1.   Bij dit besluit worden voorschriften en procedures vastgesteld voor de toepassing van Verordening (EU) 2018/1725 door de Raad en het secretariaat-generaal van de Raad (SGR) en worden nadere uitvoeringsvoorschriften vastgesteld met betrekking tot de functionaris voor gegevensbescherming van de Raad (DPO).

2.   Bij dit besluit worden de voorschriften vastgesteld die de Raad en het SGR in verband met de toezichts-, onderzoeks-, audit- of adviserende taken van de DPO in acht moeten nemen wanneer de DPO betrokkenen over de verwerking van hun persoonsgegevens overeenkomstig de artikelen 14, 15 en 16 van Verordening (EU) 2018/1725 informeert.

3.   Bij dit besluit worden de voorwaarden vastgesteld waarop de Raad en het SGR in verband met de toezichts-, onderzoeks-, audit- of adviserende taken van de DPO de toepassing van de artikelen 4, 14 tot en met 17, 19, 20 en 35 van Verordening (EU) 2018/1725 kunnen beperken overeenkomstig artikel 25, lid 1, punten c), g) en h), van die verordening.

4.   Dit besluit is van toepassing op de verwerking van persoonsgegevens door de Raad en het SGR ten behoeve van of met betrekking tot de in artikel 45 van Verordening (EU) 2018/1725 bedoelde taken van de DPO.

1.   De secretaris-generaal van de Raad wijst de DPO aan uit het personeel van het SGR en registreert hem bij de Europese Toezichthouder voor gegevensbescherming (EDPS), overeenkomstig artikel 43 van Verordening (EU) 2018/1725.

2.   De DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 45 van Verordening (EU) 2018/1725 bedoelde taken te vervullen. De DPO heeft ook een gedegen kennis van het SGR, zijn structuur en zijn administratieve voorschriften en procedures. Voor de uitvoering van zijn taken wordt de DPO ontheven van alle andere taken binnen het SGR.

3.   De DPO wordt aangewezen voor een periode vijf jaar en komt in aanmerking voor herbenoeming.

4.   De DPO en zijn personeel ressorteren rechtstreeks onder de secretaris-generaal van de Raad en brengen rechtstreeks aan hem verslag uit.

5.   Bij de uitvoering van zijn taken handelt de DPO onafhankelijk en ontvangt hij geen instructies van de secretaris-generaal van de Raad, de gedelegeerd verwerkingsverantwoordelijken of de operationeel verwerkingsverantwoordelijken of van enige andere persoon, met betrekking tot de interne toepassing van de bepalingen van Verordening (EU) 2018/1725 of zijn samenwerking met de EDPS.

6.   De Raad en het SGR ondersteunen de DPO bij de vervulling van de in artikel 45 van Verordening (EU) 2018/1725 bedoelde taken door hem de daartoe en de voor het in stand houden van zijn deskundigheid benodigde middelen ter beschikking te stellen en hem toegang te verschaffen tot persoonsgegevens en verwerkingen.

7.   De DPO wordt niet ontslagen of gestraft voor het uitvoeren van zijn taken. De DPO mag enkel worden ontslagen overeenkomstig artikel 44, lid 8, van Verordening (EU) 2018/1725. Om de instemming van de EDPS met een dergelijk ontslag op grond van dat artikel te verkrijgen, wordt de EDPS schriftelijk geraadpleegd. Een afschrift van die instemming wordt aan de DPO gezonden.

8.   Het SGR, met name de gedelegeerd verwerkingsverantwoordelijken en de operationeel verwerkingsverantwoordelijken, zorgen ervoor dat de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

1.   De DPO voert alle taken uit waarin artikel 45 van Verordening (EU) 2018/1725 voorziet. De DPO voert met name de volgende taken uit:

De DPO kan door de secretaris-generaal, de betrokken verwerkingsverantwoordelijken, het personeelscomité en elke natuurlijke persoon, zonder de officiële weg te volgen, over elke aangelegenheid betreffende de toepassing of uitvoering van Verordening (EU) 2018/1725 worden geraadpleegd.

2.   De DPO houdt een register bij van de vastgelegde verwerkingen en maakt dit overeenkomstig artikel 12openbaar toegankelijk.

3.   De DPO houdt ook een intern register bij van inbreuken in verband met persoonsgegevens in de zin van artikel 3, punt 16, van Verordening (EU) 2018/1725.

4.   De DPO adviseert desgevraagd de gedelegeerd verwerkingsverantwoordelijke over een verzoek met betrekking tot de beperking van de toepassing van de artikelen 14 tot en met 22, 35 en 36, alsmede artikel 4 van Verordening (EU) 2018/1725.

5.   De DPO organiseert geregeld vergaderingen van coördinatoren voor gegevensbescherming en zit deze voor.

6.   De DPO dient jaarlijks een verslag over zijn activiteiten in bij de secretaris-generaal van de Raad en stelt het ter beschikking van het personeel van het SGR.

7.   De DPO werkt samen met de door de andere instellingen en organen van de Unie aangewezen functionarissen voor gegevensbescherming en woont geregeld vergaderingen bij die door de EDPS of de functionarissen voor gegevensbescherming van de andere instellingen en organen van de Unie worden bijeengeroepen om een goede samenwerking te bevorderen, met name door ervaringen en beste praktijken uit te wisselen.

8.   De DPO wordt voor de verwerkingsactiviteiten die in het kader van zijn taken worden verricht, als gedelegeerd verwerkingsverantwoordelijke beschouwd.

1.   De verwerkingsverantwoordelijken betrekken de DPO bij de planning en bespreking van een activiteit waarbij sprake is van verwerking van persoonsgegevens. De DPO wordt in kennis gesteld van elke verwerking en van elke belangrijke wijziging van een bestaande verwerking.

2.   De DPO wordt in kennis gesteld van ontwerpen van interne nota’s en besluiten van het SGR die rechtstreeks verband houden met de interne toepassing van Verordening (EU) 2018/1725.

3.   De DPO wordt in kennis gesteld van alle contacten met externe partijen met betrekking tot de interne toepassing van Verordening (EU) 2018/1725 en van eventuele contacten met de EDPS, met name indien de EDPS wordt geraadpleegd of geïnformeerd op grond van de artikelen 40 en 41 van die verordening.

4.   Wanneer persoonsgegevens worden verwerkt door een verwerker, wordt de DPO geraadpleegd over ontwerpregelingen tussen gezamenlijke verwerkingsverantwoordelijken en over ontwerpcontractbepalingen inzake gegevensbescherming of andere rechtshandelingen.

1.   De gedelegeerd verwerkingsverantwoordelijken zien erop toe dat bij alle verwerkingen die onder hun toezicht plaatsvinden Verordening (EU) 2018/1725 wordt nageleefd.

2.   In het bijzonder moeten de gedelegeerd verwerkingsverantwoordelijken:

3.   De gedelegeerd verwerkingsverantwoordelijken zorgen ervoor dat de DPO tijdig wordt betrokken bij alle kwesties in verband met persoonsgegevens en treffen passende regelingen om ervoor te zorgen dat de coördinator voor gegevensbescherming naar behoren wordt betrokken bij alle kwesties die verband houden met gegevensbescherming in hun directoraat-generaal of andere dienst van het SGR.

4.   De gedelegeerd verwerkingsverantwoordelijken zorgen ervoor dat passende technische en organisatorische maatregelen worden genomen om aan te tonen dat de verwerkingsactiviteiten in overeenstemming zijn met Verordening (EU) 2018/1725, en geven het personeel van het SGR passende instructies om zowel de vertrouwelijkheid van de verwerking als een beveiligingsniveau te waarborgen dat is afgestemd op de risico’s die de verwerking met zich meebrengt. Zij kunnen bij de selectie van deze maatregelen de DPO raadplegen.

5.   De gedelegeerd verwerkingsverantwoordelijken brengen aan de DPO verslag uit over de behandeling van verzoeken van een betrokkene om zijn rechten uit te oefenen, en staan de DPO en de EDPS bij in de vervulling van hun taken, in het bijzonder door in antwoord op hun verzoeken binnen 30 dagen informatie te verstrekken.

6.   De gedelegeerd verwerkingsverantwoordelijken zijn verantwoordelijk voor de toepassing van een beperking van de toepassing van de artikelen 14 tot en met 22, 35 en 36 van Verordening (EU) 2018/1725, alsmede van artikel 4 van die verordening, overeenkomstig de toepasselijke interne voorschriften. De gedelegeerd verwerkingsverantwoordelijken betrekken de DPO gedurende de gehele procedure bij de toepassing van een dergelijke beperking.

7.   De gedelegeerd verwerkingsverantwoordelijken zorgen ervoor dat er interne regelingen met andere directoraten-generaal of diensten van het SGR van kracht zijn, indien de gedelegeerd verwerkingsverantwoordelijke samen met die directoraten-generaal of diensten van het SGR verwerkingen verricht of als zij een deel van de verwerkingen van de gedelegeerd verwerkingsverantwoordelijke verrichten.

De in de eerste alinea bedoelde regelingen bepalen de respectieve verantwoordelijkheden van de gedelegeerd verwerkingsverantwoordelijken en andere directoraten-generaal of diensten van het SGR voor de naleving van de desbetreffende gegevensbeschermingsverplichtingen. In die regelingen wordt met name vastgelegd welke gedelegeerd verwerkingsverantwoordelijke de middelen en doelen van de verwerking bepaalt, alsook welke operationeel verwerkingsverantwoordelijke voor de verwerking verantwoordelijk is en, zo nodig, welke personen of entiteiten de operationeel verwerkingsverantwoordelijke ter zijde dienen te staan bij onder meer informatievoorziening in het geval van inbreuken in verband met gegevens of om rekening te houden met de rechten van betrokkenen.

1.   De operationeel verwerkingsverantwoordelijken helpen de gedelegeerd verwerkingsverantwoordelijke bij het waarborgen van de naleving van Verordening (EU) 2018/1725 voor de verwerkingen waarvoor hij verantwoordelijk is, en fungeren als het eerste contactpunt voor betrokkenen.

2.   In het bijzonder moeten de operationeel verwerkingsverantwoordelijken:

3.   De operationeel verwerkingsverantwoordelijken stellen de DPO zonder onnodige vertraging in kennis van inbreuken in verband met persoonsgegevens en verstrekken hem of haar alle nodige informatie om ervoor te zorgen dat de Raad voldoet aan de verplichtingen inzake inbreuken in verband met persoonsgegevens uit hoofde van de artikelen 34 en 35 van Verordening (EU) 2018/1725.

4.   In overleg met de gedelegeerd verwerkingsverantwoordelijke en de DPO stellen de operationeel verwerkingsverantwoordelijken de EDPS in voorkomend geval in kennis van inbreuken in verband met persoonsgegevens. Waar passend, stellen zij de betrokkenen daarvan eveneens in kennis.

5.   De operationeel verwerkingsverantwoordelijken zorgen ervoor dat de coördinator voor gegevensbescherming op de hoogte wordt gehouden van alle aangelegenheden die verband houden met gegevensbescherming.

6.   De operationeel verwerkingsverantwoordelijken beoordelen het risico voor de rechten en vrijheden van de betrokkene in verband met de verwerkingen waarvoor zij verantwoordelijk zijn, en voeren waar nodig een gegevensbeschermingseffectbeoordeling uit. De operationeel verwerkingsverantwoordelijken winnen bij het uitvoeren van deze effectbeoordelingen en over de noodzaak van voorafgaande raadpleging het advies van de DPO in overeenkomstig de artikelen 39 en 40 van Verordening (EU) 2018/1725.

7.   De operationeel verwerkingsverantwoordelijken verrichten op verzoek van de gedelegeerd verwerkingsverantwoordelijke elke andere taak die binnen het toepassingsgebied van dit besluit valt.

1.   Elk directoraat-generaal of andere dienst van het SGR wijst in overleg met de DPO een of meer coördinatoren voor gegevensbescherming aan om de gedelegeerd verwerkingsverantwoordelijke en de operationeel verwerkingsverantwoordelijken van zijn of haar directoraat-generaal of andere dienst van het SGR bij te staan in alle aspecten die verband houden met de bescherming van persoonsgegevens.

2.   De coördinatoren voor gegevensbescherming worden gekozen op basis van hun kennis van en ervaring met de werking van het directoraat-generaal of de andere dienst van het SGR, geschiktheid voor de functie, competenties met betrekking tot gegevensbescherming, kennis van de beginselen van informatiesystemen, en communicatieve vaardigheden. Pas benoemde coördinatoren voor gegevensbescherming ronden binnen zes maanden na hun benoeming een opleiding af om de competenties te verwerven die nodig zijn voor hun rol. Een coördinator voor gegevensbescherming die minder dan twee jaar voor zijn of haar benoeming als contactpersoon in een ander directoraat-generaal of andere dienst van het SGR heeft gewerkt, is van die opleidingsverplichting vrijgesteld.

3.   De functie van coördinator voor gegevensbescherming maakt deel uit van de functiebeschrijving van elk tot contactpersoon benoemd personeelslid van het SGR. In het jaarlijkse beoordelingsrapport worden hun verantwoordelijkheden en prestaties vermeld.

4.   De coördinatoren voor gegevensbescherming worden naar behoren en tijdig betrokken bij alle kwesties die verband houden met gegevensbescherming in hun directoraat-generaal of andere dienst van het SGR en vervullen hun taken in nauwe samenwerking met de DPO.

5.   De coördinatoren voor gegevensbescherming hebben het recht om van de verwerkingsverantwoordelijken en van het personeel de informatie te verkrijgen die passend en noodzakelijk is voor de vervulling van hun taken binnen hun directoraat-generaal of andere dienst van het SGR. Dit omvat niet de toegang tot persoonsgegevens die onder de verantwoordelijkheid van de gedelegeerd verwerkingsverantwoordelijke worden verwerkt. Coördinatoren voor gegevensbescherming hebben alleen toegang tot persoonsgegevens indien dat noodzakelijk is voor de uitvoering van hun taken.

6.   De coördinatoren voor gegevensbescherming brengen gegevensbeschermingsaangelegenheden onder de aandacht en helpen de gedelegeerd verwerkingsverantwoordelijken binnen hun directoraat-generaal of andere dienst van het SGR hun verplichtingen na te komen, met name wat betreft:

7.   De coördinatoren voor gegevensbescherming helpen de operationeel verwerkingsverantwoordelijken binnen hun directoraat-generaal of andere dienst van het SGR hun verplichtingen na te komen, met name wat betreft:

1.   De DPO houdt een register van de verwerkingen bij en zorgt ervoor dat dit register toegankelijk is via de website van de DPO op het intranet van het SGR en via de website van de Raad.

2.   De operationeel verwerkingsverantwoordelijke stelt de DPO in kennis van elke verwerking en dient de vastleggingen van verwerkingen en de bijbehorende privacyverklaring in door middel van een formulier dat via het intranet van het SGR (onder “gegevensbescherming”) toegankelijk is. De melding aan de DPO geschiedt elektronisch. Na overleg met de DPO bevestigt de gedelegeerd verwerkingsverantwoordelijke de vastlegging van de gegevens en de bijbehorende privacyverklaring en maakt deze in het register bekend.

3.   De vastlegging bevat alle in artikel 31 van Verordening (EU) 2018/1725 genoemde informatie. De door de DPO in het register ingevoerde informatie kan evenwel bij wijze van uitzondering worden beperkt, wanneer zulks nodig is om de beveiliging van een specifieke verwerking te garanderen. De operationeel verwerkingsverantwoordelijke stelt de DPO onverwijld in kennis van elke wijziging in dergelijke informatie.

1.   Indien zich een inbreuk in verband met persoonsgegevens voordoet, vraagt de gedelegeerd verwerkingsverantwoordelijke of operationeel verwerkingsverantwoordelijke de coördinator voor gegevensbescherming om hulp en stelt hij de DPO zonder onnodige vertraging in kennis van het incident en verstrekt de DPO hem of haar alle nodige informatie om ervoor te zorgen dat de Raad voldoet aan de verplichting inzake de melding en mededeling van inbreuken in verband met persoonsgegevens op grond van de artikelen 34 en 35 van de Verordening (EU) 2018/1725.

2.   De DPO zet een intern register van inbreuken in verband met persoonsgegevens op en houdt dit bij. De gedelegeerd verwerkingsverantwoordelijken en operationeel verwerkingsverantwoordelijken verstrekken de nodige informatie om het register aan te vullen.

3.   De gedelegeerd verwerkingsverantwoordelijken en operationeel verwerkingsverantwoordelijken stellen de kennisgeving aan de EDPS op in overleg met de DPO, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

1.   De DPO kan, op eigen initiatief of op verzoek van de gedelegeerd verwerkingsverantwoordelijke, de operationeel verwerkingsverantwoordelijke, de verwerker, van het personeelscomité of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die verband houden met zijn taken, en verslag uitbrengen aan de persoon die om het onderzoek verzocht heeft, dan wel aan de gedelegeerd verwerkingsverantwoordelijke, de operationeel verwerkingsverantwoordelijke of de verwerker.

2.   Verzoeken om instelling van een onderzoek worden schriftelijk aan de DPO toegezonden. Ingeval het recht van verzoek om instelling van een onderzoek duidelijk misbruikt wordt, bijvoorbeeld wanneer dezelfde natuurlijke persoon recentelijk een identiek verzoek heeft gedaan, is de DPO niet verplicht de verzoeker te antwoorden.

3.   Binnen 15 dagen na ontvangst van een verzoek tot instelling van een onderzoek zendt de DPO de persoon die het verzoek heeft ingediend een ontvangstbewijs toe en gaat de DPO na of het verzoek als vertrouwelijk moet worden behandeld.

4.   De DPO verzoekt de gedelegeerd verwerkingsverantwoordelijke om een verslag op te stellen over de gegevensverwerkingsverrichting die het onderwerp vormt van het verzoek tot instelling van een onderzoek. De gedelegeerd verwerkingsverantwoordelijke doet zijn antwoord binnen 15 dagen aan de DPO toekomen. De DPO kan de gedelegeerd verwerkingsverantwoordelijke, de operationeel verwerkingsverantwoordelijke, de verwerker of andere betrokken diensten van het SGR om aanvullende informatie verzoeken. Zo nodig, kan hij de juridische dienst van de Raad om advies verzoeken. De DPO ontvangt de verzochte informatie of het advies binnen 30 dagen.

5.   De DPO brengt uiterlijk drie maanden na ontvangst van het verzoek tot instelling van een onderzoek verslag uit aan de persoon die het verzoek heeft ingediend. Deze termijn kan worden opgeschort tot de DPO alle noodzakelijke informatie heeft verkregen waarom hij heeft verzocht.

6.   Niemand mag nadeel ondervinden van het feit dat hij een zaak die naar hij beweert Verordening (EU) 2018/1725 schendt, onder de aandacht van de DPO heeft gebracht.

1.   De rechten van betrokkenen als vastgelegd in de artikelen 14 tot en met 24 van Verordening (EU) 2018/1725 kunnen uitsluitend door de betrokkene of zijn naar behoren gemachtigde vertegenwoordiger worden uitgeoefend.

2.   De betrokkene zendt verzoeken schriftelijk toe aan de operationeel verwerkingsverantwoordelijke, met een afschrift aan de DPO. Zo nodig, helpt de DPO de betrokkene vast te stellen wie ter zake de operationeel verwerkingsverantwoordelijke is. Het verzoek kan in elektronische vorm worden ingediend en bevat:

3.   De operationeel verwerkingsverantwoordelijke zendt de betrokkene binnen vijf werkdagen na registratie van het verzoek een ontvangstbewijs toe. De operationeel verwerkingsverantwoordelijke vraagt bij onduidelijke of onvolledige verzoeken om opheldering. Zolang alle nodige ophelderingen niet zijn verstrekt, gaan de toepasselijke termijnen uit hoofde van artikel 14, leden 3 en 4, van Verordening (EU) 2018/1725 niet in.

4.   De operationeel verwerkingsverantwoordelijke controleert de identiteit van de betrokkene overeenkomstig artikel 14, lid 6, van Verordening (EU) 2018/1725. Zolang de identiteitscontrole loopt, gaat de toepasselijke termijnen uit hoofde van artikel 14, leden 3 en 4, van die verordening, niet in.

5.   De operationeel verwerkingsverantwoordelijke willigt binnen de in artikel 14, leden 3 en 4, van Verordening (EU) 2018/1725 bepaalde termijnen het verzoek van de betrokkene in of deelt de redenen voor de gehele of gedeeltelijke weigering schriftelijk mee.

6.   In geval van een uiterst complex verzoek, onregelmatigheden of kennelijk misbruik door de betrokkene bij de uitoefening van zijn rechten, indien de verwerking van een verzoek waarschijnlijk een risico voor de rechten en vrijheden van andere betrokkenen inhoudt of indien de verwerking door de betrokkene onrechtmatig wordt geacht, raadpleegt de operationeel verwerkingsverantwoordelijke de DPO.

1.   Bij de uitoefening van zijn taken ten aanzien van de rechten van betrokkenen overeenkomstig Verordening (EU) 2018/1725 gaat de Raad of het SGR na of een van de in die verordening vastgestelde uitzonderingen van toepassing is.

2.   Onverminderd de artikelen 18 tot en met 22 van dit besluit kan de Raad of het SGR, overeenkomstig artikel 25, lid 1, punten c), g) en h), van Verordening(EU) 2018/1725, de toepassing van de artikelen 14 tot en met 17, 19, 20 en 35 van die verordening, evenals de toepassing van het in artikel 4, lid 1, punt a), van die verordening neergelegde transparantiebeginsel beperken voor zover de bepalingen ervan overeenkomen met de in de artikelen 14 tot en met 17, 19 en 20 van die verordening bedoelde rechten en verplichtingen, wanneer de uitoefening van die rechten en verplichtingen de uitoefening van de taken van de DPO onder meer door de openbaarmaking van zijn onderzoeks- of auditinstrumenten en -methoden in het gedrang zou brengen of afbreuk zou doen aan de rechten en vrijheden van andere betrokkenen.

3.   Onverminderd de artikelen 18 en 22 van dit besluit kan de Raad of het SGR de in lid 2 bedoelde rechten en verplichtingen beperken voor persoonsgegevens die de DPO van directoraten-generaal of diensten van het SGR of van andere instellingen of organen van de Unie heeft ontvangen. De Raad of het SGR kan daartoe overgaan wanneer de uitoefening van die rechten en verplichtingen door die directoraten-generaal of diensten van het SGR of andere instellingen of organen zou kunnen worden beperkt op grond van andere in artikel 25 van Verordening (EU) 2018/1725 bedoelde handelingen of overeenkomstig hoofdstuk IX van die verordening of overeenkomstig Verordening (EU) 2016/794 van het Europees Parlement en de Raad (10) of Verordening (EU) 2017/1939 van de Raad (11).

Voordat beperkingen worden toegepast onder de in de eerste alinea bedoelde omstandigheden, raadpleegt de Raad of het SGR de betrokken instelling of het betrokken orgaan van de Unie, tenzij het duidelijk is dat in de toepassing van een beperking is voorzien door een van de in die alinea bedoelde handelingen.

4.   Elke beperking van de rechten en verplichtingen als bedoeld in lid 2 is noodzakelijk en evenredig in het licht van de risico’s voor de rechten en vrijheden van betrokkenen.

1.   Het SGR publiceert op de website van de Raad mededelingen over gegevensbescherming om betrokkenen te informeren over de taken van de DPO waarbij hun persoonsgegevens worden verwerkt.

2.   Het SGR informeert afzonderlijk, in een geëigende vorm, elke natuurlijke persoon die het in het kader van de taken van de DPO als betrokkene aanmerkt.

3.   Indien het SGR de verstrekking van informatie aan de in lid 2 van dit artikel bedoelde betrokkenen geheel of gedeeltelijk beperkt, legt het SGR de redenen voor die beperking vast en registreert het die overeenkomstig artikel 21.

1.   Indien de Raad of het SGR het recht van inzage in persoonsgegevens door betrokkenen, het recht op wissing of het recht op beperking van de verwerking als bedoeld in, onderscheidenlijk, de artikelen 17, 19 en 20 van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, stellen zij de betrokkene in hun antwoord op een verzoek om inzage, wissing of beperking van de verwerking in kennis van de toegepaste beperking en van de belangrijkste redenen daarvoor, alsmede van de mogelijkheid om een klacht in te dienen bij de EDPS of om beroep in te stellen bij het Hof van Justitie van de Europese Unie.

2.   Het verstrekken van de informatie over de redenen voor de in lid 1 bedoelde beperking kan uitgesteld, achterwege gelaten of geweigerd worden zolang die verstrekking het doel van de beperking zou ondermijnen. Zodra het verstrekken van de informatie dat doel niet ondermijnt, verstrekt de Raad deze informatie aan de betrokkene.

3.   Overeenkomstig artikel 21 legt het SGR de redenen voor de beperking vast en registreert het deze.

1.   Het SGR legt de redenen vast voor beperkingen op grond van dit besluit, met inbegrip van een evaluatie per geval van de noodzaak en de evenredigheid van de beperking, met inachtneming van de desbetreffende elementen van artikel 25, lid 2, van Verordening (EU) 2018/1725.

Daartoe wordt in de vastleggingen vermeld hoe de uitoefening van een van de in de artikelen 14 tot en met 17 en de artikelen 19, 20 en 35 van die verordening bedoelde rechten of van het in artikel 4, lid 1, punt a), van die verordening vastgelegde transparantiebeginsel de activiteiten van de DPO uit hoofde van dit besluit of van krachtens artikel 17, leden 2 of 3, van dit besluit toegepaste beperkingen in het gedrang zou brengen of afbreuk zou doen aan de rechten en vrijheden van andere betrokkenen.

2.   De vastleggingen en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen, worden geregistreerd. Deze worden de EDPS op diens verzoek ter beschikking gesteld.

1.   De in de artikelen 18, 19 en 20 bedoelde beperkingen blijven van toepassing zolang de redenen daarvoor blijven bestaan.

2.   Wanneer de redenen voor een in de artikelen 18 en 20 bedoelde beperking niet langer van toepassing zijn, heft het SGR de beperking op en informeert het de betrokkene over de redenen voor de beperking. Tegelijkertijd informeert het SGR de betrokkene over de mogelijkheid om op elk moment een klacht bij de EDPS in te dienen of om hoger beroep bij het Hof van Justitie van de Europese Unie in te stellen.

3.   Het SGR evalueert de toepassing van de in de artikelen 18 en 20 bedoelde beperkingen om de zes maanden nadat zij zijn vastgesteld, en in elk geval bij de voltooiing van de betrokken DPO-taak. Na de voltooiing monitort het SGR jaarlijks de noodzaak om eventuele beperkingen of uitstelperioden te handhaven.

1.   Indien andere directoraten-generaal of diensten van het SGR concluderen dat de rechten van een betrokkene op grond van dit besluit dienen te worden beperkt, informeren zij de DPO. Ook verschaffen zij de DPO inzage in de vastleggingen en eventuele documenten met onderliggende feitelijke en juridische elementen. De betrokkenheid van de DPO bij de toepassing van beperkingen wordt uitvoerig gedocumenteerd.

2.   De DPO kan erom verzoeken dat de betrokken gedelegeerd verwerkingsverantwoordelijke de toepassing van de beperkingen evalueert. De betrokken gedelegeerd verwerkingsverantwoordelijke informeert de DPO schriftelijk over het resultaat van de gevraagde evaluatie.