Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
SduIn- en Uitvoer
Home

Besluit van het Bestuur van het Europees Defensieagentschap van 24 februari 2020 houdende vaststelling van interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen in verband met de verwerking van persoonsgegevens in het kader van de werking van het EDA

Besluit van het Bestuur van het Europees Defensieagentschap van 24 februari 2020 houdende vaststelling van interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen in verband met de verwerking van persoonsgegevens in het kader van de werking van het EDA

HET BESTUUR,

Gezien het Verdrag betreffende de Europese Unie, en met name de artikelen 42 en 45,

Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG(1), en met name artikel 25,

Gezien Besluit (GBVB) 2015/1835 van de Raad van 12 oktober 2015 tot vaststelling van het statuut, de zetel en de voorschriften voor de werking van het Europees Defensieagentschap(2) (hierna: “EDA”), en met name artikel 31,

Gezien Besluit 2017/25 van het Bestuur houdende vaststelling van het herziene reglement van orde van het Bestuur van EDA, en met name artikel 8,

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming (EDPS) van 15 januari 2020 en de EDPS-richtsnoeren inzake artikel 25 van Verordening (EU) 2018/1725 en interne voorschriften, en

Na raadpleging van het personeelscomité,

Overwegende hetgeen volgt:

  1. EDA voert zijn activiteiten uit overeenkomstig Besluit (GBVB) 2015/1835;

  2. Overeenkomstig artikel 25, lid 1, van Verordening (EU) 2018/1725 dienen beperkingen op de toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 van die verordening, voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, gebaseerd te zijn op door EDA vast te stellen interne voorschriften voor zover deze niet zijn gebaseerd op rechtshandelingen die op basis van de Verdragen zijn vastgesteld;

  3. De interne voorschriften, met inbegrip van bepalingen over de beoordeling van de noodzaak en evenredigheid van een beperking, mogen niet van toepassing zijn wanneer een op grond van de Verdragen aangenomen rechtshandeling in een beperking van rechten van betrokkenen voorziet;

  4. Waar EDA zijn verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, gaat het na of een van de in die verordening vastgestelde uitzonderingen van toepassing is;

  5. In het kader van zijn administratieve werking kan EDA administratieve onderzoeken instellen en tuchtprocedures inleiden, voorbereidende activiteiten verrichten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, beperkingen opleggen met betrekking tot gerubriceerde elementen van ad-hocactiviteiten in het kader van Besluit 2015/1835, klokkenluidersprocedures verwerken, procedures in verband met intimidatie afhandelen, interne en externe klachten verwerken, interne audits uitvoeren, onderzoeken uitvoeren via de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725, interne (IT‐)veiligheidsonderzoeken verrichten en activiteiten uitvoeren ter bescherming van andere belangrijke doelstellingen van algemeen openbaar belang van de Unie of een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie;

  6. EDA verwerkt verschillende categorieën persoonsgegevens, inclusief harde gegevens ('objectieve' gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie- en verkeersgegevens) en/of zachte gegevens ('subjectieve' gegevens met betrekking tot de zaak, zoals redeneringen, gedragsgegevens, beoordelingen, prestatie- en uitvoeringsgegevens, en gegevens met betrekking tot of naar voren gebracht in verband met het voorwerp van de procedure of activiteit);

  7. EDA, vertegenwoordigd door zijn directeur, treedt op als de verwerkingsverantwoordelijke, ongeacht een verder delegeren van deze rol binnen EDA, voor de operationele specifieke verwerking van persoonsgegevens;

  8. De persoonsgegevens worden veilig opgeslagen in een elektronische omgeving of op papier waarmee ongeoorloofde toegang of overdracht van gegevens aan personen zonder noodzaak van kennisneming wordt voorkomen. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend voor de doeleinden waarvoor de gegevens worden verwerkt gedurende de periode die is gespecificeerd in de mededelingen over gegevensbescherming of registers van EDA;

  9. De interne voorschriften zijn van toepassing op verwerkingshandelingen voorafgaand aan het instellen van de bovengenoemde procedures, tijdens deze procedures en tijdens het toezicht op de follow-up van deze procedures. Zij omvatten ook bijstand door EDA aan, en zijn samenwerking met nationale autoriteiten en internationale organisaties buiten het kader van zijn administratieve onderzoeken;

  10. In de gevallen waarop deze interne voorschriften van toepassing zijn, motiveert EDA waarom de beperkingen strikt noodzakelijk zijn en een evenredige maatregel zijn in een democratische samenleving en de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laten;

  11. Binnen dit kader is EDA gehouden om, voor zover mogelijk, de grondrechten van de betrokkenen te respecteren tijdens de bovengenoemde procedures, in het bijzonder het recht op informatieverstrekking, toegang en rectificatie, het recht om te wissen, de beperking van verwerking, het recht van mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie zoals verankerd in Verordening (EU) 2018/1725;

  12. EDA kan er echter toe worden verplicht de informatie aan de betrokkene en de rechten van andere betrokkenen te beperken, in het bijzonder om zijn eigen onderzoeken, de onderzoeken en procedures van andere overheidsinstanties en de rechten van andere personen die verband houden met zijn onderzoeken of andere procedures te beschermen;

  13. EDA kan dus de informatie beperken met het oog op de bescherming van het onderzoek en de grondrechten en fundamentele vrijheden van andere betrokkenen;

  14. EDA controleert regelmatig of de voorwaarden die de beperking rechtvaardigen nog van toepassing zijn en heft de beperking op zodra dit niet langer het geval is;

  15. De verwerkingsverantwoordelijke dient de functionaris voor gegevensbescherming op het moment van de opschorting en tijdens de herzieningen op de hoogte te stellen,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1 Onderwerp en toepassingsgebied

1.

Dit besluit bevat voorschriften betreffende de voorwaarden waaronder EDA in het kader van zijn in lid 2 beschreven procedures de toepassing kan beperken van de in de artikelen 14 tot en met 21, artikel 35 en artikel 36 vervatte rechten, alsmede van artikel 4, in overeenstemming met artikel 25 van Verordening (EU) 2018/1725.

2.

In het kader van de administratieve werking van EDA is dit besluit van toepassing op de verwerking van persoonsgegevens door EDA met als doel: het instellen van administratieve onderzoeken, het inleiden van tuchtprocedures, het verrichten van voorbereidende activiteiten in verband met mogelijke, bij het Europees Bureau voor fraudebestrijding (OLAF) aangemelde onregelmatigheden, het verwerken van klokkenluidersprocedures, het verwerken van procedures in verband met intimidatie, het verwerken van interne en externe klachten en het uitvoeren van onderzoek via de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725 en veiligheidsonderzoeken die intern of met externe betrokkenheid worden behandeld.

3.

De betreffende gegevenscategorieën zijn harde gegevens ('objectieve' gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, van specifieke bronnen ontvangen gegevens elektronische communicatie- en verkeersgegevens) en/of zachte gegevens ('subjectieve' gegevens met betrekking tot de zaak zoals redeneringen, gegevens over gedrag, beoordelingen, prestaties en gegevens die verband houden met het voorwerp van de procedure of activiteit).

4.

Wanneer EDA zijn verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, gaat het na of een van de in die verordening vastgestelde vrijstellingen van toepassing is.

5.

Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: informatieverstrekking aan betrokkenen, recht van toegang, rectificatie, wissing, beperking van de verwerking, mededeling van een inbreuk in verband met de persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie.

Artikel 2 Waarborgen

1.

De volgende waarborgen zijn ingevoerd ter voorkoming van misbruik of onrechtmatige toegang of doorgifte:

  1. papieren documenten worden bewaard in beveiligde kasten en zijn alleen toegankelijk voor bevoegd personeel;

  2. alle elektronische gegevens worden opgeslagen in een beveiligde IT-toepassing volgens de beveiligingsnormen van EDA, evenals in specifieke elektronische mappen die alleen toegankelijk zijn voor bevoegd personeel. Passende niveaus van toegang worden individueel toegekend;

  3. databases(3) worden beveiligd met een wachtwoord via één enkel aanmeldsysteem en worden automatisch verbonden met de gebruikersnaam en het wachtwoord van de gebruiker. E-registratiedossiers worden veilig opgeslagen teneinde de vertrouwelijkheid en privacy van de gegevens te waarborgen;

  4. alle personen die toegang hebben tot de gegevens zijn gebonden door geheimhoudingsplicht.

2.

De in artikel 1, lid 3, bedoelde persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend is voor de doeleinden waarvoor de gegevens worden verwerkt. Deze mag in geen geval langer zijn dan de bewaringstermijn die in de in artikel 5, lid 1, bedoelde mededelingen over gegevensbescherming of de registers is vastgesteld.

3.

Wanneer EDA overweegt een beperking in te stellen, wordt het risico voor de rechten en vrijheden van de betrokkene in het bijzonder afgewogen tegen het risico voor de rechten en vrijheden van andere betrokkenen en de risico's van teloorgang van het effect van de onderzoeken of procedures van EDA, bijvoorbeeld door het vernietigen van bewijsmateriaal. De risico's voor de rechten en vrijheden van de betrokkene betreffen in de eerste plaats, maar zijn niet beperkt tot, reputatierisico's en risico's voor het recht op verdediging en het recht om te worden gehoord.

Artikel 3 Identiteit van de verwerkingsverantwoordelijke

1.

De verantwoordelijke voor de verwerkingsactiviteiten is EDA, vertegenwoordigd door zijn directeur, die deze verantwoordelijkheid kan delegeren.

2.

Betrokkenen worden geïnformeerd over de gedelegeerde verantwoordelijke door middel van mededelingen over gegevensbescherming of registers die op de website van EDA worden gepubliceerd.

Artikel 4 Beperkingen

1.

EDA vermeldt in de registers over gegevensbescherming, waarin betrokkenen worden geïnformeerd over hun rechten in het kader van een bepaalde procedure in de zin van artikel 31 van Verordening (EU) 2018/1725 en die zijn gepubliceerd op zijn website, informatie met betrekking tot de mogelijke beperking van deze rechten. Aangegeven wordt welke rechten kunnen worden beperkt, de redenen daarvan en de potentiële duur.

2.

EDA zal iedere beperking uitsluitend toepassen om het volgende te waarborgen:

  1. de nationale veiligheid, de openbare veiligheid en/of de defensie van de lidstaten;

  2. de preventie, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van het beschermen tegen en het voorkomen van bedreigingen van de openbare veiligheid;

  3. andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie;

  4. de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronische communicatienetwerken;

  5. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;

  6. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a), b) en c);

  7. de bescherming van de betrokkene of van de rechten en vrijheden van anderen;

  8. de inning van civielrechtelijke vorderingen.

3.

Als een specifieke toepassing van de in lid 1 beschreven doeleinden, kan EDA beperkingen opleggen met betrekking tot persoonsgegevens die worden uitgewisseld met de diensten van de Commissie of andere instellingen, organen en instanties van de Unie, bevoegde autoriteiten van lidstaten of derde landen of internationale organisaties, in de volgende situaties:

  1. wanneer de uitoefening van deze rechten en verplichtingen kan worden beperkt door diensten van de Commissie of andere instellingen, organen en instanties van de Unie op grond van andere handelingen als bedoeld in artikel 25 van Verordening (EU) 2018/1725 of overeenkomstig hoofdstuk IX van deze verordening of in de oprichtingsakten van andere instellingen, organen en instanties van de Unie;

  2. wanneer de uitoefening van die rechten en verplichtingen kan worden beperkt door de bevoegde autoriteiten van de lidstaten op basis van handelingen als bedoeld in artikel 23 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad(4), of krachtens nationale maatregelen ter omzetting van artikel 13, lid 3, artikel 15, lid 3, of artikel 16, lid 3, van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad(5);

  3. wanneer de uitoefening van die rechten en plichten de samenwerking van EDA met derde landen of internationale organisaties bij de uitvoering van zijn taken in gevaar zou kunnen brengen.

Alvorens beperkingen op te leggen in de omstandigheden bedoeld onder a) en b), raadpleegt EDA de desbetreffende diensten van de Commissie, instellingen, organen of instanties van de Unie of de bevoegde autoriteiten van de lidstaten, tenzij het hem duidelijk is dat de toepassing van een beperking is geboden door een van de in die punten genoemde handelingen.

4.

Elke beperking is noodzakelijk en evenredig, waarbij rekening wordt gehouden met de risico's voor de rechten en vrijheden van betrokkenen, en de essentie van de fundamentele rechten en vrijheden in een democratische samenleving in acht wordt genomen.

5.

Indien de toepassing van een beperking wordt overwogen, moet op basis van de huidige voorschriften een noodzakelijkheids- en evenredigheidstoets worden uitgevoerd. Het wordt per geval gedocumenteerd door middel van een interne beoordelingsnota met het oog op het afleggen van verantwoording.

6.

EDA evalueert de toepassing van de beperking elke zes maanden na vaststelling en bij de afsluiting van de enquête, de procedure of het onderzoek in kwestie. Daarna houdt de verwerkingsverantwoordelijke elke zes maanden toezicht op de noodzaak om een beperking te handhaven. De opgetekende gegevens en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming beschikbaar gesteld.

7.

Beperkingen worden opgeheven zodra de omstandigheden die deze rechtvaardigen niet meer van toepassing zijn. Dit geldt in het bijzonder wanneer wordt geoordeeld dat de uitoefening van het beperkte recht niet langer het effect van de opgelegde beperking zou opheffen of de rechten of vrijheden van andere betrokkenen zou schaden.

8.

Onverminderd het bepaalde in lid 10 informeert EDA, voor zover dit redelijkerwijs mogelijk is, zonder onnodige vertraging en in schriftelijke vorm alle personen die als betrokkenen bij een specifieke verwerkingshandeling worden beschouwd, individueel over hun rechten met betrekking tot huidige of toekomstige beperkingen.

9.

Wanneer EDA het verstrekken van informatie aan de in lid 9 bedoelde betrokkenen geheel of gedeeltelijk beperkt, legt het de redenen voor de beperking, de rechtsgrond in overeenstemming met dit artikel 3, alsook een beoordeling van de noodzaak en evenredigheid van de beperking vast. De opgetekende gegevens en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming beschikbaar gesteld.

10.

De in lid 10 bedoelde beperking blijft van toepassing zolang de redenen die deze rechtvaardigen geldig zijn.

11.

Wanneer de redenen voor de beperking niet langer gelden, verstrekt EDA de betrokkene informatie over de voornaamste redenen waarop de toepassing van een beperking is gebaseerd. Tegelijkertijd informeert EDA de betrokkene over de mogelijkheid om te allen tijde bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen of bij het Hof van Justitie van de Europese Unie beroep in te stellen.

Artikel 5 Evaluatie door de functionaris voor gegevensbescherming

Artikel 6 Verstrekking van informatie aan betrokkene

Artikel 7 Recht van inzage van de betrokkene

Artikel 8 Recht op rectificatie, wissing en beperking van de verwerking

Artikel 9 Mededeling aan de betrokkene van een inbreuk in verband met persoonsgegevens en vertrouwelijkheid van elektronische communicatie

Artikel 10 Inwerkingtreding