This document is an excerpt from the EUR-Lex website
Document 32020Q0424(01)
Decision of the Management Board of the Agency for Support for BEREC (BEREC Office) of 10 September 2019 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the BEREC Office
Beslut från styrelsen för Byrån för stöd till Berec (Berecbyrån) av den 10 september 2019 om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Berecbyrån
Beslut från styrelsen för Byrån för stöd till Berec (Berecbyrån) av den 10 september 2019 om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Berecbyrån
EUT L 130, 24.4.2020, p. 28–32
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
24.4.2020 |
SV |
Europeiska unionens officiella tidning |
L 130/28 |
BESLUT FRÅN STYRELSEN FÖR BYRÅN FÖR STÖD TILL BEREC (BERECBYRÅN)
av den 10 september 2019
om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Berecbyrån
STYRELSEN HAR ANTAGIT DETTA BESLUT
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1971 av den 11 december 2018 om inrättande av Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec) och Byrån för stöd till Berec (Berecbyrån), om ändring av förordning (EU) 2015/2120 och om upphävande av förordning (EG) nr 1211/2009 (1), särskilt artikel 36.4,
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (2) (nedan kallad förordningen), särskilt artikel 25, och
av följande skäl:
|
(1) |
Berecbyrån får, inom ramen för sin verksamhet, genomföra administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med bilaga IX till tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen (3) och i överensstämmelse med beslut nr MC/2012/3 från förvaltningskommittén för Byrån för Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berecbyrån) om allmänna bestämmelser för genomförandet av administrativa utredningar och disciplinära förfaranden, vilket innebär behandling av uppgifter, inklusive personuppgifter. |
|
(2) |
Berecbyråns personal är skyldig att rapportera misstänkt bedrägeri, korruption eller annan olaglig verksamhet som kan skada unionens intressen eller ett uppträdande i tjänsten som innebär ett avsteg från de yrkesmässiga förpliktelser som gäller för personal inom unionen. Detta regleras genom beslut nr MC/2018/11 från förvaltningskommittén för Berecbyrån om byråns riktlinjer för uppgiftslämnande (whistleblowing). |
|
(3) |
Berecbyrån har antagit en strategi för att förebygga och hantera faktiska eller eventuella fall av mobbning och sexuella trakasserier på arbetsplatsen på ett effektivt och ändamålsenligt sätt, såsom föreskrivs i beslut nr MC/2016/15 från förvaltningskommittén för Berecbyrån om policyn om skydd av enskildas värdighet och förebyggande av psykologiska och sexuella trakasserier. |
|
(4) |
I samband med ovanstående verksamhet samlar Berecbyrån in och behandlar relevant information och flera olika kategorier av personuppgifter, inbegripet personidentifieringsuppgifter från fysiska personer, kontaktuppgifter, yrkesroller och yrkesuppgifter, information om privat och yrkesmässig etik och prestation samt finansiella uppgifter. Berecbyrån fungerar som personuppgiftsansvarig. |
|
(5) |
Lämpliga skyddsåtgärder har vidtagits för att skydda personuppgifter och hindra oavsiktlig eller olaglig åtkomst eller överföring, oavsett om de lagras i en fysisk eller elektronisk miljö. Efter behandlingen bevaras uppgifterna i enlighet med de lagringsbestämmelser som är tillämpliga för Berecbyrån, såsom de definieras i dataskyddsregister på grundval av artikel 31 i förordningen. I slutet av lagringsperioden raderas, anonymiseras eller överförs uppgifterna om ärendet till de historiska arkiven. |
|
(6) |
I detta sammanhang har Berecbyrån en skyldighet att tillhandahålla information till de registrerade i samband med ovannämnda behandling och respektera de registrerades rättigheter såsom föreskrivs i förordningen. |
|
(7) |
Det kan vara nödvändigt att förena de registrerades rättigheter enligt förordningen med behovet av ovannämnda åtgärder, samtidigt som grundläggande rättigheter och friheter för andra registrerade respekteras fullt ut. I detta syfte föreskrivs i artikel 25 i förordningen, under stränga villkor, en möjlighet att begränsa tillämpningen av artiklarna 14–20, 35 och 36 samt artikel 4, i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20. I detta fall är det nödvändigt att anta interna bestämmelser enligt vilka Berecbyrån får begränsa dessa rättigheter i överensstämmelse med samma artikel i förordningen. |
|
(8) |
Detta kan särskilt vara fallet vid tillhandahållande av information om behandling av personuppgifter till registrerade vid den preliminära bedömningsfasen i en administrativ utredning eller under själva utredningen, före en eventuell avvisning av ärendet eller i ett skede som föregår ett disciplinärt förfarande. Under vissa omständigheter kan ett tillhandahållande av sådan information få betydande negativ inverkan på Berecbyråns förmåga att genomföra utredningen på ett effektivt sätt, t.ex. när det finns en risk att den berörda personen förstör bevisning eller påverkar eventuella vittnen innan de kan förhöras. Vidare kan Berecbyrån behöva skydda deras rättigheter och friheter samt andra berörda personers rättigheter och friheter. |
|
(9) |
Det kan vara nödvändigt att garantera sekretesskyddet för ett vittne eller en uppgiftslämnare som har bett om att inte bli identifierad. I ett sådant fall kan Berecbyrån besluta att begränsa åtkomsten vad gäller identiteten, uttalanden och andra personuppgifter från uppgiftslämnaren och andra berörda personer för att skydda deras rättigheter och friheter. |
|
(10) |
Det kan vara nödvändigt att garantera sekretesskyddet för en anställd som har kontaktat Berecbyråns konfidentiella rådgivare inom ramen för ett förfarande beträffande trakasserier. I ett sådant fall kan Berecbyrån besluta att begränsa åtkomsten vad gäller identiteten, uttalanden och andra personuppgifter från det påstådda offret, den påstådda gärningsmannen och andra berörda personer för att skydda deras rättigheter och friheter. |
|
(11) |
Berecbyrån bör endast tillämpa begränsningar om de respekterar andemeningen i de grundläggande rättigheterna och friheterna och utgör en absolut nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Berecbyrån ska motivera skälen för dessa begränsningar. |
|
(12) |
På grundval av principen om ansvarsskyldighet är Berecbyrån skyldig att registrera tillämpningen av dessa begränsningar. |
|
(13) |
Enligt artikel 25.6 i förordningen ska den personuppgiftsansvarige informera den registrerade om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen. |
|
(14) |
Enligt artikel 25.8 i förordningen får Berecbyrån skjuta upp, utelämna eller neka tillhandahållande av information om det på något sätt skulle upphäva verkan av begränsningen. Berecbyrån ska göra en bedömning i varje enskilt fall huruvida meddelandet av begränsningen skulle upphäva dess verkan. |
|
(15) |
Berecbyrån ska upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma detta med jämna mellanrum. |
|
(16) |
För att garantera maximalt skydd för de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordningen, ska dataskyddsombudet informeras i tid om tillämpningen av eventuella begränsningar och kontrollera efterlevnaden av detta beslut. |
|
(17) |
Tillämpningen av ovannämnda begränsningar påverkar inte en eventuell tillämpning av artiklarna 16.5 och 17.4 i förordningen, vilka hänför sig till rätten till information om uppgifterna inte har samlats in från den registrerade och den registrerades rätt till tillgång. |
|
(18) |
Europeiska datatillsynsmannen rådfrågades den 27 maj 2019. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte och tillämpningsområde
I detta beslut fastställs bestämmelser om de villkor på vilka Berecbyrån får begränsa tillämpningen av artiklarna 14–20, 35 och 36, samt artikel 4, på grundval av artikel 25 i förordningen.
Artikel 2
Begränsningar
1. Enligt artikel 25.1 i förordningen får Berecbyrån begränsa tillämpningen av artiklarna 14–20, 35 och 36 samt artikel 4 i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20, när myndigheten
|
a) |
genomför administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med bilaga IX till tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen och i överensstämmelse med beslut nr MC/2012/3 från förvaltningskommittén för Berecbyrån om allmänna bestämmelser för genomförandet av administrativa utredningar och disciplinära förfaranden, vilket innebär behandling av uppgifter, inklusive personuppgifter; relevanta begränsningar kan grundas på artikel 25.1 c, g och h i förordningen, |
|
b) |
säkerställer att Berecbyråns personal konfidentiellt får rapportera uppgifter när de anser att det föreligger betydande oegentligheter i överensstämmelse med beslut nr MC/2018/11 från förvaltningskommittén för Berecbyrån om byråns riktlinjer för uppgiftslämnande (whistleblowing); relevanta begränsningar kan grundas på artikel 25.1 h i förordningen, |
|
c) |
säkerställer att Berecbyråns personal konfidentiellt får rapportera till de konfidentiella rådgivarna i samband med ett förfarande om trakasserier i överensstämmelse med beslut nr MC/2016/15 från förvaltningskommittén för Berecbyrån om policyn om skydd av enskildas värdighet och förebyggande av psykologiska och sexuella trakasserier; relevanta begränsningar kan grundas på artikel 25.1 h i förordningen, |
2. Kategorierna av personuppgifter innefattar personidentifieringsuppgifter från fysiska personer, kontaktuppgifter, yrkesroller och yrkesuppgifter, information om privat och yrkesmässig etik och prestation och finansiella uppgifter.
3. Eventuella begränsningar ska respektera andemeningen i de grundläggande rättigheterna och friheterna och vara nödvändiga och proportionella i ett demokratiskt samhälle.
4. En bedömning av behovet och proportionaliteten ska göras i varje enskilt fall innan begränsningar börjar tillämpas. Begränsningar ska begränsas till vad som är absolut nödvändigt för att uppnå de fastställda målen, med beaktande av riskerna för de registrerades rättigheter och friheter.
5. Berecbyrån ska i redovisningssyfte registrera skälen för de begränsningar som tillämpas, vilka grunder av de som anges i punkt 1 som är tillämpliga och resultatet av bedömningen av behovet och proportionaliteten. Dessa uppgifter ska utgöra del av ett ad hoc-register som på begäran ska göras tillgängligt Europeiska datatillsynsmannen. En rapport om tillämpningen av artikel 25 i förordningen ska regelbundet göras tillgänglig.
Artikel 3
Risker för de registrerades rättigheter och friheter
Bedömningen av riskerna för rättigheter och friheter för registrerade vars personuppgifter kan vara föremål för begränsningar samt deras lagringsperiod ska anges i registret över den relevanta behandlingen i enlighet med artikel 31 i förordningen och i förekommande fall i relevanta konsekvensbedömningar avseende uppgiftsskydd på grundval av artikel 39 i förordningen.
Artikel 4
Lagringsperioder och skyddsåtgärder
Berecbyrån ska genomföra skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring av personuppgifter som kan vara föremål för begränsningar. Dessa skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska, om så behövs, specificeras i Berecbyråns interna beslut, förfaranden och genomförandebestämmelser. Skyddsåtgärderna ska omfatta följande:
|
a) |
En lämplig definition av funktioner, ansvar och olika steg i förfarandet. |
|
b) |
I förekommande fall en säker elektronisk miljö som förebygger olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer. |
|
c) |
I förekommande fall säker lagring och behandling av dokument i pappersform. |
|
d) |
Vederbörlig kontroll av begränsningar och regelbunden översyn, vilken ska utföras minst var sjätte månad. En översyn ska även genomföras om centrala delar i det aktuella ärendet ändras. Begränsningarna ska upphävas så snart som de omständigheter som motiverar dem inte längre är tillämpliga. |
Artikel 5
Information till och översyn genom dataskyddsombudet
1. Berecbyråns dataskyddsombud ska informeras utan onödigt dröjsmål när registrerades rättigheter begränsas i enlighet med detta beslut och ska erhålla tillgång till registret och eventuella dokument som ligger till grund för faktiska och rättsliga delar.
2. Berecbyråns dataskyddsombud får begära en översyn av tillämpningen av begränsningen. Berecbyrån ska skriftligen informera sitt dataskyddsombud om resultatet av den begärda översynen.
3. Deltagandet i begränsningsförfarandet, inbegripet informationsutbyte, av Berecbyråns dataskyddsombud ska dokumenteras på lämpligt sätt.
Artikel 6
Information till registrerade om begränsning av deras rättigheter
1. Berecbyrån ska i de meddelanden om uppgiftsskydd som offentliggörs på myndighetens webbplats ange allmän information till de registrerade som berörs av den eventuella begränsningen av alla registrerades rättigheter såsom beskrivs i artikel 2.1 i detta beslut. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen till detta och begränsningens eventuella varaktighet.
2. Dessutom ska Berecbyrån informera de registrerade individuellt om nuvarande eller framtida begränsningar av deras rättigheter utan onödigt dröjsmål och i skriftform, såsom specificeras ytterligare i artiklarna 7, 8 och 9 i detta beslut.
Artikel 7
Registrerades rätt till information och meddelande om personuppgiftsincidenter
1. Om Berecbyrån i samband med de åtgärder som anges i detta beslut helt eller delvis begränsar de rättigheter som anges i artiklarna 14–16 och 35 i förordningen har de registrerade rätt att informeras om de huvudsakliga skälen till begränsningen och om deras rätt att lämna in ett klagomål till Europeiska datatillsynsmannen samt att begära rättslig prövning vid Europeiska unionens domstol.
2. Berecbyrån får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till den begränsning till vilken hänvisas i punkt 1 så länge som detta skulle upphäva verkan av begränsningen. Denna bedömning ska göras i varje enskilt fall.
Artikel 8
Registrerades rätt till tillgång, rättelse, radering och begränsning av behandlingen
1. Om Berecbyrån i samband med de åtgärder som anges i detta beslut helt eller delvis begränsar rätten till tillgång till personuppgifter och rätten till rättelse, radering, och begränsning av behandling, såsom anges i artiklarna 17–20 i förordningen, ska Berecbyrån i sitt svar på deras begäran informera de berörda registrerade om de huvudsakliga skälen till begränsningen och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
2. Berecbyrån får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till den begränsning till vilken hänvisas i punkt 1 om detta skulle upphäva verkan av begränsningen. Denna bedömning ska göras i varje enskilt fall.
Artikel 9
Konfidentialitet för elektronisk kommunikation
1. Berecbyrån får under exceptionella omständigheter och i enlighet med bestämmelserna och den logiska grunden för Europaparlamentets och rådets direktiv 2002/58/EG (4) begränsa rätten till konfidentialitet för elektronisk kommunikation, till vilken hänvisas i artikel 36 i förordningen. I detta fall ska Berecbyrån specificera omständigheter, skäl, relevanta risker och därmed sammanhängande skyddsåtgärder i särskilda interna bestämmelser.
2. Om Berecbyrån begränsar rätten till konfidentialitet för elektronisk kommunikation ska myndigheten i sitt svar på deras begäran informera de berörda registrerade om de huvudsakliga skälen till begränsningen och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
3. Berecbyrån får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till den begränsning till vilken hänvisas i punkterna 1 och 2 så länge som den skulle upphäva verkan av begränsningen. Denna bedömning ska göras i varje enskilt fall.
Artikel 10
Ikraftträdande
Detta beslut träder i kraft samma dag som det offentliggörs i Europeiska unionens officiella tidning.
Utfärdat i Riga den 10 september 2019.
På styrelsens vägnar
Jeremy GODFREY
Styrelsens ordförande
(1) EUT L 321, 17.12.2018, s. 1.
(2) EUT L 295, 21.11.2018, s. 39.
(3) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).
(4) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).