10.4.2019   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

LI 99/1


ΑΠΟΦΑΣΗ ΤΟΥ ΕΥΡΩΠΑΙΟΥ ΕΠΟΠΤΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

της 2ας Απριλίου 2019

σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων που άπτονται της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των εκτελούμενων δραστηριοτήτων από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (ΕΕΠΔ),

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών (στο εξής: «ο Κανονισμός»), και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1), ειδικότερα δε το άρθρο 25 και το Κεφάλαιο VI αυτού,

Έχοντας διαβουλευθεί με τη γραμματεία του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την παρούσα απόφαση, σύμφωνα με το άρθρο 41 παράγραφος 2 του Κανονισμού,

Εκτιμώντας τα ακόλουθα:

(1)

O ΕΕΠΔ μπορεί, στο πλαίσιο άσκησης των αρμοδιοτήτων του, να διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής δυνάμει του άρθρου 86 του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης (2) και σύμφωνα με το παράρτημα IX του εν λόγω κανονισμού, την απόφαση του ΕΕΠΔ της 23ης Απριλίου 2015 σχετικά με τη θέσπιση εκτελεστικών διατάξεων για τη διεξαγωγή των διοικητικών ερευνών και των πειθαρχικών διαδικασιών, καθώς και την υπογραφείσα στις 29/1/2016 συμφωνία σε υπηρεσιακό επίπεδο σχετικά με τη συνεργασία μεταξύ της Γενικής Διεύθυνσης ανθρώπινων πόρων (DG HR) της Ευρωπαϊκής Επιτροπής και του ΕΕΠΔ· μπορεί συναφώς να κοινοποιεί τις εν λόγω υποθέσεις στην Υπηρεσία Ερευνών και Πειθαρχικών Κυρώσεων της Επιτροπής («IDOC») ή στην Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF), οπότε απαιτείται να προβεί σε επεξεργασία πληροφοριών που περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα.

(2)

Τα μέλη του προσωπικού του ΕΕΠΔ υπέχουν την υποχρέωση να αναφέρουν πιθανές παράνομες δραστηριότητες, συμπεριλαμβανομένης απάτης ή δωροδοκίας, επιζήμιες για τα συμφέροντα της Ένωσης ή την άσκηση επαγγελματικών δραστηριοτήτων που μπορούν να συνιστούν σοβαρή παράλειψη συμμόρφωσης προς τις υποχρεώσεις των υπαλλήλων της Ένωσης. Η εκπλήρωση της υποχρέωσης αυτής ρυθμίζεται με την απόφαση του ΕΕΠΔ της 14ης Ιουνίου 2016 σχετικά με τους εσωτερικούς κανόνες που διέπουν την καταγγελία παράνομων δραστηριοτήτων.

(3)

Όπως προκύπτει από την απόφασή του της 10ης Δεκεμβρίου 2014 για τη θέσπιση εκτελεστικών μέτρων σχετικά με τα άρθρα 12α και 24 του κανονισμού υπηρεσιακής κατάστασης, τα οποία διαλαμβάνουν σχετικά με τη διαδικασία καταπολέμησης της παρενόχλησης, ο ΕΕΠΔ έχει καθιερώσει πολιτική για την πρόληψη και την αποτελεσματική και λυσιτελή αντιμετώπιση πραγματικών ή δυνητικών περιπτώσεων ψυχολογικής ή σεξουαλικής παρενόχλησης στον χώρο εργασίας. Η απόφαση θεσπίζει μια άτυπη διαδικασία επικοινωνίας του προσώπου που φέρεται ότι υπήρξε θύμα παρενόχλησης με έμπιστους συμβούλους του ΕΕΠΔ.

(4)

Σύμφωνα με το άρθρο 57 παράγραφος 1 στοιχείο ε) του Κανονισμού, ο ΕΕΠΔ χειρίζεται καταγγελίες σχετικά με δραστηριότητες επεξεργασίας οι οποίες εκτελούνται από τα θεσμικά και τα λοιπά όργανα και τους οργανισμούς της Ένωσης. Στο πλαίσιο αυτό, ο ΕΕΠΔ μπορεί να διενεργεί έρευνες που άπτονται της ουσίας της εκάστοτε καταγγελίας.

(5)

Σύμφωνα με το άρθρο 57 παράγραφος 1 στοιχείο στ) του Κανονισμού, ο ΕΕΠΔ διενεργεί έρευνες σχετικά με την εφαρμογή του Κανονισμού, προκειμένου να επαληθεύει τη συμμόρφωση των θεσμικών και των λοιπών οργάνων και των οργανισμών της Ένωσης.

(6)

Βάσει της απόφασής του της 18ης Φεβρουαρίου 2014 σχετικά με την τροποποίηση των οικείων κανόνων ασφάλειας που αφορούν τις διαβαθμισμένες πληροφορίες ΕΕ (ΔΠΕΕ), ο ΕΕΠΔ μπορεί να διενεργεί έρευνες σχετικά με πιθανές παραβάσεις ΔΠΕΕ.

(7)

Ο ΕΕΠΔ μπορεί να διενεργεί ελέγχους σχετικά με τις δραστηριότητές του. Επί του παρόντος, οι έλεγχοι αυτοί διενεργούνται από την Υπηρεσία Εσωτερικού Λογιστικού Ελέγχου της Ευρωπαϊκής Επιτροπής (στο εξής: IAS) βάσει της υπογραφείσας την 1η Ιουνίου 2012 συμφωνίας σε υπηρεσιακό επίπεδο, όπως ισχύει μετά την ανανέωσή της. Τέτοιους ελέγχους μπορεί επίσης να διενεργεί στο πλαίσιο άσκησης των αρμοδιοτήτων του ο συντονιστής εσωτερικού ελέγχου.

(8)

Στο πλαίσιο των αρμοδιοτήτων του που περιγράφονται στις αιτιολογικές σκέψεις 1 έως 7, ο ΕΕΠΔ μπορεί να παρέχει και να λαμβάνει συνδρομή και να συνεργάζεται με τα άλλα θεσμικά και τα λοιπά όργανα και τους οργανισμούς της Ένωσης με βάση τις συναφείς συμφωνίες σε υπηρεσιακό επίπεδο, τα μνημόνια και τις συμφωνίες συνεργασίας.

(9)

Σύμφωνα με το άρθρο 51 του Κανονισμού, ο ΕΕΠΔ μπορεί να παρέχει και να λαμβάνει συνδρομή και να συνεργάζεται με εθνικές αρχές τρίτων χωρών και διεθνείς οργανισμούς κατόπιν αιτήματός τους ή ιδία πρωτοβουλία.

(10)

Ο ΕΕΠΔ μπορεί να παρέχει και να λαμβάνει συνδρομή και να συνεργάζεται με τις δημόσιες αρχές των κρατών μελών της ΕΕ κατόπιν αιτήματός τους ή ιδία πρωτοβουλία.

(11)

Βάσει του άρθρου 58 παράγραφος 4 του Κανονισμού, ο ΕΕΠΔ μπορεί να παρεμβαίνει σε υποθέσεις που άγονται ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης είτε παραπέμποντας ένα θέμα στο Δικαστήριο είτε υπερασπιζόμενος αμφισβητούμενες αποφάσεις του είτε παρεμβαίνοντας σε υποθέσεις που άπτονται της άσκησης των καθηκόντων του.

(12)

Στο πλαίσιο των ανωτέρω δραστηριοτήτων, ο ΕΕΠΔ συλλέγει και επεξεργάζεται συναφείς πληροφορίες και αρκετές κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως είναι, μεταξύ άλλων, στοιχεία ταυτότητας φυσικών προσώπων, στοιχεία επικοινωνίας, επαγγελματικοί ρόλοι και καθήκοντα, πληροφορίες που αφορούν προσωπική ή επαγγελματική συμπεριφορά και επιδόσεις, καθώς και χρηματοοικονομικά δεδομένα. Ο ΕΕΠΔ ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων.

(13)

Έχουν θεσπιστεί επαρκείς εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα και την πρόληψη της τυχαίας ή παράνομης πρόσβασης ή διαβίβασής τους, ανεξαρτήτως του αν είναι αποθηκευμένα σε ενσώματη ή σε ηλεκτρονική μορφή. Μετά από την επεξεργασία, τα δεδομένα διατηρούνται βάσει του άρθρου 31 του Κανονισμού στα αρχεία προστασίας δεδομένων, όπως ορίζουν οι ισχύοντες κανόνες του ΕΕΠΔ περί διατήρησης δεδομένων. Μετά το πέρας της περιόδου διατήρησης, οι συναφείς με την εκάστοτε υπόθεση πληροφορίες, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, διαγράφονται, ανωνυμοποιούνται ή διαβιβάζονται στα ιστορικά αρχεία.

(14)

Στο πλαίσιο αυτό, ο ΕΕΠΔ δεσμεύεται ότι θα εκπληρώνει την υποχρέωσή του να παρέχει πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά τις ανωτέρω δραστηριότητες επεξεργασίας, καθώς και να σέβεται τα κατοχυρωμένα στον Κανονισμό δικαιώματά τους.

(15)

Ενδέχεται να καταστεί αναγκαίος ο συμβιβασμός μεταξύ των κατοχυρούμενων στον Κανονισμό δικαιωμάτων των υποκειμένων των δεδομένων και των προαναφερθεισών δραστηριοτήτων με πλήρη σεβασμό των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων. Για τον σκοπό αυτόν, το άρθρο 25 του Κανονισμού ορίζει, υπό αυστηρούς όρους, τη δυνατότητα περιορισμένης εφαρμογής των άρθρων 14 έως 20, 35 και 36, καθώς και του άρθρου 4 στο μέτρο που οι διατάξεις τους αφορούν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20. Στην περίπτωση αυτή είναι αναγκαία η θέσπιση εσωτερικών κανόνων βάσει των οποίων ο ΕΕΠΔ θα μπορεί να εισάγει περιορισμούς στην άσκηση των σχετικών δικαιωμάτων σύμφωνα με το ίδιο άρθρο του Κανονισμού.

(16)

Μια τέτοια περίπτωση θα μπορούσε να είναι η παροχή πληροφοριών σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα υποκείμενα των δεδομένων κατά το στάδιο της προκαταρκτικής εκτίμησης μιας διοικητικής έρευνας ή κατά τη διάρκεια έρευνας που διενεργείται πριν από την πιθανή περάτωση της εξέτασης της υπόθεσης ή του προκαταρκτικού σταδίου. Υπό ορισμένες περιστάσεις, η παροχή τέτοιων πληροφοριών ενδέχεται να επηρεάσει σοβαρά την αποτελεσματικότητα διεξαγόμενης από τον ΕΕΠΔ έρευνας, π.χ. οσάκις το εμπλεκόμενο πρόσωπο ενδέχεται να καταστρέψει αποδεικτικά στοιχεία ή να επηρεάσει πιθανούς μάρτυρες πριν από την εξέτασή τους. Περαιτέρω, ο ΕΕΠΔ ενδέχεται να χρειαστεί να προστατεύσει τα δικαιώματα και τις ελευθερίες των άμεσα εμπλεκόμενων προσώπων, καθώς και τα δικαιώματα και τις ελευθερίες άλλων εμπλεκόμενων προσώπων.

(17)

Ενδέχεται να κριθεί αναγκαία η προστασία του απορρήτου των δεδομένων προσωπικού χαρακτήρα κάποιου μάρτυρα ή καταγγέλλοντος που έχει υποβάλει αίτημα μη δημοσιοποίησής τους. Σε μια τέτοια περίπτωση, ο ΕΕΠΔ μπορεί να αποφασίσει την περιορισμένη πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και άλλα δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντος και άλλων εμπλεκόμενων προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες τους.

(18)

Ενδέχεται να κριθεί αναγκαία η προστασία του απορρήτου των δεδομένων προσωπικού χαρακτήρα μέλους του προσωπικού το οποίο έχει επικοινωνήσει με τους έμπιστους συμβούλους του ΕΕΠΔ στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης. Σε μια τέτοια περίπτωση, ο ΕΕΠΔ μπορεί να αποφασίσει την περιορισμένη πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και άλλα δεδομένα προσωπικού χαρακτήρα του φερόμενου ως θύματος, του φερόμενου ως παρενοχλούντος και άλλων εμπλεκόμενων προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες τους.

(19)

Κατά τον χειρισμό καταγγελιών που αφορούν δραστηριότητες επεξεργασίας οι οποίες εκτελούνται από τα θεσμικά και τα λοιπά όργανα και τους οργανισμούς της Ένωσης, ο ΕΕΠΔ ενδέχεται, υπό ορισμένες περιστάσεις, να χρειαστεί να διασφαλίσει την αποτελεσματικότητα των ερευνών του και να προστατεύσει, κατά περίπτωση, τα εμπλεκόμενα πρόσωπα και τα δικαιώματα και τις ελευθερίες τους.

(20)

Κατά τη διενέργεια ερευνών σχετικά με την εφαρμογή του Κανονισμού, και ειδικότερα τη συμμόρφωση των θεσμικών και των λοιπών οργάνων και οργανισμών της Ένωσης προς τον Κανονισμό, ο ΕΕΠΔ ενδέχεται, υπό ορισμένες περιστάσεις, να χρειαστεί να διασφαλίσει την αποτελεσματικότητα των ερευνών του και να προστατεύσει, κατά περίπτωση, τα εμπλεκόμενα πρόσωπα και τα δικαιώματα και τις ελευθερίες τους.

(21)

Κατά τη διενέργεια ερευνών για εικαζόμενες παραβάσεις που αφορούν διαβαθμισμένες πληροφορίες ΕΕ, ο ΕΕΠΔ ενδέχεται, υπό ορισμένες περιστάσεις, να χρειαστεί να διασφαλίσει την αποτελεσματικότητα των ερευνών του και να προστατεύσει, κατά περίπτωση, την εσωτερική ασφάλεια των θεσμικών και των λοιπών οργάνων και των οργανισμών της Ένωσης, συμπεριλαμβανομένων των οικείων δικτύων ηλεκτρονικών επικοινωνιών, καθώς και τα δικαιώματα και τις ελευθερίες των εμπλεκόμενων υποκειμένων των δεδομένων.

(22)

Όταν παρέχει ή λαμβάνει συνδρομή και συνεργάζεται με τα άλλα θεσμικά και τα λοιπά όργανα και τους οργανισμούς της Ένωσης, τις δημόσιες αρχές των κρατών μελών της ΕΕ, τις εθνικές αρχές τρίτων χωρών και διεθνείς οργανισμούς στο πλαίσιο των προαναφερθεισών δραστηριοτήτων, ο ΕΕΠΔ ενδέχεται, υπό ορισμένες περιστάσεις, να χρειαστεί να διασφαλίσει την αποτελεσματικότητα των ερευνών του ή των ερευνών που διενεργεί ο συνεργαζόμενος φορέας και να προστατεύσει, κατά περίπτωση, τα εμπλεκόμενα πρόσωπα και τα δικαιώματα και τις ελευθερίες τους.

(23)

Όταν παραπέμπει κάποιο ζήτημα στο Δικαστήριο της Ευρωπαϊκής Ένωσης ή παρεμβαίνει σε διαδικασία που διεξάγεται ενώπιόν του, ο ΕΕΠΔ ενδέχεται να χρειαστεί να τηρήσει το απόρρητο των δεδομένων προσωπικού χαρακτήρα που περιέχονται σε έγγραφα τα οποία αποκτούν τα μέρη ή οι παρεμβαίνοντες στο πλαίσιο της επίδικης υπόθεσης.

(24)

Ο ΕΕΠΔ μπορεί να εφαρμόσει περιορισμούς μόνον υπό την προϋπόθεση ότι δεν θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, καθώς και ότι αποτελούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία. Ο ΕΕΠΔ πρέπει να αιτιολογεί αναλυτικά το σκεπτικό αυτών των περιορισμών.

(25)

Βάσει της αρχής της λογοδοσίας, ο ΕΕΠΔ πρέπει να τηρεί αρχείο των επιβληθέντων περιορισμών.

(26)

Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της συνεργασίας του με άλλους οργανισμούς στο πλαίσιο άσκησης των αρμοδιοτήτων του, ο ΕΕΠΔ πρέπει να διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τη σκοπιμότητα, την αναγκαιότητα και την αναλογικότητα της επιβολής των εξεταζόμενων περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητες του ΕΕΠΔ.

(27)

Το άρθρο 25 παράγραφος 6 του κανονισμού (ΕΕ) αριθ. 2018/1725 υποχρεώνει τον υπεύθυνο επεξεργασίας να ενημερώνει τα υποκείμενα των δεδομένων για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό, καθώς και για το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ.

(28)

Σύμφωνα με το άρθρο 25 παράγραφος 8 του Κανονισμού, ο ΕΕΠΔ μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους λόγους που αιτιολογούν την επιβολή του περιορισμού εφόσον αυτό ενδέχεται να διακυβεύσει την ισχύ του περιορισμού. Ο ΕΕΠΔ πρέπει να αξιολογεί κατά περίπτωση το κατά πόσον η κοινοποίηση του περιορισμού ενδέχεται να ακυρώσει την ισχύ του.

(29)

Ο ΕΕΠΔ πρέπει να άρει τον περιορισμό μόλις οι συνθήκες που αιτιολογούν την επιβολή του παύσουν να υφίστανται, καθώς και να αξιολογεί σε τακτική βάση τις εν λόγω συνθήκες.

(30)

Η διασφάλιση της μέγιστης δυνατής προστασίας των δικαιωμάτων και των υποχρεώσεων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 44 παράγραφος 1 του Κανονισμού επιτάσσει την έγκαιρη ενημέρωση του υπεύθυνου προστασίας δεδομένων για τους επιβαλλόμενους περιορισμούς και τον έλεγχο συμμόρφωσης της σχετικής απόφασης από αυτόν.

(31)

Η επιβολή των προαναφερθέντων περιορισμών είναι ανεξάρτητη από την πιθανή εφαρμογή των διατάξεων του άρθρου 16 παράγραφος 5 και του άρθρου 17 παράγραφος 4, τα οποία διαλαμβάνουν, αντιστοίχως, σχετικά με το δικαίωμα ενημέρωσης όταν τα δεδομένα δεν έχουν αποκτηθεί από το υποκείμενο των δεδομένων, καθώς και με το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων.

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Αντικείμενο και πεδίο εφαρμογής

Με την παρούσα απόφαση θεσπίζονται κανόνες σχετικά με τους όρους υπό τους οποίους ο ΕΕΠΔ δύναται να επιβάλλει περιορισμούς κατά την εφαρμογή των άρθρων 14 έως 20, 35 και 36, καθώς και του άρθρου 4 του Κανονισμού βάσει του άρθρου 25 αυτού.

Άρθρο 2

Περιορισμοί

1.   Σύμφωνα με το άρθρο 25 παράγραφος 1 του Κανονισμού, ο ΕΕΠΔ μπορεί να επιβάλλει περιορισμούς κατά την εφαρμογή των άρθρων 14 έως 20, 35 και 36, καθώς και του άρθρου 4 αυτού, στο μέτρο που οι διατάξεις τους αφορούν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20, στις ακόλουθες περιπτώσεις:

α)

όταν διενεργεί διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής δυνάμει του άρθρου 86 του κανονισμού υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης (3) και σύμφωνα με το παράρτημα IX του εν λόγω κανονισμού, καθώς και σύμφωνα με την απόφαση του ΕΕΠΔ της 23ης Απριλίου 2015, βάσει της οποίας δύναται να κοινοποιεί τις σχετικές υποθέσεις στην IDOC ή την OLAF. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του Κανονισμού,

β)

όταν διασφαλίζει τη δυνατότητα των μελών του προσωπικού του ΕΕΠΔ να αναφέρουν εμπιστευτικώς γεγονότα που φρονούν ότι συνιστούν σοβαρές παρατυπίες σύμφωνα με την απόφαση του ΕΕΠΔ της 14ης Ιουνίου 2016 σχετικά με τους εσωτερικούς κανόνες που διέπουν την καταγγελία παράνομων δραστηριοτήτων. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχείο η) του Κανονισμού,

γ)

όταν διασφαλίζει τη δυνατότητα των μελών του προσωπικού του ΕΕΠΔ να καταθέτουν με τη δέουσα εμπιστευτικότητα στους συμβούλους του ΕΕΠΔ στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης, όπως προβλέπεται στην απόφαση του ΕΕΠΔ της 10ης Δεκεμβρίου 2014. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχείο η) του Κανονισμού,

δ)

όταν διενεργεί έρευνες στο πλαίσιο καταγγελιών που αφορούν δραστηριότητες επεξεργασίας που εκτελούνται από τα θεσμικά και τα λοιπά όργανα και τους οργανισμούς της Ένωσης, σύμφωνα με το άρθρο 57 παράγραφος 1 στοιχείο ε) του Κανονισμού. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του Κανονισμού,

e)

όταν διενεργεί έρευνες σχετικά με την εφαρμογή του Κανονισμού, και ειδικότερα σχετικά με τη συμμόρφωση των θεσμικών και των λοιπών οργάνων και των οργανισμών της Ένωσης, σύμφωνα με το άρθρο 57 παράγραφος 1 στοιχείο στ) του Κανονισμού. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του Κανονισμού,

ε)

όταν διενεργεί έρευνες σχετικά με πιθανές παραβάσεις που αφορούν τις διαβαθμισμένες πληροφορίες ΕΕ βάσει της απόφασης του ΕΕΠΔ της 18ης Φεβρουαρίου 2014 σχετικά με την τροποποίηση των οικείων κανόνων ασφάλειας που αφορούν τις διαβαθμισμένες πληροφορίες ΕΕ. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του Κανονισμού,

στ)

όταν διενεργεί εσωτερικούς ελέγχους που αφορούν το σύνολο των δραστηριοτήτων και των τμημάτων του ΕΕΠΔ. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του Κανονισμού,

ζ)

όταν παρέχει και λαμβάνει συνδρομή, καθώς και όταν συνεργάζεται με τα άλλα θεσμικά και τα λοιπά όργανα και τους οργανισμούς της Ένωσης με βάση τις συναφείς συμφωνίες σε υπηρεσιακό επίπεδο, τα μνημόνια και τις συμφωνίες συνεργασίας. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του Κανονισμού,

η)

όταν παρέχει και λαμβάνει συνδρομή καθώς και όταν συνεργάζεται με εθνικές αρχές τρίτων χωρών και διεθνείς οργανισμούς κατόπιν αιτήματός τους ή ιδία πρωτοβουλία, σύμφωνα με το άρθρο 51 του Κανονισμού. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του Κανονισμού,

θ)

όταν παρέχει και λαμβάνει συνδρομή καθώς και όταν συνεργάζεται με τις δημόσιες αρχές των κρατών μελών της ΕΕ κατόπιν αιτήματός τους ή ιδία πρωτοβουλία. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του Κανονισμού,

ι)

όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που περιέχονται σε έγγραφα τα οποία αποκτούν τα μέρη ή οι παρεμβαίνοντες σε επίδικη υπόθεση ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης βάσει του άρθρου 58 παράγραφος 4 του Κανονισμού. Οι σχετικοί περιορισμοί μπορούν να βασίζονται στο άρθρο 25 παράγραφος 1 στοιχείο ε) του Κανονισμού,

2.   Οι κατηγορίες δεδομένων αφορούν, μεταξύ άλλων, τα στοιχεία ταυτότητας φυσικών προσώπων, τα στοιχεία επικοινωνίας, τους επαγγελματικούς ρόλους και τα καθήκοντα, πληροφορίες που αφορούν προσωπική ή επαγγελματική συμπεριφορά και επιδόσεις, καθώς και χρηματοοικονομικά δεδομένα.

3.   Οι τυχόν περιορισμοί δεν πρέπει να θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, ενώ πρέπει να αποτελούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία.

4.   Πριν από την επιβολή περιορισμών πρέπει να διενεργείται κατά περίπτωση έλεγχος αναγκαιότητας και αναλογικότητας του μέτρου. Οι περιορισμοί δεν πρέπει να υπερβαίνουν το αυστηρώς αναγκαίο μέτρο για την επίτευξη των καθορισμένων στόχων.

5.   Στο πλαίσιο της λογοδοσίας, ο ΕΕΠΔ δημιουργεί αρχείο στο οποίο αρχειοθετεί τους λόγους που αιτιολογούν τους επιβληθέντες περιορισμούς, τους αναφερόμενους στην παράγραφο 1 λόγους που συντρέχουν στη συγκεκριμένη περίπτωση και το πόρισμα του ελέγχου αναγκαιότητας και αναλογικότητας του μέτρου. Τα αρχεία αυτά αποτελούν μέρος του ad hoc αρχείου, το οποίο τίθεται στη διάθεση των ενδιαφερομένων κατόπιν υποβολής αιτήματος στον ΕΕΠΔ. Ανά τακτά χρονικά διαστήματα δημοσιεύεται έκθεση σχετικά με την εφαρμογή του άρθρου 25 του Κανονισμού.

6.   Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της συνεργασίας του με άλλους οργανισμούς στο πλαίσιο άσκησης των αρμοδιοτήτων του, ο ΕΕΠΔ πρέπει να διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τη σκοπιμότητα, την αναγκαιότητα και την αναλογικότητα της επιβολής των εξεταζόμενων περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητες του ΕΕΠΔ.

Άρθρο 3

Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων

Η εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα ενδέχεται να υπόκεινται σε περιορισμούς, καθώς και η περίοδος διατήρησής τους, καταγράφονται στο αρχείο των συναφών δραστηριοτήτων επεξεργασίας σύμφωνα με το άρθρο 31 του Κανονισμού και, κατά περίπτωση, στις σχετικές εκτιμήσεις αντικτύπου σχετικά με την προστασία των δεδομένων βάσει του άρθρου 39 του Κανονισμού.

Άρθρο 4

Περίοδοι αποθήκευσης και εγγυήσεις

Ο ΕΕΠΔ εφαρμόζει εγγυήσεις για την πρόληψη της καταχρηστικής ή της παράνομης πρόσβασης ή της διαβίβασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να υπόκεινται σε περιορισμούς. Οι εγγυήσεις αυτές περιλαμβάνουν τεχνικά και οργανωτικά μέτρα και πρέπει να παρουσιάζονται αναλυτικά, κατά περίπτωση, στις εσωτερικές αποφάσεις, τις διαδικασίες και τους εκτελεστικούς κανόνες του ΕΕΠΔ. Μεταξύ των εν λόγω εγγυήσεων περιλαμβάνονται οι εξής:

α)

επαρκής καθορισμός των ρόλων, των αρμοδιοτήτων και των διαδικαστικών μέτρων,

β)

κατά περίπτωση, ασφαλές ηλεκτρονικό περιβάλλον που αποτρέπει την παράνομη ή την τυχαία πρόσβαση ή τη διαβίβαση ηλεκτρονικών δεδομένων σε μη εξουσιοδοτημένα πρόσωπα,

γ)

κατά περίπτωση, ασφαλής αποθήκευση και επεξεργασία έγχαρτων εγγράφων,

δ)

προσήκουσα παρακολούθηση των περιορισμών και αναθεώρησή τους ανά τακτά χρονικά διαστήματα, τουλάχιστον ανά έξι μήνες. Αναθεώρηση πρέπει επίσης να διενεργείται σε περίπτωση μεταβολής ουσιωδών στοιχείων της εξεταζόμενης υπόθεσης. Οι περιορισμοί αίρονται μόλις πάψουν να υφίστανται οι περιστάσεις που δικαιολογούν την επιβολή τους.

Άρθρο 5

Ενημέρωση του υπεύθυνου προστασίας δεδομένων και επανεξέταση από αυτόν

1.   Ο υπεύθυνος προστασίας δεδομένων του ΕΕΠΔ ενημερώνεται αμελλητί κάθε φορά που περιορίζονται τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με την παρούσα απόφαση και του παρέχεται πρόσβαση στο αρχείο καταγραφής και σε οποιαδήποτε έγγραφα που περιλαμβάνουν υποκείμενα πραγματικά και νομικά στοιχεία.

2.   Ο υπεύθυνος προστασίας δεδομένων του ΕΕΠΔ μπορεί να ζητήσει επανεξέταση του επιβληθέντος περιορισμού. Ο υπεύθυνος προστασίας δεδομένων ενημερώνεται γραπτώς από τον ΕΕΠΔ για το αποτέλεσμα της ζητηθείσας επανεξέτασης.

3.   Η συμμετοχή του υπεύθυνου προστασίας δεδομένων του ΕΕΠΔ στη διαδικασία που αφορά τους περιορισμούς, συμπεριλαμβανομένων των ανταλλαγών πληροφοριών, τεκμηριώνεται δεόντως.

Άρθρο 6

Ενημέρωση των υποκειμένων των δεδομένων σχετικά με τους περιορισμούς των δικαιωμάτων τους

1.   Ο ΕΕΠΔ περιλαμβάνει στις δηλώσεις περί προστασίας δεδομένων που δημοσιεύονται στον διαδικτυακό του τόπο γενικές πληροφορίες για τα υποκείμενα των δεδομένων που αφορούν πιθανούς περιορισμούς όλων των δικαιωμάτων των υποκειμένων των δεδομένων που αναφέρονται στο άρθρο 2 παράγραφος 1. Οι πληροφορίες αφορούν τα δικαιώματα που ενδέχεται να περιοριστούν, τους λόγους και την πιθανή διάρκεια του εκάστοτε περιορισμού.

2.   Επιπλέον, ο ΕΕΠΔ ενημερώνει γραπτώς και χωρίς αδικαιολόγητη καθυστέρηση το εκάστοτε υποκείμενο των δεδομένων σχετικά με τους επιβληθέντες ή τους μελλοντικούς περιορισμούς των δικαιωμάτων του, όπως ειδικότερα ορίζεται στα άρθρα 7, 8 και 9.

Άρθρο 7

Δικαίωμα ενημέρωσης των υποκειμένων των δεδομένων και γνωστοποίηση παραβάσεων που αφορούν τα δεδομένα

1.   Κάθε φορά που στο πλαίσιο των αναφερόμενων στην παρούσα απόφαση δραστηριοτήτων ο ΕΕΠΔ περιορίζει, εν όλω ή εν μέρει, τα αναφερόμενα στα άρθρα 14 έως 16 και 35 του Κανονισμού δικαιώματά τους, τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό, καθώς και για το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ και να ασκήσουν δικαστική προσφυγή ενώπιον του Δικαστηρίου.

2.   Ο ΕΕΠΔ μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους λόγους που αιτιολογούν την επιβολή του αναφερόμενου στην παράγραφο 1 περιορισμού εφόσον αυτό ενδέχεται να διακυβεύσει την ισχύ του περιορισμού. Η εκτίμηση αυτή διενεργείται κατά περίπτωση.

Άρθρο 8

Το δικαίωμα των υποκειμένων των δεδομένων στην πρόσβαση, διόρθωση, διαγραφή και περιορισμό της επεξεργασίας

1.   Κάθε φορά που στο πλαίσιο των αναφερόμενων στην παρούσα απόφαση δραστηριοτήτων ο ΕΕΠΔ περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα, καθώς και τα αναφερόμενα αντιστοίχως στα άρθρα 17 έως 20 του Κανονισμού δικαιώματα διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας, ενημερώνει τα θιγόμενα υποκείμενα των δεδομένων, στην απάντησή του προς το αίτημά τους, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό, καθώς και για το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ ή να ασκήσουν δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

2.   Κάθε φορά που το δικαίωμα πρόσβασης περιορίζεται εν όλω ή εν μέρει, ο ΕΕΠΔ, αφού επιληφθεί της καταγγελίας, ενημερώνει το υποκείμενο των δεδομένων μόνο σχετικά με την ορθότητα της επεξεργασίας των δεδομένων και, σε περίπτωση σφάλματος, σχετικά με τις τυχόν αναγκαίες διενεργηθείσες διορθώσεις, σύμφωνα με το άρθρο 25 παράγραφος 7 του Κανονισμού.

3.   Ο ΕΕΠΔ μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους λόγους που αιτιολογούν την επιβολή του αναφερόμενου στις παραγράφους 1 και 2 περιορισμού εφόσον αυτό ενδέχεται να διακυβεύσει την ισχύ του περιορισμού. Η εκτίμηση αυτή διενεργείται κατά περίπτωση.

Άρθρο 9

Απόρρητο της ηλεκτρονικής επικοινωνίας

1.   Υπό εξαιρετικές περιστάσεις και σύμφωνα με τις διατάξεις και το σκεπτικό της οδηγίας 2002/58/ΕΚ, ο ΕΕΠΔ μπορεί να περιορίζει το δικαίωμα στο απόρρητο των ηλεκτρονικών επικοινωνιών, όπως ορίζεται στο άρθρο 36 του Κανονισμού. Στην περίπτωση αυτή, ο ΕΕΠΔ θεσπίζει αναλυτικούς ειδικούς εσωτερικούς κανόνες που διαλαμβάνουν σχετικά με τις περιστάσεις, τους λόγους, τους συναφείς κινδύνους και τις σχετικές εγγυήσεις.

2.   Κάθε φορά που ο ΕΕΠΔ περιορίζει το δικαίωμα στο απόρρητο των ηλεκτρονικών επικοινωνιών, ενημερώνει τα θιγόμενα υποκείμενα των δεδομένων, στην απάντησή του προς το αίτημά τους, για τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό, καθώς και για το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ ή να ασκήσουν δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

3.   Ο ΕΕΠΔ μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους λόγους που αιτιολογούν την επιβολή του αναφερόμενου στις παραγράφους 1 και 2 περιορισμού εφόσον αυτό ενδέχεται να διακυβεύσει την ισχύ του περιορισμού. Η εκτίμηση αυτή διενεργείται κατά περίπτωση.

Άρθρο 10

Έναρξη ισχύος

Η παρούσα απόφαση αρχίζει να ισχύει από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Βρυξέλλες, 2 Απριλίου 2019

Για τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων

Giovanni BUTTARELLI


(1)  ΕΕ L 295 της 21.11. 2018, σ. 39.

(2)  Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου της 29ης Φεβρουαρίου 1968 περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (ΕΕ L 56 της 4.3.1968, σ. 1).

(3)  Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου της 29ης Φεβρουαρίου 1968 περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (ΕΕ L 56 της 4.3.1968, σ. 1).