Advies van het Gemeenschappelijk Controleorgaan van Europol

Transcriptie

1 EUROPOL JOINT SUPERVISORY BODY Advies van het Gemeenschappelijk Controleorgaan van Europol (Advies 10/60) betreffende de kennisgeving van Europol inzake een verwerking: Procedure voor aanwerving en selectie Het Gemeenschappelijk Controleorgaan van Europol heeft de kennisgeving inzake de procedure voor aanwerving en selectie beoordeeld, die Europol voor verificatie vooraf aan het orgaan toezond overeenkomstig artikel 28 en 30 van het besluit van de directeur inzake implementatie van de beginselen van Verordening (EG) 45/2001. Opmerkingen en aanbevelingen van het Gemeenschappelijk Controleorgaan betreffende deze kennisgeving worden opgesomd in volgorde van de desbetreffende punten van de kennisgeving. 1. Punt 8 Hier is vermeld dat geen persoonlijke gegevens betreffende gezondheid en inzake verdenkingen, strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen worden verwerkt. In de Richtsnoeren voor aanwerving van sollicitanten van Europol 1 staat echter vermeld dat een aangeboden dienstverband afhankelijk is van een medisch onderzoek van de kandidaat door een medische dienstverlener van Europol voorafgaande aan zijn aantreden in de betreffende functie. Indien kandidaten (behoudens diegenen die al een overeenkomst zijn aangegaan) een medisch onderzoek ondergaan, dient de verwerking ervan in deze kennisgeving te worden behandeld. In de Richtsnoeren voor aanwerving van sollicitanten van Europol staat tevens vermeld dat geslaagde kandidaten een verklaring van goed gedrag uit hun land van herkomst moeten aanvragen op het moment dat hun een dienstverband wordt aangeboden. Indien de kandidaten (uitgezonderd diegenen die al een overeenkomst zijn aangegaan) deze verklaring aan Europol moeten overleggen, dient de verwerking ervan in deze kennisgeving te worden behandeld. 1 Richtsnoeren voor aanwerving van sollicitanten van Europol 24 september 2010,

2 Aanbeveling Geef in punt 8 van de kennisgeving nauwgezet weer welke persoonlijke gegevens worden verwerkt; breng zo nodig dit punt in overeenstemming met bovenstaand commentaar. 2. Punten 10 en 13 Punt 10: Toestemming wordt als rechtsgrondslag genoemd. Diverse andere rechtsgrondslagen (besluiten van de Raad van bestuur) worden vermeld als zijnde in afwachting van goedkeuring. Onder het besluit van Europol tot implementatie van Verordening 45 valt toestemming aan haar beginselen betreffende de toelaatbaarheid van gegevensverwerking. Het definieert toestemming als 'een vrijwillig gegeven specifieke en weloverwogen blijk van zijn of haar wensen...' en vermeldt dat deze ondubbelzinnig moet zijn gegeven. Hoewel het gebruik van toestemming als rechtsgrondslag op zich geen probleem vormt, bevat het sollicitatieformulier van Europol geen informatie over het doel waarvoor de diverse gegevens zullen worden gebruikt, noch door wie, voor hoe lang enz., zodat het moeilijk te beoordelen is hoe de regels rond toestemming worden nageleefd. Punt 13: Vermeld wordt dat in de Richtsnoeren voor aanwerving van sollicitanten van Europol en het sollicitatieformulier 'de grondbeginselen inzake gegevensbescherming in verband met de procedure voor aanwerving en selectie' zijn opgenomen. Het sollicitatieformulier 2 bevat geen informatie over gegevensbescherming; geen privacyverklaring. Het hoofdstuk gegevensbescherming in de huidige Richtsnoeren voor aanwerving van sollicitanten van Europol is aanmerkelijk verbeterd ten opzichte van de eerdere versie (april 2010). De term 'toepasselijke regels voor gegevensbescherming' wordt echter gebruikt wanneer wordt verwezen naar de rechtsgrondslag voor verwerking. Aanbevelingen In het sollicitatieformulier dient een privacyverklaring te zijn opgenomen. Momenteel staat er, direct boven de ruimte voor de handtekening: 'Ik heb de richtsnoeren voor aanwerving gelezen, begrepen en daarmee ingestemd'. Deze verklaring staat in een lijst met andere verklaringen. Gezien de aard van de verzamelde gegevens dient de privacyinformatie in het sollicitatieformulier zelf te zijn opgenomen, en is de verkregen toestemming op basis van de aanname dat betrokkene inderdaad de moeite heeft genomen om de richtsnoeren door te lezen, nogal zwak. Er kan een korte, duidelijke verklaring inzake gegevensbescherming worden opgenomen met daarin de essentiële informatie, die betrokkene verwijst naar meer gedetailleerde informatie in de richtsnoeren / op de website, voor het geval hij deze wenst te raadplegen. 2 EDOC # Europol Sollicitatieformulier

3 Verwijs in de Richtsnoeren voor aanwerving van sollicitanten van Europol liever naar de rechtsgrondslagen met de specifieke titel dan met een algemene benaming. Zorg dat de in punt 10 vermelde rechtsgrondslagen die in afwachting van goedkeuring zijn, nu worden goedgekeurd. Aanbeveling inzake goede praktijken Het zou nuttig zijn om in de Richtsnoeren voor aanwerving van sollicitanten van Europol een link naar het Gemeenschappelijk Controleorgaan op te nemen ten behoeve van kandidaten die met ons in contact willen treden. 3. Punt 14 In het sollicitatieformulier wordt gevraagd naar informatie over familieleden die bij Europol werkzaam zijn (naam, familiebetrekking en functie). Deze gegevensverzameling wordt niet in de kennisgeving vermeld. Aanbeveling: Vermeld in punt 14 alle categorieën gegevens die worden bewaard. 4. Punt 18 Vermeld wordt dat de gegevens van niet-aangenomen sollicitanten maximaal twee jaar worden bewaard en dat documenten met eindvoorstellen na twee jaar voor statistische doeleinden anoniem worden gemaakt. Aanbevelingen Het is raadzaam om onderscheid te maken tussen aangenomen sollicitanten, nietaangenomen sollicitanten en niet-aangenomen sollicitanten van wie de naam op een reservelijst is geplaatst en om voor elke groep regels voor gegevensretentie vast te stellen, rekening houdend met de vereisten voor evaluatie/controle. Bijvoorbeeld: Aangenomen sollicitanten: De Europese Toezichthouder voor gegevensbescherming 3 acht een bewaartermijn van tien jaar na beëindiging van het dienstverband/na de laatste pensioenbetaling redelijk; het GCO onderschrijft deze mening. 3 Zie hoofdstuk 4 van de Richtsnoeren inzake verwerkingen op het gebied van personeelsaanwerving van de EDPS 3

4 Niet-aangenomen sollicitanten: Uiteraard dient te worden gelet op de termijnen die gelden voor een mogelijke herziening van besluiten die tijdens de selectieprocedure zijn genomen (bij voorbeeld, indien een klacht wordt ingediend bij het Gerecht voor ambtenarenzaken of de Europese Ombudsman). Aangezien een klacht bij de Europese Ombudsman kan worden ingediend tot maximaal twee jaar nadat de klager bekend werd met de feiten waarop zijn klacht is gebaseerd, acht het GCO een bewaartermijn van twee jaar aanvaardbaar. Niet-aangenomen sollicitanten van wie de naam op een reservelijst staan: Beslis op basis van geldigheid en feitelijke duur van de reservelijst. Het is voorts raadzaam speciale aandacht te wijden aan het bewaren van 'verklaringen van goed gedrag' en andere categorieën 'gevoelige' gegevens. Het GCO onderschrijft de mening van de Europese Toezichthouder voor gegevensbescherming 4 dat de rechtsgrondslag voor verwerking van gegevens in verklaringen van goed gedrag strikt wordt beperkt tot 'een voorwaarde voor aanwerving'; dit betekent dat er na aanwerving geen rechtsgrondslag meer bestaat voor het bewaren van deze gegevens, anders dan een beperkt aantal gegevens voor controledoeleinden. In lijn hiermee adviseert het GCO dat er een een standaardformulier wordt opgesteld, waarin wordt verklaard dat de sollicitant geschikt is [voor het uitoefenen van zijn functie en dat hij alle grondrechten als burger geniet] en dat het strafregister onverwijld na selectie en eventuele aanstelling (of niet) aan betrokkene dient te worden geretourneerd. Voorts moeten andere gevoelige gegevens, zoals gegevens betreffende een handicap, worden vernietigd nadat deze niet meer nodig zijn voor aanwerving of geldelijke vergoeding of na de datum waarop alle vervolgprocedures zijn afgerond. De gegevens van aangenomen sollicitanten kunnen aan het personeelsdossier worden toegevoegd indien tijdens het dienstverband speciale regelingen noodzakelijk zijn. 5. Punt 19 Vermeld wordt dat geen gegevens worden opgeslagen voor statistische doeleinden. Dit is in tegenspraak met de respons op punt 18, waarin is vermeld dat gegevens na twee jaar voor statistische doeleinden anoniem worden gemaakt en maximaal dertig jaar worden bewaard. Aanbeveling Geef in punt 19 de feitelijke situatie weer en vermeld zo nodig de toepasselijke rechtsgrondslag. 4 Zie de Richtsnoeren van EDPS waarnaar in voetnoot 3 wordt verwezen 4

5 6. Punt 21 Vermeld wordt dat ontvangers van gegevens bij Europol 'leden van de selectiecommissies, doch slechts tijdelijk' zijn. Dit antwoord dient specifieker te zijn. Aanbeveling: Specificeer de ontvangers naar behoren in punt Punt 22 Vermeld wordt dat in geval van functies waarvoor speciale eisen gelden, overdracht van gegevens aan derden (nationale eenheden van Europol) plaatsvindt. De vermelde rechtsgrondslag voor deze overdrachten was op het moment van kennisgeving niet goedgekeurd. Aanbeveling Zorg dat de rechtsgrondslag nu is goedgekeurd. 8. Veiligheidsmaatregelen De kennisgeving bevat onvoldoende informatie over veiligheidsmaatregelen. Aanbeveling Specificeer in de kennisgeving de maatregelen die zijn genomen ten aanzien van veiligheid en vertrouwelijkheid. Hierbij moeten maatregelen zijn opgenomen die nodig zijn om te voldoen aan artikel 25 en 26 van het besluit van de directeur inzake implementatie van de beginselen van Verordening (EG) 45/2001. Gelieve ook het GCO gedetailleerd te informeren over de getroffen maatregelen om te voldoen aan artikel 25 en 26 van het besluit van de directeur inzake implementatie van de beginselen van Verordening (EG) 45/ Conclusie Het Gemeenschappelijk Controleorgaan van Europol nodigt u uit om binnen twee maanden na de datum van dit advies hierop te reageren en, in het bijzonder, om aan te tonen dat deze aanbevelingen zijn geïmplementeerd, alsmede om de gevraagde informatie omtrent de veiligheidsmaatregelen te verschaffen. Gedaan te Brussel, 14 december Isabel Cruz Voorzitter van het Gemeenschappelijk Controleorgaan van Europol (Getekend door de secretaris gegevensbescherming) 5