This document is an excerpt from the EUR-Lex website
Document 32022Q0311(01)
Decision No 4/2022 of the Bureau of the Committee of the Regions of 25 January 2022 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the context of activities and procedures carried out by the Committee of the Regions
Besluit Nr. 4/2022 van het bureau van het Comité van de Regio’s van 25 januari 2022 tot vaststelling van interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van activiteiten en procedures van het Europees Comité van de Regio’s
Besluit Nr. 4/2022 van het bureau van het Comité van de Regio’s van 25 januari 2022 tot vaststelling van interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van activiteiten en procedures van het Europees Comité van de Regio’s
PB L 84 van 11.3.2022, p. 44–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
11.3.2022 |
NL |
Publicatieblad van de Europese Unie |
L 84/44 |
BESLUIT Nr. 4/2022 VAN HET BUREAU VAN HET COMITÉ VAN DE REGIO’S
van 25 januari 2022
tot vaststelling van interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van activiteiten en procedures van het Europees Comité van de Regio’s
HET BUREAU VAN HET COMITÉ VAN DE REGIO’S,
Gezien het Verdrag betreffende de werking van de Europese Unie (1), en met name artikel 306,
Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (2) (“de verordening” of “de EUDPR”), en met name artikel 25,
Gezien het reglement van orde van het Europees Comité van de Regio’s (3), en met name artikel 37, punt d),
Gezien Advies D(2021) 0894 (zaak 2021-0345) van de Europese Toezichthouder voor gegevensbescherming (de “EDPS”) van 20 april 2021, geraadpleegd overeenkomstig artikel 41, lid 2, van de EUDPR,
Overwegende hetgeen volgt:
|
(1) |
Overeenkomstig artikel 3, lid 1, van de EUDPR moeten alle soorten informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”) als persoonsgegevens worden beschouwd. |
|
(2) |
Net als op elke andere EU-instelling is de verordening ook van toepassing op het Comité van de Regio’s (hierna “het Comité”) wat betreft de verwerking van persoonsgegevens in het kader van de activiteiten en procedures die het verricht. |
|
(3) |
De verwerkingsverantwoordelijke in de zin van artikel 3, lid 8, van de EUDPR is het Comité, dat de verantwoordelijkheid voor het bepalen van het doel van en de middelen voor de verwerking van persoonsgegevens kan delegeren. |
|
(4) |
Overeenkomstig artikel 45, lid 3, van de EUDPR heeft het bureau van het Comité van de Regio’s (“het bureau”) uitvoeringsvoorschriften (4) vastgesteld betreffende de verordening en de functionaris voor gegevensbescherming van het Comité (“de DPO”). Overeenkomstig die regels treedt de afdeling (directoraat, eenheid of sector) van het secretariaat-generaal van het Comité die, of het secretariaat van een van de fracties van het Comité dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, namens het Comité op als gedelegeerd verwerkingsverantwoordelijke. |
|
(5) |
Het Comité en het Europees Economisch en Sociaal Comité (“het EESC”) delen bepaalde diensten en middelen (“de gezamenlijke diensten”) in het kader van hun interinstitutionele samenwerking, en de toepasselijke interne regels betreffende de beperking van de rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens door de gezamenlijke diensten moeten worden vastgesteld overeenkomstig de daartoe tussen het Comité en het EESC gemaakte afspraken. |
|
(6) |
Ter uitvoering van de taken van het Comité verzamelen en verwerken verwerkingsverantwoordelijken informatie en verscheidene categorieën persoonsgegevens, waaronder identificatiegegevens van natuurlijke personen, contactinformatie, informatie over professionele rollen en taken, informatie over gedragingen en prestaties in functie en in de persoonlijke levenssfeer, en financiële gegevens. Krachtens de verordening zijn zij daarom verplicht om betrokkenen informatie te verstrekken over hun verwerkingsactiviteiten en om hun rechten als betrokkenen te eerbiedigen. |
|
(7) |
Verwerkingsverantwoordelijken kunnen worden verplicht om deze rechten te verzoenen met de doelstellingen van onderzoeken, controles, activiteiten, audits en procedures die binnen het Comité worden uitgevoerd. Ook kunnen zij worden verplicht om een evenwicht te vinden tussen de rechten van een betrokkene en de fundamentele rechten en vrijheden van andere betrokkenen. In dit verband hebben verwerkingsverantwoordelijken krachtens artikel 25, lid 1, van de EUDPR de mogelijkheid om de toepassing van de artikelen 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 en 36, en artikel 4 van de EUDPR te beperken voor zover de bepalingen ervan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 van de EUDPR voorzien. |
|
(8) |
Verwerkingsverantwoordelijken mogen enkel beperkingen opleggen wanneer deze het wezen van de grondrechten en fundamentele vrijheden eerbiedigen, strikt noodzakelijk zijn en een evenredige maatregel vormen in een democratische samenleving. |
|
(9) |
Zij moeten de redenen voor deze beperkingen uitleggen en de beperkingen die zij toepassen op de rechten van betrokkenen in een register bijhouden. |
|
(10) |
Verwerkingverantwoordelijken moeten een beperking opheffen zodra de omstandigheden die de beperking rechtvaardigden niet langer van toepassing zijn. Zij moeten deze omstandigheden regelmatig onder de loep nemen. |
|
(11) |
Om maximale bescherming van de rechten en vrijheden van betrokkenen te waarborgen, wordt de DPO tijdig geraadpleegd over enigerlei beperkingen die kunnen worden toegepast en zal hij of zij controleren of deze in overeenstemming zijn met dit besluit. |
|
(12) |
Tenzij in een op grond van de Verdragen (5) vastgestelde rechtshandeling beperkingen zijn opgelegd, is het noodzakelijk interne regels vast te stellen volgens welke verwerkingsverantwoordelijken de rechten van betrokkenen mogen beperken. |
|
(13) |
Dit besluit geldt niet wanneer een van de in de artikelen 15, lid 4, en 16, lid 5, van de EUDPR omschreven uitzonderingen met betrekking tot de aan een betrokkene te verstrekken informatie van toepassing is, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
Onderwerp, toepassingsgebied en definities
1. Dit besluit stelt algemene regels vast met betrekking tot de voorwaarden waaronder, overeenkomstig artikel 25, lid 1, van de EUDPR, verwerkingsverantwoordelijken beperkingen mogen opleggen aan de toepassing, naargelang van het geval, van de artikelen 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 en 36 van de EUDPR, alsook van artikel 4 van de EUDPR, voor zover de bepalingen hiervan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 van de EUDPR voorzien.
2. Voor de toepassing van dit besluit wordt verstaan onder:
|
a) |
“persoonsgegevens”: elke informatie over een betrokkene die wordt verwerkt bij het uitvoeren van activiteiten of procedures die niet onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het Verdrag betreffende de werking van de Europese Unie vallen, in tegenstelling tot operationele persoonsgegevens in de zin van artikel 3, lid 2, van de EUDPR; |
|
b) |
“verwerkingsverantwoordelijke”: de entiteit die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van de persoonsgegevens bepaalt in het kader van de activiteiten en procedures van het Comité, ongeacht of de verantwoordelijkheid hiervoor is gedelegeerd. |
3. Dit besluit is van toepassing op de verwerking van persoonsgegevens ten behoeve van de activiteiten en procedures van het Comité. Het is niet van toepassing wanneer een op grond van de Verdragen vastgestelde rechtshandeling voorziet in een beperking van de rechten van betrokkenen.
4. De verwerkingsverantwoordelijke in de zin van artikel 3, lid 8, van de EUDPR is het Comité, dat de verantwoordelijkheid voor het bepalen van het doel van en de middelen voor de verwerking van persoonsgegevens kan delegeren.
5. Voor elke verwerking, beperking, opschorting, achterwegelating of weigering van informatie wordt een verwerkingsverantwoordelijke aangewezen overeenkomstig de relevante interne besluiten, procedures en uitvoeringsvoorschriften van het Comité.
Artikel 2
Vrijstellingen en afwijkingen
1. Alvorens krachtens artikel 3, lid 1, beperkingen toe te passen gaan verwerkingsverantwoordelijken na of in de verordening vastgestelde uitzonderingen of afwijkingen van toepassing zijn, met name die waarin artikel 15, lid 4, artikel 16, lid 5, artikel 19, lid 3, artikel 25, leden 3 en 4, en artikel 35, lid 3, van de EUDPR voorzien.
2. Voor de toepassing van afwijkingen gelden passende waarborgen in overeenstemming met artikel 13 van de EUDPR en artikel 6 van dit besluit.
Artikel 3
Beperkingen
1. Verwerkingsverantwoordelijken kunnen beperkingen opleggen aan de toepassing van de artikelen 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 en 36 van de EUDPR, en van artikel 4 van de EUDPR, voor zover de bepalingen hiervan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 van de EUDPR voorzien, indien de uitoefening van hun rechten door betrokkenen een negatieve weerslag zou hebben op het doel of het resultaat van een of meer activiteiten of procedures van het Comité, met name:
|
a) |
overeenkomstig artikel 25, lid 1, punten b), c), f), g) en h), van de EUDPR, wanneer het tot aanstelling bevoegde gezag en het tot het aangaan van overeenkomsten bevoegde gezag van het Comité (“het tot aanstelling bevoegde gezag”) tuchtprocedures, administratieve onderzoeken en onderzoeken uitvoert met betrekking tot personeelsaangelegenheden uit hoofde van artikel 86 van het Statuut van de ambtenaren van de Europese Unie (“het Statuut”) en bijlage IX bij het Statuut alsmede de artikelen 50 bis en 119 van de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie (6) (“RAP”), en onderzoeken in verband met op grond van artikel 24 van het Statuut en artikelen 11 en 81 van de RAP ingediende verzoeken om bijstand en in verband met vermeende gevallen van intimidatie in de zin van artikel 12 bis van het Statuut; |
|
b) |
overeenkomstig artikel 25, lid 1, punten b), c), f) en h), van de EUDPR, wanneer het tot aanstelling bevoegde gezag verzoeken en klachten behandelt die door ambtenaren en andere personeelsleden van het Comité (“personeelsleden”) zijn ingediend overeenkomstig artikel 90 van het Statuut en de artikelen 46 en 117 van de RAP; |
|
c) |
overeenkomstig artikel 25, lid 1, onder c) en h) van de EUDPR, wanneer het tot aanstelling bevoegde gezag het personeelsbeleid van het Comité uitvoert door middel van selectieprocedures (aanwerving), evaluaties (beoordeling) en bevorderingen; |
|
d) |
overeenkomstig artikel 25, lid 1, punten c), f), g) en h), van de EUDPR, wanneer de ordonnateur van het Comité (“de ordonnateur”) de afdeling van de algemene begroting van de Europese Unie voor het Comité uitvoert door toekenningsprocedures uit te voeren overeenkomstig de voor de algemene begroting van de Unie (7) geldende financiële regels (“het Financieel Reglement” of “FR”); |
|
e) |
overeenkomstig artikel 25, lid 1, punten b), c), f), g) en h), van de EUDPR, wanneer de ordonnateur toezicht houdt op en onderzoek verricht naar de wettigheid van financiële transacties die door en binnen het Comité worden verricht, de financiële rechten (8) van de leden en plaatsvervangers van het Comité (“leden van het Comité”) en de financiering van de activiteiten en evenementen die door het Comité worden georganiseerd of mede georganiseerd, en wanneer de ordonnateur overeenkomstig artikel 93 FR door een personeelslid veroorzaakte financiële onregelmatigheden behandelt; |
|
f) |
overeenkomstig artikel 25, lid 1, punten b), c), f), g) en h), van de EUDPR, wanneer het Comité informatie en documenten verstrekt aan het Europees Bureau voor fraudebestrijding (“OLAF”), op verzoek van OLAF dan wel op eigen initiatief, zaken aan OLAF meldt of van OLAF ontvangen informatie en documenten verwerkt (9); |
|
g) |
overeenkomstig artikel 25, lid 1, punten c), g) en h), van de EUDPR, wanneer het Comité interne audits verricht voor de toepassing van de artikelen 118 en 119 FR en in verband met de activiteiten en procedures van zijn diensten; |
|
h) |
overeenkomstig artikel 25, lid 1, punten c), d) en h), van de EUDPR, wanneer het Comité op eigen initiatief of op verzoek van derden overgaat tot interne risicobeoordelingen, toegangscontroles, met inbegrip van antecedentenonderzoeken, maatregelen voor het voorkomen en onderzoeken van veiligheids- en beveiligingsincidenten, waaronder incidenten waarbij leden of personeelsleden van het Comité betrokken zijn en incidenten met betrekking tot de infrastructuur en de informatie- en communicatietechnologie van het Comité, en veiligheidsonderzoeken en aanvullende onderzoeken, ook van zijn elektronische-communicatienetwerken; |
|
i) |
overeenkomstig artikel 25, lid 1, punten c), d) en h), van de EUDPR, wanneer de DPO, op eigen initiatief of op verzoek van derden, overeenkomstig artikel 45, lid 2, van de EUDPR onderzoek uitvoert naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn of haar taken en waarvan hij of zij kennis heeft gekregen; |
|
j) |
overeenkomstig artikel 25, lid 1, punt h), van de EUDPR, wanneer verwerkingsverantwoordelijken persoonsgegevens verwerken die zijn verkregen doordat een personeelslid te goeder trouw melding heeft gedaan van feiten die wijzen op mogelijke onwettige activiteiten, waaronder fraude en corruptie, die de belangen van de Unie schaden (“ernstige onregelmatigheden”) of van gedragingen bij de uitvoering van werkzaamheden in dienstverband die een aanwijzing vormen voor ernstig plichtsverzuim door ambtenaren (“ernstig wangedrag”); |
|
k) |
overeenkomstig artikel 25, lid 1, punt h), van de EUDPR, wanneer verwerkingsverantwoordelijken persoonsgegevens verwerken die vertrouwenspersonen hebben verkregen bij de informele procedure voor gevallen van vermeende intimidatie; |
|
l) |
overeenkomstig artikel 25, lid 1, punt h), van de EUDPR, wanneer verwerkingsverantwoordelijken persoonsgegevens verwerken betreffende de gezondheid (“medische gegevens”) van een lid van het Comité of een personeelslid, inclusief gegevens van psychologische of psychiatrische aard, die zijn opgenomen in het medisch dossier van het Comité over de betrokkene; |
|
m) |
overeenkomstig artikel 25, lid 1, punt e), van de EUDPR, wanneer verwerkingsverantwoordelijken persoonsgegevens verwerken die voorkomen in door partijen of interveniënten in het kader van een procedure bij het Hof van Justitie van de Europese Unie (“het Hof van Justitie”) aangemaakte of verkregen documenten; |
|
n) |
overeenkomstig artikel 25, lid 1, punten b), c), d), g) en h), van de EUDPR, wanneer het Comité bijstand verleent aan of ontvangt van andere instellingen, organen en instanties van de Unie en met hen samenwerkt in het kader van de in lid 1, punten a) tot en met m), vermelde activiteiten of procedures, en in overeenstemming met de toepasselijke overeenkomsten inzake dienstverleningsniveau, memoranda van overeenstemming en samenwerkingsovereenkomsten; |
|
o) |
overeenkomstig artikel 25, lid 1, punten b), c), g) en h), van de EUDPR, wanneer het Comité bijstand verleent aan of ontvangt van de autoriteiten van de lidstaten, de auoriteiten van derde landen, of internationale organisaties, en op hun verzoek of op eigen initiatief met deze autoriteiten en organisaties samenwerkt; |
|
p) |
overeenkomstig artikel 25, lid 1, punten a), b), e) en f), van de EUDPR, wanneer het Comité de autoriteiten van de lidstaten of van derde landen, dan wel internationale organisaties, informatie en documenten verstrekt waarom zij in het kader van een onderzoek verzoeken. |
2. De in lid 1 bedoelde beperkingen kunnen betrekking hebben op zowel objectieve (“harde gegevens”) als subjectieve (“zachte gegevens”) persoonsgegevens. Het gaat hierbij met name, maar niet uitsluitend, om een of meer van de volgende categorieën:
|
a) |
identificatiegegevens; |
|
b) |
contactgegevens; |
|
c) |
professionele gegevens (10); |
|
d) |
financiële gegevens; |
|
e) |
surveillancegegevens (11); |
|
f) |
verkeersgegevens (12); |
|
g) |
medische gegevens (13); |
|
h) |
genetische gegevens (13) |
|
i) |
biometrische gegevens (13) |
|
j) |
gegevens betreffende het seksleven of de seksuele geaardheid van een natuurlijke persoon (13) |
|
k) |
gegevens waaruit iemands raciale of etnische achtergrond, godsdienstige of levensbeschouwelijke overtuiging, politieke gezindheid dan wel lidmaatschap van een vakvereniging blijkt (13); |
|
l) |
gegevens die inzicht geven in de prestaties of het gedrag van natuurlijke personen die deelnemen aan selectieprocedures (aanwerving), evaluatieprocedures (beoordeling) of bevorderingsprocedures (14); |
|
m) |
gegevens over de aanwezigheid van natuurlijke personen; |
|
n) |
gegevens over externe activiteiten van natuurlijke personen; |
|
o) |
gegevens inzake vermoedens van strafbare feiten, delicten, strafrechtelijke veroordelingen of veiligheidsmaatregelen; |
|
p) |
elektronische communicatie; |
|
q) |
alle andere gegevens die inhoudelijk verband houden met de activiteit of procedure waarvoor de verwerking van die gegevens nodig is. |
3. Beperkingen moeten het wezen van de grondrechten en fundamentele vrijheden eerbiedigen, een noodzakelijke en evenredige maatregel vormen in een democratische samenleving en beperkt blijven tot wat strikt noodzakelijk is om het doel ervan te verwezenlijken.
4. Elke volledige of gedeeltelijke beperking van de toepassing van artikel 36 van de EUDPR (Vertrouwelijkheid van elektronische communicatie) moet overeenkomstig lid 1 in overeenstemming zijn met het toepasselijke EU-recht inzake de privacy van elektronische communicatie (15).
5. Verwerkingsverantwoordelijken evalueren periodiek de toepassing van de in lid 1 bedoelde beperkingen: ten minste om de zes maanden na de vaststelling ervan, maar ook wanneer essentiële en doorslaggevende elementen van de zaak veranderen en bij het afronden of beëindigen van de activiteit of procedure die de aanleiding vormde voor de beperkingen. Daarna gaan zij jaarlijks na of een beperking moet worden gehandhaafd.
6. De in lid 1 bedoelde beperkingen blijven van kracht zolang de redenen ter rechtvaardiging ervan van toepassing zijn. Wanneer de redenen voor een beperking als bedoeld in lid 1 vervallen, heffen de verwerkingsverantwoordelijken die beperking op.
7. Bij de verwerking van persoonsgegevens die het Comité in het kader van zijn taken van derden krijgt, dienen deze door verwerkingsverantwoordelijken geraadpleegd te worden over mogelijke redenen voor het opleggen van beperkingen en over de noodzakelijkheid en evenredigheid van deze beperkingen, tenzij dit de activiteiten van het Comité negatief zou beïnvloeden.
Artikel 4
Beoordeling van noodzakelijkheid en evenredigheid
1. Alvorens beperkingen toe te passen, beoordelen verwerkingsverantwoordelijken per geval of die noodzakelijk en evenredig zijn.
2. Telkens wanneer verwerkingsverantwoordelijken de noodzaak en de evenredigheid van een beperking beoordelen, houden zij rekening met de potentiële risico’s voor de rechten en vrijheden van de betrokkenen.
3. De beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen die voortvloeien uit het opleggen van beperkingen, met name het risico dat hun persoonsgegevens zonder hun medeweten verder worden verwerkt en dat zij ervan weerhouden worden om hun rechten overeenkomstig de verordening uit te oefenen, alsmede de looptijd van deze beperkingen, worden geregistreerd in het register van de verwerkingsactiviteiten dat door verwerkingsverantwoordelijken op grond van artikel 31, lid 1, van de EUDPR wordt bijgehouden. De risicobeoordeling wordt ook opgenomen in eventuele effectbeoordelingen van de gegevensbescherming met betrekking tot die beperkingen die krachtens artikel 39 van de EUDPR worden uitgevoerd.
Artikel 5
Vastlegging en registratie van beperkingen
1. Wanneer verwerkingsverantwoordelijken beperkingen toepassen, registreren zij het volgende:
|
a) |
de redenen voor de toepassing van de beperkingen; |
|
b) |
de grondslagen voor de toepassing van de beperkingen; |
|
c) |
de wijze waarop het doel of de uitkomst van een of meer door het Comité uitgevoerde activiteiten of procedures negatief beïnvloed zou kunnen worden wanneer de betrokkenen hun rechten uitoefenen; |
|
d) |
het resultaat van de in artikel 4, lid 1, genoemde beoordeling. |
2. De in lid 1 genoemde registers worden ondergebracht in het in artikel 31, lid 5, van de EUDPR genoemde centrale register en de EDPS krijgt daar desgevraagd toegang toe.
3. Wanneer verwerkingverantwoordelijken de toepassing van artikel 35 van de EUDPR (Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene) beperken, wordt het in lid 1 genoemde register opgenomen in de melding aan de EDPS waarin artikel 34, lid 1, van de EUDPR voorziet.
Artikel 6
Waarborgen en bewaartermijn
1. Verwerkingsverantwoordelijken voeren waarborgen in om misbruik en onrechtmatige toegang tot of doorgifte van persoonsgegevens waarvoor overeenkomstig artikel 3, lid 1, beperkingen kunnen gelden, te voorkomen. Deze waarborgen omvatten passende technische en organisatorische maatregelen en worden voor zover noodzakelijk uitvoerig gespecificeerd in interne besluiten, procedures en uitvoeringsvoorschriften van het Comité.
2. De waarborgen als bedoeld in lid 1 omvatten:
|
a) |
duidelijke omschreven rollen, verantwoordelijkheden en procedurele stappen; |
|
b) |
indien nodig, een veilige elektronische omgeving om te voorkomen dat elektronische gegevens onrechtmatig of per ongeluk worden geraadpleegd of doorgegeven aan onbevoegden; |
|
c) |
indien nodig, veilige opslag en verwerking van papieren documenten; |
|
d) |
goed toezicht op de beperkingen en een periodieke toetsing van de toepassing daarvan. |
3. De persoonsgegevens worden bewaard overeenkomstig de van toepassing zijnde regels van het Comité voor bewaring (16), die moeten worden gedefinieerd in het overeenkomstig artikel 31, lid 1, van de EUDPR door verwerkingsverantwoordelijken bij te houden register. Aan het einde van de bewaringstermijn worden de persoonsgegevens indien nodig op zo’n manier gewist, geanonimiseerd dat de betrokkene niet of niet meer identificeerbaar is, of overeenkomstig artikel 13 van de EUDPR naar de archieven van het Comité overgeheveld.
Artikel 7
Informatie aan betrokkenen over beperkingen van hun rechten
1. De gegevensbeschermingsmededelingen op de openbare website en het intranet van het Comité dienen een onderdeel te bevatten waarin betrokkenen algemene informatie krijgen over de mogelijke beperking van hun rechten in het kader van activiteiten en procedures van het Comité die betrekking hebben op de verwerking van hun persoonsgegevens. In dit onderdeel worden de rechten opgesomd die kunnen worden beperkt, de grondslagen voor de eventuele beperkingen, de mogelijke duur van die beperkingen en de administratieve en rechtsmiddelen waarover betrokkenen beschikken.
2. Wanneer verwerkingsverantwoordelijken beperkingen toepassen, stellen zij elke betrokkene onverwijld en in de meest geschikte vorm rechtstreeks in kennis van:
|
a) |
bestaande of toekomstige beperkingen van hun rechten; |
|
b) |
de voornaamste redenen voor de toepassing van de beperking; |
|
c) |
zijn of haar recht om de DPO te raadplegen teneinde de beperking aan te vechten; |
|
d) |
zijn of haar recht om een klacht in te dienen bij de EDPS; |
|
e) |
zijn of haar recht om beroep in te stellen bij het Hof van Justitie. |
3. Niettegenstaande lid 2 stellen verwerkingsverantwoordelijken, wanneer zij in uitzonderlijke gevallen de toepassing van artikel 35 van de EUDPR (Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene) beperken, betrokkenen op de hoogte van een inbreuk in verband met hun persoonsgegevens en verstrekken zij de informatie als bedoeld in lid 2, punten b), d) en e), zodra de redenen voor het beperken van die communicatie komen te vervallen.
4. Niettegenstaande lid 2 verstrekken verwerkingsverantwoordelijken, wanneer zij in uitzonderlijke gevallen de toepassing van artikel 36 van de EUDPR (Vertrouwelijkheid van elektronische communicatie) beperken, de informatie als bedoeld in lid 2 in hun antwoord op enigerlei verzoek van de betrokkene.
5. Verwerkingsverantwoordelijken kunnen het verstrekken van de informatie als bedoeld in lid 2 uitstellen, achterwege laten of weigeren (“uitstel, achterwegelating of weigering van informatie”) indien dit het effect van de beperking teniet zou doen. Zij verstrekken de betrokkene de informatie als bedoeld in lid 2 zodra de beperking hierdoor niet meer haar effectiviteit verliest.
6. Artikelen 4 en 5 zijn van overeenkomstige toepassing op elk geval waarin de verstrekking van informatie wordt uitgesteld, achterwege gelaten of geweigerd.
Artikel 8
Betrokkenheid van de functionaris voor gegevensbescherming van het Comité
1. Verwerkingverantwoordelijken stellen de DPO zonder onnodige vertraging schriftelijk in kennis wanneer zij de rechten van een betrokkene beperken op grond van artikel 3, lid 1, de periodieke toetsingen als bedoeld in artikel 3, lid 5, verrichten, beperkingen opheffen zoals bepaald in artikel 3, lid 6, of overeenkomstig artikel 7, lid 5, de verstrekking van informatie als bedoeld in artikel 7, lid 2, uitstellen, achterwege laten of weigeren. Desgevraagd krijgt de DPO toegang tot de bijbehorende registers en tot alle documenten die onderliggende feitelijke en juridische elementen bevatten.
2. De DPO kan verwerkingsverantwoordelijken verzoeken om enigerlei bestaande beperkingen alsmede gevallen waarin informatie is uitgesteld achterwege gelaten of geweigerd, en de toepassing daarvan, tegen het licht te houden. De DPO wordt schriftelijk in kennis gesteld van het resultaat hiervan.
3. De betrokkenheid van de functionaris voor gegevensbescherming als bedoeld in de leden 1 en 2 met betrekking tot de toepassing van beperkingen en het uitstellen, achterwege laten of weigeren van informatie, ook informatie die met de DPO wordt gedeeld, wordt naar behoren gedocumenteerd door de verwerkingsverantwoordelijken.
4. Desgevraagd verstrekt de DPO aan de verwerkingsverantwoordelijken advies over de vaststelling van hun verantwoordelijkheden in het kader van een regeling voor gezamenlijke verwerkingsverantwoordelijkheid overeenkomstig artikel 28, lid 1, van de EUDPR.
Artikel 9
Gezamenlijke diensten
Ter waarborging van een doeltreffende uitvoering van dit besluit werkt de DPO samen met de functionaris voor gegevensbescherming van het EESC bij de verwerking van persoonsgegevens door de gezamenlijke diensten.
Artikel 10
Slotbepalingen
1. In voorkomend geval geeft de secretaris-generaal instructies of stelt hij of zij uitvoeringsmaatregelen vast om indien nodig de bepalingen van dit besluit, met inachtneming daarvan, nader te specificeren en te implementeren.
2. Dit besluit treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Gedaan te Brussel, 25 januari 2022.
Voor het bureau van het Comité van de Regio’s
Apostolos TZITZIKOSTAS
De voorzitter
(1) PB C 202 van 7.6.2016, blz. 47.
(2) PB L 295 van 21.11.2018, blz. 39.
(3) PB L 472 van 30.12.2021, blz. 1.
(4) Besluit nr. 19/2020 van het bureau van het Comité van de Regio’s van 9 oktober 2020 tot vaststelling van uitvoeringsvoorschriften voor Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens (“Besluit nr. 19/2020”).
(5) Het Verdrag betreffende de Europese Unie (VEU) (PB C 202 van 7.6.2016, blz. 13) en het Verdrag betreffende de werking van de Europese Unie (VWEU).
(6) Bijlage bij Verordening nr. 31 (EEG), nr. 11 (EGA) van de Raad tot vaststelling van het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Economische Gemeenschap en de Europese Gemeenschap voor Atoomenergie (PB P 045 van 14.6.1962, blz. 1385), zoals gewijzigd bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de Regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (PB L 56 van 4.3.1968, blz. 1), en zoals verder gewijzigd, geherformuleerd, aangevuld of anderszins gewijzigd.
(7) Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).
(8) Met inbegrip van, zij het niet beperkt tot, algemene onkostenvergoedingen, personeelstoelagen, vergoedingen voor uitrusting en faciliteiten, reis-, verblijf- en vergadervergoedingen (ook voor vergaderingen op afstand), alsmede andere vergoedingen die worden betaald uit hoofde van artikel 238 FR.
(9) Dit punt is niet van toepassing op de verwerking van persoonsgegevens waarvoor OLAF als enige verwerkingsverantwoordelijke optreedt, met name wanneer OLAF persoonsgegevens verwerkt die zich in de gebouwen van het Comité bevinden.
(10) met inbegrip van, maar niet beperkt tot, arbeidsovereenkomsten, dienstverleningscontracten en gegevens met betrekking tot dienstreizen.
(11) met inbegrip van, maar niet beperkt tot, audio- en video-opnames en aan- en afmeldingsregisters.
(12) met inbegrip van, maar niet beperkt tot, inlog- en uitlogtijden, toegang tot interne applicaties en netwerkgebaseerde middelen en internetgebruik.
(13) voor zover deze gegevens worden verwerkt overeenkomstig artikel 10, lid 2, van de EUDPR.
(14) Met inbegrip van, maar niet beperkt tot, schriftelijke tests, opgenomen toespraken, evaluatiebladen, en evaluaties, opmerkingen of adviezen van beoordelaars.
(15) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
(16) Besluit nr. 129/2003 van de secretaris-generaal van het Comité van de Regio’s van 17 juni 2003 over het documentatiebeheer van het Comité van de Regio’s.