EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019Q1025(01)

Besluit Van De Europese Autoriteit Voor Voedselveiligheid van 19 juni 2019 houdende interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van de werking van EFSA

PB L 272 van 25.10.2019, p. 154–161 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/proc_rules/2019/1025/oj

25.10.2019   

NL

Publicatieblad van de Europese Unie

L 272/154


BESLUIT VAN DE EUROPESE AUTORITEIT VOOR VOEDSELVEILIGHEID

van 19 juni 2019

houdende interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van de werking van EFSA

DE RAAD VAN BESTUUR,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (1), en met name artikel 25,

Gezien Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (2), en met name de artikelen 25, 26 en 48,

Gezien het reglement van orde van de raad van bestuur van EFSA (3), en met name artikel 8,

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming (“de EDPS”) van 14 mei 2019 en de leidraad van de EDPS over artikel 25 van de nieuwe verordening en de interne voorschriften,

Na raadpleging van het personeelscomité,

Overwegende hetgeen volgt:

(1)

EFSA voert haar activiteiten uit overeenkomstig haar oprichtingsverordening (Verordening (EG) nr. 178/2002).

(2)

Overeenkomstig artikel 25, lid 1, van Verordening (EU) 2018/1725 dienen beperkingen op de toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 van die verordening, voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, gebaseerd te zijn op door EFSA goedgekeurde voorschriften, voor zover deze niet gebaseerd zijn op rechtshandelingen die zijn vastgesteld op grond van de Verdragen.

(3)

Deze interne voorschriften, met inbegrip van bepalingen over de beoordeling van de noodzaak en evenredigheid van een beperking, zijn niet van toepassing wanneer een op grond van de Verdragen aangenomen rechtshandeling in een beperking van rechten van betrokkenen voorziet.

(4)

Wanneer EFSA haar verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, gaat zij na of een van de in die verordening vastgestelde vrijstellingen van toepassing is.

(5)

In het kader van haar administratieve werking kan EFSA administratieve onderzoeken instellen, tuchtprocedures inleiden, voorbereidende activiteiten verrichten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, klokkenluidersprocedures verwerken, (formele en informele) procedures in verband met intimidatie verwerken, interne en externe klachten verwerken, interne audits uitvoeren, onderzoeken uitvoeren via de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725 en interne (IT‐)veiligheidsonderzoeken verrichten.

EFSA verwerkt verschillende categorieën van persoonsgegevens, inclusief harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens met betrekking tot de zaak, zoals redeneringen, gedragsgegevens, beoordelingen, prestatiegegevens en gegevens met betrekking tot of naar voren gebracht in verband met het onderwerp van de procedure of activiteit).

(6)

EFSA, vertegenwoordigd door haar uitvoerend directeur, treedt op als algemene verwerkingsverantwoordelijke, ongeacht een verder delegeren van deze rol binnen EFSA om operationele verantwoordelijkheden voor specifieke verwerkingen van persoonsgegevens weer te geven.

(7)

De persoonsgegevens worden veilig opgeslagen in een elektronische omgeving of op papier, waardoor ongeoorloofde toegang of overdracht van gegevens aan personen zonder noodzaak van kennisneming wordt voorkomen. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend voor de doeleinden waarvoor de gegevens worden verwerkt gedurende de periode die is gespecificeerd in de mededelingen over gegevensbescherming, de privacyverklaringen of het register van EFSA.

(8)

De interne voorschriften zijn van toepassing op alle verwerkingen door EFSA in het kader van haar administratieve onderzoeken, tuchtprocedures, voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, klokkenluidersprocedures, (formele en informele) procedures voor gevallen van intimidatie, verwerking van interne en externe klachten, interne audits, de onderzoeken die worden uitgevoerd door de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725 en (IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijvoorbeeld CERT‐EU) worden behandeld.

(9)

De interne voorschriften zijn van toepassing op verwerkingen die vóór inleiding van voornoemde procedures plaatsvonden, alsook op verwerkingen die tijdens deze procedures en tijdens het toezicht op de follow-up van de uitkomst van deze procedures plaatsvinden. Hieronder valt ook bijstand door EFSA aan, en haar samenwerking met nationale autoriteiten en internationale organisaties buiten het kader van haar administratieve onderzoeken.

(10)

In de gevallen waarop deze interne regels van toepassing zijn, moet EFSA motiveren waarom de beperkingen strikt noodzakelijk en evenredig zijn in een democratische samenleving en de essentie van de grondrechten en fundamentele vrijheden onverlet laten.

(11)

Binnen dit kader is EFSA gehouden om, voor zover mogelijk, de grondrechten van de betrokkenen te respecteren tijdens de bovengenoemde procedures, in het bijzonder het recht op informatieverstrekking, toegang en rectificatie, het recht op wissing, het recht op beperking van de verwerking, het recht op mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie zoals verankerd in Verordening (EU) 2018/1725.

(12)

EFSA kan echter worden verplicht de informatie aan betrokkene en andere rechten van betrokkene te beperken om met name haar eigen onderzoeken maar ook de onderzoeken en procedures van andere overheidsinstanties te beschermen, evenals de rechten van andere personen in verband met haar onderzoeken of andere procedures.

(13)

EFSA kan dus de informatie beperken met het oog op de bescherming van het onderzoek en de grondrechten en fundamentele vrijheden van andere betrokkenen.

(14)

EFSA controleert periodiek of de voorwaarden die de beperking rechtvaardigen van toepassing zijn en heft de beperking op zodra dit niet langer het geval is.

(15)

De verwerkingsverantwoordelijke brengt de functionaris voor gegevensbescherming op de hoogte op het moment van uitstel en tijdens de herzieningen,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

Onderwerp en toepassingsgebied

1.   Dit besluit bevat voorschriften betreffende de voorwaarden waaronder EFSA in het kader van haar in lid 2 beschreven procedures de toepassing kan beperken van de in de artikelen 14 tot en met 21, 35 en 36 vervatte rechten, alsmede van artikel 4, in overeenstemming met artikel 25 van Verordening (EU) 2018/1725.

2.   In het kader van de administratieve werking van EFSA is dit besluit van toepassing op de verwerking van persoonsgegevens door EFSA met als doel: het instellen van administratieve onderzoeken, het inleiden van tuchtprocedures, het verrichten van voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, het verwerken van klokkenluidersprocedures, het verwerken van (formele en informele) procedures in verband met intimidatie, het verwerken van interne en externe klachten, het uitvoeren van interne audits en het uitvoeren van onderzoek via de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725 en (IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijvoorbeeld CERT‐EU) worden behandeld.

3.   De betreffende gegevenscategorieën zijn harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens met betrekking tot de zaak, zoals redeneringen, gedragsgegevens, beoordelingen, prestatiegegevens en gegevens met betrekking tot of naar voren gebracht in verband met het voorwerp van de procedure of activiteit).

4.   Wanneer EFSA haar verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, gaat zij na of een van de in die verordening vastgestelde vrijstellingen van toepassing is.

5.   Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: informatieverstrekking aan betrokkenen, toegang, rectificatie, wissing, beperking van de verwerking, mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van elektronische communicatie.

Artikel 2

Specificatie van de verwerkingsverantwoordelijke en waarborgen

1.   Teneinde gegevensinbreuken, gegevensverlies of ongeoorloofde onthulling van gegevens te voorkomen, zijn de volgende waarborgen ingevoerd:

a)

papieren documenten worden bewaard in beveiligde kasten en zijn alleen toegankelijk voor bevoegd personeel;

b)

alle elektronische gegevens worden opgeslagen in een beveiligde IT-toepassing volgens de beveiligingsnormen van EFSA, evenals in specifieke elektronische mappen die alleen toegankelijk zijn voor bevoegd personeel. Passende toegangsniveaus worden individueel toegekend;

c)

databanken worden beschermd met een wachtwoord. EFSA gebruikt daarvoor een systeem van één enkele authenticatie waarbij de gebruikersnaam en het wachtwoord automatisch worden gelinkt en dat wordt ondersteund door een beveiligd toegangsbeheersysteem. Elektronische bestanden worden veiliggesteld, met waarborging van de vertrouwelijkheid en naleving van de regels en beginselen inzake gegevensbescherming;

d)

alle personen die toegang hebben tot de gegevens, zijn gebonden door geheimhoudingsplicht.

2.   De verantwoordelijke voor de verwerkingsactiviteiten is EFSA, vertegenwoordigd door haar uitvoerend directeur, die deze verantwoordelijkheid kan delegeren. Betrokkenen worden over de gedelegeerde verantwoordelijke geïnformeerd door middel van mededelingen omtrent gegevensbescherming, of het register op EFSA’s website, intranetportaal en/of de dienstencatalogus.

3.   De in artikel 1, lid 3, bedoelde persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend is voor de doeleinden waarvoor de gegevens worden verwerkt. In geen geval worden zij langer bewaard dan de retentieperiode die is aangegeven in de gegevensbeschermingsmededelingen, de privacyverklaringen of het register vermeld in artikel 5, lid 1.

4.   Wanneer EFSA overweegt een beperking in te stellen, wordt het risico voor de rechten en vrijheden van de betrokkene in het bijzonder afgewogen tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico van teloorgang van het effect van de onderzoeken of procedures van EFSA, bijvoorbeeld door het vernietigen van bewijsmateriaal. De risico’s voor de rechten en vrijheden van de betrokkene hebben voornamelijk betrekking op, maar zijn niet beperkt tot, reputatieschade en het recht zich te verdedigen en gehoord te worden.

Artikel 3

Beperkingen

1.   EFSA zal iedere beperking uitsluitend toepassen om het volgende te waarborgen:

a)

het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of het ten uitvoer leggen van straffen, met inbegrip van het beschermen tegen en voorkomen van gevaren voor de openbare veiligheid;

b)

andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

c)

de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronische communicatienetwerken;

d)

het voorkomen, onderzoeken, opsporen en vervolgen van schendingen van de beroepscodes voor gereglementeerde beroepen;

e)

een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen bedoeld onder a) en b);

f)

de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2.   Als een specifieke toepassing van de in lid 1 beschreven doeleinden kan EFSA beperkingen opleggen met betrekking tot persoonsgegevens die worden uitgewisseld met de diensten van de Commissie of andere instellingen, organen en instanties van de Unie, bevoegde autoriteiten van lidstaten of derde landen of internationale organisaties, in de volgende situaties:

a)

wanneer de uitoefening van deze rechten en verplichtingen kan worden beperkt door diensten van de Commissie of andere instellingen, organen en instanties van de Unie op grond van andere handelingen bedoeld in artikel 25 van Verordening (EU) 2018/1725 of overeenkomstig hoofdstuk IX van die verordening of in de oprichtingsakten van andere instellingen, organen en instanties van de Unie;

b)

waar de uitoefening van die rechten en verplichtingen kan worden beperkt door bevoegde autoriteiten van de lidstaten op basis van handelingen bedoeld in artikel 23 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4), of krachtens nationale maatregelen ter omzetting van artikel 13, lid 3, artikel 15, lid 3, of artikel 16, lid 3, van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5);

c)

wanneer de uitoefening van die rechten en plichten de samenwerking van EFSA met derde landen of internationale organisaties bij de uitvoering van haar taken in gevaar zou kunnen brengen.

Alvorens beperkingen op te leggen in de omstandigheden bedoeld onder a) en b) hierboven, raadpleegt EFSA de desbetreffende diensten van de Commissie, instellingen, organen of instanties van de Unie of de bevoegde autoriteiten van de lidstaten, tenzij het haar duidelijk is dat de toepassing van een beperking is geboden door een van de in die punten genoemde handelingen.

3.   Elke beperking is noodzakelijk en evenredig, waarbij rekening wordt gehouden met de risico’s voor de rechten en vrijheden van betrokkenen en de essentie van de fundamentele rechten en vrijheden in een democratische samenleving onverlet wordt gelaten.

4.   Als een beperking wordt overwogen, wordt een noodzakelijkheids- en evenredigheidsonderzoek verricht op basis van onderhavige voorschriften. Ieder geval wordt voor verantwoordingsdoeleinden gedocumenteerd in een interne beoordelingsnota.

5.   Beperkingen worden opgeheven zodra de omstandigheden die de beperkingen rechtvaardigen niet meer gelden, met name wanneer wordt aangenomen dat de uitoefening van het beperkte recht de gevolgen van de opgelegde beperking niet langer tenietdoet of de rechten of vrijheden van andere betrokkenen niet langer aantast. In dat geval worden de beperkingen zo snel mogelijk opgeheven, in de regel binnen vijf werkdagen nadat de juridische of feitelijke omstandigheden veranderd zijn.

Artikel 4

Beoordeling door de functionaris voor gegevensbescherming

1.   EFSA informeert haar functionaris voor gegevensbescherming onverwijld wanneer de verwerkingsverantwoordelijke de toepassing van rechten van betrokkenen beperkt of de beperking verlengt overeenkomstig dit besluit. De verwerkingsverantwoordelijke geeft de functionaris voor gegevensbescherming toegang tot de beoordeling van de noodzaak en evenredigheid van de beperking en legt daarbij ook de datum vast waarop de functionaris voor gegevensbescherming werd geïnformeerd.

2.   De functionaris voor gegevensbescherming kan de verwerkingsverantwoordelijke schriftelijk verzoeken de toepassing van de beperkingen opnieuw te beoordelen. De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming schriftelijk over de uitkomst van de gevraagde beoordeling.

3.   De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming wanneer de beperking is opgeheven.

Artikel 5

Verstrekking van informatie aan betrokkene

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op informatie beperken in het kader van de volgende verwerkingen:

a)

het uitvoeren van administratieve onderzoeken en tuchtprocedures;

b)

voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden;

c)

klokkenluidersprocedures;

d)

(formele en informele) procedures voor gevallen van intimidatie;

e)

het verwerking van interne en externe klachten;

f)

interne audits;

g)

de door de functionaris voor gegevensbescherming verrichte onderzoeken in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725;

h)

(IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijv. CERT‐EU) worden behandeld.

In de gegevensbeschermingsmededelingen, de privacyverklaringen of het register in de zin van artikel 31 van Verordening (EU) 2018/1725, die op de website en/of het intranet van EFSA worden gepubliceerd en waarin betrokkenen worden geïnformeerd over hun rechten in het kader van een gegeven procedure, neemt EFSA informatie op over mogelijke beperkingen van deze rechten. Aangegeven wordt welke rechten kunnen worden beperkt, de redenen daarvan en de potentiële duur.

2.   Onverminderd het bepaalde in lid 3 informeert EFSA, voor zover dit redelijkerwijs mogelijk is, zonder onnodige vertraging en in schriftelijke vorm alle personen die als betrokkenen bij een specifieke verwerkingshandeling worden beschouwd, individueel over hun rechten met betrekking tot huidige of toekomstige beperkingen.

3.   Wanneer EFSA het verstrekken van informatie aan de in lid 2 bedoelde betrokkenen geheel of gedeeltelijk beperkt, legt zij de redenen voor de beperking, de rechtsgrond in overeenstemming met artikel 3 van dit besluit, alsook een beoordeling van de noodzaak en evenredigheid van de beperking vast.

De aantekening en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

4.   De in lid 3 bedoelde beperking blijft van toepassing zolang de redenen die de beperking rechtvaardigen geldig blijven, en wordt zo snel mogelijk opgeheven, in de regel binnen vijf werkdagen nadat de juridische of feitelijke omstandigheden veranderd zijn.

Wanneer de redenen voor de beperking niet langer gelden, verstrekt EFSA de betrokkene informatie over de voornaamste redenen waarop de toepassing van een beperking is gebaseerd. Tegelijkertijd informeert EFSA de betrokkene over de mogelijkheid om te allen tijde bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen of bij het Hof van Justitie van de Europese Unie beroep in te stellen.

EFSA herziet de toepassing van de beperking om de zes maanden vanaf de vaststelling ervan en bij de afsluiting van de enquête, de procedure of het onderzoek in kwestie.

Artikel 6

Recht van inzage van de betrokkene

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op inzage beperken in het kader van de volgende verwerkingen:

a)

het uitvoeren van administratieve onderzoeken en tuchtprocedures;

b)

voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden;

c)

klokkenluidersprocedures;

d)

(formele en informele) procedures voor gevallen van intimidatie;

e)

verwerking van interne en externe klachten;

f)

interne audits;

g)

de door de functionaris voor gegevensbescherming verrichte onderzoeken in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725;

h)

(IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijv. CERT‐EU) worden behandeld.

Wanneer betrokkenen op grond van artikel 17 van Verordening (EU) 2018/1725 toegang vragen tot hun persoonsgegevens die worden verwerkt in de context van een of meer specifieke gevallen of tot een bepaalde verwerkingshandeling, beperkt EFSA haar beoordeling van het verzoek uitsluitend tot deze persoonsgegevens.

2.   Wanneer EFSA het recht van inzage als bedoeld in artikel 17 van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, neemt zij de volgende stappen:

a)

zij stelt in haar antwoord op het verzoek de betrokkene in kennis van de opgelegde beperking, van de belangrijkste redenen daarvoor en van de mogelijkheid om bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen of bij het Hof van Justitie van de Europese Unie beroep in te stellen;

b)

zij legt in een interne beoordelingsnotitie de redenen voor de beperking vast, alsmede een beoordeling van de noodzaak en de evenredigheid van de beperking en de duur ervan.

De verstrekking van de onder a) bedoelde informatie kan overeenkomstig artikel 25, lid 8, van Verordening (EU) 2018/1725 worden uitgesteld, achterwege gelaten of geweigerd als daardoor het effect van de beperking teniet zouden worden gedaan.

EFSA herziet de toepassing van de beperking om de zes maanden vanaf de vaststelling ervan en bij de afsluiting van het desbetreffende onderzoek.

3.   De aantekening en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

Artikel 7

Recht op rectificatie, wissing en beperking van de verwerking

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op rectificatie, wissing en beperking beperken in het kader van de volgende verwerkingen:

a)

het uitvoeren van administratieve onderzoeken en tuchtprocedures;

b)

voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden;

c)

klokkenluidersprocedures;

d)

(formele en informele) procedures voor gevallen van intimidatie;

e)

verwerking van interne en externe klachten;

f)

interne audits;

g)

de door de functionaris voor gegevensbescherming verrichte onderzoeken in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725;

h)

(IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijv. CERT‐EU) worden behandeld.

2.   Wanneer EFSA de toepassing van het recht op rectificatie, wissing en beperking van de verwerking als bedoeld in artikel 18, artikel 19, lid 1, en artikel 20, lid 1, van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, neemt zij de stappen die in artikel 6, lid 2, van dit besluit zijn beschreven, en registreert zij de aantekening overeenkomstig artikel 6, lid 3, van dit besluit.

Artikel 8

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene en vertrouwelijkheid van elektronische communicatie

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op mededeling van een inbreuk in verband met persoonsgegevens beperken in het kader van de volgende verwerkingen:

a)

het uitvoeren van administratieve onderzoeken en tuchtprocedures;

b)

voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden;

c)

klokkenluidersprocedures;

d)

(formele en informele) procedures voor gevallen van intimidatie;

e)

verwerking van interne en externe klachten;

f)

interne audits;

g)

de door de functionaris voor gegevensbescherming verrichte onderzoeken in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725;

h)

(IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijv. CERT‐EU) worden behandeld.

2.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op vertrouwelijkheid van elektronische communicatie beperken in het kader van de volgende verwerkingen:

a)

het uitvoeren van administratieve onderzoeken en tuchtprocedures;

b)

voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden;

c)

klokkenluidersprocedures;

d)

formele procedures voor gevallen van intimidatie;

e)

verwerking van interne en externe klachten;

f)

(IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijv. CERT‐EU) worden behandeld.

3.   Wanneer EFSA de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of de vertrouwelijkheid van elektronische communicatie als bedoeld in de artikelen 35 en 36 van Verordening (EU) 2018/1725 beperkt, legt zij de redenen voor de beperking vast en registreert zij deze aantekening in overeenstemming met artikel 5, lid 3, van dit besluit. Artikel 5, lid 4, van dit besluit is van toepassing.

Artikel 9

Inwerkingtreding

Dit besluit treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Parma, 19 juni 2019.

Voor de raad van bestuur van EFSA

Jaana HUSU-KALLIO

Voorzitter van de raad van bestuur


(1)  PB L 295 van 21.11.2018, blz. 39.

(2)  PB L 31 van 1.2.2002, blz. 1.

(3)  mb 27 06 13 — Herzien reglement van orde van de raad van bestuur.

(4)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(5)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).


Top