REGIONKOMMITTÉNS PRESIDIUMS BESLUT nr 4/2022

av den 25 januari 2022

om interna regler för begränsningar av vissa rättigheter som registrerade har med avseende på behandling av personuppgifter i samband med Regionkommitténs verksamhet och förfaranden

REGIONKOMMITTÉNS PRESIDIUM HAR ANTAGIT FÖLJANDE BESLUT

Med beaktande av fördraget om Europeiska unionens funktionssätt (1), särskilt artikel 306,

Med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (2) (nedan kallad förordningen), särskilt artikel 25,

Med beaktande av Europeiska regionkommitténs arbetsordning (3), särskilt artikel 37 d,

Med beaktande av yttrande D(2021) 0894 (ärende 2021–0345) av den 20 april 2021 från Europeiska datatillsynsmannen (nedan kallad datatillsynsmannen), med vilken samråd hållits i enlighet med artikel 41.2 i förordningen,

och av följande skäl:

(1)	Enligt artikel 3.1 i förordningen bör varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad den registrerade) betraktas som personuppgifter.

(2)	Förordningen är tillämplig på Regionkommittén (nedan kallad kommittén) på samma sätt som på alla unionsinstitutioner när det gäller behandling av personuppgifter inom ramen för dess verksamhet och förfaranden.

(3)	Den personuppgiftsansvarige i den mening som avses i artikel 3.8 i förordningen är kommittén, som får delegera ansvaret för att fastställa ändamålen och medlen för behandlingen av personuppgifter.

(4)

I enlighet med artikel 45.3 i förordningen antog Regionkommitténs presidium (nedan kallat presidiet) genomföranderegler (4) för förordningen och kommitténs dataskyddsombud. I enlighet med dessa regler bör den avdelning (direktorat, enhet eller sektor) vid kommitténs generalsekretariat eller det sekretariat för en av de politiska grupperna i kommittén som ensam(t) eller tillsammans med andra fastställer ändamålen och medlen för behandlingen av personuppgifter agera på kommitténs vägnar i egenskap av delegerad personuppgiftsansvarig när det gäller dessa uppgifter.

(5)

Kommittén och Europeiska ekonomiska och sociala kommittén (EESK) delar vissa avdelningar och resurser (nedan kallade samfunktionerna) inom ramen för interinstitutionellt samarbete, och de tillämpliga interna reglerna om begränsningar av registrerades rättigheter i samband med samfunktionernas behandling av personuppgifter bör fastställas i enlighet med de arrangemang som överenskommits mellan kommittén och EESK i detta syfte.

(6)

För att fullgöra kommitténs uppgifter samlar de personuppgiftsansvariga in och behandlar information och flera kategorier av personuppgifter, bland annat identifieringsuppgifter om fysiska personer, kontaktuppgifter, yrkesroller och arbetsuppgifter, information om privat och yrkesmässig etik och prestation samt finansiella uppgifter. De personuppgiftsansvariga måste därför enligt förordningen tillhandahålla de registrerade information om den behandling som de utför och respektera deras rättigheter som registrerade.

(7)

De personuppgiftsansvariga kan behöva förena dessa rättigheter med syftena med de utredningar, undersökningar, kontroller, verksamheter, revisioner och förfaranden som genomförs inom kommittén. De kan även behöva ställa en registrerads rättigheter mot andra registrerades grundläggande rättigheter och friheter. I detta syfte ger artikel 25.1 i förordningen personuppgiftsansvariga möjlighet att begränsa tillämpningen av artiklarna 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 och 36 i förordningen, samt artikel 4 i förordningen i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22 i förordningen.

(8)	De personuppgiftsansvariga bör enbart tillämpa begränsningar om dessa respekterar andemeningen i de grundläggande rättigheterna och friheterna, är absolut nödvändiga och utgör en proportionell åtgärd i ett demokratiskt samhälle.

(9)	De personuppgiftsansvariga bör anföra de skäl som ligger till grund för dessa begränsningar och föra register över sin tillämpning av begränsningar av registrerades rättigheter.

(10)	De personuppgiftsansvariga bör upphäva en begränsning så snart som de förhållanden som motiverade begränsningen inte längre föreligger. De bör regelbundet bedöma dessa förhållanden.

(11)	För att garantera högsta möjliga skydd av de registrerades rättigheter och friheter bör dataskyddsombudet i god tid rådfrågas om eventuella begränsningar som kan komma att tillämpas och kontrollera att de är förenliga med detta beslut.

(12)	Om begränsningar inte föreskrivs i en rättsakt som har antagits på grundval av fördragen (5) är det nödvändigt att anta interna regler enligt vilka de personuppgiftsansvariga får begränsa registrerades rättigheter.

(13)	Detta beslut bör inte tillämpas i fall där ett av undantagen i artiklarna 15.4 och 16.5 i förordningen avseende den information som ska lämnas till en registrerad är tillämpligt.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll, tillämpningsområde och definitioner

1. I detta beslut fastställs allmänna regler om de villkor enligt vilka personuppgiftsansvariga i enlighet med artikel 25.1 i förordningen får begränsa tillämpningen av, allt efter omständigheterna, artiklarna 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 och 36 i förordningen, samt artikel 4 i förordningen i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22 i förordningen.

2. I detta beslut gäller följande definitioner:

personuppgifter: all information om en registrerad som behandlas i samband med verksamhet eller förfaranden som inte omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i fördraget om Europeiska unionens funktionssätt, i motsats till operativa personuppgifter i den mening som avses i artikel 3.2 i förordningen.

b)	personuppgiftsansvarig: den enhet som ensam eller tillsammans med andra faktiskt fastställer ändamålen och medlen för behandlingen av personuppgifter i samband med kommitténs verksamhet och förfaranden, oavsett om ansvaret för detta fastställande delegerats.

3. Detta beslut ska tillämpas på behandling av personuppgifter inom ramen för kommitténs verksamhet och förfaranden. Det ska inte tillämpas om en begränsning av registrerades rättigheter föreskrivs i en rättsakt som antagits på grundval av fördragen.

4. Den personuppgiftsansvarige i den mening som avses i artikel 3.8 i förordningen är kommittén, som får delegera ansvaret för att fastställa ändamålen och medlen för behandlingen av personuppgifter.

5. För varje behandling, begränsning och uppskjutande, utelämnande eller nekande av information ska ansvarig personuppgiftsansvarig fastställas i enlighet med kommitténs relevanta interna beslut, förfaranden och genomföranderegler.

Artikel 2

Undantag

1. Innan begränsningar enligt artikel 3.1 tillämpas ska de personuppgiftsansvariga överväga om några av de undantag som fastställs i förordningen är tillämpliga, särskilt de som fastställs i artiklarna 15.4, 16.5, 19.3, 25.3, 25.4 och 35.3 i förordningen.

2. Tillämpningen av undantag ska omfattas av lämpliga skyddsåtgärder i enlighet med artikel 13 i förordningen och artikel 6 i detta beslut.

Artikel 3

Begränsningar

1. Personuppgiftsansvariga får, allt efter omständigheterna, begränsa tillämpningen av artiklarna 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 och 36 i förordningen, samt artikel 4 i förordningen i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22 i förordningen, om registrerades utövande av sina rättigheter skulle inverka negativt på syftet med eller resultatet av en eller flera av kommitténs verksamheter eller förfaranden, särskilt

enligt artikel 25.1 b, c, f, g och h i förordningen, när tillsättningsmyndigheten och den myndighet som har befogenhet att sluta anställningsavtal vid kommittén (nedan kallade tillsättningsmyndigheten) genomför disciplinära förfaranden, administrativa utredningar och undersökningar i personalärenden i enlighet med artikel 86 i tjänsteföreskrifterna för tjänstemän i Europeiska unionen (nedan kallade tjänsteföreskrifterna) och bilaga IX till tjänsteföreskrifterna samt artiklarna 50a och 119 i anställningsvillkoren för övriga anställda i Europeiska unionen (6) (nedan kallade anställningsvillkoren) och undersökningar i samband med ansökningar om bistånd i enlighet med artikel 24 i tjänsteföreskrifterna och artiklarna 11 och 81 i anställningsvillkoren och med avseende på påstådda fall av mobbning eller sexuella trakasserier i den mening som avses i artikel 12a i tjänsteföreskrifterna,

b)	enligt artikel 25.1 b, c, f och h i förordningen, när tillsättningsmyndigheten granskar ansökningar och klagomål från tjänstemän och övriga anställda vid kommittén (nedan kallade anställda) i enlighet med artikel 90 i tjänsteföreskrifterna och artiklarna 46 och 117 i anställningsvillkoren,

c)	enligt artikel 25.1 c och h i förordningen, när tillsättningsmyndigheten genomför kommitténs personalpolitik genom att genomföra urvals- (rekryterings-), utvärderings- (bedömnings-) och befordringsförfaranden,

enligt artikel 25.1 c, f, g och h i förordningen, när kommitténs utanordnare (nedan kallad utanordnaren) genomför kommitténs avsnitt i Europeiska unionens allmänna budget genom att genomföra tilldelningsförfaranden i enlighet med de finansiella reglerna för unionens allmänna budget (7) (nedan kallade budgetförordningen),

enligt artikel 25.1 b, c, f, g och h i förordningen, när utanordnaren genomför övervakning och utredningar beträffande lagligheten i de finansiella transaktioner som genomförs av och inom kommittén, beträffande kommitténs ledamöters och suppleanters (nedan kallade kommitténs ledamöter) ekonomiska rättigheter (8) och beträffande finansieringen av verksamhet och evenemang som anordnas av eller tillsammans med kommittén, samt hanterar finansiella oriktigheter från en anställds sida i enlighet med artikel 93 i budgetförordningen,

enligt artikel 25.1 b, c, f, g och h i förordningen, när kommittén tillhandahåller Europeiska byrån för bedrägeribekämpning (Olaf) information och handlingar, antingen på Olafs begäran eller på eget initiativ, anmäler ärenden till Olaf eller behandlar information och handlingar som mottagits från Olaf (9),

g)	enligt artikel 25.1 c, g och h i förordningen, när kommittén utför internrevisioner i enlighet med artiklarna 118 och 119 i budgetförordningen och avseende sina avdelningars verksamhet och förfaranden,

enligt artikel 25.1 c, d och h i förordningen, när kommittén genomför interna riskbedömningar, tillträdeskontroller, inbegripet bakgrundskontroller, åtgärder för att förebygga och utreda säkerhetsincidenter, inbegripet incidenter som berör kommitténs ledamöter eller anställda samt incidenter som rör kommitténs infrastruktur och informations- och kommunikationsteknik, samt säkerhetsutredningar och kompletterande utredningar, inbegripet av sina elektroniska kommunikationsnät, på eget initiativ eller på begäran av tredje part,

enligt artikel 25.1 c, d och h i förordningen, när dataskyddsombudet, på eget initiativ eller på begäran av tredje part, genomför utredningar av frågor och händelser som har direkt samband med hans eller hennes uppgifter och som kommer till hans eller hennes kännedom, i enlighet med artikel 45.2 i förordningen,

enligt artikel 25.1 h i förordningen, när personuppgiftsansvariga behandlar personuppgifter som erhållits i samband med att en anställd i god tro rapporterat fakta som tyder på antingen möjlig olaglig verksamhet, inbegripet bedrägeri och korruption, som skadar unionens intressen (”allvarliga oriktigheter”) eller beteende i samband med tjänsteutövning som kan utgöra en allvarlig underlåtenhet att fullgöra anställdas skyldigheter (”allvarligt fel i tjänsten”),

k)	enligt artikel 25.1 h i förordningen, när personuppgiftsansvariga behandlar personuppgifter som erhållits av konfidentiella rådgivare i samband med det informella förfarandet vid påstådda trakasserier,

enligt artikel 25.1 h i förordningen, när personuppgiftsansvariga behandlar personuppgifter som rör antingen en kommittéledamots eller en anställds hälsa (nedan kallade medicinska uppgifter), inbegripet psykologiska eller psykiatriska sådana, som finns i kommitténs journal om den berörda registrerade,

m)	enligt artikel 25.1 e i förordningen, när personuppgiftsansvariga behandlar personuppgifter som finns i handlingar som utarbetats eller erhållits av parter eller intervenienter i samband med förfaranden vid Europeiska unionens domstol (nedan kallad domstolen),

enligt artikel 25.1 b, c, d, g och h i förordningen, när kommittén tillhandahåller bistånd till eller erhåller bistånd från andra av unionens institutioner, organ och byråer och samarbetar med dem i samband med den verksamhet eller de förfaranden som avses i punkt 1 a–m och i enlighet med tillämpliga servicenivå-, samförstånds- och samarbetsavtal,

enligt artikel 25.1 b, c, g och h i förordningen, när kommittén tillhandahåller bistånd till eller erhåller bistånd från medlemsstaternas eller tredjeländers myndigheter eller internationella organisationer och samarbetar med sådana myndigheter och organisationer, antingen på deras begäran eller på eget initiativ,

p)	enligt artikel 25.1 a, b, e och f i förordningen, när kommittén förser medlemsstaternas eller tredjeländers myndigheter eller internationella organisationer med information och handlingar som de begär i samband med utredningar.

2. De begränsningar som avses i punkt 1 kan avse både objektiva personuppgifter (”hårddata”) och subjektiva personuppgifter (”mjukdata”), särskilt men inte uteslutande tillhörande en eller flera av följande kategorier:

a)	Identifieringsuppgifter.

b)	Kontaktuppgifter.

c)	Yrkesrelaterade uppgifter (10).

d)	Ekonomiska uppgifter.

e)	Övervakningsuppgifter (11).

f)	Trafikuppgifter (12).

g)	Medicinska uppgifter (13).

h)	Genetiska uppgifter (13).

i)	Biometriska uppgifter (13).

j)	Uppgifter om en fysisk persons sexualliv eller sexuella läggning (13).

k)	Uppgifter som avslöjar ras eller etniskt ursprung, religiös eller filosofisk övertygelse, politisk uppfattning eller tillhörighet eller medlemskap i fackförening (13).

l)	Uppgifter som avslöjar fysiska personers prestation eller beteende i samband med att de deltar i urvals- (rekryterings-), utvärderings- (bedömnings-) eller befordringsförfaranden (14).

m)	Uppgifter om fysiska personers närvaro.

n)	Uppgifter om fysiska personers externa verksamhet.

o)	Uppgifter som rör misstänkta brott, brott, fällande domar eller säkerhetsåtgärder.

p)	Elektronisk kommunikation.

q)	Alla andra uppgifter som rör föremålet för den verksamhet eller det förfarande som gör att dessa uppgifter måste behandlas.

3. Varje begränsning ska vara förenlig med andemeningen i de grundläggande rättigheterna och friheterna samt vara nödvändig och proportionell i ett demokratiskt samhälle, och ska begränsas till vad som är absolut nödvändigt för att dess mål ska kunna uppnås.

4. Varje begränsning av tillämpningen av artikel 36 i förordningen (Konfidentialitet för elektronisk kommunikation), fullständig eller partiell, i enlighet med punkt 1 ska vara förenlig med tillämplig unionslagstiftning om integritet i samband med elektronisk kommunikation (15).

5. De personuppgiftsansvariga ska regelbundet se över tillämpningen av de begränsningar som avses i punkt 1, minst var sjätte månad från deras respektive antagande, men även när väsentliga och avgörande inslag i ärendet ändras och när den verksamhet eller det förfarande som ledde till begränsningarna slutförs eller avslutas. Därefter ska de på årsbasis kontrollera behovet av att behålla en begränsning.

6. De begränsningar som avses i punkt 1 ska förbli tillämpliga så länge som de skäl som ligger till grund för dem föreligger. Om skälen till en begränsning som avses i punkt 1 inte längre föreligger ska de personuppgiftsansvariga upphäva begränsningen.

7. När personuppgiftsansvariga behandlar personuppgifter som mottagits från tredje part i samband med kommitténs uppgifter, ska de samråda med denna tredje part om potentiella grunder för att införa begränsningar och om huruvida de berörda begränsningarna är nödvändiga och proportionella, såvida detta inte skulle inverka negativt på kommitténs verksamhet eller förfaranden.

Artikel 4

Behovs- och proportionalitetsbedömning

1. Innan begränsningar tillämpas ska de personuppgiftsansvariga från fall till fall bedöma om de aktuella begränsningarna är nödvändiga och proportionerliga.

2. När de personuppgiftsansvariga bedömer behovet av och proportionaliteten hos en begränsning ska de beakta de potentiella riskerna för registrerades rättigheter och friheter.

3. Bedömningar av de risker för registrerades rättigheter och friheter som uppstår till följd av att begränsningarna införs, särskilt risken för att deras personuppgifter kan komma att behandlas ytterligare utan deras vetskap och att de kan hindras från att utöva sina rättigheter i enlighet med förordningen, samt uppgifter om tillämpningsperioden för dessa begränsningar, ska registreras i det register över behandling som de personuppgiftsansvariga för i enlighet med artikel 31.1 i förordningen. De ska även anges i eventuella konsekvensbedömningar avseende dataskydd beträffande dessa begränsningar som utförs i enlighet med artikel 39 i förordningen.

Artikel 5

Registrering av begränsningar

1. När personuppgiftsansvariga tillämpar begränsningar ska de registrera

a)	skälen till att begränsningarna tillämpas,

b)	på vilka grunder begränsningarna tillämpas,

c)	hur utövandet av de registrerades rättigheter skulle inverka negativt på syftet med eller resultatet av en eller flera av kommitténs verksamheter eller förfaranden,

d)	resultatet av den bedömning som avses i artikel 4.1.

2. De upplysningar som avses i punkt 1 ska ingå i det centrala register som föreskrivs i artikel 31.5 i förordningen och ska på begäran göras tillgängliga för datatillsynsmannen.

3. Om personuppgiftsansvariga begränsar tillämpningen av artikel 35 i förordningen (Information till den registrerade om en personuppgiftsincident) ska de upplysningar som avses i punkt 1 ingå i den anmälan till datatillsynsmannen som föreskrivs i artikel 34.1 i förordningen.

Artikel 6

Skyddsåtgärder och lagringsperiod

1. De personuppgiftsansvariga ska vidta skyddsåtgärder för att förhindra missbruk av och olaglig åtkomst till eller överföring av personuppgifter som kan vara föremål för begränsningar enligt artikel 3.1. Sådana skyddsåtgärder ska omfatta lämpliga tekniska och organisatoriska åtgärder och ska vid behov specificeras i kommitténs relevanta interna beslut, förfaranden och genomföranderegler.

2. De skyddsåtgärder som avses i punkt 1 ska omfatta

a)	tydligt fastställda roller, ansvar och steg i förfarandet,

b)	i förekommande fall, en säker elektronisk miljö som förhindrar olaglig eller oavsiktlig åtkomst till eller överföring av elektroniska uppgifter av eller till obehöriga,

c)	i förekommande fall, säker lagring och behandling av handlingar i pappersform,

d)	vederbörlig kontroll av begränsningar och regelbunden översyn av tillämpningen av dem.

3. Personuppgifterna ska lagras i enlighet med kommitténs tillämpliga lagringsregler (16), som ska fastställas i de register som de personuppgiftsansvariga för i enlighet med artikel 31.1 i förordningen. Vid lagringsperiodens utgång ska personuppgifterna, allt efter omständigheterna, raderas, anonymiseras på ett sådant sätt att den registrerade inte, eller inte längre, är identifierbar eller överföras till kommitténs arkiv i enlighet med artikel 13 i förordningen.

Artikel 7

Information till de registrerade om begränsningen av deras rättigheter

1. De dataskyddsmeddelanden som offentliggörs på kommitténs offentliga webbplats och på dess intranät ska omfatta ett avsnitt där de registrerade får allmän information om den eventuella begränsningen av deras rättigheter i samband med kommitténs verksamhet och förfaranden som inbegriper behandling av deras personuppgifter. I detta avsnitt ska det anges vilka rättigheter som kan komma att begränsas, på vilka grunder begränsningar kan komma att tillämpas, begränsningarnas potentiella varaktighet samt vilka administrativa och rättsliga medel som står till de registrerades förfogande.

2. När personuppgiftsansvariga tillämpar begränsningar ska de utan onödigt dröjsmål och i det lämpligaste formatet direkt informera varje berörd registrerad om

a)	befintliga eller kommande begränsningar av hans eller hennes rättigheter,

b)	de huvudsakliga skäl som ligger till grund för tillämpningen av begränsningen,

c)	rätten att samråda med dataskyddsombudet i syfte att bestrida begränsningen,

d)	rätten att inge klagomål till datatillsynsmannen,

e)	rätten att begära rättslig prövning vid domstolen.

3. Trots vad som anges i punkt 2 ska personuppgiftsansvariga, om de i undantagsfall begränsar tillämpningen av artikel 35 i förordningen (Information till den registrerade om en personuppgiftsincident), informera den berörda registrerade om personuppgiftsincidenten och tillhandahålla den information som avses i punkt 2 b, d och e, så snart skälen för att begränsa denna information inte längre föreligger.

4. Trots vad som anges i punkt 2 ska personuppgiftsansvariga, om de i undantagsfall begränsar tillämpningen av artikel 36 i förordningen (Konfidentialitet för elektronisk kommunikation), tillhandahålla den information som avses i punkt 2 i sitt svar på en begäran från den berörda registrerade.

5. De personuppgiftsansvariga får skjuta upp, utelämna eller neka tillhandahållandet av den information som avses i punkt 2 (nedan kallat uppskjutande, utelämnande eller nekande av information) så länge som tillhandahållandet skulle upphäva begränsningens verkan. De ska förse den berörda registrerade med den information som avses i punkt 2 så snart detta inte längre skulle göra begränsningen verkningslös.

6. Artiklarna 4 och 5 ska i tillämpliga delar gälla för alla fall av uppskjutande, utelämnande eller nekande av information.

Artikel 8

Medverkan av kommitténs dataskyddsombud

1. Personuppgiftsansvariga ska utan onödigt dröjsmål skriftligen informera dataskyddsombudet när de begränsar en registrerads rättigheter i enlighet med artikel 3.1, genomför de regelbundna översyner som avses i artikel 3.5, upphäver begränsningar i enlighet med artikel 3.6 eller skjuter upp, utelämnar eller nekar tillhandahållandet av den information som avses i artikel 7.2 i enlighet med artikel 7.5. Dataskyddsombudet ska på begäran få tillgång till tillhörande register och alla handlingar som innehåller underliggande faktiska och rättsliga omständigheter.

2. Dataskyddsombudet kan uppmana personuppgiftsansvariga att se över befintliga begränsningar samt uppskjutanden, utelämnanden eller nekanden av information och tillämpningen av dessa. Dataskyddsombudet ska informeras skriftligen om resultatet av den begärda översynen.

3. Dataskyddsombudets medverkan enligt punkterna 1 och 2 i samband med tillämpningen av begränsningar samt uppskjutanden, utelämnanden eller nekanden av information ska vederbörligen dokumenteras av de personuppgiftsansvariga, inbegripet den information som delats med dataskyddsombudet.

4. Dataskyddsombudet ska på begäran lämna synpunkter till de personuppgiftsansvariga om fastställandet av deras ansvar i samband med ett arrangemang med gemensamt personuppgiftsansvar i enlighet med artikel 28.1 i förordningen.

Artikel 9

Samfunktionerna

Dataskyddsombudet ska samarbeta med EESK:s dataskyddsombud när det gäller samfunktionernas behandling av personuppgifter i syfte att säkerställa ett effektivt genomförande av detta beslut.

Artikel 10

Slutbestämmelser

1. Generalsekreteraren får i förekommande fall utfärda anvisningar eller anta genomförandebestämmelser för att vid behov ytterligare specificera och ge verkan åt alla bestämmelser i detta beslut, i överensstämmelse med beslutet.

2. Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 25 januari 2022.

För Regionkommitténs presidium

Apostolos TZITZIKOSTAS

Ordförande

(1) EUT C 202, 7.6.2016, s. 47.

(2) EUT L 295, 21.11.2018, s. 39.

(3) EUT L 472, 30.12.2021, s. 1.

(4) Regionkommitténs presidiums beslut nr 19/2020 av den 9 oktober 2020 om genomföranderegler för Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter (nedan kallat beslut nr 19/2020).

(5) Fördraget om Europeiska unionen (EU-fördraget) (EUT C 202, 7.6.2016, s. 13) och fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

(6) Bilaga till rådets förordning nr 31 (EEG), nr 11 (EKSG) om tjänsteföreskrifter för tjänstemän och anställningsvillkor för övriga anställda i Europeiska ekonomiska gemenskapen och Europeiska atomenergigemenskapen (EGT P 45, 14.6.1962, s. 1385), ändrad genom rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1) och med ytterligare ändringar, omräkningar, kompletteringar och anpassningar.

(7) Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).

(8) Inbegripet, men inte begränsat till, ersättningar för allmänna omkostnader, ersättningar till personal, ersättningar för utrustning och hjälpmedel, ersättningar för resa, uppehälle och (distans)sammanträden samt andra ersättningar som betalas ut i enlighet med artikel 238 i budgetförordningen.

(9) Denna punkt är inte tillämplig på behandling av personuppgifter där Olaf är ensam personuppgiftsansvarig, särskilt i fall där Olaf behandlar personuppgifter som förvaras i kommitténs lokaler.

(10) Inbegripet, men inte begränsat till, anställningsavtal, tjänsteleverantörsavtal och uppgifter om tjänsteresor.

(11) Inbegripet, men inte begränsat till, ljud- och videoupptagningar samt in- och utstämplingsregister.

(12) Inbegripet, men inte begränsat till, in- och utloggningstider, tillgång till interna applikationer och nätverksbaserade resurser och internetanvändning.

(13) I den mån sådana uppgifter behandlas i enlighet med artikel 10.2 i förordningen.

(14) Inbegripet, men inte begränsat till, skriftliga prov, inspelade tal, utvärderingsformulär och utvärderarnas bedömningar, observationer eller synpunkter.

(15) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(16) Regionkommitténs generalsekreterares beslut nr 129/2003 av den 17 juni 2003 om Regionkommitténs dokumenthanteringssystem.