KOMMISSIONENS BESLUT (EU) 2024/1245

av den 2 maj 2024

om interna regler för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter i samband med medlingstjänstens verksamhet

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25.1, och

av följande skäl:

(1)

Kommissionens beslut C(2024)1420 (2) om medlingstjänster inrättar medlingstjänsten som en oberoende avdelning inom kommissionen. Dess uppgift är att underlätta en uppgörelse i godo på konflikter på arbetsplatsen eller tvister avseende rättigheter och skyldigheter för kommissionsanställda som omfattas av tjänsteföreskrifterna för tjänstemän i Europeiska unionen (tjänsteföreskrifterna) och anställningsvillkor för övriga anställda i Europeiska unionen som fastställts av rådets förordning (EEG, Euratom, EKSG) nr 259/68 (3).

(2)	Beslut C(2024)1420 inrättar ett informellt förfarande som gör det möjligt för alla som omfattas av beslutets tillämpningsområde att begära bistånd av medlingstjänsten.

(3)

Kommissionen och, inom ramen för detta beslut, medlingstjänsten på kommissionens vägnar, bidrar till en produktiv arbetsmiljö där alla medarbetare respekteras genom att tvister informellt görs upp i godo innan de trappas upp, och genom att förhindra att liknande situationer uppstår inom institutionen i framtiden. Medlingstjänsten tillhandhåller informell och konfidentiell rådgivning till varje anställd som begär dess bistånd (den begärande personen). Med den begärande personens samtycke kan medlingstjänsten också kontakta varje annan part som uppgetts av den begärande personen (den berörda personen) i samband med medling. Medling kräver alla berörda parters samtycke. Medlingstjänsten agerar på rent informell basis. Medlingstjänsten kan inte fatta beslut mot enskilda personer.

(4)

För att kunna utföra sina uppgifter på medlingsområdet samlar kommissionen in och behandlar information och flera olika kategorier av personuppgifter rörande personal och andra personer som omfattas av beslut C(2024)1420, inklusive identifieringsuppgifter för fysiska personer, kontaktinformation, information om yrkesroller och arbetsuppgifter, information angående uppträdande och prestationer privat och professionellt. Kommissionen kan också behandla känsliga personuppgifter som avses i artiklarna 10 och 11 i förordning (EU) 2018/1725 som den begärande personen frivilligt tillhandahållit.

(5)	Personuppgifterna lagras i en säker fysisk och elektronisk miljö för att förhindra olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. När behandlingen avslutats lagras uppgifterna i enlighet med artikel 6.11 i beslut C(2024)1420.

(6)	Enligt förordning (EU) 2018/1725 ska kommissionen som personuppgiftsansvarig förse de registrerade med information om denna behandling och respektera deras rättigheter som registrerade.

(7)

När kommissionen utför sina uppgifter är den skyldig att respektera fysiska personers rättigheter i samband med behandling av personuppgifter som erkänns genom artikel 8.1 i stadgan om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt, samt de rättigheter som fastställs i förordning (EU) 2018/1725. Samtidigt ska kommissionen, inom ramen för verksamheten som medlingstjänst, respektera strikta sekretessregler gentemot den begärande personen och kan därför behöva väga en registrerads rättigheter mot andra registrerades grundläggande fri- och rättigheter.

(8)

Det är av avgörande vikt för den begärande personen att kontakterna omfattas av sekretess och att inga åtgärder vidtas utan den begärande personens samtycke. När en person vänder sig till medlingstjänsten för konfidentiell rådgivning avseende en konflikt, och inte samtycker till att medlingstjänsten kontaktar den berörda personen i medlingssyfte, kan medlingstjänsten inte informera den berörda personen. Att lämna ut sådana uppgifter skulle göra det ytterst svårt eller omöjligt att uppnå medlingstjänstens mål, särskilt målet att erbjuda en trygg miljö där den begärande parten fritt kan diskutera sin belägenhet och avgöra om ett medlingsförfarande ska inledas med den berörda personen. Kommissionen kan därför tillämpa undantaget i artikel 16.5 b i förordning (EU) 2018/1725 för att sekretesskydda behandlingen av personuppgifter i enlighet med artikel 5.1 i beslut C(2024)1420.

(9)

Under vissa omständigheter är det nödvändigt att väga de registrerades rättigheter enligt förordning (EU) 2018/1725 mot behovet av att kommissionen effektivt kan utföra uppgiften att tillhandahålla informell konfidentiell rådgivning, samt respekten för andra registrerades grundläggande rättigheter och friheter. I enlighet med artikel 25.1 h i förordning (EU) 2018/1725 får kommissionen därför föreskriva, på strikta villkor, begränsningar i tillämpningen av artiklarna 14–17, 19, 20 och 35, samt av öppenhetsprincipen som fastställs i artikel 4.1 a med avseende på de rättigheter och skyldigheter som fastställs i artiklarna 14–17, 19, 20 och 35 i förordningen.

(10)

Det kan särskilt vara fallet när den begärande personen indirekt lämnar uppgifter om andra berörda parter. I det fallet kan kommissionen besluta att begränsa den berörda personens rättigheter när utövandet av dessa rättigheter skulle leda till att uppgifter lämnas ut om en begärande part som inte samtyckt till att medlingstjänsten vidtar åtgärder för att underlätta en dialog med den berörda personen. I ett sådant fall får kommissionen besluta att begränsa rätten till tillgång till uppgifter som avser den berörda personen eller hans eller hennes andra rättigheter, för att skydda den begärande personens rättigheter och friheter. Kommissionen får besluta att göra detta i enlighet med artikel 25.1 h i förordning (EU) 2018/1725.

(11)

Den kan bli nödvändigt att skydda konfidentiell information om en begärande person. I sådana fall kan kommissionen behöva begränsa tillgången till uppgifter om identitet, uttalanden och andra personuppgifter som avser den begärande personen, inbegripet det faktum att han eller hon kontaktat medlingstjänsten, för att skydda den begärande personens rättigheter och friheter.

(12)

Det kan också bli nödvändigt att begränsa den begärande personens rätt till information i situationer där medlingstjänsten måste kontakta läkartjänsten om brådskande åtgärder krävs för att skydda den begärande personens fysiska och psykiska integritet. I ett sådant fall kan medlingstjänsten besluta att inte informera den begärande person för att göra det möjligt för läkartjänsten att bedöma vilka åtgärder som kan vidtas för att erbjuda personen i fråga vård eller social omsorg. Kommissionen får besluta att göra detta i enlighet med artikel 25.1 h i förordning (EU) 2018/1725. I den specifika situationen skulle den begärande personens rättigheter skyddas genom läkartjänstens tystnadsplikt, och den begärande personen skulle informeras då läkartjänsten kontaktar vederbörande om den anser det nödvändigt.

(13)

Enligt beslut C(2024)1420 ska kommissionen säkerställa att begäranden om bistånd till medlingstjänsten behandlas konfidentiellt. För att säkerställa att uppgifterna hanteras konfidentiellt, samtidigt som den höga skyddsnivå för personuppgifter som föreskrivs i förordning (EU) 2018/1725 upprätthålls, måste interna regler antas enligt vilka kommissionen får begränsa registrerades rättigheter i enlighet med artikel 25.1 h i förordning (EU) 2018/1725.

(14)	De interna reglerna bör tillämpas på all behandling av uppgifter som kommissionen utför i samband med hanteringen av begäranden i enlighet med artikel 6 i beslut C(2024)1420.

(15)

Kommissionen bör, för att uppfylla kraven i artiklarna 14, 15 och 16 i förordning (EU) 2018/1725, informera alla enskilda personer som berörs av verksamhet som kommissionen bedriver som innebär behandling av de personernas personuppgifter samt om deras rättigheter, på ett tydligt och konsekvent sätt i form av dataskyddsmeddelanden som offentliggörs på kommissionens webbplats. I förekommande fall bör kommissionen på lämpligt sätt enskilt informera den begärande personen. Om den begärande personen samtyckt till att en annan berörd person kontaktas, bör kommissionen på lämpligt sätt enskilt informera den berörda personen.

(16)	Kommissionen bör endast tillämpa begränsningar när de respekterar andemeningen i de grundläggande rättigheterna och friheterna, är absolut nödvändiga och är en proportionerlig åtgärd i ett demokratiskt samhälle. Kommissionen bör motivera skälen till begränsningarna.

(17)	Vid tillämpningen av principerna om öppenhet, rättvisa och ansvarsskyldighet bör kommissionen hantera alla begränsningar på ett öppet sätt och registrera varje tillämpning av begränsningar i motsvarande register.

(18)	Enligt artikel 25.6 i förordning (EU) 2018/1725 ska den personuppgiftsansvarige informera den registrerade om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

(19)

Enligt artikel 25.8 i förordning (EU) 2018/1725 får kommissionen skjuta upp, utelämna eller neka tillhandahållandet av information rörande de huvudsakliga skälen till en begränsning av den registrerades rättigheter i de fall då tillhandahållandet av informationen på något sätt skulle kunna upphäva verkan av begränsningen.

(20)	När registrerades rättigheter begränsas bör kommissionen göra en bedömning från fall till fall om verkan av begränsningen skulle kunna upphävas av att kommissionen informerar om begränsningen.

(21)

Kommissionen bör upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma dessa med jämna mellanrum. I vissa fall kan det visa sig nödvändigt att bibehålla en begränsning till dess att personuppgifterna i fråga inte längre lagras av kommissionen. I sådana fall bör de registrerade inte informeras om behandlingen av deras personuppgifter. En sådan situation skulle kunna uppstå särskilt när det finns en hög risk för att den berörda personens utövande av sina rättigheter skulle undergräva andras rättigheter och friheter. Det gäller särskilt i fall där den begärande personen inte samtycker till att medlingstjänsten kontaktar den berörda personen för att inleda informell medling mellan parterna.

(22)	Kommissionen ska se över tillämpningen av begränsningarna när den begärande personen samtycker till att inleda informell medling eller senast när en begäran om bistånd avslutas.

(23)	Artiklarna 16.5, 17.4, 19.3 och 20.2 i förordning (EU) 2018/1725 innehåller undantag för registrerades rättigheter. Om dessa undantag är tillämpliga behöver kommissionen inte tillämpa en begränsning enligt detta beslut.

(24)

För att säkerställa skydd av de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordning (EU) 2018/1725 bör kommissionen involvera den berörda dataskyddssamordnaren/de berörda dataskyddssamordnarna och Europeiska kommissionens dataskyddsombud under hela förfarandet samt dokumentera detta samråd. Särskilt bör dataskyddssamordnaren vid generaldirektoratet för personal som utsetts för att bistå den berörda kommissionsavdelningen rådfrågas i förväg om eventuella begränsningar som kan komma att tillämpas och verifiera att de överensstämmer med detta beslut.

(25)	Europeiska kommissionens dataskyddsombud bör göra en oberoende översyn av tillämpningen av begränsningar för att säkerställa efterlevnaden av detta beslut.

(26)	Europeiska datatillsynsmannen har hörts och avgav ett yttrande den 13 mars 2024.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll och tillämpningsområde

1. Det här beslutet tillämpas på kommissionens behandling av personuppgifter i egenskap av personuppgiftsansvarig i syfte att hantera begäranden i enlighet med artikel 6 i beslut C(2024)1420.

2. I det här beslutet fastställs de regler som kommissionen ska följa för att informera de registrerade om behandlingen av deras personuppgifter i enlighet med artiklarna 14, 15 och 16 i förordning (EU) 2018/1725 vid hanteringen av begäranden i enlighet med artikel 6 i beslut C(2024)1420.

3. I detta beslut fastställs även de villkor på vilka kommissionen får begränsa tillämpningen av artiklarna 4, 14–17, 19, 20 och 35 i förordning (EU) 2018/1725, i enlighet med artikel 25.1 h i den förordningen.

4. De kategorier av personuppgifter som omfattas av detta beslut inkluderar identifieringsuppgifter för fysiska personer, kontaktinformation, information om yrkesroller och arbetsuppgifter, information angående uppträdande och prestationer privat och professionellt. De begärande personerna kan också tillhandahålla känsliga kategorier av personuppgifter som avses i artiklarna 10 och 11 i förordning (EU) 2018/1725 inom ramen för begäran om bistånd av medlingstjänsten i ett specifikt fall.

Artikel 2

Tillämpliga begränsningar

1. På grundval av artiklarna 3–9 i detta beslut får kommissionen begränsa tillämpningen av artiklarna 14–17, 19, 20 och 35 i förordning (EU) 2018/1725 och av principen om öppenhet i artikel 4.1 a i den förordningen, i den mån de bestämmelserna motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–17, 19, 20 och 35 i den förordningen. Kommissionen kan göra detta om utövandet av dessa rättigheter och skyldigheter skulle inverka negativt på skyddet av den registrerade eller andras fri- och rättigheter i enlighet med artikel 25.1 h i den förordningen.

2. Punkt 1 ska inte påverka tillämpningen av andra kommissionsbeslut om interna regler för tillhandahållande av information till registrerade och begränsning av vissa rättigheter enligt artikel 25 i förordning (EU) 2018/1725.

3. Varje begränsning av de rättigheter och skyldigheter som avses i punkt 1 ska respektera andemeningen i de grundläggande rättigheterna och friheterna, vara nödvändig och proportionerlig i ett demokratiskt samhälle, och stå i proportion till riskerna för de registrerades rättigheter och friheter.

4. Innan begränsningar tillämpas ska kommissionen göra en bedömning från fall till fall av deras nödvändighet och proportionalitet. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.

Artikel 3

Tillhandahållande av information till registrerade

1. Kommissionen ska på sin webbplats offentliggöra ett meddelande om skydd av personuppgifter för att informera alla registrerade om kommissionens verksamhet som innebär att deras personuppgifter behandlas vid hanteringen av begäranden i enlighet med artikel 6 i beslut C(2024)1420. Meddelandet ska också innehålla information om möjligheten att begränsa registrerades rättigheter enligt artiklarna 2, 3, 4 och 5 i detta beslut, samt om vilka rättigheter som kan begränsas, på vilka grunder och hur länge.

2. Kommissionen ska på lämpligt sätt enskilt informera de begärande personerna om behandlingen av deras personuppgifter. Kommissionen ska också på lämpligt sätt enskilt informera den berörda personen om den begärande personen samtyckt till informell medling med den berörda personen.

3. Om kommissionen i enlighet med artikel 2 helt eller delvis begränsar tillhandahållandet av den information som avses i punkt 2 till de begärande personerna vars personuppgifter behandlas vid hanteringen av begäranden i enlighet med artikel 6 i beslut C(2024)1420, ska kommissionen dokumentera och registrera skälen till begränsningen i enlighet med artikel 6 i detta beslut.

Artikel 4

Registrerades rätt till åtkomst, radering och begränsning av behandlingen

1. När kommissionen, helt eller delvis, begränsar de registrerades rätt till tillgång till, radering av eller begränsning av behandlingen av deras personuppgifter som avses i artiklarna 17, 19 respektive 20 i förordning (EU) 2018/1725 ska kommissionen skriftligen och utan onödigt dröjsmål, i sitt svar på begäran om tillgång, radering eller begränsning av behandling informera den berörda registrerade

a)	om den begränsning som tillämpas och om de huvudsakliga skälen till detta, och

b)	om att den registrerade när som helst kan inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

2. Tillhandahållandet av information om skälen till den begränsning som avses i punkt 1 får skjutas upp, utelämnas eller nekas så länge som detta innebär att det finns en risk för att verkan av begränsningen upphävs.

3. Kommissionen ska dokumentera skälen till begränsningen enligt artikel 6.

4. När rätten till tillgång helt eller delvis begränsas, kan den registrerade utöva sin rätt till tillgång via Europeiska datatillsynsmannen, i enlighet med artikel 25.6, 25.7 och 25.8 i förordning (EU) 2018/1725.

Artikel 5

Information till registrerade om personuppgiftsincidenter

Om kommissionen är skyldig att informera en registrerad om en personuppgiftsincident som avses i artikel 35 i förordning (EU) 2018/1725, kan kommissionen i undantagsfall begränsa informationen helt eller delvis. Kommissionen ska dokumentera och registrera skälen till begränsningen i enlighet med artikel 6 i detta beslut. Kommissionen ska översända dokumentationen till Europeiska datatillsynsmannen vid tidpunkten för anmälan av personuppgiftsincidenten.

Artikel 6

Dokumentation och registrering av begränsningar

1. Kommissionen ska dokumentera skälen till varje begränsning som tillämpas enligt detta beslut, inbegripet den bedömning som görs av riskerna för registrerades rättigheter och friheter och begränsningens nödvändighet och proportionalitet, med beaktande av relevanta delar av artikel 25.2 i förordning (EU) 2018/1725.

2. Det ska framgå av dokumentationen hur den registrerades utövande av rättigheten skulle inverka menligt på skyddet av den registrerade eller andra registrerades rättigheter och friheter i enlighet med artikel 25.1 h i förordning (EU) 2018/1725.

3. Dokumentationen och, i tillämpliga fall, de handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

Artikel 7

Begränsningarnas varaktighet

1. De begränsningar som avses i artiklarna 3, 4 och 5 ska fortsätta att tillämpas så länge de skäl som ligger till grund för dem föreligger.

2. När skälen för en sådan begränsning som avses i artiklarna 3, 4 eller 5 inte längre föreligger ska kommissionen häva begränsningen.

3. Kommissionen ska också informera den registrerade om de huvudsakliga skälen till tillämpningen av begränsningen och informera honom eller henne om möjligheten att när som helst lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

4. Kommissionen ska se över tillämpningen av begränsningarna som avses i artiklarna 3, 4 och 5 i detta beslut när den begärande personen samtycker till informell medling med den berörda personen eller senast när begäranden som lämnas in i enlighet med beslut C(2024)1420 avslutas. Därefter ska kommissionen var sjätte månad övervaka behovet av att behålla eventuella begränsningar. I översynen ska ingå en bedömning av huruvida begränsningen var nödvändig och proportionerlig, med beaktande av relevanta delar av artikel 25.2 i förordning (EU) 2018/1725.

Artikel 8

Skyddsåtgärder och lagringsperioder

1. Kommissionen ska införa skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller skulle kunna bli föremål för begränsningar. Sådana skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska, om så behövs, specificeras i kommissionens interna förfaranden. Skyddsåtgärderna ska omfatta

a)	en tydlig definition av funktioner, ansvar, rätt till tillgång och steg i förfarandet,

b)	en säker elektronisk miljö som förhindrar olaglig eller oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer,

c)	säker lagring och behandling av pappersbaserade handlingar, och

d)	vederbörlig kontroll av begränsningar och regelbunden översyn av tillämpningen av dem.

2. Personuppgifterna ska lagras i enlighet med artikel 6.11 i beslut C(2024) 1420. Efter lagringstidens slut ska kommissionen radera personuppgifterna.

Artikel 9

Dataskyddssamordnaren och dataskyddsombudets deltagande

1. Dataskyddssamordnaren som utses för att bistå den berörda kommissionsavdelningen ska rådfrågas i förväg om eventuella begränsningar som kan komma att tillämpas och kontrollera att de överensstämmer med detta beslut.

2. Utan att det påverkar tillämpningen av punkt 1 ska kommissionens dataskyddsombud utan onödigt dröjsmål underrättas när registrerades rättigheter begränsas i enlighet med detta beslut. På begäran ska dataskyddsombudet ges tillgång till tillhörande register och alla handlingar som innehåller de underliggande faktiska och rättsliga omständigheterna.

3. Dataskyddsombudet får begära en omprövning av tillämpningen av en begränsning. Kommissionen ska skriftligen underrätta dataskyddsombudet om resultatet av den begärda översynen.

4. Kommissionen ska dokumentera dataskyddsombudets deltagande och, i förekommande fall, kommissionens dataskyddsombuds deltagande, i varje fall där rättigheterna och skyldigheterna som avses i artikel 2.2 i detta beslut begränsas.

Artikel 10

Ikraftträdande

Detta beslut ska träda i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 2 maj 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj

(2) Kommissionens beslut C(2024)1420 om medlingstjänsten och om upphävande av beslut C(2002) 601.

(3) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1, ELI: http://data.europa.eu/eli/reg/1968/259(1)/oj).