DEĊIŻJONI Nru 4/2022 TAL-BUREAU TAL-KUMITAT TAR-REĠJUNI

tal-25 ta’ Jannar 2022

li tistabbilixxi regoli interni dwar restrizzjonijiet ta’ ċerti drittijiet tas-suġġetti tad-data fir-rigward tal-ipproċessar ta’ data personali fil-kuntest ta’ attivitajiet u proċeduri mwettqa mill-Kumitat tar-Reġjuni

IL-BUREAU TAL-KUMITAT TAR-REĠJUNI,

Wara li kkunsidra t-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (1) u, b’mod partikolari, l-Artikolu 306 tiegħu,

Wara li kkunsidra r-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (2) (“ir-Regolament” jew “ir-Regolament tal-UE dwar il-Protezzjoni tad-Data”), u b’mod partikolari l-Artikolu 25 tiegħu,

Wara li kkunsidra r-Regoli ta’ Proċedura tal-Kumitat Ewropew tar-Reġjuni (3), u partikolarment l-Artikolu 37(d) tiegħu,

Wara li kkunsidra l-Opinjoni D(2021) 0894 (Każ 2021-0345) tal-Kontrollur Ewropew għall-Protezzjoni tad-Data (“l-EDPS”) tal-20 ta’ April 2021, li ġie kkonsultat b’konformità mal-Artikolu 41(2) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data,

BILLI:

(1)	Skont l-Artikolu 3(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, kwalunkwe informazzjoni relatata ma’ persuna fiżika identifikata jew identifikabbli (“suġġett tad-data”) għandha titqies bħala data personali.

(2)	Ir-Regolament japplika, bl-istess mod għal kwalunkwe istituzzjoni tal-Unjoni, għall-Kumitat tar-Reġjuni (“il-Kumitat”) fir-rigward tal-ipproċessar ta’ data personali fil-kuntest tal-attivitajiet u l-proċeduri li jwettaq.

(3)	Il-Kontrollur skont it-tifsira tal-Artikolu 3(8) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data huwa l-Kumitat li jista’ jiddelega r-responsabbiltà sabiex jiġu determinati l-iskopijiet u l-mezzi tal-ipproċessar tad-data personali.

(4)

Skont l-Artikolu 45(3) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, il-Bureau tal-Kumitat tar-Reġjuni (“il-Bureau”) adotta regoli ta’ implimentazzjoni (4) dwar ir-Regolament u l-Uffiċjal tal-Protezzjoni tad-Data tal-Kumitat (“l-UPD”). F’konformità ma’ dawn ir-regoli, id-dipartiment (direttorat, unità jew settur) tas-Segretarjat Ġenerali tal-Kumitat jew is-segretarjat ta’ wieħed mill-gruppi politiċi fil-Kumitat li, waħdu jew b’mod konġunt ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar tad-data personali għandu, fir-rigward ta’ din id-data, jaġixxi f’isem il-Kumitat bħala kontrollur delegat.

(5)

Il-Kumitat u l-Kumitat Ekonomiku u Soċjali Ewropew (“il-KESE”) jaqsmu ċerti dipartimenti u riżorsi (“is-Servizzi Konġunti”) fil-kuntest tal-kooperazzjoni interistituzzjonali, u r-regoli interni applikabbli dwar ir-restrizzjonijiet tad-drittijiet tas-suġġetti tad-data fir-rigward tal-ipproċessar tad-data personali mis-Servizzi Konġunti għandhom jiġu ddeterminati skont l-arranġamenti konklużi bejn il-Kumitat u l-KESE għal dak il-għan.

(6)

Sabiex jissodisfaw il-kompiti tal-Kumitat, il-kontrolluri tad-data jiġbru u jipproċessaw l-informazzjoni u diversi kategoriji ta’ data personali, inklużi d-data ta’ identifikazzjoni ta’ persuni fiżiċi, l-informazzjoni ta’ kuntatt, ir-rwoli u l-kompiti professjonali, l-informazzjoni dwar l-imġiba u l-prestazzjoni privata u professjonali, u d-data finanzjarja. Għalhekk, il-kontrolluri tad-data huma obbligati, skont ir-Regolament, li jipprovdu informazzjoni lis-suġġetti tad-data dwar dawk l-attivitajiet ta’ pproċessar li jwettqu u li jirrispettaw id-drittijiet tagħhom bħala suġġetti tad-data.

(7)

Il-kontrolluri tad-data jistgħu jkunu meħtieġa jirrikonċiljaw dawk id-drittijiet mal-għanijiet tal-inkjesti, l-investigazzjonijiet, il-verifiki, l-attivitajiet, l-awditi u l-proċedimenti li jitwettqu fi ħdan il-Kumitat. Jistgħu jkunu wkoll mitluba jibbilanċjaw id-drittijiet ta’ suġġett tad-data mad-drittijiet u l-libertajiet fundamentali ta’ suġġetti oħra tad-data. Għal dan il-għan, l-Artikolu 25(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data jagħti lill-kontrolluri tad-data l-possibbiltà li jirrestrinġu l-applikazzjoni tal-Artikoli 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 u 36 tal-istess Regolament, kif ukoll l-Artikolu 4 tal-istess Regolament sa fejn id-dispożizzjonijiet tiegħu jikkorrispondu mad-drittijiet u l-obbligi previsti fl-Artikoli 14 sa 22 tal-istess Regolament.

(8)	Il-kontrolluri tad-data għandhom japplikaw restrizzjonijiet biss meta dawn jirrispettaw l-essenza tad-drittijiet u l-libertajiet fundamentali, ikunu strettament meħtieġa u jkunu miżura proporzjonata f’soċjetà demokratika.

(9)	Il-kontrolluri tad-data għandhom jagħtu raġunijiet li jispjegaw il-ġustifikazzjoni għal dawk ir-restrizzjonijiet u għandhom iżommu rekord tal-applikazzjoni tagħhom tar-restrizzjonijiet għad-drittijiet tas-suġġetti tad-data.

(10)	Il-kontrolluri tad-data għandhom ineħħu restrizzjoni malli l-kundizzjonijiet li ġġustifikaw ir-restrizzjoni ma jibqgħux japplikaw. Huma għandhom jivvalutaw regolarment dawk il-kundizzjonijiet.

(11)	Sabiex tiġi garantita l-akbar protezzjoni tad-drittijiet u l-libertajiet tas-suġġetti tad-data, l-UPD għandu jiġi kkonsultat fi żmien debitu dwar kwalunkwe restrizzjoni li tista’ tiġi applikata u għandu jivverifika l-konformità tagħhom ma’ din id-Deċiżjoni.

(12)	Sakemm ma jkunx hemm restrizzjonijiet previsti f’att legali adottat abbażi tat-Trattati (5), huwa neċessarju li jiġu adottati regoli interni li skonthom il-kontrolluri tad-data huma intitolati li jirrestrinġu d-drittijiet tas-suġġetti tad-data.

(13)	Din id-Deċiżjoni ma għandhiex tapplika f’każijiet fejn tapplika waħda mill-eċċezzjonijiet stabbiliti fl-Artikoli 15(4) u 16(5) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data fir-rigward tal-informazzjoni li għandha tiġi pprovduta lil suġġett tad-data,

ADOTTA DIN ID-DEĊIŻJONI:

Artikolu 1

Suġġett, kamp ta’ applikazzjoni u definizzjonijiet

1. Din id-Deċiżjoni tistabbilixxi regoli ġenerali relatati mal-kundizzjonijiet li skonthom, skont l-Artikolu 25(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, il-kontrolluri tad-data jistgħu jirrestrinġu l-applikazzjoni, skont il-każ, tal-Artikoli 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 u 36 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, kif ukoll l-Artikolu 4 tal-istess Regolament sa fejn id-dispożizzjonijiet tiegħu jikkorrispondu mad-drittijiet u l-obbligi previsti fl-Artikoli 14 sa 22 tal-istess Regolament.

2. Għall-fini ta’ din id-Deċiżjoni, japplikaw id-definizzjonijiet li ġejjin:

(a)

“data personali” tfisser kwalunkwe informazzjoni relatata ma’ suġġett tad-data li tiġi pproċessata meta jitwettqu attivitajiet jew proċeduri li ma jidħlux fil-kamp ta’ applikazzjoni tal-Kapitolu 4 jew tal-Kapitolu 5 tat-Titolu V tal-Parti Tlieta tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea, għall-kuntrarju ta’ data personali operazzjonali skont it-tifsira tal-Artikolu 3(2) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data,

(b)

“kontrollur tad-data” tfisser l-entità li, waħedha jew flimkien ma’ oħrajn, fil-fatt tiddetermina l-finijiet u l-mezzi tal-ipproċessar tad-data personali fil-kuntest tal-attivitajiet u l-proċeduri mwettqa mill-Kumitat, irrispettivament minn jekk ġietx iddelegata r-responsabbiltà għal tali determinazzjoni.

3. Din id-Deċiżjoni tapplika għall-ipproċessar ta’ data personali għall-finijiet tal-attivitajiet u l-proċeduri mwettqa mill-Kumitat. Din ma għandhiex tapplika meta att legali adottat abbażi tat-Trattati jipprevedi restrizzjoni tad-drittijiet tas-suġġetti tad-data.

4. Il-Kontrollur skont it-tifsira tal-Artikolu 3(8) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data huwa l-Kumitat li jista’ jiddelega r-responsabbiltà sabiex jiġu determinati l-iskopijiet u l-mezzi tal-ipproċessar tad-data personali.

5. Għall-iskop ta’ kull proċessar, restrizzjoni u differiment, ommissjoni jew ċaħda ta’ informazzjoni, il-kontrollur tad-data responsabbli għandu jiġi ddeterminat skont id-deċiżjonijiet interni, il-proċeduri u r-regoli ta’ implimentazzjoni rilevanti tal-Kumitat.

Artikolu 2

Eċċezzjonijiet u derogi

1. Qabel ma ma tiġi applikata kwalunkwe restrizzjoni skont l-Artikolu 3(1), il-kontrolluri tad-data għandhom iqisu jekk tapplikax xi waħda mill-eċċezzjonijiet jew id-derogi stabbiliti fir-Regolament, b’mod partikolari dawk skont l-Artikoli 15(4), 16(5), 19(3), 25(3) u (4), u 35(3) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data.

2. L-applikazzjoni ta’ derogi għandha tkun soġġetta għal salvagwardji adatti skont l-Artikolu 13 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data u l-Artikolu 6 ta’ din id-Deċiżjoni.

Artikolu 3

Restrizzjonijiet

1. Il-kontrolluri tad-data jistgħu jirrestrinġu l-applikazzjoni, skont il-każ, tal-Artikoli 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 u 36 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, kif ukoll tal-Artikolu 4 tal-istess Regolament sa fejn id-dispożizzjonijiet tiegħu jikkorrispondu mad-drittijiet u l-obbligi previsti fl-Artikoli 14 sa 22 tal-istess Regolament, fejn l-eżerċitar tad-drittijiet tagħhom mis-suġġetti tad-data jaffettwa b’mod detrimentali l-iskop jew l-eżitu ta’ waħda jew aktar mill-attivitajiet jew proċeduri mwettqa mill-Kumitat, b’mod partikolari:

(a)

skont l-Artikolu 25(1)(b), (c), (f), (g) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-awtorità tal-ħatra u l-awtorità bis-setgħa li tikkonkludi kuntratti ta’ impjieg tal-Kumitat (“l-Awtorità tal-Ħatra”) iwettqu proċeduri dixxiplinari, inkjesti amministrattivi u investigazzjonijiet relatati ma’ kwistjonijiet tal-persunal f’konformità mal-Artikolu 86 tar-Regolamenti tal-Persunal għall-Uffiċjali tal-Unjoni Ewropea (“ir-Regolamenti tal-Persunal”) u l-Anness IX tar-Regolamenti tal-Persunal kif ukoll l-Artikoli 50a u 119 tal-Kondizzjonijiet tal-Impjieg applikabbli għall-Aġenti l-Oħra tal-Unjoni Ewropea (6) (“il-Kondizzjonijiet tal-Impjieg” jew “is-CEOS”), u investigazzjonijiet fil-kuntest ta’ talbiet għall-assistenza mressqa skont l-Artikolu 24 tar-Regolamenti tal-Persunal u l-Artikoli 11 u 81 tas-CEOS u b’rabta mal-allegati każijiet ta’ fastidju fi ħdan it-tifsira tal-Artikolu 12a tar-Regolamenti tal-Persunal,

(b)

skont l-Artikolu 25(1)(b), (c), (f) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Awtorità tal-Ħatra tirrevedi t-talbiet u l-ilmenti mressqa minn uffiċjali u aġenti oħra tal-Kumitat (“membri tal-persunal”) skont l-Artikolu 90 tar-Regolamenti tal-Persunal u l-Artikoli 46 u 117 tas-CEOS,

(c)	skont l-Artikolu 25(1)(c) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Awtorità tal-Ħatra timplimenta l-politika tal-persunal tal-Kumitat billi twettaq proċeduri ta’ għażla (reklutaġġ), ta’ evalwazzjoni u ta’ promozzjoni,

(d)

skont l-Artikolu 25(1)(c), (f), (g) u (h) tar-tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-uffiċjal awtorizzanti tal-Kumitat (“l-Uffiċjal Awtorizzanti”) jimplimenta t-taqsima tal-Kumitat tal-baġit ġenerali tal-Unjoni Ewropea billi jwettaq proċeduri ta’ għoti skont ir-regoli finanzjarji applikabbli għall-baġit ġenerali tal-Unjoni (7) (“ir-Regolament Finanzjarju”),

(e)

skont l-Artikolu 25(1)(b), (c), (f), (g) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Uffiċjal Awtorizzanti jwettaq monitoraġġ u investigazzjonijiet rigward il-legalità tat-tranżazzjonijiet finanzjarji mwettqa mill-Kumitat u fi ħdanu, fir-rigward tal-intitolamenti finanzjarji (8) tal-membri u s-sostituti tal-Kumitat (“membri tal-Kumitat”), u fir-rigward tal-finanzjament tal-attivitajiet u l-avvenimenti organizzati jew koorganizzati mill-Kumitat, u jindirizza l-irregolaritajiet finanzjarji min-naħa ta’ membru tal-persunal skont l-Artikolu 93 tar-Regolament Finanzjarju,

(f)

skont l-Artikolu 25(1)(b), (c), (f), (g) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Kumitat jipprovdi informazzjoni u dokumenti lill-Uffiċċju Ewropew Kontra l-Frodi (“OLAF”), jew fuq talba tal-OLAF jew fuq inizjattiva tiegħu stess, jinnotifika każijiet lill-OLAF jew jipproċessa informazzjoni u dokumenti riċevuti mill-OLAF (9),

(g)	skont l-Artikolu 25(1)(c), (g) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Kumitat iwettaq awditi interni għall-fini tal-Artikoli 118 u 119 tar-Regolament Finanzjarju u fir-rigward tal-attivitajiet u l-proċeduri tad-dipartimenti tiegħu,

(h)

skont l-Artikolu 25(1)(c), (d) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Kumitat iwettaq valutazzjonijiet interni tar-riskju, kontrolli tal-aċċess, inklużi verifiki tal-preċedenti personali, miżuri ta’ prevenzjoni u investigazzjoni ta’ inċidenti ta’ sikurezza u sigurtà, inklużi inċidenti li jinvolvu membri tal-Kumitat jew membri tal-persunal kif ukoll inċidenti relatati mal-infrastruttura tal-Kumitat u mat-teknoloġiji tal-informazzjoni u l-komunikazzjoni, kif ukoll inkjesti dwar is-sigurtà u investigazzjonijiet awżiljarji, inklużi tan-networks tal-komunikazzjoni elettronika tiegħu, fuq inizjattiva tiegħu stess jew fuq talba minn partijiet terzi,

(i)

skont l-Artikolu 25(1)(c), (d) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-UPD, fuq inizjattiva tiegħu stess jew fuq talba minn partijiet terzi, iwettaq investigazzjonijiet dwar kwistjonijiet u okkorrenzi relatati direttament mal-kompiti tagħhom li jkunu saru jafu bihom, f’konformità mal-Artikolu 45(2) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data,

(j)

skont l-Artikolu 25(1)(h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-kontrolluri tad-data jipproċessaw data personali miksuba fil-kuntest ta’ membru tal-persunal li jirrapporta b’rieda tajba elementi fattwali li jindikaw li jeżistu jew attivitajiet illegali possibbli, inklużi frodi u korruzzjoni, li huma ta’ detriment għall-interessi tal-Unjoni (“irregolaritajiet serji”) jew imġiba relatata mal-qadi ta’ dmirijiet professjonali li jistgħu jikkostitwixxu nuqqas serju ta’ konformità mal-obbligi tal-membri tal-persunal (“imġiba ħażina serja”),

(k)	skont l-Artikolu 25(1)(h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-kontrolluri tad-data jipproċessaw data personali miksuba minn konsulenti kunfidenzjali fil-kuntest tal-proċedura informali għal każijiet ta’ allegat fastidju,

(l)

skont l-Artikolu 25(1)(h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-kontrolluri tad-data jipproċessaw data personali dwar is-saħħa (“data medika”) jew ta’ membru tal-Kumitat jew ta’ membru tal-persunal, inkluża dik ta’ natura psikoloġika jew psikjatrika, li tinsab fil-fajl mediku miżmum mill-Kumitat dwar is-suġġett tad-data kkonċernat,

(m)

skont l-Artikolu 25(1)(e) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta kontrolluri tad-data jipproċessaw data personali f’dokumenti pproċessati jew miksuba mill-partijiet jew mill-intervenjenti fil-kuntest tal-proċeduri quddiem il-Qorti tal-Ġustizzja tal-Unjoni Ewropea (“il-Qorti tal-Ġustizzja”),

(n)

skont l-Artikolu 25(1)(b), (c), (d), (g) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Kumitat jipprovdi jew jirċievi assistenza lil jew minn istituzzjonijiet, korpi, uffiċċji u aġenziji oħra tal-Unjoni u jikkoopera magħhom fil-kuntest tal-attivitajiet jew il-proċeduri msemmija fil-paragrafu 1, punti (a) sa (m), u f’konformità mal-ftehimiet applikabbli dwar il-livell ta’ servizz, il-memoranda ta’ qbil u l-ftehimiet ta’ kooperazzjoni,

(o)

skont l-Artikolu 25(1)(b), (c), (g) u (h) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Kumitat jipprovdi assistenza lill-awtoritajiet tal-Istati Membri jew dawk ta’ pajjiżi terzi jew organizzazzjonijiet internazzjonali – jew jirċievi assistenza mingħandhom – u jikkoopera ma’ tali awtoritajiet u organizzazzjonijiet, jew fuq talba tagħhom jew fuq inizjattiva tiegħu stess,

(p)

skont l-Artikolu 25(1)(a), (b), (e) u (f) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data, meta l-Kumitat jipprovdi lill-awtoritajiet tal-Istati Membri, jew lil dawk ta’ pajjiżi terzi jew organizzazzjonijiet internazzjonali, informazzjoni u dokumenti li jitolbu fil-kuntest ta’ investigazzjonijiet.

2. Ir-restrizzjonijiet imsemmija fil-paragrafu 1 jistgħu jikkonċernaw kemm data personali oġġettiva (“hard data”) kif ukoll suġġettiva (“soft data”), b’mod partikolari iżda mhux esklużivament waħda jew aktar mill-kategoriji li ġejjin:

(a)	Data ta’ identifikazzjoni;

(b)	Data ta’ kuntatt;

(c)	Data professjonali (10);

(d)	Data finanzjarja;

(e)	Data ta’ sorveljanza (11);

(f)	Data dwar it-traffiku (12);

(g)	Data medika (13);

(h)	Data ġenetika (13);

(i)	Data bijometrika (13);

(j)	Data dwar il-ħajja sesswali jew l-orjentazzjoni sesswali ta’ persuna fiżika (13);

(k)	Data li tiżvela l-oriġini razzjali jew etnika, it-twemmin reliġjuż jew filosofiku, l-opinjonijiet politiċi jew l-affiljazzjoni, jew is-sħubija fi trade union (13);

(l)	Data li tiżvela l-prestazzjoni jew l-imġiba ta’ persuni fiżiċi li jipparteċipaw fi proċeduri ta’ għażla (reklutaġġ), ta’ evalwazzjoni jew ta’ promozzjoni (14);

(m)	Data dwar il-preżenza ta’ persuni fiżiċi;

(n)	Data dwar attivitajiet esterni ta’ persuni fiżiċi;

(o)	Data relatata ma’ reati suspettati, ma’ reati, ma’ kundanni kriminali jew ma’ miżuri ta’ sigurtà;

(p)	Komunikazzjonijiet elettroniċi;

(q)	Id-data l-oħra kollha relatata mas-suġġett tal-attività jew il-proċedura rilevanti li teħtieġ l-ipproċessar ta’ dik id-data.

3. Kwalunkwe restrizzjoni għandha tirrispetta l-essenza tad-drittijiet u l-libertajiet fundamentali u tkun meħtieġa u proporzjonata f’soċjetà demokratika, u għandha tkun limitata għal dak li huwa strettament meħtieġ biex jintlaħaq l-objettiv tagħha.

4. Kwalunkwe restrizzjoni tal-applikazzjoni tal-Artikolu 36 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data (Kunfidenzjalità tal-komunikazzjonijiet elettroniċi), kemm jekk totali kif ukoll jekk parzjali, skont il-paragrafu 1 għandha tikkonforma mal-liġi applikabbli tal-Unjoni dwar il-privatezza tal-komunikazzjonijiet elettroniċi (15).

5. Il-kontrolluri tad-data għandhom janalizzaw perjodikament l-applikazzjoni tar-restrizzjonijiet imsemmija fil-paragrafu 1, mill-inqas kull sitt xhur mill-adozzjoni rispettiva tagħhom iżda wkoll meta elementi essenzjali u deċiżivi tal-bidla tal-każ u mat-tlestija jew it-tmiem tal-attività jew il-proċedura li ġġeneraw ir-restrizzjonijiet. Wara dan, huma għandhom jimmonitorjaw il-ħtieġa li tinżamm kwalunkwe restrizzjoni fuq bażi annwali.

6. Ir-restrizzjonijiet imsemmija fil-paragrafu 1 għandhom ikomplu japplikaw dment li jibqgħu applikabbli r-raġunijiet li jiġġustifikawhom, Meta r-raġunijiet għal restrizzjoni msemmija fil-paragrafu 1 ma jibqgħux jeżistu, il-kontrolluri tad-data għandhom ineħħu dik ir-restrizzjoni.

7. Meta jkunu qed jipproċessaw data personali riċevuta minn partijiet terzi fil-kuntest tal-kompiti tal-Kumitat, il-kontrolluri tad-data għandhom jikkonsultaw dawk il-partijiet terzi dwar ir-raġunijiet potenzjali għaliex imponew restrizzjonijiet u dwar in-neċessità u l-proporzjonalità tar-restrizzjonijiet ikkonċernati, sakemm dan ma jxekkilx l-attivitajiet jew il-proċeduri tal-Kumitat.

Artikolu 4

Valutazzjoni tan-neċessità u l-proporzjonalità

1. Qabel ma japplikaw kwalunkwe restrizzjoni, il-kontrolluri tad-data għandhom, fuq bażi ta’ każ b’każ, jivvalutaw jekk ir-restrizzjonijiet ikkunsidrati humiex meħtieġa u proporzjonati.

2. Kull meta l-kontrolluri tad-data jivvalutaw in-neċessità u l-proporzjonalità ta’ restrizzjoni, għandhom iqisu r-riskji potenzjali għad-drittijiet u l-libertajiet tas-suġġett tad-data.

3. Il-valutazzjonijiet tar-riskji għad-drittijiet u l-libertajiet tas-suġġetti tad-data li jirriżultaw mill-impożizzjoni tar-restrizzjonijiet, b’mod partikolari r-riskju li d-data personali tagħhom tista’ tiġi pproċessata ulterjorment mingħajr ma jkunu jafu u li dawn jistgħu ma jitħallewx jeżerċitaw id-drittijiet tagħhom f’konformità mar-Regolament, kif ukoll id-dettalji tal-perjodu ta’ applikazzjoni ta’ dawk ir-restrizzjonijiet, għandhom jiġu rreġistrati fir-reġistru tal-attivitajiet ta’ pproċessar miżmuma mill-kontrolluri tad-data skont l-Artikolu 31(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data. Dawn għandhom jiġu rreġistrati wkoll fi kwalunkwe valutazzjoni tal-impatt fuq il-protezzjoni tad-data rigward dawn ir-restrizzjonijiet imwettqa skont l-Artikolu 39 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data.

Artikolu 5

Dokumentazzjoni u reġistrazzjoni tar-restrizzjonijiet

1. Kull meta l-kontrolluri tad-data japplikaw restrizzjonijiet, huma għandhom jiddokumentaw:

(a)	Ir-raġunijiet għalfejn ġew applikati r-restrizzjonijiet;

(b)	Il-motivazzjoni li għaliha jiġu applikati r-restrizzjonijiet;

(c)	Kif l-eżerċitar tad-drittijiet tas-suġġetti tad-data jaffettwa b’mod detrimentali l-iskop jew l-eżitu ta’ attività jew proċedura waħda jew aktar imwettqa mill-Kumitat;

(d)	L-eżitu tal-valutazzjoni msemmija fl-Artikolu 4(1).

2. Id-dokumentazzjoni msemmija fil-paragrafu 1 għanda tagħmel parti mir-reġistru ċentrali previst fl-Artikolu 31(5) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data u għandhom ikunu disponibbli għall-EDPS fuq talba.

3. Meta l-kontrolluri tad-data jirrestrinġu l-applikazzjoni tal-Artikolu 35 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data (Komunikazzjoni ta’ ksur ta’ data personali lis-suġġett tad-data), ir-rekord imsemmi fil-paragrafu 1 għandu jiġi inkluż fin-notifika lill-EDPS prevista fl-Artikolu 34(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data.

Artikolu 6

Salvagwardji u perjodu ta’ żamma

1. Il-kontrolluri tad-data għandhom jimplimentaw salvagwardji biex jipprevjenu l-użu ħażin ta’ data personali, li jkun hemm aċċess illegali għaliha, jew li tiġi trasferita, li tista’ tkun soġġetta għal restrizzjonijiet skont l-Artikolu 3(1). Tali salvagwardji għandhom jinkludu miżuri tekniċi u organizzazzjonali adatti u għandhom ikunu inklużi, skont kif ikun meħtieġ, fid-deċiżjonijiet interni, fil-proċeduri u fir-regoli ta’ implimentazzjoni rilevanti tal-Kumitat.

2. Is-salvagwardji msemmija fil-paragrafu 1 għandhom jinkludu:

(a)	Rwoli, responsabbiltajiet u passi proċedurali definiti b’mod ċar;

(b)	Fejn meħtieġ, ambjent elettroniku sigur li jipprevjeni li data elettronika tiġi aċċessata b’mod illegali jew aċċidentali minn jew trasferita lil persuni mhux awtorizzati;

(c)	Fejn meħtieġ, il-ħażna u l-ipproċessar siguri ta’ dokumenti stampati;

(d)	Monitoraġġ dovut tar-restrizzjonijiet u rieżami perjodiku tal-applikazzjoni tagħhom.

3. Id-data personali għandha tinżamm skont ir-regoli applikabbli tal-Kumitat dwar iż-żamma (16), li għandhom jiġu stabbiliti fir-rekords miżmuma mill-kontrolluri tad-data skont l-Artikolu 31(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data. Fi tmiem il-perjodu taż-żamma, id-data personali għandha, skont il-każ, titħassar, issir anonima b’tali mod li s-suġġett tad-data kkonċernat ma jkunx jew ma jibqax identifikabbli, jew trasferita fl-arkivji tal-Kumitat skont l-Artikolu 13 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data.

Artikolu 7

Informazzjoni lis-suġġetti tad-data dwar ir-restrizzjoni tad-drittijiet tagħhom

1. L-avviżi dwar il-protezzjoni tad-data ppubblikati fis-sit web pubbliku tal-Kumitat u fl-intranet tiegħu għandhom jinkludu taqsima li tipprovdi lis-suġġetti tad-data b’informazzjoni ġenerali dwar ir-restrizzjoni potenzjali tad-drittijiet tagħhom fil-kuntest tal-attivitajiet u l-proċeduri tal-Kumitat li jinvolvu l-ipproċessar tad-data personali tagħhom. Din it-taqsima għandha tispeċifika d-drittijiet li jistgħu jiġu ristretti, ir-raġunijiet li għalihom jistgħu jiġu applikati r-restrizzjonijiet, it-tul ta’ żmien potenzjali ta’ dawk ir-restrizzjonijiet u r-rimedji amministrattivi u legali disponibbli għas-suġġetti tad-data.

2. Kull meta l-kontrolluri tad-data japplikaw restrizzjonijiet, huma għandhom, mingħajr dewmien żejjed u fl-aktar format adatt, jinfurmaw direttament lil kull suġġett tad-data kkonċernat dwar:

(a)	Kwalunkwe restrizzjoni eżistenti jew imminenti tad-drittijiet tagħhom;

(b)	Ir-raġunijiet prinċipali li fuqhom hija bbażata l-applikazzjoni tar-restrizzjoni;

(c)	Id-dritt tagħhom li jikkonsultaw lill-UPD bil-ħsieb li jikkontestaw ir-restrizzjoni;

(d)	Id-dritt tagħhom li jressqu lment quddiem l-EDPS;

(e)	Id-dritt tagħhom li jitolbu rimedju ġudizzjarju quddiem il-Qorti tal-Ġustizzja.

3. Minkejja l-paragrafu 2, fejn il-kontrolluri tad-data jirrestrinġu, f’każijiet eċċezzjonali, l-applikazzjoni tal-Artikolu 35 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data (Komunikazzjoni ta’ ksur ta’ data personali lis-suġġett tad-data), huma għandhom jikkomunikaw il-ksur tad-data personali lis-suġġett tad-data kkonċernat u jipprovdu l-informazzjoni msemmija fil-paragrafu 2, il-punti (b), (d) u (e), malli r-raġunijiet għar-restrizzjoni ta’ tali komunikazzjoni ma jibqgħux jeżistu.

4. Minkejja l-paragrafu 2, fejn il-kontrolluri tad-data jirrestrinġu, f’każijiet eċċezzjonali, l-applikazzjoni tal-Artikolu 36 tar-Regolament tal-UE dwar il-Protezzjoni tad-Data (Kunfidenzjalità tal-komunikazzjonijiet elettroniċi), huma għandhom jipprovdu l-informazzjoni msemmija fil-paragrafu 2 fit-tweġiba tagħhom għal kwalunkwe talba mis-suġġett tad-data kkonċernat.

5. Il-kontrolluri tad-data jistgħu jiddifferixxu, iħallu barra jew jiċħdu l-għoti tal-informazzjoni msemmija fil-paragrafu 2 (“differiment, ommissjoni jew ċaħda ta’ informazzjoni”) sakemm dan jikkanċella l-effett tar-restrizzjoni. Huma għandhom jipprovdu lis-suġġett tad-data kkonċernat bl-informazzjoni msemmija fil-paragrafu 2 malli dan ma jibqax irendi r-restrizzjoni ineffettiva.

6. L-Artikolu 4 u l-Artikolu 5 għandhom japplikaw b’analoġija fir-rigward ta’ kwalunkwe każ ta’ differiment, ommissjoni jew ċaħda ta’ informazzjoni.

Artikolu 8

Involviment tal-uffiċjal tal-protezzjoni tad-data tal-Kumitat

1. Il-kontrolluri tad-data għandhom, mingħajr dewmien żejjed, jinformaw lill-UPD bil-miktub kull meta jirrestrinġu d-drittijiet ta’ suġġett tad-data skont l-Artikolu 3(1), iwettqu l-analiżijiet perjodiċi msemmija fl-Artikolu 3(5), ineħħu r-restrizzjonijiet kif previst fl-Artikolu 3(6), jew jiddifferixxu, iħallu barra jew jiċħdu l-għoti tal-informazzjoni msemmija fl-Artikolu 7(2) f’konformità mal-Artikolu 7(5). Fuq talba, l-UPD għandu jingħata aċċess għar-rekords assoċjati u kwalunkwe dokument li jkun fih elementi fattwali u legali sottostanti.

2. L-UPD jista’ jitlob lill-kontrolluri tad-data biex janalizzaw kwalunkwe restrizzjoni eżistenti kif ukoll differimenti, ommissjonijiet jew ċaħdiet ta’ informazzjoni, u l-applikazzjoni tagħhom. L-UPD għandu jiġi infurmat bil-miktub dwar l-eżitu tal-analiżi mitluba.

3. L-involviment tal-UPD previst fil-paragrafi 1 u 2 fir-rigward tal-applikazzjoni ta’ restrizzjonijiet u differimenti, ommissjonijiet jew ċaħdiet ta’ informazzjoni għandu jiġi dokumentat kif imiss mill-kontrolluri tad-data, inkluża l-informazzjoni kondiviża mal-UPD.

4. L-UPD għandu, fuq talba, jipprovdi l-fehma tiegħu lill-kontrolluri tad-data dwar id-determinazzjoni tar-responsabbiltajiet tagħhom fil-kuntest ta’ arranġament ta’ kontroll konġunt skont l-Artikolu 28(1) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data.

Artikolu 9

Servizzi Konġunti

L-UPD għandu jikkoopera mal-uffiċjal tal-protezzjoni tad-data tal-KESE fir-rigward tal-ipproċessar tad-data personali mis-Servizzi Konġunti bil-għan li tiġi żgurata l-implimentazzjoni effettiva ta’ din id-Deċiżjoni.

Artikolu 10

Dispożizzjonijiet finali

1. Is-Segretarju Ġenerali jista’, kif meħtieġ, joħroġ istruzzjonijiet jew jadotta miżuri ta’ implimentazzjoni biex, fejn meħtieġ, jispeċifika aktar u jagħti effett lil kwalunkwe dispożizzjoni ta’ din id-Deċiżjoni, f’konformità magħha.

2. Din id-Deċiżjoni għandha tidħol fis-seħħ fl-għoxrin jum wara l-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Magħmul fi Brussell, il-25 ta’ Jannar 2022.

Għall-Bureau tal-Kumitat tar-Reġjuni

Apostolos TZITZIKOSTAS

Il-President

(1) ĠU C 202, 7.6.2016, p. 47.

(2) ĠU L 295, 21.11.2018, p. 39.

(3) ĠU L 472, 30.12.2021, p. 1.

(4) Deċiżjoni Nru 19/2020 tal-Bureau tal-Kumitat tar-Reġjuni li tadotta r-regoli ta’ implimentazzjoni li jikkonċernaw ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data (“Deċiżjoni Nru 19/2020”).

(5) It-Trattat dwar l-Unjoni Ewropea (“TUE”) (ĠU C 202, 7.6.2016, p. 13) u t-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (“TFUE”).

(6) Anness għar-Regolament tal-Kunsill Nru 31 (KEE), 11 (KEEA), li jistabbilixxi r-Regolamenti tal-Persunal għall-Uffiċjali u l-Kondizzjonijiet tal-Impjieg applikabbli għall-Aġenti l-Oħra tal-Komunità Ekonomika Ewropea u l-Komunità Ewropea tal-Enerġija Atomika (ĠU P 45, 14.6.1962, p. 1385 – mhux disponibbli bil-Malti), kif modifikat bir-Regolament (KEE, Euratom, KEFA) Nru 259/68 tal-Kunsill tad-29 ta’ Frar 1968 li jistabbilixxi r-Regolamenti tal-Persunal għal-Uffiċjali u l-Kondizzjonijiet tal-Impjieg ta’ Aġenti Oħra tal-Komunitajiet Ewropej u li jistabbilixxi miżuri temporanji applikabbli għal uffiċjali tal-Kummissjoni (ĠU L 56, 4.3.1968, p. 1) u kif emendat, speċifikat, supplimentat jew modifikat mod ieħor.

(7) Regolament (UE, Euratom) 2018/1046 tal-Parlament Ewropew u tal-Kunsill tat-18 ta’ Lulju 2018 dwar ir-regoli finanzjarji applikabbli għall-baġit ġenerali tal-Unjoni, li jemenda r-Regolamenti (UE) Nru 1296/2013, (UE) Nru 1301/2013, (UE) Nru 1303/2013, (UE) Nru 1304/2013, (UE) Nru 1309/2013, (UE) Nru 1316/2013, (UE) Nru 223/2014 (UE) Nru 283/2014, u d-Deċiżjoni Nru 541/2014/UE u li jħassar ir-Regolament (UE, Euratom) Nru 966/2012 (ĠU L 193, 30.7.2018, p. 1).

(8) Inklużi, iżda mhux limitati għal, indennizzi għall-ispejjeż ġenerali, indennizzi tal-persunal, indennizzi għat-tagħmir u l-faċilitajiet, indennizzi għall-ivvjaġġar, għas-sussistenza u għal-laqgħat (mill-bogħod) kif ukoll indennizzi oħra mħallsa skont l-Artikolu 238 tar-Regolament Finanzjarju.

(9) Dan il-punt ma japplikax għall-ipproċessar ta’ data personali li għaliha l-OLAF jaġixxi bħala l-uniku kontrollur, b’mod partikolari f’każijiet fejn l-OLAF jipproċessa data personali miżmuma fil-bini tal-Kumitat.

(10) Inklużi, iżda mhux limitati għal, kuntratti ta’ impjieg, kuntratti ta’ fornituri ta’ servizzi u data relatata ma’ missjonijiet.

(11) Inklużi, iżda mhux limitati għal, reġistrazzjonijiet awdjo u vidjo u reġistri sign-in u sign-out.

(12) Inklużi, iżda mhux limitati għal, ħinijiet ta’ log-on u log-off, aċċess għal applikazzjonijiet interni u għal riżorsi bbażati fuq in-network u l-użu tal-Internet.

(13) Sa fejn tali data tiġi pproċessata skont l-Artikolu 10(2) tar-Regolament tal-UE dwar il-Protezzjoni tad-Data.

(14) Inklużi, iżda mhux limitati għal, testijiet bil-miktub, diskorsi rreġistrati, dokumenti ta’ evalwazzjoni, u valutazzjonijiet, osservazzjonijiet jew opinjonijiet tal-evalwaturi.

(15) Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37).

(16) Deċiżjoni Nru 129/2003 tas-Segretarju Ġenerali tal-Kumitat tar-Reġjuni tas-17 ta’ Ġunju 2003 dwar il-ġestjoni tad-dokumenti fil-Kumitat tar-Reġjuni.