EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021Q0622(01)
Decision No 42-2021 of the Court of Auditors of 20 May 2021 adopting internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the European Court of Auditors
Revisionsrättens beslut nr 42–2021 av den 20 maj 2021 om antagande av interna regler om begränsningar av vissa rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för Europeiska revisionsrättens verksamhet
Revisionsrättens beslut nr 42–2021 av den 20 maj 2021 om antagande av interna regler om begränsningar av vissa rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för Europeiska revisionsrättens verksamhet
EUT L 223, 22.6.2021, p. 24–27
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
22.6.2021 |
SV |
Europeiska unionens officiella tidning |
L 223/24 |
REVISIONSRÄTTENS BESLUT nr 42–2021
av den 20 maj 2021
om antagande av interna regler om begränsningar av vissa rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för Europeiska revisionsrättens verksamhet
EUROPEISKA REVISIONSRÄTTEN HAR FATTAT DETTA BESLUT
med beaktande av fördraget om Europeiska unionens funktionssätt (EUF-fördraget),
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG, särskilt artikel 25 och kapitel VI,
med beaktande av diskussionerna vid Europeiska revisionsrättens sammanträde den 20 maj 2021,
efter att ha hört Europeiska datatillsynsmannen om detta beslut, i enlighet med artikel 41.2 i förordningen, som avgav sitt yttrande den 23 september 2019, och av följande skäl:
Inom ramen för sin verksamhet behandlar Europeiska revisionsrätten (nedan kallad revisionsrätten) flera kategorier av personuppgifter och är skyldig att respektera fysiska personers rättigheter i samband med behandling av personuppgifter som erkänns i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16.1 i EUF-fördraget.
Under vissa omständigheter är det nödvändigt att sammanjämka de registrerades rättigheter enligt förordningen med behoven när det gäller revisionsrättens uppdrag och verksamhet. I detta syfte föreskrivs i artikel 25 i förordningen, under stränga villkor, en möjlighet att begränsa tillämpningen av artiklarna 14–20, 35 och 36 samt artikel 4.
Revisionsrätten bör enbart tillämpa begränsningar om de sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Revisionsrätten bör hantera alla begränsningar på ett öppet sätt och informera den registrerade om skälen till att en begränsning tillämpas.
Revisionsrätten bör upphäva begränsningen så snart som de förhållanden som motiverat den inte längre är tillämpliga och bör regelbundet bedöma dessa förhållanden.
Revisionsrättens dataskyddsombud bör i god tid informeras om eventuella begränsningar som tillämpas och genomföra en oberoende översyn av tillämpningen av begränsningarna, i syfte att säkerställa efterlevnaden av detta beslut.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte och tillämpningsområde
I detta beslut fastställs regler om de villkor enligt vilka revisionsrätten, på grundval av artikel 25 i förordningen, får begränsa tillämpningen av artiklarna 14–20, 35 och 36 samt artikel 4 i förordningen.
Artikel 2
Begränsningar
1. I enlighet med artikel 25.1 i förordningen får revisionsrätten i varje enskilt fall begränsa tillämpningen av artiklarna 14–20, 35 och 36 samt artikel 4 i förordningen, i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20, när den
|
a) |
genomför revisioner på grundval av artikel 287 i EUF-fördraget; relevanta begränsningar kan grundas på artikel 25.1 c, g och h i förordningen, |
|
b) |
utför administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden på grundval av artikel 86 i tjänsteföreskrifterna för tjänstemän i Europeiska unionen (1) (nedan kallade tjänsteföreskrifterna) och i enlighet med bilaga IX till dessa; relevanta begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordningen, |
|
c) |
behandlar interna och externa klagomål mot en anställd eller ledamot av revisionsrätten; relevanta begränsningar kan grundas på artikel 25.1 h i förordningen, |
|
d) |
vidtar förberedande åtgärder i samband med potentiella oriktigheter som rapporterats till Olaf; relevanta begränsningar kan grundas på artikel 25.1 b, c och h i förordningen, |
|
e) |
säkerställer att revisionsrättens personal konfidentiellt kan lämna information om allvarliga oegentligheter som de får kännedom om under sin tjänsteutövning, i enlighet med revisionsrättens arbetsordning för tillhandahållande av information i händelse av allvarliga oriktigheter (visselblåsning); relevanta begränsningar kan grundas på artikel 25.1 f och h i förordningen, |
|
f) |
säkerställer att anställda vid revisionsrätten som anser sig ha utsatts för trakasserier konfidentiellt kan söka råd och stöd från en chef, en kontaktperson, förtroendeläkaren eller en medlare, i enlighet med revisionsrättens beslut nr 26–2017 om policyn för att upprätthålla en tillfredsställande arbetsmiljö och motverka mobbning och sexuella trakasserier; relevanta begränsningar kan grundas på artikel 25.1 f och h i förordningen, |
|
g) |
utför internrevisioner i enlighet med revisionsrättens beslut nr 38–2016 om tillämpningsföreskrifter för revisionsrättens arbetsordning; relevanta begränsningar kan grundas på artikel 25.1 c, g och h i förordningen, |
|
h) |
säkerställer att de registrerade, i enlighet med artikel 26a i tjänsteföreskrifterna och artiklarna 16 och 91 i anställningsvillkoren för övriga anställda, har tillgång till medicinska uppgifter av psykologisk eller psykiatrisk karaktär som rör dem, om direkt tillgång till sådana uppgifter sannolikt utgör en risk för den registrerades hälsa, eller till medicinska uppgifter om utövandet av denna rättighet skulle inverka negativt på den registrerades eller andra registrerades rättigheter och friheter; relevanta begränsningar kan grundas på artikel 25.1 h i förordningen, |
|
i) |
garanterar den inre säkerheten vid revisionsrätten, det vill säga säkerheten för personer, tillgångar och information, inbegripet genomförande av interna säkerhetsutredningar, eventuellt med extern hjälp (CERT-EU, nationella polismyndigheter osv.); relevanta begränsningar kan grundas på artikel 25.1 a, b, c, d, g och h i förordningen, |
|
j) |
säkerställer att dataskyddsombudet kan genomföra utredningar i enlighet med artikel 45.2 i förordningen; relevanta begränsningar kan grundas på artikel 25.1 d, g och h i förordningen, |
|
k) |
tillhandahåller stöd till, ingår samarbete med eller tar emot stöd från andra av unionens institutioner, organ och byråer; relevanta begränsningar kan grundas på artikel 25.1 c, d, g och h i förordningen, |
|
l) |
tillhandahåller stöd till, ingår samarbete med eller tar emot stöd från EU-medlemsstaternas offentliga myndigheter, tredjeländer och internationella organisationer, på deras begäran eller på eget initiativ; relevanta begränsningar kan grundas på artikel 25.1 c, g och h i förordningen, |
|
m) |
behandlar personuppgifter i handlingar som parterna eller intervenienterna inhämtat i samband med rättsliga förfaranden vid Europeiska unionens domstol. Relevanta begränsningar kan grundas på artikel 25.1 e i förordningen. |
2. Uppgiftskategorierna omfattar identitetsuppgifter för en fysisk person, kontaktuppgifter, yrkesroller och arbetsuppgifter, information om privat och yrkesmässig etik och prestation samt finansiella uppgifter.
3. Varje begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle och vara nödvändig och proportionell.
4. En prövning av nödvändigheten och proportionaliteten ska utföras av den personuppgiftsansvariga och dataskyddsombudet i varje enskilt fall innan begränsningar tillämpas. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå de fastställda målen.
5. Revisionsrätten ska dokumentera skälen till de begränsningar som tillämpas, den rättsliga grunden, bedömningen av riskerna för rättigheterna och friheterna för registrerade vars personuppgifter kan vara föremål för begränsningar samt bedömningen av begränsningens nödvändighet och proportionalitet. Dokumentationen och, i tillämpliga fall, de handlingar som innehåller bakomliggande faktiska och rättsliga omständigheter ska ingå i ett särskilt register, som på begäran ska göras tillgängligt för Europeiska datatillsynsmannen. Dokumentation om begränsningar för en läkarjournal ska endast registreras i den berörda läkarjournalen.
6. Vid behandling av personuppgifter som utbyts med andra organisationer i samband med revisionsrättens uppdrag ska revisionsrätten samråda med dessa organisationer om eventuella relevanta grunder för att införa begränsningar och om begränsningarna är nödvändiga och proportionerliga, såvida inte detta skulle äventyra revisionsrättens verksamhet.
Artikel 3
Övervakning av begränsningar och översyn
1. De begränsningar som avses i artikel 2 ska fortsätta att gälla så länge de omständigheter som motiverar dem kvarstår.
2. Revisionsrätten ska se över tillämpningen av en begränsning var sjätte månad från det att den antogs. En översyn måste även göras om centrala delar i ett ärende ändras.
Artikel 4
Skyddsåtgärder
1. Revisionsrätten ska införa skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring av personuppgifter som kan vara föremål för begränsningar. Dessa skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska vid behov specificeras i revisionsrättens interna beslut, förfaranden och genomförandebestämmelser. Skyddsåtgärderna ska omfatta följande:
|
a) |
En lämplig definition av roller, ansvar och olika steg i förfarandet. |
|
b) |
I tillämpliga fall, en säker elektronisk miljö som förebygger olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer. |
|
c) |
I tillämpliga fall, säker lagring och behandling av handlingar i pappersform. |
Artikel 5
Information som ska lämnas till dataskyddsombudet och översyn av dataskyddsombudet
1. Dataskyddsombudet ska informeras utan onödigt dröjsmål när registrerades rättigheter begränsas i enlighet med detta beslut och ska ges tillgång till dokumentationen och alla handlingar som innehåller bakomliggande faktiska och rättsliga omständigheter.
2. Dataskyddsombudet får lämna in en begäran om översyn av tillämpningen av en begränsning. Revisionsrätten ska skriftligen underrätta dataskyddsombudet om resultatet av begäran.
3. Dataskyddsombudets deltagande i begränsningsförfarandet, inbegripet informationsutbyten, ska dokumenteras på lämpligt sätt.
Artikel 6
Information till registrerade om begränsningar av deras rättigheter
1. Revisionsrätten ska på sin webbplats offentliggöra allmän information om de begränsningar av registrerades rättigheter som beskrivs i artikel 2. Begränsningens omfattning, de bakomliggande orsakerna och den potentiella varaktigheten ska förklaras.
2. Om revisionsrätten tillämpar artikel 2 i detta beslut ska den, utan onödigt dröjsmål, skriftligen informera de registrerade om de huvudsakliga skäl som ligger till grund för tillämpningen av begränsningen och om de registrerades rätt att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning vid Europeiska unionens domstol.
3. Revisionsrätten får skjuta upp, utelämna eller neka tillhandahållande av information avseende skälen till den begränsning som avses i punkt 2 om detta skulle upphäva begränsningens verkan. Denna bedömning ska göras i varje enskilt fall.
Artikel 7
Information till registrerade om personuppgiftsincidenter
Om revisionsrätten begränsar informationen om en personuppgiftsincident till den registrerade, i enlighet med artikel 35 i förordningen, ska den dokumentera och registrera skälen till begränsningen i enlighet med artikel 2.5 i detta beslut.
Artikel 8
Konfidentialitet för elektronisk kommunikation
1. Revisionsrätten får, under exceptionella omständigheter och i enlighet med bestämmelserna i direktiv 2002/58/EG om integritet och elektronisk kommunikation, begränsa rätten till konfidentialitet för elektronisk kommunikation som avses artikel 36 i förordningen. I detta fall ska revisionsrätten i särskilda interna regler ange omständigheter, skäl, relevanta risker och tillhörande skyddsåtgärder.
2. Om revisionsrätten begränsar rätten till konfidentialitet för elektronisk kommunikation ska den i sitt svar på den registrerades begäran informera den registrerade om de huvudsakliga skäl som ligger till grund för tillämpningen av begränsningen och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
3. Revisionsrätten får skjuta upp, utelämna eller neka tillhandahållande av information avseende skälen till den begränsning som avses i punkterna 1 och 2 om det skulle upphäva begränsningens verkan. Denna bedömning ska göras i varje enskilt fall.
Artikel 9
Ikraftträdande
Detta beslut träder i kraft samma dag som det offentliggörs i Europeiska unionens officiella tidning.
Utfärdat i Luxemburg den 20 maj 2021.
För revisionsrätten
Klaus-Heiner LEHNE
Ordförande
(1) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).