1.   Detta beslut innehåller regler och förfaranden för kommissionens tillämpning av förordning (EU) 2018/1725 och fastställer genomförandebestämmelser för kommissionens dataskyddsombud.

2.   I detta beslut fastställs även de regler som kommissionen i samband med dataskyddsombudets övervaknings-, utrednings-, gransknings- eller samrådsuppgifter ska följa för att informera registrerade om behandlingen av deras personuppgifter i enlighet med artiklarna 14, 15 och 16 i förordning (EU) 2018/1725.

3.   I beslutet fastställs även de villkor på vilka kommissionen i samband med dataskyddsombudets övervaknings-, utrednings-, gransknings- eller samrådsuppgifter och i enlighet med artikel 25.1 c, g och h i förordning (EU) 2018/1725 får begränsa tillämpningen av artiklarna 4, 14–17, 19, 20 och 35 i den förordningen.

4.   Detta beslut är tillämpligt på kommissionens behandling av personuppgifter med avseende på eller i samband med dataskyddsombudets uppgifter enligt artikel 45 i förordning (EU) 2018/1725, särskilt dataskyddsombudets övervaknings-, utrednings-, gransknings- och samrådsuppgifter.

1.   Dataskyddsombudet ska bidra till att bygga upp en kultur för skydd av personuppgifter inom kommissionen på grundval av riskbedömning och ansvarsskyldighet.

2.   Dataskyddsombudet ska kontrollera genomförandet av förordning (EU) 2018/1725 inom kommissionen, bland annat genom att årligen upprätta och genomföra ett arbetsprogram för inspektioner och granskningar.

3.   Dataskyddsombudet ska anordna och leda regelbundna möten för dataskyddssamordnare.

4.   Dataskyddsombudet ska hålla register över kommissionens behandlingsverksamhet i ett centralt register och göra det tillgängligt för allmänheten.

Dataskyddsombudet ska också hålla ett internt register inom kommissionen över personuppgiftsincidenter i den mening som avses i artikel 3.16 i förordning (EU) 2018/1725.

5.   När dataskyddsombudet fullgör sina uppgifter ska denne samarbeta med de dataskyddsombud som utnämnts av unionens övriga institutioner och organ.

6.   Dataskyddsombudet ska betraktas som delegerad personuppgiftsansvarig när det gäller enskilda beslut om registrerades rättigheter enligt förordning (EU) 2018/1725 i samband med dataskyddsombudets behandlingar.

1.   Den delegerade personuppgiftsansvarige ska utnämna en dataskyddssamordnare och, om så är lämpligt, en eller flera ställföreträdande dataskyddssamordnare vid generaldirektoratet eller avdelningen under dennes ansvar. Två eller flera delegerade personuppgiftsansvariga får av enhetlighetsskäl eller effektivitetsskäl besluta att utnämna en gemensam dataskyddssamordnare eller en ställföreträdande dataskyddsamordnare eller tillsammans ta en redan utnämnd dataskyddssamordnares eller ställföreträdande dataskyddssamordnares tjänster i anspråk. De berörda delegerade personuppgiftsansvariga ska dokumentera sin överenskommelse om detta skriftligen.

2.   Den dataskyddssamordnare som utnämns av ett generaldirektorat eller en avdelning ska också vara behörig för det kansli som ansvarar för det generaldirektoratet eller den avdelningen. Den dataskyddssamordnare som utnämns för generalsekretariatet ska vara behörig både för ordförandens kansli och för de kanslier som generalsekretariatet är den enda stödtjänsten för. Om ett kansli är ansvarigt för flera generaldirektorat eller avdelningar ska de delegerade personuppgiftsansvariga besluta vilka av deras respektive dataskyddssamordnare som ska vara behöriga för det kansliet.

3.   Dataskyddsombudet, personalen vid det berörda generaldirektoratet eller avdelningen och det berörda kansliet ska informeras när en ny dataskyddssamordnare utnämns.

Nyutnämnda dataskyddssamordnare ska genomgå utbildning för att inom sex månader efter utnämningen ha fått de kunskaper som behövs i rollen som dataskyddssamordnare. Detta utbildningskrav gäller inte för en dataskyddssamordnare som tidigare har innehaft en befattning som dataskyddssamordnare vid ett annat generaldirektorat eller en annan avdelning eller som tillhörde dataskyddsombudets personal under de två åren före utnämningen till dataskyddssamordnare.

4.   Delegerade personuppgiftsansvariga ska införa lämpliga arrangemang för att säkerställa att dataskyddssamordnaren skyndsamt och korrekt involveras i alla frågor som rör skyddet av personuppgifter vid deras generaldirektorat eller avdelning och att de yttranden som dataskyddssamordnaren tillhandahåller omgående meddelas den delegerade personuppgiftsansvarige på dataskyddssamordnarens begäran.

5.   Dataskyddssamordnarna ska väljas på grundval av sina kunskaper om och erfarenheter av hur respektive generaldirektorat eller avdelning fungerar, motivationen för funktionen, kunskaper om skyddet av personuppgifter, förståelse av principer för informationssystem och kommunikationsförmåga.

6.   Dataskyddssamordnarens funktion får kombineras med andra funktioner. Den delegerade personuppgiftsansvarige ska säkerställa att dessa funktioner är förenliga med den funktion som dataskyddssamordnaren har.

7.   Dataskyddssamordnarens funktion ska ingå i arbetsbeskrivningen för varje anställd som utnämnts till dataskyddssamordnare. Deras ansvarsområden och resultat ska anges i den årliga bedömningsrapporten.

8.   Dataskyddssamordnaren ska fungera som kontaktpunkt mellan den delegerade personuppgiftsansvarige, den operativa personuppgiftsansvarige och personuppgiftsbiträdet samt dataskyddsombudet.

9.   Dataskyddssamordnarna ska ha rätt att få all information från sitt generaldirektorat eller sin avdelning i den omfattning det behövs för att dataskyddssamordnaren ska kunna utföra sina uppgifter. Dataskyddssamordnarna ska ha tillgång till personuppgifter endast om det är nödvändigt för att de ska kunna fullgöra sina uppgifter.

10.   Dataskyddssamordnaren ska hålla register och lämna anonym statistik om begäranden från registrerade till generaldirektoratet, avdelningen eller kansliet och ange antalet begäranden och det antal begäranden som avslås helt eller delvis. Dataskyddsombudet ska ange för vilka kategorier av begäranden statistik ska föras. Dataskyddsombudet får ange vilka ytterligare uppgifter som ska tillhandahållas.

Dataskyddssamordnaren ska föra anonym statistik över de personuppgiftsincidenter som hanteras av generaldirektoratet, avdelningen eller kansliet och ange det totala antalet personuppgiftsincidenter, det antal personuppgiftsincidenter som anmäls till Europeiska datatillsynsmannen och det antal personuppgiftsincidenter som meddelas till registrerade.

11.   Dataskyddssamordnaren ska öka medvetenheten om uppgiftskyddsfrågor inom sitt generaldirektorat eller sin avdelning och ge råd till och bistå de delegerade personuppgiftsansvariga och de operativa personuppgiftsansvariga när de fullgör sina skyldigheter, särskilt när det gäller följande:

12.   Dataskyddssamordnarna ska delta i dataskyddssamordnarnas möten och vid behov i arbetsgrupper.

13.   Dataskyddsombudet ska utfärda ytterligare riktlinjer om dataskyddssamordnarens ansvarsområden och funktioner.

1.   Delegerade personuppgiftsansvariga ska agera på kommissionens vägnar som personuppgiftsansvariga vid tillämpningen av förordning (EU) 2018/1725.

2.   Delegerade personuppgiftsansvariga och operativa personuppgiftsansvariga

3.   Den delegerade personuppgiftsansvarige ska

De arrangemang som avses i första stycket led b ska fastställa deras respektive ansvar för fullgörande av sina skyldigheter i fråga om dataskydd. De ska framför allt inbegripa identifiering av den delegerade personuppgiftsansvarige som fastställer medlen för och ändamålen med behandlingen samt av den operativa personuppgiftsansvarige för behandlingen, och om så är lämpligt, vilken person och/eller vilka enheter som ska bistå den operativa personuppgiftsansvarige, bland annat med information vid personuppgiftsincidenter eller för att ta hänsyn till registrerades rättigheter.

4.   Den operativa personuppgiftsansvarige ska

1.   Dataskyddsombudet ska säkerställa att kommissionens register över behandlingar är tillgängligt via dataskyddsombudets webbplats på kommissionens intranät och via dataskyddsombudets webbplats på webbplatsen Europa.

2.   De delegerade personuppgiftsansvariga ska via sina dataskyddssamordnare underrätta dataskyddsombudet om sina behandlingar med hjälp av kommissionens webbaserade anmälningssystem, som finns tillgängligt via dataskyddsombudets webbplats på kommissionens intranät.

1.   En skriftlig begäran om utredning enligt artikel 6 e ska sändas till dataskyddsombudet. Inom 15 arbetsdagar efter mottagandet ska dataskyddsombudet skicka ett mottagningsbevis till den person som har beställt utredningen och kontrollera om begäran ska behandlas konfidentiellt för att säkerställa att begäran behandlas konfidentiellt, såvida inte berörda registrerade ger sitt otvetydiga samtycke till att begäran behandlas på annat sätt. Vid uppenbart missbruk av rätten att begära en utredning är dataskyddsombudet inte skyldigt att rapportera tillbaka till den begärande.

2.   Dataskyddsombudet ska begära ett skriftligt utlåtande i ärendet från den delegerade personuppgiftsansvarige som ansvarar för den berörda uppgiftsbehandlingen. Den delegerade personuppgiftsansvarige ska lämna sitt svar till dataskyddsombudet inom 15 arbetsdagar. Dataskyddsombudet får inom 15 arbetsdagar begära kompletterande information från den delegerade personuppgiftsansvarige, personuppgiftsbiträdet eller andra parter.

3.   Dataskyddsombudet ska rapportera tillbaka till den person som begärt utredningen senast tre månader efter mottagandet av begäran. Denna period kan tillfälligt upphöra att löpa i avvaktan på att dataskyddsombudet erhåller all erforderlig information som begärts.

4.   Ingen ska lida förfång för att ha uppmärksammat dataskyddsombudet på en påstådd överträdelse av bestämmelserna i förordning (EU) 2018/1725.

1.   Dataskyddsombudet ska administrativt höra till generalsekretariatet. I detta sammanhang ska dataskyddsombudet delta i utformningen av generalsekretariatets årliga förvaltningsplan och preliminära budgetförslag.

2.   Dataskyddsombudet ska vara den tjänsteman som ansvarar för rapportering för dataskyddsmyndighetens personal. Vice generalsekreteraren ska vara den kontrasignerande tjänstemannen. Dataskyddsombudet ska delta i samordningen av generalsekretariatets förvaltning när så är lämpligt.

1.   När kommissionen utövar sina skyldigheter avseende de registrerades rättigheter i enlighet med förordning (EU) 2018/1725 ska den överväga om några av de undantag som anges i den förordningen är tillämpliga.

2.   Om inte annat följer av artiklarna 14–18 i detta beslut får kommissionen begränsa tillämpningen av artiklarna 14–17, 19, 20 och 35 i förordning (EU) 2018/1725, samt den princip om öppenhet som föreskrivs i artikel 4.1 a i den förordningen, i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–17, 19 och 20 i förordning (EU) 2018/1725, där utövandet av sådana rättigheter och skyldigheter skulle äventyra syftet med dataskyddsombudets uppgifter, inbegripet genom att avslöja verktyg och metoder vid utredningar eller granskningar, eller skulle ha en negativ inverkan på andra registrerades rättigheter och friheter i enlighet med artikel 25.1 c, g och h.

3.   Om inte annat följer av artiklarna 14–18 i detta beslut får kommissionen begränsa de rättigheter och skyldigheter som avses i punkt 2 i denna artikel när det gäller personuppgifter som dataskyddsombudet erhållit från kommissionens avdelningar eller andra unionsinstitutioner och unionsorgan. Kommissionen får göra det om utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av kommissionens avdelningar, unionens institutioner eller organ på grundval av andra rättsakter som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen eller i enlighet med Europaparlamentets och rådets förordning (EU) 2016/794 (6) eller rådets förordning (EU) 2017/1939 (7).

Innan kommissionen tillämpar begränsningar i de fall som avses i första stycket ska den samråda med unionens berörda institutioner eller organ, om det inte är uppenbart för kommissionen att tillämpningen av en begränsning fastställs i en av de akter som det hänvisas till i det stycket.

4.   Alla begränsningar av tillämpningen av rättigheter och skyldigheter, som avses i punkt 2 i denna artikel, ska vara nödvändiga och proportionella med hänsyn till de registrerades rättigheter och friheter.

1.   Kommissionen ska på sin webbplats offentliggöra ett dataskyddsmeddelande som informerar alla registrerade om dataskyddsombudets uppgifter som innebär behandling av deras personuppgifter.

2.   Kommissionen ska i lämplig form enskilt informera varje fysisk person som den anser vara en person som berörs av dataskyddsombudets uppgifter eller en uppgiftslämnare.

3.   Om kommissionen helt eller delvis begränsar tillhandahållande av information till registrerade, såsom avses i punkt 2, ska den dokumentera och registrera skälen till begränsningen i enlighet med artikel 17.

1.   Om kommissionen på det sätt som avses i artikel 17, 19 respektive 20 i förordning (EU) 2018/1725 helt eller delvis begränsar den registrerades rätt till tillgång till personuppgifter eller rätt till radering eller rätt till begränsning av behandling, ska kommissionen i sitt svar på den registrerades begäran om tillgång, radering eller begränsning av behandlingen upplysa denne om vilken begränsning som tillämpas och de huvudsakliga skälen till detta, samt om möjligheterna att inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

2.   Tillhandahållandet av information om skälen till den begränsning som avses i punkt 1 får skjutas upp, utelämnas eller nekas så länge som detta skulle kunna undergräva syftet med begränsningen.

3.   Kommissionen ska dokumentera och registrera skälen till begränsningen i enlighet med artikel 17.

4.   Om rätten till tillgång helt eller delvis begränsas, har den registrerade rätt att utöva sin rätt till tillgång via Europeiska datatillsynsmannen, i enlighet med artikel 25.6, 25.7 och 25.8 i förordning (EU) 2018/1725.

1.   Kommissionen ska dokumentera skälen till varje begränsning som tillämpas i enlighet med detta beslut, inbegripet en bedömning från fall till fall av behovet av begränsningen och dess proportionalitet, med beaktande av relevanta delar av artikel 25.2 i förordning (EU) 2018/1725.

I dokumentationen ska anges hur utövandet av rättigheten skulle kunna äventyra syftet med dataskyddsombudets uppgifter enligt detta beslut, eller syftet med de begränsningar som tillämpas i enlighet med artikel 13.2 eller 13.3, eller ha en negativ inverkan på andra registrerades rättigheter och friheter.

2.   Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran göras tillgängliga för Europeiska datatillsynsmannen.

1.   De begränsningar som avses i artiklarna 14, 15 och 16 ska fortsätta tillämpas så länge de skäl som ligger till grund för dem föreligger.

2.   Om skälen till en sådan begränsning som avses i artikel 14 eller 16 inte längre föreligger, ska kommissionen upphäva begränsningen och uppge skälen till begränsningen till den registrerade. Samtidigt ska kommissionen informera den registrerade om möjligheten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

3.   Kommissionen ska se över tillämpningen av de begränsningar som avses i artiklarna 14 och 16 var sjätte månad från det att de antagits samt under alla omständigheter vid avslutandet av dataskyddsombudets aktuella verksamhet. Därefter ska kommissionen på årsbasis kontrollera behovet av att behålla en eventuell begränsning eller ett eventuellt uppskjutande.

1.   Om andra avdelningar inom kommissionen kommer fram till att en registrerads rättigheter bör begränsas i enlighet med detta beslut, ska de informera dataskyddsombudet. De ska också ge dataskyddsombudet tillgång till dokumentationen och alla handlingar som innehåller underliggande faktiska och rättsliga omständigheter.

2.   Dataskyddsombudet får begära att den delegerade personuppgiftsansvarige för den berörda avdelningen inom kommissionen ser över tillämpningen av begränsningarna. Den delegerade personuppgiftsansvarige för den berörda avdelningen inom kommissionen ska skriftligen underrätta dataskyddsombudet om resultatet av den begärda översynen.