1.   Ο εσωτερικός κανονισμός για την επεξεργασία και την προστασία των δεδομένων προσωπικού χαρακτήρα στην Eurojust (εφεξής «εσωτερικός κανονισμός») εφαρμόζει τις διατάξεις περί προστασίας των δεδομένων του κανονισμού Eurojust και του κανονισμού 2018/1725.

2.   Εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης.

3.   Ο εσωτερικός κανονισμός εφαρμόζεται σε όλα τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται η Eurojust, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που περιέχονται σε πληροφορίες που προέρχονται ή λαμβάνονται από αυτή και βρίσκονται στην κατοχή της, όσον αφορά θέματα που αφορούν τις πολιτικές, τις δραστηριότητες και τις αποφάσεις που εμπίπτουν στην αρμοδιότητά της.

1.   Ο εσωτερικός κανονισμός εφαρμόζεται στα επιχειρησιακά και στα διοικητικά δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζεται η Eurojust.

2.   Τα επιχειρησιακά δεδομένα υποβάλλονται σε επεξεργασία σύμφωνα με τον τίτλο II.

3.   Τα διοικητικά δεδομένα υποβάλλονται σε επεξεργασία σύμφωνα με τον τίτλο III.

1.   Τα αιτήματα για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων εξετάζονται από το εθνικό μέλος ή μέλη που αφορά το αίτημα, το οποίο/τα οποία διαβιβάζει/ουν αντίγραφο του αιτήματος στον υπεύθυνο προστασίας δεδομένων για την καταχώρισή του.

2.   Το ενδιαφερόμενο εθνικό μέλος ή μέλη διαβουλεύεται/ουνται με τις αρμόδιες αρχές των κρατών μελών σχετικά με την απόφαση που πρέπει να ληφθεί προς απάντηση σε αίτημα.

3.   Ο υπεύθυνος προστασίας δεδομένων, εφόσον απαιτείται λόγω της περίπτωσης, διενεργεί συμπληρωματικούς ελέγχους στο σύστημα διαχείρισης υποθέσεων και ενημερώνει το ενδιαφερόμενο εθνικό μέλος ή μέλη, εάν από τους εν λόγω ελέγχους προκύψουν περαιτέρω συναφείς πληροφορίες. Το ενδιαφερόμενο εθνικό μέλος ή μέλη λαμβάνει/ουν υπόψη τις πληροφορίες που παρέχει ο υπεύθυνος προστασίας δεδομένων και, όπου αρμόζει, επανεξετάζει/ουν την αρχική απόφαση.

4.   Οι νομικοί και πραγματικοί λόγοι βάσει των οποίων λαμβάνεται η απόφαση από το εθνικό μέλος ή μέλη αναφέρονται στο προσωρινό αρχείο εργασίας όσον αφορά το αίτημα στο σύστημα διαχείρισης υποθέσεων και τίθενται στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) κατόπιν αιτήματος.

5.   Ο υπεύθυνος προστασίας δεδομένων κοινοποιεί την απόφαση που λαμβάνει το ενδιαφερόμενο εθνικό μέλος ή μέλη για λογαριασμό της Eurojust στο υποκείμενο των δεδομένων και το ενημερώνει για τη δυνατότητα υποβολής καταγγελίας στον ΕΕΠΔ σε περίπτωση που δεν το ικανοποιεί η απόφαση ή άσκησης δικαστικής προσφυγής ενώπιον του Δικαστηρίου.

6.   Στις περιπτώσεις που το αίτημα έχει παραληφθεί μέσω εθνικής εποπτικής αρχής, η Eurojust ενημερώνει την εν λόγω αρχή σχετικά με την απόφαση που κοινοποιείται από τον υπεύθυνο προστασίας δεδομένων στο υποκείμενο των δεδομένων.

1.   Το σύστημα διαχείρισης υποθέσεων χορηγεί αυτόματα μοναδικό αριθμό αναφοράς (αναγνωριστικό) σε κάθε νέο προσωρινό αρχείο εργασίας που ανοίγεται.

2.   Όταν ένα εθνικό μέλος που είναι αρμόδιο για τη διαχείριση ενός προσωρινού φακέλου εργασίας, όπως ορίζεται στο άρθρο 24 παράγραφος 1 του κανονισμού Eurojust, παρέχει πρόσβαση σε προσωρινό αρχείο εργασίας ή σε μέρος αυτού για ένα ή περισσότερα εμπλεκόμενα εθνικά μέλη, το σύστημα διαχείρισης υποθέσεων διασφαλίζει ότι οι εξουσιοδοτημένοι χρήστες στο πλαίσιο των αρμοδιοτήτων του εν λόγω εθνικού γραφείου υπό την ευθύνη του εθνικού μέλους έχουν πρόσβαση στα συναφή μέρη του φακέλου, αλλά δεν μπορούν να τροποποιήσουν τα δεδομένα που εισήγαγε ο αρχικός συντάκτης. Οι εξουσιοδοτημένοι χρήστες μπορούν, ωστόσο, να προσθέσουν κάθε συναφή πληροφορία στα νέα μέρη των προσωρινών αρχείων εργασίας. Ομοίως, οι πληροφορίες που περιέχονται στον πίνακα μπορούν να διαβάζονται από όλους τους εξουσιοδοτημένους χρήστες του συστήματος, αλλά μπορούν να τροποποιηθούν μόνο από τον αρχικό συντάκτη τους.

3.   Ο υπεύθυνος προστασίας δεδομένων ενημερώνεται αυτόματα από το σύστημα διαχείρισης υποθέσεων σχετικά με τη δημιουργία κάθε νέου αρχείου εργασίας που περιέχει δεδομένα προσωπικού χαρακτήρα.

4.   Το σύστημα διαχείρισης υποθέσεων διασφαλίζει ότι μόνο τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 στοιχεία α) έως θ), ια) και ιγ) και στην παράγραφο 2 του παραρτήματος II του κανονισμού Eurojust μπορούν να καταγράφονται από το ενδιαφερόμενο εθνικό μέλος, το οποίο έχει ανοίξει προσωρινό αρχείο εργασίας, σύμφωνα με τα άρθρα 23 παράγραφος 4 και 24 παράγραφος 3 του κανονισμού Eurojust.

5.   Όταν, σύμφωνα με το άρθρο 23 παράγραφος 6 του κανονισμού για την Eurojust, τα εθνικά μέλη επιθυμούν να αποθηκεύσουν προσωρινά και να αναλύσουν δεδομένα προσωπικού χαρακτήρα, προκειμένου να κρίνουν κατά πόσον τα δεδομένα αυτά σχετίζονται με τα καθήκοντα της Eurojust, δημιουργούν σχέδιο προσωρινού αρχείου εργασίας, στο οποίο έχουν πρόσβαση μόνο τα ίδια και τα πρόσωπα που έχουν εξουσιοδοτηθεί από αυτά στο πλαίσιο των αρμοδιοτήτων του γραφείου. Μετά από τρεις μήνες, το σχέδιο προσωρινού αρχείου εργασίας θα πρέπει είτε να μετατραπεί σε προσωρινό αρχείο εργασίας στο σύστημα διαχείρισης υποθέσεων είτε να διαγραφεί αυτόματα από το σύστημα. Πριν από την παρέλευση του χρόνου αυτού, το σύστημα ειδοποιεί τον ενδιαφερόμενο εθνικό μέλος ότι πρέπει να λάβει απόφαση σχετικά με αυτό το σχέδιο αρχείου.

6.   Το ενδιαφερόμενο εθνικό μέλος ή μέλη διασφαλίζει/ουν ότι οι πληροφορίες που περιέχονται στον πίνακα επαρκούν για τη συμμόρφωση με τα καθήκοντα της Eurojust, όπως ορίζονται στο άρθρο 2 του κανονισμού για την Eurojust.

1.   Η Eurojust λαμβάνει τα κατάλληλα τεχνικά μέτρα ώστε να διασφαλίζεται ότι ο υπεύθυνος προστασίας δεδομένων ενημερώνεται αυτομάτως για τις εξαιρετικές περιπτώσεις στις οποίες γίνεται προσφυγή στο άρθρο 27 παράγραφος 4 του κανονισμού για την Eurojust. Το σύστημα διαχείρισης υποθέσεων διασφαλίζει ότι τα δεδομένα αυτά δεν μπορούν να συμπεριληφθούν στον πίνακα που αναφέρεται στο άρθρο 23 παράγραφος 1 και στο άρθρο 23 4 του κανονισμού για την Eurojust.

2.   Όταν τα δεδομένα αυτά αφορούν μάρτυρες ή θύματα κατά την έννοια του άρθρου 27 παράγραφος 2 του κανονισμού για τη Eurojust, το σύστημα διαχείρισης υποθέσεων δεν καταγράφει τις εν λόγω πληροφορίες, εκτός εάν τα εθνικά μέλη αποφασίσουν διαφορετικά. Η διαδικασία για την επεξεργασία των εν λόγω δεδομένων τεκμηριώνεται.

1.   Η Eurojust λαμβάνει τα κατάλληλα τεχνικά μέτρα ώστε να διασφαλίζεται ότι ο υπεύθυνος προστασίας δεδομένων ενημερώνεται αυτομάτως για τις εξαιρετικές περιπτώσεις στις οποίες, για περιορισμένο χρονικό διάστημα, γίνεται προσφυγή στο άρθρο 27 παράγραφος 3 του κανονισμού για την Eurojust. Το σύστημα διαχείρισης υποθέσεων σημειώνει τα δεδομένα αυτά κατά τρόπο ώστε να υπενθυμίζει στο άτομο που εισήγαγε τα δεδομένα στο σύστημα την υποχρέωση να τα τηρεί για περιορισμένο χρονικό διάστημα.

2.   Όταν τα δεδομένα αυτά αφορούν μάρτυρες ή θύματα κατά την έννοια του άρθρου 27 παράγραφος 2 του κανονισμού για την Eurojust, το σύστημα διαχείρισης υποθέσεων δεν καταγράφει τις εν λόγω πληροφορίες, εκτός εάν τα εθνικά μέλη αποφασίσουν διαφορετικά. Η διαδικασία για την επεξεργασία των εν λόγω δεδομένων τεκμηριώνεται.

1.   Κάθε εθνικό μέλος της Eurojust ενημερώνει τον υπεύθυνο προστασίας δεδομένων με τη συναφή τεκμηρίωση σχετικά με την πολιτική πρόσβασης που έχει εγκρίνει σύμφωνα με το άρθρο 34 του κανονισμού για τη Eurojust στο πλαίσιο του εθνικού του γραφείου, σχετικά με τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα.

2.   Τα εθνικά μέλη μπορούν, κατά περίπτωση, να αποφασίσουν να χορηγήσουν ειδική άδεια πρόσβασης σε προσωρινό αρχείο εργασίας ή σε τμήματά του σε πρόσωπο, το οποίο δεν είναι μέλος του προσωπικού της Eurojust, αλλά εργάζεται για λογαριασμό της Eurojust και ανήκει σε συγκεκριμένη κατηγορία κατόχων θέσης, εφόσον έχει προηγουμένως εξουσιοδοτηθεί από τον διοικητικό διευθυντή της Eurojust, σύμφωνα με το άρθρο 24 παράγραφος 2 του κανονισμού για τη Eurojust, ώστε να έχει πρόσβαση στο σύστημα διαχείρισης υποθέσεων.

3.   Τα εθνικά μέλη διασφαλίζουν ότι δημιουργούνται και τηρούνται στο πλαίσιο των γραφείων τους κατάλληλες οργανωτικές ρυθμίσεις και ότι πραγματοποιείται ορθή χρήση των τεχνικών και οργανωτικών μέτρων, μεταξύ άλλων και μετά την απαιτούμενη κατάρτιση, τα οποία τίθενται στη διάθεσή τους από την Eurojust.

4.   Σύμφωνα με το άρθρο 34 του κανονισμού για την Eurojust, το συλλογικό όργανο μπορεί να επιτρέπει σε άλλο προσωπικό της Eurojust να έχει πρόσβαση σε επιχειρησιακά δεδομένα προσωπικού χαρακτήρα, εφόσον αυτό είναι αναγκαίο για την εκτέλεση των καθηκόντων της Eurojust.

1.   Το σύστημα διαχείρισης υποθέσεων της Eurojust, όπως ορίζεται στο άρθρο 23 του κανονισμού της Eurojust, χρησιμεύει ως αρχείο όλων των δραστηριοτήτων επεξεργασίας που αναφέρονται στο άρθρο 35 του κανονισμού για την Eurojust, όσον αφορά τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα.

2.   Το σύστημα διαχείρισης υποθέσεων της Eurojust περιλαμβάνει πλήρη καταγραφή της διαβίβασης και της παραλαβής επιχειρησιακών δεδομένων προσωπικού χαρακτήρα καθιστώντας δυνατή τη διαπίστωση οποιασδήποτε διαβίβασης επιχειρησιακών δεδομένων προσωπικού χαρακτήρα και την ταυτοποίηση της εθνικής αρχής, του οργανισμού ή τρίτης χώρας ή του διεθνούς οργανισμού που διαβίβασε ή έλαβε τις εν λόγω πληροφορίες προς/από την Eurojust.

1.   Η απόφαση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς σύμφωνα με το άρθρο 58 παράγραφος 1 του κανονισμού για τη Eurojust λαμβάνεται από το συλλογικό όργανο της Eurojust κατόπιν αιτήματος του ενδιαφερόμενου εθνικού μέλους ή μελών, κατόπιν αξιολόγησης που διενεργείται από τον υπεύθυνο προστασίας δεδομένων.

2.   Η αξιολόγηση που αναφέρεται στην παράγραφο 1 παρέχεται από τον υπεύθυνο προστασίας δεδομένων εντός δέκα εργάσιμων ημερών. Όταν είναι αναγκαίο για λόγους επείγουσας ανάγκης, οι οποίοι επισημαίνονται από το ενδιαφερόμενο εθνικό μέλος ή μέλη, η αξιολόγηση παρέχεται το συντομότερο δυνατό. Σε ιδιαίτερα περίπλοκες υποθέσεις, ο υπεύθυνος προστασίας δεδομένων μπορεί να συμφωνήσει για μεγαλύτερο χρονικό περιθώριο για την ολοκλήρωση της αξιολόγησης με το ενδιαφερόμενο εθνικό μέλος ή μέλη.

3.   Η αξιολόγηση από τον υπεύθυνο προστασίας δεδομένων εξετάζει ειδικότερα τα ζητήματα που αναφέρονται στις αιτιολογικές σκέψεις 51 και 52 του κανονισμού για την Eurojust. Σε περίπτωση που, κατά την αξιολόγηση της καταλληλότητας των διασφαλίσεων στη συγκεκριμένη περίπτωση, ο υπεύθυνος προστασίας δεδομένων έχει επιφυλάξεις, ο τελευταίος μπορεί να ζητήσει τη γνώμη του ΕΕΠΔ πριν από την αξιολόγηση για συγκεκριμένη διαβίβαση.

1.   Η Eurojust εφαρμόζει κατάλληλα τεχνικά μέτρα ώστε να διασφαλίζεται ότι τηρούνται οι προθεσμίες διατήρησης των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 29 του κανονισμού για τη Eurojust και ότι, όταν δεν λαμβάνεται αιτιολογημένη απόφαση για τη συνέχιση της διατήρησης των επιχειρησιακών δεδομένων προσωπικού χαρακτήρα κατά τον χρόνο του ελέγχου, τα εν λόγω δεδομένα διαγράφονται αυτομάτως.

2.   Το σύστημα διαχείρισης υποθέσεων διασφαλίζει ειδικότερα ότι διενεργείται έλεγχος της ανάγκης διατήρησης δεδομένων σε προσωρινό αρχείο εργασίας κάθε τρία έτη μετά την εισαγωγή τους. Ο εν λόγω έλεγχος πρέπει να τεκμηριώνεται δεόντως στο σύστημα, περιλαμβανομένης της αιτιολογίας σχετικής με απόφαση που έχει ληφθεί για τη συνέχιση της διατήρησης επιχειρησιακών δεδομένων προσωπικού χαρακτήρα, και να κοινοποιείται αυτομάτως στον υπεύθυνο προστασίας δεδομένων. Τα αποτελέσματα μιας τέτοιας απόφασης, ή η έλλειψή της, εφαρμόζονται στην υπόθεση στο σύνολό της, όπως ορίζεται στο άρθρο 29 παράγραφος 2 του κανονισμού για την Eurojust.

3.   Το σύστημα διαχείρισης υποθέσεων σημειώνει ιδίως τα δεδομένα που έχουν καταγραφεί για περιορισμένο χρονικό διάστημα σύμφωνα με το άρθρο 27 παράγραφος 3, καθώς και τα δεδομένα που αναφέρονται στο άρθρο 27 παράγραφος 4 του κανονισμού για τη Eurojust. Εάν τα επιχειρησιακά δεδομένα προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 27 παράγραφος 4 διατηρούνται για περίοδο που υπερβαίνει τα πέντε έτη, το σύστημα διαχείρισης υποθέσεων θα εμφανίζει ειδοποίηση για να εξασφαλίζεται ότι οι πληροφορίες αυτές παρέχονται αυτόματα στον ΕΕΠΔ.

4.   Σε εξαιρετικές περιπτώσεις, όταν ένα εθνικό μέλος θεωρεί ότι επιχειρησιακά δεδομένα προσωπικού χαρακτήρα εξακολουθούν να είναι αναγκαία για λόγους αρχειοθέτησης που άπτονται του δημόσιου συμφέροντος ή για στατιστικούς λόγους, όπως αναφέρεται στο άρθρο 29 παράγραφος 7 στοιχείο ε) του κανονισμού για την Eurojust, το συλλογικό όργανο αποφασίζει, αφού ακούσει τη γνώμη του υπευθύνου προστασίας δεδομένων, σχετικά με την αναγκαιότητα διατήρησης των δεδομένων, στη συγκεκριμένη περίπτωση, για τον συγκεκριμένο σκοπό. Ο ΕΕΠΔ ενημερώνεται όταν γίνεται χρήση αυτής της διαδικασίας.

1.   Τα αιτήματα για την άσκηση των δικαιωμάτων απευθύνονται απευθείας στον διοικητικό διευθυντή της Eurojust ή στον υπεύθυνο προστασίας δεδομένων. Σε κάθε περίπτωση, παρέχεται στον υπεύθυνο προστασίας δεδομένων αντίγραφο του αιτήματος προς καταχώρισή του.

2.   Εάν είναι αναγκαίο, ο υπεύθυνος προστασίας δεδομένων επικουρεί το υποκείμενο των δεδομένων και καθιστά διαθέσιμα ειδικά έντυπα που μπορούν να χρησιμοποιηθούν από τα άτομα για την υποβολή των αιτημάτων τους.

3.   Ο διοικητικός διευθυντής λαμβάνει απόφαση σχετικά με τη συγκεκριμένη περίπτωση, βάσει των πληροφοριών που παρέχει η διοικητική οντότητα η οποία εμπλέκεται άμεσα στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα και της συμβουλής του υπευθύνου προστασίας δεδομένων.

4.   Ο υπεύθυνος προστασίας δεδομένων κοινοποιεί την απόφαση που λαμβάνει ο διοικητικός διευθυντής στο υποκείμενο των δεδομένων και το ενημερώνει για τη δυνατότητα υποβολής καταγγελίας στον ΕΕΠΔ, σε περίπτωση που δεν το ικανοποιεί η απόφαση της Eurojust.

5.   Το αίτημα εξετάζεται πλήρως εντός ενός μηνός από την ημερομηνία παραλαβής του. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη του αριθμού και της πολυπλοκότητας των αιτημάτων. Ο διοικητικός διευθυντής ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Το υποκείμενο των δεδομένων μπορεί να υποβάλει καταγγελία στον ΕΕΠΔ, εάν η Eurojust δεν έχει εκδώσει απόφαση βάσει αιτήματός του εντός της εν λόγω προθεσμίας.

1.   Για κάθε επιμέρους επεξεργασία διοικητικών δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στη Eurojust, υπό το πρίσμα του καθορισμένου σκοπού της και σε πλήρη συμμόρφωση με το άρθρο 4 παράγραφος 1 στοιχείο δ) και το άρθρο 31 παράγραφος 1 στοιχείο στ) του κανονισμού 2018/1725, τάσσεται σαφής και καθορισμένη προθεσμία για τη διατήρηση, προκειμένου να διασφαλίζεται ότι τα δεδομένα τηρούνται μόνο για χρονικό διάστημα που δεν υπερβαίνει το αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα διοικητικά δεδομένα προσωπικού χαρακτήρα. Η προθεσμία αυτή καθορίζεται για κάθε κατηγορία δεδομένων που υποβάλλεται σε επεξεργασία και καταγράφεται στο αρχείο των δραστηριοτήτων επεξεργασίας.

2.   Η Eurojust τηρεί τα διοικητικά δεδομένα προσωπικού χαρακτήρα σύμφωνα με την παράγραφο 1, για όσο διάστημα είναι αναγκαίο και σε κάθε περίπτωση όχι περισσότερο από τα διαστήματα που αναφέρονται για κάθε κατηγορία δραστηριοτήτων επεξεργασίας στον πίνακα που επισυνάπτεται ως παράρτημα στον παρόντα κανονισμό.

3.   Το εκτελεστικό συμβούλιο, κατόπιν πρότασης του διοικητικού διευθυντή, μπορεί να καθορίζει συντομότερες περιόδους διατήρησης από αυτές που περιλαμβάνονται στο παράρτημα του παρόντος κανονισμού.

1.   Ο παρών κανονισμός επανεξετάζεται τακτικά για να αξιολογηθεί κατά πόσον είναι απαραίτητη η τροποποίηση του. Κάθε τροποποίηση του εσωτερικού κανονισμού ακολουθεί την ίδια διαδικασία που προβλέπεται στον κανονισμό για τη Eurojust για την έγκρισή του.

2.   Ο ΕΕΠΔ θέτει υπόψη του συλλογικού οργάνου κάθε πρόταση ή σύσταση σχετικά με τροποποιήσεις του εσωτερικού κανονισμού.