EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32019D0236
Commission Decision (EU) 2019/236 of 7 February 2019 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of the processing of personal data by the European Commission for the purposes of internal security of the Union institutions
Απόφαση (ΕΕ) 2019/236 της Επιτροπής, της 7ης Φεβρουαρίου 2019, για τη θέσπιση εσωτερικών κανόνων σχετικά με την ενημέρωση των υποκειμένων των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων τους στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς του εσωτερικής ασφαλείας των θεσμικών οργάνων της Ένωσης
Απόφαση (ΕΕ) 2019/236 της Επιτροπής, της 7ης Φεβρουαρίου 2019, για τη θέσπιση εσωτερικών κανόνων σχετικά με την ενημέρωση των υποκειμένων των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων τους στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς του εσωτερικής ασφαλείας των θεσμικών οργάνων της Ένωσης
C/2019/761
OJ L 37, 8.2.2019, p. 144–149
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
8.2.2019 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 37/144 |
ΑΠΟΦΑΣΗ (ΕΕ) 2019/236 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 7ης Φεβρουαρίου 2019
για τη θέσπιση εσωτερικών κανόνων σχετικά με την ενημέρωση των υποκειμένων των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων τους στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τους σκοπούς του εσωτερικής ασφαλείας των θεσμικών οργάνων της Ένωσης
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 249 παράγραφος 1,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Η Επιτροπή πρέπει να δραστηριοποιείται σε ένα ασφαλές και προστατευμένο περιβάλλον. Για να το επιτύχει, χρειάζεται μια συνεκτική και ολοκληρωμένη προσέγγιση όσον αφορά την ασφάλεια, η οποία παρέχει κατάλληλα επίπεδα προστασίας των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών, ανάλογα προς τους εντοπιζόμενους κινδύνους, και διασφαλίζει την αποτελεσματική και έγκαιρη παροχή ασφαλείας. Η Επιτροπή αντιμετωπίζει σοβαρές απειλές και προκλήσεις στον τομέα της ασφαλείας, ιδίως όσον αφορά την τρομοκρατία, τις επιθέσεις στον κυβερνοχώρο και την πολιτική και εμπορική κατασκοπεία. |
|
(2) |
Για να διαφυλάσσει την ασφάλεια των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών, η Επιτροπή, κυρίως μέσω της Διεύθυνσης ασφαλείας της Γενικής Διεύθυνσης Ανθρώπινων Πόρων και ασφαλείας, λαμβάνει μέτρα σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/443 (1), τα οποία περιλαμβάνουν την επεξεργασία διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα. Τα μέτρα αυτά περιλαμβάνουν τη διενέργεια ελέγχων ιστορικού για λόγους ασφαλείας σύμφωνα με το άρθρο 7 παράγραφος 5, αξιολογήσεων των απειλών σύμφωνα με το άρθρο 12 και ερευνών ασφαλείας σύμφωνα με το άρθρο 13 της απόφασης (ΕΕ, Ευρατόμ) 2015/443. Στο πλαίσιο των ερευνητικών της καθηκόντων, η Επιτροπή συγκεντρώνει πληροφορίες ερευνητικού ενδιαφέροντος, περιλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, από ποικίλες πηγές —δημόσιες αρχές και φυσικά πρόσωπα— τις οποίες ανταλλάσσει με θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, με αρμόδιες αρχές των κρατών μελών και τρίτων χωρών και με διεθνείς οργανισμούς πριν και μετά από δραστηριότητες έρευνας και συντονισμού αλλά και κατά τη διάρκεια αυτών. |
|
(3) |
Οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από την Επιτροπή είναι, για παράδειγμα, στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά δεδομένα και δεδομένα που αφορούν ή παρέχονται σε σχέση με το αντικείμενο του ελέγχου ιστορικού για λόγους ασφαλείας, της αξιολόγησης απειλών ή της έρευνας ασφαλείας. Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε ασφαλές ηλεκτρονικό περιβάλλον για την πρόληψη της παράνομης πρόσβασης ή διαβίβασης των δεδομένων σε πρόσωπα εκτός της Επιτροπής. Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται στις υπηρεσίες της Επιτροπής, που είναι αρμόδιες για την έρευνα, έως το τέλος της έρευνας. Ισχύουν διαφορετικές περίοδοι διατήρησης των δεδομένων για διαφορετικές δραστηριότητες επεξεργασίας, ανάλογα με την κατηγορία της έρευνας, συγκεκριμένα κατά πόσον αφορούν υπόνοιες για ποινικά αδικήματα, τον τομέα της αντικατασκοπίας ή της καταπολέμηση της τρομοκρατίας Στο τέλος της περιόδου διατήρησης, οι πληροφορίες που αφορούν την υπόθεση, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, καταστρέφονται (2). |
|
(4) |
Κατά την άσκηση των καθηκόντων της, η Επιτροπή, ως υπεύθυνος επεξεργασίας, υποχρεούται να σέβεται τα δικαιώματα των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αναγνωρίζονται με το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, καθώς και τα δικαιώματα που προβλέπονται από τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3). Ταυτόχρονα, η Επιτροπή υποχρεούται να συμμορφώνεται με τους αυστηρούς κανόνες περί εμπιστευτικότητας που καθορίζονται στο άρθρο 9 του κανονισμού (ΕΕ, Ευρατόμ) 2015/443. |
|
(5) |
Σε ορισμένες περιπτώσεις, είναι αναγκαίο τα δικαιώματα των υποκειμένων των δεδομένων βάσει του κανονισμού (ΕΕ) 2018/1725 να συνδυάζονται με την ανάγκη της Επιτροπής να ασκεί αποτελεσματικά τα καθήκοντά της για την εγγύηση της ασφαλείας των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/443, ιδίως τη διενέργεια ερευνών ασφαλείας, καθώς και με τον πλήρη σεβασμό των θεμελιωδών δικαιωμάτων και των ελευθεριών των άλλων υποκειμένων των δεδομένων. Προς τον σκοπό αυτόν, το άρθρο 25 παράγραφος 1 στοιχεία γ), δ) και η) του κανονισμού (ΕΕ) 2018/1725 παρέχει στην Επιτροπή τη δυνατότητα να περιορίζει την εφαρμογή των άρθρων 14 έως 17, 19, 20 και 35, καθώς και την αρχή της διαφάνειας που καθορίζεται στο άρθρο 4 παράγραφος 1 στοιχείο α), εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 17, 19 και 20 του εν λόγω κανονισμού. |
|
(6) |
Για να διασφαλίζεται ότι η Επιτροπή ασκεί αποτελεσματικά τα καθήκοντά της για την εγγύηση της ασφαλείας των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/443, ιδίως τη διενέργεια ερευνών ασφαλείας, τηρώντας παράλληλα τα πρότυπα προστασίας των δεδομένων προσωπικού χαρακτήρα που προβλέπει ο κανονισμός (ΕΕ) 2018/1725, είναι αναγκαίο να θεσπίσει εσωτερικούς κανόνες βάσει των οποίων η Επιτροπή δύναται να περιορίζει τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ) και η) του κανονισμού (ΕΕ) 2018/1725. |
|
(7) |
Οι εν λόγω εσωτερικοί κανόνες θα πρέπει να καλύπτουν όλες τις πράξεις επεξεργασίας που διενεργούνται από την Επιτροπή κατά την εκτέλεση των καθηκόντων της για την εγγύηση της ασφαλείας των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/443, ιδίως τα καθήκοντα έρευνας στον τομέα της ασφαλείας. Θα πρέπει να εφαρμόζονται σε πράξεις επεξεργασίας που διενεργούνται πριν από την έναρξη έρευνας, κατά τη διάρκεια των ερευνών και κατά την παρακολούθηση της συνέχειας που δίδεται στο αποτέλεσμα των ερευνών. |
|
(8) |
Προκειμένου να συμμορφωθεί με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή θα πρέπει να ενημερώνει όλα τα πρόσωπα σχετικά με τις δραστηριότητές της που περιλαμβάνουν επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και σχετικά με τα δικαιώματά τους, με διαφανή και συνεκτικό τρόπο υπό τη μορφή δήλωσης περί προστασίας των δεδομένων που δημοσιεύεται στον ιστότοπο της Επιτροπής. |
|
(9) |
Επιπλέον, η Επιτροπή θα πρέπει να ενημερώνει ατομικά, με το κατάλληλο μέσο, τα υποκείμενα των δεδομένων που εμπλέκονται σε έρευνα ασφαλείας, δηλαδή τα πρόσωπα που αφορά η έρευνα και τους μάρτυρες. Η Επιτροπή θα πρέπει επίσης να ενημερώνει ατομικά τα πρόσωπα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία στο πλαίσιο μέτρων ασφαλείας που λαμβάνονται βάσει του άρθρου 7 παράγραφος 5 και του άρθρου 12 παράγραφος 1 στοιχεία δ) και ε) της απόφασης (ΕΕ, Ευρατόμ) 2015/443, συγκεκριμένα σε έρευνες στις εγκαταστάσεις καθώς και στα συστήματα επικοινωνιών και πληροφοριών και τον εξοπλισμό της Επιτροπής. |
|
(10) |
Βάσει του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725, ενδέχεται να χρειαστεί η Επιτροπή να περιορίσει την παροχή πληροφοριών στα υποκείμενα των δεδομένων και την άσκηση άλλων δικαιωμάτων των υποκειμένων των δεδομένων με σκοπό την προστασία των ερευνών της, των εργαλείων και των μεθόδων διερεύνησης, των ερευνών ασφαλείας και των διαδικασιών άλλων δημόσιων αρχών, καθώς και την άσκηση των δικαιωμάτων άλλων προσώπων που συνδέονται με την εν λόγω έρευνα ασφαλείας, τις διερευνήσεις και/ή διαδικασίες. |
|
(11) |
Σε ορισμένες περιπτώσεις, η παροχή συγκεκριμένων πληροφοριών στα υποκείμενα των δεδομένων ή η αποκάλυψη της διενέργειας ερευνών ή της ύπαρξης μέτρων ασφαλείας που λαμβάνονται βάσει του άρθρου 12 παράγραφος 1 στοιχεία δ) και ε) της απόφασης (ΕΕ, Ευρατόμ) 2015/443 της Επιτροπής, συγκεκριμένα ερευνών στις εγκαταστάσεις, τα συστήματα επικοινωνιών και πληροφοριών και τον εξοπλισμό της Επιτροπής, θα μπορούσαν να καταστήσουν αδύνατη την επίτευξη του σκοπού της έρευνας ή να τον διακυβεύσουν σοβαρά καθώς επίσης και την ικανότητα της Επιτροπής να εγγυάται την ασφάλεια και, ειδικότερα, να διενεργεί αποτελεσματικά έρευνες ασφαλείας στο μέλλον. |
|
(12) |
Επιπλέον, προκειμένου να διατηρηθεί η αποτελεσματικότητα της συνεργασίας, όπως αναφέρεται στο άρθρο 17 παράγραφοι 2 και 3 της απόφασης 2015/443 (ΕΕ, Ευρατόμ), ενδέχεται να χρειαστεί να περιορίσει η Επιτροπή την παροχή πληροφοριών στα υποκείμενα των δεδομένων για τη προστασία πράξεων επεξεργασίας που διενεργούνται από άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης ή από τις αρμόδιες αρχές των κρατών μελών. Για τον σκοπό αυτό, η Επιτροπή θα πρέπει να ζητεί τη γνώμη των εν λόγω θεσμικών και λοιπών οργάνων και οργανισμών, καθώς και των εν λόγω αρχών, σχετικά με τους λόγους για την επιβολή περιορισμών καθώς και σχετικά με την αναγκαιότητα και την αναλογικότητα των περιορισμών. |
|
(13) |
Ενδέχεται επίσης να χρειαστεί να περιορίσει η Επιτροπή την παροχή πληροφοριών στα υποκείμενα των δεδομένων καθώς και την άσκηση άλλων δικαιωμάτων τους όσον αφορά τα δεδομένα προσωπικού χαρακτήρα τα οποία λαμβάνονται από τρίτες χώρες ή διεθνείς οργανισμούς, προκειμένου να εκπληρώσει το καθήκον της για συνεργασία με τις εν λόγω χώρες ή οργανισμούς και, ως εκ τούτου, να προασπίσει σημαντικούς στόχους του γενικού δημόσιου συμφέροντος της Ένωσης. Ωστόσο, είναι δυνατόν, σε ορισμένες περιστάσεις, το συμφέρον ή τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων να υπερισχύει του συμφέροντος διεθνούς συνεργασίας. |
|
(14) |
Η Επιτροπή θα πρέπει να χειρίζεται όλους τους περιορισμούς με διαφάνεια και να καταχωρίζει κάθε εφαρμογή περιορισμών στο αντίστοιχο σύστημα αρχειοθέτησης. |
|
(15) |
Σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725, ο υπεύθυνος επεξεργασίας μπορεί να αναβάλλει, να παραλείπει ή να απορρίπτει την παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με τους λόγους που αιτιολογούν την επιβολή περιορισμού εφόσον η παροχή τέτοιων πληροφοριών θα υπονόμευε με οποιοδήποτε τρόπο τον σκοπό του περιορισμού, όπως συμβαίνει, συγκεκριμένα, στην περίπτωση περιορισμών των δικαιωμάτων που προβλέπονται στα άρθρα 16 και 35 του κανονισμού (ΕΕ) 2018/1725. |
|
(16) |
Η Επιτροπή θα πρέπει να επανεξετάζει σε τακτική βάση τους περιορισμούς που επιβάλλονται προκειμένου να διασφαλίζει ότι τα δικαιώματα των υποκειμένων των δεδομένων να ενημερώνονται σύμφωνα με τα άρθρα 16 και 35 του κανονισμού (ΕΕ) 2018/1725 περιορίζονται μόνον εφόσον οι εν λόγω περιορισμοί είναι αναγκαίοι για να μπορεί η Επιτροπή να εγγυάται την ασφάλειά της και, ειδικότερα, να διενεργεί τις έρευνες ασφαλείας στις οποίες προβαίνει. |
|
(17) |
Στην περίπτωση που περιορίζονται άλλα δικαιώματα των υποκειμένων των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να αξιολογεί κατά περίπτωση κατά πόσον η κοινοποίηση του περιορισμού θα μπορούσε να υπονομεύσει τον σκοπό του. |
|
(18) |
Ο υπεύθυνος προστασίας δεδομένων της Επιτροπής θα πρέπει να διενεργεί ανεξάρτητο έλεγχο της εφαρμογής περιορισμών προκειμένου να διασφαλίζεται η συμμόρφωση με την παρούσα απόφαση. |
|
(19) |
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων διατύπωσε γνώμη στις 10 Δεκεμβρίου 2018, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Η παρούσα απόφαση ορίζει τους κανόνες που θα πρέπει να ακολουθεί η Επιτροπή για να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των δεδομένων τους σύμφωνα με τα άρθρα 14, 15 και 16 του κανονισμού (ΕΕ) 2018/1725 κατά την εκτέλεση όλων των καθηκόντων που υπέχει βάσει της απόφασης (ΕΕ, Ευρατόμ) 2015/443.
Ορίζει επίσης τις προϋποθέσεις υπό τις οποίες η Επιτροπή μπορεί να περιορίζει την εφαρμογή των άρθρων 4, 14 έως 17, 19, 20 και 35 του κανονισμού (ΕΕ) 2018/1725, σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ, δ) και η) του εν λόγω κανονισμού.
2. Η παρούσα απόφαση εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Επιτροπή για τον σκοπό ή σε σχέση με δραστηριότητες που διενεργούνται για να διασφαλίζεται η ασφάλεια των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/443.
Άρθρο 2
Εφαρμοστέες εξαιρέσεις και περιορισμοί
1. Η Επιτροπή, κατά την άσκηση των καθηκόντων της όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων βάσει τους κανονισμού (ΕΕ) 2018/1725, εξετάζει κατά πόσον εφαρμόζονται τυχόν εξαιρέσεις που ορίζονται στον εν λόγω κανονισμό.
2. Με την επιφύλαξη των άρθρων 3 έως 7 της παρούσας απόφασης, η Επιτροπή δύναται να περιορίζει την εφαρμογή των άρθρων 14 έως 17, 19, 20 και 35 του κανονισμού (ΕΕ) 2018/1725 καθώς και την αρχή της διαφάνειας που ορίζεται στο άρθρο 4 παράγραφος 1 στοιχείο α) του εν λόγω κανονισμού, στον βαθμό που οι διατάξεις αυτές αντιστοιχούν σε δικαιώματα και υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 17, 19 και 20 του κανονισμού (ΕΕ) 2018/1725, όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να θέσει σε κίνδυνο την εσωτερική ασφάλεια των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης, συμπεριλαμβανομένων των ηλεκτρονικών επικοινωνιακών δικτύων τους, μεταξύ άλλων, με την αποκάλυψη ερευνητικών μέσων και μεθόδων στο πλαίσιο ερευνών ασφαλείας, ή θα μπορούσε να επηρεάσει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων.
3. Με την επιφύλαξη των άρθρων 3 έως 7, η Επιτροπή δύναται να περιορίζει τα δικαιώματα και τις υποχρεώσεις που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου όσον αφορά δεδομένα προσωπικού χαρακτήρα που λαμβάνονται από άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, από αρμόδιες αρχές των κρατών μελών ή τρίτων χωρών ή από διεθνείς οργανισμούς, στις ακόλουθες περιπτώσεις:
|
α) |
όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να περιοριστεί από άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης δυνάμει άλλων πράξεων που προβλέπονται στο άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 ή σύμφωνα με το κεφάλαιο IX του εν λόγω κανονισμού ή σύμφωνα με τον κανονισμό (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) ή του κανονισμού (ΕΕ) 2017/1939 του Συμβουλίου (5)· |
|
β) |
όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να περιοριστεί από αρμόδια αρχή των κρατών μελών δυνάμει πράξεων που αναφέρονται στο άρθρο 23 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6) ή βάσει εθνικών μέτρων για τη μεταφορά στο εθνικό δίκαιο του άρθρου 13 παράγραφος 3, του άρθρου 15 παράγραφος 3 ή του άρθρου 16 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7)· |
|
γ) |
όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να θέσει σε κίνδυνο τη συνεργασία της Επιτροπής με τρίτες χώρες ή διεθνείς οργανισμούς όσον αφορά ανταλλαγές πληροφοριών σχετικά με πιθανές απειλές στον τομέα της αντικατασκοπίας ή της καταπολέμησης της τρομοκρατίας, καθώς και κατά τη διενέργεια των ερευνών της στον τομέα της ασφαλείας. |
Προτού εφαρμόσει περιορισμούς στις περιπτώσεις που αναφέρονται στο πρώτο εδάφιο στοιχεία α) και β), η Επιτροπή ζητεί τη γνώμη των σχετικών θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης ή των αρμόδιων αρχών των κρατών μελών, εκτός εάν είναι σαφές για την Επιτροπή ότι η εφαρμογή περιορισμού που προβλέπεται σε μία από τις πράξεις που αναφέρονται στα εν λόγω στοιχεία ή η διαβούλευση αυτή θα έθεταν σε κίνδυνο τον σκοπό των δραστηριοτήτων της βάσει της απόφασης (ΕΕ, Ευρατόμ) 2015/443.
Το στοιχείο γ) του πρώτου εδαφίου της παρούσας παραγράφου δεν εφαρμόζεται όταν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων υπερισχύουν του συμφέροντος της Επιτροπής να συνεργάζεται με τρίτες χώρες ή διεθνείς οργανισμούς.
4. Οι παράγραφοι 1, 2 και 3 ισχύουν με την επιφύλαξη της εφαρμογής άλλων αποφάσεων της Επιτροπής για τον καθορισμό εσωτερικών κανόνων σχετικά με την παροχή πληροφοριών στα υποκείμενα των δεδομένων και τον περιορισμό ορισμένων δικαιωμάτων βάσει του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725 και του άρθρου 23 του εσωτερικού κανονισμού της Επιτροπής.
Άρθρο 3
Ενημέρωση των υποκειμένων των δεδομένων
1. Η Επιτροπή δημοσιεύει στον δικτυακό της τόπο ανακοινώσεις σχετικά με την προστασία των δεδομένων οι οποίες ενημερώνουν τα υποκείμενα των δεδομένων για τις δραστηριότητές της που περιλαμβάνουν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα την οποία διενεργεί προκειμένου να εκπληρώσει τα καθήκοντά της δυνάμει της απόφασης (ΕΕ, Ευρατόμ) 2015/443.
2. H Επιτροπή ενημερώνει τους μάρτυρες και τα πρόσωπα τα οποία αφορά η έρευνα ασφαλείας για την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα χρησιμοποιώντας το κατάλληλο μέσο. Η Επιτροπή ενημερώνει επίσης ατομικά τα πρόσωπα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία στο πλαίσιο μέτρων ασφαλείας που λαμβάνονται βάσει του άρθρου 7 παράγραφος 5 και του άρθρου 12 παράγραφος 1 στοιχεία δ) και ε) της απόφασης (ΕΕ, Ευρατόμ) 2015/443, συγκεκριμένα στο πλαίσιο ερευνών που διενεργούνται στις εγκαταστάσεις καθώς και στα συστήματα επικοινωνιών και πληροφοριών και τον εξοπλισμό της Επιτροπής.
3. Όταν η Επιτροπή περιορίζει, πλήρως ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων που αναφέρονται στην παράγραφο 2 του παρόντος άρθρου, καταγράφει και καταχωρίζει τους λόγους για τον περιορισμό σύμφωνα με το άρθρο 6 της παρούσας απόφασης.
Άρθρο 4
Δικαίωμα πρόσβασης των υποκειμένων των δεδομένων, δικαίωμα διαγραφής και δικαίωμα περιορισμού της επεξεργασίας
1. Όταν η Επιτροπή περιορίζει, πλήρως ή εν μέρει, το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων στα δεδομένα, το δικαίωμα διαγραφής ή το δικαίωμα περιορισμού της επεξεργασίας όπως προβλέπονται στα άρθρα 17, 19 και 20 αντίστοιχα του κανονισμού (ΕΕ) 2018/1725, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων, στην απάντηση της στο αίτημα για πρόσβαση, διαγραφή ή περιορισμό της επεξεργασίας, σχετικά με τον επιβαλλόμενο περιορισμό και τους ουσιώδεις λόγους για τον περιορισμό αυτό, καθώς και σχετικά με τη δυνατότητα του να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει προσφυγή στο Δικαστήριο της Ευρωπαϊκής Ένωσης.
2. Η παροχή πληροφοριών σχετικά με τους λόγους για τους οποίους εφαρμόζεται περιορισμός όπως αναφέρεται στην παράγραφο 1 του παρόντος άρθρου μπορεί να αναβληθεί, να παραλειφθεί ή να απορριφθεί στην περίπτωση που θα υπονόμευε τον σκοπό του περιορισμού.
3. Η Επιτροπή καταγράφει και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 6 της παρούσας απόφασης.
4. Όταν το δικαίωμα πρόσβασης περιορίζεται πλήρως ή εν μέρει, το υποκείμενο των δεδομένων δύναται να ασκήσει το δικαίωμά του για πρόσβαση στα δεδομένα μέσω του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, σύμφωνα με το άρθρο 25 παράγραφοι 6, 7 και 8 του κανονισμού (ΕΕ) 2018/1725.
Άρθρο 5
Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων
Όταν η Επιτροπή περιορίζει την ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων, όπως προβλέπεται την παράγραφο 35 του κανονισμού (ΕΕ) 2018/1725, καταγράφει και καταχωρίζει τους λόγους για τον περιορισμό σύμφωνα με το άρθρο 6 της παρούσας απόφασης.
Άρθρο 6
Καταγραφή και καταχώριση περιορισμών
1. Η Επιτροπή καταγράφει τους λόγους οποιουδήποτε περιορισμού επιβάλλεται σύμφωνα με την παρούσα απόφαση, συμπεριλαμβανομένης της αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβανομένων υπόψη των σχετικών στοιχείων που προβλέπονται στο άρθρο 25 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.
Για τον σκοπό αυτό, καταγράφεται στο αρχείο με ποιο τρόπο η άσκηση του δικαιώματος θα υπονόμευε τον σκοπό των καθηκόντων της Επιτροπής βάσει της απόφασης (ΕΕ, Ευρατόμ) 2015/443 ή του περιορισμού που επιβάλλεται σύμφωνα με το άρθρο 2 παράγραφοι 2 ή 3 ή θα επηρέαζε δυσμενώς τα δικαιώματα και τις ελευθερίες των άλλων υποκειμένων των δεδομένων.
2. Το αρχείο και, κατά περίπτωση, τα έγγραφα που περιέχουν βασικά πραγματικά και νομικά στοιχεία καταχωρίζονται. Τίθενται στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων κατόπιν αιτήματος.
Άρθρο 7
Διάρκεια περιορισμών
1. Οι περιορισμοί που αναφέρονται στα άρθρα 3, 4 και 5 της παρούσας απόφασης εξακολουθούν να επιβάλλονται για το διάστημα κατά το οποίο εξακολουθούν να ισχύουν οι λόγοι που αιτιολογούν την επιβολή τους.
2. Όταν παύσουν να ισχύουν οι λόγοι για περιορισμό που αναφέρονται στο άρθρο 3 ή 5 της παρούσας απόφασης, η Επιτροπή αίρει τον περιορισμό και ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους λόγους για την επιβολή του περιορισμού. Παράλληλα, η Επιτροπή ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη δυνατότητα του να υποβάλει ανά πάσα στιγμή καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει προσφυγή στο Δικαστήριο της Ευρωπαϊκής Ένωσης.
3. Η Επιτροπή επανεξετάζει την επιβολή των περιορισμών που αναφέρονται στα άρθρα 4 και 6 κάθε έξι μήνες από την επιβολή τους και κατά το πέρας της σχετικής έρευνας. Στη συνέχεια, η Επιτροπή ελέγχει σε ετήσια βάση κατά πόσο είναι αναγκαίο να διατηρηθεί οποιοσδήποτε περιορισμός/οποιαδήποτε αναβολή.
Άρθρο 8
Επανεξέταση από τον υπεύθυνο προστασίας δεδομένων
1. Ο υπεύθυνος προστασίας δεδομένων της Ευρωπαϊκής Επιτροπής ενημερώνεται αμελλητί κάθε φορά που περιορίζονται τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με την παρούσα απόφαση. Κατόπιν αιτήματος, παρέχεται στον υπεύθυνο προστασίας δεδομένων πρόσβαση στο αρχείο καταχώρισης και σε οποιαδήποτε έγγραφα που περιλαμβάνουν τα βασικά πραγματικά και νομικά στοιχεία.
2. Ο υπεύθυνος προστασίας δεδομένων της Επιτροπής δύναται να ζητήσει την επανεξέταση των περιορισμών. Ο υπεύθυνος προστασίας δεδομένων ενημερώνεται σχετικά με το αποτέλεσμα της επανεξέτασης που έχει ζητήσει.
3. Οι ανταλλαγές πληροφοριών με τον υπεύθυνο προστασίας δεδομένων καθ' όλη τη διάρκεια της διαδικασίας καταχωρίζονται στην κατάλληλη μορφή.
Άρθρο 9
Η παρούσα απόφαση αρχίζει να ισχύει την τρίτη ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 7 Φεβρουαρίου 2019.
Για την Επιτροπή
Ο Πρόεδρος
Jean-Claude JUNCKER
(1) Απόφαση (ΕΚ, Ευρατόμ) 2015/443 της Επιτροπής, της 13ης Μαρτίου 2015, σχετικά με την ασφάλεια στην Επιτροπή (ΕΕ L 72 της 17.3.2015, σ. 41).
(2) Η διατήρηση των φακέλων από την Επιτροπή διέπεται από τον κοινό κατάλογο διατήρησης αρχείων, ένα κανονιστικό έγγραφο [τελευταία έκδοση SEC(2012)713] με τη μορφή χρονοδιαγράμματος διατήρησης που καθορίζει τις περιόδους διατήρησης για τα διάφορα είδη φακέλων της Επιτροπής.
(3) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).
(4) Κανονισμός (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και την αντικατάσταση και κατάργηση των αποφάσεων του Συμβουλίου 2009/371/ΔΕΥ, 2009/934/ΔΕΥ, 2009/935/ΔΕΥ, 2009/936/ΔΕΥ και 2009/968/ΔΕ (ΕΕ L 135 της 24.5.2016, σ. 53).
(5) Κανονισμός (ΕΕ) 2017/1939 του Συμβουλίου, της 12ης Οκτωβρίου 2017, σχετικά με την εφαρμογή ενισχυμένης συνεργασίας για τη σύσταση της Ευρωπαϊκής Εισαγγελίας («EPPO») (ΕΕ L 283 της 31.10.2017, σ. 1).
(6) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(7) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).