(1)

Az (EU, Euratom) 2018/1046 európai parlamenti és tanácsi rendelet (1) értelmében mindegyik uniós intézménynek létre kell hoznia egy belső ellenőri feladatkört, amelyet a vonatkozó nemzetközi szabványoknak megfelelően kell ellátni. A belső ellenőrzési tevékenységeket a Bizottságban a 2000. április 11-én létrehozott Belső Ellenőrzési Szolgálat (a továbbiakban: a Szolgálat) végzi. A Szolgálat olyan decentralizált uniós ügynökségeknél és más autonóm szerveknél is végez belső ellenőrzési tevékenységeket, amelyek az uniós költségvetésből hozzájárulásokat kapnak.

(2)

A Szolgálat a belső ellenőrzési tevékenységeket az (EU, Euratom) 2018/1046 rendelet 117–123. cikkével és a működési szabályzattal (2) összhangban végzi. E tekintetben a Szolgálat teljes függetlenséget élvez, illetve teljes körű és korlátlan hozzáférést kap a belső ellenőrzési tevékenységéhez szükséges valamennyi információhoz az adott uniós intézmény minden tevékenységével és szervezeti egységével kapcsolatban.

(3)

A Szolgálat tanácsot ad a Bizottság egyéb szervezeti egységeinek, a végrehajtó ügynökségeknek, valamint az Unió decentralizált ügynökségeinek és más olyan önálló szerveknek, amelyek az uniós költségvetésből hozzájárulásokat kapnak arra vonatkozóan, hogy miként kell kezelni a kockázatokat, azaz minden olyan eseményt vagy kérdést, amely bekövetkezhet, és hátrányosan befolyásolhatja a Bizottság politikai, stratégiai és operatív céljainak elérését, továbbá a Szolgálat független véleményt ad ki az irányítási és kontrollrendszerek minőségéről, valamint ajánlásokat ad ki a műveletek végrehajtási feltételeinek javítása és a hatékony és eredményes pénzgazdálkodás előmozdítása érdekében, az (EU, Euratom) 2018/1046 rendelet 117–123. cikkének megfelelően. Ezért a Szolgálat belső ellenőrzési tevékenységei jellemzően nem természetes személyekre irányulnak. Mindazonáltal elkerülhetetlen, hogy tevékenységei során az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (3) 3. cikkének 1. bekezdése szerinti személyes adatok adatkezelés tárgyát képezzék. A Szolgálat által végzett belső ellenőrzési tevékenységek közé tartozik a belső irányítási rendszerek alkalmasságának és hatékonyságának, valamint a szervezeti egységek által a szakpolitikák, programok és intézkedések végrehajtása tekintetében nyújtott teljesítménynek felmérése, illetve a minden egyes költségvetés-végrehajtási műveletre alkalmazandó belső kontroll- és ellenőrzési rendszerek hatékonyságának és eredményességének értékelése. Ezek a tevékenységek biztosítják az Unió és a tagállamok fontos gazdasági és pénzügyi érdekeinek védelmét. A Szolgálat az adatkezelési műveletek adatkezelője, amelyeket a költségvetési rendelet 118. cikkének és 119. cikke (2) bekezdésének megfelelően hajt végre.

(4)

A Bizottságnál és annak végrehajtó ügynökségeinél, illetve a decentralizált uniós ügynökségeknél és más autonóm szerveknél végzett belső ellenőrzési tevékenységek formájukban és tartalmukban egyaránt sokfélék lehetnek, a biztosíték (beleértve a kockázatértékeléseket) és szaktanácsadás nyújtásán át a korlátozott hatókörű felülvizsgálatig és a nyomonkövetési feladatokig.

(5)

A 2018. november 21-én frissített működési szabályzatának (C(2018)7707) megfelelően az Ellenőrzésfelügyeleti Bizottság egy tanácsadó testület (4), amely segíti a Bizottságot a Szerződések és egyéb jogszabályok [(EU, Euratom) 2018/1046 rendelet] értelmében fennálló kötelezettségek teljesítésében azáltal, hogy biztosítja a Belső Ellenőrzési Szolgálat függetlenségét, ellenőrzi a belső ellenőrzési tevékenység minőségét, és biztosítja, hogy a belső és külső ellenőrzés ajánlásait a Bizottság szolgálatai megfelelően figyelembe vegyék, illetve hogy a szolgálatok megfelelő nyomon követésben részesüljenek. Ezáltal az Ellenőrzésfelügyeleti Bizottság elősegíti, hogy tovább javuljon a Bizottság eredményessége és hatékonysága céljainak elérése tekintetében, és hozzájárul ahhoz, hogy a biztosi testület áttekintéssel rendelkezzen az Európai Bizottság irányítása, kockázatkezelése és belső ellenőrzési gyakorlatai fellett. Az Ellenőrzésfelügyeleti Bizottság az adatkezelési művelet(ek) adatkezelője, amelye(ke)t a költségvetési rendelet 123. cikkének megfelelően hajt végre.

(6)

Az (EU, Euratom) 2018/1046 rendelet 118. cikke és 119. cikkének (2) bekezdése szerinti tevékenységei céljára – függetlenül attól, hogy saját kezdeményezésre vagy a kapott információk alapján jár-e el – a Bizottság olyan személyes adatokat kezel, amelyeket jogi személyektől, természetes személyektől, tagállamoktól, valamint a nemzetközi testületektől és szervezetektől kap vagy kér be. Az ilyen jellegű belső ellenőrzési tevékenységek során a Szolgálat nyilvánosan hozzáférhető forrásokból, anonim forrásokból vagy azonosított, személyazonosságuk védelmét igénylő forrásokból származó kapott vagy bekért személyes adatokat is kezelhet.

(7)

A Bizottság másfelől személyes adatokat cserélhet az uniós intézményekkel, testületekkel, hivatalokkal és ügynökségekkel, a tagállamok illetékes hatóságaival, illetve – a Bizottság megfelelő nemzetközi vagy együttműködési megállapodásának keretében – harmadik országokkal és nemzetközi szervezetekkel.

(8)

Belső ellenőrzési tevékenység keretében végzett, személyes adatok kezelésével kapcsolatos tevékenységekre az (EU) 2018/1725 rendelet 3. cikkének 3. pontjának értelmében a hivatalos bizottsági eljárás megindítását megelőzően is sor kerülhet, és azok az ellenőrzési tevékenység teljes folyamata során, sőt az ellenőrzési tevékenység hivatalos lezárása után is folytatódhatnak (például az ajánlások végrehajtásának nyomon követése miatt, vagy azért, hogy a Bizottság felmérje az új belső ellenőrzési tevékenységek megindításának szükségességét).

(9)

A Bizottság által kezelt személyes adat kategóriái lehetnek például azonosító adatok, kapcsolattartási adatok, szakmai adatok, valamint a tevékenység tárgyához kapcsolódó vagy azzal kapcsolatba hozott adatok. Az ilyen kategóriákba tartozó személyes adatokat biztonságos elektronikus környezetben tárolják, hogy megakadályozzák az adatokhoz való jogosulatlan hozzáférést vagy az adatok továbbítását olyan személyek számára, akiknek nem szükséges azokról tudniuk. A személyes adatokat legfeljebb 10 éves időtartamig őriznek meg. A megőrzési időszak végén a belső ellenőrzési tevékenységgel kapcsolatos információk, beleértve a személyes adatokat is, a Bizottság irattárába kerülnek át (5), vagy megsemmisítik azokat.

(10)

A Bizottság a belső ellenőrzési tevékenységek végzése során tiszteletben tartja a természetes személyeknek az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és a Szerződés 16. cikkének (1) bekezdése által elismert, a személyes adatok kezelésével kapcsolatos jogait, valamint az (EU) 2018/1725 rendelet által biztosított jogokat. Ezzel egyidejűleg a Bizottságnak meg kell felelnie a nemzetközi belső ellenőrzési szabványokban említett szigorú titoktartási szabályoknak, az (EU, Euratom) 2018/1046 rendelet 117. cikkének megfelelően.

(11)

Bizonyos körülmények között az érintettek (EU) 2018/1725 rendelet szerinti jogait össze kell egyeztetni a belső ellenőrzési tevékenységek szükségleteivel, a természetes és jogi személyekkel folytatott információcsere bizalmas kezelésével, valamint más érintettek alapvető jogainak és szabadságainak teljes körű tiszteletben tartásával. E célból az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), g) és h) pontja lehetőséget biztosít arra, hogy a Szolgálat korlátozza a 14–17., 19., 20. és 35. cikk alkalmazását, továbbá a 4. cikk (1) bekezdésének a) pontjában meghatározott átláthatóság elvének alkalmazását, amennyiben annak rendelkezései megfelelnek az említett rendelet 14–17., 19., 20. és 35. cikkében meghatározott jogoknak és kötelezettségeknek.

(12)

A belső ellenőrzési tevékenységek hatékonyságának biztosítása érdekében – a 45/2001/EK európai parlamenti és tanácsi rendelet helyébe lépő (EU) 2018/1725 rendelet (6) szerinti személyes adatok védelmével kapcsolatos szabványok tiszteletben tartása mellett – belső szabályokat kell elfogadni, amelyek alapján a Bizottság az érintettek jogait az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), g) és h) pontjával összhangban korlátozhatja.

(13)

A belső szabályoknak ki kell terjedniük minden olyan adatkezelési műveletre, amelyet a Bizottság a belső ellenőrzési tevékenységei során végez, függetlenül attól, hogy saját kezdeményezésre vagy kapott adatok alapján jár el, amennyiben az érintettek jogainak gyakorlása veszélyeztetheti a belső ellenőrzési tevékenységek végzését. Ezeknek a szabályoknak vonatkozniuk kell mindazon adatkezelési műveletekre, amelyekre az eljárások hivatalos megindítását megelőzően, az eljárás során, valamint az eredmény nyomon követésének ellenőrzésekor kerül sor.

(14)

Az (EU) 2018/1725 rendelet 14., 15. és 16. cikkének való megfelelés érdekében a Bizottságnak a saját honlapján közzétett adatvédelmi értesítés formájában átlátható és következetes módon tájékoztatnia kell az összes személyt a személyes adatainak kezelését magában foglaló bizottsági tevékenységekről, valamint a jogaikról. Adott esetben a Bizottságnak további biztosítékokat kell nyújtania annak biztosítása érdekében, hogy az érintettek egyenként, megfelelő formában tájékoztatást kapjanak.

(15)

Az (EU) 2018/1725 rendelet 25. cikke alapján a Bizottság a saját belső ellenőrzési tevékenységeinek védelme, a tagállami közigazgatási szervek vizsgálatainak védelme, a vizsgálati eszközök és módszerek védelme, valamint más személyek belső ellenőrzési tevékenységeihez kapcsolódó jogainak védelme érdekében is korlátozhatja az érintettek tájékoztatását és egyéb jogainak alkalmazását.

(16)

Emellett a hatékony együttműködés fenntartása érdekében szükséges lehet, hogy a Bizottság a bizottsági szolgálatok vagy más uniós intézmények, szervek, hivatalok és ügynökségek vagy a tagállami hatóságok és nemzetközi szervezetek, illetve az Ellenőrzésfelügyeleti Bizottság adatkezelési műveleteinek védelme érdekében korlátozza az érintettek jogainak alkalmazását. Ennek érdekében a Bizottságnak konzultálnia kell e szolgálatokkal, intézményekkel, szervekkel, hivatalokkal, ügynökségekkel, hatóságokkal és szervezetekkel, illetve az Ellenőrzésfelügyeleti Bizottsággal a korlátozások bevezetésének releváns okairól, valamint a korlátozások szükségességéről és arányosságáról.

(17)

Előfordulhat az is, hogy a Bizottságnak harmadik országoktól vagy nemzetközi szervezetektől kapott személyes adatokkal kapcsolatban kell korlátoznia az érintettek tájékoztatását és egyéb jogainak alkalmazását az érintett országokkal vagy szervezetekkel való együttműködés és ezáltal az Unió egy fontos közérdekű céljának védelme érdekében. Bizonyos körülmények között azonban az érintett érdeke vagy alapvető jogai fontosabbnak minősülhetnek a nemzetközi együttműködés érdekeinél.

(18)

A Bizottságnak átlátható módon kell kezelnie az összes korlátozást, és a megfelelő nyilvántartási rendszerben a korlátozások minden alkalmazását nyilvántartásba kell vennie.

(19)

Az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében az adatkezelők az érintettre vonatkozó korlátozás alkalmazásának okaira vonatkozó tájékoztatást elhalaszthatják, elhagyhatják vagy megtagadhatják, amennyiben e tájékoztatás bármilyen módon veszélyeztetné a korlátozás célját. Ez különösen az (EU) 2018/1725 rendelet 16. és 35. cikkében meghatározott jogok korlátozásának az esetében áll fenn.

(20)

Amennyiben az érintett egyéb jogait korlátozzák, az Belső Ellenőrzési Szolgálat adatkezelőjének eseti alapon kell értékelnie, hogy a korlátozásról szóló értesítés veszélyeztetné-e a korlátozás célját.

(21)

Az e határozatnak való megfelelés érdekében az Európai Bizottság adatvédelmi tisztviselőjének el kell végeznie a korlátozások alkalmazásának független felülvizsgálatát.

(22)

Az (EU) 2018/1725 rendelet a 45/2001/EK rendelet helyébe lép, átmeneti időszak nélkül, a hatálybalépése napjától számítva. A 45/2001/EK rendelet rendelkezett bizonyos jogok korlátozása alkalmazásának lehetőségéről. A belső ellenőrzési tevékenységek jogszerűsége veszélyeztetésének elkerülése érdekében ezt a határozatot a (EU) 2018/1725 rendelet hatálybalépésének időpontjától kell alkalmazni.

(23)

Az európai adatvédelmi biztos 2018. november 27-án nyilvánított véleményt,