- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin
Den Europæiske Ombudsmands afgørelse af 9. november 2020 om interne regler for begrænsning af visse registreredes rettigheder ved behandling af personoplysninger
Document - Date Monday | 09 November 2020
DEN EUROPÆISKE OMBUDSMAND HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (1), særlig artikel 25,
efter høring af Den Europæiske Tilsynsførende for Databeskyttelse:
ud fra følgende betragtninger:
|
(1) |
Den Europæiske Ombudsmand har beføjelse til at foretage administrative undersøgelser, procedurer forud for disciplinær forfølgning, disciplinær forfølgning og suspensionsprocedurer i overensstemmelse med vedtægten for tjenestemænd ved Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte i Den Europæiske Union, som er fastlagt i Rådets forordning (EØS, Euratom, EKSF) nr. 259/68 (2) (»personalevedtægten«), og med Den Europæiske Ombudsmands afgørelse af 4. november 2004 om vedtagelse af gennemførelsesbestemmelser om gennemførelse af administrative undersøgelser og disciplinærsager. Om nødvendigt henvises sager også til OLAF. |
|
(2) |
Ansatte ved Den Europæiske Ombudsmand er forpligtet til at indberette eventuelle ulovlige aktiviteter, herunder svig og korruption, som er til skade for Unionens interesser. De ansatte er også forpligtet til at indberette adfærd under udførelse af arbejdsopgaver, som kan være en alvorlig tilsidesættelse af de forpligtelser, der påhviler Unionens ansatte. Dette fastlægges i Den Europæiske Ombudsmands afgørelse om interne regler for whistleblowing af 20. februar 2015. |
|
(3) |
Den Europæiske Ombudsmand har indført en politik for effektivt at forebygge og bekæmpe eksisterende og potentielle sager om psykologisk eller seksuel chikane på arbejdspladsen, jf. afgørelsen af 18. december 2017. I afgørelsen fastsættes en uformel procedure, som giver det formodede offer for chikane mulighed for at kontakte Den Europæiske Ombudsmands medarbejdere med ansvar for etik og/eller forligsudvalget. |
|
(4) |
Den Europæiske Ombudsmand kan også gennemføre undersøgelser om potentielle krænkelser af sikkerhedsregler for EU's klassificerede informationer (»EUCI«). |
|
(5) |
Den Europæiske Ombudsmand er omfattet af både interne og eksterne revisioner vedrørende sine aktiviteter. |
|
(6) |
I forbindelse med sådanne administrative undersøgelser, revisioner og efterforskninger samarbejder Den Europæiske Ombudsmand med andre EU-institutioner, -organer, -kontorer og -agenturer. |
|
(7) |
Den Europæiske Ombudsmand kan samarbejde med tredjelandes nationale myndigheder og internationale organisationer, enten efter anmodning eller på eget initiativ. |
|
(8) |
Den Europæiske Ombudsmand kan også samarbejde med EU-medlemsstaternes offentlige myndigheder, enten efter anmodning eller på eget initiativ. |
|
(9) |
Den Europæiske Ombudsmand foretager undersøgelser af påståede sager om fejl eller forsømmelser i forvaltningen af EU-institutioners, -organers, -kontorers eller -agenturers aktiviteter, med undtagelse af Den Europæiske Unions Domstol, der udøver sine egne domstolsfunktioner. I denne forbindelse kan det være nødvendigt for Den Europæiske Ombudsmand at sikre, at de personoplysninger, der indgår i dokumenter, som er indhentet af parterne og under undersøgelserne, behandles fortroligt. Den Europæiske Ombudsmand kan også blive nødt til at beskytte klageres samt andre involverede personers rettigheder og frihedsrettigheder. |
|
(10) |
For at udføre sine opgaver indsamler og behandler Den Europæiske Ombudsmand oplysninger og flere kategorier af personoplysninger, herunder information til identifikation af fysiske personer, kontaktoplysninger, information om arbejdsroller og -opgaver, information om indsats og adfærd i jobfunktioner og i privatlivet samt finansielle oplysninger. Den Europæiske Ombudsmand fungerer som dataregisteransvarlig. |
|
(11) |
I henhold til forordning (EU) 2018/1725 (»forordningen«) er Den Europæiske Ombudsmand derfor forpligtet til at give de registrerede oplysninger om disse behandlingsaktiviteter og respektere deres rettigheder som registrerede. |
|
(12) |
Det kan være nødvendigt for Den Europæiske Ombudsmand at forene disse rettigheder med formålene med administrative undersøgelser, revisioner, efterforskninger og retssager. Det kan også være nødvendigt at afveje en registrerets rettigheder over for andre registreredes grundlæggende rettigheder og frihedsrettigheder. I den forbindelse giver artikel 25 i forordningen på strenge betingelser Den Europæiske Ombudsmand mulighed for at begrænse anvendelsen af artikel 14-22, 35 og 36 samt artikel 4, for så vidt som dens bestemmelser svarer til de rettigheder og forpligtelser, der er omhandlet i artikel 14-20. Medmindre der er fastsat begrænsninger i en retsakt, der er vedtaget på grundlag af traktaterne, er det nødvendigt at vedtage interne regler, i henhold til hvilke Den Europæiske Ombudsmand har ret til at begrænse disse rettigheder. |
|
(13) |
Den Europæiske Ombudsmand kan eksempelvis blive nødt til at begrænse de oplysninger, som denne giver en registreret om behandlingen af vedkommendes personoplysninger i den indledende vurderingsfase af en administrativ undersøgelse eller i løbet af selve undersøgelsen, forud for en eventuel henlæggelse af sagen eller under den disciplinære fase. Under visse omstændigheder kan det i alvorlig grad berøre Den Europæiske Ombudsmands evne til at gennemføre undersøgelsen på en effektiv måde, hvis der f.eks. er risiko for, at den pågældende person kunne tilintetgøre bevismateriale eller påvirke potentielle vidner, inden de afhøres. Den Europæiske Ombudsmand kan også blive nødt til at beskytte vidners samt andre involverede personers rettigheder og frihedsrettigheder. |
|
(14) |
Det kan være nødvendigt at beskytte anonymiteten af et vidne eller en whistleblower, der har anmodet om ikke at blive identificeret. I så fald kan Den Europæiske Ombudsmand beslutte at begrænse adgangen til sådanne personers identitet, erklæringer og andre personoplysninger for at beskytte deres rettigheder og frihedsrettigheder. |
|
(15) |
Det kan være nødvendigt at beskytte fortrolige oplysninger vedrørende en ansat, der har kontaktet Den Europæiske Ombudsmands medarbejdere med ansvar for etik og/eller forligsudvalget i forbindelse med en procedure vedrørende chikane. I sådanne tilfælde kan Den Europæiske Ombudsmand blive nødt til at begrænse adgangen til det formodede offers, den formodede chikanørs og andre involverede personers identitet, erklæringer og andre personoplysninger for at beskytte alle berørtes rettigheder og frihedsrettigheder. |
|
(16) |
Den Europæiske Ombudsmand kan for eksempel blive nødt til at begrænse de oplysninger, der gives til en registreret, der er nævnt i klage- eller undersøgelsesdokumenter om behandling af vedkommendes personoplysninger i løbet af en undersøgelse af påståede fejl eller forsømmelser i en EU-institution, et EU-organ, -kontor eller -agentur. Forudsat, at sådanne oplysninger i alvorlig grad kan berøre Den Europæiske Ombudsmands evne til at gennemføre undersøgelsen på en effektiv måde, hvis der f.eks. er risiko for, at den pågældende person kan bringe undersøgelsen i fare. Den Europæiske Ombudsmand kan også blive nødt til at beskytte klagerens samt andre involverede personers rettigheder og frihedsrettigheder. |
|
(17) |
Den Europæiske Ombudsmand bør kun anvende begrænsninger, når de respekterer det væsentligste indhold af grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund. Den Europæiske Ombudsmand bør fremlægge en begrundelse, der forklarer årsagerne til disse begrænsninger. |
|
(18) |
På grundlag af princippet om ansvarlighed bør Den Europæiske Ombudsmand føre et register over sin anvendelse af begrænsninger. |
|
(19) |
Når Den Europæiske Ombudsmand under udførelsen af sit hverv behandler personoplysninger, der udveksles med andre organisationer, bør Den Europæiske Ombudsmand og disse organisationer høre hinanden om de potentielle begrundelser for at indføre begrænsninger og om nødvendigheden og forholdsmæssigheden af disse begrænsninger, medmindre dette vil bringe Den Europæiske Ombudsmands aktiviteter i fare. |
|
(20) |
I henhold til artikel 25, stk. 6, i forordningen skal den dataansvarlige underrette de registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om deres ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse (»Den Europæiske Tilsynsførende«). |
|
(21) |
I henhold til artikel 25, stk. 8, i forordningen har Den Europæiske Ombudsmand ret til at udsætte, udelade eller afvise at underrette den registrerede om årsagerne til anvendelsen af en begrænsning, hvis dette på nogen måde ville ophæve virkningen af begrænsningen. Den Europæiske Ombudsmand bør i hvert enkelt tilfælde vurdere, om det vil ophæve virkningen af begrænsningen at underrette om den. |
|
(22) |
Den Europæiske Ombudsmand bør ophæve begrænsningen, så snart de omstændigheder, der ligger til grund for begrænsningen, ikke længere er til stede, og vurdere disse omstændigheder regelmæssigt. |
|
(23) |
For at sikre den størst mulige beskyttelse af de registreredes rettigheder og frihedsrettigheder og i overensstemmelse med artikel 44, stk. 1, i forordningen bør den databeskyttelsesansvarlige høres i god tid om eventuelle begrænsninger, der måtte blive anvendt, og kontrollere deres overensstemmelse med denne afgørelse. |
|
(24) |
I artikel 16, stk. 5, og artikel 17, stk. 4, i forordningen fastsættes undtagelser for registreredes ret til oplysninger og indsigtsret. Hvis disse undtagelser finder anvendelse, behøver Den Europæiske Ombudsmand ikke at anvende en begrænsning i henhold til denne afgørelse — |
VEDTAGET DENNE AFGØRELSE:
Artikel 1- Genstand og anvendelsesområde
1. Denne afgørelse indeholder bestemmelser om de betingelser, under hvilke Den Europæiske Ombudsmand kan begrænse anvendelsen af artikel 4, 14-22, 35 og 36 i henhold til artikel 25 i forordningen.
2. Institutionen Den Europæiske Ombudsmand er som registeransvarlig repræsenteret ved Den Europæiske Ombudsmand.
Artikel 2- Begrænsninger
1. Den Europæiske Ombudsmand kan begrænse anvendelsen af artikel 14-22, 35 og 36 samt artikel 4, for så vidt dens bestemmelser svarer til de rettigheder og forpligtelser, der er omhandlet i artikel 14-20:
|
a) |
i henhold til artikel 25, stk. 1, litra b), c), f), g) og h), i forordningen i forbindelse med administrative undersøgelser, procedurer forud for disciplinær forfølgning, disciplinær forfølgning og suspensionsprocedurer i henhold til artikel 86 og bilag IX til personalevedtægten og Den Europæiske Ombudsmands afgørelse af 4. november 2004 om gennemførelse af administrative undersøgelser og disciplinærsager samt ved indberetning af sager til OLAF |
|
b) |
i henhold til artikel 25, stk. 1, litra h), i forordningen ved sikring af, at Den Europæiske Ombudsmands ansatte på fortrolig vis kan indberette faktiske forhold, når de mener, at der foreligger alvorlige uregelmæssigheder, jf. Den Europæiske Ombudsmands afgørelse af 20. februar 2015 om interne reger om whistleblowing |
|
c) |
i henhold til artikel 25, stk. 1, litra h), i forordningen ved sikring af, at Den Europæiske Ombudsmands ansatte kan indberette til medarbejdere med ansvar for etik og/eller forligsudvalget i forbindelse med en chikanesag, som defineret i Den Europæiske Ombudsmands afgørelse om en politik om forebyggelse og beskyttelse mod chikane ved Ombudsmandsinstitutionen |
|
d) |
i henhold til artikel 25, stk. 1, litra c), g) og h), i forordningen ved gennemførelsen af interne revisioner i forbindelse med aktiviteter eller tjenestegrene ved Den Europæiske Ombudsmand |
|
e) |
i henhold til artikel 25, stk. 1, litra c), d), g) og h), i forordningen ved ydelse af bistand til eller modtagelse af bistand fra andre EU-institutioner, -organer, -kontorer og -agenturer eller ved samarbejde med dem i forbindelse med aktiviteter i litra a)-d) i dette stykke og i henhold til relevante serviceleveranceaftaler, aftalememoranda og samarbejdsaftaler |
|
f) |
i henhold til artikel 25, stk. 1, litra c), g) og h), i forordningen ved ydelse af bistand til eller modtagelse af bistand fra tredjelandes nationale myndigheder og internationale organisationer eller ved samarbejde med sådanne myndigheder og organisationer, enten efter anmodning eller på eget initiativ |
|
g) |
i henhold til artikel 25, stk. 1, litra c), g) og h), i forordningen ved ydelse af bistand til eller modtagelse af bistand fra og samarbejde med EU-medlemsstaternes offentlige myndigheder, enten efter anmodning eller på eget initiativ |
|
h) |
i henhold til artikel 25, stk. 1, litra e), i forordningen ved behandling af personoplysninger i dokumenter, som er indhentet af parterne eller intervenienterne i forbindelse med sager ved Den Europæiske Unions Domstol |
|
i) |
i henhold til artikel 25, stk. 1, litra h), i forordningen ved udførelse af undersøgelser om påståede tilfælde af fejl eller forsømmelser i EU-institutioners, -organers, -kontorers og -agenturers aktiviteter i overensstemmelse med artikel 228 i traktaten om Den Europæiske Unions funktionsmåde samt Ombudsmandens vedtægter og gennemførelsesbestemmelser. |
2. Enhver begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund.
3. I hvert enkelt tilfælde gennemføres der nødvendigheds- og proportionalitetstest, inden der anvendes begrænsninger. Begrænsningerne anvendes kun, når det er strengt nødvendigt for at nå deres fastsatte mål.
4. Af ansvarlighedshensyn fører Den Europæiske Ombudsmand en fortegnelse, hvori der redegøres for årsagerne til de begrænsninger, der finder anvendelse, det relevante grundlag i stk. 1, der finder anvendelse, og resultatet af nødvendigheds- og proportionalitetstesten. Disse fortegnelser indgår i et register, som efter anmodning stilles til rådighed for Den Europæiske Tilsynsførende. Den Europæiske Ombudsmand udarbejder regelmæssigt rapporter om anvendelsen af artikel 25 i forordningen.
5. Når Den Europæiske Ombudsmand under udførelsen af sit hverv behandler personoplysninger, der er modtaget fra andre organisationer, hører Den Europæiske Ombudsmand disse organisationer om de potentielle begrundelser for at indføre begrænsninger og om nødvendigheden og forholdsmæssigheden af de pågældende begrænsninger, medmindre dette vil bringe Den Europæiske Ombudsmands aktiviteter i fare.
Artikel 3- Risici i forbindelse med registreredes rettigheder og friheder
1. Vurderinger af risiciene i forbindelse med de registreredes rettigheder og frihedsrettigheder ved at indføre begrænsninger og oplysninger om den periode, hvor disse begrænsninger finder anvendelse, registreres i den fortegnelse over behandlingsaktiviteter, der føres af Den Europæiske Ombudsmand i henhold til artikel 31 i forordningen. De registreres ligeledes i konsekvensanalyser vedrørende databeskyttelse i forbindelse med disse begrænsninger, der foretages i henhold til artikel 39 i forordningen.
2. Når Den Europæiske Ombudsmand vurderer nødvendigheden og forholdsmæssigheden af en begrænsning, tager det de potentielle risici for den registreredes rettigheder og frihedsrettigheder i betragtning.
Artikel 4- Garantier og opbevaringsperioder
1. Den Europæiske Ombudsmand træffer sikkerhedsforanstaltninger for at undgå misbrug af eller ulovlig adgang til eller overførsel af personoplysninger, der kan være eller kunne blive omfattet af begrænsninger. Sådanne sikkerhedsforanstaltninger omfatter tekniske og organisatoriske tiltag og præciseres, når det er nødvendigt, i Den Europæiske Ombudsmands interne afgørelser, procedurer og gennemførelsesbestemmelser. Garantierne omfatter:
|
a) |
en klar definition af roller, ansvarsområder og proceduremæssige skridt |
|
b) |
hvis det er relevant, et sikkert elektronisk miljø, der forhindrer ulovlig og utilsigtet adgang til eller overførsel af elektroniske data til uautoriserede personer |
|
c) |
sikker opbevaring og behandling af papirbaserede dokumenter, hvis det er relevant |
|
d) |
behørig overvågning af begrænsninger og en periodisk vurdering af deres anvendelse. |
De i litra d) omhandlede vurderinger foretages mindst hver sjette måned.
2. Begrænsningerne ophæves, så snart de omstændigheder, der begrunder dem, ikke længere gør sig gældende.
3. Personoplysningerne opbevares i overensstemmelse med Den Europæiske Ombudsmands gældende regler om dataopbevaring, som skal defineres i de databeskyttelsesfortegnelser, der føres i henhold til artikel 31 i forordningen. Ved udløbet af opbevaringsperioden slettes, anonymiseres eller overføres personoplysningerne til arkiver i overensstemmelse med artikel 13 i forordningen.
Artikel 5- Inddragelse af den databeskyttelsesansvarlige
1. Den Europæiske Ombudsmands databeskyttelsesansvarlige underrettes uden unødig forsinkelse, såfremt den registreredes rettigheder begrænses i overensstemmelse med denne afgørelse. Vedkommende tilstedes adgang til de tilhørende fortegnelser og alle dokumenter vedrørende den faktuelle eller retlige sammenhæng.
2. Den Europæiske Ombudsmands databeskyttelsesansvarlige kan anmode om en vurdering af anvendelsen af en begrænsning. Den Europæiske Ombudsmand underretter skriftligt sin databeskyttelsesansvarlige om resultatet af vurderingen.
3. Den Europæiske Ombudsmand dokumenterer den databeskyttelsesansvarliges deltagelse i anvendelsen af begrænsninger, herunder hvilke oplysninger der er delt med vedkommende.
Artikel 6- Oplysninger til registrerede om begrænsninger i deres rettigheder
1. De meddelelser om databeskyttelse, der offentliggøres på Den Europæiske Ombudsmands websted, omfatter et afsnit med generel information til registrerede om muligheden for begrænsning af registrerede rettigheder i henhold til artikel 2, stk. 1. Informationen omfatter, hvilke rettigheder der kan begrænses, grundlaget for at anvende begrænsninger og den mulige varighed af disse.
2. Den Europæiske Ombudsmand underretter skriftligt og uden unødig forsinkelse de registrerede individuelt om nuværende eller fremtidige begrænsninger af deres rettigheder. Den Europæiske Ombudsmand underretter den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, om vedkommendes ret til at rette henvendelse til den databeskyttelsesansvarlige med henblik på at anfægte begrænsningen og om vedkommendes ret til at indgive en klage til Den Europæiske Tilsynsførende.
3. Den Europæiske Ombudsmand kan udsætte, udelade eller afvise at underrette om årsagerne til anvendelsen af en begrænsning og retten til at indgive en klage til Den Europæiske Tilsynsførende, så længe det ville ophæve virkningen af begrænsningen. Vurderingen af, om dette ville være begrundet, foretages i hvert enkelt tilfælde. Så snart det ikke længere ville ophæve virkningen af begrænsningen, giver Den Europæiske Ombudsmand den registrerede informationen.
Artikel 7- Underretning om brud på persondatasikkerheden til den registrerede
1. Hvis Den Europæiske Ombudsmand er forpligtet til at underrette om brud på datasikkerheden i henhold til artikel 35, stk. 1, i forordningen, kan denne under særlige omstændigheder begrænse en sådan underretning helt eller delvis. Den Europæiske Ombudsmand dokumenterer i et notat årsagerne til begrænsningen, retsgrundlaget herfor i henhold til artikel 2 og en vurdering af nødvendigheden og proportionaliteten heraf. Notatet meddeles til Den Europæiske Tilsynsførende på tidspunktet for anmeldelsen af bruddet på persondatasikkerheden.
2. Hvis årsagerne til begrænsningen ikke længere er til stede, underretter Den Europæiske Ombudsmand den pågældende registrerede om bruddet på persondatasikkerheden og om de vigtigste årsager til begrænsningen samt om vedkommendes ret til at indgive en klage til Den Europæiske Tilsynsførende.
Artikel 8- Fortrolighed i forbindelse med elektronisk kommunikation
1. Under særlige omstændigheder kan Den Europæiske Ombudsmand begrænse retten til fortrolighed i forbindelse med elektronisk kommunikation i henhold til artikel 36 i forordningen. Sådanne begrænsninger er i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2002/58/EF (3).
2. Hvis Den Europæiske Ombudsmand begrænser retten til fortrolighed i forbindelse med elektronisk kommunikation, underretter denne i sit svar på en eventuel anmodning fra den registrerede den pågældende registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om vedkommendes ret til at indgive en klage til Den Europæiske Tilsynsførende.
3. Den Europæiske Ombudsmand kan udsætte, udelade eller afvise at underrette om årsagerne til anvendelsen af en begrænsning og retten til at indgive en klage til Den Europæiske Tilsynsførende, så længe det ville ophæve virkningen af begrænsningen. Vurderingen af, om dette ville være begrundet, foretages i hvert enkelt tilfælde. Så snart det ikke længere ville ophæve virkningen af begrænsningen, giver Den Europæiske Ombudsmand den registrerede informationen.
Artikel 9- Ikrafttrædelse
Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Udfærdiget i Strasbourg, den 9. november 2020.
For Den Europæiske Ombudsmand
Emily O'REILLY
(1) EUT L 295 af 21.11.2018, s. 39.
(2) Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 af 29. februar 1968 om vedtægten for tjenestemænd i De europæiske Fællesskaber og om ansættelsesvilkårene for de øvrige ansatte i disse Fællesskaber samt om særlige midlertidige foranstaltninger for tjenestemænd i Kommissionen (EFT L 56 af 4.3.1968, s. 1).
(3) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EUT L 201 af 31.7.2002, s. 37)
- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin