This document is an excerpt from the EUR-Lex website
Document 32023Q0324(01)
Delegated Decision No 17-2023 of the Administrative Committee of the European Court of Auditors of 1 March 2023 on implementing rules for handling RESTREINT UE/EU RESTRICTED information at the European Court of Auditors
Europeiska revisionsrättens förvaltningskommittés delegerade beslut nr 17-2023 av den 1 mars 2023 om genomförandebestämmelser för hantering av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED vid Europeiska revisionsrätten
Europeiska revisionsrättens förvaltningskommittés delegerade beslut nr 17-2023 av den 1 mars 2023 om genomförandebestämmelser för hantering av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED vid Europeiska revisionsrätten
EUT L 86, 24.3.2023, p. 65–82
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
24.3.2023 |
SV |
Europeiska unionens officiella tidning |
L 86/65 |
Europeiska revisionsrättens förvaltningskommittés delegerade beslut nr 17-2023
av den 1 mars 2023
om genomförandebestämmelser för hantering av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED vid Europeiska revisionsrätten
EUROPEISKA REVISIONSRÄTTENS FÖRVALTNINGSKOMMITTÉ HAR ANTAGIT DETTA BESLUT
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 287,
med beaktande av revisionsrättens beslut nr 41/2021 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (1),
med beaktande av revisionsrättens informationssäkerhetspolicy (för närvarande DEC 127/15 FINAL) och policy för informationsklassificering (personalmeddelande 123/2020) (2), och av följande skäl:
Beslut nr 41/2021 är tillämpligt med avseende på alla revisionsrättens avdelningar och lokaler.
I artiklarna 1.3 och 5.6 i revisionsrättens beslut nr 41/2021 föreskrivs att revisionsrätten ska hantera uppgifter på nivån RESTREINT UE/EU RESTRICTED i sina lokaler och att revisionsrätten får ingå ett servicenivåavtal med en annan EU-institution i Luxemburg för att kunna hantera och lagra uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre i ett säkrat utrymme inom den institutionen.
Säkerhetsåtgärder för att skydda säkerhetsskyddsklassificerade EU-uppgifter ska under hela deras livscykel särskilt anpassas till deras säkerhetsskyddsklassificering.
Säkerhetsåtgärder för att skydda konfidentialiteten, riktigheten och tillgängligheten för de uppgifter som överlämnas till revisionsrätten måste vara lämpliga för den art och typ av uppgifter som berörs.
I artikel 10.10 i beslut nr 41/2021 föreskrivs att förvaltningskommittén ska anta ett delegerat beslut om tillämpningsföreskrifter för det beslutet, vilka enligt artiklarna 8.1 och 10.1 i beslut nr 41/2021 ska reglera frågor som hantering och lagring av säkerhetsskyddsklassificerade EU-uppgifter samt överträdelser av säkerhetsbestämmelserna.
I bilagan till beslut nr 41/2021 fastställs de fysiska säkerhetsåtgärder som ska tillämpas i administrativa utrymmen där uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED hanteras och lagras.
Säkerhetsåtgärder som vidtas för att genomföra detta beslut ska vara förenliga med revisionsrättens säkerhetsprinciper enligt artikel 3 i beslut nr 41/2021.
Revisionsrätten har genom beslut nr 41/2021 säkerställt att dess säkerhetsåtgärder för att garantera en hög skyddsnivå för säkerhetsskyddsklassificerade EU-uppgifter är likvärdiga med dem som fastställs i de bestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter som antagits av EU:s övriga institutioner, byråer och organ.
En förenklad administrativ överenskommelse mellan revisionsrätten och kommissionen, rådet och Europeiska utrikestjänsten ingicks och trädde i kraft den 27 januari 2023.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL 1
ALLMÄNNA BESTÄMMELSER
Artikel 1
Syfte och tillämpningsområde
1. I detta beslut fastställs villkoren för hantering av säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED (3) i enlighet med beslut nr 41/2021.
2. Detta beslut ska tillämpas på alla revisionsrättens avdelningar och lokaler. Det är också tillämpligt med avseende på revisionsrättens revisionsavdelningar och kommittéer, vilka omfattas av termen avdelningar i detta beslut.
Artikel 2
Kriterier för tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. Tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får beviljas efter att följande har gjorts:
a) |
Det har fastställts att en person måste ha tillgång till vissa EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED för att kunna utöva en yrkesfunktion eller utföra uppgifter för revisionsrätten. |
b) |
Personen har informerats om reglerna och relevanta säkerhetsstandarder och riktlinjer för skydd av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED. |
c) |
Personen har bekräftat sitt ansvar för att skydda de berörda uppgifterna. |
2. Revisionsrättens praktikanter ska inte få uppgifter som kräver tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
3. Tillgång ska vägras eller tillåtas för andra personalkategorier i enlighet med tabellen i bilagan.
KAPITEL 2
UPPRÄTTA EU-UPPGIFTER PÅ SÄKERHETSSKYDDSKLASSIFICERINGSNIVÅN RESTREINT UE/EU RESTRICTED
Artikel 3
Upphovsman
Även om upphovsmannen i den mening som avses i artikel 2 i beslut nr 41/2021 är en EU-institution, en EU-byrå eller ett EU-organ, en medlemsstat, en tredjestat eller en internationell organisation under vars behörighet säkerhetsskyddsklassificerade uppgifter har upprättats och/eller införts i unionens strukturer, är den som utarbetar EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte nödvändigtvis densamma.
Artikel 4
Fastställande av säkerhetsskyddsklassificeringsnivå
1. Personal som utarbetar en handling på grundval av uppgifter i den mening som avses i artikel 1, inom ramen för artikel 3.6 i beslut nr 41/2021 eller på annat sätt, ska alltid ta ställning till om handlingen behöver säkerhetsskyddsklassificeras. Klassificeringen av en handling som säkerhetsskyddsklassificerade EU-uppgifter ska inbegripa en bedömning och ett beslut av upphovsmannen om huruvida utlämnandet av handlingen till obehöriga personer skulle skada Europeiska unionens eller en eller flera medlemsstaters intressen. Om de personer som utarbetar en handling hyser tvivel om huruvida handlingen ska säkerhetsskyddsklassificeras på nivån RESTREINT UE/EU RESTRICTED, bör de samråda med den ansvariga förstachefen eller den ansvariga direktören.
2. En handling ska säkerhetsskyddsklassificeras minst på nivån RESTREINT UE/EU RESTRICTED om dess obehöriga röjande bland annat skulle kunna
a) |
påverka diplomatiska förbindelser på ett negativt sätt, |
b) |
vålla väsentligt obehag för enskilda personer, |
c) |
göra det svårare att upprätthålla den operativa effektiviteten eller säkerheten för medlemsstaternas eller andra medverkande parters personal, |
d) |
bryta mot åtaganden om att upprätthålla förtroendet för uppgifter som tillhandahålls av tredje part, |
e) |
skada brottsutredningar eller göra det lättare att begå brott, |
f) |
missgynna unionen eller medlemsstaterna vid kommersiella eller strategiska förhandlingar med andra, |
g) |
hindra en effektiv utveckling eller ett effektivt genomförande av unionens strategier, |
h) |
undergräva en god förvaltning av unionen och dess uppdrag i allmänhet, |
i) |
leda till upptäckt av uppgifter som placerats på en högre säkerhetsskyddsklassificeringsnivå. |
3. Upphovsmän får besluta att tilldela en standardiserad säkerhetsskyddsklassificeringsnivå till de kategorier av uppgifter som de regelbundet upprättar. De ska dock se till att enskilda uppgifter ges lämplig säkerhetsskyddsklassificeringsnivå.
Artikel 5
Utarbetande av utkast
1. Uppgifter ska säkerhetsskyddsklassificeras så snart de har upprättats. Personliga meddelanden, preliminära utkast eller meddelanden som innehåller uppgifter som motiverar en säkerhetsskyddsklassificering på nivån RESTREINT UE/EU RESTRICTED ska markeras som sådana från början och ska framställas och hanteras i enlighet med detta beslut.
2. Om säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte längre är motiverad för den slutgiltiga handlingen ska säkerhetsskyddsklassificeringen hävas.
Artikel 6
Register över källmaterial
För att göra det möjligt att utöva upphovsmannens kontroll i enlighet med artikel 13 ska upphovsmän till handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i möjligaste mån föra register över alla säkerhetsskyddsklassificerade källor som används för framställning av säkerhetsskyddsklassificerade handlingar, inbegripet uppgifter om källor som ursprungligen kommer från EU:s medlemsstater, internationella organisationer eller tredjeländer. När så är lämpligt ska säkerhetsskyddsklassificerade uppgifter i aggregerad form märkas på ett sådant sätt att uppgifter som anger upphovsmännen till säkerhetsskyddsklassificerat källmaterial bevaras.
Artikel 7
Säkerhetsskyddsklassificering av delar av en handling
1. I enlighet med artikel 3.1 i beslut nr 41/2021 ska en handlings övergripande säkerhetsskyddsklassificeringsnivå vara minst lika hög som den del som har fått den högsta säkerhetsskyddsklassificeringsnivån. När uppgifter från olika källor sammanställs, ska den slutliga handlingen i aggregerad form ses över för att dess övergripande säkerhetsskyddsklassificeringsnivå ska kunna fastställas, eftersom den kan motivera en högre säkerhetsskyddsklassificeringsnivå än säkerhetsskyddsklassificeringsnivån för de enskilda delarna.
2. Handlingar som innehåller både säkerhetsskyddsklassificerade och icke-säkerhetsskyddsklassificerade delar struktureras och markeras så att delar på olika klassificerings- och/eller känslighetsnivå vid behov lätt kan identifieras och avskiljas. På så sätt möjliggörs att varje del hanteras på lämpligt sätt när den skilts från de övriga delarna.
Artikel 8
Fullständig säkerhetsskyddsmarkering
1. Uppgifter som motiverar säkerhetsskyddsklassificering ska markeras och hanteras som sådana oberoende av deras fysiska form. Säkerhetsskyddsklassificeringsnivån ska tydligt meddelas till mottagarna, antingen genom en säkerhetsskyddsmarkering, om uppgifterna tillhandahålls i skriftlig form, oavsett om så sker i pappersform, på flyttbara lagringsmedier eller i ett kommunikations- och informationssystem, eller genom ett tillkännagivande, om uppgifterna lämnas i muntlig form, till exempel i ett samtal eller en presentation. Säkerhetsskyddsklassificerat material ska märkas fysiskt så att dess säkerhetsskyddsklassificering lätt kan identifieras.
2. På handlingar ska den fullständiga säkerhetsskyddsmarkeringen RESTREINT UE/EU RESTRICTED skrivas med versaler, i sin helhet på franska och engelska (med franska först), i enlighet med punkt 3. Markeringen ska inte översättas till andra språk.
3. Säkerhetsskyddsmarkeringen RESTREINT UE/EU RESTRICTED ska anbringas
a) |
centrerat högst upp och längst ned på varje sida i handlingen, |
b) |
med fullständig säkerhetsskyddsmarkering på en rad, utan mellanslag på någondera sidan av snedstrecket, |
c) |
med versaler, i svart, med teckensnittet Times New Roman 16 i fetstil, och omgivet av en ram på alla sidor. |
4. Vid upprättandet av en handling på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska
a) |
varje sida tydligt markeras med säkerhetsskyddsklassificeringsnivån, |
b) |
varje sida numreras, |
c) |
handlingen förses med ett referensnummer och en ämnesuppgift som inte i sig är en säkerhetsskyddsklassificerad uppgift, om den inte getts en sådan märkning, |
d) |
alla bilagor och bifogade handlingar förtecknas, om möjligt på första sidan, |
e) |
handlingen förses med datum för dess upprättande. |
Artikel 9
Förkortad säkerhetsskyddsmarkering R-UE/EU-R
Förkortningen R-UE/EU-R får användas för att ange säkerhetsskyddsklassificeringsnivån för enskilda delar av en handling klassificerad RESTREINT UE/EU RESTRICTED eller där den fullständiga säkerhetsskyddsmarkeringen inte kan anbringas, till exempel på ett mindre, flyttbart lagringsmedium. Den får användas i brödtext där upprepad användning av fullständiga säkerhetsskyddsmarkeringar blir svårhanterlig. Förkortningen får inte användas i stället för den fullständiga säkerhetsskyddsmarkeringen i sidhuvudet och sidfoten i handlingen.
Artikel 10
Andra säkerhetsbeteckningar
1. Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får förses med andra markeringar eller med ”säkerhetsbeteckningar”, med uppgift om till exempel det område till vilket handlingen hör eller som anger en särskild spridning på grundval av principen om behovsenlig behörighet. Ett exempel:
KAN UTLÄMNAS TILL LIECHTENSTEIN |
2. Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får förses med en säkerhetsvarning med särskilda anvisningar om hur handlingarna ska hanteras och förvaltas.
3. Om det är möjligt ska alla uppgifter om hävande av säkerhetsskyddsklassificering anges på första sidan i handlingen vid den tidpunkt då den upprättas. Exempelvis kan följande märkning användas:
RESTREINT UE/EU RESTRICTED till [dd.mm.åååå] |
Artikel 11
Elektronisk behandling
1. Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska upprättas med hjälp av elektroniska medel om sådana finns tillgängliga.
2. Revisionsrättens personal ska använda ackrediterade kommunikations- och informationssystem för att upprätta EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED (se artikel 6 i beslut nr 41/2021). Personalen ska samråda med revisionsrättens informationssäkerhetsansvariga om det råder tvivel om vilket kommunikations- och informationssystem som får användas. I samråd med den informationssäkerhetsansvariga får specifika förfaranden tillämpas i nödsituationer eller i specifika tekniska konfigurationer.
3. Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, inklusive utkast, får i enlighet med kravet i artikel 5 inte sändas med vanlig öppen e-post, tryckas eller skannas på standardskrivare eller skannrar, eller hanteras på personliga enheter som tillhör personalen. Endast skrivare eller kopiatorer som är anslutna till fristående datorer eller till ett ackrediterat system ska användas för att skriva ut handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
Artikel 12
Spridning
Sändaren av handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska besluta till vem uppgifterna ska spridas, på grundval av behovsenlig behörighet. Om så krävs ska en distributionslista upprättas för att ytterligare stärka principen om behovsenlig behörighet.
KAPITEL 3
ARBETE MED BEFINTLIGA EU-UPPGIFTER PÅ SÄKERHETSSKYDDSKLASSIFICERINGSNIVÅN RESTREINT UE/EU RESTRICTED
Artikel 13
Upphovsmannens kontroll
1. Upphovsmannen ska ha ”upphovsmannens kontroll” över EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som han eller hon har upprättat. Upphovsmannens skriftliga förhandsmedgivande ska inhämtas innan
a) |
uppgifters säkerhetsskyddsklassificering kan hävas, |
b) |
uppgifter används för andra ändamål än dem som fastställts av upphovsmannen, |
c) |
uppgifter lämnas ut till ett tredjeland eller en internationell organisation, |
d) |
uppgifter röjs för en part utanför revisionsrätten men inom EU, |
e) |
uppgifter lämnas ut till en entreprenör eller presumtiv entreprenör i ett tredjeland. |
2. Innehavare av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED har fått tillgång till de säkerhetsskyddsklassificerade uppgifterna för att kunna utföra sina uppgifter. De ansvarar för att de hanteras, lagras och skyddas korrekt i enlighet med beslut nr 41/2021. Till skillnad från upphovsmän av säkerhetsskyddsklassificerade uppgifter ska innehavarna inte ha befogenhet att besluta om att uppgifter inte längre ska vara säkerhetsskyddsklassificerade eller om utlämnande av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till tredjeländer eller internationella organisationer.
3. Om upphovsmannen till en EU-uppgift på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte kan identifieras, ska den avdelning vid revisionsrätten som innehar dessa säkerhetsskyddsklassificerade uppgifter utöva upphovsmannens kontroll. Om uppgiftsinnehavaren anser att det är nödvändigt att lämna ut EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till ett tredjeland eller en internationell organisation, ska revisionsrätten rådgöra med en av parterna i ett informationssäkerhetsavtal med det aktuella tredjelandet eller den aktuella internationella organisationen.
Artikel 14
Lämpligt kommunikations- och informationssystem för hantering av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska hanteras och överföras med hjälp av elektroniska medel om sådana finns tillgängliga. I enlighet med artikel 6 i beslut nr 41/2021 ska endast kommunikations- och informationssystem som har ackrediterats av en annan EU-institution, en annan EU-byrå eller ett annat EU-organ eller av revisionsrätten användas.
Artikel 15
Särskilda åtgärder avseende EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som lagrats på flyttbara lagringsmedier
1. Användningen av flyttbara lagringsmedier ska hållas kontrollerad och redovisas. Endast flyttbara lagringsmedier som tillhandahålls av revisionsrätten eller av en annan EU-institution, en annan EU-byrå eller ett annat EU-organ och godkänns av revisionsrättens informationssäkerhetsansvariga och krypteras med en produkt som godkänts av revisionsrättens informationssäkerhetsansvariga ska användas. Personliga flyttbara lagringsmedier och sådana som delas ut fritt vid konferenser, seminarier osv. får inte användas för överföring av säkerhetsskyddsklassificerade uppgifter. Om möjligt bör Tempest-säkra flyttbara lagringsmedier användas, i enlighet med riktlinjerna från revisionsrättens informationssäkerhetsansvariga.
2. Om en säkerhetsskyddsklassificerad handling hanteras eller lagras elektroniskt på flyttbara lagringsmedier, såsom usb-minnen, usb-hårddiskar, cd-skivor, dvd-skivor eller minneskort (inbegripet SSD (4)), ska säkerhetsskyddsmarkeringen vara väl synlig på de uppgifter som visas, liksom i filnamnet och på det flyttbara lagringsmediet.
3. Personalen ska ha i åtanke att det kan krävas en högre säkerhetsskyddsklassificeringsnivå när stora mängder säkerhetsskyddsklassificerade uppgifter lagras på flyttbara lagringsmedier.
4. Endast kommunikations- och informationssystem som vederbörligen ackrediterats ska användas för att överföra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till eller från flyttbara lagringsmedier.
5. Vid nedladdning av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som finns på flyttbara lagringsmedier ska särskild omsorg ägnas åt att se till att medierna inte innehåller virus eller sabotageprogram innan överföringen av uppgifter sker.
6. Flyttbara lagringsmedier ska i förekommande fall hanteras i enlighet med de säkra driftsmetoder som gäller för det krypteringssystem som används.
7. Handlingar på flyttbara lagringsmedier som antingen inte längre behövs eller som har överförts till ett lämpligt kommunikations- och informationssystem ska avlägsnas eller raderas säkert med hjälp av godkända produkter eller metoder. Om de flyttbara lagringsmedierna inte förvaras i lämpliga låsta kontorsmöbler ska de förstöras när de inte längre behövs. All förstöring eller radering ska ske med en metod som överensstämmer med revisionsrättens säkerhetsbestämmelser. En inventarieförteckning ska upprättas över de flyttbara medierna, och förstöringen av dem ska registreras.
Artikel 16
Hantering och lagring av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. I enlighet med artiklarna 5.8 och 6.9 i beslut nr 41/2021 får EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED hanteras i ett administrativt utrymme (5), eller i ett säkrat utrymme vid kommissionen (6) som revisionsrätten har ingått ett servicenivåavtal om att få använda, enligt följande:
— |
Personalen ska stänga dörren när den hanterar EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED. |
— |
Personalen ska stuva undan eller täcka alla EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU om de tar emot en besökare. |
— |
Personalen får inte lämna EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED synliga när kontoret är obemannat. |
— |
Skärmar som visar EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska vara permanent bortvända från fönster och dörrar för att förhindra att de kan ses. |
2. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får hanteras utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren har åtagit sig att följa kompensationsåtgärder för att skydda dem från att obehöriga personer får tillgång till dem. Kompensationsåtgärderna ska minst omfatta följande:
— |
EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får inte läsas på offentliga platser. |
— |
Säkerhetsskyddsklassificerade EU-uppgifter ska alltid förvaras under innehavarens personliga kontroll. |
— |
Handlingarna ska förvaras i lämpliga låsta möbler när de inte läses eller diskuteras. |
— |
Dörrarna till lokalen ska vara stängda när handlingen läses eller diskuteras. |
— |
Detaljerna i handlingen får inte diskuteras via telefon på en icke-säkrad linje eller i ett okrypterat e-postmeddelande. |
— |
Handlingen får kopieras eller skannas endast med hjälp av fristående eller ackrediterad utrustning. |
— |
Handlingen får hanteras och tillfälligt hållas utanför ett administrativt eller säkrat utrymme endast under den minsta tid som krävs. |
— |
Innehavaren får inte kasta bort den säkerhetsskyddsklassificerade handlingen, utan ska återlämna den för lagring i ett administrativt eller säkrat utrymme, eller se till att den förstörs i en godkänd dokumentförstörare (7). |
3. Pappersutskrifter av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska förvaras i låsta kontorsmöbler i ett administrativt utrymme eller i ett säkrat utrymme. De får tillfälligt lagras utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren har åtagit sig att följa kompensationsåtgärderna.
4. Ytterligare rådgivning kan begäras från revisionsrättens informationssäkerhetsansvariga.
5. Alla misstänkta eller faktiska säkerhetsincidenter som inbegriper handlingen ska rapporteras till den informationssäkerhetsansvariga så snart som möjligt.
Artikel 17
Kopiering och översättning av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får kopieras eller översättas på uppdrag av innehavaren, förutsatt att upphovsmannen inte har angett några begränsningar. Det får dock inte göras fler kopior än vad som är absolut nödvändigt.
2. Om endast en del av en säkerhetsskyddsklassificerad handling återges ska samma villkor gälla som för kopiering av den fullständiga handlingen. Utdrag ska också klassificeras på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, såvida inte upphovsmannen särskilt har markerat att de inte är säkerhetsskyddsklassificerade.
3. De säkerhetsåtgärder som är tillämpliga på de ursprungliga uppgifterna ska också tillämpas på kopior och översättningar av dessa.
Artikel 18
Allmänna principer för befordran av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. När så är möjligt ska EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som behöver tas utanför säkrade eller administrativa utrymmen skickas på elektronisk väg med hjälp av vederbörligen ackrediterade medel och/eller skyddas med godkända kryptoprodukter.
2. Beroende på de tillgängliga medlen eller de särskilda omständigheterna får EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED befordras fysiskt genom personligt överlämnande i form av pappersdokument eller på flyttbara lagringsmedier. För att överföra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska användning av flyttbara lagringsmedier ges företräde framför att skicka pappersdokument.
3. Endast flyttbara lagringsmedier som krypteras med en produkt som godkänts av revisionsrättens informationssäkerhetsansvariga får användas. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED på flyttbara lagringsmedier som inte skyddas av en kryptoprodukt som har godkänts av revisionsrättens informationssäkerhetsansvariga ska hanteras på samma sätt som pappersutskrifter.
4. En försändelse får innehålla mer än en EU-uppgift på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, förutsatt att principen om behovsenlig behörighet följs.
5. De förpackningar som används ska förhindra att innehållet går att se. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska befordras i ogenomskinliga förpackningar, till exempel ett kuvert, en ogenomskinlig mapp eller en portfölj. Förpackningens utsida ska inte vara försedd med någon uppgift om innehållets karaktär eller dess säkerhetsskyddsklassificeringsnivå. Om en inre förpackning används ska den markeras RESTREINT UE/EU RESTRICTED. På båda förpackningarna anges den avsedda mottagarens namn, tjänstetitel och adress samt en returadress om leveransen inte kan utföras.
6. Alla säkerhetsincidenter som inbegriper EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som befordras av personal eller kurirer ska rapporteras för efterföljande undersökning till direktören för personalfrågor, ekonomi och allmänna tjänster, via revisionsrättens informationssäkerhetsansvariga.
Artikel 19
Personligt överlämnande av flyttbara lagringsmedier
1. Flyttbara lagringsmedier som används för att befordra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska åtföljas av en fraktsedel med uppgifter om de flyttbara lagringsmedier som innehåller de säkerhetsskyddsklassificerade uppgifterna samt alla filer som finns på dem, så att mottagaren kan göra nödvändiga kontroller.
2. Endast de handlingar som ska tillhandahållas ska lagras på medierna. Exempelvis måste alla säkerhetsskyddsklassificerade uppgifter på ett enskilt usb-minne vara avsedda för en och samma mottagare. Avsändaren ska ha i åtanke att det kan krävas en högre säkerhetsskyddsklassificeringsnivå för enheten som helhet när stora mängder säkerhetsskyddsklassificerade uppgifter lagras på sådana enheter.
3. Endast flyttbara lagringsmedier med vederbörlig säkerhetsskyddsmarkering ska användas för att befordra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
Artikel 20
Befordran av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inom revisionsrättens byggnader
1. Personal får befordra EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inom revisionsrättens byggnader eller mellan unionens institutioner, byråer och organ, men handlingarna får inte lämnas utan uppsikt av den person som befordrar dem eller läsas offentligt.
2. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får skickas med intern post till andra kontor inom revisionsrätten i ett enda ogenomskinligt kuvert, utan några markeringar på utsidan som kan tyda på att innehållet är säkerhetsskyddsklassificerat.
Artikel 21
Befordran av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inom unionen
1. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får befordras av personal eller revisionsrättens eller en annan EU-institutions, en annan EU-byrås eller ett annat EU-organs kurirer vart som helst inom unionen, förutsatt att de följer följande anvisningar:
a) |
För befordran av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska ogenomskinliga kuvert eller förpackningar användas. Utsidan ska inte vara försedd med någon uppgift om innehållets karaktär eller dess säkerhetskyddsklassificeringsnivå. |
b) |
EU-uppgifterna på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får inte lämnas utan uppsikt av den person som befordrar dem. |
c) |
Kuvertet eller paketet får inte öppnas under befordran och uppgifterna får inte läsas på offentliga platser. |
2. Personal som önskar sända EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till andra platser inom unionen får sörja för att uppgifterna befordras på ett av följande sätt:
— |
Med nationell post som spårar försändelsen eller vissa kommersiella kurirtjänster som garanterar personlig befordran, förutsatt att de uppfyller kraven i artikel 23 i detta beslut. |
— |
Med militär-, regerings- eller diplomatkurir, i samarbete med registratorskontorets personal. |
Artikel 22
Befordran av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED från eller till ett tredjelands territorium
1. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får befordras av personal mellan unionens territorium och ett tredje lands territorium genom personligt överlämnande.
2. Registratorskontorets personal får sörja för befordran på något av följande sätt:
— |
Befordran med post som spårar försändelsen eller kommersiella kurirtjänster som garanterar personligt överlämnande. |
— |
Befordran med militär- eller diplomatkurir. |
3. Personal som befordrar antingen pappersdokument eller flyttbara lagringsmedier på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED genom personligt överlämnande, ska uppfylla samtliga följande ytterligare åtgärder:
— |
När de reser med kollektivtrafik ska de säkerhetsskyddsklassificerade uppgifterna vara placerade i en portfölj eller väska över vilken de har personlig uppsikt. De får inte befordras som lastrumsbagage. |
— |
EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska befordras i dubbla förpackningar. Den inre förpackningen ska vara försedd med en officiell försegling som visar att det rör sig om en officiell försändelse som inte ska genomgå säkerhetskontroll. |
— |
Den person som befordrar försändelsen ska medföra ett kuririntyg, utfärdat av registratorskontoret, som intygar att han eller hon har tillstånd att befordra försändelsen med säkerhetsskyddsklassificeringen RESTREINT UE/EU RESTRICTED. |
Artikel 23
Befordran med kommersiella kurirer
1. I detta beslut avses med kommersiella kurirer nationella posttjänster och kommersiella kurirföretag som tillhandahåller en tjänst med hjälp av vilken uppgifter levereras mot en avgift, antingen med personligt överlämnande eller med spårning.
2. Kommersiella kurirer får använda sig av en underleverantörs tjänster. Ansvaret för att följa detta beslut ska dock kvarstå hos kurirföretaget.
3. Om den avsedda mottagaren befinner sig utanför EU ska dubbla förpackningar användas. När säkerhetsskyddsklassificerade försändelser förbereds ska avsändaren ha i åtanke att kommersiella kurirtjänster endast får leverera försändelser på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till den avsedda mottagaren eller en bemyndigad ersättare, kontrolltjänstemannen för registreringsenheten eller dennes vederbörligen bemyndigade ersättare, eller till en receptionist. För att minska risken för att försändelsen inte når den avsedda mottagaren, ska försändelsens yttre och, i förekommande fall, inre förpackning vara försedd med en returadress.
4. Kommersiella kurirtjänster som inbegriper elektronisk överföring av handlingar vid rekommenderade leveranser får inte användas för EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
Artikel 24
Andra särskilda hanteringsvillkor
1. Alla villkor för befordran som anges i ett informationssäkerhetsavtal eller i administrativa överenskommelser ska uppfyllas. I tveksamma fall ska personalen samråda med den informationssäkerhetsansvariga eller med registratorskontoret.
2. Kravet på dubbla förpackningar får frångås för säkerhetsskyddsklassificerade uppgifter som skyddas med godkända kryptoprodukter. För adresseringen, och även eftersom det flyttbara lagringsmediet har försetts med en uttrycklig säkerhetsskyddsmarkering, ska mediet dock transporteras i minst ett vanligt kuvert, men det kan krävas ytterligare fysiska skyddsåtgärder, till exempel kuvert av bubbelplast.
KAPITEL 4
SÄKERHETSSKYDDSKLASSIFICERADE MÖTEN
Artikel 25
Förbereda ett möte på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. Möten där EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska diskuteras får endast hållas i en möteslokal som har godkänts på vederbörlig eller högre säkerhetsskyddsklassificeringsnivå. Om sådana inte är tillgängliga ska personalen rådgöra med revisionsrättens informationssäkerhetsansvariga.
2. Som regel bör dagordningarna inte säkerhetsskyddsklassificeras. Om en dagordning för ett möte innehåller uppgifter om säkerhetsskyddsklassificerade handlingar, ska själva dagordningen inte automatiskt säkerhetsskyddsklassificeras. Punkterna på dagordningen ska formuleras på ett sådant sätt att skyddet av unionen eller en eller flera medlemsstaters intressen inte äventyras.
3. Om elektroniska filer med EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska bifogas dagordningen, är det obligatoriskt att skydda dem med kryptoprodukter som har godkänts av revisionsrättens informationssäkerhetsansvariga.
4. Mötesarrangörerna ska påminna deltagarna om att alla synpunkter som lämnas in rörande en punkt på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte får skickas med vanliga öppna mejl eller på något annat sätt som inte har ackrediterats på vederbörligt sätt i enlighet med artikel 11 i detta beslut.
5. Mötesarrangörerna ska sträva efter att gruppera punkter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED efter varandra på dagordningen för att mötet ska fungera smidigt. Endast personer med behovsenlig behörighet får närvara vid diskussioner om säkerhetsskyddsklassificerade punkter.
6. I inbjudan ska deltagarna förvarnas om att säkerhetsskyddsklassificerade ämnen kommer att tas upp vid mötet och att motsvarande säkerhetsåtgärder kommer att tillämpas.
7. I inbjudan eller på själva dagordningen ska deltagarna påminnas om att bärbara elektroniska enheter ska stängas av under diskussionerna om punkter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
8. Mötesarrangörerna ska före mötet utarbeta en fullständig förteckning över externa deltagare.
Artikel 26
Elektronisk utrustning i en möteslokal där EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED behandlas
1. Endast ackrediterade it-system i enlighet med artikel 11 i detta beslut får användas om säkerhetsskyddsklassificerade EU-uppgifter förmedlas, till exempel för att ge en presentation där EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED visas eller för videokonferenser.
2. Ordföranden ska se till att otillåtna bärbara elektroniska enheter har stängts av.
Artikel 27
Förfaranden som ska följas vid ett möte där EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED behandlas
1. När diskussionen rörande säkerhetsskyddsklassificerade uppgifter inleds ska ordföranden tillkännage att mötet övergår till att behandla säkerhetsskyddsklassificerade uppgifter. Dörrar och persienner ska vara stängda.
2. Endast det nödvändiga antalet handlingar ska ges till deltagare och, i förekommande fall, tolkar, vid början av diskussionen.
Handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får inte lämnas utan uppsikt under avbrott i mötet.
3. Vid mötets slut ska deltagarna och tolkarna påminnas om att inte lämna några säkerhetsskyddsklassificerade handlingar eller säkerhetsskyddsklassificerade anteckningar som de kan ha gjort obevakade i lokalen. Säkerhetsskyddsklassificerade handlingar eller anteckningar som deltagarna inte tagit med sig vid mötets slut ska samlas in av mötesarrangörerna och förstöras i vederbörliga dokumentförstörare.
4. En deltagarförteckning och en sammanfattning av alla säkerhetsskyddsklassificerade uppgifter som delats med medlemsstaterna och muntligen lämnats ut till tredjeländer eller internationella organisationer ska sammanställas under mötet och registreras i ett sammandrag av diskussionen.
Artikel 28
Tolkar och översättare
Endast tolkar och översättare som omfattas av tjänsteföreskrifterna eller anställningsvillkoren för övriga anställda i Europeiska unionen eller som har ett avtalsförhållande med revisionsrätten ska ha tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
KAPITEL 5
DELA OCH UTBYTA EU-UPPGIFTER PÅ SÄKERHETSSKYDDSKLASSIFICERINGSNIVÅN RESTREINT UE/EU RESTRICTED
Artikel 29
Upphovsmannens medgivande
Om det inte är revisionsrätten som är upphovsman till de säkerhetsskyddsklassificerade uppgifter som är föremål för en begäran om utlämning eller delning, eller eventuellt källmaterial de kan innehålla, ska den avdelning vid revisionsrätten som innehar de säkerhetsskyddsklassificerade uppgifterna först söka upphovsmannens skriftliga medgivande till att lämna ut uppgifterna. Om upphovsmannen till en uppgift inte kan identifieras ska den avdelning vid revisionsrätten som innehar dessa säkerhetsskyddsklassificerade uppgifter utöva upphovsmannens kontroll.
Artikel 30
Dela EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med andra unionsenheter
1. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får endast utbytas med en annan av unionens institutioner, byråer, organ eller kontor om mottagaren har behovsenlig behörighet och enheten har en motsvarande juridisk överenskommelse med revisionsrätten.
2. Inom revisionsrätten ska det registratorskontor som inrättats vid revisionsrättens sekretariat som regel fungera som huvudsaklig kontaktpunkt för in- och utpassering när det gäller revisionsrättens utbyte av säkerhetsskyddsklassificerade EU-uppgifter med andra av unionens institutioner, byråer, organ och kontor. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får dock delas direkt med de avsedda mottagarna efter det att revisionsrättens informationssäkerhetsansvariga och registratorskontoret har informerats.
Artikel 31
Utbyta EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med medlemsstater
1. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får delas med medlemsstaterna om mottagaren har behovsenlig behörighet.
2. Säkerhetsskyddsklassificerade uppgifter från medlemsstater som har en motsvarande nationell säkerhetsskyddsmarkering (8) och som tillhandahållits revisionsrätten ska ha samma skyddsnivå som EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
Artikel 32
Utbyta EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med tredjeländer och internationella organisationer
1. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får endast lämnas ut till ett tredjeland eller en internationell organisation om mottagaren har behovsenlig behörighet och landet eller den internationella organisationen har upprättat en lämplig rättslig eller administrativ ram, till exempel ett informationssäkerhetsavtal eller en administrativ överenskommelse med revisionsrätten. Bestämmelserna i ett sådant avtal eller en sådan överenskommelse ska ha företräde framför bestämmelserna i detta beslut.
2. Registratorskontoret vid revisionsrättens sekretariat ska som regel fungera som huvudsaklig kontaktpunkt för in- och utpassering när det gäller utbyte av alla EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED mellan revisionsrätten och tredjeländer och internationella organisationer.
3. För att säkerställa spårbarhet ska EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED registreras av registratorskontoret
— |
när de kommer till eller lämnar en organisatorisk enhet, |
— |
när de kommer till eller lämnar ett kommunikations- och informationssystem. |
4. Registreringen får göras på papper eller i elektroniska loggböcker.
5. Registreringsförfaranden för säkerhetsskyddsklassificerade uppgifter som hanteras i ett ackrediterat kommunikations- och informationssystem kan utföras genom processer inom själva systemet. I så fall ska kommunikations- och informationssystemet omfatta åtgärder som garanterar loggregistrens integritet.
6. Säkerhetsskyddsklassificerade uppgifter som mottas från tredjeländer eller internationella organisationer ska ges en motsvarande skyddsnivå som säkerhetsskyddsklassificerade EU-uppgifter som har motsvarande säkerhetsskyddsmarkering enligt respektive informationssäkerhetsavtal eller administrativa arrangemang.
Artikel 33
Ad hoc-utlämning i undantagsfall av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. Om revisionsrätten eller någon av dess avdelningar fastställer att det finns ett exceptionellt behov av att lämna ut EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED till ett tredjeland, en internationell organisation eller en EU-enhet men det saknas ett informationssäkerhetsavtal eller en administrativ överenskommelse, ska förfarandet för ad hoc-utlämning i undantagsfall följas.
2. Revisionsrättens avdelningar ska kontakta revisionsrättens informationssäkerhetsansvariga och upphovsmannen. Revisionsrätten ska rådgöra med en av parterna i ett informationssäkerhetsavtal med det aktuella tredjelandet, den aktuella EU-enheten eller den aktuella internationella organisationen.
3. Efter denna rådfrågning får revisionsrättens kollegium, på grundval av ett förslag från generalsekreteraren, tillåta att de berörda uppgifterna lämnas ut.
KAPITEL 6
SLUTET PÅ LIVSCYKELN FÖR EU-UPPGIFTER PÅ SÄKERHETSSKYDDSKLASSIFICERINGSNIVÅN RESTREINT UE/EU RESTRICTED
Artikel 34
Beslut att uppgifter inte längre ska vara säkerhetsskyddsklassificerade
1. Uppgifter ska vara säkerhetsskyddsklassificerade endast så länge de kräver skydd. Beslut att uppgifter inte längre ska vara säkerhetsskyddsklassificerade innebär att de inte längre ska betraktas som säkerhetsskyddsklassificerade över huvud taget. I samband med upprättandet av säkerhetsskyddsklassificerade EU-uppgifter ska upphovsmannen om möjligt ange huruvida beslut att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade kan meddelas vid en viss tidpunkt eller efter en särskild händelse. I annat fall ska upphovsmannen regelbundet se över EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED för att avgöra om klassificeringen fortfarande är lämplig.
2. Säkerhetsskyddsklassificerade uppgifter på nivån RESTREINT UE/EU RESTRICTED som har sitt ursprung i revisionsrätten ska förlora sin säkerhetsskyddsklassificering efter 30 år, i enlighet med förordning (EEG, Euratom) nr 354/83 (9), ändrad genom rådets förordning (EG, Euratom) nr 1700/2003 (10) och rådets förordning (EU) 2015/496 (11).
3. Även för revisionsrättens handlingar kan beslut fattas från fall till fall att de inte längre ska vara säkerhetsskyddsklassificerade, till exempel efter en begäran om tillgång till en handling från allmänheten.
Artikel 35
Ansvar för beslut att uppgifter inte längre ska vara säkerhetsskyddsklassificerade
1. Beslut att EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED inte längre ska vara säkerhetsskyddsklassificerade får inte fattas utan medgivande från upphovsmannen.
2. Den avdelning vid revisionsrätten som upprättar en säkerhetsskyddsklassificerad handling ska ansvara för att besluta huruvida den inte längre ska vara säkerhetsskyddsklassificerad. Inom revisionsrätten ska en begäran om beslut om att en handling inte längre ska vara säkerhetsskyddsklassificerad föregås av samråd med förstachefen eller direktören för den avdelning där den har sitt ursprung. Om avdelningen har sammanställt säkerhetsskyddsklassificerade uppgifter från olika källor ska den först inhämta samtycke från alla andra parter som tillhandahållit källmaterial, inbegripet i medlemsstaterna, andra EU-organ, tredjeländer eller internationella organisationer.
3. Om den avdelning inom revisionsrätten där handlingen har sitt ursprung inte längre finns och dess ansvar har tagits över av en annan avdelning, ska beslutet att uppgifter inte längre ska vara säkerhetsskyddsklassificerade fattas av denna avdelning. Om den avdelning där handlingen har sitt ursprung inte längre finns och dess ansvar inte har tagits över av någon annan avdelning, ska beslutet att uppgifter inte längre ska vara säkerhetsskyddsklassificerade fattas gemensamt av revisionsrättens direktörer.
Artikel 36
Känsliga uppgifter som inte är säkerhetsskyddsklassificerade
När en översyn av en handling leder till ett beslut att den inte längre ska vara säkerhetsskyddsklassificerad ska hänsyn tas till huruvida handlingen ska förses med en distributionsbeteckning för känsliga icke-säkerhetsskyddsklassificerade uppgifter i den mening som avses i punkt 16 i revisionsrättens policy för informationsklassificering och punkt 4 i riktlinjerna för klassificering och hantering av icke-säkerhetsskyddsklassificerade EU-uppgifter (12).
Artikel 37
Angivande av att en handling inte längre är säkerhetsskyddsklassificerad
1. Den ursprungliga säkerhetsskyddsmarkeringen högst upp och längst ned på varje sida ska tydligt strykas över (inte tas bort) med hjälp av funktionen ”genomstrykning” för elektroniska format, eller manuellt för utskrifter.
2. Första sidan (försättsbladet) ska förses med en markering att handlingen inte längre är säkerhetsskyddsklassificerad, kompletterad med uppgifter om den myndighet som ansvarar för beslutet om detta och datum.
3. De ursprungliga mottagarna av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska underrättas om att uppgifterna inte längre är säkerhetsskyddsklassificerade. De ursprungliga mottagarna ska ansvara för att underrätta eventuella efterföljande mottagare till vilka de har översänt eller för vilka de har kopierat de ursprungliga EU-uppgifterna på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
4. Revisionsrättens arkivtjänst ska underrättas om alla beslut om att EU-uppgifter eller handlingar inte längre ska vara säkerhetsskyddsklassificerade.
5. Alla översättningar av säkerhetsskyddsklassificerade uppgifter ska omfattas av samma förfaranden för att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade som den ursprungliga språkversionen.
Artikel 38
Partiellt borttagande av säkerhetsskyddsklassificeringen för EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. Det är också möjligt att besluta om partiellt borttagande av säkerhetsskyddsklassificeringen (t.ex. bilagor, endast vissa punkter). Förfarandet ska vara identiskt med förfarandet för att en handling i sin helhet inte längre ska vara säkerhetsskyddsklassificerad.
2. När ett beslut har fattats om partiellt borttagande av säkerhetsskyddsklassificeringen för EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska ett utdrag ur den handling om vilket beslut fattats om partiellt borttagande av säkerhetsskyddsklassificeringen upprättas.
3. De delar som förblir säkerhetsskyddsklassificerade ska ersättas med följande:
PART NOT TO BE DECLASSIFIED |
antingen i själva brödtexten, om den del som förblir säkerhetsskyddsklassificerad är en del av en punkt, eller som en punkt, om den del som förblir klassificerad är en särskild punkt eller mer än en punkt.
4. Ett särskilt omnämnande ska göras i texten om säkerhetsskyddsklassificeringen för en hel bilaga inte kan tas bort och denna därför inte ingår i utdraget.
Artikel 39
Rutinmässig förstöring och radering av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED
1. Revisionsrätten ska inte ansamla stora mängder säkerhetsskyddsklassificerade uppgifter.
2. De avdelningar där uppgifterna har sitt ursprung ska med korta intervall rutinmässigt se över mindre mängder för förstöring eller radering. En översyn ska göras med jämna mellanrum både för uppgifter som lagras i pappersform och för uppgifter som lagras i kommunikations- och informationssystem.
3. Personalen ska förstöra eller på ett säkert sätt radera handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som inte längre behövs, med förbehåll för eventuella krav på arkivering av originaldokumentet.
4. Personalen behöver inte informera upphovsmannen om de förstör eller raderar kopior av handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
5. Utkast till material som innehåller säkerhetsskyddsklassificerade uppgifter ska omfattas av samma metoder för bortskaffande som slutliga säkerhetsskyddsklassificerade handlingar.
6. Endast godkända dokumentförstörare ska användas för att förstöra handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED. Dokumentförstörare i säkerhetsklass 4 enligt standarden DIN 32757 och säkerhetsklass 5 enligt standarden DIN 66399 är lämpliga för att förstöra handlingar på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.
7. Avfallet från godkända dokumentförstörare får bortskaffas som vanligt kontorsavfall.
8. Alla medier och enheter som innehåller EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska saneras på vederbörligt sätt när de når slutet på sin livscykel. De elektroniska uppgifterna ska förstöras eller raderas från it-resurser och tillhörande lagringsmedier (inklusive säkerhetskopior) på ett sätt som ger rimliga garantier för att uppgifterna inte kan återvinnas. Genom saneringen avlägsnas data från lagringsenheten liksom alla markeringar och aktivitetsloggar.
9. Lagringsmedier för datorer ska ges till den informationssäkerhetsansvariga för förstöring och bortskaffande.
Artikel 40
Evakuering och förstöring av EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i en nödsituation
1. Direktören för personal, ekonomi och allmänna tjänster ska tillsammans med den informationssäkerhetsansvariga utarbeta, godkänna och vid behov aktivera planer för evakuering och förstöring i nödsituationer för att skydda EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som löper stor risk att falla i händerna på obehöriga vid en kris. I prioritetsordning och beroende på nödsituationens karaktär ska följande åtgärder beaktas:
1) |
Flytta säkerhetsskyddsklassificerade EU-uppgifter till en alternativ säker plats, om möjligt ett administrativt utrymme eller registratorskontoret i revisionsrättens lokaler. |
2) |
Evakuera säkerhetsskyddsklassificerade EU-uppgifter till en alternativ säker plats, om möjligt ett administrativt eller säkrat utrymme i en annan byggnad, om möjligt det säkrade utrymmet vid kommissionen, som revisionsrätten har ingått ett servicenivåavtal om att få använda. |
3) |
Förstöra säkerhetsskyddsklassificerade EU-uppgifter, om möjligt med användning av godkända metoder för förstöring. |
2. När planerna har aktiverats ska prioritet ges åt att flytta eller förstöra uppgifter på högre säkerhetsskyddsklassificeringsnivåer.
3. De operativa detaljerna i planerna för evakuering och förstöring i nödsituationer ska vara säkerhetsskyddsklassificerade på nivån RESTREINT UE/EU RESTRICTED.
Artikel 41
Arkivering
1. Beslut om huruvida och när arkivering ska ske, och vilka motsvarande praktiska åtgärder som ska vidtas, ska fattas i enlighet med revisionsrättens informationssäkerhetspolicy, policy för informationsklassificering och arkiveringspolicy.
2. EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska inte skickas till Europeiska unionens historiska arkiv i Florens.
KAPITEL 7
SLUTBESTÄMMELSER
Artikel 42
Öppenhet
Revisionsrättens tjänstemän och övriga personer som berörs ska informeras om detta beslut, som ska offentliggöras i Europeiska unionens officiella tidning.
Artikel 43
Ikraftträdande
När förvaltningskommittén har antagit detta beslut träder det i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Utfärdat i Luxemburg den 1 mars 2023.
På revisionsrättens förvaltningskommittés vägnar
Tony MURPHY
Ordförande
(1) EUT L 256, 19.7.2021, s. 106.
(2) Finns på https://www.eca.europa.eu/sv/Pages/LegalFramework.aspx.
(3) Enligt artikel 1.2 i beslut nr 41/2021 avses med uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ”uppgifter och materiel vars obehöriga röjande skulle kunna medföra endast ringa men för Europeiska unionens eller en eller flera medlemsstaters intressen”.
(4) Solid-state drive, lagringsminne som enbart består av halvledarminne, vanligtvis flashminne.
(5) Enligt definitionen i bilagan till beslut nr 41/2021.
(6) Enligt definitionen i artikel 18 i kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 72, 17.3.2015, s. 53).
(7) Se artikel 39 nedan för närmare information.
(8) En jämförelsetabell över medlemsstaternas säkerhetsskyddsmarkeringar återfinns i bilaga I till beslut (EU, Euratom) 2015/444.
(9) Rådets förordning (EEG, Euratom) nr 354/83 av den 1 februari 1983 om öppnandet för allmänheten av Europeiska ekonomiska gemenskapens och Europeiska atomenergigemenskapens historiska arkiv (EGT L 43, 15.2.1983, s. 1).
(10) Rådets förordning (EG, Euratom) nr 1700/2003 av den 22 september 2003 om ändring av förordning (EEG, Euratom) nr 354/83 om öppnandet för allmänheten av Europeiska ekonomiska gemenskapens och Europeiska atomenergigemenskapens historiska arkiv historiska arkiv (EUT L 243, 27.9.2003, s. 1).
(11) Rådets förordning (EU) 2015/496 av den 17 mars 2015 om ändring av förordning (EEG, Euratom) nr 354/83 i fråga om deponering av institutionernas historiska arkiv vid Europeiska universitetsinstitutet i Florens (EUT L 79, 25.3.2015, s. 1).
(12) Personalmeddelande 123/20, som finns på https://www.eca.europa.eu/Documents/Information_Classification_Policy_EN.pdf
BILAGA
Personalkategorier som vid behov kan få tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED för att utföra sina arbetsuppgifter
Kategorier av personal vid revisionsrätten |
Tillgång till EU-uppgifter på säkerhetsskyddsklassificeringsnivån R-UE/EU-R |
Villkor |
Tjänstemän |
Ja |
Information + bekräftelse + behovsenlig behörighet |
Tillfälligt anställda |
Ja |
Information + bekräftelse + behovsenlig behörighet |
Kontraktsanställda |
Ja |
Information + bekräftelse + behovsenlig behörighet |
Utstationerade nationella experter från EU:s medlemsstater |
Ja |
Information (av revisionsrätten) + bekräftelse + behovsenlig behörighet |
Praktikanter |
Nej |
Inga undantag möjliga |
Övriga personalkategorier (anställda via bemanningsföretag, extern personal som arbetar internt osv.) |
Nej |
Rådfråga revisionsrättens informationssäkerhetsansvariga rörande eventuella undantag |