1.   Enheten eller tjänsten på Europaparlamentet som bestämmer ändamålen pch medlen för behandlingen av personuppgifter agerar som personuppgiftsansvarig med avseende på dessa uppgifter i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725.

2.   När behandlingen överskrider befogenheterna för en enhet eller tjänst i Europaparlamentet ska det behöriga direktoratet vara personuppgiftsansvarig i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725, om inte en överenskommelse om gemensamt personuppgiftsansvar ingås i enlighet med artikel 28 i den förordningen.

3.   När behandlingen överskrider befogenheterna för ett direktorat i Europaparlamentet ska det behöriga generaldirektoratet i Europaparlamentet vara personuppgiftsansvarig i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725, om inte en överenskommelse om gemensamt personuppgiftsansvar ingås i enlighet med artikel 28 i den förordningen.

4.   Om fler än ett av Europaparlamentets generaldirektorat bestämmer ändamålen och medlen för en viss behandling eller om en av de organisatoriska enheter som avses i punkterna 1–3 och minst en annan enhet än unionsinstitutioner och unionsorgan bestämmer ändamålen och medlen för en viss behandling ska de behöriga aktörerna anses vara gemensamt personuppgiftsansvariga i den mening som avses i artikel 28.1 i förordning (EU) 2018/1725.

5.   Europaparlamentet ska anses vara personuppgiftsansvarig vid tillämpningen av artikel 44.3 och 44.6 i förordning (EU) 2018/1725.

6.   Den personuppgiftsansvarige ska ansvara för att säkerställa att behandlingen utförs i enlighet med förordning (EU) 2018/1725 och kunna uppvisa efterlevnad av den förordningen.

Den personuppgiftsansvarige ska särskilt ha ansvaret för att

1.   Generalsekreteraren ska utse dataskyddsombudet bland Europaparlamentets personal i enlighet med artiklarna 43, 44.8 och 44.9 i förordning (EU) 2018/1725. Dataskyddsombudet ska utses i enlighet med det tillämpliga förfarandet enligt tjänsteföreskrifterna (nedan kallat tjänsteföreskrifterna) eller enligt de anställningsvillkor som gäller för övriga anställda i Europeiska unionen (nedan kallat anställningsvillkoren) fastställda i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (2), beroende på vad som är tillämpligt. Dataskyddsombudet ska utses för en period av fem år och får återväljas endast en gång.

2.   För att kunna fullgöra sina uppgifter enligt detta beslut ska dataskyddsombudet befrias från alla andra uppgifter inom Europaparlamentet. Generalsekreteraren får ändå besluta att tilldela dataskyddsombudet specifika ytterligare uppgifter, förutsatt att dessa inte leder till någon intressekonflikt med uppdraget som dataskyddsombud, särskilt när det gäller tillämpningen av bestämmelserna i förordning (EU) 2018/1725.

3.   Dataskyddsombudet ska avstå från alla handlingar som är oförenliga med hans eller hennes tjänsteutövning.

4.   Dataskyddsombudet omfattas av yrkesmässig tystnadsplikt i enlighet med artikel 44.5 i förordning (EU) 2018/1725, även när han eller hon har upphört med sina arbetsuppgifter.

5.   Dataskyddsombudet får endast avsättas i enlighet med artikel 44.3 och 44.8 i förordning (EU) 2018/1725. För att erhålla samtycke från Europeiska datatillsynsmannen för en sådan avsättning i enlighet med artikel 44.8 i förordning (EU) 2018/1725 ska Europeiska datatillsynsmannen konsulteras skriftligen. En kopia av detta samtycke ska skickas till dataskyddsombudet.

6.   Europaparlamentet ska säkerställa att dataskyddsombudet inte tar emot instruktioner avseende utförandet av sina uppgifter, enligt definitionen i artiklarna 44 och 45 i förordning (EU) 2018/1725. I detta avseende ska han eller hon särskilt inte ta emot några instruktioner från generalsekreteraren, inbegripet sådant som gäller hans eller hennes samarbete med Europeiska datatillsynsmannen som krävs i enlighet med förordning (EU) 2018/1725.

7.   Dataskyddsombudet ska rapportera direkt till generalsekreteraren.

1.   Dataskyddsombudet ska säkerställa tillämpningen av förordning (EU) 2018/1725 vid Europaparlamentets generalsekretariat och övervaka efterlevnaden av det gällande regelverket om skydd av personuppgifter. Utan att det påverkar artikel 13 i detta beslut ska dataskyddsombudet i princip inte vara behörigt att övervaka tillämpningen av förordning (EU) 2018/1725 av enskilda Europaparlamentsledamöter eller av Europaparlamentets politiska grupper.

2.   Dataskyddsombudet får konsulteras eller ska ge råd i enlighet med artikel 44.4 och 44.7 och med artikel 45.1 d, e och f i förordning (EU) 2018/1725 och ska utföra alla ytterligare uppgifter som föreskrivs i artikel 45 i den förordningen.

3.   Dataskyddsombudet ska anmäla alla eventuella överträdelser eller allvarliga risker för överträdelser av bestämmelserna i förordning (EU) 2018/1725 till generalsekreteraren.

4.   Dataskyddsombudet ska på begäran lämna ett yttrande till berörd personuppgiftsansvarig om faktisk eller föreslagen behandling och om proportionaliteten och tillräckligheten hos behandlingen av vissa uppgifter eller om säkerhetsåtgärder. Yttrandet kan särskilt behandla frågor som rör analysen av risker för de registrerades rättigheter och friheter.

5.   Europaparlamentets ansvariga tjänst ska konsultera dataskyddsombudet före godkännandet av interna regler som fastställer ramen för behandlingen av personuppgifter.

6.   Dataskyddsombudet ska utföra sina arbetsuppgifter i samarbete med Europeiska datatillsynsmannen. Han eller hon ska vara kontaktpunkten mellan Europaparlamentet och Europeiska datatillsynsmannen och ska informeras om all kommunikation mellan de två institutionerna i frågor som rör hans eller hennes behörighet.

7.   Dataskyddsombudet ska regelbundet delta i möten som sammankallas av Europeiska datatillsynsmannen eller dataskyddsombuden från de andra institutionerna och organen i syfte att möjliggöra ett gott samarbete.

8.   Dataskyddsombudet ska alltid omfattas av reglerna i tjänsteföreskrifterna, eller anställningsvillkoren, beroende på vad som är tillämpligt.

1.   När det sker en personuppgiftsincident ska den personuppgiftsansvarige utan dröjsmål informera dataskyddsombudet om incidenten.

2.   Dataskyddsombudet ska upprätta och underhålla ett centralt register i syfte att dokumentera dessa anmälda personuppgiftsincidenter, i enlighet med artikel 34.6 i förordning (EU) 2018/1725. Den personuppgiftsansvarige som hanterar incidenten ska registrera den information som begärs enligt den artikeln.

3.   Dataskyddsombudet ska anordna regelbundna möten med Europaparlamentets säkerhetsansvariga för informationssystemen och riskhanterare, för att säkerställa efterlevnad av artiklarna 33–36 i förordning (EU) 2018/1725. Datasskyddsombudet får vid behov bjuda in ytterligare deltagare.

4.   Dataskyddsombudet ska med utgångspunkt i resultaten av de möten som avses i punkt 3 göra följande:

1.   Dataskyddsombudet ska omedelbart informeras av den personuppgiftsansvarige om upprättandet av ett nytt administrativt förfarande eller om modifiering av ett befintligt administrativt förfarande som påverkar behandlingarna av personuppgifter.

2.   Dataskyddsombudet ska när som helst ges tillgång till personuppgifter som behandlas, till installationer för databehandling och till databärare.

1.   För nya eller modifierade administrativa förfaranden, tekniska eller organisatoriska åtgärder som omfattar behandling av personuppgifter ska dataskyddsombudet, på begäran eller eget initiativ, lämna information och bistå den personuppgiftsansvarige i bedömningen av riskerna för de registrerades rättigheter och friheter.

2.   Dataskyddsombudet ska, efter genomförandet av den nämnda riskbedömningen, ge den personuppgiftsansvarige råd om huruvida det är nödvändigt att genomföra en konsekvensanalys för dataskydd.

1.   Dataskyddsombudet ska ge den personuppgiftsansvarige råd i analysen av tekniska och organisatoriska lösningar för att genomföra behandlingar.

2.   Dataskyddsombudet får ge generalsekreteraren rekommendationer om tekniska eller organisatoriska åtgärder för att genomföra artikel 27 i förordning (EU) 2018/1725, om han eller hon drar slutsatsen på grundval av en bedömning att en behandling inte garanterar fullständig efterlevnad av den artikeln.

1.   Dataskyddsombudet ska på begäran lämna ett yttrande till den personuppgiftsansvarige om fastställandet av de relevanta ansvarsområdena i samband med ett arrangemang mellan de gemensamt personuppgiftsansvariga i enlighet med artikel 28.1 i förordning (EU) 2018/1725.

2.   Dataskyddsombudet får på begäran lämna ett yttrande till den personuppgiftsansvarige avseende de lämpliga tekniska och organisatoriska åtgärder som ska garanteras av personuppgiftsbiträdet eller av det andra personuppgiftsbiträdet enligt artikel 29.1 och 29.2 i förordning (EU) 2018/1725.

1.   Med avvikelse från artikel 4.1 i detta beslut får Europaparlamentets ledamöter och politiska grupper begära råd från dataskyddsombudet i frågor som rör tillämpningen av förordning (EU) 2018/1725. Utan att det påverkar det egna ansvar som Europaparlamentets ledamöter och politiska grupper har att tillämpa förordning (EU) 2018/1725 som personuppgiftsansvariga i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725 får dataskyddsombudet på begäran av en ledamot av Europaparlamentet eller en politisk grupp i Europaparlamentet erbjuda sina råd genom tillämpning av de relevanta bestämmelserna i detta beslut efter vederbörliga ändringar.

2.   Dataskyddsombudet ska från fall till fall avtala om detaljerade arrangemang för hur det bistånd som anges i punkt 1 ska lämnas, i överensstämmelse med detta beslut. Fullgörandet av denna rådgivande funktion får inte stå i strid med dataskyddsombudets övriga uppgifter.

1.   Generalsekreteraren får utse personalmedlemmar till dataskyddstjänsten för att bistå dataskyddsombudet i fullgörandet av hans eller hennes funktioner.

2.   Personalmedlemmar som utses i enlighet med punkt 1 får företräda dataskyddsombudet i hans eller hennes frånvaro. I detta syfte får dataskyddsombudet utfärda interna delegeringar av befogenheter när det gäller specifika medlemmar i hans eller hennes personal. Europeiska datatillsynsmannen och generalsekreteraren ska informeras genom en kopia av denna delegering av befogenheter.

1.   Ett nätverk för dataskyddssamordnare som består av minst en ledamot från varje generaldirektorat, en person som företräder samordningen mellan de politiska grupperna och dataskyddsombudet ska inrättas i Europaparlamentet.

2.   Generalsekreteraren får precisera de detaljerade arrangemangen för dataskyddssamordnarnas utnämning, skyldigheter och uppgifter.

3.   Dataskyddsombudet ska regelbundet anordna möten med dataskyddssamordnarna.

1.   Rätten till information, rätten till tillgång, rätten till rättelse, rätten till radering, rätten till begränsning av behandling, rätten som rör underrättande av mottagare, rätten till dataportabilitet, rätten att göra invändningar och rättigheterna som rör automatiserat beslutsfattande inklusive profilering, som föreskrivs i artiklarna 14–24 i förordning (EU) 2018/1725, kan endast utövas av den registrerade eller hans eller hennes vederbörligen auktoriserade företrädare.

2.   Den registrerade ska rikta sin begäran om utövandet av sina rättigheter enligt punkt 1 till den personuppgiftsansvarige. En icke-obligatorisk mall för detta ska vara tillgänglig i elektronisk form på Europaparlamentets webbplats. Begäran ska innehålla följande:

3.   Begäran får lämnas in med intern eller extern post eller via e-post eller annan skriftlig metod.

4.   Den personuppgiftsansvarige ska begära nödvändiga klargörandena vid otydliga eller ofullständiga begäranden. Den tillämpliga tidsfristen enligt artikel 14.3 och 14.4 i förordning (EU) 2018/1725 ska inte börja löpa förrän dessa frågor har blivit slutgiltigt lösta.

5.   Den personuppgiftsansvarige ska bekräfta den sökandes identitet i enlighet med artikel 14.6 i förordning (EU) 2018/1725. Den registrerades identitet ska bekräftas på ett sätt som är så lite inkräktande som möjligt. Den tillämpliga tidsfristen enligt artikel 14.3 och 14.4 i förordning (EU) 2018/1725 ska inte börja löpa under den period då identiteten håller på att bekräftas.

6.   Den personuppgiftsansvarige ska besvara alla begäranden från registrerade om utövandet av deras rättigheter, även i fall då Europaparlamentet inte innehar några relevanta personuppgifter. Ett mottagningsbevis ska skickas till den registrerade inom fem arbetsdagar från det att begäran mottogs. Den personuppgiftsansvarige behöver dock inte skicka något mottagningsbevis om det inom fem arbetsdagar lämnas ett utförligt svar på begäran.

7.   Svaret ska skickas till den registrerade, inom de tidsfrister som föreskrivs i artikel 14.3 och 14.4 i förordning (EU) 2018/1725, genom samma skriftliga kommunikationsmetod och på samma officiella unionsspråk som det som användes av den registrerade, om inte annat begärs av denne.

8.   När en begäran enligt artikel 14 i förordning (EU) 2018/1725 behandlas ska den personuppgiftsansvarige beakta ett eventuellt behov av att tillämpa ett undantag, en avvikelse eller en begränsning enligt kapitel V i detta beslut.

9.   I händelse av en mycket komplex begäran, eller om behandlingen av en begäran sannolikt kommer att äventyra andra registrerades rättigheter och friheter, ska den personuppgiftsansvarige samråda med dataskyddsombudet.

1.   I enlighet med artikel 14 i förordning (EU) 2018/1725 ska den personuppgiftsansvarige tillhandahålla den information som avses i artiklarna 15 och 16 i den förordningen, även när det finns en avsikt att behandla den ytterligare, i generaliserad form på internet eller intranätet.

2.   Om det är möjligt, och utan att det påverkar alternativa kommunikationsmetoder enligt artikel 14.1 och 14.7 i förordning (EU) 2018/1725, ska den information som avses i artiklarna 15 och 16 i den förordningen lämnas till de berörda registrerade på ett individualiserat sätt, antingen skriftligen eller på elektronisk väg.

1.   Utan att det påverkar tillämpningen av punkt 2, ska de relevanta uppgifterna, när den registrerade begär tillgång till sina personuppgifter, hämtas av den personuppgiftsansvarige från den plats där de lagras, inbegripet elektroniska handlingar eller pappershandlingar, och göras tillgängliga för den registrerade med någon av följande metoder:

2.   I enlighet med artikel 17.3 i förordning (EU) 2018/1725 ska informationen, om den registrerade begär tillgång med elektronisk metod, och om inte annat begärs, lämnas av den personuppgiftsansvarige i ett vanligt förekommande elektroniskt format.

1.   I begäran om rättelse ska det preciseras vilka personuppgifter som ska rättas eller kompletteras, på vilket sätt de är felaktiga eller ofullständiga samt på vilket sätt de ska korrigeras. Begäran kan vid behov åtföljas av handlingar som styrker uppgifterna.

2.   Den registrerade ska underrättas om att rättelsen har genomförts. Om begäran avslås ska den personuppgiftsansvarige underrätta den registrerade skriftligen om skälen till detta.

1.   I begäran om radering ska det preciseras vilka personuppgifter som ska raderas, och skälen till radering i den mening som avses i artikel 19.1 i förordning (EU) 2018/1725 ska anges.

2.   Den registrerade ska underrättas om att raderingen har genomförts. Om begäran avslås ska den personuppgiftsansvarige underrätta den registrerade skriftligen om skälen till detta.

3.   Radering innebär att personuppgifterna försvinner fysiskt utan att de ersätts av en kod.

1.   I begäran om begränsning av behandling ska de berörda personuppgifterna preciseras, och skälen till begränsningen av behandling enligt artikel 20.1 i förordning (EU) 2018/1725 ska anges.

2.   Den registrerade ska underrättas om att behandlingen faktiskt har begränsats. Om begäran avslås ska den personuppgiftsansvarige underrätta den registrerade skriftligen om skälen till detta.

1.   Efter slutförandet av ett av de förfaranden som föreskrivs i artiklarna 19–21 i detta beslut ska den personuppgiftsansvarige utan dröjsmål inleda förfarandet enligt artikel 21 i förordning (EU) 2018/1725.

2.   Om underrättandet av mottagare visar sig omöjligt eller inbegriper en oproportionerligt stor arbetsinsats ska den personuppgiftsansvarige underrätta den registrerade skriftligen om skälen till detta.

1.   I begäranden enligt artikel 22 i förordning (EU) 2018/1725 ska det preciseras vilka personuppgifter som berörs.

2.   Om begäran avslås ska den personuppgiftsansvarige underrätta den registrerade skriftligen om skälen till detta.

1.   I en invändning ska de berörda personuppgifterna preciseras liksom skälen när det gäller den personliga situation som motiverar invändningen.

2.   Om invändningen avslås ska den personuppgiftsansvarige underrätta den registrerade skriftligen om skälen till detta.

1.   Innan en begränsning enligt avsnitt 2 i detta kapitel tillämpas ska den personuppgiftsansvarige överväga om någon av de avvikelser som föreskrivs i förordning (EU) 2018/1725 är tillämpliga, särskilt enligt artiklarna 15.4, 16.5, 19.3 och 35.3 i den förordningen.

2.   För behandling i arkiveringssyfte i allmänhetens intresse samt för behandling i vetenskapligt eller historiskt forskningssyfte eller statistiska syften ska den personuppgiftsansvarige överväga om avvikelserna enligt artiklarna 16.5 b och 19.3 d i förordning (EU) 2018/1725 är tillämpliga.

1.   För behandling i arkiveringssyfte i allmänhetens intresse kan den personuppgiftsansvarige tillämpa undantag i enlighet med artikel 25.4 i förordning (EU) 2018/1725. I detta syfte får den personuppgiftsansvarige göra undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 i förordning (EU) 2018/1725 i enlighet med de villkor som föreskrivs i artikel 25.4 i den förordningen.

2.   För behandling i vetenskapligt eller historiskt forskningssyfte eller statistiskt syfte kan den personuppgiftsansvarige tillämpa undantag i enlighet med artikel 25.3 i förordning (EU) 2018/1725. I detta syfte får den personuppgiftsansvarige göra undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 i förordning (EU) 2018/1725 i enlighet med de villkor som föreskrivs i artikel 25.3 i denna förordning.

3.   Sådana undantag ska vara föremål för lämpliga skyddsåtgärder i enlighet med artikel 13 i förordning (EU) 2018/1725 och artikel 28.1 och 28.2 i detta beslut. Tekniska och organisatoriska åtgärder ska finnas på plats i enlighet med artikel 2.6 a och artikel 10 i detta beslut, särskilt för att säkerställa respekten för dataminimering och i förekommande fall pseudonymisering.

1.   I detta avsnitt föreskrivs de allmänna villkor på vilka den personuppgiftsansvarige får begränsa tillämpningen av artiklarna 14–21, 35 och 36 i förordning (EU) 2018/1725 samt dess artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som avses i artiklarna 14–21 i den förordningen, i enlighet med artikel 25 i förordningen.

De allmänna villkor som anges i första stycket ska kompletteras av bestämmelserna i bilagorna till detta beslut, som preciserar villkoren för att Europaparlamentet kan få begränsa de registrerades rättigheter i var och en av dess aktiviteter och förfaranden där personuppgifter behandlas och begränsningar kan bli nödvändiga.

2.   Detta avsnitt är tillämpligt på behandling av personuppgifter för de aktiviteter och förfaranden som utförs av Europaparlamentet, i enlighet med bilagorna till detta beslut.

3.   För varje behandling och begränsning ska en behörig personuppgiftsansvarig fastställas i enlighet med artikel 2 i detta beslut.

1.   Personuppgifter som berörs av en begränsning ska lagras i en säker fysisk och/eller elektronisk miljö för att förhindra olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av dem.

2.   Efter behandlingen ska de handlingar som innehåller personuppgifterna bevaras i enlighet med Europaparlamentets tillämpliga regler (3).

3.   Innan någon begränsning tillämpas ska en bedömning av huruvida begränsningen är nödvändig och proportionerlig och av riskerna för de registrerade göras i enlighet med artikel 35 i detta beslut.

1.   Med förehåll för artiklarna 30–36 och specifikationerna i de tillämpliga bilagorna till detta beslut får den personuppgiftsansvarige tillämpa begränsningar med avseende på de av den registrerades rättigheter som uttryckligen nämns i de tillämpliga bilagorna, när utövandet av dessa rättigheter skulle äventyra syftet med någon av de aktiviteter eller något av de förfaranden som föreskrivs i dessa bilagor.

2.   Den personuppgiftsansvarige ska notera och registrera skälen till begränsningarna i enlighet med artikel 35 i detta beslut.

1.   Europaparlamentet ska på sin webbplats offentliggöra dataskyddsmeddelanden som informerar alla registrerade om dess aktiviteter som omfattar behandling av deras personuppgifter och en potentiell begränsning av deras rättigheter i detta sammanhang. Informationen ska precisera de rättigheter som kan begränsas samt skälen till sådana begränsningar, begränsningarnas potentiella varaktighet och möjliga rättsmedel.

2.   Om så är möjligt ska den personuppgiftsansvarige, utan onödigt dröjsmål och i den form som är lämpligast, direkt informera varje registrerad person om hans eller hennes rättigheter när det gäller sådana begränsningar, som ska fastställas från fall till fall. Informationen ska precisera de rättigheter som kan begränsas samt skälen till sådana begränsningar, begränsningarnas potentiella varaktighet och möjliga rättsmedel.

1.   Om den personuppgiftsansvarige begränsar den rätt till information som avses i artiklarna 15 och 16 i förordning (EU) 2018/1725, ska de registrerade informeras i enlighet med artikel 25.6 i den förordningen om de huvudsakliga skälen till begränsningen och om att de har rätt att lämna in ett klagomål till Europeiska datatillsynsmannen.

2.   Sådant tillhandahållande av information får dock skjutas upp, utelämnas eller nekas, i enlighet med artikel 25.8 i förordning (EU) 2018/1725, så länge det skulle upphäva verkan av begränsningen.

3.   Om den personuppgiftsansvarige, helt eller delvis, skjuter upp, utelämnar eller nekar tillhandahållandet av information till registrerade i den mening som avses i punkt 2 i den här artikeln, ska den personuppgiftsansvarige notera och registrera skälen till detta i enlighet med artikel 35 i detta beslut.

1.   När den personuppgiftsansvarige helt eller delvis begränsar rätten till tillgång för registrerade, rätten till rättelse, rätten till radering eller rätten till begränsning av behandling enligt artiklarna 17, 18, 19 respektive 20 i förordning (EU) 2018/1725, samt anmälningsskyldigheten enligt artikel 21 i den förordningen, ska denne informera den berörda registrerade, i sitt svar på begäran om tillgång, rättelse, radering eller begränsning av behandling, om den begränsning som har tillämpats och om huvudskälen till begränsningen och möjligheten att inge ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

2.   Det tillhandahållande av information om skälen till begränsning som avses i punkt 1 får skjutas upp, utelämnas eller nekas så länge det skulle upphäva verkan av begränsningen.

3.   Den personuppgiftsansvarige ska notera skälen till uppskjutandet, utelämnandet eller nekandet i enlighet med artikel 35 i detta beslut.

4.   Om rätten till tillgång helt eller delvis begränsas och den registrerade har utövat sin rätt att inge ett klagomål till Europeiska datatillsynsmannen, ska den registrerade, och endast han eller hon, informeras av Europeiska datatillsynsmannen om huruvida uppgifterna har behandlats på rätt sätt och, om så inte är fallet, om några korrigeringar har gjorts i enlighet med artikel 25.7 i förordning (EU) 2018/1725.

1.   Innan den personuppgiftsansvarige tillämpar någon viss begränsning ska han eller hon bedöma huruvida begränsningen är nödvändig och proportionerlig, med beaktande av relevanta delar av artikel 25.2 i förordning (EU) 2018/1725. Bedömningen ska även inbegripa en bedömning av riskerna för de berörda registrerades rättigheter och friheter, särskilt risken att deras personuppgifter kan komma att behandlas vidare utan deras kännedom samt att de kan förhindras att utöva sina rättigheter i enlighet med förordning (EU) 2018/1725. Detta ska dokumenteras genom en intern bedömningsnotering och genomföras från fall till fall.

2.   Den personuppgiftsansvarige ska notera skälen till alla begränsningar som tillämpas enligt detta beslut, inklusive den bedömning som utförs enligt punkt 1.

I detta syfte ska det anges hur utövandet av den registrerades rättigheter skulle äventyra syftet med någon av de aktiviteter eller något av de förfaranden som Europaparlamentet utför, enligt vad som anges i bilagorna till detta beslut.

3.   När den personuppgiftsansvarige enligt artikel 25.8 i förordning (EU) 2018/1725 skjuter upp, utelämnar eller nekar tillhandahållande av information till en registrerad om tillämpningen av en begränsning ska den personuppgiftsansvarige i tillämpliga fall även notera skälen till detta.

4.   Noteringen och, i tillämpliga fall, de handlingar som innehåller underliggande faktiska och rättsliga omständigheter ska lagras i ett centralt register. De ska på begäran göras tillgängliga för Europeiska datatillsynsmannen.

1.   De begränsningar som avses i artiklarna 29 och 31–34 i detta beslut, jämförda med tillämpliga bilagorna till detta beslut, ska gälla så länge de skäl som motiverar dem är tillämpliga.

2.   Om skälen till en begränsning som avses i artiklarna 29 och 31–34 i detta beslut, jämförda med tillämpliga bilagor till detta beslut, inte längre föreligger ska den personuppgiftsansvarige avlägsna begränsningen. Samtidigt ska den personuppgiftsansvarige uppge huvudskälen till begränsningen för den registrerade och informera den registrerade om möjligheten att när som helst lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

3.   Den personuppgiftsansvarige ska granska tillämpningen av begränsningar som avses i artiklarna 29 och 31–34 i detta beslut, jämförda med tillämpliga bilagor till detta beslut, var sjätte månad från dess antagande och vid avslutningen av det relevanta förfarandet. För de aktiviteter och förfaranden som föreskrivs i bilagorna I, II, V, VI, VII, VIII, IX och X till detta beslut ska den personuppgiftsansvarige därefter årligen övervaka behovet av att bibehålla en begränsning.

1.   Dataskyddsombudet ska informeras, utan onödigt dröjsmål, när registrerades rättigheter begränsas i enlighet med detta beslut.

Dataskyddsombudet ska på begäran ges tillgång till noteringarna och eventuella handlingar med underliggande faktiska och rättsliga omständigheter.

2.   Dataskyddsombudet får begära att den personuppgiftsansvarige ska se över begränsningarna. Dataskyddsombudet ska informeras skriftligen om resultatet av den begärda översynen.

3.   Allt informationsutbyte med dataskyddsombudet genom hela förfarandet i enlighet med punkterna 1 och 2 ska noteras i lämplig form.

1.   All personal vid Europaparlamentet kan framföra klagomål till Europeiska datatillsynsmannen enligt artikel 68 i förordning (EU) 2018/1725. Att ett sådant klagomål framförs innebär inte att tidsfristen för att framföra klagomål i enlighet med artikel 90 i tjänsteföreskrifterna skjuts upp.

2.   Oberoende av den rättighet som avses i punkt 1 kan alla personalmedlemmar vid Europaparlamentet lämna in ett klagomål till tillsättningsmyndigheten enligt artikel 90 i tjänsteföreskrifterna om frågor som rör behandlingen av personuppgifter. I klagomålet ska personalmedlemmen ange huruvida ett klagomål till Europeiska datatillsynsmannen har lämnats in parallellt med klagomålet enligt tjänsteföreskrifterna.

Vid klagomål enligt artikel 90.2 i tjänsteföreskrifterna ska dataskyddsombudet rådfrågas av Europaparlamentets behöriga avdelningar.

1.   Genomförandebestämmelserna för Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter, som fastställdes genom presidiets beslut av den 22 juni 2005 (4), upphävs med verkan från dagen för detta besluts ikraftträdande.

2.   Beslutet av Europaparlamentets presidium av den 3 april 2019 om genomföranderegler om begränsning av vissa rättigheter för registrerade vid överföring av personuppgifter från Europaparlamentet till nationella myndigheter i samband med straffrättsliga eller ekonomiska utredningar (5) upphävs med verkan från dagen för detta besluts ikraftträdande.