Home

Besluit (EU) 2019/236 van de Commissie van 7 februari 2019 tot vaststelling van interne voorschriften betreffende de verstrekking van informatie aan betrokkenen en de beperking van sommige van hun rechten in het kader van de verwerking van persoonsgegevens door de Europese Commissie ten behoeve van de interne veiligheid van de instellingen van de Unie

Besluit (EU) 2019/236 van de Commissie van 7 februari 2019 tot vaststelling van interne voorschriften betreffende de verstrekking van informatie aan betrokkenen en de beperking van sommige van hun rechten in het kader van de verwerking van persoonsgegevens door de Europese Commissie ten behoeve van de interne veiligheid van de instellingen van de Unie

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 249, lid 1,

Overwegende hetgeen volgt:

  1. De Commissie moet in staat zijn haar werkzaamheden in een veilige en zekere omgeving te verrichten. Om dat te verwezenlijken heeft zij een coherente, geïntegreerde aanpak inzake beveiliging nodig, met passende beschermingsniveaus voor personen, goederen en informatie, die in passende verhouding staat tot de geïdentificeerde risico's en waarmee de veiligheid op efficiënte en passende wijze wordt gewaarborgd. De Commissie wordt geconfronteerd met aanzienlijke gevaren en problemen op veiligheidsgebied, meer bepaald wat betreft terrorisme, cyberaanvallen en politieke en economische spionage.

  2. Om de veiligheid van personen, goederen en informatie te garanderen, neemt de Commissie, met name via het directoraat Veiligheid van het directoraat-generaal Personele Middelen en Veiligheid, maatregelen als bedoeld in Besluit (EU, Euratom) 2015/443 van de Commissie(1) waarbij verschillende categorieën persoonsgegevens worden verwerkt. Die maatregelen omvatten het verrichten van antecedentenonderzoek overeenkomstig artikel 7, lid 5, van dreigingsevaluaties overeenkomstig artikel 12 en van veiligheidsonderzoeken overeenkomstig artikel 13 van Besluit (EU, Euratom) 2015/443. In het kader van haar onderzoeksmandaat verzamelt de Commissie voor haar onderzoeken relevante gegevens, inclusief persoonsgegevens, bij verschillende bronnen — overheidsinstanties en natuurlijke personen — en wisselt die uit met andere instellingen, organen, bureaus en agentschappen van de Unie, bevoegde autoriteiten van de lidstaten en derde landen, alsook met internationale organisaties vóór, tijdens en na de onderzoeks- of coördinatiewerkzaamheden.

  3. Door de Commissie verwerkte categorieën persoonsgegevens zijn bijvoorbeeld identificatiegegevens, contactgegevens, professionele gegevens en gegevens die verband houden met of in verband worden gebracht met het onderwerp van een antecedentenonderzoek, dreigingsevaluatie of veiligheidsonderzoek. De persoonsgegevens worden opgeslagen in een beveiligde elektronische omgeving om onwettige toegang tot of overdracht van gegevens aan personen buiten de Commissie te voorkomen. De persoonsgegevens worden bij de met het onderzoek belaste diensten van de Commissie bewaard tot het einde van het onderzoek. Afhankelijk van de categorie van het onderzoek, bijvoorbeeld op het gebied van vermoedelijke strafbare feiten, contraspionage of terrorismebestrijding, gelden voor de verschillende verwerkingsactiviteiten verschillende bewaartermijnen. Aan het eind van de bewaartermijn wordt de zaakgerelateerde informatie, inclusief de persoonsgegevens, vernietigd(2).

  4. Bij de uitvoering van haar taken is de Commissie als verwerkingsverantwoordelijke verplicht de in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie verankerde rechten van natuurlijke personen in verband met de verwerking van persoonsgegevens te eerbiedigen, alsook de rechten als bedoeld in Verordening (EU) 2018/1725 van het Europees Parlement en de Raad(3). Tezelfdertijd moet de Commissie, in overeenstemming met artikel 9 van Verordening (EU, Euratom) 2015/443, strikte regels van vertrouwelijkheid in acht nemen.

  5. In bepaalde omstandigheden moet een evenwicht tot stand worden gebracht tussen de rechten van betrokkenen op grond van Verordening (EU) 2018/1725 en de opdracht van de Commissie om haar in Besluit (EU, Euratom) 2015/443 bedoelde taken in verband met het waarborgen van de veiligheid van personen, goederen en informatie binnen de Commissie, met name veiligheidsonderzoeken, doeltreffend uit te voeren, met volledige inachtneming van de grondrechten en fundamentele vrijheden van andere betrokkenen. Daartoe wordt de Commissie in artikel 25, lid 1, onder c), d) en h), van Verordening (EU) 2018/1725 de mogelijkheid verleend om de toepassing van de artikelen 14 tot en met 17, 19, 20 en 35, alsmede het transparantiebeginsel van artikel 4, lid 1, onder a), te beperken voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin wordt voorzien door de artikelen 14 tot en met 17, 19 en 20 van die verordening.

  6. Om ervoor te zorgen dat de Commissie haar in Besluit (EU, Euratom) 2015/443 bedoelde taken in verband met het waarborgen van de veiligheid van personen, goederen en informatie binnen de Commissie, met name haar veiligheidsonderzoeken, doeltreffend kan verrichten, met inachtneming van de in Verordening (EU) 2018/1725 vastgestelde normen voor de bescherming van persoonsgegevens, moeten interne voorschriften worden vastgesteld op grond waarvan de Commissie de rechten van betrokkenen in overeenstemming met artikel 25, lid 1, onder c), d) en h), van Verordening (EU) 2018/1725 kan beperken.

  7. De interne voorschriften moeten gelden voor alle verwerkingsactiviteiten die de Commissie verricht bij de uitoefening van haar taken in verband met de veiligheid van personen, goederen en informatie binnen de Commissie overeenkomstig Besluit (EU, Euratom) 2015/443, met name bij haar onderzoekswerkzaamheden op het gebied van veiligheid. Zij moeten van toepassing zijn op verwerkingsactiviteiten die vóór de opening van een onderzoek, tijdens onderzoeken en tijdens de monitoring van de follow-up van de resultaten van onderzoeken worden uitgevoerd.

  8. Om aan de artikelen 14, 15 en 16 van Verordening (EU) 2018/1725 te voldoen, moet de Commissie alle personen op transparante en coherente wijze over haar activiteiten die de verwerking van hun persoonsgegevens omvatten, en over hun rechten informeren via een op de website van de Commissie gepubliceerde privacyverklaring.

  9. Voorts moet de Commissie personen van wie gegevens worden verwerkt in het kader van hun betrokkenheid bij een veiligheidsonderzoek, dat wil zeggen de betrokkenen en de getuigen, persoonlijk en in een passend formaat informeren. Bovendien moet de Commissie personen van wie gegevens worden verwerkt in het kader van veiligheidsmaatregelen uit hoofde van artikel 7, lid 5, en artikel 12, lid 1, onder d) en e), van Besluit (EU, Euratom) 2015/443, met name bij het doorzoeken van gebouwen, communicatie- en informatiesystemen en uitrusting van de Commissie, persoonlijk daarover informeren.

  10. Op grond van artikel 25 van Verordening (EU) 2018/1725 kan het noodzakelijk zijn voor de Commissie om de verstrekking van informatie aan betrokkenen en de uitoefening van andere rechten van betrokkenen te beperken, ter bescherming van, met name, een veiligheidsonderzoek, onderzoeksinstrumenten en -methoden, veiligheidsonderzoeken en -procedures van andere overheidsinstanties, alsmede de rechten van andere personen in verband met die veiligheidsonderzoeken en/of -procedures.

  11. In sommige gevallen zou het verstrekken van informatie aan de betrokkenen of het onthullen van het bestaan van onderzoeken of veiligheidsmaatregelen uit hoofde van artikel 12, lid 1, onder d) en e), van Besluit (EU, Euratom) 2015/443, met name bij het doorzoeken van Commissie-gebouwen en communicatie- en informatiesystemen en uitrusting van de Commissie, het doel van het onderzoek onmogelijk kunnen maken en het vermogen van de Commissie om haar veiligheid te waarborgen en met name in de toekomst doeltreffende veiligheidsonderzoeken te verrichten, ernstig in het gedrang kunnen brengen.

  12. Om een doeltreffende samenwerking in de zin van artikel 17, leden 2 en 3, van Besluit (EU, Euratom) 2015/443 te handhaven, kan het bovendien voor de Commissie noodzakelijk zijn om de toepassing van rechten van betrokkenen te beperken om de verwerkingsactiviteiten van andere instellingen, organen, bureaus en agentschappen van de Unie of van bevoegde instanties van de lidstaten te beschermen. De Commissie moet hiertoe die instellingen, organen, bureaus, agentschappen en instanties raadplegen in verband met de relevante gronden voor die beperkingen en de noodzaak en evenredigheid daarvan.

  13. Het kan ook zijn dat de Commissie de verstrekking van informatie aan betrokkenen en de toepassing van andere rechten van betrokkenen in verband met persoonsgegevens die zijn ontvangen van derde landen of internationale organisaties, moet beperken om aan haar verplichting tot samenwerking met deze landen of organisaties te voldoen en zo te beantwoorden aan een belangrijke doelstelling van algemeen openbaar belang van de Unie. In sommige omstandigheden kunnen het belang of de grondrechten van de betrokkenen evenwel prevaleren boven het belang van internationale samenwerking.

  14. De Commissie moet alle beperkingen op transparante wijze behandelen en registreren in het desbetreffende registratiesysteem.

  15. Overeenkomstig artikel 25, lid 8, van Verordening (EU) 2018/1725 kunnen verwerkingsverantwoordelijken het verstrekken van informatie over de redenen van de toepassing van een beperking aan de betrokkene uitstellen, achterwege laten of weigeren indien dit op enigerlei wijze het doel van de beperking in het gedrang zou brengen. Dit geldt met name voor beperkingen van de in de artikelen 16 en 35 van Verordening (EU) 2018/1725 bedoelde rechten.

  16. De Commissie moet de opgelegde beperkingen regelmatig evalueren om te garanderen dat het recht van de betrokkene om te worden geïnformeerd overeenkomstig de artikelen 16 en 35 van Verordening (EU) 2018/1725 slechts wordt beperkt zolang dergelijke beperkingen noodzakelijk zijn om het de Commissie mogelijk te maken haar veiligheid te waarborgen en haar veiligheidsonderzoeken te verrichten.

  17. Worden andere rechten van betrokkenen beperkt, dan moet de verwerkingsverantwoordelijke per geval beoordelen of de mededeling van de beperking het doel ervan in het gedrang zou brengen.

  18. De functionaris voor gegevensbescherming van de Commissie moet een onafhankelijke evaluatie van de toepassing van beperkingen verrichten met het oog op de naleving van dit besluit.

  19. De Europese Toezichthouder voor gegevensbescherming heeft op 10 december 2018 een advies uitgebracht,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1 Onderwerp en toepassingsgebied

1.

Bij dit besluit worden de voorschriften vastgesteld die de Commissie in acht moet nemen om betrokkenen, overeenkomstig de artikelen 14, 15 en 16 van Verordening (EU) 2018/1725, te informeren over de verwerking van hun gegevens in het kader van de uitvoering van al haar taken overeenkomstig Besluit (EU, Euratom) 2015/443.

Voorts worden bij dit besluit de voorwaarden vastgesteld waarop de Commissie de toepassing van de artikelen 4, 14 tot en met 17, 19, 20 en 35 van Verordening (EU) 2018/1725 kan beperken in overeenstemming met artikel 25, lid 1, onder c), d) en h), van die verordening.

2.

Dit besluit is van toepassing op de verwerking van persoonsgegevens door de Commissie ten behoeve van of met betrekking tot de activiteiten om de veiligheid van personen, goederen en informatie binnen de Commissie overeenkomstig Besluit (EU, Euratom) 2015/443 te garanderen.

Artikel 2 Toepasselijke uitzonderingen en beperkingen

1.

Bij de uitoefening van haar taken met betrekking tot de rechten van betrokkenen overeenkomstig Verordening (EU) 2018/1725 gaat de Commissie na of een van de in die verordening vastgestelde uitzonderingen van toepassing is.

2.

Onverminderd de artikelen 3 tot en met 7 van dit besluit kan de Commissie de toepassing van de artikelen 14 tot en met 17, 19, 20 en 35 van Verordening (EU) 2018/1725, evenals het in artikel 4, lid 1, onder a), van die verordening neergelegde transparantiebeginsel beperken voor zover de bepalingen ervan overeenkomen met de in de artikelen 14 tot en met 17, 19 en 20 van Verordening (EU) 2018/1725 bedoelde rechten en verplichtingen, wanneer de uitoefening van die rechten en verplichtingen de interne veiligheid van de instellingen, organen, bureaus of agentschappen van de Unie, met inbegrip van hun elektronische communicatienetwerken, onder meer door de openbaarmaking van haar onderzoeksinstrumenten en -methoden in het kader van veiligheidsonderzoeken in het gedrang zou brengen of afbreuk zou doen aan de rechten en vrijheden van andere betrokkenen.

3.

Onverminderd de artikelen 3 tot en met 7 kan de Commissie in de volgende omstandigheden de rechten en verplichtingen als bedoeld in lid 2 van dit artikel beperken met betrekking tot persoonsgegevens die zijn verkregen van andere instellingen, organen, agentschappen en bureaus van de Unie, bevoegde autoriteiten van de lidstaten of derde landen of internationale organisaties:

  1. wanneer de uitoefening van die rechten en verplichtingen door andere instellingen, organen, agentschappen en bureaus van de Unie zou kunnen worden beperkt op grond van andere in artikel 25 van Verordening (EU) 2018/1725 bedoelde handelingen of overeenkomstig hoofdstuk IX van die verordening of overeenkomstig Verordening (EU) 2016/794 van het Europees Parlement en de Raad(4) of Verordening (EU) 2017/1939 van de Raad(5);

  2. wanneer de uitoefening van die rechten en verplichtingen door bevoegde autoriteiten van de lidstaten zou kunnen worden beperkt op grond van in artikel 23 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad(6) bedoelde handelingen of uit hoofde van nationale maatregelen tot omzetting van artikel 13, lid 3, artikel 15, lid 3, of artikel 16, lid 3, van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad(7);

  3. wanneer de uitoefening van die rechten en verplichtingen de samenwerking van de Commissie met derde landen of internationale organisaties betreffende de uitwisseling van informatie over mogelijke bedreigingen op het gebied van contraspionage en terrorismebestrijding en de verrichting van veiligheidsonderzoeken in het gedrang kan brengen.

Voordat beperkingen worden toegepast onder de in de punten a) en b) van de eerste alinea bedoelde omstandigheden raadpleegt de Commissie de betrokken instellingen, organen, agentschappen en bureaus van de Unie of bevoegde autoriteiten van de lidstaten, tenzij het voor de Commissie duidelijk is dat in de toepassing van een beperking is voorzien in een van de in die punten bedoelde handelingen of indien die raadpleging het doel van haar activiteiten op grond van Besluit (EU, Euratom) 2015/443 in het gedrang zou brengen.

Punt c) van de eerste alinea van dit lid is niet van toepassing wanneer de belangen of de grondrechten en fundamentele vrijheden van de betrokkenen prevaleren boven het belang van de Commissie om samen te werken met derde landen of internationale organisaties.

4.

Door de leden 1, 2 en 3 wordt niet afgedaan aan de toepassing van andere besluiten van de Commissie tot vaststelling van interne voorschriften betreffende het verstrekken van informatie aan betrokkenen, noch aan de beperking van bepaalde rechten uit hoofde van artikel 25 van Verordening (EU) 2018/1725 en artikel 23 van het reglement van orde van de Commissie.

Artikel 3 Informatieverstrekking aan betrokkenen

1.

De Commissie publiceert op haar website privacyverklaringen waarin alle betrokkenen worden geïnformeerd over haar activiteiten in verband met de verwerking van hun persoonsgegevens ten behoeve van haar activiteiten op grond van Besluit (EU, Euratom) 2015/443.

2.

De Commissie informeert de personen en getuigen die betrokken zijn bij een veiligheidsonderzoek, persoonlijk en in een passend formaat over de verwerking van hun persoonsgegevens. Bovendien informeert de Commissie personen van wie gegevens worden verwerkt in het kader van veiligheidsmaatregelen uit hoofde van artikel 7, lid 5, en artikel 12, lid 1, onder d) en e), van Besluit (EU, Euratom) 2015/443, met name bij het doorzoeken van gebouwen, communicatie- en informatiesystemen en uitrusting van de Commissie, persoonlijk daarover.

3.

Wanneer de Commissie de verstrekking van informatie aan betrokkenen in de zin van lid 2 van dit artikel geheel of gedeeltelijk beperkt, legt zij de redenen voor die beperking vast en registreert zij die overeenkomstig artikel 6 van dit besluit.

Artikel 4 Recht van inzage van betrokkenen, recht op wissing en recht op beperking van de verwerking

1.

Wanneer de Commissie het recht van inzage in gegevens door betrokkenen, het recht op wissing of het recht op beperking van de verwerking als bedoeld in, onderscheidenlijk, de artikelen 17, 19 en 20 van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, stelt zij de betrokkene in haar antwoord op het verzoek om inzage, wissing of beperking van de verwerking in kennis van de toegepaste beperking en van de belangrijkste redenen daarvoor, alsmede van de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of om beroep in te stellen bij het Hof van Justitie van de Europese Unie.

2.

De informatie over de redenen voor de in lid 1 van dit lid bedoelde beperking kan worden uitgesteld, achterwege gelaten of geweigerd zolang de verstrekking daarvan het doel van de beperking zou ondermijnen.

3.

De Commissie legt de redenen voor de beperking vast en registreert die overeenkomstig artikel 6 van dit besluit.

4.

Wanneer het recht van inzage geheel of gedeeltelijk wordt beperkt, kan de betrokkene, in overeenstemming met artikel 25, leden 6, 7 en 8, van Verordening (EU) 2018/1725, haar of zijn recht van inzage uitoefenen via de Europese Toezichthouder voor gegevensbescherming.

Artikel 5 Mededeling van een inbreuk in verband met persoonsgegevens aan betrokkenen

Artikel 6 Registratie van beperkingen

Artikel 7 Duur van de beperkingen

Artikel 8 Evaluatie door de functionaris voor gegevensbescherming

Artikel 9