ISSN 1977-0820
Europeiska unionens
officiella tidning
L 251
Svensk utgåva
Lagstiftning
63 årgången
3 augusti 2020
|
ISSN 1977-0820 |
||
|
Europeiska unionens officiella tidning |
L 251 |
|
|
|
||
|
Svensk utgåva |
Lagstiftning |
63 årgången |
|
Innehållsförteckning |
|
II Icke-lagstiftningsakter |
Sida |
|
|
|
ARBETSORDNINGAR OCH RÄTTEGÅNGSREGLER |
|
|
|
* |
|
SV |
De rättsakter vilkas titlar är tryckta med fin stil är sådana rättsakter som har avseende på den löpande handläggningen av jordbrukspolitiska frågor. De har normalt en begränsad giltighetstid. Beträffande alla övriga rättsakter gäller att titlarna är tryckta med fetstil och föregås av en asterisk. |
II Icke-lagstiftningsakter
ARBETSORDNINGAR OCH RÄTTEGÅNGSREGLER
|
3.8.2020 |
SV |
Europeiska unionens officiella tidning |
L 251/1 |
BESLUT nr 20-W-3 AV EUROPEISKA FISKERIKONTROLLBYRÅNS STYRELSE
av den 22 april 2020
om interna regler angående begränsningar av vissa rättigheter som registrerade har med avseende på behandling av personuppgifter inom ramen för Europeiska fiskerikontrollbyråns verksamhet
EUROPEISKA FISKERIKONTROLLBYRÅNS STYRELSE HAR ANTAGIT DETTA BESLUT,
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25,
med beaktande av Europaparlamentets och rådets förordning (EU) 2019/473 av den 19 mars 2019 om Europeiska fiskerikontrollbyrån (2) (nedan kallad byrån), särskilt artikel 32.2 h,
efter att ha samrått med Europeiska datatillsynsmannen om detta beslut, i enlighet med artikel 41.2 i förordning (EU) 2018/1725, och
av följande skäl:
|
(1) |
Genom förordning (EU) 2019/473 införs bestämmelser om Europeiska fiskerikontrollbyrån, vars syfte är att organisera operativ samordning av medlemsstaternas kontroll- och inspektionsverksamhet när det gäller fiske samt att bistå dem i deras samarbete så att de kan följa den gemensamma fiskeripolitikens bestämmelser och en effektiv och enhetlig tillämpning av denna säkerställs. |
|
(2) |
I enlighet med artikel 25.1 i förordning (EU) 2018/1725 ska begränsningar av tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i samma förordning, i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, grunda sig på interna regler som ska antas av byrån, när dessa inte grundar sig på rättsakter som antas på grundval av fördragen. |
|
(3) |
Dessa interna regler, däribland dess bestämmelser om bedömning av behovet av en begränsning och dess proportionalitet, ska inte gälla när en rättsakt som antagits på grundval av fördragen innefattar en begränsning av registrerades rättigheter. |
|
(4) |
Byrån ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga. |
|
(5) |
Inom ramen för sin administrativa verksamhet får byrån genomföra administrativa utredningar och disciplinära förfaranden, vidta förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf, handlägga visselblåsarärenden, genomföra (formella och informella) förfaranden för att hantera trakasserier, handlägga interna och externa klagomål, genomföra internrevisioner, låta dataskyddsombudet genomföra utredningar i enlighet med artikel 45.2 i förordning (EU) 2018/1725, samt genomföra interna (it-)säkerhetsutredningar. |
|
(6) |
Inom ramen för sin operativa verksamhet tar byrån emot rapporter från EU-inspektörer i enlighet med artikel 123 i kommissionens genomförandeförordning (EU) nr 404/2011 (3), artiklarna 18–20 i Europaparlamentets och rådets förordning (EU) nr 1236/2010 (4) och artiklarna 30, 33 och 34 i Europaparlamentets och rådets förordning (EU) 2019/833 (5). Byrån får även information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och utför uppdrag på plats i tredjeländer enligt artikel 20.4 c i rådets förordning (EG) nr 1005/2008 (6), såsom fastställs i kommissionens beslut 2009/988/EU (7). |
|
(7) |
Byrån behandlar flera olika kategorier av personuppgifter, däribland hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten). |
|
(8) |
Byrån, företrädd av dess verkställande direktör, fungerar som personuppgiftsansvarig, oavsett om ansvaret har delegerats inom byrån utifrån ansvarsfördelningen för olika operativa arbetsuppgifter som inbegriper personuppgiftsbehandling. |
|
(9) |
Personuppgifterna lagras i en säker elektronisk miljö eller i pappersform, vilket förhindrar olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. De personuppgifter som behandlas behålls inte längre än vad som är nödvändigt och lämpligt för det syfte som uppgifterna behandlas för under en tidsperiod som anges i byråns dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register. |
|
(10) |
De interna reglerna gäller all personuppgiftsbehandling som byrån utför inom ramen för administrativa utredningar och disciplinära förfaranden, förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf, visselblåsarärenden, (formella och informella) förfaranden vid fall av trakasserier, handläggning av interna och externa klagomål, internrevisioner, dataskyddsombudets utredningar i enlighet med artikel 45.2 i förordning (EU) 2018/1725, (it-)säkerhetsutredningar som utförs internt eller med extern hjälp (till exempel av CERT-EU) samt operativ verksamhet enligt skäl 6 ovan. |
|
(11) |
De interna reglerna ska gälla för uppgiftsbehandling som utförs före inledandet av ovannämnda förfaranden, under dessa förfaranden samt under kontrollen av uppföljningen av resultatet av förfarandena och i genomförandet av operativ verksamhet enligt skäl 6 ovan. Även stöd och samarbete som byrån bistår nationella myndigheter och internationella organisationer med vid sidan av sina administrativa utredningar omfattas. |
|
(12) |
När dessa interna regler tillämpas måste byrån ge motiveringar som förklarar varför begränsningarna är absolut nödvändiga och proportionella i ett demokratiskt samhälle och förenliga med andemeningen i de grundläggande rättigheterna och friheterna. |
|
(13) |
Byrån måste inom denna ram så långt som möjligt respektera de registrerades grundläggande rättigheter vid ovannämnda förfaranden, särskilt de som rör rätten till information, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, rätten att bli underrättad om personuppgiftsincidenter och rätten till konfidentiell behandling av kommunikation i enlighet med förordning (EU) 2018/1725. |
|
(14) |
Byrån kan dock tvingas begränsa registrerades tillgång till information samt andra rättigheter som tillkommer den registrerade för att särskilt skydda sina egna utredningar, andra myndigheters utredningar och förfaranden och rättigheterna för andra personer med koppling till byråns utredningar eller andra förfaranden. |
|
(15) |
Byrån kan alltså begränsa utlämnandet av information i syfte att skydda utredningar och andra registrerades grundläggande rättigheter och friheter. |
|
(16) |
Byrån bör regelbundet kontrollera att villkoren som motiverar en begränsning fortfarande uppfylls och upphöra med begränsningen om de inte gör det. |
|
(17) |
Den personuppgiftsansvarige ska underrätta dataskyddsombudet vid uppskjutande och under översynerna. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte och tillämpningsområde
1. Detta beslut innehåller regler om de villkor som måste vara uppfyllda för att byrån inom ramen för de förfaranden som anges i punkt 2 ska få begränsa de rättigheter som avses i artiklarna 14–21, 35 och 36, samt artikel 4 i förordning (EU) 2018/1725, i enlighet med artikel 25 i den förordningen.
2. Inom ramen för byråns administrativa verksamhet är detta beslut tillämpligt på byråns behandling av personuppgifter för följande ändamål: administrativa utredningar, disciplinära förfaranden, förberedande åtgärder vid eventuella oegentligheter som anmälts till Olaf, hantering av visselblåsarärenden, formella och informella förfaranden för att hantera trakasserier, handläggning av interna och externa klagomål, internrevisioner, utredningar som dataskyddsombudet genomför i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt utredningar om it-säkerhet som hanteras internt eller med extern hjälp (till exempel av CERT-EU).
3. Inom ramen för byråns operativa verksamhet är detta beslut tillämpligt på byråns behandling av personuppgifter för att fullgöra sitt uppdrag, särskilt mottagande av rapporter från inspektörer enligt artikel 123 i genomförandeförordning (EU) nr 404/2011, artiklarna 18–20 i förordning (EU) nr 1236/2010 och artiklarna 30, 33 och 34 i förordning (EU) 2019/833, samt mottagande av information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och utför uppdrag på plats i tredjeländer enligt artikel 20.4 c i förordning (EG) nr 1005/2008, såsom fastställs i beslut 2009/988/EU.
4. De kategorier av uppgifter som omfattas är hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet, såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).
5. Byrån ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.
6. Begränsningarna kan på de villkor som anges i detta beslut gälla för följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, rätten att bli underrättad om personuppgiftsincidenter och rätten till konfidentiell behandling av kommunikation.
Artikel 2
Specificering av den personuppgiftsansvarige och skyddsåtgärder
1. Byrån ska införa följande skyddsåtgärder för att förhindra missbruk eller olaglig åtkomst eller överföring:
|
a) |
Pappersdokument ska förvaras i låsbara skåp och endast vara åtkomliga för behörig personal. |
|
b) |
Alla elektroniska uppgifter ska lagras i en säker it-applikation i enlighet med byråns säkerhetsnormer samt i särskilda digitala mappar som endast är åtkomliga för behörig personal. Lämpliga åtkomstnivåer ska beviljas individuellt. |
|
c) |
It-system och deras databaser ska ha mekanismer för att verifiera användarens identitet i ett system med samlad inloggning och vara automatiskt kopplade till användar-id och lösenord. Konton för slutanvändare ska vara unika, personliga och får inte kunna överföras, och det är absolut förbjudet att dela användarkonton. Elektroniska handlingar ska lagras på ett säkert sätt för att säkerställa sekretesskydd för de uppgifter som finns i dessa. |
|
d) |
Alla som har tillgång till uppgifterna är bundna av tystnadsplikt. |
2. Personuppgiftsansvarig för behandlingen av personuppgifter är byrån, företrädd av dess verkställande direktör, som kan delegera personuppgiftsansvaret till någon annan. Registrerade ska informeras om vem som delegerats personuppgiftsansvaret genom dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register på byråns webbplats och/eller intranät.
3. Lagringsperioden för de personuppgifter som anges i artikel 1.3 får inte vara längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. Den får i alla händelser inte överstiga den lagringsperiod som anges i de dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register som nämns i artikel 5.1.
4. Om byrån överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter vägas särskilt mot risken för andra registrerades rättigheter och friheter samt mot risken att verkningarna av byråns utredningar eller förfaranden uteblir, till exempel genom att bevis förstörs. Riskerna för den registrerades rättigheter och friheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.
Artikel 3
Begränsningar
1. Byrån ska endast tillämpa begränsningar på grundval av ett eller flera av de skäl som anges i artikel 25.1 a–i i förordning (EU) 2018/1725.
I de dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register som avses i artikel 31 i förordning (EU) 2018/1725, som publiceras på byråns webbplats och/eller intranät och som innehåller information till registrerade om deras rättigheter i olika förfaranden, ska byrån informera de registrerade om att dessa rättigheter kan komma att begränsas. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen till detta och möjlig varaktighet.
2. Inom ramen för de ändamål som anges i punkt 1 ovan får byrån tillämpa begränsningar om
|
a) |
utövandet av dessa rättigheter och skyldigheter begränsas av kommissionens behöriga avdelningar eller unionens övriga institutioner, organ och byråer på grundval av andra rättsakter som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen eller grundläggande rättsakter för andra av unionens institutioner, organ och byråer, och där syftet med en sådan begränsning skulle äventyras om byrån inte tillämpade en motsvarande begränsning i fråga om samma personuppgifter, |
|
b) |
utövandet av dessa rättigheter och skyldigheter begränsas av medlemsstaternas behöriga myndigheter på grundval av rättsakter som avses i artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 (8), eller enligt de nationella bestämmelser som införlivar artikel 13.3, 15.3 eller 16.3 i Europaparlamentets och rådets direktiv (EU) 2016/680 (9), |
|
c) |
utövandet av dessa rättigheter och skyldigheter skulle äventyra byråns samarbete med tredjeländer eller internationella organisationer vid utförandet av dess arbetsuppgifter, om det finns tydliga bevis för att samarbetet sannolikt kommer att äventyras. |
Innan byrån tillämpar begränsningar i de fall som avses i första stycket leden a och b ska den samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter, såvida det inte är uppenbart för byrån att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.
3. Eventuella begränsningar ska vara nödvändiga och proportionella i förhållande till riskerna för de registrerades rättigheter och friheter och förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.
4. Om byrån överväger att tillämpa en begränsning ska en bedömning av nödvändigheten och proportionaliteten göras på grundval av dessa bestämmelser. Bedömningen ska dokumenteras i redovisningssyfte genom en intern bedömningsnotering i varje enskilt fall.
Dokumentationen och, i tillämpliga fall, handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.
Byrån ska se över begränsningen var sjätte månad från det att den fastställts samt när utredningen eller förfarandet i fråga avslutas. I denna regelbundna översyn ska en bedömning av nödvändigheten och proportionaliteten göras för att avgöra om de faktiska och rättsliga skäl som motiverar begränsningen fortfarande gäller.
5. Begränsningarna ska upphävas så snart som de omständigheter som motiverar dem inte längre gäller. Detta gäller i synnerhet om byrån inte längre anser att utövandet av den begränsade rättigheten skulle upphäva verkan av en införd begränsning eller inverka menligt på andra registrerades rättigheter och friheter.
Artikel 4
Dataskyddsombudets översyn
1. Byrån ska i enlighet med detta beslut utan onödigt dröjsmål informera sitt dataskyddsombud om alla fall då den personuppgiftsansvarige begränsar registrerades rättigheter eller förlänger en begränsning. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet och ange i densamma det datum när dataskyddsombudet underrättades.
2. Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvarige ser över tillämpningen av begränsningarna. Den personuppgiftsansvarige ska skriftligen underrätta dataskyddsombudet om resultatet av översynen.
3. Den personuppgiftsansvarige ska informera dataskyddsombudet om varje begränsning som tillämpas på registrerades rättigheter, när begränsningen har upphävts.
Artikel 5
Tillhandahållande av information till registrerade
1. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut får den personuppgiftsansvarige begränsa rätten till information vid följande typ av uppgiftsbehandling, om det är nödvändigt och proportionellt:
|
a) |
Genomförande av administrativa utredningar och disciplinära förfaranden. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
b) |
Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
c) |
Förfaranden i visselblåsarärenden. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
d) |
Formella och informella förfaranden för att hantera trakasserier. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
e) |
Handläggning av interna och externa klagomål. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
f) |
Interna revisioner. Begränsningar kan grundas på artikel 25.1 b, c, f, g och h i förordning (EU) 2018/1725. |
|
g) |
Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725. Begränsningar kan grundas på artikel 25.1 c, g och h i förordning (EU) 2018/1725. |
|
h) |
Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av CERT-EU). Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
|
i) |
Informationsutbyte inom ramen för byråns operativa verksamhet för att fullgöra sitt uppdrag, särskilt mottagande av rapporter från inspektörer enligt artikel 123 i genomförandeförordning (EU) nr 404/2011, artiklarna 18–20 i förordning (EU) nr 1236/2010 och artiklarna 30, 33 och 34 i förordning (EU) 2019/833, samt mottagande av information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och gör kontroller på plats i tredjeländer enligt artikel 20.4 c i förordning (EG) nr 1005/2008. Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
2. Utan att det påverkar tillämpningen av bestämmelserna i punkt 3 ska byrån, där så är proportionellt, utan onödigt dröjsmål skriftligen och individuellt informera alla registrerade som anses vara berörda i respektive behandlingsfall om deras rättigheter vad gäller pågående eller framtida begränsningar.
3. I de fall då byrån helt eller delvis begränsar informationen till registrerade enligt punkt 2 ska byrån dokumentera anledningarna till begränsningen och den rättsliga grunden enligt artikel 3 i detta beslut samt inkludera en bedömning av begränsningens nödvändighet och proportionalitet.
4. Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger.
Om skälen till begränsning inte längre föreligger ska byrån underrätta den registrerade om de huvudsakliga skälen till varför en begränsning tillämpas. Samtidigt ska byrån informera den registrerade om dennes rätt att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
Artikel 6
Registrerades rätt till tillgång
1. I vederbörligen motiverade fall och enligt de villkor som anges i föreliggande beslut, får den personuppgiftsansvarige begränsa rätten till tillgång vid följande typ av uppgiftsbehandling, om det är nödvändigt och proportionellt:
|
a) |
Genomförande av administrativa utredningar och disciplinära förfaranden. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
b) |
Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
c) |
Förfaranden i ärenden som gäller visselblåsning. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
d) |
Formella och informella förfaranden för att hantera trakasserier. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
e) |
Handläggning av interna och externa klagomål. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
f) |
Interna revisioner. Begränsningar kan grundas på artikel 25.1 b, c, f, g och h i förordning (EU) 2018/1725. |
|
g) |
Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725. Begränsningar kan grundas på artikel 25.1 c, g och h i förordning (EU) 2018/1725. |
|
h) |
Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av CERT-EU). Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
|
i) |
Informationsutbyte inom ramen för byråns operativa verksamhet för att fullgöra sitt uppdrag, särskilt mottagande av rapporter från inspektörer enligt artikel 123 i genomförandeförordning (EU) nr 404/2011, artiklarna 18–20 i förordning (EU) nr 1236/2010 och artiklarna 30, 33 och 34 i förordning (EU) 2019/833, samt mottagande av information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och gör kontroller på plats i tredjeländer enligt artikel 20.4 c i förordning (EG) nr 1005/2008. Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
Om registrerade, i överensstämmelse med artikel 17 i förordning (EU) 2018/1725, begär tillgång till sina personuppgifter som behandlas i samband med ett eller flera specifika fall eller ärenden som inbegriper uppgiftsbehandling ska byrån begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.
2. Om byrån helt eller delvis begränsar rätten till tillgång, som avses i artikel 17 i förordning (EU) 2018/1725, ska följande åtgärder vidtas:
|
a) |
Byrån ska i sitt svar på den berörda registrerades begäran lämna information om den begränsning som tillämpas och om de huvudsakliga skälen till denna, samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller att begära rättslig prövning vid Europeiska unionens domstol. |
|
b) |
Byrån ska genom en intern bedömningsnotering dokumentera skälen till begränsningen, däribland en bedömning av begränsningens nödvändighet och proportionalitet samt dess varaktighet. |
Tillhandahållandet av den information som avses i led a får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med artikel 25.8 i förordning (EU) 2018/1725.
Artikel 7
Rätt till rättelse, radering och begränsning av behandling
1. I vederbörligen motiverade fall och enligt villkoren i detta beslut får den personuppgiftsansvarige begränsa rätten till rättelse, radering och begränsning av behandling vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:
|
a) |
Genomförande av administrativa utredningar och disciplinära förfaranden. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
b) |
Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
c) |
Förfaranden i ärenden som gäller visselblåsning. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
d) |
Formella och informella förfaranden för att hantera trakasserier. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
e) |
Handläggning av interna och externa klagomål. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
f) |
Interna revisioner. Begränsningar kan grundas på artikel 25.1 b, c, f, g och h i förordning (EU) 2018/1725. |
|
g) |
Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725. Begränsningar kan grundas på artikel 25.1 c, g och h i förordning (EU) 2018/1725. |
|
h) |
Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av CERT-EU). Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
|
i) |
Informationsutbyte inom ramen för byråns operativa verksamhet för att fullgöra sitt uppdrag, särskilt mottagande av rapporter från inspektörer enligt artikel 123 i genomförandeförordning (EU) nr 404/2011, artiklarna 18–20 i förordning (EU) nr 1236/2010 och artiklarna 30, 33 och 34 i förordning (EU) 2019/833, samt mottagande av information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och gör kontroller på plats i tredjeländer enligt artikel 20.4 c i förordning (EG) nr 1005/2008. Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
2. Om byrån helt eller delvis begränsar den rätt till rättelse, radering eller begränsning av behandling som avses i artiklarna 18, 19.1 och 20.1 i förordning (EU) 2018/1725 ska byrån vidta de åtgärder som anges i artikel 6.2 i föreliggande beslut och registrera dokumentationen i enlighet med artikel 6.3 i detsamma.
Artikel 8
Information till den registrerade om en personuppgiftsincident och konfidentiell behandling av elektronisk kommunikation
1. I vederbörligen motiverade fall och enligt villkoren i detta beslut får den personuppgiftsansvarige begränsa rätten till information om en personuppgiftsincident vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:
|
a) |
Genomförande av administrativa utredningar och disciplinära förfaranden. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
b) |
Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
c) |
Förfaranden i ärenden som gäller visselblåsning. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
d) |
Formella och informella förfaranden för att hantera trakasserier. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
e) |
Handläggning av interna och externa klagomål. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
f) |
Interna revisioner. Begränsningar kan grundas på artikel 25.1 b, c, f, g och h i förordning (EU) 2018/1725. |
|
g) |
Utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725. Begränsningar kan grundas på artikel 25.1 c, g och h i förordning (EU) 2018/1725. |
|
h) |
Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av CERT-EU). Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
|
i) |
Informationsutbyte inom ramen för byråns operativa verksamhet för att fullgöra sitt uppdrag, särskilt mottagande av rapporter från inspektörer enligt artikel 123 i genomförandeförordning (EU) nr 404/2011, artiklarna 18–20 i förordning (EU) nr 1236/2010 och artiklarna 30, 33 och 34 i förordning (EU) 2019/833, samt mottagande av information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och gör kontroller på plats i tredjeländer enligt artikel 20.4 c i förordning (EG) nr 1005/2008. Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
2. I vederbörligen motiverade fall och enligt villkoren i detta beslut får den personuppgiftsansvarige begränsa rätten till konfidentiell behandling av elektronisk kommunikation vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:
|
a) |
Genomförande av administrativa utredningar och disciplinära förfaranden. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
b) |
Förberedande åtgärder i samband med eventuella oegentligheter som anmälts till Olaf. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
c) |
Förfaranden i ärenden som gäller visselblåsning. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
d) |
Formella och informella förfaranden vid fall av trakasserier. Begränsningar kan grundas på artikel 25.1 b, d, f och h i förordning (EU) 2018/1725. |
|
e) |
Handläggning av interna och externa klagomål. Begränsningar kan grundas på artikel 25.1 b, c, d, f, g och h i förordning (EU) 2018/1725. |
|
f) |
Utredningar om it-säkerhet som hanteras internt eller med extern hjälp (t.ex. av CERT-EU). Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
|
g) |
Informationsutbyte inom ramen för byråns operativa verksamhet för att fullgöra sitt uppdrag, särskilt mottagande av rapporter från inspektörer enligt artikel 123 i genomförandeförordning (EU) nr 404/2011, samt mottagande av information och uppgifter från medlemsstaterna i samband med analyser som lämnas in till Europeiska kommissionen som förbereder och utför uppdrag på plats i tredjeländer enligt artikel 20.4 c och d i förordning (EG) nr 1005/2008. Begränsningar kan grundas på artikel 25.1 b, c, d, g och h i förordning (EU) 2018/1725. |
3. Om byrån begränsar en registrerads rätt att underrättas om personuppgiftsincidenter eller rätt till konfidentiell behandling av elektronisk kommunikation i enlighet med artiklarna 35 och 36 i förordning (EU) 2018/1725 ska byrån dokumentera och registrera skälen till begränsningen i enlighet med artikel 5.3 i detta beslut. Artikel 5.4 i detta beslut ska tillämpas.
Artikel 9
Ikraftträdande
Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Utfärdat i Vigo den 22 april 2020.
Reinhard PRIEBE
Styrelsens ordförande
(1) EUT L 295, 21.11.2018, s. 39.
(2) EUT L 83, 25.3.2019, s. 18.
(3) Kommissionens genomförandeförordning (EU) nr 404/2011 av den 8 april 2011 om tillämpningsföreskrifter för rådets förordning (EG) nr 1224/2009 om införande av ett kontrollsystem i gemenskapen för att säkerställa att bestämmelserna i den gemensamma fiskeripolitiken efterlevs (EUT L 112, 30.4.2011, s. 1).
(4) Europaparlamentets och rådets förordning (EU) nr 1236/2010 av den 15 december 2010 om fastställande av en kontroll- och tillsynsplan för det område som omfattas av konventionen om framtida multilateralt samarbete om fisket i Nordostatlanten och om upphävande av rådets förordning (EG) nr 2791/1999 (EUT L 348, 31.12.2010, s. 17).
(5) Europaparlamentets och rådets förordning (EU) 2019/833 av den 20 maj 2019 om fastställande av bevarande- och tillämpningsföreskrifter som är tillämpliga i regleringsområdet för Fiskeriorganisationen för Nordatlantens västra del, om ändring av förordning (EU) 2016/1627 och om upphävande av rådets förordningar (EG) nr 2115/2005 och (EG) nr 1386/2007 (EUT L 141, 28.5.2019, s. 1).
(6) Rådets förordning (EG) nr 1005/2008 av den 29 september 2008 om upprättande av ett gemenskapssystem för att förebygga, motverka och undanröja olagligt, orapporterat och oreglerat fiske och om ändring av förordningarna (EEG) nr 2847/93, (EG) nr 1936/2001 och (EG) nr 601/2004 samt om upphävande av förordningarna (EG) nr 1093/94 och (EG) nr 1447/1999 (EUT L 286, 29.10.2008, s. 1).
(7) Kommissionens beslut 2009/988/EU av den 18 december 2009 om utnämning av gemenskapens kontrollorgan för fiske till det organ som ska utföra vissa uppgifter enligt rådets förordning (EG) nr 1005/2008 (EUT L 338, 19.12.2009, s. 104).
(8) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(9) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).