Radiation exposure - Commission
Opinion of 5 November 2008 on the notification for prior checking regarding occupational radiation exposure data (Case 2007-0383)
Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 5 November 2008 on the notification for prior checking regarding occupational radiation exposure data (Case 2007-0383)
Opinion of 3 November 2008 on the notification for prior checking on "Traffic violations with official vehicles of the Commission managed by the Infrastructure and Logistics Office - Brussels (OIB)" (Case 2008-395)
Within the European Commission, the Mobility and Supplies Unit, which is responsible for managing the car pool, deals with offences against the highway code committed by the drivers of official Commission vehicles managed by the OIB. The purposes of the processing operation are to examine whether, when traffic violations are committed by the drivers of official Commission vehicles, the immunity granted by the Protocol on Privileges and Immunities can be invoked, and to provide administration and follow-up.
The proposed data processing operation complies with Regulation (CE) No 45/2001, if the Commission:
Opinion of 22 October 2008 on the notification for prior checking regarding quality checks (Case 2008-437)
This prior checking notification followed upon staff complaints and was only submitted to the EPPS upon his specific request. It concerns a system of internal quality checks during which (i) the work products of OHIM's trademark examiners are reviewed and (ii) the results are reported in a database created for this purpose. The primary purpose of these systematic checks is to improve the overall quality of OHIM's work products. However, the results of the quality checks (i) are also used to evaluate the quality of work of each examiner and (ii) inform management decisions regarding measures that may individually affect the examiners, such as performance appraisals, promotion, contract renewals, disciplinary measures, or training.
The EDPS recommended the adoption of a clear and formal internal decision to strengthen the legal basis of the operation and provide much needed clarity and certainty to staff members. This decision should clearly describe the system of the ex-ante quality checks, including their intended purpose, and provide for appropriate data protection safeguards, as recommended in the Opinion. Instead of fragmental email-communications, the EDPS also urged OHIM to adopt a formal data protection notice and make it available permanently on OHIM's intranet site. In addition, the EDPS emphasised that all possible efforts should be made to improve the level of accuracy, reliability, and consistency of the data. In any event, data included in the database should only be used as one of several factors to be considered in the decision-making process. Whenever data stored in the database are used for purposes which may individually affect staff members, they must also be heard and be given the opportunity to put forward their positions.
Opinion of 22 October 2008 on the notification for prior checking regarding eHEST training (Computer based Hostile Environment Security Training) (Case 2008-387)
The EDPS has issued an opinion relating to the processing of personal data in the context of the eHEST training. The EDPS concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However the EDPS did make some recommendations as concerns the conservation of data and the information of the data subjects.
Opinion of 21 October 2008 on the selection of European Data Protection Supervisor and Assistant Supervisor (Cases 2008-280 and 2008-292)
In accordance with Article 42(1) of Regulation (EC) 45/2001 of the European Parliament and of the Council on the protection of personal data by Community institutions and bodies and on the free movement of such data, the European Parliament and the Council shall appoint by common accord, the EDPS for a term of five years on the basis of a list drawn up by the Commission following a public call for candidates. An Assistant Supervisor shall be appointed in accordance with the same procedure and for the same period.
The prior check opinion of the EDPS focused on the selection procedure of the EDPS and Assistant EDPS at the European Parliament and Council following the transmission of the shortlist of candidates by the European Commission.
The EDPS concluded that there is no reason to believe that there is a breach of the provisions of Regulation 45/2001 provided that information is provided to the candidates notably on the identity of the controller at the European Parliament and at the Council; on the categories of data processed; on the recipients or categories of recipients; on the existence of a right of access and of rectification for the data processed by the European Parliament or the Council and the possible restrictions to these rights and the conservation periods in each institution.