17.3.2015

SL

Uradni list Evropske unije

L 72/41

---

SKLEP KOMISIJE (EU, Euratom) 2015/443

z dne 13. marca 2015

o varnosti v Komisiji

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 249 Pogodbe,s

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti za atomsko energijo,

ob upoštevanju Protokola št. 7 o privilegijih in imunitetah Evropske unije, priloženega Pogodbama, in zlasti člena 18 Protokola,

ob upoštevanju naslednjega:

(1)	Cilj varnosti znotraj Komisije je Komisiji omogočiti delovanje v varnem okolju z vzpostavitvijo usklajenega in celostnega pristopa glede varnosti, zagotavljanjem ustrezne ravni varstva oseb, sredstev in podatkov glede na ugotovljena tveganja ter učinkovitim in pravočasnim zagotavljanjem varnosti.

(2)	Enako kot druge mednarodne organizacije se tudi Komisija sooča z resnimi grožnjami in izzivi na področju varnosti, zlasti kar zadeva terorizem, kibernetske napade ter politično in gospodarsko vohunstvo.

(3)	Evropska komisija je z vladami Belgije, Luksemburga in Italije (1) pogodbenica instrumentov na področju varnosti na njenih glavnih lokacijah. Ti instrumenti potrjujejo, da je Komisija pristojna za svojo varnost.

(4)	Za zagotovitev varnosti oseb, sredstev in podatkov mora Komisija morda sprejeti ukrepe na področjih, ki jih varujejo temeljne pravice, kot so določene v Listini o temeljnih pravicah in v Evropski konvenciji o človekovih pravicah in kakor jih priznava Sodišče.

(5)	Da bi bili taki ukrepi upravičeni, bi moral biti njihov namen zaščita pomembnega interesa, biti bi morali sorazmerni in v celoti spoštovati temeljne pravice, zlasti pravice do zasebnosti in varovanja podatkov.

(6)	V sistemu, ki je zavezan vladavini prava in spoštovanju temeljnih pravic, si mora Komisija prizadevati za ustrezno raven varnosti za svoje osebje, sredstva in podatke, da bo lahko opravljala svoje dejavnosti brez omejevanja temeljnih pravic, razen kolikor je nujno potrebno.

(7)	Varnost v Komisiji temelji na načelih zakonitosti, transparentnosti, sorazmernosti in prevzemanja odgovornosti.

(8)	Člani osebja, pooblaščeni za sprejemanje varnostnih ukrepov, zaradi svojih dejavnosti ne bi smeli biti v neugodnem položaju, razen če so prekoračili pooblastila ali so delovali v nasprotju z zakonom, zato mora ta sklep veljati za navodilo službe v smislu kadrovskih predpisov.

(9)

Komisija bi morala sprejeti ustrezne pobude za spodbujanje in krepitev varnostne kulture, da se omogoči učinkovitejše zagotavljanje varnosti, izboljša upravljanje varnosti, nadalje okrepijo omrežja in sodelovanje z ustreznimi organi na mednarodni, evropski in nacionalni ravni ter izboljša spremljanje in nadzor izvajanja varnostnih ukrepov.

(10)

Ustanovitev Evropske službe za zunanje delovanje (ESZD), ki je funkcionalno neodvisen organ Unije, je močno vplivala na varnostne interese Komisije, zato je treba vzpostaviti pravila in postopke za sodelovanje na področju varnosti in zaščite med ESZD in Komisijo, zlasti glede izpolnjevanja odgovornosti skrbnega ravnanja, ki jo ima Komisija do svojega osebja v delegacijah Unije.

(11)

Varnostno politiko Komisije bi bilo treba izvajati na način, ki je skladen z drugimi notranjimi postopki, ki lahko vključujejo varnostni element. To zlasti vključuje upravljanje neprekinjenega poslovanja, katerega cilj je ohranitev bistvenih funkcij Komisije v primeru motenj delovanja, in sistem ARGUS za večsektorsko krizno usklajevanje.

(12)

Ne glede na ukrepe, ki so že bili v veljavi v času sprejetja tega sklepa in priglašeni evropskemu nadzorniku za varstvo podatkov (2), za vse ukrepe iz tega sklepa v zvezi z obdelavo osebnih podatkov veljajo izvedbena pravila v skladu s členom 21, ki določijo ustrezne zaščitne ukrepe za posameznike, na katere se nanašajo osebni podatki.

(13)	Zato bi morala Komisija pregledati, posodobiti in konsolidirati obstoječo pravno podlago za varnost v Komisiji.

(14)	Sklep Komisije C(94) 2129 (3) bi bilo zato treba razveljaviti —

SPREJELA NASLEDNJI SKLEP:

POGLAVJE 1

SPLOŠNE DOLOČBE

Člen 1

Opredelitev pojmov

V tem sklepu se uporabljajo naslednje opredelitve pojmov:

1.	„sredstva“ so vse premičnine in nepremičnine ter premoženje Komisije;

2.	„služba Komisije“ pomeni generalni direktorat ali službo Komisije ali kabinet člana Komisije;

3.	„komunikacijski in informacijski sistem“ ali „KIS“ pomeni kakršen koli sistem, ki omogoča obravnavanje podatkov v elektronski obliki, ki vključuje vse sestavne dele, potrebne za delovanje, ter infrastrukturo, organizacijo, osebje in informacijske vire;

4.	„obvladovanje tveganj“ pomeni vse varnostne ukrepe, za katere se lahko upravičeno pričakuje, da bodo s preprečevanjem, ublažitvijo, izogibanjem ali prenosom tveganj učinkovito obvladovali varnostno tveganje;

5.	„krizne razmere“ pomenijo okoliščine, dogodek, incident ali izredni dogodek (ali zaporedje ali kombinacijo navedenega), ki pomenijo resno ali neposredno varnostno grožnjo v Komisiji, ne glede na njihov izvor;

6.	„podatki“ pomenijo informacije v taki obliki, da jih je mogoče posredovati, zapisovati ali obdelovati;

7.	„član Komisije, pristojen za varnost“ pomeni člana Komisije, ki vodi Generalni direktorat za človeške vire in varnost;

8.	„osebni podatki“ pomenijo osebne podatke, kakor so opredeljeni v členu 2(a) Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta (4);

9.	„prostori“ so vse nepremičnine in pritikline v lasti ali posesti Komisije;

10.	„preprečevanje tveganja“ pomeni varnostne ukrepe, za katere se razumno pričakuje, da bodo preprečili, zadržali ali zaustavili varnostno tveganje;

11.	„varnostno tveganje“ pomeni kombinacijo stopnje ogroženosti, stopnje ranljivosti in morebitnega vpliva dogodka;

12.	„varnost v Komisiji“ pomeni varnost oseb, sredstev in podatkov v Komisiji, zlasti fizično nedotakljivost oseb in sredstev, nedotakljivost, zaupnost in razpoložljivost podatkov ter komunikacijskih in informacijskih sistemov ter neovirano opravljanje dejavnosti Komisije;

13.	„varnostni ukrep“ pomeni vsak ukrep, sprejet na podlagi tega sklepa za namene obvladovanja varnostnega tveganja;

14.	„kadrovski predpisi“ pomenijo kadrovske predpise za uradnike Evropske unije, določene z Uredbo (EGS, Euratom, ESPJ) št. 259/68 Sveta (5) in akti o spremembi Uredbe;

15.	„varnostna grožnja“ pomeni dogodek ali dejavnik, za katerega se lahko razumno pričakuje, da bo negativno vplival na varnost, če se nanj ne odzove in se ga ne obvladuje;

16.	„neposredna varnostna grožnja“ pomeni varnostno grožnjo brez predhodnega opozorila ali s predhodnim opozorilom le malo pred nastankom nevarnosti;

17.

„resna varnostna grožnja“ pomeni varnostno grožnjo, pri kateri se lahko razumno pričakuje, da bo povzročila izgubo življenj, resne poškodbe, veliko škodo na lastnini, nepooblaščeno razkritje zelo občutljivih podatkov, motnje pri zagotavljanju informacijskih sistemov ali bistvenih operativnih zmogljivosti Komisije;

18.	„ranljiva točka“ pomeni kakršno koli pomanjkljivost, za katero se lahko razumno pričakuje, da bo negativno vplivala na varnost v Komisiji, če ena ali več groženj to pomanjkljivost izkoristi.

Člen 2

Predmet urejanja

1.   Ta sklep opredeljuje cilje, osnovna načela, organiziranost in odgovornosti v zvezi z varnostjo v Komisiji.

2.   Uporablja se za vse službe Komisije in v vseh prostorih Komisije. Za osebje Komisije v delegacijah Unije veljajo varnostna pravila za Evropsko službo za zunanje delovanje (6).

3.   Ne glede na kakršna koli posebna navodila za določene skupine osebja se ta sklep uporablja za člane Komisije, za osebje Komisije, za katerega veljajo kadrovski predpisi in pogoji za zaposlitev drugih uslužbencev Evropske unije, za napotene nacionalne strokovnjake, dodeljene Komisiji, za ponudnike storitev in njihovo osebje, za pripravnike in za vse posameznike z dostopom do zgradb ali drugih sredstev Komisije ali do podatkov, ki jih obravnava Komisija.

4.   Določbe tega sklepa ne posegajo v Sklep Komisije 2002/47/ES, ESPJ, Euratom (7) in Sklep Komisije 2004/563/ES, Euratom (8), Sklep Komisije C(2006) 1623 (9) in Sklep Komisije C(2006) 3602 (10).

POGLAVJE 2

NAČELA

Člen 3

Načela za varnost v Komisiji

1.   Pri izvajanju tega sklepa Komisija deluje v skladu s pogodbama in zlasti z Listino o temeljnih pravicah in Protokolom št. 7 o privilegijih in imunitetah Evropske unije, v skladu z instrumenti iz uvodne izjave 2, z vsemi veljavnimi pravili nacionalne zakonodaje ter s pogoji iz tega sklepa. Po potrebi se izda varnostno obvestilo v smislu člena 21(2), ki določa smernice v zvezi s tem.

2.   Varnost v Komisiji temelji na načelih zakonitosti, transparentnosti, sorazmernosti in prevzemanja odgovornosti.

3.   Načelo zakonitosti pomeni, da je treba pri izvajanju tega sklepa obvezno delovati znotraj pravnega okvira in da je treba izpolnjevati pravne zahteve.

4.   Vsi varnostni ukrepi se sprejemajo neprikrito, razen če je mogoče razumno pričakovati, da bi to zmanjšalo njihov učinek. Naslovniki varnostnih ukrepov so vnaprej obveščeni o razlogih za ukrep in njegovih učinkih, razen če je mogoče razumno pričakovati, da bi se zaradi posredovanja teh informacij zmanjšala učinkovitost ukrepa. V tem primeru se naslovnika varnostnega ukrepa obvesti po tem, ko tveganje za zmanjšanje učinka varnostnega ukrepa mine.

5.   Službe Komisije zagotovijo, da se varnostna vprašanja upoštevajo od začetka razvoja in izvajanja politik, odločitev, programov, projektov in dejavnosti Komisije, za katere so odgovorne. V ta namen že v najzgodnejših fazah priprave pri splošnih vprašanjih vključijo Generalni direktorat za človeške vire in varnost, pri vprašanjih glede informacijskih sistemov pa vodja službe za informacijsko varnost Komisije.

6.   Kjer je to primerno, si Komisija prizadeva za sodelovanje s pristojnimi organi države gostiteljice, drugih držav članic in drugih institucij, agencij ali organov EU, kjer je to mogoče, pri tem pa upošteva ukrepe, ki so jih ti organi sprejeli ali jih načrtujejo za odpravo zadevnega varnostnega tveganja.

Člen 4

Obveznost upoštevanja določb

1.   Obvezno je upoštevanje tega sklepa in njegovih izvedbenih pravil ter varnostnih ukrepov in navodil, ki jih izda pooblaščeno osebje.

2.   Zaradi neupoštevanja varnostnih predpisov se lahko izvedejo disciplinski ukrepi v skladu s Pogodbama in kadrovskimi predpisi ter pogodbene sankcije in/ali se začnejo pravni postopki v skladu z nacionalnimi zakoni in predpisi.

POGLAVJE 3

ZAGOTAVLJANJE VARNOSTI

Člen 5

Pooblaščeno osebje

1.   Le osebje, ki jim generalni direktor za človeške vire in varnost na podlagi njihovih trenutnih zadolžitev podeli poimensko pooblastilo, je pristojno za sprejetje enega ali več naslednjih ukrepov:

1.	nošnja orožja;

2.	izvajanje varnostnih poizvedb, kot je navedeno v členu 13;

3.	sprejemanje varnostnih ukrepov, kot so navedeni v členu 12, v skladu s pooblastilom.

2.   Pooblastila iz odstavka 1 se podelijo za obdobje, ki ne sme biti daljše od obdobja, ko zadevna oseba zaseda delovno mesto ali funkcijo, v zvezi s katero ji je bilo podeljeno pooblastilo. Pooblastilo se podeli v skladu z veljavnimi določbami iz člena 3(1).

3.   Za pooblaščeno osebje ta sklep pomeni navodilo službe v smislu člena 21 kadrovskih predpisov.

Člen 6

Splošne določbe glede varnostnih ukrepov

1.   Pri sprejemanju varnostnih ukrepov Komisija v mejah možnosti zlasti zagotovi, da:

(a)	prosi za podporo ali pomoč le zadevno državo, pod pogojem, da je ta država bodisi država članica Evropske unije bodisi pogodbenica Evropske konvencije o človekovih pravicah ali da zagotavlja pravice, ki so vsaj enakovredne pravicam iz navedene konvencije;

(b)	prenos podatkov o posamezniku prejemnikom, ki niso institucije in organi Skupnosti in ki niso zavezani nacionalni zakonodaji, sprejeti skladno z Direktivo 95/46/ES Evropskega parlamenta in Sveta (11), opravi v skladu s členom 9 Uredbe (ES) št. 45/2001;

(c)

so, če posameznik predstavlja varnostno grožnjo, vsi varnostni ukrepi usmerjeni proti temu posamezniku, ki se mu lahko naloži plačilo nastalih stroškov. Ti varnostni ukrepi so lahko proti drugim posameznikom usmerjeni samo, če je treba obvladati neposredno ali resno varnostno grožnjo in so izpolnjeni naslednji pogoji: (a) predvidenih ukrepov zoper posameznika, ki predstavlja varnostno grožnjo, ni mogoče sprejeti ali verjetno ne bi bili učinkoviti; (b) Komisija varnostne grožnje ne more obvladovati z lastnimi ukrepi ali tega ne more storiti pravočasno; (c) ukrep nesorazmerno ne ogroža drugega posameznika in njegovih pravic.

2.   Direktorat za varnost Generalnega direktorata za človeške vire in varnost pripravi pregled varnostnih ukrepov, za katere je morda treba pridobiti odredbo sodišča v skladu z zakoni in drugimi predpisi držav članic, v katerih se nahajajo prostori Komisije.

3.   Direktorat za varnost Generalnega direktorata za človeške vire in varnost lahko izvedbo nalog v zvezi z varnostjo prenese na izvajalca, ki te naloge izvaja v skladu z usmeritvami in pod nadzorom Direktorata za varnost.

Člen 7

Varnostni ukrepi v zvezi z osebami

1.   Osebam v prostorih Komisije je treba zagotoviti ustrezno raven varstva ob upoštevanju varnostnih zahtev.

2.   V primeru resnih varnostnih tveganj Generalni direktorat za človeške vire in varnost članom Komisije ali drugemu osebju zagotovi osebno varovanje, če ocena grožnje pokaže, da je takšno varovanje za zagotovitev njihove varnosti potrebno.

3.   V primeru resnih varnostnih tveganj lahko Komisija odredi evakuacijo svojih prostorov.

4.   Žrtvam nesreč ali napadov v prostorih Komisije se zagotovi pomoč.

5.   Za preprečevanje in obvladovanje varnostnih tveganj lahko pooblaščeno osebje opravi preverjanje zanesljivosti oseb, za katere velja ta sklep, da se ugotovi, ali dostop takih oseb do prostorov ali podatkov Komisije predstavlja grožnjo za varnost. V ta namen ter v skladu z Uredbo (ES) št. 45/2001 in določbami člena 3(1) lahko zadevno pooblaščeno osebje:

(a)	uporabi vse vire informacij, ki so Komisiji na voljo, pri čemer upošteva zanesljivost vira informacij;

(b)	dostopa do kadrovske mape ali podatkov, ki jih ima Komisija o posameznikih, ki jih zaposluje ali namerava zaposliti, ali o pogodbenem osebju, kadar je to ustrezno utemeljeno.

Člen 8

Varnostni ukrepi v zvezi s fizično varnostjo in sredstvi

1.   Varnost sredstev se zagotavlja z uporabo ustreznih fizičnih in tehničnih zaščitnih ukrepov in ustreznih postopkov (v nadaljnjem besedilu: fizična varnost), s čimer se vzpostavi večplasten sistem.

2.   V skladu s tem členom se lahko sprejmejo ukrepi za zaščito oseb ali podatkov v Komisiji ter za zaščito sredstev.

3.   Fizična varnost ima naslednje cilje:

—	preprečevanje nasilnih dejanj zoper člane Komisije ali osebe, za katere velja ta sklep,

—	preprečevanje vohunjenja in prisluškovanja občutljivim ali zaupnim podatkom,

—	preprečevanje kraj, vandalizma, sabotaž in drugih nasilnih dejanj, katerih namen je poškodovanje ali uničenje zgradb in sredstev Komisije,

—	omogočanje preiskav in poizvedb o varnostnih incidentih, vključno s preverjanjem nadzornih evidenc o prihodih in odhodih, posnetkov sistema televizije zaprtega kroga, posnetkov telefonskih klicev in podobnih podatkov, kot je navedeno v členu 22(2) spodaj, in drugih virov informacij.

4.   Fizična varnost vključuje:

—	politiko dostopa, ki se uporablja za vse osebe ali vozila, ki zahtevajo dostop do prostorov Komisije, vključno do parkirnih prostorov,

—	sistem za nadzor dostopa, ki vključuje varnostnike, tehnično opremo in ukrepe, informacijske sisteme ali kombinacijo vseh navedenih elementov.

5.   Za zagotovitev fizične varnosti se lahko sprejmejo naslednji ukrepi:

—	beleženje prihodov oseb, vozil, blaga in opreme v prostore Komisije in odhodov iz njih,

—	preverjanje istovetnosti v prostorih Komisije,

—	pregledi vozil, blaga in opreme z vizualnimi ali tehničnimi sredstvi,

—	preprečevanje dostopa nepooblaščenim osebam, vozilom in blagu v prostore Komisije.

Člen 9

Varnostni ukrepi v zvezi s podatki

1.   Varovanje podatkov zajema vse podatke, ki jih obravnava Komisija.

2.   Varovanje podatkov, ne glede na njihovo obliko, usklajuje transparentnost, sorazmernost, prevzemanje odgovornosti in učinkovitost s potrebo po zaščiti podatkov pred nepooblaščenim dostopom, uporabo, razkritjem, spreminjanjem ali uničenjem.

3.   Varovanje podatkov je namenjeno varovanju zaupnosti, celovitosti in razpoložljivosti.

4.   Zato se za razvrščanje podatkov in razvoj sorazmernih varnostnih ukrepov, postopkov in standardov, vključno z blažilnimi ukrepi, uporabljajo postopki obvladovanja tveganja.

5.   Ta splošna načela varovanja podatkov se uporablja zlasti za:

(a)	„tajne podatke Evropske unije“, to je vse podatke ali gradivo, ki mu je določena stopnja tajnosti EU in katerih nepooblaščeno razkritje bi lahko v različni meri škodovalo interesom Evropske unije ali eni ali več državam članicam;

(b)

„občutljive netajne podatke“, to je vse podatke ali gradivo, ki ga mora Komisija zaščititi na podlagi pravnih obveznosti, določenih s Pogodbama ali akti, sprejetimi za njuno izvajanje, in/ali zaradi njihove občutljive narave. Občutljivi netajni podatki med drugim vključujejo podatke ali gradivo, za katero velja obveznost varovanja poslovne skrivnosti iz člena 339 PDEU, podatke, ki se nanašajo na interese, zaščitene na podlagi člena 4 Uredbe (ES) št. 1049/2001 Evropskega parlamenta in Sveta (12) v povezavi z ustrezno sodno prakso Sodišča, ali osebne podatke v okviru področja uporabe Uredbe (ES) št. 45/2001.

6.   Za občutljive netajne podatke se uporabljajo pravila glede njihovega obravnavanja in hrambe. Dostopni so le posameznikom s potrebo po vedenju. Kadar se to zdi potrebno za učinkovito varovanje zaupnosti podatkov, se ti označijo z varnostno oznako in ustreznimi navodili za njihovo obravnavanje, ki jih odobri generalni direktor za človeške vire in varnost. Pri obravnavanju in hrambi navedenih podatkov v komunikacijskih in informacijskih sistemih so ti podatki zaščiteni tudi v skladu s Sklepom C(2006) 3602, njegovimi izvedbenimi pravili in ustreznimi standardi.

7.   Zoper vsakega posameznika, ki povzroči nepooblaščeno razkritje ali izgubo tajnih podatkov EU ali občutljivih netajnih podatkov, ki so kot taki opredeljeni v pravilih o njihovem obravnavanju in hrambi, se lahko uvede disciplinski postopek v skladu s kadrovskimi predpisi. Ti disciplinski ukrepi ne vplivajo na kakršne koli nadaljnje pravne ali kazenske postopke s strani pristojnih organov države članice v skladu z njenimi zakoni in predpisi ter na pogodbena pravna sredstva.

Člen 10

Varnostni ukrepi v zvezi s komunikacijskimi in informacijskimi sistemi

1.   Vsi komunikacijski in informacijski sistemi (v nadaljnjem besedilu: KIS), ki jih uporablja Komisija, so v skladu z varnostno politiko Komisije glede informacijskih sistemov, kot je določena v Sklepu C(2006) 3602, njegovih izvedbenih pravilih in ustreznih varnostnih standardih.

2.   Službe Komisije, ki imajo v lasti, upravljajo ali vodijo KIS, dovolijo dostop do teh sistemov drugim institucijam, agencijam, organom ali drugim organizacijam Evropske unije le pod pogojem, da te institucije, agencije, organi ali druge organizacije Evropske unije lahko razumno zagotovijo, da so njihovi sistemi IT zaščiteni na ravni, ki je enaka ravni zaščite v skladu z varnostno politiko Komisije glede informacijskih sistemov, kakor je določena v Sklepu C(2006) 3602, njegovih izvedbenih pravilih in ustreznih varnostnih standardih. Komisija navedeno zagotavljanje skladnosti spremlja, v primeru resnih kršitev ali ponavljajočih se neskladnosti pa lahko dostop prepreči.

Člen 11

Forenzična analiza v zvezi s kibernetsko varnostjo

Generalni direktorat za človeške vire in varnost je zlasti odgovoren za izvajanje forenzičnih tehničnih analiz v sodelovanju s pristojnimi službami Komisije v podporo varnostnih poizvedb iz člena 13 v zvezi s protiobveščevalnimi dejavnostmi, uhajanjem podatkov, kibernetskimi napadi in varnostjo informacijskih sistemov.

Člen 12

Varnostni ukrepi v zvezi z osebami in predmeti

1.   Za zagotovitev varnosti v Komisiji ter za preprečevanje in obvladovanje tveganj lahko osebje, ki je pooblaščeno v skladu s členom 5, v skladu z načeli iz člena 3 med drugim sprejme enega ali več naslednjih varnostnih ukrepov:

(a)	zaščita kraja dogodka in dokazov, vključno z nadzornimi evidencami o prihodih in odhodih, posnetki sistema televizije zaprtega kroga, v primeru incidentov ali ravnanja, ki lahko privede do upravnih, disciplinskih, civilnih ali kazenskih postopkov;

(b)

omejeni ukrepi glede oseb, ki predstavljajo varnostno grožnjo, vključno z zahtevo, da osebe zapustijo prostore Komisije, pospremitvijo oseb iz prostorov Komisije, prepovedjo dostopa osebe do prostorov Komisije za določeno časovno obdobje, opredeljeno v skladu z merili, ki se določijo v izvedbenih pravilih;

(c)	omejeni ukrepi v zvezi s predmeti, ki predstavljajo grožnjo za varnost, vključno z odstranitvijo, zasegom in dokončno odstranitvijo predmetov;

(d)	preiskave prostorov Komisije, vključno s pisarnami v navedenih prostorih;

(e)	preiskave KIS in opreme, podatkov o opravljenih telefonskih pogovorih in telekomunikacijskem prometu, dnevniških datotek, uporabniških računov itn.;

(f)	drugi posebni varnostni ukrepi s podobnim učinkom za preprečevanje ali obvladovanje varnostnega tveganja, zlasti v okviru pravice Komisije kot lastnika ali delodajalca v skladu z veljavno nacionalno zakonodajo.

2.   V izjemnih okoliščinah lahko člani osebja Direktorata za varnost Generalnega direktorata za človeške vire in varnost, pooblaščeni v skladu s členom 5, ob strogem upoštevanju načel iz člena 3 sprejmejo vse potrebne nujne ukrepe. Čim prej po sprejetju ukrepov o tem obvestijo direktorja Direktorata za varnost, ki pridobi primerno pooblastilo generalnega direktorja za človeške vire in varnost, s katerim potrdi sprejete ukrepe in odobri vsakršne nadaljnje ukrepe ter se po potrebi poveže s pristojnimi nacionalnimi organi.

3.   Varnostni ukrepi na podlagi tega člena se dokumentirajo v času njihovega sprejetja ali, v primeru neposrednega tveganja ali kriznih razmer, v razumnem roku po sprejetju. V slednjem primeru mora dokumentacija vključevati tudi elemente, na katerih je temeljila ocena glede obstoja neposrednega tveganja ali kriznih razmer. Dokumentacija je lahko jedrnata, vendar mora biti zasnovana tako, da lahko oseba, ki ji je ukrep namenjen, uveljavlja svojo pravico do obrambe in varstva osebnih podatkov v skladu z Uredbo (ES) št. 45/2001 in da omogoča nadzor nad zakonitostjo ukrepa. Informacije o posebnih varnostnih ukrepih, naslovljenih na člana osebja, niso del njegove kadrovske mape.

4.   Pri sprejemanju varnostnih ukrepov v skladu s točko (b) Komisija poleg tega zagotovi, da se zadevni osebi omogoči, da stopi v stik z odvetnikom ali osebo, ki ji zaupa, in je seznanjena s svojo pravico, da se lahko obrne na evropskega nadzornika za varstvo podatkov.

Člen 13

Poizvedbe

1.   Brez poseganja v člen 86 in Prilogo IX h kadrovskim predpisom in kakršne koli posebne dogovore med Komisijo in Evropsko službo za zunanje delovanje, kot je na primer posebni dogovor, podpisan 28. maja 2014 med Generalnim direktoratom Evropske komisije za človeške vire in varnost ter Evropsko službo za zunanje delovanje o dolžnostih do osebja Komisije v delegacijah Unije, se lahko varnostne poizvedbe opravijo:

(a)	v primeru incidentov, ki vplivajo na varnost v Komisiji, vključno s sumi kaznivih dejanj;

(b)	v primeru morebitnega uhajanja, neustreznega obravnavanja ali nepooblaščenega razkritja občutljivih netajnih podatkov, tajnih podatkov EU ali tajnih podatkov Euratoma;

(c)	v okviru protiobveščevalne dejavnosti in boja proti terorizmu;

(d)	v primeru resnih kibernetskih incidentov.

2.   Odločitev o izvedbi varnostne poizvedbe sprejme generalni direktor za človeške vire in varnost, ki tudi prejme poročilo o poizvedbi.

3.   Varnostne poizvedbe izvajajo samo izbrani člani osebja generalnega direktorata za človeške vire in varnost, ustrezno pooblaščeni v skladu s členom 5.

4.   Pooblaščeno osebje izvaja svoje pristojnosti glede varnostne poizvedbe neodvisno v skladu s pooblastilom; pristojnosti so navedene v členu 12.

5.   Pooblaščeno osebje, ki je pristojno za opravljanje varnostnih poizvedb, lahko iz vseh razpoložljivih virov zbere informacije v zvezi s kakršnimi koli upravnimi prekrški ali kaznivimi dejanji, ki so storjena v prostorih Komisije ali ki bodisi kot žrtve ali storilce navedenih dejanj vključujejo osebe iz člena 2(3).

6.   Generalni direktorat za človeške vire in varnost obvesti pristojne organe države članice gostiteljice ali katere koli druge zadevne države članice, če je to primerno, zlasti če je poizvedba razkrila, da je bilo storjeno kaznivo dejanje. V zvezi s tem lahko Generalni direktorat za človeške vire in varnost, kadar je to primerno ali potrebno, zagotovi podporo organom države članice gostiteljice ali katere koli druge zadevne države članice.

7.   V primeru resnih kibernetskih incidentov Generalni direktorat za informatiko tesno sodeluje z Generalnim direktoratom za človeške vire in varnost, da zagotovi podporo pri vseh tehničnih zadevah. Generalni direktorat za človeške vire in varnost se po posvetovanju z Generalnim direktoratom za informatiko odloči, kdaj je primerno obvestiti pristojne organe države članice gostiteljice ali katere koli druge zadevne države članice. Službe za koordinacijo incidentov skupine za odzivanje na računalniške grožnje za evropske institucije, organe in agencije (CERT-EU) bodo zagotavljale podporo ostalim institucijam in agencijam EU, ki bi lahko bile prizadete.

8.   Varnostne poizvedbe se dokumentirajo.

Člen 14

Razdelitev pristojnosti v zvezi z varnostnimi poizvedbami in drugimi vrstami preiskav

1.   Kadar Direktorat za varnost Generalnega direktorata za človeške vire in varnost izvaja varnostne poizvedbe v skladu s členom 13, ki so v pristojnosti Evropskega urada za boj proti goljufijam (OLAF) ali Preiskovalnega in disciplinskega urada Komisije (IDOC), se takoj poveže z navedenima uradoma, zlasti da se ne bi ogrozili nadaljnji ukrepi OLAF-a ali IDOC-a. Kadar je to primerno, Direktorat za varnost Generalnega direktorata za človeške vire in varnost urada OLAF in IDOC povabi k sodelovanju v preiskavi.

2.   Varnostne poizvedbe iz člena 13 ne posegajo v pristojnosti OLAF-a in IDOC-a, kot so določene v pravilih za navedena urada. Od Direktorata za varnost Generalnega direktorata za človeške vire in varnost se lahko zahteva, da zagotovi tehnično pomoč za poizvedbe, ki jih uvedeta OLAF ali IDOC.

3.   Direktorat za varnost Generalnega direktorata za človeške vire in varnost se lahko zaprosi za pomoč uslužbencem OLAF-a, kadar se v skladu s členom 3(5) in členom 4(4) Uredbe (EU, Euratom) št. 883/2013 Evropskega parlamenta in Sveta (13) zadržujejo v prostorih Komisije, da jim olajšajo opravljanje njihovih nalog. Direktorat za varnost o navedeni zahtevi za pomoč obvesti generalnega sekretarja in generalnega direktorja Generalnega direktorata za človeške vire in varnost, če se takšna preiskava izvaja v prostorih Komisije, kjer se nahajajo njeni člani ali generalni sekretar, pa predsednika Komisije in komisarja, pristojnega za človeške vire.

4.   Brez poseganja v člen 22(a) kadrovskih predpisov v primeru, da je zadeva v pristojnosti tako Direktorata za varnost Generalnega direktorata za človeške vire in varnost kot IDOC, Direktorat za varnost pri poročanju generalnemu direktorju za človeške vire v skladu s členom 13 čim prej sporoči, ali obstajajo razlogi, ki upravičujejo vključitev IDOC-a v zadevo. Upošteva se, da primerni trenutek nastopi zlasti takrat, ko neposredna grožnja za varnost mine. Generalni direktor za človeške vire in varnost odloči o zadevi.

5.   Če je zadeva v pristojnosti tako Direktorata za varnost Generalnega direktorata za človeške vire in varnost kot OLAF-a, Direktorat za varnost nemudoma poroča generalnemu direktorju Generalnega direktorata za človeške vire in varnost ter o tem čim prej obvesti generalnega direktorja OLAF-a. Upošteva se, da primerni trenutek nastopi zlasti takrat, ko neposredna grožnja za varnost mine.

Člen 15

Varnostni inšpekcijski pregledi

1.   Generalni direktorat za človeške vire in varnost izvaja varnostne inšpekcijske preglede, da bi preveril skladnost služb Komisije in posameznikov s tem sklepom in njegovimi izvedbenimi pravili ter po potrebi oblikoval priporočila.

2.   Kadar je to primerno, Generalni direktorat za človeške vire in varnost z varnostnimi inšpekcijskimi pregledi ali varnostnim nadzorom ali ocenjevalnimi obiski preveri, ali je varnost osebja, sredstev in podatkov Komisije, ki je v pristojnosti drugih institucij, agencij ali organov Unije, držav članic, tretjih držav ali mednarodnih organizacij, ustrezno zaščitena v skladu z varnostnimi pravili, predpisi in standardi, ki so vsaj enakovredni pravilom, predpisom in standardom Komisije. Kadar je to primerno in v duhu dobrega sodelovanja med upravami, lahko navedeni varnostni inšpekcijski pregledi vključujejo tudi preglede v zvezi z izmenjavo tajnih podatkov z drugimi institucijami, organi in agencijami Unije, državami članicami ali s tretjimi državami ali mednarodnimi organizacijami.

3.   Ta člen se smiselno izvaja za osebje Komisije v delegacijah Unije brez poseganja v kakršne koli posebne dogovore med Komisijo in Evropsko službo za zunanje delovanje, kot je na primer posebni dogovor, podpisan 28. maja 2014 med Generalnim direktoratom Evropske komisije za človeške vire in varnost ter Evropsko službo za zunanje delovanje o dolžnostih do osebja Komisije v delegacijah Unije.

Člen 16

Stopnje pripravljenosti in obvladovanje kriznih razmer

1.   Generalni direktorat za človeške vire in varnost je v pričakovanju groženj in incidentov, ki vplivajo na varnost v Komisiji, ter kot odziv nanje odgovoren za uvedbo ustreznih ukrepov za stopnje pripravljenosti ter za ukrepe, potrebne za obvladovanje kriznih razmer.

2.   Ukrepi za stopnje pripravljenosti iz odstavka 1 so sorazmerni z varnostno grožnjo. Stopnje pripravljenosti se opredelijo v tesnem sodelovanju s pristojnimi službami drugih institucij, agencij in organov Unije in z državami članicami ali z državami članicami, v katerih se nahajajo prostori Komisije.

3.   Generalni direktorat za človeške vire in varnost je kontaktna točka v zvezi s stopnjami pripravljenosti in obvladovanjem kriznih razmer.

POGLAVJE 4

ORGANIZACIJA

Člen 17

Splošne obveznosti služb Komisije

1.   Obveznosti Komisije iz tega sklepa izvaja Generalni direktorat za človeške vire in varnost pod vodstvom in odgovornostjo člana Komisije, odgovornega za varnost.

2.   Posebne ureditve v zvezi s kibernetsko varnostjo so opredeljene v Sklepu C(2006) 3602.

3.   Odgovornosti za izvajanje tega sklepa in njegovih izvedbenih pravil ter za sprotno zagotavljanje skladnosti se lahko prenesejo na druge službe Komisije, kadar je decentralizirano zagotavljanje varnosti zelo učinkovito ter pomeni prihranek virov in časa, na primer zaradi geografske lokacije zadevnih služb.

4.   Če se uporablja odstavek 3, Generalni direktorat za človeške vire in varnost ter, če je to ustrezno, Generalni direktor za informatiko skleneta dogovor s posameznimi službami Komisije za vzpostavitev jasnih vlog in odgovornosti za izvajanje in spremljanje varnostnih politik.

Člen 18

Generalni direktorat za človeške vire in varnost

1.   Generalni direktorat za človeške vire in varnost je odgovoren zlasti za:

1.	razvoj varnostne politike Komisije, izvedbenih pravil in varnostnih obvestil;

2.	zbiranje informacij za ocenjevanje varnostnih groženj in tveganj ter o vseh vprašanjih, ki lahko vplivajo na varnost v Komisiji;

3.	preprečevanje elektronskega sledenja in zagotavljanje varstva na vseh lokacijah Komisije ob upoštevanju ocene ogroženosti in dokazov o nepooblaščenih dejavnostih v nasprotju z interesi Komisije;

4.	zagotavljanje storitev ukrepanja ob izrednih dogodkih 24 ur na dan in 7 dni na teden za službe in osebje Komisije v zvezi z vsemi vprašanji, povezanimi z varnostjo;

5.

izvajanje varnostnih ukrepov, namenjenih zmanjšanju varnostnega tveganja, ter razvoj in vzdrževanje primernih komunikacijskih in informacijskih sistemov v skladu z operativnimi potrebami, zlasti na področjih fizične kontrole dostopa, upravljanja varnostnih pooblastil ter obravnavanja občutljivih in tajnih podatkov EU;

6.	ozaveščanje, organizacijo vaj in urjenja ter zagotavljanje usposabljanja in svetovanja glede vseh vprašanj, ki se nanašajo na varnost v Komisiji, da se spodbuja kultura varnosti in oblikuje skupina osebja, ki je ustrezno usposobljeno na področju varnosti.

2.   Generalni direktorat za človeške vire in varnost brez poseganja v pristojnosti in odgovornosti drugih služb Komisije zagotavlja zunanje povezovanje:

1.	z varnostnimi službami drugih institucij, agencij in organov Unije v zvezi z vprašanji, ki se nanašajo na varnost oseb, sredstev in podatkov v Komisiji;

2.	z varnostnimi in obveščevalnimi službami ter službami za oceno groženj (vključno z nacionalnimi varnostnimi organi) držav članic, tretjih držav ali mednarodnih organizacij in organov o vprašanjih, ki zadevajo varnost oseb, sredstev in podatkov v Komisiji;

3.	s policijo in drugimi službami nujne pomoči v zvezi z vsemi rutinskimi vprašanji in vprašanji glede ukrepanja v sili, ki vplivajo na varnost Komisije;

4.	z varnostnimi organi drugih institucij, agencij in organov Unije, držav članic in tretjih držav na področju odzivanja na kibernetske napade, ki lahko vplivajo na varnost v Komisiji;

5.	v zvezi s prejemanjem, ocenjevanjem in razširjanjem obveščevalnih podatkov glede groženj, ki jih predstavljajo teroristične dejavnosti in vohunjenje ter ki vplivajo na varnost v Komisiji;

6.	v zvezi z vprašanji glede tajnih podatkov, kot je navedeno v Sklepu Komisije (EU, Euratom) št. 2015/444 (14).

3.   Generalni direktorat za človeške vire in varnost je odgovoren za varno razpošiljanje podatkov na podlagi tega člena, vključno s razpošiljanjem osebnih podatkov.

Člen 19

Strokovna skupina Komisije za varnost

Oblikuje se strokovna skupina Komisije za varnost, katere naloga je po potrebi svetovati Komisiji pri zadevah, ki se nanašajo na njeno notranjo varnostno politiko in zlasti na varstvo tajnih podatkov EU.

Člen 20

Lokalni uradniki za varnost

1.   Vsaka služba Komisije ali vsak kabinet imenuje lokalnega uradnika za varnost, ki deluje kot glavna kontaktna točka med svojo službo in Generalnim direktoratom za človeške vire in varnost za vse zadeve v zvezi z varnostjo v Komisiji. Po potrebi se lahko imenuje eden ali več namestnikov lokalnega uradnika za varnost. Lokalni uradnik za varnost je uradnik ali začasni uslužbenec.

2.   Kot glavna kontaktna točka za varnost znotraj svoje službe Komisije ali kabineta lokalni uradnik za varnost redno poroča Generalnemu direktoratu za človeške vire in varnost ter svojim nadrejenim o varnostnih vprašanjih, ki zadevajo njegovo službo Komisije, ter nemudoma o kakršnih koli varnostnih incidentih, vključno s tistimi, v katerih so bili morda nepooblaščeno razkriti tajni podatki EU ali občutljivi netajni podatki.

3.   Za zadeve, ki se nanašajo na varnost komunikacijskih in informacijskih sistemov, se lokalni uradnik za varnost poveže z lokalnim uradnikom za informacijsko varnost znotraj svoje službe Komisije, katerega vloga in odgovornosti so določene v Sklepu C(2006) 3602.

4.   Lokalni uradnik za varnost prispeva k dejavnostim na področju varnostnega usposabljanja in ozaveščanja, namenjenim posebnim potrebam osebja, pogodbenikov in drugih posameznikov, ki delajo pod pristojnostjo njegove službe Komisije.

5.   Lokalnemu uradniku za varnost se lahko v primerih resnega ali neposrednega varnostnega tveganja ali ob izrednih dogodkih na zahtevo Generalnega direktorata za človeške vire in varnost dodelijo posebne naloge. Generalni direktorat za človeške vire in varnost o teh posebnih nalogah obvesti generalnega direktorja ali direktorja za človeške vire lokalnega generalnega direktorata lokalnega uradnika za varnost.

6.   Odgovornosti lokalnega uradnika za varnost ne posegajo v vlogo in odgovornosti lokalnega uradnika za informacijsko varnost, vodij služb za zdravje in varnost, uradnikov za nadzor nad registri in katere koli druge funkcije, ki vključujejo odgovornosti v zvezi z varnostjo in z varnostjo povezanimi zadevami. Lokalni uradnik za varnost se poveže z navedenimi osebami, da se zagotovi usklajen in dosleden pristop k varnosti in učinkovit pretok informacij o zadevah, povezanih z varnostjo pri Komisiji.

7.   Lokalni uradnik za varnost ima neposreden dostop do svojega generalnega direktorja ali vodja službe ter poroča osebi, ki mu je neposredno nadrejena. Ima varnostno pooblastilo za dostop do tajnih podatkov EU vsaj do stopnje tajnosti SECRET UE/EU SECRET.

8.   Za spodbujanje izmenjave informacij in najboljših praks Generalni direktorat za človeške vire in varnost vsaj dvakrat letno organizira konferenco za lokalne uradnike za varnost. Udeležba na konferenci je za lokalne uradnike za varnost obvezna.

POGLAVJE 5

IZVAJANJE

Člen 21

Izvedbena pravila in varnostna obvestila

1.   Po potrebi bodo izvedbena pravila za ta sklep sprejeta z ločenim sklepom Komisije o pooblastitvi člana Komisije, pristojnega za varnostne zadeve, v skladu s poslovnikom.

2.   Potem ko je član Komisije, pristojen za varnostne zadeve, pooblaščen na podlagi navedenega sklepa Komisije, lahko oblikuje varnostna obvestila o varnostnih smernicah in najboljših praksah v okviru področja uporabe tega sklepa in njegovih izvedbenih pravil.

3.   Komisija lahko naloge iz odstavka 1 in 2 tega člena prenese na generalnega direktorja za človeške vire in varnost s posebnim sklepom o prenosu pooblastil v skladu s poslovnikom.

POGLAVJE 6

RAZNE IN KONČNE DOLOČBE

Člen 22

Obdelava osebnih podatkov

1.   Komisija osebne podatke, ki so potrebni za izvajanje tega sklepa, obdeluje v skladu z Uredbo (ES) št. 45/2001.

2.   Ne glede na ukrepe, ki so že v veljavi v času sprejetja tega sklepa in priglašeni evropskemu nadzorniku za varstvo podatkov (15), za vse ukrepe iz tega sklepa v zvezi z obdelavo osebnih podatkov, na primer v zvezi z evidencami o prihodih in odhodih, posnetki sistema televizije zaprtega kroga, posnetki telefonskih klicev na dežurne službe ali v centrale, in podobnih podatkov, ki so potrebni iz varnostnih razlogov ali za odzivanje na krize, veljajo izvedbena pravila v skladu s členom 21, ki določijo ustrezne zaščitne ukrepe za posameznike, na katere se nanašajo osebni podatki.

3.   Generalni direktor Generalnega direktorata za človeške vire in varnost je odgovoren za varnost kakršne koli obdelave osebnih podatkov v okviru tega sklepa.

4.   Ta izvedbena pravila in postopki se sprejmejo po posvetovanju z uradno osebo za varstvo podatkov in evropskim nadzornikom za varstvo podatkov v skladu z Uredbo (ES) št. 45/2001.

Člen 23

Transparentnost

Ta sklep in njegova izvedbena pravila se sporočijo osebju Komisije in vsem posameznikom, na katere se nanašajo.

Člen 24

Razveljavitev prejšnjih sklepov

Sklep C(94) 2129 se razveljavi.

Člen 25

Začetek veljavnosti

Ta sklep začne veljati dan po objavi v Uradnem listu Evropske unije.

---

(1)  Glej „Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité“ z dne 31. decembra 2004, „Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois“ z dne 20. januarja 2007 in „Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale“ z dne 22. julija 1959.

(2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

(3)  Sklep Komisije C(94) 2129 z dne 8. septembra 1994 o nalogah varnostnega urada.

(4)  Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(5)  Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o določitvi Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev Evropskih skupnosti ter o uvedbi posebnih ukrepov, ki se začasno uporabljajo za uradnike Komisije (Pogoji za zaposlitev drugih uslužbencev) (UL L 56, 4.3.1968, str. 1).

(6)  Sklep visokega predstavnika Unije za zunanje zadeve in varnostno politiko 2013/C 190/01 z dne 19. aprila 2013 o varnostnih pravilih za Evropsko službo za zunanje delovanje (UL C 190, 29.6.2013, str. 1).

(7)  Sklep Komisije 2002/47/ES, ESPJ, Euratom z dne 23. januarja 2002 o spremembi njenega poslovnika (UL L 21, 24.1.2002, str. 23).

(8)  Sklep Komisije 2004/563/ES, Euratom z dne 7. julija 2004 o spremembi poslovnika (UL L 251, 27.7.2004, str. 9).

(9)  C(2006) 1623 z dne 21. aprila 2006 o usklajeni politiki glede varnosti in zdravja pri delu za vse osebje Evropske komisije.

(10)  C(2006) 3602 z dne 16. avgusta 2006 o varnosti informacijskih sistemov, ki jih uporablja Evropska komisija.

(11)  Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(12)  Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).

(13)  Uredba (EU, Euratom) št. 883/2013 Evropskega parlamenta in Sveta z dne 11. septembra 2013 o preiskavah, ki jih izvaja Evropski urad za boj proti goljufijam (OLAF), ter razveljavitvi Uredbe (ES) št. 1073/1999 Evropskega parlamenta in Sveta in Uredbe Sveta (Euratom) št. 1074/1999 (UL L 248, 18.9.2013, str. 1).

(14)  Sklep Komisije (EU, Euratom) 2015/444 z dne 13. marca 2015 o varnostnih predpisih za varovanje tajnih podatkov EU (glej stran 53 tega Uradnega lista).

(15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

---