|
9.2.2021 |
SV |
Europeiska unionens officiella tidning |
L 45/80 |
BESLUT SC (2020) 26 AV INEAS STYRKOMMITTÉ
den 14 oktober 2020
om interna regler angående begränsningar av vissa rättigheter som de registrerade har med avseende på behandling av personuppgifter inom ramen för verksamhet som bedrivs av genomförandeorganet för innovation och nätverk
STYRKOMMITTÉN HAR ANTAGIT DETTA BESLUT,
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249.1,
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1) (nedan kallad förordningen), särskilt artikel 25,
med beaktande av rådets förordning (EG) nr 58/2003 av den 19 december 2002 om stadgar för de genomförandeorgan som ansvarar för vissa uppgifter som avser förvaltningen av gemenskapsprogram (2),
med beaktande av kommissionens genomförandebeslut 2013/801/EU av den 23 december 2013 om inrättande av genomförandeorganet för innovation och nätverk och om upphävande av beslut 2007/60/EG ändrat genom beslut 2008/593/EG (3),
med beaktande av kommissionens beslut C(2013) 9235 av den 23 december 2013 om delegering av befogenheter till Genomförandeorganet för innovation och nätverk för att det ska utföra uppgifter som hänger samman med genomförandet av unionens program på områdena transport, energi och telekommunikationer och på området forskning och innovation om transport och energi, vilket i synnerhet omfattar användandet av anslagen i unionens allmänna budget (4), senast ändrat genom kommissionens beslut C(2018) 1281 av den 27 februari 2018 (5),
efter samråd med Europeiska datatillsynsmannen, och
av följande skäl:
|
(1) |
Genomförandeorganet för innovation och nätverk – Inea – (nedan kallat organet) upprättades genom kommissionens genomförandebeslut 2013/801/EU i syfte att utföra uppgifter som hänger samman med genomförandet av unionsprogram inom transport-, energi- och telekommunikationsinfrastruktur samt inom området forskning och innovation vad gäller transporter och energi (6). |
|
(2) |
Inom ramen för sin administrativa och operativa verksamhet får organet utföra administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkor för övriga anställda i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (nedan kallade tjänsteföreskrifterna) (7) och i enlighet med genomförandebestämmelser för utförandet av administrativa utredningar och disciplinära förfaranden. Om så behövs får organet utföra förberedande åtgärder i samband med fall av potentiella bedrägerier och oegentligheter och får anmäla ärenden till Olaf. |
|
(3) |
Organets personal är skyldig att rapportera potentiellt olaglig verksamhet, inbegripet bedrägeri och korruption, som kan skada unionens intressen. Personalen är även skyldig att rapportera uppträdande i tjänsten som kan innebära ett allvarligt avsteg från skyldigheterna för unionens tjänstemän. Detta regleras genom interna regler eller intern policy för visselblåsning. |
|
(4) |
Organet har antagit en policy för att förebygga och hantera faktiska eller eventuella fall av mobbning och sexuella trakasserier på arbetsplatsen. Denna åtgärd föreskrivs i tjänsteföreskrifterna, som fastställer ett informellt förfarande där den som påstår sig ha utsatts för trakasserierna kan kontakta organets konfidentiella rådgivare. |
|
(5) |
Organet kan även utföra interna utredningar om (it-)säkerhet och om potentiella överträdelser av säkerhetsbestämmelser för säkerhetsskyddsklassificerade EU-uppgifter. |
|
(6) |
Organets verksamhet är föremål för både interna och externa revisioner, inräknat revisioner som utförs av tjänsten för internrevision vid Europeiska kommissionen och Europeiska revisionsrätten. |
|
(7) |
Organet får hantera begäranden från Europeiska åklagarmyndigheten (Eppo), begäranden om tillgång till de anställdas patientjournaler, samt genomföra utredningar tillsammans med dataskyddsombudet i enlighet med artikel 45.2 i förordningen. |
|
(8) |
I samband med sådana administrativa utredningar, revisioner, undersökningar eller begäranden samarbetar organet med unionens övriga institutioner, organ och byråer. |
|
(9) |
Organet får samarbeta med nationella myndigheter i tredjeländer och internationella organisationer, på deras begäran eller på eget initiativ. |
|
(10) |
Organet får även samarbeta med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ. |
|
(11) |
Organet kan bli föremål för klagomål, förfaranden eller undersökningar genom visselblåsare eller Europeiska ombudsmannen. |
|
(12) |
Organet kan ingripa i mål vid Europeiska unionens domstol när organet antingen hänskjuter en fråga till domstolen, försvarar ett beslut som det har fattat och som har överklagats till domstolen eller intervenerar i ärenden som är relevanta för dess arbetsuppgifter. I samband med detta kan organet behöva säkerställa konfidentialiteten för personuppgifter som finns i handlingar från parterna eller intervenienterna. |
|
(13) |
I sin verksamhet behandlar organet flera olika kategorier av personuppgifter, däribland identifikationsuppgifter för fysiska personer, kontaktuppgifter, yrkesroller och yrkesuppgifter, information om privat och yrkesmässig etik och prestation samt finansiella uppgifter, samt känsliga data (t.ex. hälsodata) i vissa specifika fall. I personuppgifter ingår ”hårddata” och ”mjukdata”.
|
|
(14) |
Enligt förordningen ska organet därför förse de registrerade med information om denna behandling och respektera deras rättigheter som registrerade. |
|
(15) |
Organet har åtagit sig att i största möjliga mån respektera de registrerades grundläggande rättigheter, särskilt rätten att få ta del av information, rätten att få tillgång till och kunna rätta, radera och begränsa behandlingen av uppgifter, rätten att bli underrättad om personuppgiftsincidenser och till konfidentiell behandling av korrespondens i enlighet med förordningen. Organet kan dock även behöva begränsa den registrerades rättigheter och skyldigheter i syfte att skydda sin verksamhet och andras grundläggande rättigheter och friheter. |
|
(16) |
Artikel 25.1 och 25.5 i förordningen ger därför organet möjlighet att under vissa villkor begränsa tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i förordningen i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20. Begränsningen ska baseras på interna regler som ska antas på högsta ledningsnivå i organet och offentliggöras i Europeiska unionens officiella tidning, om begränsningarna inte baseras på rättsakter som antas på grundval av fördragen. |
|
(17) |
Begränsningar kan gälla olika registranters rättigheter, däribland tillhandahållande av information till registranter, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, information till den registrerade om en personuppgiftsincidens eller konfidentiell behandling av kommunikation i enlighet med förordningen. |
|
(18) |
Organet kan behöva förena dessa rättigheter med syftena med administrativa utredningar, revisioner, undersökningar och domstolsförfaranden. Organet kan även behöva ställa de registrerades rättigheter mot andra registrerades grundläggande rättigheter och friheter. |
|
(19) |
Organet kan exempelvis behöva begränsa sitt tillhandahållande av information om behandling av personuppgifter till en registrerad vid den preliminära bedömningsfasen i en administrativ utredning eller under själva utredningen, före en eventuell avvisning av ärendet eller i ett skede som föregår ett disciplinärt förfarande. Under vissa omständigheter kan ett tillhandahållande av sådan information få betydande negativ inverkan på organets förmåga att genomföra utredningen på ett effektivt sätt, t.ex. när det finns en risk att den berörda personen kan förstöra bevisning eller påverka eventuella vittnen innan de kan förhöras. Organet kan också behöva skydda rättigheterna och friheterna för såväl vittnen som andra berörda personer. |
|
(20) |
Organet kan behöva garantera sekretesskyddet för ett vittne eller en visselblåsare som har bett om att inte bli identifierad. I ett sådant fall kan organet besluta att begränsa åtkomsten vad gäller identitet, uttalanden och andra personuppgifter från sådana personer eller den misstänkte för att skydda deras rättigheter och friheter. |
|
(21) |
Organet kan behöva skydda konfidentiella uppgifter om en anställd som har kontaktat organets konfidentiella rådgivare inom ramen för ett förfarande som rör trakasserier. I sådana fall kan organet behöva begränsa åtkomsten vad gäller identitet, uttalanden och andra personuppgifter från det påstådda offret, den påstådda gärningsmannen och andra involverade personer för att skydda alla berörda personers rättigheter och friheter. |
|
(22) |
I samband med urvals- och rekryteringsförfaranden, personalutvärdering och offentlig upphandling kan rätten till tillgång, rättelse, radering och begränsning bara utövas vid särskilda tidpunkter och enligt de villkor som fastställts för de relevanta förfarandena, i syfte att skydda andra registrerades rättigheter och respektera principerna om likabehandling och konfidentiella överläggningar. |
|
(23) |
Organet kan även begränsa enskilda personers tillgång till hälsouppgifter av t.ex. psykologisk eller psykiatrisk natur på grund den känslighet som dessa uppgifter kan ha, och kommissionens läkartjänst kanske bara vill ge de registrerade indirekt tillgång genom deras egen läkare. De registrerade kan utöva rätten till rättelse av bedömningar eller yttranden från kommissionens läkartjänst genom att lämna in sina synpunkter eller en rapport från valfri läkare. |
|
(24) |
Organet, som företräds av sin direktör, fungerar som personuppgiftsansvarig, oavsett om ansvaret har delegerats inom myndigheten utifrån ansvarsfördelning för olika operativa arbetsuppgifter som inbegriper personuppgiftsbehandling till behöriga ”delegerade personuppgiftsansvariga”. |
|
(25) |
Personuppgifterna lagras på ett säkert sätt i en elektronisk miljö, i enlighet med kommissionens beslut (EU, Euratom) 2017/46 (8) om säkerheten i Europeiska kommissionens kommunikations- och informationssystem, eller på papper, vilket förhindrar olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. De personuppgifter som behandlas behålls inte längre än vad som är nödvändigt och lämpligt för det syfte som uppgifterna behandlas för under en tidsperiod som anges i organets dataskyddsmeddelanden och register. |
|
(26) |
Organet bör endast tillämpa begränsningar om de respekterar andemeningen i de grundläggande rättigheterna och friheterna, är absolut nödvändiga och är en proportionell åtgärd i ett demokratiskt samhälle. Organet ska motivera skälen för dessa begränsningar och informera de registrerade om dessa grunder och om deras rätt att lämna in ett klagomål till Europeiska datatillsynsmannen såsom fastställts i artikel 25.6 i förordningen. |
|
(27) |
Med tillämpning av principen om ansvarsskyldighet ska organet registrera tillämpningen av begränsningar. |
|
(28) |
När organet behandlar personuppgifter som utbyts med andra organisationer i samband med dess arbetsuppgifter, ska organet samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte kan äventyra organets verksamhet. |
|
(29) |
Dessa interna regler ska därför gälla all personuppgiftsbehandling som organet utför, inräknat personuppgifter vid utförandet av administrativa utredningar, disciplinära förfaranden, förberedande åtgärder i samband med fall av potentiella oegentligheter som rapporteras till Olaf, undersökningar av Europeiska åklagarmyndigheten (Eppo), visselblåsningsförfaranden, (formella och informella) förfaranden som rör trakasserier, behandling av interna och externa klagomål, begäranden om tillgång till eller rättelse av egna patientjournaler, undersökningar som utförs av dataskyddsombudet i enlighet med artikel 45.2 i förordningen, utredningar om (it-)säkerhet som sköts internt eller med extern hjälp (t.ex. CERT-EU), revisioner, rättsliga förfaranden vid Europeiska unionens domstol eller nationella offentliga myndigheter, urval och rekrytering, personalutvärdering och offentlig upphandling, enligt ovan. |
|
(30) |
Dessa interna regler ska gälla personuppgiftsbehandling som utförs innan ovanstående förfaranden inleds, under dessa förfaranden och under uppföljningen av resultaten från dessa förfaranden. Även stöd och samarbete som organet bistår andra EU-institutioner, nationella myndigheter och internationella organisationer med vid sidan av sina administrativa utredningar omfattas. |
|
(31) |
Enligt artikel 25.8 i förordningen får organet skjuta upp, utelämna eller neka tillhandahållande av information till den registrerade om skälen till begränsningen om detta på något sätt skulle upphäva verkan av begränsningen. Organet ska i varje enskilt fall bedöma huruvida meddelandet av begränsningen skulle upphäva dess verkan. |
|
(32) |
Organet ska upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma dessa med jämna mellanrum. |
|
(33) |
För att garantera maximalt skydd för de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordningen ska dataskyddsombudet rådfrågas i tid innan någon begränsning kan tillämpas eller ses över samt kontrollera efterlevnaden av detta beslut. |
|
(34) |
I artiklarna 16.5 och 17.4 i förordningen föreskrivs undantag för registrerades rätt till information och rätt till tillgång. Om dessa undantag är tillämpliga behöver organet inte tillämpa en begränsning enligt detta beslut. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte och tillämpningsområde
1. Detta beslut innehåller regler om de villkor som måste vara uppfyllda för att Genomförandeorganet för innovation och nätverk och någon av dess rättsliga efterträdare (nedan kallat organet) får begränsa tillämpningen av artiklarna 4, 14–22, 35 och 36, enligt artikel 25 i förordningen.
2. Organet, som personuppgiftsansvarig, företräds av organets direktör, som kan delegera funktionen som personuppgiftsansvarig vidare.
Artikel 2
Tillämpliga begränsningar
1. Organet får begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4 i förordningen i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20.
2. Detta beslut är tillämpligt på organets behandling av personuppgifter inom ramen för dess administrativa och operativa verksamhet:
|
a) |
i enlighet med artikel 25.1 b, c, f, g och h i förordningen, vid genomförande av interna utredningar, även baserade på externa klagomål, administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden eller avstängningsförfaranden enligt artikel 86 och bilaga IX i tjänsteföreskrifterna och dess genomförandebestämmelser, utredningar om säkerhet eller Olaf-undersökningar, |
|
b) |
i enlighet med artikel 25.1 h i förordningen, vid säkerställande av att organets personal får rapportera uppgifter konfidentiellt när de anser att det föreligger betydande oegentligheter, såsom föreskrivs i interna regler eller politik för visselblåsning, |
|
c) |
i enlighet med artikel 25.1 h i förordningen, vid säkerställande av att organets personal kan rapportera till konfidentiella rådgivare inom ramen för ett förfarande som rör trakasserier, såsom fastställs i interna regler, |
|
d) |
i enlighet med artikel 25.1 c, g och h i förordningen, vid genomförande av interna eller externa revisioner med avseende på organets funktionstillstånd, |
|
e) |
i enlighet med artikel 25.1 d och h i förordningen, vid säkerställande av säkerhetsanalyser, däribland cybersäkerhet och it-systemintrång, som sköts internt eller med extern hjälp (t.ex. CERT-EU), säkerställande av den inre säkerheten genom videoövervakning, ändamål kopplade till åtkomstkontroll och utredningar, skydd av kommunikations- och informationssystem samt genomförande av motåtgärder avseende teknisk säkerhet, |
|
f) |
i enlighet med artikel 25.1 g och h i förordningen, när organets dataskyddsombud utreder frågor som har direkt samband med hans/hennes arbetsuppgifter, |
|
g) |
i enlighet med artikel 25.1 b, g och h i förordningen, i samband med undersökningar från Europeiska åklagarmyndigheten (Eppo), |
|
h) |
i enlighet med artikel 25.1 h i förordningen, när enskilda personer begär att få tillgång till eller rättelse av sina hälsouppgifter, också om de innehas av kommissionens läkartjänst. |
|
i) |
i enlighet med artikel 25.1 c, d, g och h i förordningen, vid tillhandahållande eller mottagande av bistånd eller samarbete med unionens övriga institutioner, organ och byråer, i samband med de arbetsuppgifter som avses i leden a–h i denna punkt och i enlighet med relevanta servicenivåavtal, samförståndsavtal och samarbetsavtal i deras respektive rättsakt om inrättande, |
|
j) |
i enlighet med artikel 25.1 c, g och h i förordningen, vid tillhandahållande eller mottagande av bistånd samt samarbete med tredjeländers nationella myndigheter och internationella organisationer, på deras begäran eller på eget initiativ, |
|
k) |
i enlighet med artikel 25.1 c, g och h i förordningen, vid tillhandahållande eller mottagande av bistånd samt samarbete med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ, |
|
l) |
i enlighet med artikel 25.1 e i förordningen, vid behandling av personuppgifter som finns i handlingar från parter eller intervenienter i samband med ett förfarande vid Europeiska unionens domstol, |
I enlighet med detta beslut ska det i ovanstående verksamhet ingå förberedande och uppföljande åtgärder som är direkt kopplade till en sådan verksamhet.
3. Organet får även tillämpa begränsningar i varje enskilt fall av registrerades rättigheter som det hänvisas till i detta beslut, under följande förhållanden:
|
a) |
Om kommissionens avdelningar eller unionens övriga institutioner, organ och byråer har rätt att begränsa utövandet av de angivna rättigheterna och syftet med en sådan begränsning från kommissionens avdelning, unionens institution, organ eller byrå skulle äventyras ifall organet inte tillämpar en likvärdig begränsning med avseende på sådana personuppgifter. |
|
b) |
Om de behöriga myndigheterna i medlemsstaterna har rätt att begränsa utövandet av de angivna rättigheterna och syftet med en sådan begränsning från den behöriga myndigheten i medlemsstaten skulle äventyras ifall organet inte tillämpar en likvärdig begränsning med avseende på sådana personuppgifter. |
|
c) |
Om utövandet av dessa rättigheter och skyldigheter skulle äventyra organets samarbete med tredjeländer eller internationella organisationer i utförandet av dess arbetsuppgifter, såvida inte de registrerades intressen eller grundläggande rättigheter och friheter väger tyngre än detta behov att samarbeta. |
|
d) |
Innan organet tillämpar begränsningar enligt denna punkt ska organet samråda med de relevanta avdelningarna vid kommissionen, unionens övriga institutioner, organ, byråer, internationella organisationer eller de behöriga myndigheterna i medlemsstaterna, såvida det inte är uppenbart att begränsningen föreskrivs genom någon av de rättsakter som det hänvisas till ovan eller ett sådant samråd skulle äventyra organets verksamhet. |
4. Kategorierna av behandlade personuppgifter som rör verksamheten ovan kan innehålla ”hårda” faktauppgifter och ”mjuka” bedömningsuppgifter.
5. Eventuella begränsningar ska respektera andemeningen i de grundläggande rättigheterna och friheterna och vara nödvändiga och proportionella i ett demokratiskt samhälle.
Artikel 3
Registrering och dokumentering av begränsningar
1. Den personuppgiftsansvariga ska föra ett register över begränsningen med beskrivning av
|
a) |
skälen för alla begränsningar som tillämpas enligt detta beslut, |
|
b) |
vilka av grunderna i artikel 2 som gäller, |
|
c) |
hur utövandet av rättigheten skulle utgöra en risk för den registrerade eller äventyra syftet med organets arbetsuppgifter eller negativt inverka på andra registrerades grundläggande rättigheter och friheter, |
|
d) |
resultat av bedömningen av behovet och proportionaliteten av begränsningen, med hänsyn tagen till de relevanta delarna i artikel 25.2 i förordningen. |
2. En bedömning av behovet och proportionaliteten av en begränsning ska göras i varje enskilt fall innan begränsningar börjar tillämpas. Den personuppgiftsansvarige ska beakta de potentiella riskerna för den registrerades grundläggande rättigheter och friheter. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.
3. Registreringen av begränsningen och, i tillämpliga fall de handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska dokumenteras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.
Artikel 4
Risker för de registrerades rättigheter och friheter
1. Bedömningar av riskerna med begränsningar för de registrerades rättigheter och friheter samt uppgifter om begränsningarnas tillämpningstid ska anges i det register över behandling som förs av den personuppgiftsansvariga baserat på artikel 31 i förordningen. De ska i förekommande fall även anges i alla konsekvensbedömningar avseende uppgiftsskydd för dessa begränsningar som utförs enligt artikel 39 i förordningen.
2. När den personuppgiftsansvarige överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter särskilt vägas mot risken för andra registrerades rättigheter och friheter samt mot risken för en negativ påverkan på utredningar och förfaranden, till exempel genom att bevis förstörs. Riskerna för de registrerades rättigheter och friheter rör i första hand anseenderisker och risker för rätten att försvara och yttra sig.
Artikel 5
Skyddsåtgärder och lagringsperioder
1. Organet ska anta skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller kan vara föremål för begränsningar. Sådana skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska om så behövs specificeras i organets interna beslut, förfaranden och genomförandebestämmelser. Dessa skyddsåtgärder ska omfatta följande:
|
a) |
En lämplig definition av roller, ansvar och olika steg i förfarandet. |
|
b) |
I tillämpliga fall, en säker elektronisk miljö som förhindrar olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer. |
|
c) |
I tillämpliga fall, en säker lagring och behandling av handlingar i pappersform. |
|
d) |
Säkerställande av att alla personer som har tillgång till personuppgifterna uppfyller konfidentialitetsskyldigheterna. |
2. Lagringsperioden för personuppgifter som är föremål för en begränsning ska fastställas i det tillhörande registret i enlighet med artikel 31 i förordningen, med beaktande av syftet med behandlingen och ska omfatta den nödvändiga tidsramen för administrativ och rättslig översyn. I slutet av lagringsperioden ska personuppgifterna raderas, anonymiseras eller överföras till arkiv i enlighet med artikel 13 i förordningen.
Artikel 6
Begränsningarnas varaktighet
1. Begränsningar som avses i artikel 2 ska fortsätta vara tillämpliga så länge som skälen som motiverar dem föreligger.
2. Om skälen till en begränsning inte längre föreligger ska den personuppgiftsansvarige häva begränsningen ifall utövandet av den begränsade rättigheten inte längre skulle påverka det relevanta tillämpliga förfarandet negativt eller påverka andra registrerades rättigheter och friheter negativt.
3. Om den registrerade ånyo begärt åtkomst till personuppgifterna i fråga ska den personuppgiftsansvarige förse den registrerade med de huvudsakliga skälen till begränsningen. Samtidigt ska myndigheten informera den registrerade om möjligheten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
4. Organet ska var sjätte månad se över tillämpningen av de begränsningar som avses i artikel 2.
Artikel 7
Dataskyddsombudets deltagande
1. Den personuppgiftsansvarige vid organet ska utan onödigt dröjsmål informera organets dataskyddsombud innan något beslut fattas om att begränsa registrerades rättigheter i enlighet med detta beslut eller att förlänga tillämpningen av begränsningen. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till de tillhörande registren och alla handlingar som rör faktiska och rättsliga delar.
2. Dataskyddsombudet kan begära att den personuppgiftsansvarige ska se över tillämpningen av en begränsning. Den personuppgiftsansvarige ska skriftligen informera dataskyddsombudet om resultatet av den begärda översynen.
3. Den personuppgiftsansvarige ska dokumentera dataskyddsombudets deltagande i tillämpningen av begränsningen, däribland vilken information som utbyts. Handlingarna inom ramen för denna artikel ska ingå i den registrering som avser begränsningen och på begäran göras tillgänglig för Europeiska datatillsynsmannen.
Artikel 8
Information till den registrerade om begränsning av dennes rättigheter
1. Den personuppgiftsansvarige ska i sina dataskyddsmeddelanden och register, i enlighet med artikel 31 i förordningen, som offentliggörs på dess webbplats och intranätet, infoga allmän information om de potentiella begränsningarna av de registrerades rättigheter i enlighet med artikel 2.2 i detta beslut. Informationen ska omfatta vilka rättigheter och skyldigheter som kan komma att begränsas, grunderna för att tillämpa begränsningar samt deras potentiella varaktighet.
2. Den personuppgiftsansvarige ska skriftligen och utan onödigt dröjsmål informera de registrerade individuellt om nuvarande eller framtida begränsningar av deras rättigheter. Den personuppgiftsansvarige ska informera den registrerade om de huvudsakliga skälen till begränsningen, om hans eller hennes rätt att rådfråga dataskyddsombudet i syfte att överklaga begränsningen och om hans eller hennes rätt att lämna in ett klagomål till Europeiska datatillsynsmannen.
3. Den personuppgiftsansvarige får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till en begränsning och rätten att lämna in ett klagomål till Europeiska datatillsynsmannen så länge som det skulle upphäva verkan av begränsningen. Bedömningen av detta motiv ska göras i varje enskilt fall och den personuppgiftsansvarige ska tillhandahålla informationen till den registrerade, så länge som detta inte längre upphäver verkan av begränsningen.
Artikel 9
Den registrerades rätt till tillgång
1. I skäligen motiverade fall och enligt de villkor som fastställs i detta beslut kan rätten till tillgång i enlighet med artikel 17 i förordningen begränsas av den personuppgiftsansvarige där så är nödvändigt och proportionellt vad gäller åtgärderna enligt detta beslut.
2. Om den registrerade begär tillgång till sina personuppgifter som hanterats inom ramen för en specifik behandling som avses i artikel 2.2 i detta beslut, ska organet begränsa sitt svar till de personuppgifter som behandlats för denna verksamhet.
3. De registrerades rätt till direkt tillgång till handlingar av psykologisk eller psykiatrisk natur kan begränsas. Varken den indirekta tillgången eller rätten till rättelse och meddelande om en personuppgiftsincident ska vara begränsad med dessa interna regler. På begäran av den berörda personen ska därför en förmedlande läkare beviljas tillgång till all relaterad information samt befogenhet att besluta om hur och vilken tillgång som ska ges den registrerade.
4. Om den personuppgiftsansvarige helt eller delvis begränsar rätten till tillgång till personuppgifter, som avses i artikel 17 i förordningen, ska denna skriftligen informera den berörda registrerade i sitt svar på begäran om tillgång, om den tillämpade begränsningen och om de huvudsakliga skälen till detta samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
5. Informationen om begränsningen av tillgång kan skjutas upp, utelämnas eller nekas om tillhandahållandet skulle upphäva begränsningens verkan i enlighet med artikel 25.8 i förordningen.
6. En begränsning enligt denna artikel ska tillämpas i enlighet med detta beslut.
Artikel 10
Rätt till rättelse, radering och begränsning av behandlingen
1. I skäligen motiverade fall och enligt de villkor som fastställs i detta beslut får rätten till rättelse, radering och begränsning av behandlingen enligt artiklarna 18, 19.1 och 20.1 i förordningen begränsas av den personuppgiftsansvarige där så är nödvändigt och proportionellt vad gäller verksamheten enligt artikel 2.2 i detta beslut.
2. Vad gäller hälsouppgifter får de registrerade utöva rätten till rättelse av bedömningar eller yttranden från kommissionens läkartjänst genom att lämna in sina synpunkter eller en rapport från valfri läkare, direkt till kommissionens läkartjänst.
3. En begränsning enligt denna artikel ska tillämpas i enlighet med detta beslut.
Artikel 11
Information till den registrerade om en personuppgiftsincident
1. Om den personuppgiftsansvarige är skyldig att informera om en personuppgiftsincident enligt artikel 35.1 i förordningen får han eller hon under exceptionella omständigheter begränsa sådan information helt eller delvis. Han eller hon ska i en not ange skälen till begränsningen, den rättsliga grunden för den enligt artikel 2 och en bedömning av begränsningens nödvändighet och proportionalitet. Noten ska överlämnas till Europeiska datatillsynsmannen vid tidpunkten för anmälan av personuppgiftsincidenten.
2. När skälen till begränsningen inte längre är tillämpliga ska organet meddela den registrerade i fråga om personuppgiftsincidenten och informera honom eller henne om de huvudsakliga skälen till begränsningen och om rätten att ge in ett klagomål till Europeiska datatillsynsmannen.
Artikel 12
Konfidentialitet för elektronisk kommunikation
1. Under exceptionella omständigheter får organet begränsa rätten till konfidentialitet för elektronisk kommunikation enligt artikel 36 i förordningen. Sådana begränsningar ska vara förenliga med Europaparlamentets och rådets direktiv 2002/58/EG (9).
2. Oavsett artikel 8.3 gäller att om organet begränsar rätten till konfidentialitet för elektronisk kommunikation ska det i sitt svar på begäran informera den registrerade i fråga om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen.
Artikel 13
Ikraftträdande
Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Antaget av styrkommittén för Genomförandeorganet för innovation och nätverk.
Datum för antagande 14 oktober 2020
Certifierat av Ineas verkställande direktör
(1) EUT L 295, 21.11. 2018, s. 39.
(2) EUT L 11, 16.1.2003, s. 1.
(3) EUT L 352, 24.12.2013, s. 65.
(4) SEK(2009) 481/3.
(5) SEK(2018) 120/2.
(6) Kommissionens beslut C(2013) 9235 av den 23 december 2013 ändrat genom kommissionens beslut C(2018) 1281 av den 27 februari 2018.
(7) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).
(8) Kommissionens beslut (EU, Euratom) 2017/46 av den 10 januari 2017 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem (EUT L 6, 11.1.2017, s. 40).
(9) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).