6.7.2020   

SV

Europeiska unionens officiella tidning

L 214/5


EUROPEISKA SJÖSÄKERHETSBYRÅNS STYRELSES BESLUT

av den 6 april 2020

om interna regler gällande begränsningar av vissa av de rättigheter som tillkommer registrerade vid behandling av personuppgifter inom ramen för Emsas funktion

EUROPEISKA SJÖSÄKERHETSBYRÅNS STYRELSE HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25,

med beaktande av yttrandet från Europeiska datatillsynsmannen (EDPS) av den 18 december 2019 (DH/GC/vm /D(2019) 2673 C 2019–0876) och Europeiska datatillsynsmannens riktlinjer för den nya förordningens artikel 25 och interna regler,

med beaktande av Europaparlamentets och rådets förordning (EG) nr 1406/2002 av den 27 juni 2002 om inrättande av en europeisk sjösäkerhetsbyrå (2), i dess ändrade lydelse och särskilt artikel 4.4, och

av följande skäl:

1)

Byrån utför sitt uppdrag i enlighet med sin inrättandeförordning.

2)

I enlighet med artikel 25.1 i förordning (EU) 2018/1725 ska begränsningar av tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i samma förordning i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, grunda sig på interna regler som ska antas av byrån, när dessa inte grundar sig på rättsakter som antas på grundval av fördragen.

3)

Dessa interna regler, däribland dess bestämmelser om bedömning av behovet av en begränsning och dess proportionalitet, ska inte gälla när en rättsakt som antagits på grundval av fördragen innefattar en begränsning av registrerades rättigheter.

4)

Byrån ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.

5)

Inom ramen för sin verksamhet får byrån genomföra administrativa utredningar och disciplinära förfaranden, vidta förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf, handlägga visselblåsarärenden, genomföra (formella och informella) förfaranden mot trakasserier, handlägga interna och externa klagomål, genomföra internrevisioner, låta dataskyddsombudet genomföra utredningar i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt genomföra interna utredningar om it-säkerhet.

Byrån behandlar flera olika kategorier av personuppgifter, däribland hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

6)

Byrån, företrädd av sin verkställande direktör, fungerar som personuppgiftsansvarig, oavsett om ansvaret har delegerats inom Emsa utifrån ansvarsfördelningen för olika operativa arbetsuppgifter som inbegriper personuppgiftsbehandling.

7)

Personuppgifterna lagras i en säker elektronisk miljö eller i pappersform, vilket förhindrar olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. De personuppgifter som behandlas behålls inte längre än vad som är nödvändigt och lämpligt för det syfte som uppgifterna behandlas för under en tidsperiod som anges i byråns dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register.

8)

De interna reglerna gäller all personuppgiftsbehandling som myndigheten utför inom ramen för administrativa utredningar och disciplinära förfaranden, förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf, visselblåsarärenden, (formella och informella) förfaranden för att förhindra trakasserier, handläggning av interna och externa klagomål, internrevisioner, dataskyddsombudets utredningar i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt interna (it-)säkerhetsutredningar som utförs internt eller med extern hjälp (till exempel av CERT-EU).

9)

De interna reglerna ska gälla för uppgiftsbehandling som utförs före inledandet av ovannämnda förfaranden, under dessa förfaranden samt under kontrollen av uppföljningen av resultatet av förfarandena. Även stöd och samarbete som myndigheten bistår nationella myndigheter och internationella organisationer med vid sidan av sina administrativa utredningar omfattas.

10)

I de fall då dessa interna regler tillämpas måste myndigheten motivera varför begränsningarna är absolut nödvändiga och proportionerliga i ett demokratiskt samhälle och respektera andemeningen i de grundläggande fri- och rättigheterna.

11)

Byrån måste inom denna ram så långt som möjligt respektera de registrerades grundläggande rättigheter vid ovannämnda förfaranden, särskilt de som rör rätten till information, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation i enlighet med förordning (EU) 2018/1725.

12)

Byrån kan dock tvingas begränsa registrerades tillgång till information samt andra rättigheter som tillkommer den registrerade för att särskilt skydda sina egna utredningar, andra myndigheters utredningar och förfaranden och rättigheterna för andra personer med koppling till byråns utredningar eller andra förfaranden.

13)

Byrån kan alltså begränsa utlämnandet av information i syfte att skydda utredningen och andra registrerades grundläggande rättigheter och friheter.

14)

Myndigheten bör regelbundet kontrollera att villkoren som motiverar en begränsning fortfarande uppfylls och upphöra med begränsningen om de inte gör det.

15)

Den personuppgiftsansvarige ska informera dataskyddsombudet vid uppskjutande och i samband med kontrollerna.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1.   Detta beslut innehåller regler om vilka villkor som måste vara uppfyllda för att byrån inom ramen för de förfaranden som anges i punkt 2 ska få begränsa rättigheterna som avses i artiklarna 14–21, 35 och 36, liksom artikel 4 i förordning (EU) 2018/1725, i enlighet med artikel 25 i den förordningen.

2.   Inom ramen för byråns verksamhet är detta beslut tillämpligt på byråns behandling av personuppgifter för följande ändamål: administrativa utredningar, disciplinära förfaranden, förberedande åtgärder vid fall av eventuella oegentligheter som anmälts till Olaf, hantering av visselblåsarärenden, (formella och informella) förfaranden för att hantera trakasserier, handläggning av interna och externa klagomål, internrevisioner, utredningar som dataskyddsombudet genomför i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt utredningar om it-säkerhet som hanteras internt eller med extern hjälp (till exempel av CERT-EU).

3.   De kategorier av uppgifter som omfattas är hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet, såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

4.   Byrån ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.

5.   Begränsningarna kan på de villkor som anges i detta beslut gälla för följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation. I enlighet med artikel 5.4 i tjänsteföreskrifterna godkänns härmed de tabeller som fastställer likvärdigheten mellan de typer av tjänster och de befattningar som används för tjänstemän och tillfälligt anställda vid Emsa och som återfinns i bilagan till detta beslut.

Artikel 2

Specificering av personuppgiftsansvarig

1.   Personuppgiftsansvarig för behandlingen av personuppgifter är myndigheten, företrädd av sin verkställande direktör, som kan delegera personuppgiftsansvaret till någon annan. Registrerade ska informeras om vem som delegerats personuppgiftsansvaret genom dataskyddsmeddelanden eller register på myndighetens webbplats och/eller intranät.

2.   Lagringsperioden för de personuppgifter som anges i artikel 1.3 får inte vara längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. Den får i alla händelser inte överstiga den lagringsperiod som anges i de dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register som nämns i artikel 5.1.

3.   Om byrån överväger att tillämpa en begränsning ska risken för den registrerades fri- och rättigheter vägas särskilt mot risken för andra registrerades fri- och rättigheter samt mot risken att verkningarna av byråns utredningar eller förfaranden upphävs, till exempel genom att bevis förstörs. Riskerna för den registrerades rättigheter och friheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

Artikel 2a

Skyddsåtgärder

Den personuppgiftsansvarige förbinder sig att införa skyddsåtgärder för att undvika missbruk av olaglig tillgång eller överföring som ska omfatta, men inte begränsas till, följande:

a)

Pappersdokument ska förvaras i säkra skåp som endast behörig personal har åtkomst till.

b)

Alla elektroniska uppgifter ska lagras i en säker it-applikation i enlighet med byråns säkerhetsnormer samt i särskilda digitala mappar som endast är åtkomliga för behörig personal. Olika nivåer för tillgång ska beviljas individuellt beroende på användare.

c)

Databasen/databaserna ska ha lösenordsskydd i ett system med samlad inloggning som är automatiskt kopplat till användarens användarnamn och lösenord. Åtkomst till databaser och data på den andra användaren/identitetens vägnar är strängt förbjudet. Elektroniska handlingar ska lagras på ett säkert sätt för att säkerställa att de uppgifter som finns i dessa behandlas konfidentiellt.

d)

Alla som har tillgång till uppgifterna är bundna av tystnadsplikt.

Artikel 3

Begränsningar

1.   Eventuella begränsningar ska endast tillämpas av byrån i syfte att säkerställa

a)

den nationella säkerheten, den allmänna säkerheten eller försvaret i medlemsstaterna,

b)

förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

c)

andra av unionens eller en medlemsstats viktiga mål av allmänt intresse, särskilt målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

d)

den inre säkerheten i unionsinstitutioner och unionsorgan, inbegripet deras elektroniska kommunikationsnät,

e)

skydd av rättsväsendets oberoende och rättsliga åtgärder,

f)

förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

g)

en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som avses i leden a–c,

h)

skydd av den registrerade eller andras rättigheter och friheter,

i)

verkställighet av civilrättsliga krav.

2.   Inom ramen för de ändamål som anges i punkt 1 ovan får byrån tillämpa begränsningar i följande fall:

a)

Om en annan unionsinstitution, ett annat unionsorgan eller en annan unionsbyrå har rätt att begränsa utövandet av de förtecknade rättigheterna på grundval av andra rättsakter enligt vad som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen, eller utifrån grundrättsakter för andra av unionens institutioner, organ och byråer.

b)

Om syftet med en sådan begränsning från unionsinstitutionens, unionsorganets eller unionsbyråns sida skulle äventyras om Emsa inte tillämpade en motsvarande begränsning för samma personuppgifter.

c)

Om en behörig myndighet i en medlemsstat har rätt att begränsa utövandet av de förtecknade rättigheterna på grundval av andra rättsakter som föreskrivs i artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 (3), eller enligt nationella bestämmelser som införlivar artiklarna 13.3, 15.3 eller 16.3 i Europaparlamentets och rådets direktiv (EU) 2016/680 (4).

d)

Om syftet med en sådan begränsning från den behöriga myndighetens sida skulle äventyras om Emsa inte tillämpade en motsvarande begränsning för samma personuppgifter.

e)

Om utövandet av dessa rättigheter och skyldigheter skulle äventyra byråns samarbete med tredjeländer eller internationella organisationer vid utförandet av dess arbetsuppgifter.

Innan byrån tillämpar begränsningar i de fall som avses i första stycket leden a och b ska den samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter, såvida det inte är uppenbart för byrån att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.

3.   Eventuella begränsningar ska vara nödvändiga och stå i proportion till riskerna för de registrerades rättigheter och friheter och vara förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.

4.   Om man överväger att tillämpa en begränsning ska en bedömning av nödvändigheten och proportionaliteten göras var sjätte månad på grundval av dessa regler. Bedömningen ska dokumenteras i redovisningssyfte genom en intern bedömningsnotering i varje enskilt fall.

5.   Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller. Detta gäller särskilt i de fall då utövandet av den begränsade rättigheten inte längre anses upphäva verkan av en införd begränsning eller inverka menligt på andra registrerades rättigheter och friheter.

Artikel 4

Omprövning av dataskyddsombudet

1.   Myndigheten ska i enlighet med detta beslut utan onödigt dröjsmål informera myndighetens dataskyddsombud om alla fall då den personuppgiftsansvarige begränsar registrerades rättigheter eller förlänger en begränsning. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet och ange i densamma det datum när dataskyddsombudet underrättades.

2.   Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvarige omprövar tillämpningen av begränsningarna. Den personuppgiftsansvarige ska skriftligen underrätta dataskyddsombudet om resultatet av den begärda omprövningen.

3.   Den personuppgiftsansvarige ska även underrätta dataskyddsombudet när begränsningen har upphävts.

Artikel 5

Tillhandahållande av information till registrerade

1.   I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till information i samband med följande typ av uppgiftsbehandling:

a)

Genomförande av administrativa utredningar och disciplinära förfaranden.

b)

Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)

Förfaranden i visselblåsarärenden.

d)

(Formella och informella) förfaranden vid fall av trakasserier.

e)

Behandling av interna och externa klagomål.

f)

Internrevisioner.

g)

Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

h)

Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av CERT-EU).

I de dataskyddsmeddelanden, meddelanden om skydd av personuppgifter, eller det register som avses i artikel 31 i förordning (EU) 2018/1725, som publiceras på byråns webbplats och/eller intranät och som innehåller information till registrerade om deras rättigheter i olika förfaranden, ska byrån informera de registrerade om att dessa rättigheter kan komma att inskränkas. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen och möjlig varaktighet.

2.   Utan att det påverkar tillämpningen av bestämmelserna i punkt 3 ska byrån, där så är proportionerligt, utan onödigt dröjsmål skriftligen även personligen informera alla registrerade som anses vara berörda i respektive behandlingsfall om deras rättigheter vad gäller pågående eller framtida inskränkningar.

3.   I de fall då byrån helt eller delvis begränsar informationen till registrerade enligt punkt 2 ska byrån dokumentera anledningarna till begränsningen och den rättsliga grunden enligt artikel 3 i detta beslut samt inkludera en bedömning av nödvändigheten och proportionaliteten i begränsningen.

Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

4.   Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger.

Om skälen till begränsning inte längre föreligger ska byrån underrätta den registrerade om de huvudsakliga skälen till varför en begränsning tillämpas. Samtidigt ska byrån informera den registrerade om dennes rätt att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

Myndigheten ska ompröva begränsningen var sjätte månad från det att den beslutats samt när utredningen eller förfarandet i fråga avslutas. Därefter ska den personuppgiftsansvarige på halvårsbasis övervaka behovet av att behålla eventuella begränsningar.

Artikel 6

Registrerades rätt till tillgång

1.   I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till tillgång vid följande typ av uppgiftsbehandling, om det är nödvändigt och proportionellt:

a)

Genomförande av administrativa utredningar och disciplinära förfaranden.

b)

Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)

Förfaranden som rör visselblåsning.

d)

Förfaranden (formella och informella) vid fall av trakasserier.

e)

Handläggning av interna och externa klagomål.

f)

Internrevisioner.

g)

Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

h)

Utredningar om (it-)säkerhet som hanteras internt eller med extern hjälp (t.ex. incidenthanteringsorganisationen för EU:s institutioner och byråer).

Om registrerade, i överensstämmelse med artikel 17 i förordning (EU) 2018/1725, begär tillgång till sina personuppgifter som behandlas i samband med ett eller flera specifika fall eller ärenden som inbegriper uppgiftsbehandling ska byrån begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.

2.   Om byrån helt eller delvis begränsar rätten till tillgång, som avses i artikel 17 i förordning (EU) 2018/1725, ska följande åtgärder vidtas:

a)

Byrån ska informera berörd registrerad, i sitt svar på dennes begäran, om den begränsning som tillämpas och de huvudsakliga skälen till begränsningen, samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller att begära rättslig prövning vid Europeiska unionens domstol.

b)

Byrån ska genom en intern bedömningsnotering dokumentera skälen till begränsningen, däribland en bedömning av begränsningens nödvändighet och proportionalitet samt dess varaktighet.

Tillhandahållandet av den information som avses i led a får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med artikel 25.8 i förordning (EU) 2018/1725.

Myndigheten ska ompröva begränsningen var sjätte månad från det att beslut om den fattats, samt när utredningen i fråga avslutas. Därefter ska den personuppgiftsansvarige på halvårsbasis övervaka behovet av att behålla eventuella begränsningar.

3.   Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

Artikel 7

Rätt till rättelse, radering och begränsning av behandling

1.   I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till rättelse, radering och begränsning av behandling vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

a)

Genomförande av administrativa utredningar och disciplinära förfaranden.

b)

Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)

Förfaranden vid fall av visselblåsning.

d)

Förfaranden (formella och informella) vid fall av trakasserier.

e)

Handläggning av interna och externa klagomål.

f)

Internrevisioner.

g)

Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

h)

Utredningar om (it-)säkerhet som hanteras internt eller med extern hjälp (t.ex. CERT-EU).

i)

Säkerhetskopiering av offline-poster som är sekventiella och endast behandlas vid katastrofåterställning eller återställning av partiella data.

2.   Om myndigheten helt eller delvis inskränker den rätt till rättelse, radering eller begränsning av behandling som avses i artiklarna 18, 19.1 och 20.1 i förordning (EU) 2018/1725 ska myndigheten vidta de åtgärder som anges i artikel 6.2 i föreliggande beslut och registrera dokumentationen i enlighet med artikel 6.3 i detsamma. Utan att det påverkar ovanstående åtgärder ska varje begränsning ses över i enlighet med villkoren i artikel 3.4 i detta beslut.

Artikel 8

Information till den registrerade om en personuppgiftsincident och konfidentiell behandling av elektronisk kommunikation

1.   I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till information om en personuppgiftsincident vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

a)

Genomförande av administrativa utredningar och disciplinära förfaranden.

b)

Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)

Förfaranden vid fall av visselblåsning.

d)

Behandling av interna och externa klagomål.

e)

Internrevisioner.

f)

Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725.

g)

Utredningar om (it-)säkerhet som hanteras internt eller med extern hjälp (t.ex. CERT-EU).

2.   I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till konfidentiell behandling av elektronisk kommunikation vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

a)

Genomförande av administrativa utredningar och disciplinära förfaranden.

b)

Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf.

c)

Förfaranden vid fall av visselblåsning.

d)

Formella förfaranden vid fall av trakasserier.

e)

Handläggning av interna och externa klagomål.

f)

Utredningar om (it-)säkerhet som hanteras internt eller med extern hjälp (t.ex. CERT-EU).

3.   Om byrån inskränker en registrerads rätt att få information om personuppgiftsincidenter eller rätt till konfidentiell behandling av elektronisk korrespondens i enlighet med artiklarna 35 och 36 i förordning (EU) 2018/1725 ska den personuppgiftsansvarige notera och registrera skälen till inskränkningen i enlighet med artikel 5.3 i detta beslut. Artikel 5.4 i detta beslut ska tillämpas. Utan att det påverkar ovanstående åtgärder ska varje begränsning ses över i enlighet med villkoren i artikel 3.4 i detta beslut.

Artikel 9

Ikraftträdande

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Lissabon den 6 april 2020.

För Europeiska sjösäkerhetsbyrån

Andreas NORDSETH

Styrelseordförande


(1)  EUT L 295, 21.11.2018, s. 39.

(2)  EGT L 208, 5.8.2002, s. 1.

(3)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(4)  Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).