατόμ) 2017/46.

3. Η Επιτροπή καταγράφει τις εφαρμοστέες περιόδους διατήρησης σύμφωνα με τον κοινό κατάλογο διατήρησης δεδομένων σε επίπεδο Επιτροπής και θέτει στη διάθεση των υποκειμένων των δεδομένων τις σχετικές περιόδους διατήρησης για τις εν λόγω δραστηριότητες επεξεργασίας στην ανακοίνωσή της για την προστασία των δεδομένων.

Άρθρο 9

Επανεξέταση από τον υπεύθυνο προστασίας δεδομένων της Επιτροπής

1. Ο υπεύθυνος προστασίας δεδομένων της Επιτροπής ενημερώνεται αμελλητί κάθε φορά που περιορίζονται τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με την παρούσα απόφαση. Κατόπιν αιτήματος, παρέχεται στον υπεύθυνο προστασίας δεδομένων πρόσβαση στο αρχείο καταγραφής και σε οποιαδήποτε έγγραφα που περιλαμβάνουν τα βασικά πραγματικά και νομικά στοιχεία.

2. Ο υπεύθυνος προστασίας δεδομένων δύναται να ζητήσει την επανεξέταση των περιορισμών και ενημερώνεται σχετικά με το αποτέλεσμα της επανεξέτασης που έχει ζητήσει.

3. Η Επιτροπή τεκμηριώνει τη συμμετοχή του υπεύθυνου προστασίας δεδομένων κάθε φορά που περιορίζονται τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με την παρούσα απόφαση.

Άρθρο 10

Έναρξη ισχύος

Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Βρυξέλλες, 15ης Δεκεμβρίου 2021

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN

(1) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).

(2) Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Ευρωπαϊκή Επιτροπή (ΕΕ L 6 της 11.1.2017, σ. 40).

(3) Απόφαση C(2017) 8841 της Επιτροπής, της 13ης Δεκεμβρίου 2017, για τη θέσπιση κανόνων εφαρμογής των άρθρων 3, 5, 7, 8, 9, 10, 11, 12, 14, 15 της απόφασης 2017/46 της Επιτροπής σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Επιτροπή.

(4) Κανονισμός (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και την αντικατάσταση και κατάργηση των αποφάσεων του Συμβουλίου 2009/371/ΔΕΥ, 2009/934/ΔΕΥ, 2009/935/ΔΕΥ, 2009/936/ΔΕΥ και 2009/968/ΔΕΥ (ΕΕ L 135 της 24.5.2016, σ. 53).

(5) Κανονισμός (ΕΕ) 2017/1939 του Συμβουλίου, της 12ης Οκτωβρίου 2017, σχετικά με την εφαρμογή ενισχυμένης συνεργασίας για τη σύσταση της Ευρωπαϊκής Εισαγγελίας (ΕΕ L 283 της 31.10.2017, σ. 1).

(6) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).

(7) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).

Top