|
17.3.2015 |
SV |
Europeiska unionens officiella tidning |
L 72/41 |
KOMMISSIONENS BESLUT (EU, Euratom) 2015/443
av den 13 mars 2015
om säkerhet inom kommissionen
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249,
med beaktande av fördraget om upprättandet av Europeiska atomenergigemenskapen,
med beaktande av protokoll nr 7 om Europeiska unionens immunitet och privilegier som är fogat till fördragen, särskilt artikel 18, och
av följande skäl:
|
(1) |
Syftet med säkerhetsarbetet inom kommissionen är att göra det möjligt för kommissionen att arbeta i en trygg och säker miljö genom att skapa en sammanhållen, integrerad strategi när det gäller dess säkerhet, tillhandahålla lämpliga skyddsnivåer för personer, tillgångar och information i proportion till de identifierade riskerna, och säkerställa att säkerheten fungerar effektivt när den väl behövs. |
|
(2) |
Kommissionen, liksom andra internationella organ, står inför stora hot och utmaningar på säkerhetsområdet, särskilt när det gäller terrorism, it-attacker och politiskt och affärsrelaterat spionage. |
|
(3) |
Europeiska kommissionen har ingått avtal om säkerhetsfrågor för sina viktigaste verksamhetsställen med Belgiens, Luxemburgs och Italiens regeringar (1). I dessa instrument bekräftas att kommissionen är ansvarig för sin egen säkerhet. |
|
(4) |
För att garantera säkerheten för personer, egendom och information kan kommissionen behöva vidta åtgärder på områden som omfattas av de grundläggande rättigheter som kommer till uttryck i stadgan om de grundläggande rättigheterna och i den europeiska konventionen om de mänskliga rättigheterna, och som erkänts av domstolen. |
|
(5) |
Varje sådan åtgärd bör därför vägas mot betydelsen av de intressen som den är avsedd att skydda, vara proportionell och säkerställa full respekt för grundläggande rättigheter, särskilt rätten till personlig integritet och skydd av personuppgifter. |
|
(6) |
Inom ett system som förpliktar sig att följa rättsstatsprincipen och respekten för de grundläggande rättigheterna har kommissionen att sträva efter en lämplig nivå av säkerhet för sin personal, sina tillgångar och sin information på ett sätt som säkerställer att den kan bedriva sin verksamhet, samtidigt som man inte begränsar de grundläggande rättigheterna utöver vad som är strikt nödvändigt. |
|
(7) |
Säkerheten inom kommissionen ska vara baserad på principerna om lagenlighet, öppenhet, proportionalitet och ansvarighet. |
|
(8) |
Anställda som har till uppgift att vidta säkerhetsåtgärder bör inte på något sätt missgynnas på grund av sina insatser, såvida de inte har handlat i strid med sitt uppdrag eller brutit mot lagstiftningen, och i det hänseendet är detta beslut att betrakta som en instruktion i den mening som avses i tjänsteföreskrifterna. |
|
(9) |
Kommissionen bör vidta lämpliga åtgärder för att främja och stärka sin säkerhetskultur, och därigenom främja ett mer effektivt tillhandahållande av säkerhet, förbättra säkerhetsstyrningen, stärka nätverken och samarbetet med berörda myndigheter på internationell, europeisk och nationell nivå samt förbättra övervakningen och kontrollen av genomförandet av säkerhetsåtgärder. |
|
(10) |
Inrättandet av Europeiska utrikestjänsten såsom ett i funktionellt hänseende autonomt organ inom unionen har haft en betydande inverkan på kommissionens säkerhetsintressen. Det förutsätter således att regler och förfaranden för samarbete om säkerhet och trygghet upprättas mellan Europeiska utrikestjänsten och Europeiska kommissionen, i synnerhet med avseende på uppfyllandet av kommissionens aktsamhetsplikt gentemot kommissionspersonal vid unionens delegationer. |
|
(11) |
Kommissionens säkerhetsstrategi bör genomföras på ett sätt som är förenligt med andra interna processer och förfaranden som kan involvera säkerhetsaspekter. Till dessa hör bland annat systemet för driftskontinuitet, som syftar till att upprätthålla kommissionens kritiska funktioner vid driftsstörningar, och Argus-processen för samordning vid multisektoriella kriser. |
|
(12) |
Trots de åtgärder som redan finns vid tidpunkten för antagandet av detta beslut och som har anmälts till Europeiska datatillsynsmannen (2), ska alla åtgärder enligt beslutet som inbegriper behandling av personuppgifter omfattas av tillämpningsföreskrifter i enlighet med artikel 21, vilka ska föreskriva lämpligt skydd för de registrerade. |
|
(13) |
Därför behöver kommissionen se över, uppdatera och konsolidera den befintliga rättsliga grunden för säkerhet vid kommissionen. |
|
(14) |
Kommissionens beslut (94) 2129 (3) bör därför upphävas. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL 1
ALLMÄNNA BESTÄMMELSER
Artikel 1
Definitioner
I detta beslut gäller följande definitioner:
1. tillgångar : all lös och fast egendom som tillhör kommissionen.
2. kommissionsavdelning : generaldirektorat eller avdelning inom kommissionen, eller en kommissionsledamots kansli.
3. kommunikations- och informationssystem : system som gör det möjligt att hantera information i elektronisk form, även de resurser som krävs för att driva dessa system, inklusive infrastruktur, organisation, personal och informationsresurser.
4. kontroll av risker : varje säkerhetsåtgärd som rimligen kan förväntas ge effektiv kontroll av en säkerhetsrisk genom förebyggande, begränsning, undvikande eller överföring.
5. krissituation : omständigheter, händelser, tillbud eller nödsituationer (eller en följd eller kombination av dessa) som innebär ett stort eller omedelbart hot mot säkerheten inom kommissionen, oavsett ursprung.
6. data : information i en form som medger att den meddelas, registreras eller bearbetas.
7. säkerhetsansvarig kommissionsledamot : kommissionsledamot som ansvarar för generaldirektoratet för personal och säkerhet.
8. personuppgifter : uppgifter enligt definitionen i artikel 2 a i Europaparlamentets och rådets förordning (EG) nr 45/2001 (4).
9. lokaler : fast egendom eller därmed likställd egendom i kommissionens ägo eller besittning.
10. förebyggande av risk : säkerhetsåtgärder som rimligen kan förväntas förhindra, försena eller stoppa en säkerhetsrisk.
11. säkerhetsrisk : kombinationen av hotnivå, graden av sårbarhet och de möjliga konsekvenserna av en händelse.
12. säkerhet inom kommissionen : säkerheten för personer, tillgångar och information inom kommissionen, särskilt fysisk integritet för personer och tillgångar; integritet, sekretess samt tillgång till information och kommunikations- och informationssystem samt förutsättningar för att kommissionens arbete ska kunna fungera obehindrat.
13. säkerhetsåtgärd : åtgärder som vidtas i enlighet med detta beslut i syfte att kontrollera säkerhetsrisker.
14. tjänsteföreskrifterna : tjänsteföreskrifterna för tjänstemännen i Europeiska unionen, fastställda genom rådets förordning (EEG, Euratom, EKSG) nr 259/68 (5) och dess ändringsakter.
15. säkerhetshot : en händelse eller ett förhållande som skäligen kan förväntas påverka säkerheten i negativ riktning om inte åtgärder vidtas för att få hotet under kontroll.
16. omedelbart säkerhetshot : ett säkerhetshot som uppkommer helt utan varning eller med mycket kort förvarning.
17. allvarligt säkerhetshot : ett säkerhetshot som, om inga åtgärder vidtas, rimligen kan förväntas leda till dödsfall, allvarlig personskada, betydande skada på egendom, röjande av mycket känslig information eller störningar av it-system eller väsentliga delar av kommissionens operativa förmåga.
18. sårbarhet : alla typer av sårbarhet som rimligen kan förväntas ha en negativ inverkan på säkerheten inom kommissionen, om sårbarheten utnyttjas i samband med ett eller flera hot.
Artikel 2
Syfte
1. I detta beslut fastställs mål, grundläggande principer, organisation och ansvar med avseende på säkerhet inom kommissionen.
2. Detta beslut ska vara tillämpligt på alla kommissionens avdelningar och samtliga kommissionslokaler. Kommissionsanställda vid unionens delegationer ska omfattas av Europeiska utrikestjänstens säkerhetsbestämmelser (6).
3. Utan hinder av särskilda beteckningar för vissa grupper av anställda, ska detta beslut tillämpas på ledamöterna av kommissionen, kommissionens personal som omfattas av tjänsteföreskrifterna och anställningsvillkoren för övriga anställda i Europeiska gemenskaperna, på nationella experter som är utstationerade vid kommissionen (nationella experter), på tjänsteleverantörer och deras anställda, på praktikanter samt på var och en som har tillträde till kommissionens byggnader eller andra tillgångar, eller på uppgifter som hanteras av kommissionen.
4. Bestämmelserna i detta beslut ska inte påverka tillämpningen av kommissionens beslut 2002/47/EG, EKSG, Euratom (7) eller av kommissionens beslut 2004/563/EG, Euratom (8), kommissionens beslut K(2006) 1623 (9) och kommissionens beslut K(2006) 3602 (10).
KAPITEL 2
PRINCIPER
Artikel 3
Principer för säkerhet inom kommissionen
1. Vid genomförandet av detta beslut ska kommissionen följa fördragen och särskilt stadgan om de grundläggande rättigheterna och protokoll nr 7 om Europeiska unionens immunitet och privilegier, de instrument som anges i skäl 2, tillämpliga regler i nationell lagstiftning samt villkoren i detta beslut. Om så krävs ska ett säkerhetsmeddelande i den mening som avses i artikel 21.2 utfärdas för vägledning i detta hänseende.
2. Säkerheten inom kommissionen ska vara baserad på principerna om lagenlighet, öppenhet, proportionalitet och ansvarighet.
3. Principen om lagenlighet innebär ett krav på strikt efterlevnad av de rättsliga ramarna vid genomförandet av detta beslut och ett behov av anpassning till de rättsliga kraven.
4. Alla säkerhetsåtgärder ska vidtas öppet såvida det inte finns skäl att anta att en sådan öppenhet skulle minska deras verkan. Den som en säkerhetsåtgärd riktar sig ska i förväg underrättas om orsakerna till och följderna av den aktuella åtgärden, såvida det inte finns skäl att anta att tillhandahållandet av sådan information skulle minska verkan av åtgärden. I detta fall ska den som säkerhetsåtgärden riktar sig till informeras efter det att risken för försämrad effekt av åtgärden har upphört.
5. Kommissionens avdelningar ska se till att säkerhetsfrågor beaktas redan från början när de utarbetar och genomför kommissionens politik, beslut, program, projekt och verksamheter på områden som de ansvarar för. För detta ändamål ska de redan under de tidigaste förberedelserna involvera generaldirektoratet för personal och säkerhet i allmänhet och kommissionens informationssäkerhetschef när det gäller it-system.
6. Kommissionen ska, i lämpliga fall, eftersträva samarbete med behöriga myndigheter i värdmedlemsstaten, i andra medlemsstater och i andra av EU:s institutioner, byråer eller organ och om möjligt ta hänsyn till åtgärder som dessa myndigheter har vidtagit eller planerat för att bemöta en viss säkerhetsrisk.
Artikel 4
Skyldighet att följa relevanta bestämmelser
1. Det ska vara obligatoriskt att följa detta beslut och dess tillämpningsföreskrifter samt instruktioner som lämnas av bemyndigad personal.
2. Bristande efterlevnad av säkerhetsbestämmelserna kan leda till disciplinära åtgärder i enlighet med fördragen och tjänsteföreskrifterna, till kontraktsenliga sanktioner och/eller till rättsliga åtgärder enligt nationella lagar och andra författningar.
KAPITEL 3
TILLHANDAHÅLLANDE AV SÄKERHET
Artikel 5
Bemyndigad personal
1. Endast personal som, med hänsyn till dess aktuella arbetsuppgifter, erhållit ett formellt bemyndigande av generaldirektören för personal och säkerhet, kan ges befogenhet att vidta en eller flera av följande åtgärder:
|
1) |
Bära sidovapen. |
|
2) |
Utföra sådana säkerhetsundersökningar som avses i artikel 13. |
|
3) |
Vidta sådana säkerhetsåtgärder som avses i artikel 12 i enlighet med vad som anges i det formella bemyndigandet. |
2. De bemyndiganden som avses i punkt 1 ska ges för en period som inte får vara längre än den period under vilken personen i fråga innehar den post eller den funktion som bemyndigandet gäller. Bemyndigandena ska ges i enlighet med tillämpliga bestämmelser i artikel 3.1.
3. För bemyndigad personal utgör detta beslut en instruktion i den mening som avses i artikel 21 i tjänsteföreskrifterna.
Artikel 6
Allmänna bestämmelser om säkerhetsåtgärder
1. I samband med att skyddsåtgärder vidtas ska kommissionen särskilt se till att i möjligaste mån
|
a) |
endast söka stöd eller bistånd från den berörda staten under förutsättning att denna stat är en medlemsstat i Europeiska unionen eller, om inte, är part i den europeiska konventionen om de mänskliga rättigheterna eller garanterar rättigheter som åtminstone motsvarar de rättigheter som garanteras i den konventionen, |
|
b) |
endast överföra uppgifter om enskilda till sådana mottagare, utöver gemenskapsinstitutionerna och gemenskapsorganen, som inte omfattas av nationell lagstiftning som antagits i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (11), i enlighet med artikel 9 i förordning (EG) nr 45/2001; |
|
c) |
när en enskild person utgör ett hot mot säkerheten, ska eventuella säkerhetsåtgärder riktas mot den individen, som kan komma att åläggas att bära de kostnader som uppkommer. Dessa säkerhetsåtgärder får endast riktas mot andra personer om ett omedelbart eller allvarligt hot mot säkerheten måste fås under kontroll och följande villkor är uppfyllda:
|
2. Säkerhetsdirektoratet vid kommissionens generaldirektoratet för personal och säkerhet ska upprätta en översikt över säkerhetsåtgärder som kan komma att kräva ett beslut av domstol i enlighet med lagar och andra författningar i de medlemsstater i vilka kommissionen har lokaler.
3. Säkerhetsdirektoratet vid kommissionens generaldirektoratet för personal och säkerhet kan anlita en entreprenör för att, under ledning och överinseende av kommissionens säkerhetsdirektorat, utföra uppgifter som rör säkerhet.
Artikel 7
Säkerhetsåtgärder rörande personer
1. En lämplig skyddsnivå ska tillförsäkras personer som vistas i kommissionens lokaler, varvid hänsyn ska tas till säkerhets- och skyddskrav.
2. Vid omfattande säkerhetsrisker ska generaldirektoratet för personal och säkerhet tillhandahålla närskydd för ledamöter av kommissionen och annan personal, om en riskbedömning har visat att ett sådant skydd är nödvändigt för att garantera deras säkerhet.
3. Vid omfattande säkerhetsrisker får kommissionen besluta om evakuering av sina lokaler.
4. Offer för olyckor i eller attacker mot kommissionens lokaler ska erhålla hjälp.
5. I syfte att förebygga och begränsa säkerhetsrisker ska bemyndigad personal ha rätt att utföra säkerhetskontroller på personer som omfattas av detta beslut, för att fastställa huruvida det skulle innebära en säkerhetsrisk att ge dessa personer tillträde till kommissionens lokaler eller tillgång till kommissionens information. För detta ändamål får bemyndigad personal, under förutsättning att det sker i enlighet med förordning (EG) nr 45/2001 och de bestämmelser som avses i artikel 3.1
|
a) |
använda sig alla informationskällor som är tillgängliga för kommissionen, utan att göra avkall på kravet att kontrollera informationskällans tillförlitlighet, |
|
b) |
skaffa sig tillgång till den personalakt eller de uppgifter i övrigt som kommissionen innehar med avseende på personer som den har anställt eller har för avsikt att anställa, eller med avseende på entreprenörers personal när det är vederbörligen motiverat. |
Artikel 8
Säkerhetsåtgärder avseende fysisk säkerhet och tillgångar
1. Säkerheten för tillgångar ska säkerställas med hjälp av lämpliga fysiska och tekniska skyddsåtgärder och motsvarande förfaranden, nedan kallade ”fysisk säkerhet”, vilket skapar ett system i flera skikt.
2. Åtgärder får antas i enlighet med denna artikel för att skydda personer eller information inom kommissionen samt för att skydda tillgångar.
3. Målen för den fysiska säkerheten ska vara följande:
|
— |
Förebygga våld riktat mot kommissionens ledamöter eller andra personer som omfattas av detta beslut. |
|
— |
Förhindra spionage och avlyssning som syftar till att komma åt känslig eller säkerhetsskyddsklassificerad information. |
|
— |
Förebygga stöld, vandalism, sabotage och andra våldsamma handlingar som syftar till att skada eller förstöra kommissionens byggnader och tillgångar. |
|
— |
Möjliggöra utredning av säkerhetsincidenter, bl.a. genom kontroller av in- och utpasseringsloggar, inspelningar från övervakningskameror, inspelningar av telefonsamtal och liknande uppgifter som avses i artikel 22.2 samt av andra informationskällor. |
4. Fysisk säkerhet ska omfatta följande:
|
— |
En tillträdespolicy som gäller för alla personer eller fordon som behöver tillträde till kommissionens lokaler, och även omfattar parkeringsplatser. |
|
— |
Ett system för tillträdeskontroll bestående av vakter, teknisk utrustning och tekniska åtgärder, informationssystem eller en kombination av dessa inslag. |
5. För att garantera fysisk säkerhet kan följande åtgärder vidtas:
|
— |
Registrering av när en person, ett fordon, varor och utrustning anländer till respektive lämnar kommissionens lokaler. |
|
— |
Identitetskontroller i de egna lokalerna. |
|
— |
Inspektion av fordon, varor och utrustning med hjälp av visuella eller tekniska hjälpmedel. |
|
— |
Förhindrande av att obehöriga personer, fordon och varor kommer in i kommissionens lokaler. |
Artikel 9
Säkerhetsåtgärder rörande information
1. Informationssäkerhet omfattar all information som handhas av kommissionen.
2. Informationssäkerheten ska, oavsett form, bygga på en avvägning mellan öppenhet, proportionalitet, ansvarighet och effektivitet, och behovet av att skydda information mot obehörig tillgång, användning, förändring eller förstörelse samt obehörigt röjande.
3. Informationssäkerhet ska syfta till att skydda konfidentialitet, integritet och tillgänglighet.
4. Därför ska riskhanteringsprocesser användas för att klassificera informationstillgångar och utarbeta proportionerliga skyddsåtgärder, förfaranden och standarder, inklusive riskdämpande åtgärder.
5. Dessa allmänna principer som ligger till grund för informationssäkerheten ska tillämpas särskilt med avseende på följande:
|
a) |
Säkerhetsskyddsklassificerade EU-uppgifter, dvs. uppgifter eller materiel som placerats på en EU-säkerhetsskyddsklassificeringsnivå och vars obehöriga röjande skulle kunna åsamka Europeiska unionens eller en eller flera av dess medlemsstaters väsentliga intressen olika grader av skada. |
|
b) |
Känsliga icke-säkerhetsskyddsklassificerade uppgifter, dvs. uppgifter eller materiel som kommissionen måste skydda på grund av rättsliga förpliktelser som fastställs i fördragen eller i rättsakter som antagits för att genomföra dessa, och/eller på grund av uppgifternas eller materielens känslighet. Känsliga, icke-säkerhetsskyddsklassificerade uppgifter inbegriper, men är inte begränsade till, upplysningar eller materiel som omfattas av tystnadsplikt enligt artikel 339 i EUF-fördraget, uppgifter som omfattas av de intressen som skyddas i artikel 4 i Europaparlamentets och rådets förordning (EG) nr 1049/2001 (12), jämförd med relevant rättspraxis från Europeiska unionens domstol, samt personuppgifter som omfattas av förordning (EG) nr 45/2001. |
6. Känsliga, icke-säkerhetsskyddsklassificerade uppgifter ska omfattas av regler om hantering och lagring. De ska endast lämnas ut till personer som har behovsenlig behörighet. När det anses nödvändigt för ett effektivt skydd av deras konfidentialitet ska denna typ av uppgifter förses med en säkerhetsmarkering och motsvarande hanteringsanvisningar som har godkänts av generaldirektören för personal och säkerhet. Om informationen hanteras eller lagras i kommunikations- och informationssystem, ska den även skyddas i enlighet med kommissionens beslut (2006) 3602, tillämpningsföreskrifterna till detta och motsvarande standarder.
7. Varje person som är ansvarig för röjande eller förlust av säkerhetsskyddsklassificerade EU-uppgifter eller känsliga icke-sekretessbelagda uppgifter, som identifierats som sådana i bestämmelserna om uppgifternas hantering och lagring, kan bli föremål för disciplinära åtgärder i enlighet med tjänsteföreskrifterna. Sådana disciplinära åtgärder ska inte påverka eventuella vidare rättsliga eller straffrättsliga förfaranden vid behöriga nationella myndigheter i medlemsstaterna i enlighet med deras lagar och andra författningar, och inte heller eventuella avtalsvillkor om påföljder.
Artikel 10
Säkerhetsåtgärder med avseende på kommunikations- och informationssystem
1. Alla kommunikations- och informationssystem som används av kommissionen ska uppfylla kraven enligt kommissionens säkerhetspolitik för informationssystem, såsom denna följer av kommissionens beslut K (2006) 3602, dess tillämpningsföreskrifter och motsvarande säkerhetsstandarder.
2. Kommissionen ägande, förvaltning och användning av kommunikations- och informationssystem ska innebära att andra av EU:s institutioner, byråer, organ eller andra organisationer endast ges tillgång till dessa system under förutsättning att de kan lämna rimliga garantier för att deras informationssystem omfattas av skydd på en nivå som motsvarar kommissionens säkerhetspolitik för informationssystem enligt kommissionens beslut K(2006) 3602, dess tillämpningsföreskrifter och motsvarande säkerhetsstandarder. Kommissionen ska övervaka efterlevnaden av dessa krav och vid allvarliga eller upprepade överträdelser ha rätt att förbjuda tillgång till systemen.
Artikel 11
Kriminalteknisk analys av it-säkerhet
Generaldirektoratet för personal och säkerhet ska särskilt ansvara för att utföra kriminalteknisk analys i samarbete med kommissionens berörda avdelningar för att stödja sådana säkerhetsutredningar som avses i artikel 13, som rör kontraspionage, dataläckage, it-angrepp och it-säkerhet.
Artikel 12
Säkerhetsåtgärder rörande personer och föremål
1. För att garantera säkerheten inom kommissionen och förebygga och kontrollera risker, får personal som bemyndigats i enlighet med artikel 5, i överensstämmelse med principerna i artikel 3 bland annat vidta en eller flera av följande skyddsåtgärder:
|
a) |
Säkra platser och bevisning, inbegripet in- och utpasseringsloggar samt inspelningar från övervakningskameror, i händelse av incidenter eller uppförande som kan medföra administrativa, disciplinära, civilrättsliga eller straffrättsliga förfaranden. |
|
b) |
Begränsade åtgärder riktade mot personer som utgör ett säkerhetshot, inbegripet att beordra personer att lämna kommissionens lokaler samt eskortera personer från kommissionens lokaler, förbjuda personer att vistas i kommissionens lokaler under en period, som bestäms i enlighet med kriterier som ska fastställas i tillämpningsföreskrifter. |
|
c) |
Begränsade åtgärder avseende föremål som utgör ett hot mot säkerheten, inbegripet avlägsnande, beslag och bortskaffande av föremål. |
|
d) |
Genomsökning av kommissionens lokaler, inbegripet kontor i sådana lokaler. |
|
e) |
Kontroller av kommunikations- och informationssystem och utrustning som hör till sådana system, uppgifter om telefon- och telekommunikationstrafik, loggfiler, användarkonton osv. |
|
f) |
Andra specifika säkerhetsåtgärder med motsvarande verkan i syfte att förhindra eller få säkerhetsrisker under kontroll, särskilt inom ramen för kommissionens rättigheter som hyresvärd eller som arbetsgivare i enlighet med tillämplig nationell lagstiftning. |
2. I undantagsfall får sådan personal vid direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet som bemyndigats i enlighet med artikel 5 vidta nödvändiga brådskande åtgärder, under strikt tillämpning av de principer som fastställs i artikel 3. Efter att ha vidtagit sådana åtgärder ska de så snart som möjligt underrätta direktören för kommissionens säkerhetsdirektorat, som ska begära lämpligt mandat från generaldirektören för personal och säkerhet, som bekräftar de vidtagna åtgärderna och godkänner eventuella ytterligare åtgärder och ska vid behov samråda med behöriga nationella myndigheter.
3. Säkerhetsåtgärder i enlighet med denna artikel ska dokumenteras vid den tidpunkt när de vidtas eller, om det föreligger en överhängande risk eller en krissituation, inom rimlig tid efter det att de har vidtagits. I det senare fallet ska dokumentationen också omfatta de faktorer på vilka bedömningen av förekomsten av en överhängande risk eller en krissituation grundades. Dokumentationen får vara kortfattad, men bör vara utformad så att den person som är föremål för åtgärden har möjlighet att utöva sin rätt till försvar och skydd av personuppgifter i enlighet med förordning nr 45/2001, och så att det finns möjlighet att kontrollera åtgärdens lagenlighet. Ingen information om specifika säkerhetsåtgärder som rör en medlem av personalen ska ingå i den personens personalakt.
4. I samband med att säkerhetsåtgärder vidtas i enlighet med led b ska kommissionen dessutom säkerställa att den enskilde ges möjlighet att kontakta en advokat eller en person som han eller hon har förtroende för samt uppmärksammas på sin rätt att vända sig till Europeiska datatillsynsmannen.
Artikel 13
Undersökningar
1. Säkerhetsundersökningar får genomföras i följande fall, utan att det påverkar tillämpningen av artikel 86 och bilaga IX till tjänsteföreskrifterna eller eventuella särskilda överenskommelser mellan kommissionen och Europeiska utrikestjänsten, såsom den särskilda överenskommelse som undertecknades den 28 maj 2014 mellan Europeiska kommissionens generaldirektorat för personal och säkerhet och Europeiska utrikestjänsten om aktsamhetsplikt gentemot kommissionspersonal vid unionens delegationer:
|
a) |
Vid incidenter som påverkar säkerheten vid kommissionen, inklusive misstänkta brott. |
|
b) |
Vid risk för att känsliga icke-sekretessbelagda uppgifter, säkerhetsskyddsklassificerade EU-uppgifter eller sekretessbelagd Euroatom-information läcks, används på felaktigt sätt eller röjs. |
|
c) |
I samband med åtgärder som rör kontraspionage och terrorismbekämpning. |
|
d) |
Vid allvarliga it-incidenter. |
2. Beslutet att inleda en säkerhetsundersökning ska fattas av generaldirektören för personal och säkerhet som också är mottagare av undersökningsrapporten.
3. Säkerhetsundersökningarna ska endast utföras av särskild utsedd personal vid generaldirektoratet för personal och säkerhet, vederbörligen bemyndigad i enlighet med artikel 5.
4. Den bemyndigade personalen ska utöva sina befogenheter att utföra säkerhetsundersökningar på ett oberoende sätt och ha de befogenheter som anges i artikel 12.
5. Bemyndigad personal med befogenhet att utföra säkerhetsundersökningar får samla in information från alla tillgängliga källor som har samband med eventuella administrativa eller straffrättsliga överträdelser som begåtts inom kommissionens lokaler eller involverar personer som avses i artikel 2.3, antingen som offer eller förövare av sådana överträdelser.
6. Generaldirektoratet för personal och säkerhet ska underrätta de behöriga myndigheterna i värdmedlemsstaten eller andra berörda medlemsstater när så är lämpligt, i synnerhet om undersökningen har gett upphov till brottsmisstanke. I detta sammanhang får generaldirektoratet för personal och säkerhet, när så är lämpligt eller nödvändigt, bistå myndigheterna i värdmedlemsstaten eller andra berörda medlemsstater.
7. Vid allvarliga it-incidenter ska generaldirektoratet för informationsteknik ha ett nära samarbete med generaldirektoratet för personal och säkerhet i syfte att tillhandahålla stöd i alla tekniska frågor. Generaldirektoratet för personal och säkerhet ska, i samråd med generaldirektoratet för informationsteknik, besluta när det är lämpligt att informera de behöriga myndigheterna i värdlandet eller andra berörda medlemsstater. De samordningstjänster som tillhandahålls av organisationen för incidenthantering för EU:s institutioner, organ och byråer (Cert-EU) kommer att användas för att ge stöd till andra av EU:s institutioner och organ som kan vara berörda.
8. Säkerhetsundersökningar ska dokumenteras.
Artikel 14
Avgränsning av befogenheter vid säkerhetsundersökningar och andra typer av utredningar
1. Om direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet genomför sådana säkerhetsundersökningar som avses i artikel 13, och om dessa undersökningar faller inom behörigheten för Europeiska byrån för bedrägeribekämpning (Olaf) eller kommissionens utrednings- och disciplinbyrå, ska direktoratet kontakta dessa organ, särskilt för att inte äventyra senare åtgärder som kan komma att vidtas av Olaf eller kommissionens utrednings- och disciplinbyrå. Direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet ska i lämpliga fall inbjuda Olaf eller kommissionens utrednings- och disciplinbyrå att delta i undersökningen.
2. De säkerhetsutredningar som avses i artikel 13 ska inte påverka befogenheterna för Olaf och kommissionens utrednings- och disciplinbyrå enligt de bestämmelser som styr dessa organs verksamhet. Direktoratet för säkerhet inom kommissionens generaldirektoratet för personal och säkerhet får uppmanas att bidra med tekniskt stöd till undersökningar som inletts av Olaf eller kommissionens utrednings- och disciplinbyrå.
3. Direktoratet för säkerhet vid kommissionens generaldirektorat för personal och säkerhet kan uppmanas att bistå Olaf:s anställda när dessa ges tillträde till kommissionens lokaler i enlighet med artikel 3.5 och 4.4 i Europaparlamentets och rådet förordning (EU, Euratom) nr 883/2013 (13), i syfte att underlätta de senares arbete. Direktoratet för säkerhet ska vidarebefordra information om sådana framställningar om bistånd till generalsekreteraren och generaldirektören för generaldirektoratet för personal och säkerhet eller, om undersökningen utförs i kommissionslokaler som används av kommissionsledamöter eller generalsekreteraren, till kommissionens ordförande och den kommissionsledamot som ansvarar för personalfrågor.
4. Om ett ärende kan omfattas av behörighetsområdet för såväl direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet som kommissionens utrednings- och disciplinbyrå, ska direktoratet för säkerhet, utan att det påverkar tillämpningen av artikel 22 a i tjänsteföreskrifterna, i ett så tidigt skede som möjligt meddela huruvida det finns skäl som motiverar att kommissionens utrednings- och disciplinbyrå tar upp saken till behandling, i samband med att det rapporterar till generaldirektören för personal och säkerhet i enlighet med artikel 13. Detta skede ska särskilt anses vara nått när ett omedelbart hot mot säkerheten har upphört. Generaldirektören för personal och säkerhet ska fatta beslut om detta.
5. Om ett ärende kan omfattas av behörighetsområdet för såväl direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet som Olaf, ska direktoratet för säkerhet utan dröjsmål rapportera till generaldirektören för personal och säkerhet, och i ett så tidigt skede som möjligt informera Olafs generaldirektör. Detta skede ska särskilt anses vara nått när ett omedelbart hot mot säkerheten har upphört.
Artikel 15
Säkerhetsinspektioner
1. Generaldirektoratet för personal och säkerhet ska utföra säkerhetsinspektioner för att kontrollera att kommissionens avdelningar och enskilda personer följer detta beslut och dess tillämpningsföreskrifter, samt utforma rekommendationer vid behov.
2. Generaldirektoratet för personal och säkerhet ska vid behov genomföra säkerhetsinspektioner eller besök för säkerhetsövervakning eller säkerhetsutvärdering i syfte att kontrollera huruvida sådana aspekter av säkerheten för kommissionens personal, tillgångar och information som omfattas av ansvarsområdet för andra av unionens institutioner, byråer eller organ eller för medlemsstater, tredjeländer eller internationella organisationer, skyddas på lämpligt sätt i enlighet med säkerhetsbestämmelser, föreskrifter och standarder som minst motsvarar de som tillämpas av kommissionen. När så är lämpligt, ska dessa säkerhetsinspektioner, i en anda av gott samarbete mellan förvaltningar, även omfatta inspektioner inom ramen för utbytet av sekretessbelagda uppgifter med andra av unionens institutioner, organ och byråer eller med medlemsstater, tredjeländer eller internationella organisationer.
3. Denna artikel ska i tillämpliga delar tillämpas med avseende på kommissionspersonal vid unionens delegationer, utan att det påverkar eventuella särskilda överenskommelser mellan kommissionen och Europeiska utrikestjänsten, såsom den särskilda överenskommelse som undertecknades den 28 maj 2014 mellan Europeiska kommissionens generaldirektorat för personal och säkerhet och Europeiska utrikestjänsten om aktsamhetsplikt gentemot kommissionspersonal vid unionens delegationer.
Artikel 16
Beredskapsnivåer och hantering av krissituationer
1. Generaldirektoratet för personal och säkerhet ska ansvara för att vidta lämpliga beredskapsåtgärder som förberedelse för eller svar på hot och incidenter som påverkar säkerheten vid kommissionen, samt för åtgärder som krävs för att hantera krissituationer.
2. De beredskapsåtgärder som avses i punkt 1 ska stå i proportion till säkerhetshotets omfattning. Nivån på beredskapsåtgärderna ska fastställas i nära samarbete med behöriga avdelningar inom andra av unionens institutioner, byråer och organ och med behöriga myndigheter i den medlemsstat eller de medlemsstater där kommissionen har lokaler.
3. Generaldirektoratet för personal och säkerhet ska vara kontaktpunkt för frågor om beredskapsnivåer och hantering av krissituationer.
KAPITEL 4
ORGANISATION
Artikel 17
Allmänna skyldigheter för kommissionens avdelningar
1. Det ansvar som åligger kommissionens avdelningar enligt detta beslut ska utövas av generaldirektoratet för personal och säkerhet under överinseende och ansvar av den kommissionsledamot som ansvarar för säkerhetsfrågor.
2. De särskilda arrangemangen när det gäller it-säkerhet fastställs i beslut (2006) 3602.
3. Ansvaret för att genomföra detta beslut och dess tillämpningsföreskrifter och för den fortlöpande efterlevnaden får delegeras till andra avdelningar inom kommissionen om ett decentraliserat säkerhetsarbete erbjuder betydande effektivitetsfördelar eller resurs- eller tidsbesparingar, t.ex. på grund av de berörda avdelningarnas geografiska belägenhet.
4. I de fall där punkt 3 är tillämplig ska generaldirektoratet för personal och säkerhet, och vid behov generaldirektören för informationsteknik, ingå avtal med enskilda kommissionsavdelningar och fastställa tydliga roller och ansvarsområden för genomförandet och övervakningen av säkerhetsstrategier.
Artikel 18
Generaldirektoratet för personal och säkerhet
1. Generaldirektoratet för personal och säkerhet ska särskilt ansvara för att
|
1) |
utveckla kommissionens säkerhetspolitik, tillämpningsföreskrifter och säkerhetsmeddelanden, |
|
2) |
samla in information i syfte att bedöma säkerhetshot och säkerhetsrisker och alla andra frågor som kan påverka säkerheten inom kommissionen, |
|
3) |
tillhandahålla elektronisk övervakning och elektroniskt skydd för alla kommissionens verksamhetsställen, med vederbörlig hänsyn till hotbedömningar och indikationer på olaglig verksamhet som riktar sig mot kommissionens intressen, |
|
4) |
tillhandahålla en ständigt tillgänglig larmcentral som kommissionens avdelningar och personal kan vända sig till i säkerhets- och trygghetsrelaterade frågor, |
|
5) |
genomföra säkerhetsåtgärder som syftar till att minska säkerhetsriskerna samt utveckla och driva lämpliga kommunikations- och informationssystem som täcker dess operativa behov, särskilt på områdena fysisk säkerhet, fysisk tillträdeskontroll, beviljande av säkerhetsbemyndiganden och hantering av känslig information och säkerhetsskyddsklassificerad EU-information, |
|
6) |
öka medvetenheten, organisera övningar och tillhandahålla fortbildning och rådgivning i allt som rör säkerhet vid kommissionen, i syfte att främja en god säkerhetskultur och skapa en pool av personal med lämplig utbildning i säkerhetsfrågor. |
2. Generaldirektoratet för personal och säkerhet ska, utan att det påverkar andra kommissionsavdelningars behörighet och befogenheter, säkerställa yttre förbindelser
|
1) |
med säkerhetsavdelningarna vid EU:s övriga institutioner, byråer och organ i frågor som rör säkerheten för personer, tillgångar och information inom kommissionen, |
|
2) |
med säkerhets-, underrättelse- och säkerhetsbedömningsavdelningar, inbegripet nationella säkerhetsmyndigheter i medlemsstaterna, i tredjeländer och vid internationella organisationer och organ i frågor som kan påverka säkerheten för personer, tillgångar och information inom kommissionen, |
|
3) |
med polisen och andra räddningstjänster rörande alla rutinmässiga och akuta frågor som påverkar kommissionens säkerhet, |
|
4) |
med säkerhetsmyndigheterna vid andra av unionens institutioner, organ och byråer, i medlemsstaterna och i tredjeländer när det gäller insatser vid it-attacker med potentiell inverkan på säkerheten inom kommissionen, |
|
5) |
när det gäller mottagande, bedömning och spridning av underrättelser om spioneri- och terroristhot som påverkar säkerheten inom kommissionen, |
|
6) |
när det gäller frågor som rör sekretessbelagda uppgifter, i enlighet med närmare specifikationer i kommissionens beslut (EU, Euratom) 2015/444 (14). |
3. Generaldirektoratet för personal och säkerhet ska ansvara för att överföring av uppgifter i enlighet med denna artikel, inklusive överföring av personuppgifter, sker på ett säkert sätt.
Artikel 19
Kommissionens grupp av säkerhetsexperter (ComSEG)
Det ska inrättas en kommissionsgrupp av säkerhetsexperter med uppdrag att bistå kommissionen, när så är lämpligt, i frågor som rör dess interna säkerhetspolitik och närmare bestämt skydd av säkerhetsskyddsklassificerade EU-uppgifter.
Artikel 20
Lokalt säkerhetsansvariga
1. Varje kommissionsavdelning eller kansli ska utse en lokalt säkerhetsansvarig som ska vara huvudkontaktpunkt mellan sin avdelning eller sitt kansli och generaldirektoratet för personal och säkerhet i alla frågor som rör säkerheten inom kommissionen. Vid behov får en eller flera ställföreträdande lokalt säkerhetsansvariga utses. Den lokalt säkerhetsansvariga ska vara tjänsteman eller tillfälligt anställd.
2. Som huvudsaklig kontaktpunkt för säkerheten inom sin kommissions- eller kabinettsavdelning ska den lokalt säkerhetsansvariga regelbundet rapportera till generaldirektoratet för personal och säkerhet och till sina överordnade om säkerhetsfrågor som berör hans kommissionsavdelning, vilket ska ske utan dröjsmål vid eventuella säkerhetsincidenter, inbegripet sådana där säkerhetsskyddsklassificerade EU-uppgifter eller känslig icke-säkerhetsskyddsklassificerad information kan ha äventyrats.
3. När det gäller frågor som rör säkerhet i kommunikations- och informationssystem, ska den lokalt säkerhetsansvariga samarbeta med den säkerhetsansvariga för de lokala datasystemen (LISO) på sin kommissionsavdelning, vars roll och ansvarsområden fastställs i beslut K(2006) 3602.
4. Denne ska bidra till säkerhetsutbildning och informationsinsatser som är inriktade på de särskilda behoven för personal, entreprenörer och andra personer som arbetar under ledning av hans eller hennes kommissionsavdelning.
5. Den lokalt säkerhetsansvariga får, på begäran av generaldirektoratet för personal och säkerhet, tilldelas särskilda uppgifter vid omfattande eller omedelbara säkerhetsrisker eller nödsituationer. Generaldirektören eller direktören för personalfrågor vid den lokalt säkerhetsansvarigas generaldirektorat ska underrättas om dessa särskilda uppgifter av generaldirektoratet för personal och säkerhet.
6. Den lokalt säkerhetsansvarigas ansvarsområde ska inte påverka den roll och det ansvar som tilldelats säkerhetsansvariga för de lokala it-systemen, arbetsmiljöansvariga, kontrolltjänstemän för register eller någon annan funktion som medför ansvar när det gäller säkerhetsfrågor. Den lokalt säkerhetsansvariga ska samarbeta med dessa andra personer med säkerhetsansvar för att säkerställa en enhetlig och konsekvent syn på säkerhet och ett effektivt flöde av information om frågor som rör säkerheten vid kommissionen.
7. Den lokalt säkerhetsansvariga ska ha direkt kontakt med sin generaldirektör eller avdelningschef och informera sina direkt överordnade. Han eller hon ska ha säkerhetsbemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, åtminstone upp till nivån SECRET UE/EU SECRET.
8. För att främja utbyte av information och bästa praxis, ska generaldirektoratet för personal och säkerhet minst två gånger per år organisera ett sammanträde för lokalt säkerhetsansvariga. De lokalt säkerhetsansvariga ska vara skyldiga att delta i dessa sammanträden.
KAPITEL 5
GENOMFÖRANDE
Artikel 21
Tillämpningsföreskrifter och säkerhetsmeddelanden
1. Om nödvändigt kommer antagandet av tillämpningsföreskrifter för detta beslut att bli föremål för ett separat beslut om delegering från kommissionen till den ledamot av kommissionen som ansvarar för säkerhetsfrågor, i full överensstämmelse med den interna arbetsordningen.
2. Efter att ha bemyndigats genom ovannämnda kommissionsbeslut, får den ledamot av kommissionen som ansvarar för säkerhetsfrågor utarbeta säkerhetsmeddelanden om fastställande av riktlinjer för säkerhet och bästa praxis inom ramen för detta beslut och dess tillämpningsföreskrifter.
3. Kommissionen får delegera de uppgifter som anges i punkterna 1 och 2 i denna artikel till generaldirektören för personal och säkerhet genom ett separat beslut om delegering, i full överensstämmelse med den interna arbetsordningen.
KAPITEL 6
ÖVRIGA BESTÄMMELSER OCH SLUTBESTÄMMELSER
Artikel 22
Behandling av personuppgifter
1. Kommissionen ska behandla personuppgifter som behövs för att genomföra detta beslut i enlighet med förordning (EG) nr 45/2001.
2. Utan att det påverkar de åtgärder som redan har vidtagits vid tidpunkten för antagandet av detta beslut och anmälts till Europeiska datatillsynsmannen (15), ska varje åtgärd enligt detta beslut som inbegriper behandling av personuppgifter, t.ex. rörande in- och utpasseringsloggar, inspelningar från övervakningskameror, inspelningar av telefonsamtal till jourtjänster eller samordningscentral och liknande uppgifter, som krävs av säkerhetsskäl eller som krisåtgärd, omfattas av tillämpningsföreskrifter i enlighet med artikel 21, med lämpliga skyddsinslag för registrerade.
3. Generaldirektören för generaldirektoratet för personal och säkerhet ska ansvara för att all behandling av personuppgifter inom ramen för detta beslut sker på ett säkert sätt.
4. Dessa tillämpningsföreskrifter ska antas efter samråd med uppgiftsskyddsombudet och den europeiska datatillsynsmannen i enlighet med förordning (EG) nr 45/2001.
Artikel 23
Öppenhet
Kommissionens tjänstemän och övriga personer som berörs ska informeras om detta beslut och dess tillämpningsföreskrifter.
Artikel 24
Upphävande av tidigare beslut
Beslut (94) 2129 ska upphöra att gälla.
Artikel 25
Ikraftträdande
Detta beslut träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Utfärdat i Bryssel den 13 mars 2015.
På kommissionens vägnar
Jean-Claude JUNCKER
Ordförande
(1) Se överenskommelsen om säkerhet mellan Belgiens regering och Europaparlamentet, rådet, kommissionen, Europeiska ekonomiska och sociala kommittén, Regionkommittén och Europeiska investeringsbanken av den 31 december 2004 (Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité), säkerhetsavtalet mellan kommissionen och Luxemburgs regering av den 20 januari 2007 (Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois) och avtalet mellan Italiens regering och Europeiska atomenergigemenskapen (Euratom) av den 22 juli 1959 (Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale).
(2) DPO- 914.2, DPO- 93.7, DPO- 153.3, DPO- 870.3, DPO- 2831.2, DPO- 1162.4, DPO- 151.3, DPO- 3302.1, DPO- 508.6, DPO- 2638.3, DPO- 544.2, DPO- 498.2, DPO- 2692.2, DPO- 2823.2.
(3) Kommissionens beslut K (94) 2129 av den 8 september 1994 om säkerhetsavdelningens uppgifter.
(4) Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 8.12.2001, s. 1).
(5) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (anställningsvillkor för övriga anställda) (EGT L 56, 4.3.1968, s. 1).
(6) Beslut av unionens höga representant för utrikes frågor och säkerhetspolitik 2013/C 190/01 av den 19 april 2013 om Europeiska utrikestjänstens säkerhetsbestämmelser (EUT C 190, 29.6.2013, s. 1).
(7) Kommissionens beslut 2002/47/EG, EKSG, Euratom av den 23 januari 2002 om ändring av dess arbetsordning (EGT L 21, 24.1.2002, s. 23), varigenom bestämmelserna om dokumenthantering fogas som en bilaga till kommissionens arbetsordning.
(8) Kommissionens beslut 2004/563/EG, EKSG, Euratom av den 7 juli 2004 om ändring av dess arbetsordning (EUT L 251, 27.7.2004, s. 9), varigenom bestämmelserna om elektroniska och digitala handlingar fogas som en bilaga till kommissionens arbetsordning.
(9) K(2006) 1623 av den 21 april 2006 om en harmoniserad policy vad avser hälsa och säkerhet i arbetet för hela kommissionens personal.
(10) K(2006) 3602 av den 16 augusti 2006 om säkerheten i de IT-system som används av Europeiska kommissionen.
(11) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
(12) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
(13) Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (EUT L 248, 18.9.2013, s. 1).
(14) Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (se sidan 53 i detta nummer av EUT).
(15) DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.