KOMMISSIONENS BESLUT (EU) 2024/1043

av den 9 april 2024

om interna regler för begränsning av vissa registrerades rättigheter i samband med den konfidentiella chefsrådgivarens och de konfidentiella rådgivarnas behandling av personuppgifter vid utförandet av arbetsuppgifter som rör förebyggande och bekämpning av psykologiska och sexuella trakasserier

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25.1, och

av följande skäl:

(1)

I tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (tjänsteföreskrifterna) (2), föreskrivs att de anställda ska avstå från varje handling eller beteende som kan skada deras ställning, inbegripet alla former av psykologiska eller sexuella trakasserier.

(2)	Kommissionen har antagit en policy för att förebygga och hantera faktiska eller potentiella fall av psykologiska och sexuella trakasserier inom arbetslivet, såsom föreskrivs i kommissionens beslut C(2023) 8630 (3).

(3)

I beslut C(2023) 8630 fastställs dels funktionen som konfidentiell chefsrådgivare (chefsrådgivare), dels ett informellt förfarande som offer för trakasserier eller vittnen till sådana trakasserier kan använda för att kontakta chefsrådgivaren. Chefsrådgivaren är den viktigaste kontaktpunkten för personer som utsatts för trakasserier när det gäller att ge snabb och konfidentiell rådgivning, information om tillgängliga tjänster och stöd. Denne kan tilldela ett ärende till en av de konfidentiella rådgivarna inom ramen för det informella förfarandet eller, i undantagsfall, besluta att själv utföra samma arbetsuppgifter som konfidentiella rådgivare gör. De konfidentiella rådgivarna tar emot, lyssnar på, stöder, informerar och vägleder offren i sina försök att finna en tillfredsställande lösning i en situation som offren uppfattar som trakasserier. Det informella förfarandet syftar till att erbjuda lämpligt stöd med avseende på de frågor som offret tar upp, utan att ge en rättslig bedömning av beteendet. Vid återkommande anklagelser om trakasserier inom samma generaldirektorat eller avdelning kan chefsrådgivaren informera den berörda generaldirektören eller avdelningschefen och, om offret samtycker, kommissionens utrednings- och disciplinbyrå (IDOC). Chefsrådgivaren kan också kontakta relevanta personer eller tjänster för att tillhandahålla information eller råd om lämpliga åtgärder utan att det påverkar deras respektive befogenheter.

(4)	Inom ramen för detta informella förfarande som genomförs av chefsrådgivaren och de konfidentiella rådgivarna samlar kommissionen in och behandlar information. Sådan information kan omfatta personuppgifter om offret, den påstådda förövaren, potentiella vittnen och andra berörda personer.

(5)

Utöver det informella förfarandet bör chefsrådgivaren också, när så är relevant, kunna underlätta genomförandet av tillfälliga skyddsåtgärder och kompletterande åtgärder samt kunna kontakta berörda avdelningar. I detta sammanhang har chefsrådgivaren också tillgång till personuppgifter om offret, de påstådda förövarna, potentiella vittnen och alla andra berörda personer.

(6)

Dessutom kan chefsrådgivaren uppmanas att ge råd till offer för trakasserier som inledde det formella förfarandet. Som en del av detta förfarande kan offret, i enlighet med artikel 39.2 i beslut C(2023) 8630, be chefsrådgivaren att avge ett oberoende yttrande om aspekter av den preliminära undersökningen och denne kan i det sammanhanget få tillgång till personuppgifter om offret, den påstådda förövaren, vittnen och andra berörda personer.

(7)

För att fullgöra sitt uppdrag får chefsrådgivaren och de konfidentiella rådgivarna samla in och behandla flera kategorier av personuppgifter, till exempel uppgifter om identifiering, kontakt och beteende samt personuppgifter som avses i artikel 10.1 och artikel 11 i förordning (EU) 2018/1725. Kommissionen fungerar som personuppgiftsansvarig.

(8)

När kommissionen utför sina arbetsuppgifter i enlighet med tjänsteföreskrifterna är den skyldig att respektera fysiska personers rättigheter i samband med behandling av personuppgifter som erkänns genom artikel 8.1 i stadgan om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt, samt de rättigheter som fastställs i förordning (EU) 2018/1725. Samtidigt är all personal vid kommissionen skyldig att följa reglerna om konfidentialitet.

(9)

Under vissa omständigheter är det nödvändigt att väga vissa av de registrerades rättigheter enligt förordning (EU) 2018/1725 mot behovet av att kommissionen på ett verkningsfullt sätt reagerar på påståenden om trakasserier och annat olämpligt beteende, och att andra registrerades grundläggande rättigheter och friheter respekteras fullt ut. I detta syfte finns det enligt i artikel 25 i förordning (EU) 2018/1725 en möjlighet för kommissionen att, på stränga villkor, begränsa tillämpningen av artiklarna 14–22, 35 och 36 i förordning (EU) 2018/1725 samt artikel 4 i den förordningen, i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–20 i förordning (EU) 2018/1725. Om begränsningar inte föreskrivs i en rättsakt som har antagits på grundval av fördragen är det nödvändigt att anta interna regler enligt vilka kommissionen får begränsa dessa rättigheter.

(10)

För att säkerställa konfidentialiteten och effektiviteten i förfarandena mot trakasserier, inbegripet administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängning, antog kommissionen beslut (EU) 2019/165 (4) respektive beslut (EU) 2022/121 (5), som begränsar utövandet av registrerades rättigheter enligt artikel 25.1 b, c, g och h i förordning (EU) 2018/1725.

(11)	Kommissionen kan behöva förena de registrerades rättigheter med behovet av att skydda både målen för det informella förfarande som genomförs av chefsrådgivaren och de konfidentiella rådgivarna och fullgörandet av chefsrådgivarens andra arbetsuppgifter enligt beslut C(2023) 8630.

(12)

Den kan särskilt behöva väga de rättigheter som den påstådde förövaren har som registrerad, såsom rätten att få tillgång till sina personuppgifter som samlats in av chefsrådgivaren och de konfidentiella rådgivarna, mot alla andra berörda personers grundläggande rättigheter och friheter, exempelvis offret och potentiella vittnen. Kommissionen får besluta att göra detta, särskilt för att skydda dessa personer mot eventuella repressalier från de personer mot vilka beskyllningar riktats, i de fall då detta inte har lett till åtgärder från administrationens sida. Kommissionen får besluta att göra detta i enlighet med artikel 25.1 h i förordning (EU) 2018/1725.

(13)

Det kan vara nödvändigt att skydda konfidentiella uppgifter om en anställd som har kontaktat chefsrådgivaren eller konfidentiella rådgivare i samband med ett förfarande rörande trakasserier. I sådana fall kan kommissionen behöva begränsa tillgången till uppgifter om identitet, uttalanden och andra personuppgifter som avser det påstådda offret, vittnen och andra berörda personer för att skydda rättigheterna och friheterna för alla parter.

(14)

Kommissionen bör, för att uppfylla kraven i artiklarna 14, 15 och 16 i förordning (EU) 2018/1725, informera alla enskilda personer som berörs av verksamhet som kommissionen bedriver som innebär behandling av de personernas personuppgifter samt om deras rättigheter, vilket bör göras på ett tydligt och konsekvent sätt i form av dataskyddsmeddelanden som offentliggörs på kommissionens webbplats. I förekommande fall bör kommissionen på lämpligt sätt enskilt informera de registrerade som deltar i det informella rapporteringsförfarandet.

(15)

I artikel 16.5 i förordning (EU) 2018/1725 föreskrivs undantag från de registrerades rätt till information. Om dessa undantag är tillämpliga behöver kommissionen inte tillämpa en begränsning av rätten till information enligt detta beslut. Vid anklagelser om psykologiska och sexuella trakasserier som ger upphov till ett informellt förfarande bör personuppgifterna förbli konfidentiella. Att lämna denna information till den påstådda förövaren skulle allvarligt försämra möjligheterna att uppnå förfarandets syfte. Dessa undantag bör därför tillämpas på påstådda förövares rätt till information när det gäller personuppgifter som samlats in av chefsrådgivaren och de konfidentiella rådgivarna.

(16)

Kommissionen bör tillämpa begränsningar endast när de är förenliga med andemeningen i de grundläggande rättigheterna och friheterna, är absolut nödvändiga och är en proportionell åtgärd i ett demokratiskt samhälle. Kommissionen bör motivera dessa begränsningar. Vid tillämpningen av principerna om öppenhet, rättvisa och ansvarsskyldighet bör kommissionen hantera alla begränsningar på ett öppet sätt och dokumentera hur de tillämpas.

(17)	Enligt artikel 25.6 i förordning (EU) 2018/1725 ska den personuppgiftsansvarige informera den registrerade om de huvudsakliga skälen till begränsningen och om dennes rätt att inge ett klagomål till Europeiska datatillsynsmannen.

(18)

Enligt artikel 25.8 i förordning (EU) 2018/1725 får personuppgiftsansvariga skjuta upp, utelämna eller neka tillhandahållandet av information rörande de huvudsakliga skälen till en begränsning av den registrerades rättigheter i de fall då tillhandahållandet av informationen på något sätt skulle kunna upphäva verkan av begränsningen. Kommissionen bör i varje enskilt fall bedöma huruvida meddelandet av begränsningen skulle upphäva dess verkan.

(19)	Kommissionen bör upphäva begränsningen så snart som de skäl som motiverar begränsningen inte längre är tillämpliga och bedöma dessa med jämna mellanrum.

(20)	Dataskyddssamordnaren vid generaldirektoratet för personal bör rådfrågas i förväg om eventuella begränsningar som kan komma att tillämpas och verifiera att de överensstämmer med detta beslut.

(21)	Kommissionens dataskyddsombud bör göra en oberoende översyn av tillämpningen av begränsningar för att säkerställa efterlevnaden av detta beslut.

(22)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 41.2 i förordning (EU) 2018/1725 och avgav ett yttrande den 13 oktober 2023.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1. Detta beslut är tillämpligt på kommissionens behandling av personuppgifter i egenskap av personuppgiftsansvarig när det gäller utförandet av de arbetsuppgifter som utförs av chefsrådgivaren och de konfidentiella rådgivarna för att förebygga och bekämpa psykologiska eller sexuella trakasserier, i enlighet med beslut C(2023) 8630.

2. De kategorier av personuppgifter som omfattas av detta beslut omfattar uppgifter om identifiering, kontakt och beteende som rör den påstådda förövarens beteende gentemot offret eller andra berörda personer, samt personuppgifter som avses i artikel 10.1 och artikel 11 i förordning (EU) 2018/1725.

3. Genom detta beslut fastställs de regler som kommissionen ska följa för att informera registrerade om behandlingen av deras personuppgifter i enlighet med artiklarna 14, 15 och 16 i förordning (EU) 2018/1725.

4. I beslutet fastställs även de villkor på vilka kommissionen får begränsa tillämpningen av artiklarna 4, 14–17, 19, 20 och 35 i förordning (EU) 2018/1725, i enlighet med artikel 25.1 h i den förordningen.

Artikel 2

Tillämpliga begränsningar

1. Om inte annat följer av artiklarna 3–7 i detta beslut får kommissionen, om utövandet av de rättigheter och skyldigheter som avses i följande bestämmelser skulle inverka negativt på skyddet av den registrerade eller andras rättigheter och friheter i enlighet med artikel 25.1 h i förordning (EU) 2018/1725, begränsa tillämpningen av

a)	artiklarna 14–17, 19, 20 och 35 i förordning (EU) 2018/1725,

b)	den öppenhetsprincip som fastställs i artikel 4.1 a i förordning (EU) 2018/1725 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som anges i artiklarna 14–17, 19 och 20 i den förordningen.

Kommissionen ska utöva de befogenheter som beviljas i första stycket endast för att skydda antingen

a)	målen för det informella förfarande som anges i avdelning II kapitel II i kommissionens beslut C(2023) 8630, eller

b)	kommissionens chefsrådgivares och konfidentiella rådgivares utförande av sina arbetsuppgifter avseende förebyggande och bekämpning av psykologiska och sexuella trakasserier.

Kommissionen får utöva de befogenheter som beviljas i första stycket endast med avseende på någon av följande kategorier personuppgifter som behandlas av kommissionen:

a)	Uppgifter som offren rapporterar till kommissionens chefsrådgivaren och konfidentiella rådgivare.

Uppgifter som upptäcks av chefsrådgivaren som en del av dennes arbetsuppgift att informera den berörda generaldirektören eller avdelningschefen, och, om offret samtycker, kommissionens utrednings- och disciplinbyrå, om återkommande anklagelser om trakasserier inom samma generaldirektorat eller avdelning.

2. Kommissionen får göra detta om utövandet av dessa rättigheter och skyldigheter skulle inverka negativt på skyddet av de registrerade eller andras rättigheter och friheter i enlighet med artikel 25.1 h i förordning (EU) 2018/1725.

3. Punkt 1 ska inte påverka tillämpningen av andra kommissionsbeslut om interna regler för tillhandahållande av information till registrerade och begränsningar enligt artikel 25 i förordning (EU) 2018/1725.

4. Innan begränsningar tillämpas ska kommissionen göra en bedömning från fall till fall av deras nödvändighet och proportionalitet. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.

Artikel 3

Tillhandahållande av information till registrerade

1. Kommissionen ska på sin webbplats offentliggöra ett meddelande om skydd av personuppgifter för att informera alla registrerade om kommissionens verksamhet som innebär att deras personuppgifter behandlas för de syften som anges i artikel 2.1 andra stycket.

2. Meddelandet om skydd av personuppgifter ska innehålla ett avsnitt med allmän information till registrerade om möjligheten att begränsa registrerades rättigheter i enlighet med artikel 2.1. Informationen ska omfatta de rättigheter som kan begränsas, på vilka grunder begränsningarna kan tillämpas och hur länge de kan pågå.

3. Kommissionen ska på lämpligt sätt enskilt informera offer och vittnen, som rapporterar fall av psykologiska och sexuella trakasserier, om behandlingen av deras personuppgifter.

4. När det informella förfarandet har avslutats med chefsrådgivaren ska kommissionen skriftligen och utan onödigt dröjsmål informera den påstådda förövaren vars rättigheter som registrerad har begränsats i enlighet med detta beslut om de relevanta begränsningarna av dennes rättigheter. Kommissionen ska informera den registrerade om de huvudsakliga skäl som ligger till grund för tillämpningen av begränsningen, om dennes rätt att samråda med dataskyddsombudet för att bestrida begränsningen och om dennes rätt att inge ett klagomål till Europeiska datatillsynsmannen. Kommissionen får fortsätta att begränsa vissa registrerades rättigheter kopplade till personuppgifter som behandlas inom ramen för det informella förfarandet efter det att det informella förfarandet har avslutats, om detta är absolut nödvändigt för att skydda offret eller andra berörda personer, och ska om möjligt ange när rättigheterna helt och hållet kommer att återställas.

Artikel 4

Registrerades rätt till tillgång till, radering av eller begränsning av behandlingen

1. När kommissionen, helt eller delvis, begränsar de registrerades rätt till tillgång till, radering av eller begränsning av behandlingen av deras personuppgifter såsom avses i artiklarna 17, 19 och 20 i förordning (EU) 2018/1725 ska kommissionen skriftligen och utan onödigt dröjsmål, i sitt svar på begäran om tillgång, radering eller begränsning av behandling, informera den berörda registrerade

a)	om den begränsning som tillämpas och de huvudsakliga skäl som ligger till grund för tillämpningen, och

b)	om att den registrerade när som helst kan inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

2. Tillhandahållandet av information om de huvudsakliga skälen till den begränsning som avses i punkt 1 a får skjutas upp, utelämnas eller nekas så länge som detta innebär att det finns en risk för att verkan av begränsningen upphävs. Kommissionen ska från fall till fall bedöma om en sådan begränsning är motiverad.

Artikel 5

Meddelande om och anmälan av personuppgiftsincidenter

1. Om kommissionen är skyldig att informera den registrerade om en personuppgiftsincident enligt artikel 35.1 i förordning (EU) 2018/1725 får den under exceptionella omständigheter helt eller delvis begränsa sådan information. Eurojust ska i en not ange skälen till begränsningen, den rättsliga grunden för den enligt artikel 2 och en bedömning av begränsningens nödvändighet och proportionalitet. Kommissionen ska översända noten till Europeiska datatillsynsmannen vid den tidpunkt då personuppgiftsincidenten anmäldes.

2. När skälen till begränsningen inte längre är tillämpliga ska kommissionen meddela den registrerade om personuppgiftsincidenten och informera denne om de huvudsakliga skälen till begränsningen och om rätten att inge klagomål till Europeiska datatillsynsmannen.

3. Om kommissionen anmäler personuppgiftsincidenten till Europeiska datatillsynsmannen i enlighet med artikel 34.1 i förordning (EU) 2018/1725 ska den bifoga den dokumentation som den gjort i enlighet med artikel 6 i detta beslut.

Artikel 6

Dokumentation och registrering av begränsningar

1. Bedömningar av vilka riskerna med begränsningar kan vara för de registrerades rättigheter och friheter, samt uppgifter om tillämpningsperioden för begränsningarna, ska anges i det register över behandling som förs av kommissionen i enlighet med artikel 31 i förordning (EU) 2018/1725. I dokumentationen ska det anges hur den registrerades utövande av rättigheten skulle undergräva den tillämpliga grund som anges i artikel 25.1 h i förordning (EU) 2018/1725.

2. Kommissionen ska dokumentera skälen till varje enskild bedömning som rör varje begränsning som tillämpas enligt detta beslut, inbegripet en bedömning av riskerna med begränsningar för de registrerades rättigheter och friheter och av begränsningens nödvändighet och proportionalitet, med beaktande av de relevanta delar som anges i artikel 25.2 i förordning (EU) 2018/1725.

3. Dokumentationen och, i tillämpliga fall, de handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

4. Kommissionen ska utarbeta regelbundna rapporter om tillämpningen av artikel 25 i förordning (EU) 2018/1725.

Artikel 7

Begränsningarnas varaktighet

1. De begränsningar som avses i artiklarna 3, 4 och 5 ska fortsätta att tillämpas så länge de skäl som ligger till grund för dem föreligger.

2. När skälen för en sådan begränsning som avses i artikel 3, 4 eller 5 inte längre föreligger ska kommissionen häva begränsningen. Samtidigt ska kommissionen också informerade den registrerade om de huvudsakliga skälen för tillämpningen av begränsningen och informera denne om möjligheten att när som helst inge ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

3. Kommissionen ska var sjätte månad se över tillämpningen av de begränsningar som avses i artiklarna 3, 4 och 5. Översynen ska omfatta en bedömning av huruvida begränsningen var nödvändig och proportionell, med beaktande av de relevanta delar som anges i artikel 25.2 i förordning (EU) 2018/1725.

Artikel 8

Skyddsåtgärder och lagringsperioder

1. Kommissionen ska införa skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller skulle kunna bli föremål för begränsningar. Sådana skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder såsom

a)	en tydlig definition av funktioner, ansvar, rätt till tillgång och steg i förfarandet,

b)	en säker elektronisk miljö för att förhindra olaglig eller oavsiktlig tillgång till eller överföring av elektroniska data till obehöriga personer,

c)	en säker förvaring och behandling av pappersbaserade dokument som begränsas till vad som är absolut nödvändigt för att uppnå syftet med behandlingen,

d)	vederbörlig övervakning av begränsningar och en regelbunden översyn av deras tillämpning, som ska genomföras minst var sjätte månad.

2. De begränsningar som avses i artikel 2 ska upphävas så snart de skäl som ligger till grund för dem inte längre föreligger.

3. Personuppgifterna ska lagras i enlighet med kommissionens tillämpliga lagringsregler, som ska fastställas i det register som förs i enlighet med artikel 31 i förordning (EU) 2018/1725. I slutet av lagringsperioden ska personuppgifterna raderas, anonymiseras eller överföras till arkivet i enlighet med artikel 13 i förordning (EU) 2018/1725.

Artikel 9

Förhandsgranskning utförd av dataskyddssamordnaren och efterhandsöversyn utförd av kommissionens dataskyddsombud

1. Dataskyddssamordnaren vid generaldirektoratet för personal ska rådfrågas i förväg om eventuella begränsningar som kan komma att tillämpas och kontrollera att de överensstämmer med detta beslut.

2. Kommissionens dataskyddsombud ska utan onödigt dröjsmål underrättas när registrerades rättigheter begränsas i enlighet med detta beslut. Dataskyddsombudet ska på begäran ges tillgång till registret och alla handlingar som innehåller bakomliggande faktiska och rättsliga omständigheter.

3. Dataskyddsombudet får begära en omprövning av tillämpningen av begränsningen. Dataskyddsombudet ska underrättas skriftligen om resultatet av den begärda omprövningen.

4. Kommissionen ska dokumentera dataskyddsombudets och dataskyddssamordnarens deltagande, inklusive vilken information som delas med dem, i varje fall där rättigheterna och skyldigheterna enligt artikel 2.1 första stycket i detta beslut begränsas.

Artikel 10

Ikraftträdande

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 9 april 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 295, 21.11.2018, s. 39.

(2) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).

(3) Commission Decision C(2023) 8630 of 12 December 2023 on the prevention of and fight against psychological and sexual harassment (inte översatt till svenska).

(4) Kommissionens beslut (EU) 2019/165 av den 1 februari 2019 om interna bestämmelser för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter av kommissionen i samband med administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängning (EUT L 32, 4.2.2019, s. 9).

(5) Kommissionens beslut (EU) 2022/121 av den 27 januari 2022 om interna regler för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter i samband med behandling av personuppgifter vid hantering av begäranden och klagomål i enlighet med tjänsteföreskrifterna (EUT L 19, 28.1.2022, s. 77).