Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
SduIn- en Uitvoer
Home

Besluit van de raad van bestuur van het Europees Waarnemingscentrum voor drugs en drugsverslaving van 28 juni 2019 houdende interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van het functioneren van het EMCDDA

Besluit van de raad van bestuur van het Europees Waarnemingscentrum voor drugs en drugsverslaving van 28 juni 2019 houdende interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van het functioneren van het EMCDDA

DE RAAD VAN BESTUUR VAN HET EMCDDA,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG(1), en met name artikel 25,

Gezien Verordening (EG) nr. 1920/2006 van het Europees Parlement en de Raad van 12 december 2006 betreffende het Europees Waarnemingscentrum voor drugs en drugsverslaving(2), en met name de artikelen 6 en 9,

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming (EDPS) van 29 mei 2019 en de EDPS-richtsnoeren inzake artikel 25 van de nieuwe verordening en interne voorschriften,

Overwegende hetgeen volgt:

  1. Het EMCDDA voert zijn activiteiten uit in overeenstemming met de hiervoor genoemde Verordening (EG) nr. 1920/2006 van de Raad.

  2. Overeenkomstig artikel 25, lid 1, van Verordening (EU) 2018/1725 dienen beperkingen op de toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 van die verordening, voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, gebaseerd te zijn op door het EMCDDA vast te stellen interne voorschriften, voor zover deze niet gebaseerd zijn op rechtshandelingen die op grond van de Verdragen zijn vastgesteld.

  3. Deze interne voorschriften, met inbegrip van bepalingen over de beoordeling van de noodzaak en evenredigheid van een beperking, zijn niet van toepassing wanneer een op grond van de Verdragen vastgestelde rechtshandeling voorziet in een beperking van rechten van betrokkenen.

  4. Waar het EMCDDA zijn verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, onderzoekt het of een van de in deze verordening vastgestelde uitzonderingen van toepassing is.

  5. In het kader van zijn administratieve werking kan het EMCDDA administratieve onderzoeken instellen, tuchtprocedures inleiden, voorbereidende activiteiten verrichten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, klokkenluidersprocedures verwerken, (formele en informele) procedures in verband met intimidatie verwerken, interne en externe klachten verwerken, interne audits uitvoeren, onderzoeken uitvoeren via de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725 en interne (IT-)veiligheidsonderzoeken verrichten.

  6. Het EMCDDA verwerkt verschillende categorieën van persoonsgegevens, inclusief harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens met betrekking tot de zaak, zoals redeneringen, gedragsgegevens, beoordelingen, prestatiegegevens en gegevens met betrekking tot, of naar voren gebracht in verband met het onderwerp van de procedure of activiteit).

  7. Het EMCDDA, vertegenwoordigd door zijn directeur, treedt op als de verwerkingsverantwoordelijke, ongeacht een verder delegeren van deze rol binnen het Agentschap, voor de operationele specifieke verwerking van persoonsgegevens.

  8. De persoonsgegevens worden veilig opgeslagen in een elektronische omgeving of op papier, waardoor ongeoorloofde toegang of overdracht van gegevens aan personen zonder noodzaak van kennisneming wordt voorkomen. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend voor de doeleinden waarvoor de gegevens worden verwerkt gedurende de periode die is gespecificeerd in de gegevensbeschermingsmededelingen, de privacyverklaringen of het register van het EMCDDA.

  9. De interne voorschriften zijn van toepassing op alle verwerkingen door het EMCDDA in het kader van zijn administratieve onderzoeken, tuchtprocedures, voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, klokkenluidersprocedures, (formele en informele) procedures voor gevallen van intimidatie, verwerking van interne en externe klachten, interne audits, de onderzoeken die worden uitgevoerd door de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725 en (IT-)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijvoorbeeld CERT-EU) worden behandeld.

  10. De interne voorschriften zijn van toepassing op verwerkingen die voorafgaand aan de inleiding van voornoemde procedures plaatsvonden, alsook op verwerkingen die tijdens deze procedures en tijdens het toezicht op de follow-up van de uitkomst van deze procedures plaatsvinden. Zij omvatten ook bijstand door het EMCDDA aan, en zijn samenwerking met nationale autoriteiten en internationale organisaties buiten het kader van zijn administratieve onderzoeken.

  11. In de gevallen waarop deze interne regels van toepassing zijn, moet het EMCDDA motiveren waarom de beperkingen strikt noodzakelijk zijn en een evenredige maatregel zijn in een democratische samenleving en de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laten.

  12. Binnen dit kader is het EMCDDA gehouden om, voor zover mogelijk, de grondrechten van de betrokkenen te respecteren tijdens de bovengenoemde procedures, in het bijzonder het recht op informatieverstrekking, toegang en rectificatie, het recht om te wissen, de beperking van verwerking, het recht van mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie zoals verankerd in Verordening (EU) 2018/1725.

  13. Het EMCDDA kan echter worden verplicht de informatie aan betrokkene en andere rechten van betrokkene te beperken om, in het bijzonder zijn eigen onderzoeken, en onderzoeken en procedures van andere overheidsinstanties te beschermen, evenals de rechten van andere personen in verband met zijn onderzoeken of andere procedures.

  14. Het EMCDDA kan dus de informatie beperken met het oog op de bescherming van het onderzoek en de grondrechten en fundamentele vrijheden van andere betrokkenen.

  15. Het EMCDDA controleert periodiek of de voorwaarden die de beperking rechtvaardigen van toepassing zijn en heft de beperking op zodra dit niet langer het geval is.

  16. De verwerkingsverantwoordelijke brengt de functionaris voor gegevensbescherming op de hoogte op het moment van uitstel en tijdens de herzieningen,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1 Onderwerp en toepassingsgebied

1.

Dit besluit bevat voorschriften betreffende de voorwaarden waaronder het EMCDDA in het kader van zijn in lid 2 beschreven procedures de toepassing kan beperken van de in de artikelen 14 tot en met 21, 35 en 36 vervatte rechten, alsmede van artikel 4, in overeenstemming met artikel 25 van Verordening (EU) 2018/1725.

2.

In het kader van de administratieve werking van het EMCDDA is dit besluit van toepassing op diens verwerking van persoonsgegevens met als doel: het instellen van administratieve onderzoeken, het inleiden van tuchtprocedures, het verrichten van voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, het verwerken van klokkenluidersprocedures, het verwerken van (formele en informele) procedures in verband met intimidatie, het verwerken van interne en externe klachten, het uitvoeren van interne audits en het uitvoeren van onderzoek via de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725 en (IT-)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijvoorbeeld CERT-EU) worden behandeld.

3.

De betreffende gegevenscategorieën zijn harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens met betrekking tot de zaak, zoals redeneringen, gedragsgegevens, beoordelingen, prestatiegegevens en gegevens met betrekking tot of naar voren gebracht in verband met het voorwerp van de procedure of activiteit).

4.

Waar het EMCDDA zijn verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, onderzoekt het of een van de in deze verordening vastgestelde uitzonderingen van toepassing is.

5.

Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: informatieverstrekking aan betrokkenen, recht van toegang, rectificatie, uitwissing, beperking van de verwerking, mededeling van een inbreuk in verband met de persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie.

Artikel 2 Specificatie van de verwerkingsverantwoordelijke en beveiliging

1.

Teneinde gegevensinbreuken, gegevensverlies of ongeoorloofde onthulling van gegevens te voorkomen, zijn de volgende waarborgen ingevoerd:

  1. Papieren documenten worden bewaard in beveiligde kasten en zijn alleen toegankelijk voor bevoegd personeel.

  2. Alle elektronische gegevens worden opgeslagen in een beveiligde IT-toepassing volgens de beveiligingsnormen van het EMCDDA, evenals in specifieke elektronische mappen die alleen toegankelijk zijn voor bevoegd personeel. Passende toegangsniveaus worden individueel toegekend.

  3. De database wordt beveiligd met een wachtwoord via één enkel aanmeldsysteem en wordt automatisch verbonden met het ID en het wachtwoord van de gebruiker. Het is strikt verboden om gebruikers te vervangen. E-records worden veilig bewaard om de vertrouwelijkheid en privacy van de gegevens te waarborgen.

  4. Alle personen die toegang hebben tot de gegevens, zijn gebonden door geheimhoudingsplicht.

2.

De verantwoordelijke voor de verwerkingsactiviteiten is het EMCDDA, vertegenwoordigd door zijn directeur, die deze verantwoordelijkheid kan delegeren. Betrokkenen worden geïnformeerd over de gedelegeerde verantwoordelijke door middel van mededelingen of aantekeningen die op de website en/of het intranet van het EMCDDA worden gepubliceerd.

3.

De in artikel 1, lid 3, bedoelde persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend is voor de doeleinden waarvoor de gegevens worden verwerkt. In geen geval worden zij langer bewaard dan de retentieperiode die is aangegeven in de gegevensbeschermingsmededelingen, de privacyverklaringen of het register vermeld in artikel 5, lid 1.

4.

Wanneer het EMCDDA overweegt een beperking in te stellen, wordt het risico voor de rechten en vrijheden van de betrokkene in het bijzonder afgewogen tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico van teloorgang van het effect van de onderzoeken of procedures van het EMCDDA, bijvoorbeeld door het vernietigen van bewijsmateriaal. De risico’s voor de rechten en vrijheden van de betrokkene hebben voornamelijk betrekking op, maar zijn niet beperkt tot, reputatieschade en het recht zich te verdedigen en gehoord te worden.

Artikel 3 Beperkingen

1.

Het EMCDDA zal iedere beperking uitsluitend toepassen om het volgende te waarborgen:

  1. het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of het ten uitvoer leggen van straffen, met inbegrip van het beschermen tegen en voorkomen van gevaren voor de openbare veiligheid;

  2. andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

  3. de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronische communicatienetwerken;

  4. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;

  5. het voorkomen, onderzoeken, opsporen en vervolgen van schendingen van de beroepscodes voor gereglementeerde beroepen;

  6. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a), b) en c);

  7. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2.

Als een specifieke toepassing van de in lid 1 beschreven doeleinden kan het EMCDDA beperkingen opleggen met betrekking tot persoonsgegevens die worden uitgewisseld met de diensten van de Commissie of andere instellingen, organen en instanties van de Unie, bevoegde autoriteiten van lidstaten of derde landen of internationale organisaties, in de volgende situaties:

  1. wanneer de uitoefening van deze rechten en verplichtingen kan worden beperkt door diensten van de Commissie of andere instellingen, organen en instanties van de Unie op grond van andere handelingen bedoeld in artikel 25 van Verordening (EU) 2018/1725 of overeenkomstig hoofdstuk IX van die verordening of in de oprichtingsakten van andere instellingen, organen en instanties van de Unie;

  2. waar de uitoefening van die rechten en verplichtingen kan worden beperkt door de bevoegde autoriteiten van de lidstaten op basis van handelingen bedoeld in artikel 23 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad(3), of krachtens nationale maatregelen ter omzetting van artikel 13, lid 3, artikel 15, lid 3, of artikel 16, lid 3, van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad(4);

  3. wanneer de uitoefening van die rechten en plichten de samenwerking van het EMCDDA met derde landen of internationale organisaties bij de uitvoering van zijn taken in gevaar zou kunnen brengen.

Alvorens beperkingen op te leggen in de situaties als bedoeld in de eerste alinea, onder a) en b), raadpleegt het EMCDDA de betrokken diensten van de Commissie, instellingen, organen of instanties van de Unie of de bevoegde autoriteiten van de lidstaten, tenzij het voor het EMCDDA duidelijk is dat een van de in die punten genoemde handelingen de toepassing van een beperking toelaat.

3.

Elke beperking is noodzakelijk en evenredig, waarbij rekening wordt gehouden met de risico’s voor de rechten en vrijheden van betrokkenen en de essentie van de fundamentele rechten en vrijheden in een democratische samenleving onverlet wordt gelaten.

4.

Als een beperking wordt overwogen, wordt een noodzakelijkheids- en evenredigheidsonderzoek verricht op basis van onderhavige voorschriften. Ieder geval wordt voor verantwoordingsdoeleinden gedocumenteerd in een interne beoordelingsnota.

5.

Beperkingen worden opgeheven zodra de omstandigheden die deze rechtvaardigen niet meer van toepassing zijn. Dit geldt in het bijzonder wanneer wordt geoordeeld dat de uitoefening van het beperkte recht niet langer het effect van de opgelegde beperking zou opheffen of de rechten of vrijheden van andere betrokkenen zou schaden.

Artikel 4 Beoordeling door de functionaris voor gegevensbescherming

1.

Het EMCDDA informeert zijn functionaris voor gegevensbescherming onverwijld wanneer de verwerkingsverantwoordelijke de toepassing van rechten van betrokkenen beperkt of de beperking verlengt overeenkomstig dit besluit. De verwerkingsverantwoordelijke geeft de functionaris voor gegevensbescherming toegang tot de beoordeling van de noodzaak en evenredigheid van de beperking en legt daarbij ook de betrokkenheid vast van de functionaris voor gegevensbescherming bij de verschillende procedures.

2.

De functionaris voor gegevensbescherming kan de verwerkingsverantwoordelijke schriftelijk verzoeken de toepassing van de beperkingen opnieuw te beoordelen. De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming schriftelijk over de uitkomst van de gevraagde beoordeling.

3.

De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming wanneer de beperking is opgeheven.

Artikel 5 Verstrekking van informatie aan betrokkene

Artikel 6 Recht van inzage van de betrokkene

Artikel 7 Recht op rectificatie, wissing en beperking van de verwerking

Artikel 8 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene en vertrouwelijkheid van elektronische communicatie

Artikel 9 Inwerkingtreding