1.   I detta beslut fastställs villkoren för hantering av säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED (3) i enlighet med beslut nr 41/2021.

2.   Detta beslut ska tillämpas på alla revisionsrättens avdelningar och lokaler. Det är också tillämpligt med avseende på revisionsrättens revisionsavdelningar och kommittéer, vilka omfattas av termen avdelningar i detta beslut.

1.   Tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får beviljas efter att följande har gjorts:

2.   Revisionsrättens praktikanter ska inte få uppgifter som kräver tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

3.   Tillgång ska vägras eller tillåtas för andra personalkategorier i enlighet med tabellen i bilagan.

1.   Personal som utarbetar en handling på grundval av uppgifter i den mening som avses i artikel 1, inom ramen för artikel 3.6 i beslut nr 41/2021 eller på annat sätt, ska alltid ta ställning till om handlingen behöver säkerhetsskyddsklassificeras. Klassificeringen av en handling som säkerhetsskyddsklassificerade EU-uppgifter ska inbegripa en bedömning och ett beslut av upphovsmannen om huruvida utlämnandet av handlingen till obehöriga personer skulle skada Europeiska unionens eller en eller flera medlemsstaters intressen. Om de personer som utarbetar en handling hyser tvivel om huruvida handlingen ska säkerhetsskyddsklassificeras på nivån RESTREINT UE/EU RESTRICTED, bör de samråda med den ansvariga förstachefen eller den ansvariga direktören.

2.   En handling ska säkerhetsskyddsklassificeras minst på nivån RESTREINT UE/EU RESTRICTED om dess obehöriga röjande bland annat skulle kunna

3.   Upphovsmän får besluta att tilldela en standardiserad säkerhetsskyddsklassificeringsnivå till de kategorier av uppgifter som de regelbundet upprättar. De ska dock se till att enskilda uppgifter ges lämplig säkerhetsskyddsklassificeringsnivå.

1.   Uppgifter ska säkerhetsskyddsklassificeras så snart de har upprättats. Personliga meddelanden, preliminära utkast eller meddelanden som innehåller uppgifter som motiverar en säkerhetsskyddsklassificering på nivån RESTREINT UE/EU RESTRICTED ska markeras som sådana från början och ska framställas och hanteras i enlighet med detta beslut.

2.   Om säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte längre är motiverad för den slutgiltiga handlingen ska säkerhetsskyddsklassificeringen hävas.

1.   I enlighet med artikel 3.1 i beslut nr 41/2021 ska en handlings övergripande säkerhetsskyddsklassificeringsnivå vara minst lika hög som den del som har fått den högsta säkerhetsskyddsklassificeringsnivån. När uppgifter från olika källor sammanställs, ska den slutliga handlingen i aggregerad form ses över för att dess övergripande säkerhetsskyddsklassificeringsnivå ska kunna fastställas, eftersom den kan motivera en högre säkerhetsskyddsklassificeringsnivå än säkerhetsskyddsklassificeringsnivån för de enskilda delarna.

2.   Handlingar som innehåller både säkerhetsskyddsklassificerade och icke-säkerhetsskyddsklassificerade delar struktureras och markeras så att delar på olika klassificerings- och/eller känslighetsnivå vid behov lätt kan identifieras och avskiljas. På så sätt möjliggörs att varje del hanteras på lämpligt sätt när den skilts från de övriga delarna.

1.   Uppgifter som motiverar säkerhetsskyddsklassificering ska markeras och hanteras som sådana oberoende av deras fysiska form. Säkerhetsskyddsklassificeringsnivån ska tydligt meddelas till mottagarna, antingen genom en säkerhetsskyddsmarkering, om uppgifterna tillhandahålls i skriftlig form, oavsett om så sker i pappersform, på flyttbara lagringsmedier eller i ett kommunikations- och informationssystem, eller genom ett tillkännagivande, om uppgifterna lämnas i muntlig form, till exempel i ett samtal eller en presentation. Säkerhetsskyddsklassificerat material ska märkas fysiskt så att dess säkerhetsskyddsklassificering lätt kan identifieras.

2.   På handlingar ska den fullständiga säkerhetsskyddsmarkeringen RESTREINT UE/EU RESTRICTED skrivas med versaler, i sin helhet på franska och engelska (med franska först), i enlighet med punkt 3. Markeringen ska inte översättas till andra språk.

3.   Säkerhetsskyddsmarkeringen RESTREINT UE/EU RESTRICTED ska anbringas

4.   Vid upprättandet av en handling på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska

1.   Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får förses med andra markeringar eller med ”säkerhetsbeteckningar”, med uppgift om till exempel det område till vilket handlingen hör eller som anger en särskild spridning på grundval av principen om behovsenlig behörighet. Ett exempel:

2.   Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får förses med en säkerhetsvarning med särskilda anvisningar om hur handlingarna ska hanteras och förvaltas.

3.   Om det är möjligt ska alla uppgifter om hävande av säkerhetsskyddsklassificering anges på första sidan i handlingen vid den tidpunkt då den upprättas. Exempelvis kan följande märkning användas:

1.   Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska upprättas med hjälp av elektroniska medel om sådana finns tillgängliga.

2.   Revisionsrättens personal ska använda ackrediterade kommunikations- och informationssystem för att upprätta EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED (se artikel 6 i beslut nr 41/2021). Personalen ska samråda med revisionsrättens informationssäkerhetsansvariga om det råder tvivel om vilket kommunikations- och informationssystem som får användas. I samråd med den informationssäkerhetsansvariga får specifika förfaranden tillämpas i nödsituationer eller i specifika tekniska konfigurationer.

3.   Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, inklusive utkast, får i enlighet med kravet i artikel 5 inte sändas med vanlig öppen e-post, tryckas eller skannas på standardskrivare eller skannrar, eller hanteras på personliga enheter som tillhör personalen. Endast skrivare eller kopiatorer som är anslutna till fristående datorer eller till ett ackrediterat system ska användas för att skriva ut handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

1.   Upphovsmannen ska ha ”upphovsmannens kontroll” över EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som han eller hon har upprättat. Upphovsmannens skriftliga förhandsmedgivande ska inhämtas innan

2.   Innehavare av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED har fått tillgång till de säkerhetsskyddsklassificerade uppgifterna för att kunna utföra sina uppgifter. De ansvarar för att de hanteras, lagras och skyddas korrekt i enlighet med beslut nr 41/2021. Till skillnad från upphovsmän av säkerhetsskyddsklassificerade uppgifter ska innehavarna inte ha befogenhet att besluta om att uppgifter inte längre ska vara säkerhetsskyddsklassificerade eller om utlämnande av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till tredjeländer eller internationella organisationer.

3.   Om upphovsmannen till en EU-uppgift på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte kan identifieras, ska den avdelning vid revisionsrätten som innehar dessa säkerhetsskyddsklassificerade uppgifter utöva upphovsmannens kontroll. Om uppgiftsinnehavaren anser att det är nödvändigt att lämna ut EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till ett tredjeland eller en internationell organisation, ska revisionsrätten rådgöra med en av parterna i ett informationssäkerhetsavtal med det aktuella tredjelandet eller den aktuella internationella organisationen.

1.   Användningen av flyttbara lagringsmedier ska hållas kontrollerad och redovisas. Endast flyttbara lagringsmedier som tillhandahålls av revisionsrätten eller av en annan EU-institution, en annan EU-byrå eller ett annat EU-organ och godkänns av revisionsrättens informationssäkerhetsansvariga och krypteras med en produkt som godkänts av revisionsrättens informationssäkerhetsansvariga ska användas. Personliga flyttbara lagringsmedier och sådana som delas ut fritt vid konferenser, seminarier osv. får inte användas för överföring av säkerhetsskyddsklassificerade uppgifter. Om möjligt bör Tempest-säkra flyttbara lagringsmedier användas, i enlighet med riktlinjerna från revisionsrättens informationssäkerhetsansvariga.

2.   Om en säkerhetsskyddsklassificerad handling hanteras eller lagras elektroniskt på flyttbara lagringsmedier, såsom usb-minnen, usb-hårddiskar, cd-skivor, dvd-skivor eller minneskort (inbegripet SSD (4)), ska säkerhetsskyddsmarkeringen vara väl synlig på de uppgifter som visas, liksom i filnamnet och på det flyttbara lagringsmediet.

3.   Personalen ska ha i åtanke att det kan krävas en högre säkerhetsskyddsklassificeringsnivå när stora mängder säkerhetsskyddsklassificerade uppgifter lagras på flyttbara lagringsmedier.

4.   Endast kommunikations- och informationssystem som vederbörligen ackrediterats ska användas för att överföra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till eller från flyttbara lagringsmedier.

5.   Vid nedladdning av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som finns på flyttbara lagringsmedier ska särskild omsorg ägnas åt att se till att medierna inte innehåller virus eller sabotageprogram innan överföringen av uppgifter sker.

6.   Flyttbara lagringsmedier ska i förekommande fall hanteras i enlighet med de säkra driftsmetoder som gäller för det krypteringssystem som används.

7.   Handlingar på flyttbara lagringsmedier som antingen inte längre behövs eller som har överförts till ett lämpligt kommunikations- och informationssystem ska avlägsnas eller raderas säkert med hjälp av godkända produkter eller metoder. Om de flyttbara lagringsmedierna inte förvaras i lämpliga låsta kontorsmöbler ska de förstöras när de inte längre behövs. All förstöring eller radering ska ske med en metod som överensstämmer med revisionsrättens säkerhetsbestämmelser. En inventarieförteckning ska upprättas över de flyttbara medierna, och förstöringen av dem ska registreras.

1.   I enlighet med artiklarna 5.8 och 6.9 i beslut nr 41/2021 får EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED hanteras i ett administrativt utrymme (5), eller i ett säkrat utrymme vid kommissionen (6) som revisionsrätten har ingått ett servicenivåavtal om att få använda, enligt följande:

2.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får hanteras utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren har åtagit sig att följa kompensationsåtgärder för att skydda dem från att obehöriga personer får tillgång till dem. Kompensationsåtgärderna ska minst omfatta följande:

3.   Pappersutskrifter av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska förvaras i låsta kontorsmöbler i ett administrativt utrymme eller i ett säkrat utrymme. De får tillfälligt lagras utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren har åtagit sig att följa kompensationsåtgärderna.

4.   Ytterligare rådgivning kan begäras från revisionsrättens informationssäkerhetsansvariga.

5.   Alla misstänkta eller faktiska säkerhetsincidenter som inbegriper handlingen ska rapporteras till den informationssäkerhetsansvariga så snart som möjligt.

1.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får kopieras eller översättas på uppdrag av innehavaren, förutsatt att upphovsmannen inte har angett några begränsningar. Det får dock inte göras fler kopior än vad som är absolut nödvändigt.

2.   Om endast en del av en säkerhetsskyddsklassificerad handling återges ska samma villkor gälla som för kopiering av den fullständiga handlingen. Utdrag ska också klassificeras på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, såvida inte upphovsmannen särskilt har markerat att de inte är säkerhetsskyddsklassificerade.

3.   De säkerhetsåtgärder som är tillämpliga på de ursprungliga uppgifterna ska också tillämpas på kopior och översättningar av dessa.

1.   När så är möjligt ska EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som behöver tas utanför säkrade eller administrativa utrymmen skickas på elektronisk väg med hjälp av vederbörligen ackrediterade medel och/eller skyddas med godkända kryptoprodukter.

2.   Beroende på de tillgängliga medlen eller de särskilda omständigheterna får EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED befordras fysiskt genom personligt överlämnande i form av pappersdokument eller på flyttbara lagringsmedier. För att överföra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska användning av flyttbara lagringsmedier ges företräde framför att skicka pappersdokument.

3.   Endast flyttbara lagringsmedier som krypteras med en produkt som godkänts av revisionsrättens informationssäkerhetsansvariga får användas. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED på flyttbara lagringsmedier som inte skyddas av en kryptoprodukt som har godkänts av revisionsrättens informationssäkerhetsansvariga ska hanteras på samma sätt som pappersutskrifter.

4.   En försändelse får innehålla mer än en EU-uppgift på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, förutsatt att principen om behovsenlig behörighet följs.

5.   De förpackningar som används ska förhindra att innehållet går att se. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska befordras i ogenomskinliga förpackningar, till exempel ett kuvert, en ogenomskinlig mapp eller en portfölj. Förpackningens utsida ska inte vara försedd med någon uppgift om innehållets karaktär eller dess säkerhetsskyddsklassificeringsnivå. Om en inre förpackning används ska den markeras RESTREINT UE/EU RESTRICTED. På båda förpackningarna anges den avsedda mottagarens namn, tjänstetitel och adress samt en returadress om leveransen inte kan utföras.

6.   Alla säkerhetsincidenter som inbegriper EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som befordras av personal eller kurirer ska rapporteras för efterföljande undersökning till direktören för personalfrågor, ekonomi och allmänna tjänster, via revisionsrättens informationssäkerhetsansvariga.

1.   Flyttbara lagringsmedier som används för att befordra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska åtföljas av en fraktsedel med uppgifter om de flyttbara lagringsmedier som innehåller de säkerhetsskyddsklassificerade uppgifterna samt alla filer som finns på dem, så att mottagaren kan göra nödvändiga kontroller.

2.   Endast de handlingar som ska tillhandahållas ska lagras på medierna. Exempelvis måste alla säkerhetsskyddsklassificerade uppgifter på ett enskilt usb-minne vara avsedda för en och samma mottagare. Avsändaren ska ha i åtanke att det kan krävas en högre säkerhetsskyddsklassificeringsnivå för enheten som helhet när stora mängder säkerhetsskyddsklassificerade uppgifter lagras på sådana enheter.

3.   Endast flyttbara lagringsmedier med vederbörlig säkerhetsskyddsmarkering ska användas för att befordra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

1.   Personal får befordra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inom revisionsrättens byggnader eller mellan unionens institutioner, byråer och organ, men handlingarna får inte lämnas utan uppsikt av den person som befordrar dem eller läsas offentligt.

2.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får skickas med intern post till andra kontor inom revisionsrätten i ett enda ogenomskinligt kuvert, utan några markeringar på utsidan som kan tyda på att innehållet är säkerhetsskyddsklassificerat.

1.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får befordras av personal eller revisionsrättens eller en annan EU-institutions, en annan EU-byrås eller ett annat EU-organs kurirer vart som helst inom unionen, förutsatt att de följer följande anvisningar:

2.   Personal som önskar sända EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till andra platser inom unionen får sörja för att uppgifterna befordras på ett av följande sätt:

1.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får befordras av personal mellan unionens territorium och ett tredje lands territorium genom personligt överlämnande.

2.   Registratorskontorets personal får sörja för befordran på något av följande sätt:

3.   Personal som befordrar antingen pappersdokument eller flyttbara lagringsmedier på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED genom personligt överlämnande, ska uppfylla samtliga följande ytterligare åtgärder:

1.   I detta beslut avses med kommersiella kurirer nationella posttjänster och kommersiella kurirföretag som tillhandahåller en tjänst med hjälp av vilken uppgifter levereras mot en avgift, antingen med personligt överlämnande eller med spårning.

2.   Kommersiella kurirer får använda sig av en underleverantörs tjänster. Ansvaret för att följa detta beslut ska dock kvarstå hos kurirföretaget.

3.   Om den avsedda mottagaren befinner sig utanför EU ska dubbla förpackningar användas. När säkerhetsskyddsklassificerade försändelser förbereds ska avsändaren ha i åtanke att kommersiella kurirtjänster endast får leverera försändelser på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till den avsedda mottagaren eller en bemyndigad ersättare, kontrolltjänstemannen för registreringsenheten eller dennes vederbörligen bemyndigade ersättare, eller till en receptionist. För att minska risken för att försändelsen inte når den avsedda mottagaren, ska försändelsens yttre och, i förekommande fall, inre förpackning vara försedd med en returadress.

4.   Kommersiella kurirtjänster som inbegriper elektronisk överföring av handlingar vid rekommenderade leveranser får inte användas för EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

1.   Alla villkor för befordran som anges i ett informationssäkerhetsavtal eller i administrativa överenskommelser ska uppfyllas. I tveksamma fall ska personalen samråda med den informationssäkerhetsansvariga eller med registratorskontoret.

2.   Kravet på dubbla förpackningar får frångås för säkerhetsskyddsklassificerade uppgifter som skyddas med godkända kryptoprodukter. För adresseringen, och även eftersom det flyttbara lagringsmediet har försetts med en uttrycklig säkerhetsskyddsmarkering, ska mediet dock transporteras i minst ett vanligt kuvert, men det kan krävas ytterligare fysiska skyddsåtgärder, till exempel kuvert av bubbelplast.

1.   Möten där EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska diskuteras får endast hållas i en möteslokal som har godkänts på vederbörlig eller högre säkerhetsskyddsklassificeringsnivå. Om sådana inte är tillgängliga ska personalen rådgöra med revisionsrättens informationssäkerhetsansvariga.

2.   Som regel bör dagordningarna inte säkerhetsskyddsklassificeras. Om en dagordning för ett möte innehåller uppgifter om säkerhetsskyddsklassificerade handlingar, ska själva dagordningen inte automatiskt säkerhetsskyddsklassificeras. Punkterna på dagordningen ska formuleras på ett sådant sätt att skyddet av unionen eller en eller flera medlemsstaters intressen inte äventyras.

3.   Om elektroniska filer med EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska bifogas dagordningen, är det obligatoriskt att skydda dem med kryptoprodukter som har godkänts av revisionsrättens informationssäkerhetsansvariga.

4.   Mötesarrangörerna ska påminna deltagarna om att alla synpunkter som lämnas in rörande en punkt på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte får skickas med vanliga öppna mejl eller på något annat sätt som inte har ackrediterats på vederbörligt sätt i enlighet med artikel 11 i detta beslut.

5.   Mötesarrangörerna ska sträva efter att gruppera punkter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED efter varandra på dagordningen för att mötet ska fungera smidigt. Endast personer med behovsenlig behörighet får närvara vid diskussioner om säkerhetsskyddsklassificerade punkter.

6.   I inbjudan ska deltagarna förvarnas om att säkerhetsskyddsklassificerade ämnen kommer att tas upp vid mötet och att motsvarande säkerhetsåtgärder kommer att tillämpas.

7.   I inbjudan eller på själva dagordningen ska deltagarna påminnas om att bärbara elektroniska enheter ska stängas av under diskussionerna om punkter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

8.   Mötesarrangörerna ska före mötet utarbeta en fullständig förteckning över externa deltagare.

1.   Endast ackrediterade it-system i enlighet med artikel 11 i detta beslut får användas om säkerhetsskyddsklassificerade EU-uppgifter förmedlas, till exempel för att ge en presentation där EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED visas eller för videokonferenser.

2.   Ordföranden ska se till att otillåtna bärbara elektroniska enheter har stängts av.

1.   När diskussionen rörande säkerhetsskyddsklassificerade uppgifter inleds ska ordföranden tillkännage att mötet övergår till att behandla säkerhetsskyddsklassificerade uppgifter. Dörrar och persienner ska vara stängda.

2.   Endast det nödvändiga antalet handlingar ska ges till deltagare och, i förekommande fall, tolkar, vid början av diskussionen.

Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får inte lämnas utan uppsikt under avbrott i mötet.

3.   Vid mötets slut ska deltagarna och tolkarna påminnas om att inte lämna några säkerhetsskyddsklassificerade handlingar eller säkerhetsskyddsklassificerade anteckningar som de kan ha gjort obevakade i lokalen. Säkerhetsskyddsklassificerade handlingar eller anteckningar som deltagarna inte tagit med sig vid mötets slut ska samlas in av mötesarrangörerna och förstöras i vederbörliga dokumentförstörare.

4.   En deltagarförteckning och en sammanfattning av alla säkerhetsskyddsklassificerade uppgifter som delats med medlemsstaterna och muntligen lämnats ut till tredjeländer eller internationella organisationer ska sammanställas under mötet och registreras i ett sammandrag av diskussionen.

1.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får endast utbytas med en annan av unionens institutioner, byråer, organ eller kontor om mottagaren har behovsenlig behörighet och enheten har en motsvarande juridisk överenskommelse med revisionsrätten.

2.   Inom revisionsrätten ska det registratorskontor som inrättats vid revisionsrättens sekretariat som regel fungera som huvudsaklig kontaktpunkt för in- och utpassering när det gäller revisionsrättens utbyte av säkerhetsskyddsklassificerade EU-uppgifter med andra av unionens institutioner, byråer, organ och kontor. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får dock delas direkt med de avsedda mottagarna efter det att revisionsrättens informationssäkerhetsansvariga och registratorskontoret har informerats.

1.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får delas med medlemsstaterna om mottagaren har behovsenlig behörighet.

2.   Säkerhetsskyddsklassificerade uppgifter från medlemsstater som har en motsvarande nationell säkerhetsskyddsmarkering (8) och som tillhandahållits revisionsrätten ska ha samma skyddsnivå som EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

1.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får endast lämnas ut till ett tredjeland eller en internationell organisation om mottagaren har behovsenlig behörighet och landet eller den internationella organisationen har upprättat en lämplig rättslig eller administrativ ram, till exempel ett informationssäkerhetsavtal eller en administrativ överenskommelse med revisionsrätten. Bestämmelserna i ett sådant avtal eller en sådan överenskommelse ska ha företräde framför bestämmelserna i detta beslut.

2.   Registratorskontoret vid revisionsrättens sekretariat ska som regel fungera som huvudsaklig kontaktpunkt för in- och utpassering när det gäller utbyte av alla EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED mellan revisionsrätten och tredjeländer och internationella organisationer.

3.   För att säkerställa spårbarhet ska EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED registreras av registratorskontoret

4.   Registreringen får göras på papper eller i elektroniska loggböcker.

5.   Registreringsförfaranden för säkerhetsskyddsklassificerade uppgifter som hanteras i ett ackrediterat kommunikations- och informationssystem kan utföras genom processer inom själva systemet. I så fall ska kommunikations- och informationssystemet omfatta åtgärder som garanterar loggregistrens integritet.

6.   Säkerhetsskyddsklassificerade uppgifter som mottas från tredjeländer eller internationella organisationer ska ges en motsvarande skyddsnivå som säkerhetsskyddsklassificerade EU-uppgifter som har motsvarande säkerhetsskyddsmarkering enligt respektive informationssäkerhetsavtal eller administrativa arrangemang.

1.   Om revisionsrätten eller någon av dess avdelningar fastställer att det finns ett exceptionellt behov av att lämna ut EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till ett tredjeland, en internationell organisation eller en EU-enhet men det saknas ett informationssäkerhetsavtal eller en administrativ överenskommelse, ska förfarandet för ad hoc-utlämning i undantagsfall följas.

2.   Revisionsrättens avdelningar ska kontakta revisionsrättens informationssäkerhetsansvariga och upphovsmannen. Revisionsrätten ska rådgöra med en av parterna i ett informationssäkerhetsavtal med det aktuella tredjelandet, den aktuella EU-enheten eller den aktuella internationella organisationen.

3.   Efter denna rådfrågning får revisionsrättens kollegium, på grundval av ett förslag från generalsekreteraren, tillåta att de berörda uppgifterna lämnas ut.

1.   Uppgifter ska vara säkerhetsskyddsklassificerade endast så länge de kräver skydd. Beslut att uppgifter inte längre ska vara säkerhetsskyddsklassificerade innebär att de inte längre ska betraktas som säkerhetsskyddsklassificerade över huvud taget. I samband med upprättandet av säkerhetsskyddsklassificerade EU-uppgifter ska upphovsmannen om möjligt ange huruvida beslut att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade kan meddelas vid en viss tidpunkt eller efter en särskild händelse. I annat fall ska upphovsmannen regelbundet se över EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED för att avgöra om klassificeringen fortfarande är lämplig.

2.   Säkerhetsskyddsklassificerade uppgifter på nivån RESTREINT UE/EU RESTRICTED som har sitt ursprung i revisionsrätten ska förlora sin säkerhetsskyddsklassificering efter 30 år, i enlighet med förordning (EEG, Euratom) nr 354/83 (9), ändrad genom rådets förordning (EG, Euratom) nr 1700/2003 (10) och rådets förordning (EU) 2015/496 (11).

3.   Även för revisionsrättens handlingar kan beslut fattas från fall till fall att de inte längre ska vara säkerhetsskyddsklassificerade, till exempel efter en begäran om tillgång till en handling från allmänheten.

1.   Beslut att EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte längre ska vara säkerhetsskyddsklassificerade får inte fattas utan medgivande från upphovsmannen.

2.   Den avdelning vid revisionsrätten som upprättar en säkerhetsskyddsklassificerad handling ska ansvara för att besluta huruvida den inte längre ska vara säkerhetsskyddsklassificerad. Inom revisionsrätten ska en begäran om beslut om att en handling inte längre ska vara säkerhetsskyddsklassificerad föregås av samråd med förstachefen eller direktören för den avdelning där den har sitt ursprung. Om avdelningen har sammanställt säkerhetsskyddsklassificerade uppgifter från olika källor ska den först inhämta samtycke från alla andra parter som tillhandahållit källmaterial, inbegripet i medlemsstaterna, andra EU-organ, tredjeländer eller internationella organisationer.

3.   Om den avdelning inom revisionsrätten där handlingen har sitt ursprung inte längre finns och dess ansvar har tagits över av en annan avdelning, ska beslutet att uppgifter inte längre ska vara säkerhetsskyddsklassificerade fattas av denna avdelning. Om den avdelning där handlingen har sitt ursprung inte längre finns och dess ansvar inte har tagits över av någon annan avdelning, ska beslutet att uppgifter inte längre ska vara säkerhetsskyddsklassificerade fattas gemensamt av revisionsrättens direktörer.

1.   Den ursprungliga säkerhetsskyddsmarkeringen högst upp och längst ned på varje sida ska tydligt strykas över (inte tas bort) med hjälp av funktionen ”genomstrykning” för elektroniska format, eller manuellt för utskrifter.

2.   Första sidan (försättsbladet) ska förses med en markering att handlingen inte längre är säkerhetsskyddsklassificerad, kompletterad med uppgifter om den myndighet som ansvarar för beslutet om detta och datum.

3.   De ursprungliga mottagarna av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska underrättas om att uppgifterna inte längre är säkerhetsskyddsklassificerade. De ursprungliga mottagarna ska ansvara för att underrätta eventuella efterföljande mottagare till vilka de har översänt eller för vilka de har kopierat de ursprungliga EU-uppgifterna på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

4.   Revisionsrättens arkivtjänst ska underrättas om alla beslut om att EU-uppgifter eller handlingar inte längre ska vara säkerhetsskyddsklassificerade.

5.   Alla översättningar av säkerhetsskyddsklassificerade uppgifter ska omfattas av samma förfaranden för att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade som den ursprungliga språkversionen.

1.   Det är också möjligt att besluta om partiellt borttagande av säkerhetsskyddsklassificeringen (t.ex. bilagor, endast vissa punkter). Förfarandet ska vara identiskt med förfarandet för att en handling i sin helhet inte längre ska vara säkerhetsskyddsklassificerad.

2.   När ett beslut har fattats om partiellt borttagande av säkerhetsskyddsklassificeringen för EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska ett utdrag ur den handling om vilket beslut fattats om partiellt borttagande av säkerhetsskyddsklassificeringen upprättas.

3.   De delar som förblir säkerhetsskyddsklassificerade ska ersättas med följande:

antingen i själva brödtexten, om den del som förblir säkerhetsskyddsklassificerad är en del av en punkt, eller som en punkt, om den del som förblir klassificerad är en särskild punkt eller mer än en punkt.

4.   Ett särskilt omnämnande ska göras i texten om säkerhetsskyddsklassificeringen för en hel bilaga inte kan tas bort och denna därför inte ingår i utdraget.

1.   Revisionsrätten ska inte ansamla stora mängder säkerhetsskyddsklassificerade uppgifter.

2.   De avdelningar där uppgifterna har sitt ursprung ska med korta intervall rutinmässigt se över mindre mängder för förstöring eller radering. En översyn ska göras med jämna mellanrum både för uppgifter som lagras i pappersform och för uppgifter som lagras i kommunikations- och informationssystem.

3.   Personalen ska förstöra eller på ett säkert sätt radera handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som inte längre behövs, med förbehåll för eventuella krav på arkivering av originaldokumentet.

4.   Personalen behöver inte informera upphovsmannen om de förstör eller raderar kopior av handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

5.   Utkast till material som innehåller säkerhetsskyddsklassificerade uppgifter ska omfattas av samma metoder för bortskaffande som slutliga säkerhetsskyddsklassificerade handlingar.

6.   Endast godkända dokumentförstörare ska användas för att förstöra handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED. Dokumentförstörare i säkerhetsklass 4 enligt standarden DIN 32757 och säkerhetsklass 5 enligt standarden DIN 66399 är lämpliga för att förstöra handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

7.   Avfallet från godkända dokumentförstörare får bortskaffas som vanligt kontorsavfall.

8.   Alla medier och enheter som innehåller EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska saneras på vederbörligt sätt när de når slutet på sin livscykel. De elektroniska uppgifterna ska förstöras eller raderas från it-resurser och tillhörande lagringsmedier (inklusive säkerhetskopior) på ett sätt som ger rimliga garantier för att uppgifterna inte kan återvinnas. Genom saneringen avlägsnas data från lagringsenheten liksom alla markeringar och aktivitetsloggar.

9.   Lagringsmedier för datorer ska ges till den informationssäkerhetsansvariga för förstöring och bortskaffande.

1.   Direktören för personal, ekonomi och allmänna tjänster ska tillsammans med den informationssäkerhetsansvariga utarbeta, godkänna och vid behov aktivera planer för evakuering och förstöring i nödsituationer för att skydda EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som löper stor risk att falla i händerna på obehöriga vid en kris. I prioritetsordning och beroende på nödsituationens karaktär ska följande åtgärder beaktas:

2.   När planerna har aktiverats ska prioritet ges åt att flytta eller förstöra uppgifter på högre säkerhetsskyddsklassificeringsnivåer.

3.   De operativa detaljerna i planerna för evakuering och förstöring i nödsituationer ska vara säkerhetsskyddsklassificerade på nivån RESTREINT UE/EU RESTRICTED.

1.   Beslut om huruvida och när arkivering ska ske, och vilka motsvarande praktiska åtgärder som ska vidtas, ska fattas i enlighet med revisionsrättens informationssäkerhetspolicy, policy för informationsklassificering och arkiveringspolicy.

2.   EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska inte skickas till Europeiska unionens historiska arkiv i Florens.