32021Q0126(01)

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 32021Q0126(01) - EN

Document 32021Q0126(01)

Help

Beslut av ledningskommittén för Genomförandeorganet för små och medelstora företag om interna regler angående begränsningar av vissa rättigheter som registrerade har med avseende på behandling av personuppgifter inom ramen för verksamhet som bedrivs av organet

OJ L 26, 26.1.2021, p. 116–124 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/proc_rules/2021/126/oj

HTML

PDF

Official Journal

26.1.2021

Europeiska unionens officiella tidning

L 26/116

BESLUT AV LEDNINGSKOMMITTÉN FÖR GENOMFÖRANDEORGANET FÖR SMÅ OCH MEDELSTORA FÖRETAG

om interna regler angående begränsningar av vissa rättigheter som registrerade har med avseende på behandling av personuppgifter inom ramen för verksamhet som bedrivs av organet

LEDNINGSKOMMITTÉN HAR ANTAGIT DETTA BESLUT,

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249.1, och

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1) (nedan kallad förordningen), särskilt artikel 25, och

med beaktande av kommissionens genomförandebeslut 2013/771/EU av den 17 december 2013 om inrättande av genomförandeorganet för små och medelstora företag och om upphävande av besluten 2004/20/EG och 2007/372/EG (2),

efter att ha hört Europeiska datatillsynsmannen,

av följande skäl:

(1)

Genomförandeorganet för små och medelstora företag (Easme) (nedan kallat organet) inrättades genom genomförandebeslut 2013/771/EU i syfte att utföra uppgifter som hänger samman med genomförandet av unionsprogram inom energi, miljö, klimatåtgärder, konkurrenskraft och små och medelstora företag, forskning och innovation och IKT (3).

(2)

Inom ramen för sin administrativa och operativa verksamhet får organet utföra administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkor för övriga anställda i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (nedan kallade tjänsteföreskrifterna) (4) och i enlighet med genomförandebestämmelser för utförandet av administrativa utredningar och disciplinära förfaranden. Om så behövs får organet utföra förberedande åtgärder i samband med fall av potentiella bedrägerier och oegentligheter liksom anmäla ärenden till Olaf.

(3)

Organets personal är skyldig att rapportera potentiellt olaglig verksamhet, inklusive bedrägeri och korruption, som kan skada unionens intressen. Personalen är även skyldig att rapportera uppträdande i tjänsten som kan innebära ett allvarligt avsteg från skyldigheterna för unionens tjänstemän. Detta regleras genom interna regler eller intern policy för visselblåsning.

(4)

Organet har antagit en policy för att förebygga och hantera faktiska eller eventuella fall av mobbning och sexuella trakasserier på arbetsplatsen. Denna åtgärd föreskrivs i tjänsteföreskrifterna, som fastställer ett informellt förfarande där den som påstår sig ha utsatts för trakasserierna kan kontakta organets konfidentiella rådgivare.

(5)	Organet kan även utföra interna utredningar av (it-)säkerhet och av potentiella överträdelser av säkerhetsbestämmelser för säkerhetsskyddsklassificerade EU-uppgifter.

(6)	Organets verksamhet är föremål för både interna och externa revisioner, inräknat revisioner som utförs av tjänsten för internrevision vid Europeiska kommissionen och Europeiska revisionsrätten.

(7)	Organet får hantera begäranden från Europeiska åklagarmyndigheten (Eppo), begäranden om tillgång till de anställdas patientjournaler, samt genomföra utredningar tillsammans med dataskyddsombudet i enlighet med artikel 45.2 i förordningen.

(8)	I samband med sådana administrativa utredningar, revisioner, undersökningar eller begäranden samarbetar organet med unionens övriga institutioner, organ och byråer.

(9)	Organet får samarbeta med nationella myndigheter i tredjeländer och internationella organisationer, på deras begäran eller på eget initiativ.

(10)	Organet får även samarbeta med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ.

(11)	Organet kan bli föremål för klagomål, förfaranden eller undersökningar genom visselblåsare eller Europeiska ombudsmannen.

(12)

Organet kan ingripa i mål vid Europeiska unionens domstol när organet antingen hänskjuter en fråga till domstolen, försvarar ett beslut det har fattat och som har överklagats till domstolen eller intervenerar i ärenden som är relevanta för dess arbetsuppgifter. I samband med detta kan organet behöva säkerställa konfidentialiteten för personuppgifter som finns i handlingar från parterna eller intervenienterna.

(13)

I sin verksamhet behandlar organet flera olika kategorier av personuppgifter, däribland identifikationsuppgifter för fysiska personer, kontaktinformation, yrkesroller och yrkesuppgifter, information om privat och yrkesmässig etik och prestation samt finansiella uppgifter, samt känsliga data (t.ex. hälsodata) i vissa specifika fall. I personuppgifter ingår ”hårddata” och ”mjuka data”.

”Hårddata” är objektiva faktauppgifter såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, metadata från elektronisk kommunikation och trafikuppgifter.

”Mjukdata” är subjektiva uppgifter och omfattar i synnerhet beskrivning och bedömning av situationer och omständigheter, yttranden, iakttagelser i samband med de registrerade, utvärdering av de registrerades uppförande och prestation samt motiveringar till enskilda beslut i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller den verksamhet som utförs av organet i enlighet med den tillämpliga rättsliga ramen.

Bedömningar, iakttagelser och yttranden betraktas som personuppgifter i den mening som avses i artikel 3.1 i förordningen.

(14)	Enligt förordningen ska organet därför förse de registrerade med information om denna behandling och respektera deras rättigheter som registrerade.

(15)

Organet har åtagit sig att i största möjliga mån respektera de registrerades grundläggande rättigheter, särskilt rätten att få ta del av information, rätten att få tillgång till och kunna rätta, radera och begränsa behandlingen av uppgifter, rätten att bli underrättad om personuppgiftsincidenser och till konfidentiell behandling av korrespondens i enlighet med förordningen. Organet kan dock även behöva begränsa den registrerades rättigheter och skyldigheter i syfte att skydda sin verksamhet och andras grundläggande rättigheter och friheter.

(16)

Artikel 25.1 och 25.5 i förordningen ger därför organet möjlighet att under vissa villkor begränsa tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i förordningen i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20 och basera dessa på interna regler som ska antas på högsta ledningsnivå i organet och offentliggöras i Europeiska unionens officiella tidning, om begränsningarna inte baseras på rättsakter som antas på grundval av fördragen.

(17)

Begränsningar kan gälla olika registranters rättigheter, däribland tillhandahållande av information till registranter, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, information till den registrerade om en personuppgiftsincidens eller konfidentiell behandling av kommunikation i enlighet med förordningen.

(18)	Organet kan behöva förena dessa rättigheter med syftena med administrativa utredningar, revisioner, undersökningar och domstolsförfaranden. Organet kan även behöva ställa de registrerades rättigheter mot andra registrerades grundläggande rättigheter och friheter.

(19)

Organet kan exempelvis behöva begränsa sitt tillhandahållande av information om behandling av personuppgifter till en registrerad vid den preliminära bedömningsfasen i en administrativ utredning eller under själva utredningen, före en eventuell avvisning av ärendet eller i ett skede som föregår ett disciplinärt förfarande. Under vissa omständigheter kan ett tillhandahållande av sådan information få betydande negativ inverkan på organets förmåga att genomföra utredningen på ett effektivt sätt, t.ex. när det finns en risk att den berörda personen kan förstöra bevisning eller påverka eventuella vittnen innan de kan förhöras. Organet kan också behöva skydda rättigheterna och friheterna för såväl vittnen som andra berörda personer.

(20)

Organet kan behöva garantera sekretesskyddet för ett vittne eller en visselblåsare som har bett om att inte bli identifierad. I ett sådant fall kan organet besluta att begränsa åtkomsten vad gäller identitet, uttalanden och andra personuppgifter från sådana personer eller den misstänkte för att skydda deras rättigheter och friheter.

(21)

Organet kan behöva skydda konfidentiella uppgifter om en anställd som har kontaktat organets konfidentiella rådgivare inom ramen för ett förfarande beträffande trakasserier. I sådana fall kan organet besluta att begränsa åtkomsten vad gäller identitet, uttalanden och andra personuppgifter från det påstådda offret, den påstådda gärningsmannen och andra involverade personer för att skydda alla berörda personers rättigheter och friheter.

(22)

I samband med urvals- och rekryteringsförfaranden, personalutvärdering och offentlig upphandling kan rätten till tillgång, rättelse, radering och begränsning bara utövas vid särskilda tidpunkter och enligt de villkor som fastställts för de relevanta förfarandena, i syfte att skydda andra registrerades rättigheter och respektera principerna om likabehandling och konfidentiella överläggningar.

(23)

Organet kan även begränsa enskilda personers tillgång till hälsouppgifter av t.ex. psykologisk eller psykiatrisk natur på grund den känslighet som dessa uppgifter kan ha, och kommissionens läkartjänst kanske bara vill ge de registrerade indirekt tillgång genom deras egen läkare. De registrerade kan utöva rätten till rättelse av bedömningar eller yttranden från kommissionens läkartjänst genom att lämna in sina synpunkter eller en rapport från en valfri läkare.

(24)	Organet, som företräds av sin direktör, fungerar som personuppgiftsansvarig, oavsett om ansvaret har delegerats inom myndigheten utifrån ansvarsfördelning för olika operativa arbetsuppgifter som inbegriper personuppgiftsbehandling till behöriga ”delegerade personuppgiftsansvariga”.

(25)

Personuppgifterna lagras på ett säkert sätt i en elektronisk miljö, i enlighet med kommissionens beslut (EU, Euratom) 2017/46 (5), eller på papper, vilket förhindrar olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. De personuppgifter som behandlas behålls inte längre än vad som är nödvändigt och lämpligt för det syfte som uppgifterna behandlas för under en tidsperiod som anges i organets dataskyddsmeddelanden eller register.

(26)

Organet bör endast tillämpa begränsningar om de respekterar andemeningen i de grundläggande rättigheterna och friheterna, är absolut nödvändiga och är en proportionell åtgärd i ett demokratiskt samhälle. Organet ska motivera skälen för dessa begränsningar och informera de registrerade om dessa grunder och om deras rätt att lämna in ett klagomål till Europeiska datatillsynsmannen såsom fastställts i artikel 25.6 i förordningen.

(27)	Med tillämpning av principen om ansvarsskyldighet ska organet registrera tillämpningen av begränsningar.

(28)

När organet behandlar personuppgifter som utbyts med andra organisationer i samband med dess arbetsuppgifter, ska organet samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte kan äventyra organets verksamhet.

(29)

Dessa interna regler ska därför gälla all personuppgiftsbehandling som organet utför, inräknat personuppgifter vid utförandet av administrativa utredningar, disciplinära förfaranden, förberedande åtgärder i samband med fall av potentiella oegentligheter som rapporteras till Olaf, undersökningar av Europeiska åklagarmyndigheten (Eppo), visselblåsningsförfaranden, (formella och informella) förfaranden för fall av trakasserier, behandling av interna och externa klagomål, begäranden om tillgång till eller rättelse av egna patientjournaler, undersökningar som utförs av dataskyddsombudet i enlighet med artikel 45.2 i förordningen, utredningar om (it-)säkerhet som sköts internt eller med extern hjälp (t.ex. CERT-EU), revisioner, rättsliga förfaranden vid Europeiska unionens domstol eller nationella offentliga myndigheter, urval och rekrytering, personalutvärdering och offentlig upphandling, enligt ovan.

(30)

Dessa interna regler ska gälla personuppgiftsbehandling som utförs innan ovanstående förfaranden inleds, under dessa förfaranden och under uppföljningen av resultaten från dessa förfaranden. Även stöd och samarbete som organet bistår andra EU-institutioner, nationella myndigheter och internationella organisationer med vid sidan av sina administrativa utredningar omfattas.

(31)

Enligt artikel 25.8 i förordningen får organet skjuta upp, utelämna eller neka tillhandahållande av information till den registrerade om skälen till begränsningen om detta på något sätt skulle upphäva verkan av begränsningen. Organet ska i varje enskilt fall bedöma om meddelandet av begränsningen skulle upphäva dess verkan.

(32)	Organet ska upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma dessa med jämna mellanrum.

(33)	För att garantera maximalt skydd för de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordningen, ska dataskyddsombudet rådfrågas i tid innan någon begränsning kan tillämpas eller ses över samt kontrollera efterlevnaden av detta beslut.

(34)	I artiklarna 16.5 och 17.4 i förordningen föreskrivs undantag för registrerades rätt till information och rätt till tillgång. Om dessa undantag är tillämpliga behöver organet inte tillämpa en begränsning enligt detta beslut.

HÄRIGENOM FÖRESKRIVS FÖLJANDE:

Artikel 1

Syfte och tillämpningsområde

1. Detta beslut innehåller regler om de villkor som måste vara uppfyllda för att Genomförandeorganet för små och medelstora företag (Easme) och någon av dess rättsliga efterträdare (organet) får begränsa tillämpningen av artiklarna 4, 14–22, 35 och 36, enligt artikel 25 i förordningen.

2. Organet, som personuppgiftsansvarig, företräds av organets direktör, som kan delegera funktionen som personuppgiftsansvarig vidare.

Artikel 2

Tillämpliga begränsningar

1. Organet får begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4 i förordningen i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20.

2. Detta beslut är tillämpligt på organets behandling av personuppgifter inom ramen för dess administrativa och operativa verksamhet:

i enlighet med artikel 25.1 b, c, f, g och h i förordningen, vid genomförande av interna undersökningar, även baserade på externa klagomål, administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden eller avstängningsförfaranden enligt artikel 86 och bilaga IX i tjänsteföreskrifterna och dess genomförandebestämmelser, utredningar om säkerhet eller Olaf-undersökningar,

b)	i enlighet med artikel 25.1 h i förordningen, vid säkerställande av att organets personal får rapportera uppgifter konfidentiellt när de anser att det föreligger betydande oegentligheter, såsom föreskrivs i interna regler eller politik för visselblåsning,

c)	i enlighet med artikel 25.1 h i förordningen, vid säkerställande av att organets personal kan rapportera till konfidentiella rådgivare inom ramen för ett förfarande beträffande trakasserier, såsom fastställs i interna regler,

d)	i enlighet med artikel 25.1 c, g och h i förordningen, vid genomförande av interna eller externa revisioner med avseende på organets funktionstillstånd,

i enlighet med artikel 25.1 d och h i förordningen, vid säkerställande av säkerhetsanalyser, däribland cybersäkerhet och it-systemintrång, som sköts internt eller med extern hjälp (t.ex. CERT-EU), säkerställande av den inre säkerheten genom videoövervakning, ändamål kopplade till åtkomstkontroll och utredningar, skydd av kommunikations- och informationssystem samt genomförande av motåtgärder avseende teknisk säkerhet,

f)	i enlighet med artikel 25.1 g och h i förordningen, när organets dataskyddsombud utreder frågor som har direkt samband med hans/hennes arbetsuppgifter,

g)	i enlighet med artikel 25.1 b, g och h i förordningen, i samband med undersökningar från Europeiska åklagarmyndigheten (Eppo),

h)	i enlighet med artikel 25.1 h i förordningen, när enskilda personer begär att få tillgång till eller rättelse av sina hälsouppgifter, också om de innehas av kommissionens läkartjänst,

i enlighet med artikel 25.1 c, d, g och h i förordningen, vid tillhandahållande eller mottagande av bistånd eller samarbete med unionens övriga institutioner, organ och byråer, i samband med de arbetsuppgifter som avses i leden a–h i denna punkt och i enlighet med relevanta servicenivåavtal, samarbetsavtal och samarbetsavtal i deras respektive lag om inrättande,

j)	i enlighet med artikel 25.1 c, g och h i förordningen, vid tillhandahållande eller mottagande av bistånd samt samarbete med tredjeländers nationella myndigheter och internationella organisationer, på deras begäran eller på eget initiativ,

k)	i enlighet med artikel 25.1 c, g och h i förordningen, vid tillhandahållande eller mottagande av bistånd samt samarbete med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ,

l)	i enlighet med artikel 25.1 e i förordningen, vid behandling av personuppgifter som finns i handlingar från parter eller intervenienter i samband med ett förfarande vid Europeiska unionens domstol.

I enlighet med detta beslut ska det i ovanstående aktiviteter ingå förberedande och uppföljande åtgärder som är direkt relaterade till en sådan aktivitet.

3. Organet får även tillämpa begränsningar i varje enskilt fall av registrerades rättigheter som det hänvisas till i detta beslut, under följande förhållanden:

Om kommissionens avdelningar eller unionens övriga institutioner, organ och byråer har rätt att begränsa utövandet av de angivna rättigheterna och syftet med en sådan begränsning från kommissionens avdelning, unionens institution, organ eller byrå skulle äventyras ifall organet inte tillämpar en likvärdig begränsning med avseende på sådana personuppgifter.

b)	Om de behöriga myndigheterna i medlemsstaterna har rätt att begränsa utövandet av de angivna rättigheterna och syftet med en sådan begränsning från den behöriga myndigheten i medlemsstaten skulle äventyras ifall organet inte tillämpar en likvärdig begränsning med avseende på sådana personuppgifter.

Om utövandet av dessa rättigheter och skyldigheter skulle äventyra organets samarbete med tredjeländer eller internationella organisationer i utförandet av dess arbetsuppgifter, såvida inte de registrerades intressen eller grundläggande rättigheter och friheter väger tyngre än detta behov att samarbeta.

Innan organet tillämpar begränsningar enligt denna punkt ska organet samråda med de relevanta avdelningarna vid kommissionen, unionens övriga institutioner, organ, byråer, internationella organisationer eller de behöriga myndigheterna i medlemsstaterna, såvida det inte är uppenbart att begränsningen föreskrivs genom någon av de rättsakter som det hänvisas till ovan eller ett sådant samråd skulle äventyra organets verksamhet.

4. Kategorierna av behandlade personuppgifter som är relaterade till aktiviteterna ovan kan innehålla ”hårda” faktauppgifter och ”mjuka” bedömningsuppgifter.

5. Eventuella begränsningar ska respektera andemeningen i de grundläggande rättigheterna och friheterna och vara nödvändiga och proportionella i ett demokratiskt samhälle.

Artikel 3

Registrering och dokumentering av begränsningar

1. Den personuppgiftsansvariga ska föra ett register över begränsningen med beskrivning av

a)	skälen för alla begränsningar som tillämpas enligt detta beslut,

b)	vilka av grunderna i artikel 2 som gäller,

c)	hur utövandet av rättigheten skulle utgöra en risk för den registrerade eller äventyra syftet med organets arbetsuppgifter eller negativt inverka på andra registrerades grundläggande rättigheter och friheter,

d)	resultat av bedömningen av behovet och proportionaliteten av begränsningen, med hänsyn tagen till de relevanta delarna i artikel 25.2 i förordningen.

2. En bedömning av behovet och proportionaliteten av en begränsning ska göras i varje enskilt fall innan begränsningar börjar tillämpas. Den personuppgiftsansvariga ska beakta de potentiella riskerna för den registrerades grundläggande rättigheter och friheter. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.

3. Registreringen av begränsningen och, i tillämpliga fall de handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska dokumenteras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

Artikel 4

Risker för de registrerades rättigheter och friheter

1. Bedömningar av riskerna med begränsningar för de registrerades rättigheter och friheter samt uppgifter om begränsningarnas tillämpningstid ska anges i det register över behandling som förs av den personuppgiftsansvariga baserat på artikel 31 i förordningen. De ska i förekommande fall även anges i alla konsekvensbedömningar avseende uppgiftsskydd för dessa begränsningar som utförs enligt artikel 39 i förordningen.

2. När den personuppgiftsansvarige överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter särskilt vägas mot risken för andra registrerades rättigheter och friheter samt mot risken för en negativ påverkan på utredningar och förfaranden, till exempel genom att bevis förstörs. Riskerna för de registrerades rättigheter och friheter rör i första hand anseenderisker och risker för rätten att försvara och yttra sig.

Artikel 5

Skyddsåtgärder och lagringsperioder

1. Organet ska anta skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller kan vara föremål för begränsningar. Sådana skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska om så behövs specificeras i organets interna beslut, förfaranden och genomförandebestämmelser. Dessa skyddsåtgärder ska omfatta följande:

a)	En lämplig definition av roller, ansvar och olika steg i förfarandet.

b)	I tillämpliga fall, en säker elektronisk miljö som förhindrar olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer.

c)	I tillämpliga fall, en säker lagring och behandling av handlingar i pappersform.

d)	Säkerställande av att alla personer som har tillgång till personuppgifterna uppfyller konfidentialitetsskyldigheterna.

2. Lagringsperioden för personuppgifter som är föremål för en begränsning ska fastställas i det tillhörande registret i enlighet med artikel 31 i förordningen, med beaktande av syftet med behandlingen, och ska omfatta den nödvändiga tidsramen för administrativ och rättslig översyn. I slutet av lagringsperioden ska personuppgifterna raderas, anonymiseras eller överföras till arkiv i enlighet med artikel 13 i förordningen.

Artikel 6

Begränsningarnas varaktighet

1. Begränsningar som avses i artikel 2 ska fortsätta att tillämpas så länge skälen som motiverar dem föreligger.

2. Om skälen till en begränsning inte längre föreligger ska den personuppgiftsansvarige häva begränsningen ifall utövandet av den begränsade rättigheten inte längre skulle påverka det relevanta tillämpliga förfarandet negativt eller påverka andra registrerades rättigheter och friheter negativt.

3. Om den registrerade ånyo begärt åtkomst till personuppgifterna i fråga ska den personuppgiftsansvarige förse den registrerade med de huvudsakliga skälen till begränsningen. Samtidigt ska myndigheten informera den registrerade om möjligheten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

4. Organet ska var sjätte månad se över tillämpningen av de begränsningar som avses i artikel 2.

Artikel 7

Dataskyddsombudets deltagande

1. Den personuppgiftsansvarige vid organet ska utan onödigt dröjsmål informera organets dataskyddsombud innan något beslut fattas om att begränsa registrerades rättigheter i enlighet med detta beslut eller att förlänga tillämpningen av begränsningen. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till de tillhörande registren och alla handlingar som rör faktiska och rättsliga delar.

2. Dataskyddsombudet kan begära att den personuppgiftsansvarige ska se över tillämpningen av en begränsning. Den personuppgiftsansvarige ska skriftligen informera dataskyddsombudet om resultatet från den begärda översynen.

3. Den personuppgiftsansvarige ska dokumentera dataskyddsombudets deltagande i tillämpningen av begränsningen, däribland vilken information som utbyts. Handlingarna inom ramen för denna artikel ska ingå i den registrering som avser begränsningen och på begäran göras tillgänglig för Europeiska datatillsynsmannen.

Artikel 8

Information till den registrerade om begränsning av dennes rättigheter

1. Den personuppgiftsansvarige ska i sina dataskyddsmeddelanden och register, i enlighet med artikel 31 i förordningen, som offentliggjorts på dess webbplats och på intranätet, infoga allmän information om de potentiella begränsningarna av de registrerades rättigheter i enlighet med artikel 2.2 i detta beslut. Informationen ska omfatta vilka rättigheter och skyldigheter som kan komma att begränsas, grunderna för att tillämpa begränsningar samt deras potentiella varaktighet.

2. Den personuppgiftsansvarige ska skriftligen och utan onödigt dröjsmål informera de registrerade individuellt om nuvarande eller framtida begränsningar av deras rättigheter. Den personuppgiftsansvarige ska informera den registrerade om de huvudsakliga skälen till begränsningen, om hans eller hennes rätt att rådfråga dataskyddsombudet i syfte att överklaga begränsningen och om hans eller hennes rätt att lämna in ett klagomål till Europeiska datatillsynsmannen.

3. Den personuppgiftsansvarige får skjuta upp, utelämna eller neka tillhandahållandet av information om skälen till en begränsning och rätten att lämna in ett klagomål till Europeiska datatillsynsmannen så länge som det skulle upphäva verkan av begränsningen. Bedömningen av detta motiv ska göras i varje enskilt fall och den personuppgiftsansvarige ska tillhandahålla informationen till den registrerade, så länge som detta inte längre upphäver verkan av begränsningen.

Artikel 9

Den registrerades rätt till tillgång

1. I skäligen motiverade fall och enligt de villkor som fastställs i detta beslut kan rätten till tillgång i enlighet med artikel 17 i förordningen begränsas av den personuppgiftsansvarige där så är nödvändigt och proportionellt vad gäller verksamheten enligt detta beslut.

2. Om den registrerade begär tillgång till sina personuppgifter som hanterats inom ramen för en specifik behandling som avses i artikel 2.2 i detta beslut, ska organet begränsa sitt svar till de personuppgifter som behandlats för denna verksamhet.

3. De registrerades rätt till direkt tillgång till handlingar av psykologisk eller psykiatrisk natur kan begränsas. Varken den indirekta tillgången eller rätten till rättelse och meddelande om en personuppgiftsincidens ska vara begränsad med dessa interna regler. På begäran av den berörda personen ska därför en förmedlande läkare beviljas tillgång till all relaterad information samt befogenhet att besluta om hur och vilken tillgång som ska ges den registrerade.

4. Om den personuppgiftsansvarige helt eller delvis begränsar rätten till tillgång till personuppgifter, som avses i artikel 17 i förordningen, ska denna skriftligen informera den berörda registrerade i sitt svar på begäran om tillgång, om den tillämpade begränsningen och om de huvudsakliga skälen till detta samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

5. Informationen om begränsningen av tillgång kan skjutas upp, utelämnas eller nekas om tillhandahållandet skulle upphäva begränsningens verkan i enlighet med artikel 25.8 i förordningen.

6. En begränsning enligt denna artikel ska tillämpas i enlighet med detta beslut.

Artikel 10

Rätt till rättelse, radering och begränsning av behandlingen

1. I skäligen motiverade fall och enligt de villkor som fastställs i detta beslut får rätten till till rättelse, radering och begränsning av behandlingen enligt artikel 18, 19.1 och 20.1 i förordningen begränsas av den personuppgiftsansvariga där så är nödvändigt och proportionellt vad gäller verksamheten enligt artikel 2.2 i detta beslut.

2. Vad gäller hälsouppgifter får de registrerade utöva rätten till rättelse av bedömningar eller yttranden från kommissionens läkartjänst genom att lämna in sina synpunkter eller en rapport från en valfri läkare, direkt till kommissionens läkartjänst.

3. En begränsning enligt denna artikel ska tillämpas i enlighet med detta beslut.

Artikel 11

Information till den registrerade om en personuppgiftsincident

1. Om den personuppgiftsansvarige är skyldig att informera om en personuppgiftsincident enligt artikel 35.1 i förordningen får han eller hon under exceptionella omständigheter begränsa sådan information helt eller delvis. Han eller hon ska i en not ange skälen till begränsningen, den rättsliga grunden för den enligt artikel 2 och en bedömning av begränsningens nödvändighet och proportionalitet. Noten ska överlämnas till Europeiska datatillsynsmannen vid tidpunkten för anmälan av personuppgiftsincidenten.

2. När skälen till begränsningen inte längre är tillämpliga ska organet meddela den registrerade i fråga om personuppgiftsincidensen och informera honom eller henne om de huvudsakliga skälen till begränsningen och om rätten att ge in ett klagomål till Europeiska datatillsynsmannen.

Artikel 12

Konfidentialitet för elektronisk kommunikation

1. Under exceptionella omständigheter får organet begränsa rätten till konfidentialitet för elektronisk kommunikation enligt artikel 36 i förordningen. Sådana begränsningar ska vara förenliga med Europaparlamentets och rådets direktiv 2002/58/EG.

2. Oavsett artikel 8.3 gäller att om organet begränsar rätten till konfidentialitet för elektronisk kommunikation ska det i sitt svar på begäran informera den registrerade i fråga om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

Artikel 13

Ikraftträdande

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 9 november 2020.

För Easmes ledningskommitté,

(e-signatur)

Kristin SCHREIBER

Ordförande

(1) EUT L 295, 21.11. 2018, s. 39.

(2) Kommissionens genomförandebeslut 2013/771/EU av den 17 december 2013 om inrättande av genomförandeorganet för små och medelstora företag och om upphävande av besluten 2004/20/EG och 2007/372/EG samt Easmes årsredovisning (EUT L 341, 18.12.2013, s. 73), i dess ändrade lydelse enligt Easmes årsredovisning av den 2 oktober 2014.

(3) Kommissionens beslut C(2013) 9414 av den 23 december 2013 om delegering av befogenheter till genomförandeorganet för små och medelstora företag för att det ska utföra uppgifter som hänger samman med genomförandet av unionsprogrammen inom områdena energi, miljö, klimatåtgärder, konkurrenskraft och små och medelstora företag, forskning och innovation och IKT, vilket särskilt innefattar användning av anslag som tagits upp i unionens allmänna budget, senast ändrat genom kommissionens beslut C(2019) 3353 av den 30 april 2019 med bilagor.

(4) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).

(5) Kommissionens beslut (EU, Euratom) 2017/46 av den 10 januari 2017 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem (EUT L 6, 11.1.2017, s. 40).

Top