This document is an excerpt from the EUR-Lex website
Document 32020Q0902(01)
College Decision 2020-04 of 15 July 2020 on internal rules concerning restrictions of certain data subject rights in relation to the processing of personal data in the framework of activities carried out by Eurojust
Kollegiets beslut 2020–04 av den 15 juli 2020 om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Eurojust
Kollegiets beslut 2020–04 av den 15 juli 2020 om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Eurojust
EUT L 287, 2.9.2020, p. 1–6
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2.9.2020 |
SV |
Europeiska unionens officiella tidning |
L 287/1 |
KOLLEGIETS BESLUT 2020–04
av den 15 juli 2020
om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Eurojust
EUROJUSTS KOLLEGIUM HAR ANTAGIT DETTA BESLUT
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1) (nedan kallad förordningen), särskilt artikel 25,
med beaktande av Europeiska datatillsynsmannens yttrande av den 25 juni 2020, och
av följande skäl:
|
(1) |
Eurojust är bemyndigad att utföra administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkor för övriga anställda i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (nedan kallade tjänsteföreskrifterna) (2), och i enlighet med Eurojusts beslut av den 23 september 2013 om allmänna genomförandebestämmelser för utförandet av administrativa utredningar och disciplinära förfaranden. Vid behov anmäler Eurojust också ärenden till Olaf, i enlighet med kollegiets beslut 2020–03 av den 15 juli 2020 om villkor och närmare bestämmelser för interna utredningar vid Eurojust för att bekämpa bedrägerier, korruption och all annan olaglig verksamhet som kan skada unionens intressen. |
|
(2) |
Eurojusts personal är skyldig att rapportera potentiellt olaglig verksamhet, inklusive bedrägeri och korruption, som kan skada unionens intressen. Personalen är även skyldig att rapportera uppträdande i tjänsten som kan innebära ett allvarligt avsteg från skyldigheterna för unionens tjänstemän. Detta regleras genom kollegiets beslut 2019–02 av den 29 januari 2019 om Eurojusts riktlinjer för visselblåsning. |
|
(3) |
Europol har antagit en policy för att förebygga och hantera faktiska eller eventuella fall av mobbning och sexuella trakasserier på arbetsplatsen, såsom föreskrivs i dess beslut av den 31 januari 2012 om policyn om skydd av enskildas värdighet och förebyggande av mobbning och sexuella trakasserier. I beslutet fastställs ett informellt förfarande där den som påstår sig ha utsatts för trakasserierna kan kontakta Eurojusts konfidentiella rådgivare. |
|
(4) |
Eurojust kan även utreda potentiella överträdelser av säkerhetsbestämmelser för säkerhetsskyddsklassificerade EU-uppgifter, på grundval av kollegiets beslut 2016–4 av den 22 mars 2016 om antagande av de reviderade säkerhetsbestämmelserna för Eurojust, ändrat genom kollegiets beslut 2016–24 av den 13 december 2016. |
|
(5) |
Eurojusts verksamhet är föremål för både interna och externa revisioner. |
|
(6) |
I samband med sådana administrativa utredningar, revisioner och undersökningar samarbetar Eurojust med andra av unionens institutioner, organ och byråer. |
|
(7) |
Eurojust kan samarbeta med nationella myndigheter i tredjeländer och internationella organisationer, på deras begäran eller på eget initiativ. |
|
(8) |
Eurojust kan även samarbeta med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ. |
|
(9) |
Eurojust ingriper i mål vid Europeiska unionens domstol när Eurojust antingen hänskjuter en fråga till domstolen, försvarar ett beslut som det har fattat och som har överklagats till domstolen eller intervenerar i ärenden som är relevanta för dess arbetsuppgifter. I samband med detta kan Eurojust behöva säkerställa konfidentialiteten för personuppgifter som finns i handlingar från parterna eller intervenienterna. |
|
(10) |
För att utföra sina arbetsuppgifter samlar Eurojust in och behandlar information och flera kategorier av personuppgifter, bland annat fysiska personers identifieringsuppgifter (t.ex. förnamn, efternamn och födelsedatum), kontaktuppgifter (t.ex. hemadress, telefonnummer och e-postadress), yrkesroller och yrkesuppgifter, information om privat och yrkesmässig etik och prestation (uppgifter om beteende som ska vara relevanta och begränsade till enbart ändamålet för pågående administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden, avstängningsförfaranden, förberedande åtgärder avseende fall av eventuella oegentligheter som har rapporterats till Olaf, handläggning av visselblåsarärenden och liknande förfaranden) och finansiella uppgifter. Eurojust fungerar som personuppgiftsansvarig. |
|
(11) |
Enligt förordningen ska Eurojust därför ge registrerade information om denna behandling och respektera deras rättigheter som registrerade. |
|
(12) |
Eurojust kan behöva förena dessa rättigheter med syftena med administrativa utredningar, revisioner, undersökningar och domstolsförfaranden. Eurojust kan även behöva ställa de registrerades rättigheter mot andra registrerades grundläggande rättigheter och friheter. I detta syfte föreskrivs i artikel 25 i förordning (EU) 2018/1725 en möjlighet för Eurojust att, under stränga villkor, begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4 i förordningen, i den mån som bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20. Om begränsningar inte föreskrivs i en rättsakt som har antagits på grundval av fördragen är det nödvändigt att anta interna bestämmelser enligt vilka Eurojust får begränsa dessa rättigheter. |
|
(13) |
Eurojust kan exempelvis behöva begränsa sitt tillhandahållande av information om behandling av personuppgifter till en registrerad vid den preliminära bedömningsfasen i en administrativ utredning eller under själva utredningen, före en eventuell avvisning av ärendet eller i ett skede som föregår ett disciplinärt förfarande. Under vissa omständigheter kan ett tillhandahållande av sådan information allvarligt påverka Eurojusts förmåga att genomföra utredningen på ett effektivt sätt, till exempel när det finns en risk att den berörda personen förstör bevisning eller påverkar eventuella vittnen innan de kan höras. Eurojust kan också behöva skydda rättigheterna och friheterna för såväl vittnen som andra berörda personer. |
|
(14) |
Det kan vara nödvändigt att garantera anonymiteten för ett vittne eller en uppgiftslämnare som har bett om att inte bli identifierad. I ett sådant fall kan Eurojust besluta att begränsa åtkomsten vad gäller identiteten, uttalanden och andra personuppgifter från sådana personer för att skydda deras rättigheter och friheter. |
|
(15) |
Det kan vara nödvändigt att skydda konfidentiella uppgifter om en anställd som har kontaktat Eurojusts konfidentiella rådgivare inom ramen för ett förfarande beträffande trakasserier. I sådana fall kan Eurojust behöva begränsa åtkomsten vad gäller identiteten, uttalanden och andra personuppgifter från det påstådda offret, den påstådda gärningsmannen och andra berörda personer för att skydda rättigheterna och friheterna för alla parter. |
|
(16) |
Eurojust bör endast tillämpa begränsningar om de respekterar andemeningen i de grundläggande rättigheterna och friheterna och utgör en absolut nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Eurojust ska motivera skälen för dessa begränsningar. |
|
(17) |
Med tillämpning av principen om ansvarsskyldighet är Eurojust skyldig att registrera tillämpningen av begränsningar. |
|
(18) |
När Eurojust behandlar personuppgifter som utbyts med andra organisationer i samband med dess arbetsuppgifter, ska byrån samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte skulle äventyra Eurojusts verksamhet. |
|
(19) |
Enligt artikel 25.6 i förordningen ska den personuppgiftsansvarige informera de registrerade om de huvudsakliga skälen till begränsningen och om deras rätt att ge in ett klagomål till Europeiska datatillsynsmannen. |
|
(20) |
Enligt artikel 25.8 i förordningen får Eurojust skjuta upp, utelämna eller neka tillhandahållande av information till den registrerade om skälen till begränsningen, om det på något sätt skulle upphäva verkan av begränsningen. Eurojust ska i varje enskilt fall bedöma huruvida meddelandet av begränsningen skulle upphäva dess verkan. |
|
(21) |
Eurojust ska upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma detta med jämna mellanrum. |
|
(22) |
För att garantera maximalt skydd för de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordningen, ska dataskyddsombudet rådfrågas i tid om tillämpningen av eventuella begränsningar och kontrollera efterlevnaden av detta beslut. |
|
(23) |
I artiklarna 16.5 och 17.4 i förordningen föreskrivs undantag för registrerades rätt till information och rätt till tillgång. Om dessa undantag är tillämpliga behöver Eurojust inte tillämpa en begränsning enligt detta beslut. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte och tillämpningsområde
1. I detta beslut fastställs bestämmelser om de villkor på vilka Eurojust får begränsa tillämpningen av artiklarna 4, 14–22, 35 och 36, i enlighet med artikel 25 i förordningen.
2. Enligt villkoren som beskrivs i detta beslut kan begränsningarna gälla följande rättigheter: de registrerades rätt att få ta del av information, rätten till tillgång, rättelse eller radering av personuppgifter, rätten till begränsning av behandlingen, rätten att bli underrättad om personuppgiftsincidenter och rätten till konfidentiell behandling av elektronisk kommunikation.
3. Detta beslut är tillämpligt på Eurojusts behandling av personuppgifter för följande ändamål: administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden, avstängningsförfaranden, förberedande åtgärder vid fall av eventuella oegentligheter som rapporterats till Olaf, handläggning av visselblåsarärenden, (formella och informella) förfaranden för att hantera trakasserier, handläggning av interna och externa klagomål, internrevisioner, utredningar som dataskyddsombudet genomför i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt utredningar om (it-)säkerhet som hanteras internt eller med extern hjälp (till exempel av CERT-EU).
4. De kategorier av personuppgifter som omfattas av detta beslut inbegriper uppgifter om identitet, kontakter, beteende och ekonomi.
5. Eurojust företräds, i dess funktion som personuppgiftsansvarig, av sin administrativa direktör.
Artikel 2
Begränsningar
1. Eurojust får begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4, i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20, när byrån
|
a) |
i enlighet med artikel 25.1 b, c, f, g och h i förordningen utför administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden eller avstängningsförfaranden enligt tjänsteföreskrifternas artikel 86 och bilaga IX och enligt Eurojusts beslut av den 23 september 2013 om allmänna genomförandebestämmelser för utförandet av administrativa utredningar och disciplinära förfaranden, samt när den anmäler ärenden till Olaf, |
|
b) |
i enlighet med artikel 25.1 h i förordningen säkerställer att Eurojusts personal konfidentiellt får rapportera uppgifter när de anser att det föreligger betydande oegentligheter, såsom föreskrivs i kollegiets beslut 2019–02 av den 29 januari 2019 om Eurojusts riktlinjer för visselblåsning, |
|
c) |
i enlighet med artikel 25.1 h i förordningen säkerställer att Eurojusts personal kan rapportera till konfidentiella rådgivare inom ramen för ett förfarande beträffande trakasserier, såsom fastställs i dess beslut av den 31 januari 2012 om policyn om skydd av enskildas värdighet och förebyggande av mobbning och sexuella trakasserier, |
|
d) |
i enlighet med artikel 25.1 c, g och h i förordningen genomför internrevisioner med avseende på Eurojusts åtgärder eller avdelningar, |
|
e) |
i enlighet med artikel 25.1 c, d, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med andra av unionens institutioner, organ och byråer, i samband med de arbetsuppgifter som avses i leden a–d i denna punkt och i enlighet med relevanta servicenivåavtal, samarbetsavtal och samarbetsavtal, |
|
f) |
i enlighet med artikel 25.1 c, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med tredjeländers nationella myndigheter och internationella organisationer, på deras begäran eller på eget initiativ, |
|
g) |
i enlighet med artikel 25.1 c, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ, |
|
h) |
i enlighet med artikel 25.1 e i förordningen behandlar personuppgifter som finns i handlingar från parter eller intervenienter i samband med ett förfarande vid Europeiska unionens domstol, |
|
i) |
i enlighet med artikel 25.1 i i förordningen behandlar personuppgifter som är nödvändiga för att verkställa civilrättsliga krav. |
2. Eventuella begränsningar ska respektera andemeningen i de grundläggande rättigheterna och friheterna och vara nödvändiga och proportionella i ett demokratiskt samhälle.
3. En bedömning av behovet och proportionaliteten ska göras i varje enskilt fall innan begränsningar börjar tillämpas. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.
4. Eurojust ska i redovisningssyfte registrera skälen för de begränsningar som tillämpas, vilka av de grunder som anges i punkt 1 som är tillämpliga och resultatet av bedömningen av behovet och proportionaliteten. Dessa uppgifter ska utgöra del av ett register som på begäran ska göras tillgängligt för Europeiska datatillsynsmannen. Eurojust ska sammanställa regelbundna rapporter om tillämpningen av artikel 25 i förordningen.
5. När Eurojust behandlar personuppgifter som mottagits från andra organisationer i samband med dess arbetsuppgifter, ska byrån samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte skulle äventyra Eurojusts verksamhet.
Artikel 3
Risker för de registrerades rättigheter och friheter
1. Bedömningar av riskerna med begränsningar för de registrerades rättigheter och friheter samt uppgifter om tillämpningsperioden för begränsningarna ska anges i det register över behandling som förs av Eurojust enligt artikel 31 i förordningen. De ska även anges i de konsekvensbedömningar avseende uppgiftsskydd som görs för dessa begränsningar och som utförs enligt artikel 39 i förordningen.
2. Vid bedömning av en begränsnings nödvändighet och proportionalitet ska Eurojust alltid beakta de potentiella riskerna för den registrerades rättigheter och friheter. När Eurojust överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter vägas mot i synnerhet risken för andra registrerades rättigheter och friheter samt risken för att upphäva verkningarna av Eurojusts utredningar eller förfaranden, till exempel genom förstörande av bevismaterial. Riskerna för den registrerades rättigheter och friheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.
Artikel 4
Skyddsåtgärder och lagringsperioder
1. Eurojust ska genomföra skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller kan vara föremål för begränsningar. Dessa skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska, om så behövs, specificeras i Eurojusts interna beslut, förfaranden och genomförandebestämmelser. Skyddsåtgärderna ska omfatta följande:
|
a) |
En tydlig definition av funktioner, ansvar och olika steg i förfarandet. |
|
b) |
Alla elektroniska uppgifter ska lagras i en säker it-applikation som förebygger olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer, i enlighet med Eurojusts säkerhetsnormer, samt i särskilda digitala mappar som endast är åtkomliga för behörig personal. Lämpliga åtkomstnivåer ska beviljas individuellt. |
|
c) |
Pappersdokument ska förvaras i säkerhetsskåp som endast behörig personal har tillgång till. |
|
d) |
Vederbörlig kontroll av begränsningar och regelbunden översyn av tillämpningen av dem. |
|
e) |
Alla som har tillgång till uppgifterna är bundna av tystnadsplikt. |
De översyner som avses i led d ska genomföras åtminstone var sjätte månad.
2. Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller.
3. De personuppgifter som avses i artikel 1.4 får inte lagras längre än vad som är nödvändigt och lämpligt för det syfte som personuppgifterna behandlas för. Personuppgifterna ska lagras i enlighet med de lagringsbestämmelser som är tillämpliga för Eurojust, i enlighet med bilagan till arbetsordningen för behandling och skydd av personuppgifter vid Eurojust (3) samt artikel 18, såsom de definieras i de dataskyddsregister som förs enligt artikel 31 i förordningen. I slutet av lagringsperioden ska personuppgifterna raderas, anonymiseras eller överföras till arkiv i enlighet med artikel 13 i förordningen.
Artikel 5
Dataskyddsombudets roll
1. Eurojusts dataskyddsombud ska informeras utan onödigt dröjsmål när registrerades rättigheter begränsas i enlighet med detta beslut. Han eller hon ska få tillgång till de tillhörande registren och alla dokument som rör faktiska och rättsliga delar.
2. Eurojusts dataskyddsombud får begära en översyn av tillämpningen av en begränsning. Eurojust ska skriftligen informera sitt dataskyddsombud om resultatet av översynen.
3. Eurojust ska dokumentera dataskyddsombudets deltagande i tillämpningen av begränsningar, inklusive vilken information som delas med honom eller henne.
Artikel 6
Information till registrerade om begränsningar av deras rättigheter
1. Eurojust ska i meddelanden om uppgiftsskydd som offentliggörs på dess webbplats/intranät införa ett avsnitt med allmän information till de registrerade om att deras rättigheter kan komma att begränsas i enlighet med artikel 2.1. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen till detta och möjlig varaktighet.
2. Eurojust ska skriftligen och utan onödigt dröjsmål informera de registrerade individuellt om nuvarande eller framtida begränsningar av deras rättigheter. Eurojust ska informera de registrerade om de huvudsakliga skälen till begränsningen, om deras rätt att rådfråga dataskyddsombudet i syfte att överklaga begränsningen och om deras rätt att ge in ett klagomål till Europeiska datatillsynsmannen.
3. Eurojust får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till en begränsning och rätten att ge in ett klagomål till Europeiska datatillsynsmannen, så länge som det skulle upphäva verkan av begränsningen. En bedömning av huruvida detta är motiverat ska göras i varje enskilt fall. Eurojust ska tillhandahålla de registrerade denna information så snart detta inte längre skulle upphäva verkan av begränsningen.
Artikel 7
Information till den registrerade om en personuppgiftsincident
1. Om Eurojust är skyldig att informera om en personuppgiftsincident enligt artikel 35.1 i förordningen får byrån under exceptionella omständigheter begränsa sådan information helt eller delvis. Eurojust ska i en not ange skälen till begränsningen, den rättsliga grunden för den enligt artikel 2 och en bedömning av begränsningens nödvändighet och proportionalitet. Noten ska överlämnas till Europeiska datatillsynsmannen vid tidpunkten för anmälan av personuppgiftsincidenten.
2. När skälen till begränsningen inte längre är tillämpliga ska Eurojust meddela den registrerade i fråga om personuppgiftsincidenten och informera honom eller henne om de huvudsakliga skälen till begränsningen och om rätten att ge in ett klagomål till Europeiska datatillsynsmannen.
Artikel 8
Konfidentialitet för elektronisk kommunikation
1. Under exceptionella omständigheter får Eurojust begränsa rätten till konfidentialitet för elektronisk kommunikation enligt artikel 36 i förordningen. Sådana begränsningar ska vara förenliga med Europaparlamentets och rådets direktiv 2002/58/EG (4).
2. Om Eurojust begränsar rätten till konfidentialitet för elektronisk kommunikation ska Eurojust i sitt svar på begäran informera den berörda registrerade om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen.
3. Eurojust får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till en begränsning och rätten att ge in ett klagomål till Europeiska datatillsynsmannen, så länge som det skulle upphäva verkan av begränsningen. En bedömning av huruvida detta är motiverat ska göras i varje enskilt fall.
Artikel 9
Ikraftträdande
Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Utfärdat i Haag den 15 juli 2020.
På vägnar av Eurojusts kollegium,
Ladislav HAMRAN
Ordförande för Eurojust
(1) EUT L 295, 21.11.2018, s. 39.
(2) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).
(3) Arbetsordning för behandling och skydd av personuppgifter vid Eurojust (EUT L 50, 24.2.2020, s. 10).
(4) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).