Styrelsens beslut om interna regler angående begränsningar av vissa rättigheter som de registrerade har med avseende på behandling av personuppgifter inom ramen för verksamhet som bedrivs av Europeiska miljöbyrån

STYRELSEN FÖR EUROPEISKA MILJÖBYRÅN HAR ANTAGIT DETTA BESLUT

MED BEAKTANDE av fördraget om Europeiska unionens funktionssätt,

MED BEAKTANDE av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25,

MED BEAKTANDE av Europaparlamentets och rådets förordning (EG) nr 401/2009 av den 23 april 2009 om Europeiska miljöbyrån och Europeiska nätverket för miljöinformation och miljöövervakning (kodifierad version) (2), särskilt artikel 8,

MED BEAKTANDE av yttrandet från Europeiska datatillsynsmannen (EDPS) av den 13 mars 2020 och EDPS-riktlinjerna för artikel 25 i förordning (EU) 2018/1725 och interna regler,

efter att ha hört personalkommittén, och

AV FÖLJANDE SKÄL.

(1)

Europeiska miljöbyrån (nedan kallad byrån) är bemyndigad att utföra administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (nedan kallade tjänsteföreskrifterna) (3), och i enlighet med byråns styrelsebeslut av den 15 februari 2013 om utförandet av administrativa utredningar och disciplinära förfaranden. Vid behov anmäler byrån också ärenden till Olaf.

(2)

Byråns personal är skyldig att rapportera potentiellt olaglig verksamhet, inbegripet bedrägeri och korruption, som kan skada unionens intressen. Personalen är även skyldig att rapportera uppträdande i tjänsten som kan innebära ett allvarligt avsteg från skyldigheterna för unionens tjänstemän. Detta regleras av byråns styrelsebeslut om riktlinjer för visselblåsning av den 24 april 2018 (beslut EEA/MB/2018/011).

(3)

Byrån har antagit en policy för att förebygga och hantera faktiska eller eventuella fall av mobbning och sexuella trakasserier på arbetsplatsen, såsom föreskrivs i dess styrelsebeslut av den 13 juni 2017 om byråns policy om skydd av enskildas värdighet och förebyggande av mobbning och sexuella trakasserier (beslut EEA/MB/2017/011). I beslutet fastställs ett informellt förfarande där den som påstår sig ha utsatts för trakasserierna kan kontakta byråns konfidentiella rådgivare.

(4)	Byråns verksamhet är föremål för både interna och externa revisioner.

(5)	I samband med sådana administrativa utredningar, revisioner och undersökningar samarbetar byrån med unionens övriga institutioner, organ och byråer.

(6)	Byrån kan samarbeta med nationella myndigheter i tredjeländer och internationella organisationer, på deras begäran eller på eget initiativ.

(7)	Byrån kan även samarbeta med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ.

(8)

Byrån ingriper i mål vid Europeiska unionens domstol när den antingen hänskjuter en fråga till domstolen, försvarar ett beslut som den har fattat och som har överklagats till domstolen eller intervenerar i ärenden som är relevanta för dess arbetsuppgifter. I samband med detta kan byrån behöva säkerställa konfidentialiteten för personuppgifter som finns i dokument från parterna eller intervenienterna.

(9)

För att kunna utföra sina arbetsuppgifter samlar byrån in och behandlar information och flera olika kategorier av personuppgifter, inklusive identifieringsuppgifter för fysiska personer, kontaktinformation, yrkesroller och -uppgifter, information angående uppträdande och prestationer privat och professionellt och finansiella uppgifter. Byrån fungerar som personuppgiftsansvarig.

(10)	Enligt förordning (EU) 2018/1725 (nedan kallad förordningen) ska byrån därför förse de registrerade med information om denna behandling och respektera deras rättigheter som registrerade.

(11)

Byrån kan behöva förena dessa rättigheter med syftena med administrativa utredningar, revisioner, undersökningar och domstolsförfaranden. Byrån kan även behöva ställa de registrerades rättigheter mot andra registrerades grundläggande rättigheter och friheter. I detta syfte föreskrivs i artikel 25 i förordningen en möjlighet för byrån att, under stränga villkor, begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4 i förordningen, i den mån som bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20. Om begränsningar inte föreskrivs i en rättsakt som har antagits på grundval av fördragen är det nödvändigt att anta interna bestämmelser enligt vilka byrån får begränsa dessa rättigheter.

(12)

Byrån kan exempelvis behöva begränsa sitt tillhandahållande av information om behandling av personuppgifter till en registrerad vid den preliminära bedömningsfasen i en administrativ utredning eller under själva utredningen, före en eventuell avvisning av ärendet eller i ett skede som föregår ett disciplinärt förfarande. Under vissa omständigheter kan ett tillhandahållande av sådan information allvarligt påverka byråns förmåga att genomföra utredningen på ett effektivt sätt, till exempel när det finns en risk att den berörda personen förstör bevisning eller påverkar eventuella vittnen innan de kan höras. Byrån kan också behöva skydda rättigheterna och friheterna för såväl vittnen som andra berörda personer.

(13)

Det kan bli nödvändigt att garantera anonymiteten för ett vittne eller en uppgiftslämnare som har bett om att inte bli identifierad. I ett sådant fall kan byrån besluta att begränsa tillgången till sådana personers identitet, uttalanden och andra personuppgifter för att skydda deras rättigheter och friheter.

(14)

Det kan bli nödvändigt att skydda konfidentiella uppgifter om en anställd som har kontaktat byråns konfidentiella rådgivare inom ramen för ett förfarande om trakasserier. I sådana fall kan byrån behöva begränsa tillgången till identitet, uttalanden och andra personuppgifter från det påstådda offret, den påstådda gärningsmannen och andra berörda personer för att skydda rättigheterna och friheterna för alla parter.

(15)	Byrån bör endast tillämpa begränsningar när de respekterar andemeningen i de grundläggande rättigheterna och friheterna, är absolut nödvändiga och är en proportionell åtgärd i ett demokratiskt samhälle. Byrån ska motivera skälen till dessa begränsningar.

(16)	Med tillämpning av principen om ansvarsskyldighet ska byrån registrera tillämpningen av begränsningar.

(17)

Under behandlingen av personuppgifter som utbyts med andra organisationer i samband med dess arbetsuppgifter bör byrån samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte kan äventyra byråns verksamhet.

(18)	Enligt artikel 25.6 i förordningen ska den personuppgiftsansvarige informera de registrerade om de huvudsakliga skälen till begränsningen och om deras rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

(19)

Enligt artikel 25.8 i förordningen får byrån skjuta upp, utelämna eller neka tillhandahållande av information till den registrerade om skälen till tillämpningen av begränsningen om detta på något sätt skulle upphäva verkan av begränsningen. Byrån ska i varje enskilt fall bedöma huruvida meddelandet av begränsningen skulle upphäva dess verkan.

(20)	Byrån ska upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma dessa med jämna mellanrum.

(21)	För att garantera maximalt skydd för de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordningen ska dataskyddsombudet rådfrågas i tid om tillämpningen av eventuella begränsningar och kontrollera efterlevnaden av detta beslut.

(22)	I artiklarna 16.5 och 17.4 i förordningen föreskrivs undantag för registrerades rätt till information och rätt till tillgång. Om dessa undantag är tillämpliga behöver byrån inte tillämpa en begränsning enligt detta beslut.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1. I detta beslut fastställs bestämmelser om de villkor på vilka byrån får begränsa tillämpningen av artiklarna 4, 14–22, 35 och 36, i enlighet med artikel 25 i förordningen.

2. I sin roll som personuppgiftsansvarig företräds byrån av sin verkställande direktör, som kan delegera rollen som personuppgiftsansvarig inom byrån för att återspegla det operativa ansvaret för specifika behandlingar av personuppgifter.

Artikel 2

Begränsningar

1. Byrån får begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4, i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20, när byrån

i enlighet med artikel 25.1 b, c, f, g och h i förordningen utför administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden eller avstängningsförfaranden enligt tjänsteföreskrifternas artikel 86 och bilaga IX och enligt byråns styrelsebeslut av den 15 februari 2013 om utförandet av administrativa utredningar och disciplinära förfaranden, vid behandling av interna och externa klagomål samt när den anmäler ärenden till Olaf,

b)	i enlighet med artikel 25.1 h i förordningen säkerställer att byråns personal konfidentiellt får rapportera uppgifter när de anser att det föreligger betydande oegentligheter, såsom föreskrivs i byråns styrelsebeslut om riktlinjer för visselblåsning av den 24 april 2018 (beslut EEA/MB/2018/011),

i enlighet med artikel 25.1 h i förordningen säkerställer att byråns personal kan rapportera till konfidentiella rådgivare inom ramen för ett förfarande beträffande trakasserier (formellt eller informellt), såsom fastställs i byråns styrelsebeslut av den 13 juni 2017 om policyn om byråns policy för skydd av enskildas värdighet och förebyggande av mobbning och sexuella trakasserier (beslut EEA/MB/2017/011),

i enlighet med artikel 25.1 c, g och h i förordningen utför internrevisioner med avseende på arbetsuppgifter eller avdelningar inom byrån, däribland dataskyddsombudets undersökningar i enlighet med artikel 45.2 i förordning (EU) 2018/1725, och (it-) säkerhetsundersökningar som hanteras internt eller med extern inblandning (t.ex. CERT-EU),

i enlighet med artikel 25.1 c, d, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med andra av unionens institutioner, organ och byråer, i samband med de arbetsuppgifter som avses i leden a–d i denna punkt och i enlighet med relevanta avtal om servicenivå, samförståndsavtal och samarbetsavtal,

f)	i enlighet med artikel 25.1 c, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med tredjeländers nationella myndigheter och internationella organisationer, på deras begäran eller på eget initiativ,

g)	i enlighet med artikel 25.1 c, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ,

h)	i enlighet med artikel 25.1 e i förordningen behandlar personuppgifter i dokument från parter eller intervenienter i samband med ett förfarande vid Europeiska unionens domstol.

i)	Eventuella begränsningar ska respektera andemeningen i de grundläggande rättigheterna och friheterna och vara nödvändiga och proportionella i ett demokratiskt samhälle.

2. En bedömning av behovet och proportionaliteten ska göras i varje enskilt fall innan begränsningar börjar tillämpas. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.

3. Byrån ska i redovisningssyfte registrera skälen till de begränsningar som tillämpas, vilka av de grunder som anges i punkt 1 som är tillämpliga och resultatet av bedömningen av behovet och proportionaliteten. Dessa uppgifter ska utgöra del av ett register som på begäran ska göras tillgängligt för Europeiska datatillsynsmannen. Byrån ska sammanställa regelbundna rapporter om tillämpningen av artikel 25 i förordningen.

4. Under sin behandling av personuppgifter som mottagits från andra organisationer i samband med dess arbetsuppgifter ska byrån samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte skulle äventyra byråns verksamhet.

5. De kategorier av uppgifter som omfattas är hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet, såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

Artikel 3

Risker för de registrerades rättigheter och friheter

1. Bedömningar av riskerna med begränsningar för de registrerades rättigheter och friheter samt uppgifter om tillämpningsperioden för begränsningarna ska anges i det register över behandling som förs av byrån enligt artikel 31 i förordningen. De ska även anges i de konsekvensbedömningar av skyddet av personuppgifter som görs för dessa begränsningar enligt artikel 39 i förordningen.

2. Vid bedömning av en begränsnings nödvändighet och proportionalitet ska byrån alltid beakta de potentiella riskerna för den registrerades rättigheter och friheter.

Artikel 4

Skyddsåtgärder och lagringsperioder

1. Byrån ska genomföra skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller kan vara föremål för begränsningar. Sådana skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska om så behövs specificeras i byråns interna beslut, förfaranden och genomförandebestämmelser. Skyddsåtgärderna ska omfatta följande:

a)	En tydlig definition av funktioner, ansvar och olika steg i förfarandet.

En säker elektronisk miljö som förebygger olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer; alla elektroniska data ska lagras i en säker it-tillämpning i enlighet med byråns säkerhetsstandarder, samt i särskilda elektroniska mappar som endast är åtkomliga för behörig personal. Olika nivåer för tillgång ska beviljas individuellt beroende på användare.

c)	Säker lagring och behandling av pappersbaserade dokument, som ska förvaras i låsbara skåp och endast vara åtkomliga för behörig personal.

d)	Vederbörlig kontroll av begränsningar och regelbunden översyn av deras tillämpning.

2. De översyner som avses i led d ska genomföras åtminstone var sjätte månad.

3. Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller.

4. Personuppgifterna ska lagras i enlighet med de lagringsbestämmelser som är tillämpliga för byrån, såsom de definieras i de dataskyddsregister som förs enligt artikel 31 i förordningen. I slutet av lagringsperioden ska personuppgifterna raderas, anonymiseras eller överföras till arkiv i enlighet med artikel 13 i förordningen.

Artikel 5

Dataskyddsombudets roll

1. Byråns dataskyddsombud ska informeras utan onödigt dröjsmål när registrerades rättigheter begränsas i enlighet med detta beslut. Han eller hon ska få tillgång till de tillhörande registren och alla dokument som rör faktiska och rättsliga delar.

2. Byråns dataskyddsombud får begära en översyn av tillämpningen av en begränsning. Byråns ska skriftligen informera sitt dataskyddsombud om resultatet av översynen.

3. Byrån ska dokumentera dataskyddsombudets deltagande i tillämpningen av begränsningar, inklusive vilken information som delas med honom eller henne.

Artikel 6

Information till registrerade om begränsningar av deras rättigheter

1. Byrån ska i meddelanden om skydd av personuppgifter som offentliggörs på dess webbplats/intranät införa ett avsnitt med allmän information till de registrerade om att deras rättigheter kan komma att begränsas i enlighet med artikel 2.1. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen till detta och möjlig varaktighet.

2. Byrån ska skriftligen och utan onödigt dröjsmål informera de registrerade individuellt om nuvarande eller framtida begränsningar av deras rättigheter. Byrån ska informera de registrerade om de huvudsakliga skälen till begränsningen, om deras rätt att rådfråga dataskyddsombudet i syfte att överklaga begränsningen och om deras rätt att ge in klagomål till Europeiska datatillsynsmannen.

3. Byrån får skjuta upp, utelämna eller neka tillhandahållandet av information om skälen till en begränsning och rätten att ge in ett klagomål till Europeiska datatillsynsmannen, så länge som det skulle upphäva verkan av begränsningen. En bedömning av huruvida detta är motiverat ska göras i varje enskilt fall. Byrån ska förse de registrerade med denna information så snart detta inte längre skulle upphäva verkan av begränsningen.

Artikel 7

Information till den registrerade om en personuppgiftsincident

1. Om byrån är skyldig att informera om en personuppgiftsincident enligt artikel 35.1 i förordningen får byrån under exceptionella omständigheter begränsa sådan information helt eller delvis. Byrån ska i en not ange skälen till begränsningen, den rättsliga grunden för den enligt artikel 2 och en bedömning av begränsningens nödvändighet och proportionalitet. Noten ska överlämnas till Europeiska datatillsynsmannen vid tidpunkten för anmälan av personuppgiftsincidenten.

2. När skälen till begränsningen inte längre är tillämpliga ska byrån meddela den registrerade i fråga om personuppgiftsincidenten och informera honom eller henne om de huvudsakliga skälen till begränsningen och om rätten att ge in ett klagomål till Europeiska datatillsynsmannen.

Artikel 8

Konfidentialitet för elektronisk kommunikation

1. Under exceptionella omständigheter får byrån begränsa rätten till konfidentialitet för elektronisk kommunikation enligt artikel 36 i förordningen. Sådana begränsningar ska vara förenliga med Europaparlamentets och rådets direktiv 2002/58/EG (4).

2. Om byrån begränsar rätten till konfidentialitet för elektronisk kommunikation ska byrån i sitt svar på begäran informera den berörda registrerade om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

Artikel 9

Ikraftträdande

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Godkänt av styrelsen genom skriftligt förfarande

19 april 2021.

Laura BURKE

Ordförande, byråns styrelse

(1) EUT L 295, 21.11.2018, s. 39

(2) EUT L 126, 21.5.2009, s. 13.

(3) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).

(4) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).