BESLUT AV DET GEMENSAMMA FÖRETAGETS STYRELSE

av den 9 december 2019

om interna regler om begränsning av vissa rättigheter för registrerade i samband med behandling av personuppgifter inom ramen för verksamheten vid det europeiska gemensamma företaget

STYRELSEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25,

med beaktande av rådets beslut 2007/198/Euratom av den 27 mars 2007 av den 27 mars 2007 om inrättande av ett europeiskt gemensamt företag för Iter och utveckling av fusionsenergi samt om beviljande av förmåner till detta företag (2), (nedan kallat det gemensamma företaget), särskilt artikel 6,

med beaktande av stadgarna som är bifogade till rådets ovannämnda beslut, särskilt artikel 10,

med beaktande av tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för övriga anställda i Europeiska unionen (nedan kallade tjänsteföreskrifterna), särskilt artiklarna 2.3 och 30 i bilaga IX,

med beaktande av Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (3),

med beaktande av Europeiska datatillsynsmannens riktlinjer av den 18 december 2018 och dess yttrande av den 26 juli 2019 efter underrättelsen i enlighet med artikel 41.2 i förordning (EU) 2018/1725,

efter att ha hört personalkommittén, och

av följande skäl:

(1)	Det gemensamma företaget bedriver sin verksamhet i enlighet med de stadgar som finns bifogade till beslut 2007/198/Euratom.

(2)

I enlighet med artikel 25.1 i förordning (EU) 2018/1725 bör begränsningar i tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i samma förordning i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, grunda sig på interna regler som ska antas av det gemensamma företaget, såvida dessa inte grundar sig på rättsakter som antagits på grundval av fördragen.

(3)	Dessa interna regler, däribland dess bestämmelser om bedömning av behovet av en begränsning och dess proportionalitet, bör inte gälla när en rättsakt som antagits på grundval av fördragen innefattar en begränsning av registrerades rättigheter.

(4)	Det gemensamma företaget ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.

(5)

Inom ramen för sin verksamhet får det gemensamma företaget genomföra administrativa utredningar och disciplinära förfaranden i enlighet med bestämmelserna i tjänsteföreskrifterna.

Det gemensamma företaget får även vidta förberedande åtgärder, i synnerhet i samband med eventuella oegentligheter som anmälts till Olaf, handlägga visselblåsarärenden, genomföra (formella och informella) förfaranden mot trakasserier, handlägga interna och externa klagomål, behandla hälsouppgifter, genomföra internrevisioner, genomföra utredningar tillsammans med dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt genomföra utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

(6)

Det gemensamma företaget behandlar flera olika kategorier av personuppgifter, däribland hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter med anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

(7)	Det gemensamma företaget fungerar, företrätt av sin direktör, som personuppgiftsansvarig, oberoende av om denna uppgift vidaredelegeras inom det gemensamma företaget för att återspegla ett operativt ansvar för en viss specifik behandling av personuppgifter.

(8)

Personuppgifterna lagras på ett säkert sätt i en elektronisk miljö eller i pappersform, vilket förhindrar olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. De personuppgifter som behandlas behålls inte längre än vad som är nödvändigt och lämpligt för det syfte som uppgifterna behandlas för under en tidsperiod som anges i det gemensamma företagets dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register.

(9)

De interna reglerna bör gälla för uppgiftsbehandling som utförs före inledandet av ovannämnda förfaranden i skäl 5, under dessa förfaranden samt under kontrollen av uppföljningen av resultatet av förfarandena. Även bistånd och samarbete som det gemensamma företaget tillhandahåller nationella myndigheter och internationella organisationer vid sidan av sina administrativa utredningar bör omfattas.

Dessa interna regler bör också gälla för verksamhet med anknytning till samarbete med EU:s institutioner och organ och överföring av uppgifter om en administrativ utredning eller disciplinära förfaranden till sådana institutioner och organ. I detta avseende bör det gemensamma företaget samråda med dessa institutioner, organ, byråer, myndigheter och organisationer om de relevanta skälen för att införa begränsningar och om dessa begränsningars nödvändighet och proportionalitet.

(10)	När dessa interna regler tillämpas måste det gemensamma företaget ge motiveringar som förklarar varför begränsningarna är absolut nödvändiga och proportionella i ett demokratiskt samhälle och förenliga med andemeningen i de grundläggande rättigheterna och friheterna.

(11)

Det gemensamma företaget måste inom denna ram så långt som möjligt respektera de registrerades grundläggande rättigheter vid ovannämnda förfaranden, särskilt dem som rör rätten till information, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, rätten till begränsning av behandlingen, rätten att bli underrättad om personuppgiftsincidenter och rätten till konfidentiell behandling av kommunikation i enlighet med förordning (EU) 2018/1725.

(12)

Det gemensamma företaget kan dock tvingas begränsa registrerades tillgång till information samt andra rättigheter som tillkommer den registrerade för att särskilt skydda sina egna utredningar och förfaranden, andra myndigheters utredningar och förfaranden och rättigheterna för andra personer som är anknutna till det gemensamma företagets utredningar eller andra förfaranden.

(13)

Det gemensamma företaget kan alltså begränsa utlämnandet av information i syfte att skydda utredningen och andra registrerades grundläggande rättigheter och friheter.

Det gemensamma företaget får i synnerhet skjuta upp tillhandahållandet av informationen för att skydda sina administrativa utredningar och disciplinära förfaranden, andra myndigheters utredningar och förfaranden samt uppgiftslämnares och andra berörda personers identitet, däribland visselblåsare och vittnen som inte bör drabbas av negativa konsekvenser på grund av sitt samarbete.

Tillhandahållande av information till den registrerade om skälen till en begränsning får skjutas upp, utelämnas eller nekas av den personuppgiftsansvarige i enlighet med artikel 25.8 i förordning (EU) 2018/1725 om informationen skulle upphäva verkan av den begränsning som införts.

(14)	Det gemensamma företaget bör regelbundet kontrollera att förhållandena som motiverar en begränsning fortfarande är tillämpliga och upphäva begränsningen om de inte längre är det.

(15)	Den personuppgiftsansvarige bör informera dataskyddsombudet när tillhandahållandet av information skjuts upp, när de registrerades rättigheter begränsas på andra sätt och under översynerna.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1. Detta beslut innehåller regler om de villkor som måste vara uppfyllda för att det gemensamma företaget inom ramen för de förfaranden som anges i punkt 2 ska få begränsa rättigheterna som avses i artiklarna 14–21, 35 och 36, samt artikel 4 i förordning (EU) 2018/1725, i enlighet med artikel 25 i den förordningen.

2. Inom ramen för det gemensamma företagets administrativa verksamhet är detta beslut tillämpligt på dess behandling av personuppgifter för följande ändamål: genomförande av administrativa utredningar och disciplinära förfaranden samt förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf, handläggning av visselblåsarärenden, genomförande av (formella och informella) förfaranden mot trakasserier, behandling av interna och externa klagomål, behandling av hälsouppgifter, genomförande av internrevisioner, genomförande av utredningar tillsammans med dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

Detta beslut bör även gälla för stöd och samarbete som det gemensamma företaget bistår nationella myndigheter och internationella organisationer med vid sidan av sina administrativa utredningar.

Vidare gäller detta beslut för verksamhet med anknytning till samarbete med EU:s institutioner och organ, och överföring av uppgifter om en administrativ utredning eller disciplinära förfaranden till dessa institutioner och organ, när sådana uppgifter krävs för att mottagaren ska kunna utvärdera skälen för att inleda en formell utredning eller ett formellt förfarande.

3. De kategorier av uppgifter som omfattas är hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter med anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

4. Det gemensamma företaget ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.

5. Begränsningarna kan på de villkor som anges i detta beslut gälla för följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation.

Artikel 2

Specificering av den personuppgiftsansvarige och skyddsåtgärder

1. Följande skyddsåtgärder har vidtagits för att förhindra personuppgiftsincidenter, dataläckor och obehörigt utlämnande:

a)	Pappersdokument ska förvaras i låsbara skåp och endast vara åtkomliga för behörig personal.

b)	Alla elektroniska uppgifter ska lagras i en säker it-applikation i enlighet med det gemensamma företagets säkerhetsnormer samt i särskilda digitala mappar som endast är åtkomliga för behörig personal. Olika nivåer för tillgång ska beviljas individuellt beroende på användare.

Databasen ska vara lösenordsskyddad i ett system med samlad inloggning och automatiskt kopplad till användarens användarnamn och lösenord. Det är absolut förbjudet att byta ut användare. Elektroniska handlingar ska lagras på ett säkert sätt för att säkerställa sekretesskydd för de uppgifter som finns i dessa.

d)	Alla som har tillgång till uppgifterna är bundna av tystnadsplikt.

2. Det gemensamma företaget fungerar, företrädd av sin direktör, som personuppgiftsansvarig vid behandlingen och får vidaredelegera denna uppgift. Registrerade ska underrättas om delegeringen via dataskyddsmeddelanden eller dokumentation som publiceras på det gemensamma företagets webbplats och/eller intranät.

3. Lagringsperioden för de personuppgifter som anges i artikel 1.3 får inte vara längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. Den får i alla händelser inte överstiga den lagringsperiod som anges i de dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register som nämns i artikel 5.1.

4. När det gemensamma företaget överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter vägas mot i synnerhet risken för andra registrerades rättigheter och friheter samt risken för att upphäva verkningarna av det gemensamma företagets utredningar och förfaranden, t.ex. genom förstörande av bevismaterial. Riskerna för andra registrerades rättigheter och friheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

Artikel 3

Begränsningar

1. Eventuella begränsningar ska endast tillämpas av det gemensamma företaget i syfte att säkerställa

a)	förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

andra av unionens eller en medlemsstats viktiga mål av allmänt intresse, särskilt målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

c)	den inre säkerheten i unionsinstitutioner och unionsorgan, inbegripet deras elektroniska kommunikationsnät,

d)	skydd av rättsväsendets oberoende och rättsliga åtgärder,

e)	förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

f)	en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som avses i leden a–c,

g)	skydd av den registrerade eller andras rättigheter och friheter,

h)	verkställighet av civilrättsliga krav.

2. Det gemensamma företaget får, i specifika fall inom ramen för de ändamål som anges i punkt 1 ovan, begränsa rättigheter och skyldigheter vad gäller personuppgifter som utbyts med kommissionens avdelningar eller unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer, eller med internationella organisationer, om

utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av kommissionens avdelningar eller unionens övriga institutioner, organ och byråer på grundval av andra rättsakter som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen eller med grundläggande rättsakter för andra av unionens institutioner, organ och byråer,

utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av medlemsstaternas behöriga myndigheter på grundval av rättsakter som avses i artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 (4), eller enligt nationella bestämmelser som införlivar artiklarna 13.3, 15.3 eller 16.3 i Europaparlamentets och rådets direktiv (EU) 2016/680 (5),

c)	utövandet av dessa rättigheter och skyldigheter skulle kunna äventyra det gemensamma företagets samarbete med tredjeländer eller internationella organisationer vid utförandet av dess arbetsuppgifter.

Innan det gemensamma företaget tillämpar begränsningar i de fall som avses i första stycket leden a och b ska man samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter, såvida det inte är uppenbart för det gemensamma företaget att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.

3. Eventuella begränsningar ska vara nödvändiga och proportionella med beaktande av riskerna för de registrerades rättigheter och friheter och förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.

4. Om det gemensamma företaget överväger att tillämpa en begränsning ska en bedömning av nödvändigheten och proportionaliteten göras på grundval av dessa regler. Bedömningen ska dokumenteras i redovisningssyfte genom en intern bedömningsnotering i varje enskilt fall.

5. Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller. Detta gäller särskilt i de fall då utövandet av den begränsade rättigheten inte längre anses upphäva verkan av en införd begränsning eller inverka menligt på andra registrerades rättigheter och friheter.

Artikel 4

Omprövning av dataskyddsombudet

1. Det gemensamma företaget ska som personuppgiftsansvarig utan onödigt dröjsmål underrätta sitt dataskyddsombud när företaget begränsar tillämpningen av de registrerades rättigheter eller utvidgar begränsningen med stöd i detta beslut. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet, och i dokumentationen ange det datum då dataskyddsombudet underrättades.

2. Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvarige omprövar tillämpningen av begränsningarna. Den personuppgiftsansvarige ska skriftligen underrätta dataskyddsombudet om resultatet av omprövningen.

3. Den personuppgiftsansvarige ska även underrätta dataskyddsombudet när begränsningen har upphävts.

Artikel 5

Tillhandahållande av information till registrerade

1. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till information i samband med följande typ av uppgiftsbehandling:

a)	Genomförande av administrativa utredningar och disciplinära förfaranden.

b)	Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)	Förfaranden i visselblåsarärenden.

d)	(Formella och informella) förfaranden som rör trakasserier.

e)	Handläggning av interna och externa klagomål.

f)	Internrevisioner.

g)	Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

h)	Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

I dataskyddsmeddelandena, meddelandena om skydd av personuppgifter eller de register som avses i artikel 31 i förordning (EU) 2018/1725, som publiceras på det gemensamma företagets webbplats och/eller intranät och som innehåller information till registrerade om deras rättigheter i olika förfaranden, ska det gemensamma företaget informera de registrerade om att dessa rättigheter kan komma att inskränkas. Informationen ska omfatta vilka rättigheter som kan komma att begränsas.

2. Utan att det påverkar tillämpningen av bestämmelserna i punkt 3 ska det gemensamma företaget där så är proportionellt informera alla registrerade som anses vara berörda i den specifika behandlingen om deras rättigheter vad gäller aktuella eller framtida begränsningar. Informationen ska ges utan onödigt dröjsmål, skriftligen och individuellt.

3. I de fall då det gemensamma företaget helt eller delvis begränsar informationen till registrerade enligt punkt 2 ska företaget dokumentera skälen till begränsningen och den rättsliga grunden enligt artikel 3 i detta beslut samt en bedömning av nödvändigheten och proportionaliteten i begränsningen.

Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

4. Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger.

Det gemensamma företaget ska underrätta den registrerade om de huvudsakliga skälen till att en begränsning tillämpas. Samtidigt ska det gemensamma företaget informera den registrerade om dennes rätt att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

Det gemensamma företaget ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när undersökningen, utredningen eller förfarandet avslutas. Därefter ska den personuppgiftsansvarige på halvårsbasis övervaka behovet av att behålla eventuella begränsningar.

Artikel 6

Registrerades rätt till tillgång

1. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till tillgång vid följande typ av uppgiftsbehandling, om det är nödvändigt och proportionellt:

a)	Genomförande av administrativa utredningar och disciplinära förfaranden.

b)	Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)	Förfaranden i visselblåsarärenden.

d)	(Formella och informella) förfaranden som rör trakasserier.

e)	Handläggning av interna och externa klagomål.

f)	Behandling av hälsouppgifter (bara i specifika och klart motiverade fall (6)).

g)	Internrevisioner.

h)	Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

i)	Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

Om registrerade, i överensstämmelse med artikel 17 i förordning (EU) 2018/1725, begär tillgång till sina personuppgifter som behandlas i samband med ett eller flera specifika fall eller ärenden som inbegriper uppgiftsbehandling, ska det gemensamma företaget begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.

2. Om det gemensamma företaget helt eller delvis begränsar rätten till tillgång, som avses i artikel 17 i förordning (EU) 2018/1725, ska följande åtgärder vidtas:

Det gemensamma företaget ska i sitt svar på den berörda registrerades begäran lämna information om den begränsning som tillämpas och om de huvudsakliga skälen till denna, samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller att begära rättslig prövning vid Europeiska unionens domstol.

b)	Det gemensamma företaget ska genom en intern bedömningsnotering dokumentera skälen till begränsningen, däribland en bedömning av begränsningens nödvändighet och proportionalitet samt dess varaktighet.

Tillhandahållandet av den information som avses i led a får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med artikel 25.8 i förordning (EU) 2018/1725.

3. Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

Artikel 7

Rätt till rättelse, radering och begränsning av behandling

1. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till rättelse, radering och begränsning av behandling vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

a)	Genomförande av administrativa utredningar och disciplinära förfaranden.

b)	Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)	Förfaranden i visselblåsarärenden.

d)	(Formella och informella) förfaranden som rör trakasserier.

e)	Handläggning av interna och externa klagomål.

f)	Behandling av hälsouppgifter (bara i specifika och klart motiverade fall (7)).

g)	Internrevisioner.

h)	Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

i)	Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

2. Artikel 6.2 och 6.3 i detta beslut är tillämplig om det gemensamma företaget helt eller delvis begränsar den rätt till rättelse, radering eller begränsning av behandling som avses i artiklarna 18, 19.1 och 20.1 i förordning (EU) 2018/1725.

Artikel 8

Information till den registrerade om en personuppgiftsincident och konfidentiell behandling av elektronisk kommunikation

1. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till information om en personuppgiftsincident vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

a)	Genomförande av administrativa utredningar och disciplinära förfaranden.

b)	Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)	Förfaranden i visselblåsarärenden.

d)	(Formella och informella) förfaranden som rör trakasserier.

e)	Handläggning av interna och externa klagomål.

f)	Internrevisioner.

g)	Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

h)	Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

2. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till konfidentiell behandling av elektronisk kommunikation vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

a)	Genomförande av administrativa utredningar och disciplinära förfaranden.

b)	Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)	Förfaranden i visselblåsarärenden.

d)	Formella förfaranden som rör trakasserier.

e)	Handläggning av interna och externa klagomål.

f)	Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av incidenthanteringsorganisationen för EU:s institutioner och byråer).

3. Artikel 5.3 och 5.4 i detta beslut är tillämplig om det gemensamma företaget begränsar informationen till den registrerade om en personuppgiftsincident eller konfidentialiteten vid elektronisk kommunikation i enlighet med artiklarna 35 och 36 i förordning (EU) 2018/1725.

Artikel 9

Ikraftträdande

Detta beslut träder i kraft dagen efter att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Barcelona den 9 december 2019.

På det gemensamma företagets vägnar

Joaquín SÁNCHEZ

Styrelsens ordförande

(1) EUT L 295, 21.11.2018, s. 39.

(2) EUT L 90, 30.3.2007, s. 58.

(3) EUT L 248, 18.9.2013, s. 1.

(4) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(5) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(6) Dessa situationer beskrivs i respektive meddelande om behandling av personuppgifter (t.ex. tillgång till handlingar i en patientjournal i närvaro av det gemensamma företagets läkare). En allmän begränsning av åtkomsten till läkares personliga anteckningar föreligger när det gäller invaliditetsförfaranden, i enlighet med begränsningen i artikel 25.1 h i den nya förordningen (dvs. skydd av den registrerade eller andras rättigheter och friheter).

(7) Dessa situationer beskrivs i respektive meddelande om behandling av personuppgifter (rätten till rättelse är t.ex. begränsad till administrativa uppgifter).