Investigative function - OLAF
Opinion of 19 July 2007 on a notification for prior checking on regular monitoring of the implementation of the investigative function (Case 2007-73)
Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 19 July 2007 on a notification for prior checking on regular monitoring of the implementation of the investigative function (Case 2007-73)
Opinion of 18 July 2007 on a notification for prior checking on silent monitoring (Case 2007-128)
Therefore, the purposes of the processing operations referred to in the present notification for prior check, are to assess the quality of the service provided by the Switchboard and by the Information Centre as follows:
The EDPS has issued an opinion on this procedure which concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However, the EDPS did make some recommendations mainly as concerns avoidance of the use of Article 5(c) of the Regulation as the basis for lawfulness regarding the processing operation conducted vis-à-vis the Switchboard. On the contrary, Article 5(a) of the Regulation has to be used in this regard. Furthermore, a method to guarantee the accuracy of the data should be found. This could be done either by recording the monitored calls or by sharing with the data subject the results of the monitoring in an immediate manner (e.g. after each day of the monitoring exercise), in such a way that the results are documented and discussed as soon as possible after the listening.
Opinion of 16 July 2007 on the notification for prior checking regarding the "Early Warning System (EWS)" dossier (Case 2007-147)
The main recommendations made by the EDPS in his opinion on the Parliament's EWS concern data quality, the setting up of personal files for all persons with whom the Parliament has contractual relationships, so that data on them can be kept up to date, rights of access and rectification, and informing the data subjects.
Opinion of 11 July 2007 on a notification for prior checking on monitoring cases (Case 2006-548)
The EDPS has issued an opinion on the processing of personal data in the context of OLAF's Monitoring cases. The Opinion concludes that on a general basis the data processing complies with the principles established in the data protection Regulation. However the EDPS did make some recommendations. Among others, the EDPS asked OLAF to ensure that individuals whose data are processed by OLAF are informed of the data processing that takes place in the context of Monitoring cases. It also suggested some amendments to the privacy statement and asked OLAF to conduct a preliminary evaluation of the necessity of the 20 years conservation period vis-à-vis the purpose of such conservation.
Opinion of 10 July 2007 on a notification for prior checking related to management of the sickness insurance scheme (Case 2004-238)
The EDPS has issued an opinion on the management of the scheme which concludes that on a general basis the scheme complies with the principles established in the data protection regulation. However the EDPS did make some recommendations mainly as concerns raising awareness among non-medical PMO.3 staff regarding medical secrecy, the need to reassess the conservation period for data related to medical conditions and suggested some changes in the privacy policy. The EDPS further suggested limiting the transfer of information to the Management of Committee in the context of the appeals ex Article 90 of the Staff Regulations. In particular, the EDPS recommended removing identification information as it is unnecessary in order for the Committee to provide its reports.