EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021Q1026(01)
Decision of the Steering Committee of the European Health and Digital Executive Agency on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the Agency
Besluit van de stuurgroep van het Europees Uitvoerend Agentschap voor gezondheid en digitaal beleid inzake interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen met betrekking tot de verwerking van persoonsgegevens in het kader van de door het Agentschap uitgevoerde activiteiten
Besluit van de stuurgroep van het Europees Uitvoerend Agentschap voor gezondheid en digitaal beleid inzake interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen met betrekking tot de verwerking van persoonsgegevens in het kader van de door het Agentschap uitgevoerde activiteiten
OJ L 379, 26.10.2021, p. 57–65
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
26.10.2021 |
NL |
Publicatieblad van de Europese Unie |
L 379/57 |
BESLUIT VAN DE STUURGROEP VAN HET EUROPEES UITVOEREND AGENTSCHAP VOOR GEZONDHEID EN DIGITAAL BELEID
inzake interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen met betrekking tot de verwerking van persoonsgegevens in het kader van de door het Agentschap uitgevoerde activiteiten
DE STUURGROEP,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 249, lid 1,
Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (1) (hierna “de verordening” genoemd), en met name artikel 25,
Gezien Uitvoeringsbesluit (EU) 2021/173 van de Commissie van 12 februari 2021 tot oprichting van het Europees Uitvoerend Agentschap klimaat, infrastructuur en milieu, het Europees Uitvoerend Agentschap voor gezondheid en digitaal beleid, het Europees Uitvoerend Agentschap onderzoek, het Europees Uitvoerend Agentschap innovatieraad en het mkb, het Uitvoerend Agentschap Europese Onderzoeksraad en het Europees Uitvoerend Agentschap onderwijs en cultuur en tot intrekking van Uitvoeringsbesluiten 2013/801/EU, 2013/771/EU, 2013/778/EU, 2013/779/EU (2),
Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,
Overwegende hetgeen volgt:
|
(1) |
Het Europees Uitvoerend Agentschap voor gezondheid en digitaal beleid (HaDEA) (“het Agentschap”) is opgericht bij Uitvoeringsbesluit (EU) 2021/173 van met het oog op het verrichten van taken in verband met de uitvoering van Unieprogramma’s op het gebied van EU4Health, eengemaakte markt, onderzoek en innovatie, Digitaal Europa, Connecting Europe Facility — Digitaal (3). |
|
(2) |
In het kader van zijn administratieve en operationele werking is het Agentschap bevoegd om administratieve onderzoeken, inleidende tuchtprocedures, tucht- en schorsingsprocedures uit te voeren overeenkomstig het Statuut van de ambtenaren van de Europese Unie en de regeling welke van toepassing is op de andere personeelsleden van de Europese Unie, vastgelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (hierna “Statuut van de ambtenaren”) (4), en overeenkomstig de uitvoeringsvoorschriften voor het uitvoeren van administratieve onderzoeken en tuchtprocedures. Indien nodig kan het Agentschap voorbereidende activiteiten verrichten in verband met mogelijke gevallen van fraude en onregelmatigheden en kan het gevallen melden aan OLAF. |
|
(3) |
Personeelsleden van het Agentschap zijn verplicht om mogelijk illegale activiteiten te melden, met inbegrip van fraude en corruptie, die de belangen van de Unie schaden. De personeelsleden zijn ook verplicht om gedrag te melden dat verband houdt met de uitvoering van de taken van het ambt, die een ernstig plichtsverzuim van de ambtenaren van de Unie kunnen opleveren. Dit wordt geregeld door de interne regels of beleidsmaatregelen inzake klokkenluiden. |
|
(4) |
Het Agentschap heeft een beleid opgezet om feitelijke of potentiële gevallen van psychologische of seksuele intimidatie op de werkplek te voorkomen en doeltreffend aan te pakken overeenkomstig de uitvoeringsmaatregelen op grond van het Statuut van de ambtenaren die voorzien in een informele procedure volgens welke het vermeende slachtoffer van de intimidatie contact kan opnemen met de vertrouwenspersonen van het Agentschap. |
|
(5) |
Het Agentschap kan ook interne (IT-)veiligheidsonderzoeken uitvoeren en onderzoek doen naar mogelijke inbreuken op de beveiligingsvoorschriften voor gerubriceerde informatie van de Europese Unie (“EUCI”). |
|
(6) |
De activiteiten van het Agentschap worden onderworpen aan interne en externe audits, waaronder audits die worden uitgevoerd door de interne auditdiensten van de Europese Commissie en de Europese Rekenkamer. |
|
(7) |
Het Agentschap kan verzoeken van het Europees Openbaar Ministerie (EOM) en verzoeken om toegang tot medische dossiers van personeelsleden van het Agentschap behandelen en onderzoeken uitvoeren via de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van de verordening. |
|
(8) |
In het kader van dergelijke administratieve onderzoeken, audits, onderzoeken of verzoeken werkt het Agentschap samen met andere instellingen, organen en instanties van de Unie. |
|
(9) |
Het Agentschap kan op verzoek of op eigen initiatief samenwerken met nationale autoriteiten en internationale organisaties van derde landen. |
|
(10) |
Het Agentschap kan op verzoek of op eigen initiatief ook samenwerken met de overheidsinstanties van de EU-lidstaten. |
|
(11) |
Het Agentschap kan het voorwerp uitmaken van klachten, procedures of onderzoeken via klokkenluiders of de Europese Ombudsman. |
|
(12) |
Het Agentschap kan betrokken zijn bij zaken die aanhangig zijn bij het Hof van Justitie van de Europese Unie wanneer het een zaak aan het Hof voorlegt, een beslissing verdedigt die het heeft genomen en waartegen bij het Hof is opgekomen, of wanneer het intervenieert in voor zijn taken relevante gevallen. In dit verband kan het Agentschap verplicht zijn de vertrouwelijkheid van de persoonsgegevens in door de partijen of interveniënten verstrekte documenten te bewaren. |
|
(13) |
In het kader van zijn activiteiten verwerkt het Agentschap verschillende categorieën persoonsgegevens, waaronder identificatiegegevens van natuurlijke personen, contactinformatie, professionele rollen en taken, informatie over privé- en professioneel gedrag en prestaties, en financiële gegevens, alsook, in sommige specifieke gevallen, gevoelige gegevens (bv. gezondheidsgegevens). Persoonsgegevens omvatten feitelijke “harde” gegevens en “zachte” beoordelingsgegevens. “Harde gegevens” zijn objectieve feitelijke gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, metagegevens met betrekking tot elektronische communicatie en verkeersgegevens. “Zachte gegevens” zijn subjectieve gegevens en omvatten met name de beschrijving en beoordeling van situaties en omstandigheden, adviezen, opmerkingen met betrekking tot betrokkenen, evaluatie van het gedrag en de prestaties van betrokkenen en de motivering van individuele besluiten in verband met het voorwerp van de procedure of de activiteit die door het Agentschap overeenkomstig het toepasselijke wettelijke kader wordt uitgevoerd. Beoordelingen, opmerkingen en adviezen worden beschouwd als persoonsgegevens in de zin van artikel 3, lid 1, van de verordening. |
|
(14) |
Krachtens de verordening is het Agentschap derhalve verplicht de betrokkenen informatie over deze verwerkingsactiviteiten te verstrekken en hun rechten als betrokkene te eerbiedigen. |
|
(15) |
Het Agentschap verbindt zich ertoe de grondrechten van de betrokkenen zoveel mogelijk te eerbiedigen, met name het recht op informatieverstrekking, toegang en rectificatie, het recht op wissing, beperking van de verwerking, het recht op mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of de vertrouwelijkheid van communicatie, zoals vastgelegd in de verordening. Het Agentschap kan echter ook worden verplicht de rechten en plichten van de betrokkene te beperken met het oog op de bescherming van zijn activiteiten en de grondrechten en de fundamentele vrijheden van anderen. |
|
(16) |
Daarom biedt artikel 25, leden 1 en 5, van de verordening het Agentschap de mogelijkheid om onder voorwaarden de toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 20 voorzien, te beperken. Deze beperking gebeurt door middel van interne regels die op het hoogste bestuursniveau van het Agentschap worden vastgesteld en in het Publicatieblad van de Europese Unie moeten worden bekendgemaakt, voor zover zij niet gebaseerd zijn op rechtshandelingen die zijn vastgesteld op basis van de Verdragen. |
|
(17) |
Er kunnen beperkingen van toepassing zijn op verschillende rechten van de betrokkenen, waaronder het verstrekken van informatie aan de betrokkenen, het recht op toegang, rectificatie, wissing, beperking van verwerking, mededeling van een inbreuk op de persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie zoals vastgelegd in de verordening. |
|
(18) |
Het Agentschap kan gehouden zijn deze rechten in overeenstemming te brengen met de doelstellingen van administratieve onderzoeken, audits, onderzoeken en gerechtelijke procedures. Het kan ook nodig zijn om de rechten van de betrokkene in evenwicht te brengen met de grondrechten en de fundamentele vrijheden van andere betrokkenen. |
|
(19) |
Zo kan het bijvoorbeeld noodzakelijk zijn dat het Agentschap de informatie die het aan een betrokkene over de verwerking van zijn of haar persoonsgegevens verstrekt, beperkt tijdens de inleidende fase van een administratief onderzoek of tijdens het onderzoek zelf, voorafgaand aan een eventuele seponering van een zaak of in de fase voorafgaand aan de tuchtprocedure. In bepaalde omstandigheden kan het verstrekken van dergelijke informatie ernstig afbreuk doen aan het vermogen van het Agentschap om een doeltreffend onderzoek te verrichten, wanneer er bijvoorbeeld een risico bestaat dat de betrokkene bewijsmateriaal vernietigt of mogelijke getuigen beïnvloedt voordat zij worden gehoord. Tevens kan het Agentschap gehouden zijn de rechten en vrijheden van getuigen en andere betrokkenen te beschermen. |
|
(20) |
Mogelijk is het Agentschap verplicht de anonimiteit van een getuige of een klokkenluider te beschermen die heeft gevraagd om niet geïdentificeerd te worden. In dat geval kan het Agentschap besluiten een beperking op te leggen voor de toegang tot de identiteit, verklaringen en andere persoonsgegevens van zulke personen of de verdachte, teneinde hun rechten en vrijheden te beschermen. |
|
(21) |
Het Agentschap kan verplicht zijn de vertrouwelijkheid te beschermen van een personeelslid dat de vertrouwenspersonen van het Agentschap heeft benaderd in verband met een intimidatieprocedure. In zulke gevallen moet het Agentschap mogelijk een beperking opleggen voor de toegang tot de identiteit, verklaringen en andere persoonsgegevens van het vermeende slachtoffer, de vermeende dader en andere betrokkenen, teneinde hun rechten en vrijheden te beschermen. |
|
(22) |
Met betrekking tot de selectie- en aanwervingsprocedures, de evaluatie van het personeel en de procedures voor overheidsopdrachten kan het recht op toegang, rectificatie, wissing en beperking slechts op bepaalde momenten en onder de voorwaarden zoals bepaald in de relevante procedures worden uitgeoefend om de rechten van andere betrokkenen te waarborgen en de beginselen van gelijke behandeling en geheimhouding van beraadslagingen in acht te nemen. |
|
(23) |
Het Agentschap kan ook de toegang van personen tot hun medische gegevens van bijvoorbeeld psychologische of psychiatrische aard beperken, vanwege de mogelijke gevoeligheid van deze gegevens, en de medische dienst van de Commissie kan beslissen om de betrokkenen slechts indirect toegang te geven via hun eigen arts. De betrokkene kan gebruik maken van het recht op rectificatie van beoordelingen of adviezen van de medische dienst van de Commissie door zijn opmerkingen of een verslag van een arts van zijn keuze te verstrekken. |
|
(24) |
Het Agentschap, vertegenwoordigd door zijn directeur, treedt op als de verwerkingsverantwoordelijke ongeacht verdere delegaties van deze rol van verwerkingsverantwoordelijke binnen het Agentschap aan “gedelegeerde verwerkingsverantwoordelijken” voor de specifieke operationele verwerking van persoonsgegevens. |
|
(25) |
De persoonsgegevens worden veilig opgeslagen in een elektronische omgeving die voldoet aan Besluit (EU, Euratom) 2017/46 van de Commissie (5) over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie of op papier, om onrechtmatige toegang of doorgifte van gegevens aan personen die niet beantwoorden aan het “need-to-know”-criterium, te voorkomen. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend voor de doeleinden waarvoor de gegevens worden verwerkt gedurende de periode die is gespecificeerd in de gegevensbeschermingsmededelingen en het register van het Agentschap. |
|
(26) |
Het Agentschap legt enkel beperkingen op wanneer deze de essentie van de grondrechten en fundamentele vrijheden eerbiedigen, strikt noodzakelijk zijn en een evenredige maatregel vormen in een democratische samenleving. Het Agentschap motiveert de redenen voor deze beperkingen en brengt de betrokkenen op de hoogte van deze redenen en van hun recht om een klacht in te dienen bij de EDPS, zoals bepaald in artikel 25, lid 6, van de verordening. |
|
(27) |
Overeenkomstig het verantwoordingsbeginsel houdt het Agentschap een register bij van de toepassing van de beperkingen. |
|
(28) |
Bij de verwerking van administratieve persoonsgegevens die het Agentschap met andere organisaties in het kader van zijn taken heeft uitgewisseld, pleegt het met die organisaties overleg over mogelijke redenen voor het opleggen van beperkingen en de noodzaak en evenredigheid van deze beperkingen, tenzij dit de activiteiten van het Agentschap in gevaar zou brengen. |
|
(29) |
Deze interne regels zijn dus van toepassing op alle verwerkingsactiviteiten van het Agentschap met betrekking tot persoonsgegevens in het kader van administratieve onderzoeken, tuchtprocedures, voorbereidende activiteiten in verband met aan OLAF gemelde mogelijke onregelmatigheden, onderzoeken van het Europees Openbaar Ministerie (EOM), klokkenluidersprocedures, (formele en informele) procedures voor gevallen van intimidatie, verwerking van interne en externe klachten, verzoeken om toegang tot of rectificatie van eigen medische dossiers, de onderzoeken die de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van de verordening uitvoert, (IT-)veiligheidsonderzoeken die intern of met externe betrokkenen (bv. CERT-EU) worden uitgevoerd, audits, procedures voor het Hof van Justitie van de Europese Unie of nationale overheden, selectie- en aanwervingsprocedures, personeelsevaluatie en overheidsopdrachten, zoals hierboven opgesomd. |
|
(30) |
Deze interne voorschriften zijn van toepassing op verwerkingsactiviteiten voorafgaand aan het instellen van de bovengenoemde procedures, tijdens deze procedures en tijdens het toezicht op de follow-up van deze procedures. Hieronder valt ook bijstand door het Agentschap aan, en zijn samenwerking met, andere EU-instellingen, nationale autoriteiten en internationale organisaties buiten het kader van zijn administratieve onderzoeken. |
|
(31) |
Ingevolge artikel 25, lid 8, van de verordening heeft het Agentschap het recht om het verstrekken van informatie over de redenen voor de toepassing van een beperking aan de betrokkene op te schorten, achterwege te laten of te weigeren, indien dit het effect van de beperking op enigerlei wijze teniet zou doen. Het Agentschap beoordeelt per geval of een mededeling van de beperking het effect ervan tenietdoet. |
|
(32) |
Het Agentschap heft de beperking op zodra de beperkingsvoorwaarden niet langer van toepassing zijn, en beoordeelt deze voorwaarden regelmatig. |
|
(33) |
Teneinde de maximale bescherming van de rechten en vrijheden van betrokkenen te waarborgen en in overeenstemming met artikel 44, lid 1, van de verordening, wordt de functionaris voor gegevensbescherming van het Agentschap tijdig geraadpleegd over enigerlei beperkingen die kunnen worden toegepast of beoordeeld en zal hij/zij controleren of deze in overeenstemming zijn met dit besluit. |
|
(34) |
De artikelen 16, lid 5 en 17, lid 4 van de verordening voorzien in uitzonderingen op het recht van de betrokkene op informatie en het recht van toegang. Indien deze uitzonderingen gelden, hoeft het Agentschap geen beperking in het kader van dit besluit toe te passen, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
Onderwerp en toepassingsgebied
1. Bij dit besluit worden de regels vastgesteld met betrekking tot de voorwaarden waaronder het Europees Uitvoerend Agentschap voor gezondheid en digitaal beleid of zijn rechtsopvolger (hierna “het Agentschap” genoemd) de toepassing van de artikelen 4, 14 tot en met 22, 35 en 36 kan beperken overeenkomstig artikel 25 van de verordening.
2. Het Agentschap wordt in zijn hoedanigheid van verwerkingsverantwoordelijke vertegenwoordigd door de directeur van het Agentschap, die de functie van verwerkingsverantwoordelijke verder kan delegeren.
Artikel 2
Toepasselijke beperkingen
1. Het Agentschap kan de toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 van de verordening voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 20 voorzien, beperken.
2. Dit besluit is van toepassing op de verwerking van persoonsgegevens door het Agentschap in het kader van zijn administratieve en operationele werking:
|
a) |
overeenkomstig artikel 25, lid 1, onder b), c), f), g) en h), van de verordening bij het verrichten van interne onderzoeken, onder meer op basis van externe klachten, administratieve onderzoeken, pre-tuchtrechtelijke, tuchtrechtelijke of schorsingsprocedures op grond van artikel 86 en bijlage IX bij het Statuut van de ambtenaren en de uitvoeringsvoorschriften daarvan, veiligheidsonderzoeken of onderzoeken van OLAF; |
|
b) |
overeenkomstig artikel 25, lid 1, onder h), van de verordening bij het waarborgen dat de personeelsleden van het Agentschap de feiten vertrouwelijk kunnen rapporteren wanneer zij van mening zijn dat er sprake is van ernstige onregelmatigheden, zoals bepaald in de interne regels of het beleid inzake klokkenluiden; |
|
c) |
overeenkomstig artikel 25, lid 1, onder h), van de verordening, bij het waarborgen dat de personeelsleden van het Agentschap zich in het kader van een intimidatieprocedure, zoals gedefinieerd in de interne regels, kunnen melden bij vertrouwenspersonen; |
|
d) |
overeenkomstig artikel 25, lid 1, onder c), g) en h), van de verordening, bij het verrichten van interne of externe audits in verband met activiteiten of de werking van het Agentschap; |
|
e) |
overeenkomstig artikel 25, lid 1, onder d) en h), van de verordening, bij het waarborgen van veiligheidsanalyses, met inbegrip van cyberveiligheid en misbruik van IT-systemen, die intern of met externe betrokkenen (bv. CERT-EU) worden uitgevoerd, bij het waarborgen van de interne veiligheid door middel van videobewaking, toegangscontrole en onderzoek, bij het beveiligen van communicatie- en informatiesystemen en bij het uitvoeren van technische beveiligingsmaatregelen; |
|
f) |
overeenkomstig artikel 25, lid 1, onder g) en h), van de verordening, wanneer de functionaris voor gegevensbescherming (hierna “DPO” genoemd) van het Agentschap zaken onderzoekt die rechtstreeks verband houden met zijn of haar taken; |
|
g) |
overeenkomstig artikel 25, lid 1, onder b), g) en h), van de verordening, in het kader van onderzoeken van het Europees Openbaar Ministerie (EOM); |
|
h) |
overeenkomstig artikel 25, lid 1, onder h), van de verordening, wanneer personen verzoeken om toegang tot of rectificatie van hun medische gegevens, onder meer als deze in het bezit zijn van de medische dienst van de Commissie; |
|
i) |
overeenkomstig artikel 25, lid 1, onder c), d), g) en h), van de verordening, bij het verlenen of ontvangen van bijstand aan of van andere instellingen, organen en instanties van de Unie of bij samenwerking met hen in het kader van de onder a) tot en met h) van dit lid bedoelde activiteiten en uit hoofde van relevante overeenkomsten inzake het dienstverleningsniveau, memoranda van overeenstemming en samenwerkingsovereenkomsten waarin hun respectieve oprichtingshandeling voorziet; |
|
j) |
overeenkomstig artikel 25, lid 1, onder c), g) en h), van de verordening, bij het verlenen aan of het ontvangen van bijstand van nationale autoriteiten en internationale organisaties van derde landen of bij het samenwerken met deze autoriteiten en organisaties, op hun verzoek of op eigen initiatief; |
|
k) |
overeenkomstig artikel 25, lid 1, onder c), g) en h), van de verordening, bij het verlenen aan of het ontvangen van bijstand van de overheidsinstanties van de EU-lidstaten en bij het samenwerken met hen, op hun verzoek of op eigen initiatief; |
|
l) |
overeenkomstig artikel 25, lid 1, onder e), van de verordening, bij het verwerken van persoonsgegevens in door partijen of interveniënten in het kader van een procedure bij het Hof van Justitie van de Europese Unie verkregen documenten; |
Voor de toepassing van dit besluit omvatten de bovengenoemde activiteiten ook de voorbereidende en vervolgactiviteiten die rechtstreeks verband houden met dezelfde activiteit.
3. Het Agentschap kan ook in de volgende omstandigheden per geval beperkingen opleggen aan de in dit besluit bedoelde rechten van betrokkenen:
|
a) |
wanneer de diensten van de Commissie of andere instellingen, organen en instanties van de Unie het recht hebben de uitoefening van de opgesomde rechten te beperken en het doel van een dergelijke beperking door die dienst van de Commissie, die instelling, dat orgaan of dat agentschap van de Unie in gevaar zou komen wanneer het Agentschap met betrekking tot dezelfde persoonsgegevens geen gelijkwaardige beperking toepast; |
|
b) |
wanneer de bevoegde autoriteiten van de lidstaten het recht hebben de uitoefening van de opgesomde rechten te beperken en het doel van een dergelijke beperking door die autoriteit van de lidstaat in gevaar zou komen wanneer het Agentschap met betrekking tot dezelfde persoonsgegevens geen gelijkwaardige beperking toepast; |
|
c) |
wanneer de uitoefening van die rechten en verplichtingen de samenwerking van het Agentschap met derde landen of internationale organisaties bij de uitvoering van zijn taken in gevaar zou brengen, tenzij de belangen of de grondrechten en fundamentele vrijheden van de betrokkene deze noodzaak tot samenwerking tenietdoen. |
|
d) |
Alvorens beperkingen op grond van dit lid toe te passen, raadpleegt het Agentschap zo nodig de betrokken diensten van de Commissie, andere instellingen, organen, agentschappen, bureaus, internationale organisaties of de bevoegde autoriteiten van de lidstaten, tenzij het duidelijk is dat de beperking voortvloeit uit een van de bovengenoemde handelingen of dat een dergelijke raadpleging de activiteiten van het Agentschap in gevaar zou brengen. |
4. De categorieën persoonsgegevens die in verband met de bovengenoemde activiteiten worden verwerkt, kunnen feitelijke “harde” gegevens en “zachte” beoordelingsgegevens bevatten.
5. Iedere beperking moet de essentie van grondrechten en fundamentele vrijheden eerbiedigen en een noodzakelijke en evenredige maatregel vormen in een democratische samenleving.
Artikel 3
Registratie van beperkingen
1. De verwerkingsverantwoordelijke stelt een registratiedossier van de beperking op met beschrijving van het volgende:
|
a) |
de redenen voor elke op grond van dit besluit toegepaste beperking; |
|
b) |
welke van de in artikel 2 genoemde gronden van toepassing zijn; |
|
c) |
op welke wijze de uitoefening van het recht een risico voor de betrokkene zou inhouden of het doel van de taken van het Agentschap in gevaar zou brengen of de rechten en vrijheden van andere betrokkenen zou aantasten; |
|
d) |
het resultaat van de beoordeling van de noodzaak en de evenredigheid van de beperking, rekening houdend met de relevante elementen in artikel 25, lid 2, van de verordening. |
2. Voordat er beperkingen kunnen worden opgelegd, wordt iedere zaak onderzocht op de noodzakelijkheid en evenredigheid van een beperking. De verwerkingsverantwoordelijke zal rekening houden met de mogelijke risico’s voor de rechten en vrijheden van de betrokkene. Er worden enkel beperkingen opgelegd die strikt noodzakelijk zijn om hun doel te bereiken.
3. Het registratiedossier van de beperking en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.
Artikel 4
Risico’s voor de rechten en vrijheden van betrokkenen
1. De beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen van het opleggen van beperkingen en de duur van de toepassing van deze beperkingen, wordt geregistreerd in het register van de verwerkingsactiviteiten dat door de verwerkingsverantwoordelijke op grond van artikel 31 van de verordening wordt bijgehouden. Zij worden ook opgenomen in eventuele effectbeoordelingen van de gegevensbescherming met betrekking tot die beperkingen die krachtens artikel 39 van de verordening worden uitgevoerd, indien van toepassing.
2. Wanneer de verwerkingsverantwoordelijke overweegt een beperking toe te passen, wordt het risico voor de rechten en vrijheden van de betrokkene afgewogen, in het bijzonder tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico dat de onderzoeken of procedures negatief worden beïnvloed, in het bijzonder door bewijsmateriaal te vernietigen. De risico’s voor de rechten en vrijheden van de betrokkene hebben voornamelijk betrekking op, maar zijn niet beperkt tot, reputatieschade en het recht zich te verdedigen en het recht om gehoord te worden.
Artikel 5
Waarborgen en bewaartermijnen
1. Het Agentschap voert specifieke waarborgen in om misbruik of onrechtmatige toegang tot, of onrechtmatige doorgifte van persoonsgegevens waarvoor beperkingen gelden of kunnen worden toegepast, te voorkomen. Deze waarborgen omvatten technische en organisatorische maatregelen en worden voor zover noodzakelijk uitvoerig vastgelegd in interne besluiten, procedures en uitvoeringsvoorschriften van het Agentschap. Deze waarborgen omvatten:
|
a) |
een duidelijke definitie van rollen, verantwoordelijkheden en procedurele stappen; |
|
b) |
indien van toepassing, een beveiligde elektronische omgeving die onwettige en toevallige toegang tot of overdracht van elektronische gegevens aan onbevoegden voorkomt; |
|
c) |
indien van toepassing, veilige opslag en verwerking van papieren documenten; |
|
d) |
de naleving van de vertrouwelijkheidsverplichtingen voor alle personen die toegang hebben tot de persoonsgegevens. |
2. De bewaartermijn van persoonsgegevens die onder een beperking vallen, wordt vastgesteld in het desbetreffende register overeenkomstig artikel 31 van de verordening, rekening houdend met het doel van de verwerking, en omvat het tijdsbestek dat nodig is voor administratieve en gerechtelijke toetsing. Na afloop van de bewaartermijn worden de persoonsgegevens gewist, geanonimiseerd of overgebracht naar archieven overeenkomstig artikel 13 van de verordening.
Artikel 6
Duur van beperkingen
1. De in artikel 2 bedoelde beperkingen blijven van toepassing zolang de redenen daarvoor blijven bestaan.
2. Wanneer de redenen voor een beperking niet langer van toepassing zijn, heft de verwerkingsverantwoordelijke de beperking op indien de uitoefening van het beperkte recht geen negatieve gevolgen meer zou hebben voor de desbetreffende toepasselijke procedure en de rechten of vrijheden van andere betrokkenen niet langer nadelig zou beïnvloeden.
3. Indien de betrokkene opnieuw om toegang tot de betrokken persoonsgegevens heeft verzocht, deelt de verwerkingsverantwoordelijke aan de betrokkene de belangrijkste redenen voor de beperking mee. Tegelijkertijd stelt het Agentschap de betrokkene in kennis van de mogelijkheid om te allen tijde een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of om beroep in te stellen bij het Hof van Justitie van de Europese Unie.
4. Het Agentschap evalueert de toepassing van de in artikel 2 bedoelde beperkingen om de zes maanden.
Artikel 7
Betrokkenheid door de functionaris voor gegevensbescherming
1. De verwerkingsverantwoordelijke van het Agentschap stelt de DPO van het Agentschap onverwijld in kennis van elke beslissing tot beperking van de rechten van de betrokkene overeenkomstig dit besluit of tot verlenging van de toepassing van de beperking. De verwerkingsverantwoordelijke verleent aan de DPO toegang tot de bijbehorende registers en tot alle documenten die betrekking hebben op de feitelijke of juridische context.
2. De DPO kan de verwerkingsverantwoordelijke verzoeken de toepassing van een beperking opnieuw te beoordelen. De verwerkingsverantwoordelijke informeert de DPO schriftelijk over de uitkomst van de gevraagde beoordeling.
3. De verwerkingsverantwoordelijke documenteert de betrokkenheid van de DPO bij de toepassing van de beperking, met inbegrip van de informatie die wordt gedeeld. De documenten uit hoofde van dit artikel maken deel uit van het registratiedossier met betrekking tot de beperking en worden op verzoek aan de EDPS ter beschikking gesteld.
Artikel 8
Informatie aan betrokkenen over beperkingen van hun rechten
1. De verwerkingsverantwoordelijke neemt in de in artikel 31 van de verordening bedoelde kennisgevingen en registraties inzake gegevensbescherming, die op zijn website en op het intranet worden gepubliceerd, algemene informatie op over de mogelijke beperkingen van de rechten van de betrokkenen op grond van artikel 2 lid 2, van dit besluit. De informatie heeft betrekking op de rechten en verplichtingen die kunnen worden beperkt, de redenen waarvoor beperkingen kunnen worden toegepast en op de potentiële duur ervan.
2. De verwerkingsverantwoordelijke informeert de betrokkenen individueel, schriftelijk en onverwijld over bestaande of toekomstige beperkingen van hun rechten. De verwerkingsverantwoordelijke stelt de betrokkene in kennis van de voornaamste redenen waarop de toepassing van de beperking is gebaseerd, van zijn recht om de DPO te raadplegen teneinde de beperking te betwisten, en van zijn/haar recht om een klacht in te dienen bij de EDPS.
3. De verwerkingsverantwoordelijke kan het verstrekken van informatie over de redenen voor een beperking en het recht om een klacht bij de EDPS in te dienen opschorten, achterwege laten of weigeren, zolang dit het effect van de beperking teniet zou doen. De beoordeling van deze motivering vindt per geval plaats en de verwerkingsverantwoordelijke verstrekt de informatie aan de betrokkene zodra het effect van de beperking daardoor niet langer teniet wordt gedaan.
Artikel 9
Recht van inzage door de betrokkene
1. In naar behoren gemotiveerde gevallen en onder de in dit besluit vastgestelde voorwaarden kan het recht op toegang uit hoofde van artikel 17 van de verordening door de verwerkingsverantwoordelijke worden beperkt, indien dit noodzakelijk is en in verhouding staat tot de activiteiten in het kader van dit besluit.
2. Wanneer betrokkenen om toegang verzoeken tot hun persoonsgegevens die worden verwerkt in het kader van een specifieke verwerkingsactiviteit als bedoeld in artikel 2, lid 2, van dit besluit, beperkt het Agentschap zijn antwoord tot de voor die activiteit verwerkte persoonsgegevens.
3. De rechten van de betrokkenen op directe toegang tot documenten van psychologische of psychiatrische aard kunnen worden beperkt. Noch de indirecte toegang, noch het recht op rectificatie en op mededeling van een inbreuk in verband met persoonsgegevens wordt met deze interne voorschriften beperkt. Daarom dient een als tussenpersoon aangewezen arts op verzoek van de betrokkene toegang te krijgen tot alle gerelateerde informatie en discretionaire bevoegdheid te hebben om te bepalen hoe en welke toegang aan de betrokkene verstrekt moet worden.
4. Wanneer de verwerkingsverantwoordelijke het recht van toegang tot persoonsgegevens als bedoeld in artikel 17 van de verordening geheel of gedeeltelijk beperkt, stelt hij de betrokkene in zijn antwoord op het verzoek om toegang schriftelijk in kennis van de toegepaste beperking en van de voornaamste redenen daarvoor en van de mogelijkheid om een klacht in te dienen bij de EDPS of een beroep in te stellen bij het Hof van Justitie van de Europese Unie.
5. De informatie over de beperking van de toegang kan worden uitgesteld, achterwege gelaten of geweigerd als daardoor de gevolgen van de beperking overeenkomstig artikel 25, lid 8, van de verordening teniet zouden worden gedaan.
6. Een beperking op grond van dit artikel wordt toegepast in overeenstemming met dit besluit.
Artikel 10
Recht op rectificatie, wissing en beperking van de verwerking
1. In naar behoren gemotiveerde gevallen en onder de in dit besluit vastgestelde voorwaarden kan het recht op rectificatie, wissing van gegevens en beperking van de verwerking uit hoofde van artikel 18, artikel 19, lid 1, en artikel 20, lid 1, van de verordening door de verwerkingsverantwoordelijke worden beperkt, indien dit noodzakelijk en gepast is in verband met de in artikel 2, lid 2, van dit besluit genoemde activiteiten.
2. Met betrekking tot medische gegevens kunnen betrokkenen het recht op rectificatie van de beoordeling of het advies van de medische dienst van de Commissie uitoefenen door hun opmerkingen of een verslag van een arts van hun keuze rechtstreeks aan de medische dienst van de Commissie te doen toekomen.
3. Een beperking op grond van dit artikel wordt toegepast in overeenstemming met dit besluit.
Artikel 11
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. Wanneer de verwerkingsverantwoordelijke verplicht is een inbreuk in verband met persoonsgegevens uit hoofde van artikel 35, lid 1, van de verordening mee te delen, kan hij/zij deze mededeling in uitzonderlijke omstandigheden geheel of gedeeltelijk beperken. Hij/zij documenteert de redenen voor de beperking, de rechtsgrond ervoor als vermeld in artikel 2 en een beoordeling van de noodzaak en de evenredigheid ervan in een nota. De nota wordt aan de EDPS meegedeeld op het tijdstip van de kennisgeving van de inbreuk in verband met persoonsgegevens.
2. Wanneer de redenen voor de beperking niet langer van toepassing zijn, deelt het Agentschap de inbreuk in verband met persoonsgegevens mee aan de betrokkene en stelt het hem of haar in kennis van de voornaamste redenen voor de beperking en van zijn recht om een klacht in te dienen bij de EDPS.
Artikel 12
Vertrouwelijkheid van elektronische communicatie
1. In uitzonderlijke omstandigheden kan het Agentschap het in artikel 36 van de verordening bedoelde recht op vertrouwelijkheid van elektronische communicatie beperken. Dergelijke beperkingen voldoen aan Richtlijn 2002/58/EG van het Europees Parlement en de Raad.
2. Onverminderd artikel 8, lid 3, stelt het Agentschap, wanneer het het recht op vertrouwelijkheid van elektronische communicatie beperkt, de betrokkene in zijn antwoord op diens verzoek in kennis van de voornaamste redenen waarop de toepassing van de beperking berust, en van zijn of haar recht een klacht in te dienen bij de EDPS.
Artikel 13
Inwerkingtreding
Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Gedaan te Brussel, op 8 juli 2021.
Voor de stuurgroep van het HaDEA
Pierre DELSAUX
De voorzitter
(1) PB L 295 van 21.11. 2018, blz. 39.
(2) PB L 50 van 15.2.2021, blz. 9.
(3) Besluit C(2021) 948 van de Commissie van 12 februari 2021 waarbij bevoegdheden aan het Europees Uitvoerend Agentschap voor gezondheid en digitaal beleid worden gedelegeerd met het oog op het verrichten van taken in verband met de uitvoering van Unieprogramma’s op het gebied van EU4Health, eengemaakte markt, onderzoek en innovatie, Digitaal Europa, Connecting Europe Facility — Digitaal, met name in verband met de besteding van de in de algemene begroting van de Unie opgenomen kredieten en de bijlagen daarbij.
(4) Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (PB L 56/1, 4.3.1968).
(5) Besluit (EU, Euratom) 2017/46 van de Commissie van 10 januari 2017 over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie (PB L 6 van 11.1.2017, blz. 40).