1.   Dit besluit bevat voorschriften en procedures voor de toepassing van Verordening (EU) 2018/1725 door de Commissie, alsmede uitvoeringsvoorschriften met betrekking tot de functionaris voor gegevensbescherming van de Commissie (DPO).

2.   Bij dit besluit worden ook de voorschriften vastgesteld die de Commissie in verband met de taken van de DPO op het gebied van toezicht, onderzoek, audit of raadpleging in acht moet nemen om betrokkenen te informeren over de verwerking van hun gegevens overeenkomstig de artikelen 14, 15 en 16 van Verordening (EU) 2018/1725.

3.   Voorts worden bij dit besluit de voorwaarden vastgesteld waarop de Commissie in verband met de taken van de DPO op het gebied van toezicht, onderzoek, audit of raadpleging, de toepassing van de artikelen 4, 14 tot en met 17, 19, 20 en 35 van Verordening (EU) 2018/1725 kan beperken in overeenstemming met artikel 25, lid 1, onder c), g) en h), van die verordening.

4.   Dit besluit is van toepassing op de verwerking van persoonsgegevens door de Commissie ten behoeve van of met betrekking tot de in artikel 45 van Verordening (EU) 2018/1725 bedoelde taken van de DPO, met name die op het gebied van toezicht, onderzoek, audit en raadpleging.

1.   De DPO draagt bij tot het creëren van een cultuur van bescherming van persoonsgegevens binnen de Commissie, op basis van risicobeoordeling en verantwoordingsplicht.

2.   De DPO ziet toe op de tenuitvoerlegging van Verordening (EU) 2018/1725 binnen de Commissie door, onder meer, jaarlijks een werkprogramma voor inspecties en audits vast te stellen en te verrichten.

3.   De DPO organiseert regelmatig vergaderingen van DPC’s en zit deze voor.

4.   De DPO brengt de registers van de verwerkingen van de Commissie onder in een centraal register en maakt dit openbaar toegankelijk.

De DPO houdt ook een intern Commissieregister bij van inbreuken in verband met persoonsgegevens in de zin van artikel 3, punt 16, van Verordening (EU) 2018/1725.

5.   Bij de vervulling van zijn functies werkt de DPO samen met de door andere instellingen of organen van de Unie aangewezen functionarissen voor gegevensbescherming.

6.   De DPO wordt als de gedelegeerd verwerkingsverantwoordelijke beschouwd voor wat betreft individuele besluiten over de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 met betrekking tot verwerkingen van de DPO.

1.   De gedelegeerd verwerkingsverantwoordelijke benoemt een DPC en zo nodig één of meer assistent-DPC’s in het directoraat-generaal of de dienst waarvoor hij verantwoordelijk is. Twee of meer gedelegeerd verwerkingsverantwoordelijken kunnen, om redenen van coherentie of efficiëntie, besluiten een gemeenschappelijke DPC of assistent-DPC te benoemen of de diensten van een reeds benoemde DPC of assistent-DPC te delen. De betrokken gedelegeerd verwerkingsverantwoordelijken leggen schriftelijk vast dat zij dit overeenkomen.

2.   De door een directoraat-generaal of dienst benoemde DPC is ook bevoegd ten aanzien van het kabinet dat verantwoordelijk is voor dat directoraat-generaal of die dienst. De voor het secretariaat-generaal benoemde DPC is bevoegd ten aanzien van het kabinet van de voorzitter alsook voor kabinetten waarvoor het secretariaat-generaal de enige ondersteunende dienst is. Als een kabinet verantwoordelijk is voor verscheidene directoraten-generaal of diensten, besluiten de gedelegeerd verwerkingsverantwoordelijken welke van hun respectieve DPC’s voor dat kabinet bevoegd zijn.

3.   De DPO, het personeel van het betrokken directoraat-generaal of de betrokken dienst en het relevante kabinet worden ervan in kennis gesteld wanneer een nieuwe DPC wordt benoemd.

Pas benoemde DPC’s ronden binnen zes maanden na hun benoeming een opleiding af om de competenties te verwerven die nodig zijn voor de rol van DPC. Een DPC die eerder een DPC-post in een ander directoraat-generaal of een andere dienst heeft bekleed, dan wel minder dan twee jaar voor zijn benoeming als DPC personeelslid van de DPO is geweest, is van die opleidingsverplichting vrijgesteld.

4.   Gedelegeerd verwerkingsverantwoordelijken voeren passende regelingen in om te waarborgen dat de DPC naar behoren en tijdig wordt betrokken bij alle kwesties die verband houden met gegevensbescherming binnen hun directoraat-generaal of dienst en dat adviezen van de DPC op verzoek van de DPC onmiddellijk onder de aandacht worden gebracht van de gedelegeerd verwerkingsverantwoordelijke.

5.   DPC’s worden gekozen op basis van hun kennis van en ervaring met de werking van het directoraat-generaal of de dienst in kwestie, motivatie voor de functie, competenties met betrekking tot gegevensbescherming, begrip van beginselen van informatiesystemen, en communicatieve vaardigheden.

6.   De functie van DPC kan worden gecombineerd met andere functies. De gedelegeerd verwerkingsverantwoordelijke waarborgt dat die functies verenigbaar zijn met de functie van DPC.

7.   De functie van DPC maakt deel uit van de functiebeschrijving van elk tot DPC benoemd personeelslid. In het jaarlijkse beoordelingsrapport wordt verwezen naar hun verantwoordelijkheden en prestaties.

8.   De DPC fungeert als contactpunt tussen enerzijds de gedelegeerd verwerkingsverantwoordelijke, de operationeel verwerkingsverantwoordelijke en de verwerker, en anderzijds de DPO.

9.   DPC’s hebben het recht om binnen hun directoraat-generaal of dienst alle informatie te verkrijgen, voor zover dit noodzakelijk is voor de uitvoering van hun taken. DPC’s hebben enkel toegang tot persoonsgegevens als dit nodig is voor de uitvoering van hun taken.

10.   De DPC’s houden registers bij en verstrekken geanonimiseerde statistieken over verzoeken van betrokkenen aan het directoraat-generaal, de dienst of het kabinet, met vermelding van de aantallen ingediende verzoeken en het aantal volledig of gedeeltelijk afgewezen verzoeken. De DPO bepaalt voor welke categorieën verzoeken statistieken dienen te worden bijgehouden. De DPO kan ook bepalen dat er nadere bijzonderheden moeten worden verstrekt.

De DPC houdt geanonimiseerde statistieken bij van de inbreuken in verband met de door het directoraat-generaal, de dienst of het kabinet beheerde persoonsgegevens en specificeert daarbij het totale aantal inbreuken in verband met persoonsgegevens, het aantal aan de EDPS gemelde inbreuken in verband met persoonsgegevens en het aantal aan betrokkenen meegedeelde inbreuken in verband met persoonsgegevens.

11.   De DPC brengt kwesties inzake gegevensbescherming onder de aandacht van zijn DG of dienst en verleent de gedelegeerd verwerkingsverantwoordelijken en operationeel verwerkingsverantwoordelijken advies en bijstand bij het vervullen van hun verplichtingen, met name wat betreft:

12.   DPC’s nemen deel aan de vergaderingen en zo nodig aan werkgroepen van de DPC’s.

13.   De DPO vaardigt aanvullende richtsnoeren uit over de verantwoordelijkheden en functies van de DPC.

1.   Voor de toepassing van Verordening (EU) 2018/1725 treden gedelegeerd verwerkingsverantwoordelijken namens de Commissie op als verwerker.

2.   Gedelegeerde verwerkingsverantwoordelijken en operationele verwerkingsverantwoordelijken:

3.   De gedelegeerd verwerkingsverantwoordelijke:

De in de eerste alinea, onder b), bedoelde regelingen bepalen de respectieve verantwoordelijkheden voor de naleving van de desbetreffende gegevensbeschermingsverplichtingen. Er wordt met name in vastgesteld welke gedelegeerd verwerkingsverantwoordelijke de middelen en doelen van de verwerking bepaalt, alsook welke operationeel verwerkingsverantwoordelijke voor de verwerking verantwoordelijk is en, zo nodig, welke persoon en/of entiteiten de operationeel verwerkingsverantwoordelijke dienen te helpen bij onder meer informatievoorziening ingeval van inbreuken in verband met gegevens of om rekening te houden met de rechten van betrokkenen.

4.   De operationeel verwerkingsverantwoordelijke:

1.   De DPO waarborgt dat het register van verwerkingsoperaties van de Commissie toegankelijk is via de website van de DPO op het intranet van de Commissie en via de website van de DPO op de Europa-website.

2.   Gedelegeerde verwerkingsverantwoordelijken doen de registers van hun verwerkingen via hun DPC toekomen aan de DPO met behulp van het online-meldingssysteem van de Commissie, dat toegankelijk is via de website van de DPO op het intranet van de Commissie.

1.   De in artikel 6, onder e), genoemde verzoeken om een onderzoek worden schriftelijk tot de DPO gericht. Binnen 15 werkdagen na ontvangst stuurt de DPO een ontvangstbevestiging aan de persoon die om het onderzoek heeft verzocht en gaat hij na of het verzoek als vertrouwelijk moet worden beschouwd en als zodanig moet worden behandeld, tenzij de betrokkene ondubbelzinnig instemt met een andere wijze van behandeling. In geval van kennelijk misbruik van het recht om een onderzoek aan te vragen is de DPO niet verplicht verslag aan de verzoeker uit te brengen.

2.   De DPO verzoekt om een schriftelijke verklaring over de desbetreffende aangelegenheid aan de gedelegeerd verwerkingsverantwoordelijke die verantwoordelijk is voor de betrokken gegevensverwerking. De gedelegeerd verwerkingsverantwoordelijke zendt zijn antwoord binnen vijftien werkdagen naar de DPO. De DPO kan de gedelegeerd verwerkingsverantwoordelijke, de verwerker en andere partijen binnen 15 werkdagen om aanvullende informatie verzoeken.

3.   De DPO brengt uiterlijk drie maanden na ontvangst van het verzoek om een onderzoek verslag uit bij de indiener van dat verzoek. Deze termijn kan worden verlengd tot de DPO alle noodzakelijke informatie heeft verkregen waarom hij heeft gevraagd.

4.   Niemand mag worden benadeeld omdat de DPO is gewezen op een beweerdelijke inbreuk op de bepalingen van Verordening (EU) 2018/1725.

1.   De DPO ressorteert administratief onder het secretariaat-generaal. In dit kader neemt de DPO deel aan de opstelling van het jaarlijkse beheersplan en het voorontwerp van begroting van het secretariaat-generaal.

2.   De DPO fungeert als rapporterend functionaris voor het personeel van de functionaris voor gegevensbescherming. De plaatsvervangend secretaris-generaal is de medeondertekenaar. De DPO neemt waar nodig deel aan de coördinatie van het management van het secretariaat-generaal.

1.   Bij de uitoefening van haar taken met betrekking tot de rechten van betrokkenen overeenkomstig Verordening (EU) 2018/1725 gaat de Commissie na of een van de in die verordening vastgestelde uitzonderingen van toepassing is.

2.   Onverminderd de artikelen 14 tot en met 18 van dit besluit kan de Commissie de toepassing van de artikelen 14 tot en met 17, 19, 20 en 35 van Verordening (EU) 2018/1725, evenals de toepassing van het in artikel 4, lid 1, onder a), van die verordening neergelegde transparantiebeginsel beperken voor zover de bepalingen ervan overeenkomen met de in de artikelen 14 tot en met 17, 19 en 20 van Verordening (EU) 2018/1725 bedoelde rechten en verplichtingen, wanneer de uitoefening van die rechten en verplichtingen het doel van de taken van de DPO onder meer door de openbaarmaking van zijn onderzoeks- of auditinstrumenten en -methoden in het gedrang zou brengen of afbreuk zou doen aan de rechten en vrijheden van andere betrokkenen overeenkomstig artikel 25, lid 1, onder c), g) en h).

3.   Onverminderd de artikelen 14 en 18 van dit besluit kan de Commissie de in lid 2 van dit artikel bedoelde rechten en verplichtingen beperken met betrekking tot persoonsgegevens die de DPO van diensten van de Commissie of van andere instellingen en organen van de Unie heeft ontvangen. De Commissie kan daartoe overgaan wanneer de uitoefening van die rechten en verplichtingen door die diensten van de Commissie of instellingen of organen van de Unie zou kunnen worden beperkt op grond van andere in artikel 25 van Verordening (EU) 2018/1725 bedoelde handelingen of overeenkomstig hoofdstuk IX van die verordening of overeenkomstig Verordening (EU) 2016/794 van het Europees Parlement en de Raad (6) of Verordening (EU) 2017/1939 van de Raad (7).

Voordat beperkingen worden toegepast onder de in de eerste alinea bedoelde omstandigheden, raadpleegt de Commissie de betrokken instelling of organen van de Unie, tenzij het voor de Commissie duidelijk is dat in de toepassing van een beperking is voorzien door een van de in die alinea bedoelde handelingen.

4.   Elke beperking van de toepassing van rechten en verplichtingen als bedoeld in lid 2 van dit artikel is noodzakelijk en evenredig in het licht van de risico’s voor de rechten en vrijheden van betrokkenen.

1.   De Commissie publiceert op haar website mededelingen over gegevensbescherming om alle betrokkenen te informeren over de activiteiten van de DPO waarbij hun persoonsgegevens worden verwerkt.

2.   De Commissie informeert, in een geëigende vorm, elke natuurlijke persoon afzonderlijk die zij als een betrokkene bij de taken van de DPO of als informant aanmerkt.

3.   Wanneer de Commissie de verstrekking van informatie aan betrokkenen in de zin van lid 2 geheel of gedeeltelijk beperkt, legt de Commissie de redenen voor die beperking vast en registreert zij die overeenkomstig artikel 17.

1.   Wanneer de Commissie het recht van inzage in persoonsgegevens door betrokkenen, het recht op wissing of het recht op beperking van de verwerking als bedoeld in, onderscheidenlijk, de artikelen 17, 19 en 20 van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, stelt zij de betrokkene in haar antwoord op het verzoek om inzage, wissing of beperking van de verwerking in kennis van de toegepaste beperking en van de belangrijkste redenen daarvoor, alsmede van de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of om beroep in te stellen bij het Hof van Justitie van de Europese Unie.

2.   Het verstrekken van de informatie over de redenen voor de in lid 1 bedoelde beperking kan uitgesteld, achterwege gelaten of geweigerd worden zolang die verstrekking het doel van de beperking zou ondermijnen.

3.   Overeenkomstig artikel 17 registreert de Commissie de redenen voor de beperking en legt zij die vast.

4.   Wanneer het recht van inzage geheel of gedeeltelijk wordt beperkt, is de betrokkene gerechtigd zijn recht van inzage uit te oefenen via de EDPS, in overeenstemming met artikel 25, leden 6, 7 en 8 van Verordening (EU) 2018/1725.

1.   De Commissie legt de redenen vast voor beperkingen op grond van dit besluit, met inbegrip van een evaluatie per geval van de noodzaak en de evenredigheid van de beperking, met inachtneming van de desbetreffende elementen van artikel 25, lid 2, van Verordening (EU) 2018/1725.

Daartoe wordt in het register vermeld hoe de uitoefening van het recht het doel van de taken van de DPO uit hoofde van dit besluit of van krachtens artikel 13, lid 2 of lid 3, toegepaste beperkingen in het gedrang zou brengen of afbreuk zou doen aan de rechten en vrijheden van andere betrokkenen.

2.   De vastgelegde gegevens en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen, worden geregistreerd. Deze worden de EDPS op diens verzoek ter beschikking gesteld.

1.   De in de artikelen 14, 15 en 16 bedoelde beperkingen blijven van toepassing zolang de redenen daarvoor blijven bestaan.

2.   Wanneer de redenen voor een in artikel 14 of 16 bedoelde beperking niet langer van toepassing zijn, heft de Commissie de beperking op en informeert zij de betrokkene over de redenen voor de beperking. Tegelijkertijd informeert de Commissie de betrokkene over de mogelijkheid om op elk moment een klacht bij de EDPS in te dienen of om een beroep in rechte bij het Hof van Justitie van de Europese Unie in te stellen.

3.   De Commissie evalueert de toepassing van de in de artikelen 14 en 16 bedoelde beperkingen om de zes maanden nadat zij zijn vastgesteld, en in elk geval bij de afsluiting van de betrokken activiteit van de DPO. Daarna monitort de Commissie jaarlijks de noodzaak om eventuele beperkingen of uitstelperioden te handhaven.

1.   Wanneer andere diensten van de Commissie concluderen dat de rechten van een betrokkene op grond van dit besluit dienen te worden beperkt, informeren zij de DPO. Ook verschaffen zij de DPO inzage in het register en eventuele documenten met onderliggende feitelijke en juridische elementen.

2.   De DPO kan erom verzoeken dat de gedelegeerd verwerkingsverantwoordelijke van de betrokken dienst van de Commissie de toepassing van de beperkingen beoordeelt. De gedelegeerd verwerkingsverantwoordelijke van de betrokken dienst van de Commissie informeert de DPO schriftelijk over het resultaat van de gevraagde beoordeling.