KOMMISSIONENS BESLUT (EU) 2019/236

av den 7 februari 2019

om interna regler för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter i samband med Europeiska kommissionens behandling av personuppgifter, för att garantera den interna säkerheten för unionens institutioner

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249.1, och

av följande skäl:

(1)

Kommissionen måste arbeta i en trygg och säker miljö. För att uppnå detta behövs det en sammanhållen, integrerad säkerhetsstrategi som tillhandahåller lämpliga skyddsnivåer för personer, tillgångar och information i proportion till de identifierade riskerna, och garanterar att säkerheten fungerar effektivt och snabbt. Kommissionen står inför stora hot och utmaningar på säkerhetsområdet, särskilt när det gäller terrorism, it-attacker och politiskt och affärsrelaterat spionage.

(2)

För att garantera säkerheten för personer, tillgångar och information vidtar kommissionen åtgärder, särskilt genom säkerhetsdirektoratet vid generaldirektoratet för personal och säkerhet, i enlighet med kommissionens beslut (EU, Euratom) 2015/443 (1) som omfattar behandling av flera kategorier av personuppgifter. Dessa åtgärder inbegriper genomförandet av säkerhetskontroller på personer enligt artikel 7.5, riskbedömningar enligt artikel 12 och säkerhetsundersökningar enligt artikel 13 i beslut (EU, Euratom) 2015/443. Inom ramen för sitt utredningsuppdrag samlar kommissionen in information av utredningsintresse, däribland personuppgifter, från skilda källor – myndigheter och fysiska personer – och utbyter dessa med unionens övriga institutioner, organ och byråer, med behöriga myndigheter i medlemsstater och tredjeländer samt med internationella organisationer före, under och efter utrednings- eller samordningsfaserna.

(3)

De kategorier av personuppgifter som behandlas av kommissionen är till exempel uppgifter om identitet, kontaktuppgifter, yrkesrelaterade uppgifter och uppgifter som rör eller har lämnats in i samband med en säkerhetskontroll, riskbedömning eller säkerhetsundersökning. Personuppgifterna lagras i en säker elektronisk miljö för att förhindra olaglig åtkomst eller överföring av uppgifter till personer utanför kommissionen. Personuppgifterna lagras av tjänsteavdelningar i kommissionen som ansvarar för undersökningen fram till dess att denna är avslutad. Olika lagringstider tillämpas på olika behandling beroende på typen av undersökning, till exempel i fråga om misstänkta brott, kontraspionage eller terrorismbekämpning. Vid utgången av lagringsperioden raderas de ärenderelaterade uppgifterna, inbegripet personuppgifter (2).

(4)

När kommissionen utför sina uppgifter i egenskap av personuppgiftsansvarig, är den skyldig att respektera fysiska personers rättigheter i samband med den behandling av personuppgifter som erkänns i artikel 8.1 i stadgan om de grundläggande rättigheterna och i artikel 16.1 i fördraget om Europeiska unionens funktionssätt, liksom de rättigheter som fastställs i Europaparlamentets och rådets förordning (EU) 2018/1725 (3). Kommissionen är samtidigt skyldig att följa strikta regler om konfidentialitet i enlighet med vad som föreskrivs i artikel 9 i beslut (EU, Euratom) 2015/443.

(5)

Under vissa omständigheter är det nödvändigt att sammanjämka de registrerades rättigheter enligt förordning (EU) 2018/1725 med behovet av att kommissionen effektivt utför sina uppgifter för att säkerställa säkerheten för personer, tillgångar och information inom kommissionen enligt beslut (EU, Euratom) 2015/443, framför allt när det gäller säkerhetsundersökningar, samt att säkra att andra registrerades grundläggande rättigheter och friheter respekteras fullt ut. I enlighet med artikel 25.1 c, d och h i förordning (EU) 2018/1725 kan därför kommissionen begränsa tillämpningen av artiklarna 14–17, 19, 20 och 35, samt principen om öppenhet som fastställs i artikel 4.1 a, i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i de ovan nämnda artiklarna 14–17, 19 och 20.

(6)

För att säkerställa att kommissionen på ett effektivt sätt utför sina uppgifter för att garantera säkerheten för personer, tillgångar och information inom kommissionen enligt beslut (EU, Euratom) 2015/443, särskilt dess säkerhetsundersökningar, samtidigt som den höga skyddsnivån för personuppgifter som föreskrivs i förordning (EU) 2018/1725 upprätthålls, är det nödvändigt att anta interna regler enligt vilka kommissionen får begränsa registrerades rättigheter i enlighet med artikel 25.1 c, d och h i förordning (EU) 2018/1725.

(7)

Dessa interna regler bör omfatta all uppgiftsbehandling som utförs av kommissionen i fullgörandet av dess uppgifter för att garantera säkerheten för personer, tillgångar och information inom kommissionen enligt beslut (EU, Euratom) 2015/443, särskilt när det gäller dess utredande funktion på säkerhetsområdet. Dessa regler bör tillämpas på uppgiftsbehandling som utförs innan en utredning inleds, under pågående utredningar och i samband med övervakningen av hur utredningar följs upp.

(8)

För att uppfylla kraven i artiklarna 14, 15 och 16 i förordning (EU) 2018/1725 bör kommissionen informera alla enskilda personer om dess verksamhet som innebär behandling av deras personuppgifter och om deras rättigheter på ett öppet och konsekvent sätt med hjälp av ett dataskyddsmeddelande som offentliggörs på kommissionens webbplats.

(9)

Kommissionen bör dessutom i lämpligt format individuellt informera de registrerade som är inblandade i en säkerhetsundersökning, det vill säga berörda personer och vittnen. Kommissionen bör dessutom individuellt informera personer vars uppgifter behandlas i samband med säkerhetsåtgärder som vidtas enligt artiklarna 7.5 och 12.1 d och e i beslut (EU, Euratom) 2015/443, det vill säga när det gäller genomsökning av kommissionens lokaler och kontroller av kommunikations- och informationssystem och utrustning.

(10)

Kommissionen kan, på grundval av artikel 25 i förordning (EU) 2018/1725, begränsa tillhandahållandet av information till registrerade och utövandet av andra rättigheter som tillkommer registrerade, i synnerhet för att skydda en säkerhetsundersökning, dess utredningsverktyg och utredningsmetoder, andra myndigheters säkerhetsundersökningar och förfaranden, samt även andra personers rättigheter i samband med ovan nämnda säkerhetsundersökning, utredningar och/eller förfaranden.

(11)

I vissa fall skulle tillhandahållande av viss information till de registrerade, eller ett avslöjande av att en undersökning eller säkerhetsrelaterade åtgärder enligt artikel 12.1 d och e i beslut (EU, Euratom) 2015/443 pågår, bland annat genomsökning av kommissionens lokaler och kontroller av kommunikations- och informationssystem och utrustning, kunna omöjliggöra eller allvarligt skada syftet med undersökningen och kommissionens förmåga att säkerställa sin säkerhet och i synnerhet ett effektivt utförande av säkerhetsundersökningar i framtiden.

(12)

För att upprätthålla ett effektivt samarbete, i enlighet med artikel 17.2 och 17.3 i beslut (EU, Euratom) 2015/443, kan det vara nödvändigt för kommissionen att begränsa tillämpningen av de registrerades rättigheter för att skydda uppgiftsbehandling som genomförs av unionens övriga institutioner, organ och byråer eller av medlemsstaternas behöriga myndigheter. Kommissionen bör därför samråda med dessa institutioner, organ, byråer och myndigheter om vilka skäl som ska anses vara relevanta för att införa begränsningar och om behovet av begränsningen och dess proportionalitet.

(13)

Kommissionen kan också behöva begränsa tillhandahållandet av information till registrerade och tillämpningen av andra registrerades rättigheter när det gäller personuppgifter som mottagits från tredjeländer eller internationella organisationer, för att fullgöra sin skyldighet att samarbeta med dessa länder eller organisationer och därigenom trygga viktiga mål av allmänt intresse för unionen. I vissa fall kan dock den registrerades intresse eller grundläggande rättigheter väga tyngre än intresset av internationellt samarbete.

(14)	Kommissionen bör hantera alla begränsningar på ett öppet sätt och registrera varje tillämpning av begränsningar i motsvarande register.

(15)

Enligt artikel 25.8 i förordning (EU) 2018/1725 kan personuppgiftsansvariga skjuta upp, utelämna eller neka tillhandahållande av information till den registrerade om skälen till tillämpningen av en begränsning, om tillhandahållande av denna information på något sätt skulle äventyra syftet med begränsningen. Detta gäller i synnerhet begränsningar av de rättigheter som anges i artiklarna 16 och 35 i förordning (EU) 2018/1725.

(16)

Kommissionen bör regelbundet se över införda begränsningar för att säkerställa att de registrerades rätt att bli informerade i enlighet med artiklarna 16 och 35 i förordning (EU) 2018/1725 begränsas endast så länge som är nödvändigt för att göra det möjligt för kommissionen att säkerställa sin säkerhet och i synnerhet utföra säkerhetsundersökningar.

(17)	Om den registrerades övriga rättigheter begränsas bör den personuppgiftsansvariga bedöma från fall till fall huruvida information om begränsningen skulle äventyra dess syfte.

(18)	Kommissionens dataskyddsombud bör genomföra en oberoende översyn av tillämpningen av begränsningar för att säkerställa efterlevnad av detta beslut.

(19)	Europeiska datatillsynsmannen avgav ett yttrande den 10 december 2018.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1. I detta beslut fastställs de regler som kommissionen ska följa för att informera registrerade om behandlingen av deras uppgifter i enlighet med artiklarna 14, 15 och 16 i förordning (EU) 2018/1725, när den utför alla sina uppgifter enligt beslut (EU, Euratom) 2015/443.

Genom detta beslut regleras även villkoren för hur kommissionen får begränsa tillämpningen av artiklarna 4, 14–17, 19, 20 och 35 i förordning (EU) 2018/1725, i enlighet med artikel 25.1 c, d och h i den förordningen.

2. Detta beslut ska tillämpas på behandling av personuppgifter som utförs av kommissionen med avseende på eller i fråga om den verksamhet som bedrivs för att garantera säkerheten för personer, tillgångar och information inom kommissionen enligt beslut (EU, Euratom) nr 2015/443.

Artikel 2

Tillämpliga undantag och begränsningar

1. Kommissionen ska, vid fullgörandet av sina skyldigheter med avseende på de registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.

2. Om inte annat följer av artiklarna 3–7 i detta beslut får kommissionen begränsa tillämpningen av artiklarna 14–17, 19, 20 och 35 i förordning (EU) 2018/1725, samt den princip om öppenhet som föreskrivs i artikel 4.1 a i den förordningen, i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–17, 19 och 20 i förordning (EU) 2018/1725 och där utövandet av sådana rättigheter och skyldigheter skulle äventyra den interna säkerheten hos unionens institutioner, organ och byråer inbegripet dess elektroniska kommunikationsnät, bland annat genom att avslöja dess utredningsverktyg och utredningsmetoder inom ramen för säkerhetsundersökningar, eller skulle ha en negativ inverkan på andra registrerades rättigheter och friheter.

3. Om inte annat följer av artiklarna 3–7 får kommissionen begränsa de rättigheter och skyldigheter som avses i punkt 2 i denna artikel när det gäller personuppgifter som erhållits från unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer eller från internationella organisationer, i följande fall:

Om utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av unionens övriga institutioner, organ och byråer på grundval av andra rättsakter som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen eller i enlighet med Europaparlamentets och rådets förordning (EU) 2016/794 (4) eller rådets förordning (EU) 2017/1939 (5).

Om utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av medlemsstaternas behöriga myndigheter på grundval av rättsakter som avses i artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 (6), eller enligt nationella bestämmelser som införlivar artiklarna 13.3, 15.3 eller 16.3 i Europaparlamentets och rådets direktiv (EU) 2016/680 (7).

c)	Om utövandet av sådana rättigheter och skyldigheter skulle kunna äventyra kommissionens samarbete med tredje länder eller internationella organisationer i samband med informationsutbyte angående hot om potentiellt kontraspionage och hot om terrorism samt i dess utförande av säkerhetundersökningar.

Före tillämpningen av begränsningar i fall som avses i första stycket a och b, ska kommissionen samråda med unionens berörda institutioner, organ och byråer eller medlemsstaters behöriga myndigheter såvida det inte är uppenbart för kommissionen att tillämpningen av en begränsning föreskrivs i någon av de rättsakter som avses i de punkterna eller sådant samråd skulle äventyra syftet med dess verksamheter enligt beslut (EU, Euratom) 2015/443.

Första stycket c i denna punkt får inte tillämpas om kommissionens intresse att samarbeta med tredjeländer eller internationella organisationer överskuggas av de registrerades intressen eller grundläggande rättigheter och friheter.

4. Punkterna 1, 2 och 3 påverkar inte tillämpningen av andra kommissionsbeslut om interna regler för tillhandahållande av information till registrerade och begränsning av vissa rättigheter enligt artikel 25 i förordning (EU) 2018/1725 och artikel 23 i kommissionens arbetsordning.

Artikel 3

Tillhandahållande av information till registrerade

1. Kommissionen ska på sin webbplats offentliggöra dataskyddsmeddelanden som informerar alla registrerade om dess verksamheter som innebär behandling av deras personuppgifter i syfte att fullgöra kommissionens uppgifter enligt beslut (EU, Euratom) 2015/443.

2. Kommissionen ska i lämplig form enskilt informera vittnen och personer som berörs av en säkerhetsundersökning om att deras personuppgifter behandlas. Kommissionen ska också enskilt informera personer vars uppgifter behandlas i samband med säkerhetsåtgärder som vidtas enligt artikel 7.5 och artikel 12.1 d och e i beslut (EU, Euratom) 2015/443, det vill säga vid genomsökning av kommissionens lokaler och kontroller av kommunikations- och informationssystem och utrustning.

3. Om kommissionen helt eller delvis begränsar tillhandahållande av information till registrerade, såsom avses i punkt 2 i denna artikel, ska den dokumentera och registrera skälen till begränsningen i enlighet med artikel 6 i detta beslut.

Artikel 4

Registrerades rätt till tillgång, rätt till radering och rätt till begränsning av behandling

1. Om kommissionen helt eller delvis begränsar en registrerads rätt till tillgång till personuppgifter, rätt till radering eller rätt till begränsning av behandling enligt vad som avses i artiklarna 17, 19 respektive 20 i förordning (EU) 2018/1725, ska den informera den berörda registrerade i sitt svar på begäran om tillgång, radering eller begränsning av behandling om den begränsning som tillämpas och om de huvudsakliga skälen till detta, samt om möjligheten att ge in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

2. Tillhandahållandet av information om skälen för den begränsning som avses i punkt 1 i denna artikel får skjutas upp, utelämnas eller nekas så länge som det skulle undergräva syftet med begränsningen.

3. Kommissionen ska dokumentera och registrera skälen till begränsningen i enlighet med artikel 6 i detta beslut.

4. Om rätten till tillgång helt eller delvis begränsas, kan den registrerade utöva sin rätt till tillgång via Europeiska datatillsynsmannen, i enlighet med artikel 25.6, 25.7 och 25.8 i förordning (EU) 2018/1725.

Artikel 5

Information till den registrerade om en personuppgiftsincident

Om kommissionen begränsar informationen om en personuppgiftsincident till den registrerade, såsom avses i artikel 35 i förordning (EU) 2018/1725, ska den dokumentera och registrera skälen till begränsningen i enlighet med artikel 6 i detta beslut.

Artikel 6

Dokumentation och registrering av begränsningar

1. Kommissionen ska dokumentera skälen till varje begränsning som tillämpas enligt detta beslut, inbegripet en bedömning av behovet av begränsningen och dess proportionalitet, med beaktande av relevanta delar av artikel 25.2 i förordning (EU) 2018/1725.

I dokumentationen ska anges hur utövandet av rättigheten skulle äventyra syftet med kommissionens uppgifter enligt beslut (EU, Euratom) 2015/443, eller syftet med de begränsningar som tillämpas med stöd av artikel 2.2 eller 2.3, eller ha en negativ inverkan på andra registrerades rättigheter och friheter.

2. Dokumentationen och, i tillämpliga fall, handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.

Artikel 7

Begränsningarnas varaktighet

1. De begränsningar som avses artiklarna 3, 4 och 5 i detta beslut ska fortsätta vara tillämpliga så länge som de skäl som motiverar dem föreligger.

2. Om skälen till en begränsning som avses i artiklarna 3 eller 5 i detta beslut inte längre föreligger, ska kommissionen upphäva begränsningen och ange skälen till begränsningen för den registrerade. Samtidigt ska kommissionen informera den registrerade om möjligheten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

3. Kommissionen ska se över tillämpningen av de begränsningar som avses i artiklarna 4 och 6 var sjätte månad från det att begränsningarna började tillämpas samt vid avslutandet av den aktuella utredningen. Därefter ska kommissionen på årsbasis övervaka behovet av att behålla en eventuell begränsning eller ett eventuellt uppskjutande.

Artikel 8

Omprövning av dataskyddsombudet

1. Kommissionens dataskyddsombud ska utan onödigt dröjsmål underrättas när registrerades rättigheter begränsas i enlighet med detta beslut. På begäran ska dataskyddsombudet ges tillgång till registret och alla handlingar som innehåller bakomliggande faktiska och rättsliga omständigheter.

2. Kommissionens dataskyddsombud kan begära att begränsningarna ska omprövas. Dataskyddsombudet ska underrättas om resultatet av den begärda omprövningen.

3. Under hela förfarandet ska informationsutbytet med dataskyddsombudet registreras i en lämplig form.

Artikel 9

Detta beslut träder i kraft den tredje dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 7 februari 2019.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande

(1) Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (EUT L 72, 17.3.2015, s. 41).

(2) Lagring av ärendehandlingar i kommissionen regleras av den gemensamma bevarandeförteckningen, en rättslig handling (den senaste versionen är SEC(2012) 713) i form av en tidsplan som fastställer lagringsperioder för olika typer av kommissionens ärendehandlingar.

(3) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(4) Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).

(5) Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).

(6) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(7) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).