Certification procedure - Ombudsman
Opinion of 24 October 2007 on the notification for prior checking regarding the certification procedure (Case 2007-414)
Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 24 October 2007 on the notification for prior checking regarding the certification procedure (Case 2007-414)
Opinion of 19 October 2007 on a notification for prior checking on mutual assistance exchanges (Case 2007-202)
Opinion of 19 October 2007 on a notification for prior checking on mutual assistance exchanges (Case 2007-202)
After examining the details of the processing operation, the EDPS made several recommendations, which concern, among others, the data quality principle, transfers of personal data, right of access and rectification and the restriction of those rights and the information that should be supplied to data subjects.
Opinion of 19 October 2007 on a notification for prior checking on the implementation of flexitime specific to DG INFSO (Case 2007-218)
In his conclusions, the EDPS required several modifications of the planned system regarding security aspects by introducing an interim solution, as well as concerning the drafting of the privacy statement, some organisational measures and the data subjects concerned.
Opinion of 17 October 2007 on a notification for prior checking concerning the "Financial Irregularities Panel" (Case 2007-433)
The processing operation is designed to enable the Financial Irregularities Panel to give an opinion evaluating whether a financial irregularity has occurred, and if so, how serious it is and what role was played by the persons involved in the events on which its opinion is sought and, where appropriate, what its consequences might be.
The EDPS considers that the proposed processing does not appear to be in breach of the provisions of Regulation (EC) No 45/2001 provided that it must be ensured that the data collected are relevant and adequate for the purpose of the referral to the Panel; that provision must be made to state that, if processing for historical, statistical or scientific use is envisaged in the future, the Panel will ensure that the data are rendered anonymous in compliance with Article 4(1)(e); and that the information notice available on the Intranet contains a clear reference to Article 11(d) (whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply).