BESLUIT VAN DE EUROPESE OMBUDSMAN

van 9 november 2020

betreffende interne regels voor de beperking van bepaalde rechten van betrokkenen bij de verwerking van persoonsgegevens

DE EUROPESE OMBUDSMAN,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (1), en met name artikel 25,

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,

Overwegende hetgeen volgt:

(1)

De Europese Ombudsman is bevoegd om administratieve onderzoeken, inleidende tuchtprocedures en tucht- en schorsingsprocedures uit te voeren overeenkomstig het Statuut van de ambtenaren van de Europese Unie en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie, vastgelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (2) (“het Statuut”), en overeenkomstig het besluit van de Europese Ombudsman van 4 november 2004 tot vaststelling van de uitvoeringsbepalingen betreffende het voeren van administratieve onderzoeken en tuchtprocedures. Indien noodzakelijk, worden zaken ook gemeld bij OLAF.

(2)

De personeelsleden van de Europese Ombudsman zijn verplicht om mogelijk illegale activiteiten te melden, met inbegrip van fraude en corruptie, die de belangen van de Unie schaden. De personeelsleden zijn ook verplicht om gedrag te melden dat verband houdt met de uitvoering van de taken van het ambt, die een ernstig plichtsverzuim van de ambtenaren van de Unie kunnen opleveren. Dit is vastgelegd in het besluit van de Europese Ombudsman van 20 februari 2015 tot vaststelling van interne regels voor klokkenluiders.

(3)

De Europese Ombudsman heeft beleidsmaatregelen ingevoerd voor het voorkomen en op doeltreffende wijze afhandelen van daadwerkelijke of mogelijke gevallen van psychische of seksuele intimidatie, zoals voorzien in zijn besluit van 18 december 2017. In het besluit wordt een informele procedure vastgelegd, waarbij het vermeende slachtoffer van intimidatie contact kan opnemen met de “contactpersonen voor ethische kwesties” en/of het bemiddelingscomité van de Europese Ombudsman.

(4)	De Europese Ombudsman kan ook onderzoek uitvoeren naar mogelijke schendingen van veiligheidsvoorschriften voor vertrouwelijke informatie van de Europese Unie.

(5)	De Europese Ombudsman is onderworpen aan zowel interne als externe audits betreffende zijn activiteiten.

(6)	In het kader van dergelijke administratieve onderzoeken, audits en onderzoeken werkt de Europese Ombudsman samen met andere instellingen, organen en instanties van de Unie.

(7)	De Europese Ombudsman kan op verzoek of op eigen initiatief samenwerken met nationale autoriteiten en internationale organisaties van derde landen.

(8)	De Europese Ombudsman kan op verzoek of op eigen initiatief ook samenwerken met de overheidsinstanties van de EU-lidstaten.

(9)

De Europese Ombudsman voert onderzoeken uit naar vermeende gevallen van wanbeheer in de werkzaamheden van de instellingen, organen en instanties van de Unie, met uitzondering van het Hof van Justitie van de Europese Unie bij de uitoefening van zijn gerechtelijke taak. De Europese Ombudsman zou in dit verband wellicht de vertrouwelijkheid van de persoonsgegevens in documenten die zijn verkregen van de partijen en tijdens de onderzoeken moeten bewaren. De Europese Ombudsman moet ook de rechten en vrijheden van de klagers en andere betrokkenen kunnen beschermen.

(10)

Ter uitvoering van zijn taken verzamelt en verwerkt de Europese Ombudsman informatie en verscheidene categorieën persoonsgegevens, waaronder identificatiegegevens van natuurlijke personen, contactinformatie, informatie over beroep en taken, informatie over gedragingen en prestaties in functie en in de persoonlijke levenssfeer, en financiële gegevens. De Europese Ombudsman treedt op als verwerkingsverantwoordelijke.

(11)	Krachtens Verordening (EU) 2018/1725 is de Europese Ombudsman derhalve verplicht de betrokkenen informatie over deze verwerkingsactiviteiten te verstrekken en hun rechten als betrokkene te eerbiedigen.

(12)

De Europese Ombudsman kan worden verplicht deze rechten te verzoenen met de doelstellingen van administratieve onderzoeken, audits, onderzoeken en gerechtelijke procedures. Het zou ook nodig kunnen zijn om de rechten van de betrokkene in evenwicht te brengen met de fundamentele rechten en vrijheden van andere betrokkenen. Hiertoe voorziet artikel 25 van de verordening onder strikte voorwaarden in de mogelijkheid voor de Europese Ombudsman om de toepassing te beperken van de artikelen 14 tot en met 22, 35 en 36 van de verordening, alsook artikel 4, voor zover de bepalingen daarvan overeenkomen met de rechten en verplichtingen in de artikelen 14 tot en met 20. Tenzij in een op grond van de Verdragen vastgestelde rechtshandeling beperkingen zijn opgelegd, is het noodzakelijk interne regels vast te stellen volgens welke de Europese Ombudsman die rechten mag beperken.

(13)

De Europese Ombudsman kan bijvoorbeeld de informatie die het aan een betrokkene verstrekt, beperken in verband met de verwerking van zijn of haar persoonsgegevens tijdens de inleidende fase van een administratief onderzoek of tijdens het onderzoek zelf, voorafgaand aan een eventueel ontslag van een zaak of in de fase voorafgaand aan de tuchtprocedure. In bepaalde omstandigheden kan het verstrekken van dergelijke informatie de Europese Ombudsman ernstig belemmeren om een doeltreffend onderzoek te verrichten, wanneer er bijvoorbeeld een risico bestaat dat de betrokkene bewijsmateriaal vernietigt of mogelijke getuigen beïnvloedt voordat zij worden gehoord. De Europese Ombudsman moet ook de rechten en vrijheden van getuigen en andere betrokkenen kunnen beschermen.

(14)

Het kan noodzakelijk zijn, een getuige of een klokkenluider die heeft gevraagd om anonimiteit, te beschermen. In dat geval kan de Europese Ombudsman besluiten een beperking op te leggen voor de toegang tot de identiteit, verklaringen en andere persoonsgegevens van die betrokkenen, teneinde hun rechten en vrijheden te beschermen.

(15)

Het kan noodzakelijk zijn de vertrouwelijkheid te beschermen van een personeelslid dat de contactpersonen voor ethische kwesties en/of het bemiddelingscomité van de Europese Ombudsman heeft benaderd in verband met een intimidatieprocedure. In dat geval zou de Europese Ombudsman moeten kunnen besluiten een beperking op te leggen voor de toegang tot de identiteit, verklaringen en andere persoonsgegevens van het vermeende slachtoffer, de vermeende dader en andere betrokkenen, teneinde hun rechten en vrijheden te beschermen.

(16)

Het kan, bijvoorbeeld, noodzakelijk zijn voor de Europese Ombudsman om de informatie over de verwerking van persoonsgegevens die wordt verstrekt aan een betrokkene die in een klacht of in onderzoeksdocumenten wordt genoemd te beperken tijdens het onderzoek van het vermeende wanbeheer in een instelling, orgaan of instantie van de EU. Het verstrekken van dergelijke informatie kan de Europese Ombudsman ernstig belemmeren om een doeltreffend onderzoek te verrichten, wanneer er bijvoorbeeld een risico bestaat dat de betrokkene het onderzoek in gevaar brengt. De Europese Ombudsman moet ook de rechten en vrijheden van de klager en andere betrokkenen kunnen beschermen.

(17)

De Europese Ombudsman mag enkel beperkingen opleggen wanneer deze de essentie van de grondrechten en fundamentele vrijheden eerbiedigen, strikt noodzakelijk zijn en een evenredige maatregel vormen in een democratische samenleving. De Europese Ombudsman dient de redenen voor deze beperkingen te rechtvaardigen.

(18)	Overeenkomstig het verantwoordingsbeginsel dient de Europese Ombudsman een register bij te houden van de toepassing van de beperkingen.

(19)

Bij de verwerking van administratieve persoonsgegevens die met andere organisaties in het kader van zijn taken worden uitgewisseld, dienen de Europese Ombudsman en die organisaties overleg te plegen over mogelijke redenen voor het opleggen van beperkingen en de noodzaak en evenredigheid van deze beperkingen, tenzij dit de activiteiten van de Europese Ombudsman in gevaar zou brengen.

(20)	Artikel 25, lid 6, van de verordening verplicht de verwerkingsverantwoordelijke ertoe betrokkenen in kennis te stellen van de voornaamste redenen voor de toepassing van de beperking en van hun recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming (EDPS).

(21)

Ingevolge artikel 25, lid 8, van de verordening heeft de Europese Ombudsman het recht om het verstrekken van informatie over de redenen voor de toepassing van een beperking aan de betrokkene op te schorten, achterwege te laten of te weigeren, indien dit het effect van de beperking op enigerlei wijze teniet zou doen. De Europese Ombudsman dient per geval te beoordelen of een mededeling van de beperking het effect ervan tenietdoet.

(22)	De Europese Ombudsman dient de beperking op te heffen zodra de beperkingsvoorwaarden niet langer van toepassing zijn, en deze voorwaarden regelmatig te beoordelen.

(23)

Teneinde de maximale bescherming van de rechten en vrijheden van betrokkenen te waarborgen en in overeenstemming met artikel 44, lid 1, van de verordening, dient de functionaris voor gegevensbescherming tijdig te worden geraadpleegd over enigerlei beperkingen die kunnen worden toegepast en dient hij/zij te controleren of deze in overeenstemming zijn met dit besluit.

(24)	Artikel 16, lid 5, en artikel 17, lid 4, van de verordening voorzien in uitzonderingen op het recht van de betrokkene op informatie en het recht van toegang. Indien deze uitzonderingen gelden, hoeft de Europese Ombudsman geen beperking in het kader van dit besluit toe te passen,

BESLUIT:

Artikel 1

Onderwerp en toepassingsgebied

1. In dit besluit worden de regels vastgelegd inzake de voorwaarden waaronder de Europese Ombudsman de toepassing kan beperken van de artikelen 4, 14 tot en met 22, 35 en 36 overeenkomstig artikel 25 van de verordening.

2. Het bureau van de Europese Ombudsman wordt, als de verwerkingsverantwoordelijke, vertegenwoordigd door de Europese Ombudsman.

Artikel 2

Beperkingen

1. De Europese Ombudsman kan de toepassing van de artikelen 14 tot en met 22, 35 en 36 en van artikel 4 daarvan beperken voor zover deze bepalingen overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 20 voorzien:

overeenkomstig artikel 25, lid 1, onder b), c), f), g) en h), van de verordening, bij het verrichten van administratieve onderzoeken, inleidende tuchtprocedures, tucht- of schorsingsprocedures uit hoofde van artikel 86 van en bijlage IX bij het Statuut en het besluit van de Europese Ombudsman van 4 november 2004 betreffende het voeren van administratieve onderzoeken en tuchtprocedures, en bij het melden van zaken aan OLAF;

overeenkomstig artikel 25, lid 1, onder h), van de verordening bij het waarborgen dat de personeelsleden van de Europese Ombudsman de feiten vertrouwelijk kunnen rapporteren wanneer zij van mening zijn dat er sprake is van ernstige onregelmatigheden, zoals bepaald in het besluit van de Europese Ombudsman van 20 februari 2015 tot vaststelling van interne regels voor klokkenluiders;

overeenkomstig artikel 25, lid 1, onder h), van de verordening bij het waarborgen dat personeelsleden van de Europese Ombudsman een rapport kunnen indienen bij de contactpersonen voor ethische kwesties en/of het bemiddelingscomité in het kader van een intimidatieprocedure, zoals gedefinieerd in het besluit van de Europese Ombudsman over een beleid voor het voorkomen van en beschermen tegen intimidatie in het bureau van de Europese Ombudsman;

d)	overeenkomstig artikel 25, lid 1, onder c), g) en h), van de verordening, bij het verrichten van interne audits in verband met activiteiten of afdelingen van de Europese Ombudsman;

overeenkomstig artikel 25, lid 1, onder c), d), g) en h), van de verordening, bij het verlenen of ontvangen van bijstand aan of van andere instellingen, organen en instanties van de Unie of bij het samenwerken met hen in het kader van de onder a) tot en met d) van dit lid bedoelde activiteiten en uit hoofde van relevante overeenkomsten inzake het dienstverleningsniveau, memoranda van overeenstemming en samenwerkingsovereenkomsten;

overeenkomstig artikel 25, lid 1, onder c), g) en h), van de verordening, bij het verlenen aan of het ontvangen van bijstand van nationale autoriteiten en internationale organisaties van derde landen of bij het samenwerken met deze autoriteiten en organisaties, op hun verzoek of op eigen initiatief;

g)	overeenkomstig artikel 25, lid 1, onder c), g) en h), van de verordening, bij het verlenen aan of het ontvangen van bijstand van de overheidsinstanties van de EU-lidstaten en bij het samenwerken met hen, op hun verzoek of op eigen initiatief;

h)	overeenkomstig artikel 25, lid 1, onder e), van de verordening, bij het verwerken van persoonsgegevens in door partijen of interveniënten in het kader van een procedure bij het Hof van Justitie van de Europese Unie verkregen documenten;

overeenkomstig artikel 25, lid 1, onder h), van de verordening bij de uitvoering van onderzoeken naar vermeende gevallen van wanbeheer in de werkzaamheden van de instellingen, organen en instanties van de Unie, in overeenstemming met artikel 228 van het Verdrag betreffende de werking van de Europese Unie en het statuut en de uitvoeringsbepalingen van de Europese Ombudsman.

2. Iedere beperking moet de essentie van grondrechten en fundamentele vrijheden eerbiedigen en een noodzakelijke en evenredige maatregel vormen in een democratische samenleving.

3. Voordat er beperkingen kunnen worden opgelegd, wordt iedere zaak onderzocht op de noodzakelijkheid en evenredigheid van een dergelijke maatregel. Er worden enkel beperkingen opgelegd die strikt noodzakelijk zijn om hun doel te bereiken.

4. Omwille van zijn verantwoordingsplicht stelt de Europese Ombudsman een verslag op waarin de redenen voor de toegepaste beperkingen worden beschreven, welke van de in lid 1 genoemde gronden van toepassing zijn, alsook het resultaat van de noodzakelijkheids- en evenredigheidstest. Deze aantekeningen maken deel uit van een register, dat op verzoek ter beschikking wordt gesteld aan de EDPS. De Europese Ombudsman stelt periodieke verslagen op over de toepassing van artikel 25 van de verordening.

5. Bij de verwerking van persoonsgegevens die van andere organisaties in het kader van zijn taken worden ontvangen, dient de Europese Ombudsman deze organisaties te raadplegen over potentiële redenen voor het opleggen van beperkingen en de noodzakelijkheid en evenredigheid van de betrokken beperkingen, tenzij dit de activiteiten van de Europese Ombudsman in gevaar zouden brengen.

Artikel 3

Risico’s voor de rechten en vrijheden van betrokkenen

1. De beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen om beperkingen op te leggen en van de duur van de toepassing van deze beperkingen wordt geregistreerd in het register van de verwerkingsactiviteiten die door de Europese Ombudsman op grond van artikel 31 van de verordening wordt onderhouden. Zij worden ook opgenomen in eventuele effectbeoordelingen van de gegevensbescherming met betrekking tot die beperkingen die krachtens artikel 39 van de verordening worden uitgevoerd.

2. Telkens wanneer de Europese Ombudsman de noodzaak en de evenredigheid van een beperking beoordeelt, houdt hij rekening met de potentiële risico’s voor de rechten en vrijheden van de betrokkene.

Artikel 4

Waarborgen en bewaartermijnen

1. De Europese Ombudsman voert waarborgen in om misbruik of onrechtmatige toegang tot, of onrechtmatige doorgifte van persoonsgegevens waarvoor beperkingen gelden of kunnen worden toegepast, te voorkomen. Deze waarborgen omvatten technische en organisatorische maatregelen en worden voor zover noodzakelijk uitvoerig vastgelegd in interne besluiten, procedures en uitvoeringsvoorschriften van de Europese Ombudsman. De waarborgen omvatten:

a)	een duidelijke definitie van rollen, verantwoordelijkheden en procedurele stappen;

b)	indien toepasselijk, een veilige elektronische omgeving die onwettige en accidentele toegang tot of overdracht van elektronische gegevens aan onbevoegden verhindert;

c)	indien toepasselijk, een veilige opslag en verwerking van fysieke documenten;

d)	een passende monitoring van de beperkingen en een periodieke toetsing van de toepassing.

De onder d) bedoelde evaluaties worden ten minste om de zes maanden uitgevoerd.

2. De beperkingen worden opgeheven zodra de omstandigheden die deze rechtvaardigen niet meer van toepassing zijn.

3. De persoonsgegevens worden bewaard overeenkomstig de van toepassing zijnde regels voor bewaring van de Europese Ombudsman, die moeten worden gedefinieerd in de overeenkomstig artikel 31 van de verordening bijgehouden gegevens over gegevensbescherming. Na afloop van de bewaartermijn worden de persoonsgegevens gewist, geanonimiseerd of overgebracht naar archieven overeenkomstig artikel 13 van de verordening.

Artikel 5

Betrokkenheid door de functionaris voor gegevensbescherming

1. De functionaris voor gegevensbescherming (“DPO”) van de Europese Ombudsman wordt onverwijld in kennis gesteld wanneer de rechten van de betrokkene overeenkomstig dit besluit worden beperkt. Hij of zij krijgt toegang tot de bijbehorende registers en tot alle documenten die betrekking hebben op de feitelijke of juridische context.

2. De DPO van de Europese Ombudsman kan vragen de toepassing van de beperking te herzien. De Europese Ombudsman brengt zijn DPO schriftelijk op de hoogte van het resultaat van de herziening.

3. De Europese Ombudsman documenteert de betrokkenheid van de DPO bij de toepassing van de beperkingen, met inbegrip van de informatie die met hem of haar wordt gedeeld.

Artikel 6

Informatie aan betrokkenen over beperkingen van hun rechten

1. De Europese Ombudsman neemt in de berichten over gegevensbescherming die op zijn website worden gepubliceerd, algemene informatie voor de betrokkenen op die verband houdt met mogelijke beperkingen van de rechten van de betrokkenen uit hoofde van artikel 2, lid 1. De informatie heeft betrekking op de rechten die kunnen worden beperkt, de redenen waarvoor beperkingen kunnen worden toegepast en op de potentiële duur ervan.

2. De Europese Ombudsman informeert de betrokkenen individueel, schriftelijk en onverwijld over bestaande of toekomstige beperkingen van hun rechten. De Europese Ombudsman stelt de betrokkene in kennis van de voornaamste redenen waarop de toepassing van de beperking is gebaseerd, van zijn recht om de DPO te raadplegen teneinde de beperking te betwisten, en van zijn/haar rechten om een klacht in te dienen bij de EDPS.

3. De Europese Ombudsman kan het verstrekken van informatie over de redenen voor een beperking en het recht om een klacht bij de EDPS in te dienen opschorten, achterwege laten of weigeren, zolang dit het effect van de beperking teniet zou doen. De vraag of dit gerechtvaardigd is vindt per individueel geval plaats. Zodra dit het effect van de beperking niet langer teniet zou doen, verstrekt de Europese Ombudsman de betrokkene de informatie.

Artikel 7

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1. Wanneer de Europese Ombudsman verplicht is een inbreuk in verband met persoonsgegevens uit hoofde van artikel 35, lid 1, van de verordening mee te delen, kan de Europese Ombudsman deze mededeling in uitzonderlijke omstandigheden geheel of gedeeltelijk beperken. De redenen voor de beperking, de rechtsgrond ervoor uit hoofde van artikel 2 en een beoordeling van de noodzaak en de evenredigheid ervan worden in een nota gedocumenteerd. De nota wordt aan de EDPS meegedeeld op het tijdstip van de kennisgeving van de inbreuk in verband met persoonsgegevens.

2. Wanneer de redenen voor de beperking niet langer van toepassing zijn, deelt de Europese Ombudsman de inbreuk in verband met persoonsgegevens mee aan de betrokkene en stelt hij hem of haar in kennis van de voornaamste redenen voor de beperking en van zijn recht om een klacht in te dienen bij de EDPS.

Artikel 8

Vertrouwelijkheid van elektronische communicatie

1. In uitzonderlijke omstandigheden kan de Europese Ombudsman het in artikel 36 van de verordening bedoelde recht op vertrouwelijkheid van elektronische communicatie beperken. Dergelijke beperkingen voldoen aan Richtlijn 2002/58/EG van het Europees Parlement en de Raad (3).

2. Indien de Europese Ombudsman het recht op vertrouwelijkheid van elektronische communicatie beperkt, stelt hij de betrokkene in zijn antwoord op diens verzoek in kennis van de voornaamste redenen waarop de toepassing van de beperking berust, en van zijn of haar recht een klacht in te dienen bij de EDPS.

3. De Europese Ombudsman kan het verstrekken van informatie over de redenen voor de beperking en het recht om een klacht bij de EDPS in te dienen opschorten, achterwege laten of weigeren, zolang dit het effect van de beperking teniet zou doen. De vraag of dit gerechtvaardigd is vindt per individueel geval plaats. Zodra dit het effect van de beperking niet langer teniet zou doen, verstrekt de Europese Ombudsman de betrokkene de informatie.

Artikel 9

Inwerkingtreding

Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Straatsburg, 9 november 2020.

Voor de Europese Ombudsman

Emily O’REILLY

(1) PB L 295 van 21.11.2018, blz. 39.

(2) Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de Regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (PB L 56 van 4.3.1968, blz. 1).

(3) Richtlĳn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (richtlĳn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).