BesluitNr. 20-W-3van de raad van bestuur van het Europees Bureau voor visserijcontrole van 22 april 2020 tot vaststelling van interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van persoonsgegevens in het kader van de door het Europees Bureau voor visserijcontrole uitgevoerde activiteiten
BesluitNr. 20-W-3van de raad van bestuur van het Europees Bureau voor visserijcontrole van 22 april 2020 tot vaststelling van interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van persoonsgegevens in het kader van de door het Europees Bureau voor visserijcontrole uitgevoerde activiteiten
DE RAAD VAN BESTUUR VAN HET EUROPEES BUREAU VOOR VISSERIJCONTROLE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG(1), en met name artikel 25,
Gezien Verordening (EU) 2019/473 van het Europees Parlement en de Raad van 19 maart 2019 betreffende het Europees Bureau voor visserijcontrole(2) (“het Bureau”), en met name artikel 32, lid 2, onder h),
Na raadpleging van de Europese Toezichthouder voor gegevensbescherming over dit besluit overeenkomstig artikel 41, lid 2, van Verordening (EU) 2018/1725,
Overwegende hetgeen volgt:
Verordening (EU) 2019/473 voorziet in een Europees Bureau voor visserijcontrole, dat tot doel heeft de operationele coördinatie van de visserijcontroles en -inspecties van de lidstaten te organiseren en de lidstaten bij te staan bij hun samenwerking, teneinde te voldoen aan de regels van het gemeenschappelijk visserijbeleid en ervoor te zorgen dat dit beleid effectief en uniform wordt toegepast.
Overeenkomstig artikel 25, lid 1, van Verordening (EU) 2018/1725 moeten beperkingen van de toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 van die verordening, voor zover de bepalingen daarvan overeenkomen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, gebaseerd zijn op door het Bureau vast te stellen interne voorschriften, voor zover deze niet gebaseerd zijn op rechtshandelingen die op grond van de Verdragen zijn vastgesteld.
De interne voorschriften, met inbegrip van bepalingen over de beoordeling van de noodzaak en evenredigheid van een beperking, mogen niet van toepassing zijn wanneer een op grond van de Verdragen aangenomen rechtshandeling voorziet in een beperking van rechten van betrokkenen.
Waar het Bureau zijn verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, onderzoekt het of een van de in deze verordening vastgestelde uitzonderingen van toepassing is.
In het kader van zijn administratieve werking kan het Bureau administratieve onderzoeken instellen, tuchtprocedures inleiden, voorbereidende activiteiten verrichten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, klokkenluidersprocedures verwerken, formele en informele procedures in verband met intimidatie verwerken, interne en externe klachten verwerken, interne audits uitvoeren, onderzoeken uitvoeren via de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725 en interne (IT-)veiligheidsonderzoeken verrichten.
Binnen het kader van zijn operationele activiteiten ontvangt het Bureau verslagen van EU-inspecteurs, zoals voorzien in artikel 123 van Uitvoeringsverordening (EU) nr. 404/2011 van de Commissie(3), de artikelen 18, 19 en 20 van Verordening (EU) nr. 1236/2010 van het Europees Parlement en de Raad(4) en de artikelen 30, 33 en 34 van Verordening (EU) 2019/833 van het Europees Parlement en de Raad(5). Het Bureau ontvangt tevens informatie en gegevens van de lidstaten in het kader van de analyse die wordt verstrekt aan de Europese Commissie voor de voorbereiding en uitvoering van missies ter plaatse in derde landen op grond van artikel 20, lid 4, onder c), van Verordening (EG) nr. 1005/2008 van de Raad(6), zoals uiteengezet in Besluit 2009/988/EU van de Commissie(7).
Het Bureau verwerkt verschillende categorieën van persoonsgegevens, waaronder harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens over een specifieke zaak, zoals bewijsvoering, gedragsgegevens, beoordelingen, prestatie- en gedragsgegevens en gegevens met betrekking tot of naar voren gebracht in verband met het onderwerp van de procedure of activiteit).
Het Bureau, vertegenwoordigd door zijn uitvoerend directeur, treedt op als verantwoordelijke voor de gegevensverwerking, ongeacht verdere delegaties van deze rol van verwerkingsverantwoordelijke binnen het Bureau, teneinde de operationele verantwoordelijkheden voor specifieke verwerkingen van persoonsgegevens weer te geven.
De persoonsgegevens worden veilig opgeslagen in een elektronische omgeving of op papier waarmee ongeoorloofde toegang of overdracht van gegevens aan personen zonder noodzaak van kennisneming wordt voorkomen. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend voor de doeleinden van de gegevensverwerking, gedurende de periode die in de kennisgevingen inzake gegevensbescherming, de privacyverklaringen of de dossiers van het Bureau is gespecificeerd.
De interne voorschriften moeten van toepassing zijn op alle verwerkingen die door het Bureau worden verricht bij de uitvoering van administratieve onderzoeken, tuchtprocedures, voorbereidende activiteiten in verband met gevallen van mogelijke onregelmatigheden die aan OLAF zijn gemeld, klokkenluidersprocedures, formele en informele procedures voor gevallen van intimidatie, verwerking van interne en externe klachten, interne audits, het onderzoek door de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725, (IT-)veiligheidsonderzoek dat intern wordt uitgevoerd of met externe betrokkenheid (b.v. CERT‐EU) en de in overweging 6 hiervoor bedoelde operationele activiteiten.
Ze zijn van toepassing op verwerkingen die vóór de inleiding van voornoemde procedures plaatsvonden, tijdens deze procedures, tijdens het toezicht op de follow-up van de uitkomst van deze procedures en bij de uitvoering van de in overweging 6 hiervoor bedoelde operationele activiteiten. Ze moeten ook bijstand en samenwerking bestrijken die het Bureau buiten zijn administratieve onderzoeken biedt aan nationale autoriteiten en internationale organisaties.
In de gevallen waarin deze interne voorschriften van toepassing zijn, moet het Bureau motiveren waarom de beperkingen strikt noodzakelijk en evenredig zijn in een democratische samenleving en de wezenlijke inhoud van de grondrechten en fundamentele vrijheden eerbiedigen.
Binnen dit kader is het Bureau gehouden de grondrechten van de betrokkenen tijdens voornoemde procedures zo veel mogelijk te respecteren, met name die welke betrekking hebben op het recht op informatieverstrekking, de toegang tot en rectificatie van gegevens, het recht op wissing, beperking van de verwerking, het recht op mededeling van een inbreuk in verband met persoonsgegevens of de vertrouwelijkheid van de communicatie zoals vastgelegd in Verordening (EU) 2018/1725.
Het Bureau kan echter worden verplicht de informatie aan betrokkene en andere rechten van betrokkene te beperken om in het bijzonder zijn eigen onderzoeken en onderzoeken en procedures van andere overheidsinstanties te beschermen, evenals de rechten van andere personen in verband met zijn onderzoeken of andere procedures.
Het Bureau kan dus de informatie beperken met het oog op de bescherming van het onderzoek en de grondrechten en fundamentele vrijheden van andere betrokkenen.
Het Bureau moet regelmatig controleren dat de voorwaarden die de beperking rechtvaardigen, nog van toepassing zijn en de beperking opheffen als deze niet langer van toepassing zijn.
De verwerkingsverantwoordelijke brengt de functionaris voor gegevensbescherming op de hoogte op het moment van uitstel en tijdens de herzieningen,
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1 Onderwerp en toepassingsgebied
Dit besluit bevat voorschriften betreffende de voorwaarden waaronder het Bureau in het kader van zijn in lid 2 beschreven procedures de toepassing kan beperken van de in de artikelen 14 tot en met 21, 35 en 36 vervatte rechten, alsmede van artikel 4, in overeenstemming met artikel 25 van Verordening (EU) 2018/1725.
In het kader van de administratieve werking van het Bureau is dit besluit van toepassing op diens verwerking van persoonsgegevens met als doel: het instellen van administratieve onderzoeken, het inleiden van tuchtprocedures, het verrichten van voorbereidende activiteiten in verband met mogelijke bij OLAF aangemelde onregelmatigheden, het verwerken van klokkenluidersprocedures, het verwerken van formele en informele procedures in verband met intimidatie, het verwerken van interne en externe klachten, het uitvoeren van interne audits en het uitvoeren van onderzoek via de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725 en (IT-)veiligheidsonderzoeken die intern of met externe betrokkenheid (b.v. CERT‐EU) worden behandeld.
In het kader van de operationele activiteiten van het Bureau is dit besluit van toepassing op de verwerkingsactiviteiten van persoonsgegevens teneinde te voldoen aan zijn mandaat, met name de ontvangst van inspectieverslagen op grond van artikel 123 van Uitvoeringsverordening (EU) nr. 404/2011, de artikelen 18, 19 en 20 van Verordening (EU) nr. 1236/2010 en de artikelen 30, 33 en 34 van Verordening (EU) 2019/833, evenals van informatie en gegevens die worden ontvangen van de lidstaten in het kader van de analyse die wordt verstrekt aan de Europese Commissie voor de voorbereiding en uitvoering van missies ter plaatse in derde landen op grond van artikel 20, lid 4, onder c), van Verordening (EG) nr. 1005/2008, zoals uiteengezet in Besluit 2009/988/EU.
De betreffende gegevenscategorieën zijn harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens over een specifieke zaak zoals bewijsvoering, gedragsgegevens, beoordelingen, prestatie- en gedragsgegevens en gegevens met betrekking tot of naar voren gebracht in verband met het onderwerp van de procedure of activiteit).
Waar het Bureau zijn verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, onderzoekt het of een van de in deze verordening vastgestelde uitzonderingen van toepassing is.
Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: informatieverstrekking aan betrokkenen, recht van toegang, rectificatie, wissing, beperking van de verwerking, mededeling van een inbreuk in verband met de persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie.
Artikel 2 Specificatie van de verwerkingsverantwoordelijke en beveiliging
Het Bureau voert de volgende waarborgen in ter voorkoming van misbruik of onbevoegde toegang of overdracht:
papieren documenten worden bewaard in beveiligde kasten en zijn alleen toegankelijk voor bevoegd personeel;
alle elektronische gegevens worden opgeslagen in een beveiligde IT-toepassing volgens de beveiligingsnormen van het Bureau, evenals in specifieke elektronische mappen die alleen toegankelijk zijn voor geautoriseerd personeel. Passende toegangsniveaus worden individueel toegekend;
IT-systemen en databases daarvan beschikken over mechanismen voor de verificatie van de identiteit van de gebruiker via een uniek aanmeldingssysteem en die automatisch verbonden zijn aan de identiteit en het wachtwoord van de gebruiker. Eindgebruikersaccounts zijn uniek, persoonlijk en niet-overdraagbaar; het delen van gebruikersaccounts is strikt verboden. E‐records worden veilig bewaard om de vertrouwelijkheid en privacy van de gegevens te waarborgen;
alle personen die toegang hebben tot de gegevens, zijn gebonden door geheimhoudingsplicht.
De verantwoordelijke voor de verwerking is het Bureau, vertegenwoordigd door zijn uitvoerend directeur, die de functie van de verwerkingsverantwoordelijke kan delegeren. De betrokkenen worden door middel van de op de website en/of het intranet van het Bureau gepubliceerde gegevensbeschermingskennisgevingen, privacyverklaringen of de dossiers in kennis gesteld van de gedelegeerde verantwoordelijke voor de verwerking.
De in artikel 1, lid 3, bedoelde persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend is voor de doeleinden waarvoor de gegevens worden verwerkt. In geen geval worden zij langer bewaard dan de retentieperiode die is aangegeven in de gegevensbeschermingsmededelingen, de privacyverklaringen of de dossiers vermeld in artikel 5, lid 1.
Wanneer het Bureau overweegt een beperking in te stellen, wordt het risico voor de rechten en vrijheden van de betrokkene in het bijzonder afgewogen tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico van teloorgang van het effect van de onderzoeken of procedures van het Bureau, bijvoorbeeld door het vernietigen van bewijsmateriaal. De risico’s voor de rechten en vrijheden van de betrokkene hebben voornamelijk betrekking op, maar zijn niet beperkt tot, reputatieschade en het recht zich te verdedigen en gehoord te worden.
Artikel 3 Beperkingen
Beperkingen worden alleen door het Bureau opgelegd op basis van een of meer van de onder a) tot en met i) van artikel 25, lid 1, van Verordening (EU) 2018/1725 genoemde gronden.
Het Bureau neemt in de gegevensbeschermingsmededelingen, privacyverklaringen of de dossiers in de zin van artikel 31 van Verordening (EU) 2018/1725, die op zijn website en/of op het intranet zijn gepubliceerd, informatie op over hun rechten in het kader van een bepaalde procedure, informatie over de mogelijke beperking van deze rechten. Er wordt aangegeven welke rechten kunnen worden beperkt, de redenen daarvan en de potentiële duur.
Voor de specifieke toepassing van de in lid 1 hiervoor beschreven doelen kan het Bureau in de volgende omstandigheden beperkingen toepassen:
wanneer de uitoefening van deze rechten en verplichtingen wordt beperkt door daartoe bevoegde diensten van de Commissie of andere instellingen, organen en instanties van de Unie op grond van andere handelingen bedoeld in artikel 25 van Verordening (EU) 2018/1725 of overeenkomstig hoofdstuk IX van die verordening of in de oprichtingsakten van andere instellingen, organen en instanties van de Unie wanneer het doel van een dergelijke beperking in gevaar zou komen indien het Bureau niet een soortgelijke beperking zou toepassen met betrekking tot dezelfde persoonsgegevens;
wanneer de uitoefening van die rechten en verplichtingen kan worden beperkt door de bevoegde autoriteiten van de lidstaten op basis van handelingen als bedoeld in artikel 23 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad(8), of krachtens nationale maatregelen ter omzetting van artikel 13, lid 3, artikel 15, lid 3, of artikel 16, lid 3, van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad(9);
wanneer de uitoefening van die rechten en verplichtingen de samenwerking van het Bureau met derde landen of internationale organisaties bij de uitvoering van zijn taken in het gedrang zou brengen, indien er duidelijk bewijs is dat de samenwerking in gevaar zou kunnen komen.
Alvorens beperkingen op te leggen in de situaties als bedoeld in lid 1, onder a) en b), raadpleegt het Bureau de betrokken diensten van de Commissie, instellingen, organen of instanties van de Unie of de bevoegde autoriteiten van de lidstaten, tenzij het voor het Bureau duidelijk is dat een van de in die punten genoemde handelingen de toepassing van een beperking toelaat.
Elke beperking is noodzakelijk en evenredig ten aanzien van de risico’s voor de rechten en vrijheden van betrokkenen, en neemt de essentie van de fundamentele rechten en vrijheden in een democratische samenleving in acht.
Als de toepassing van een beperking wordt overwogen, moet op grond van deze voorschriften een noodzakelijkheids- en evenredigheidstoets worden uitgevoerd. Ieder geval wordt voor verantwoordingsdoeleinden gedocumenteerd in een interne beoordelingsnota.
De aantekening en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming beschikbaar gesteld.
Het Bureau herziet de toepassing van de beperking om de zes maanden vanaf de vaststelling ervan en bij de afsluiting van de enquête, de procedure of het onderzoek in kwestie. In het kader van deze periodieke herziening wordt een noodzakelijkheids- en evenredigheidstoets uitgevoerd om te beoordelen of de feitelijke en juridische redenen voor een beperking nog van toepassing zijn.
Beperkingen worden opgeheven zodra de omstandigheden die deze rechtvaardigen, niet meer van toepassing zijn. Dit geldt in het bijzonder wanneer wordt geoordeeld dat de uitoefening van het beperkte recht niet langer het effect van de opgelegde beperking zou opheffen of de rechten of vrijheden van andere betrokkenen zou schaden.
Artikel 4 Evaluatie door de functionaris voor gegevensbescherming
Het Bureau stelt de functionaris voor gegevensbescherming van het Bureau onverwijld op de hoogte van het feit dat de verwerkingsverantwoordelijke de toepassing van de rechten van de betrokkenen beperkt, of de beperking verlengt in overeenstemming met dit besluit. De verwerkingsverantwoordelijke geeft de functionaris voor gegevensbescherming toegang tot de beoordeling van de noodzaak en evenredigheid van de beperking en legt daarbij ook de datum vast waarop de functionaris voor gegevensbescherming werd geïnformeerd.
De functionaris voor gegevensbescherming kan de verwerkingsverantwoordelijke schriftelijk verzoeken de toepassing van de beperkingen opnieuw te beoordelen. De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming schriftelijk over de uitkomst van de gevraagde beoordeling.
De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming over elke beperking die wordt toegepast op de rechten van de betrokkene en wanneer de beperking is opgeheven.