Akt prawny
obowiązujący
Wersja aktualna od 2021-04-06
Wersja aktualna od 2021-04-06
obowiązujący
Alerty
DECYZJA KOMITETU STERUJĄCEGO
w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Agencję Wykonawczą ds. Edukacji, Kultury i Sektora Audiowizualnego
KOMITET STERUJĄCY,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1) (zwane dalej "rozporządzeniem") , w szczególności jego art. 25,
uwzględniając decyzję wykonawczą Komisji 2013/776/UE z dnia 18 grudnia 2013 r. w sprawie ustanowienia "Agencji Wykonawczej ds. Edukacji, Kultury i Sektora Audiowizualnego" i uchylenia decyzji 2009/336/WE (2),
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1) | Agencja Wykonawcza ds. Edukacji, Kultury i Sektora Audiowizualnego (zwana dalej "Agencją") została ustanowiona decyzją wykonawczą 2013/776/UE w celu wykonania zadań związanych z realizacją programów unijnych w obszarze edukacji, sektora audiowizualnego i kultury (3). |
(2) | W ramach działalności administracyjnej i operacyjnej Agencja jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i zawieszających, zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej ustanowionymi rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 (4) ("regulamin pracowniczy") i przepisami wykonawczymi w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych. W razie potrzeby Agencja może prowadzić działania wstępne związane z przypadkami potencjalnych nadużyć finansowych i nieprawidłowości oraz może zgłaszać sprawy OLAF-owi. |
(3) | Pracownicy Agencji są zobowiązani do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne uchybienie obowiązkom urzędników Unii. Kwestię tę regulują wewnętrzne przepisy lub strategie dotyczące informowania o nieprawidłowościach. |
(4) | Agencja wdrożyła politykę zapobiegania faktycznym lub potencjalnym przypadkom mobbingu lub molestowania seksualnego w miejscu pracy oraz skutecznego postępowania w takich przypadkach, jak przewidziano w środkach wykonawczych zgodnie z regulaminem pracowniczym ustanawiających nieformalną procedurę, zgodnie z którą domniemana ofiara molestowania może kontaktować się z "poufnymi" doradcami Agencji. |
(5) | Agencja może również prowadzić wewnętrzne dochodzenia w sprawie bezpieczeństwa (informatycznego) oraz w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących informacji niejawnych Unii Europejskiej ("EUCI"). |
(6) | Agencja podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań, w tym audytom prowadzonym przez służby audytu wewnętrznego Komisji Europejskiej i Europejski Trybunał Obrachunkowy. |
(7) | Agencja może rozpatrywać wnioski Prokuratury Europejskiej (EPPO), wnioski o dostęp do dokumentacji medycznej członków personelu Agencji, prowadzić dochodzenia inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia. |
(8) | W kontekście takich dochodzeń administracyjnych, audytów, dochodzeń lub wniosków Agencja współpracuje z innymi instytucjami, organami i jednostkami organizacyjnymi Unii. |
(9) | Agencja może współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy. |
(10) | Agencja może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy. |
(11) | Agencja może być przedmiotem skarg, postępowań lub dochodzeń za pośrednictwem sygnalistów lub Europejskiego Rzecznika Praw Obywatelskich. |
(12) | Agencja może uczestniczyć w postępowaniach toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej, jeżeli albo kieruje sprawę do Trybunału, broni swojej decyzji, która została zaskarżona do Trybunału, albo interweniuje w sprawach związanych z jej zadaniami. W tym kontekście Agencja może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów. |
(13) | W ramach swoich działań Agencja przetwarza kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat zachowań i wyników prywatnych i zawodowych oraz dane finansowe, a także w niektórych szczególnych przypadkach dane szczególnie chronione (np. dane dotyczące zdrowia). Dane osobowe obejmują "twarde" dane faktyczne i "miękkie" dane dotyczące oceny. "Twarde dane" oznaczają obiektywne dane faktyczne, takie jak dane identyfikacyjne, dane kontaktowe, dane zawodowe, szczegóły administracyjne, metadane związane z łącznością elektroniczną i dane o ruchu. "Miękkie dane" oznaczają dane subiektywne i obejmują w szczególności opis i ocenę sytuacji i okoliczności, opinie, uwagi dotyczące osób, których dane dotyczą, ocenę zachowania i działania osób, których dane dotyczą, oraz uzasadnienie decyzji indywidualnych związanych z przedmiotem procedury lub działaniem prowadzonym przez Agencję lub przekazanych w związku z tym, zgodnie z mającymi zastosowanie ramami prawnymi. Oceny, uwagi i opinie uznaje się za dane osobowe w rozumieniu art. 3 ust. 1 rozporządzenia. |
(14) | Na mocy rozporządzenia Agencja jest zatem zobowiązana do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą. |
(15) | Agencja jest zobowiązana do przestrzegania, w możliwie najszerszym zakresie, praw podstawowych osób, których dane dotyczą, w szczególności prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub do poufności łączności, zgodnie z rozporządzeniem. Agencja może być jednak również zobowiązana do ograniczenia praw i obowiązków osoby, której dane dotyczą, w celu ochrony jej działalności oraz podstawowych praw i wolności innych osób. |
(16) | W związku z tym art. 25 ust. 1 i 5 rozporządzenia daje Agencji możliwość ograniczenia, na określonych warunkach, stosowania art. 14-22, 35 i 36, jak również art. 4 rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. Ograniczenia te opierają się na przepisach wewnętrznych, które mają zostać przyjęte na najwyższym szczeblu kierownictwa Agencji i podlegają publikacji w Dzienniku Urzędowym Unii Europejskiej, jeżeli nie opierają się one na aktach prawnych przyjętych na podstawie Traktatów. |
(17) | Ograniczenia mogą mieć zastosowanie do różnych praw osób, których dane dotyczą, w tym do udzielania informacji osobom, których dane dotyczą, prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub do poufności łączności zapisanej w rozporządzeniu. |
(18) | Agencja może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osoby, której dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. |
(19) | Agencja może np. potrzebować ograniczenia informacji, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych na etapie wstępnej oceny dochodzenia administracyjnego lub podczas samego dochodzenia, przed możliwym oddaleniem sprawy lub na etapie postępowania przeddyscyplinarnego. W pewnych okolicznościach udzielenie takich informacji może poważnie wpłynąć na zdolność Agencji do prowadzenia dochodzenia w skuteczny sposób, jeżeli na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub ingerować w potencjalnych świadków przed ich przesłuchaniem. Agencja może być również zobowiązana do ochrony praw i wolności świadków, a także innych zaangażowanych osób. |
(20) | Agencja może być zmuszona do ochrony anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Agencja może podjąć decyzję o ograniczeniu dostępu do danych dotyczących tożsamości, oświadczeń i innych danych osobowych takich osób lub podejrzanych w celu ochrony ich praw i wolności. |
(21) | Agencja może być zmuszona do ochrony informacji poufnych dotyczących członka personelu, który skontaktował się z zaufanymi doradcami Agencji w kontekście procedury dotyczącej molestowania. W takich przypadkach Agencja może być zmuszona do ograniczenia dostępu do tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy mobbingu i innych zaangażowanych osób, w celu ochrony praw i wolności wszystkich zainteresowanych osób. |
(22) | W odniesieniu do procedur selekcji i rekrutacji, oceny pracowników i procedur udzielania zamówień publicznych z prawa dostępu, sprostowania, usunięcia i ograniczenia można korzystać jedynie w określonych momentach i na warunkach przewidzianych w odpowiednich procedurach, aby chronić prawa innych osób, których dane dotyczą, oraz przestrzegać zasad równego traktowania i tajności obrad. |
(23) | Agencja może również ograniczyć dostęp osób fizycznych do ich danych medycznych, na przykład o charakterze psychologicznym lub psychiatrycznym, ze względu na potencjalną wrażliwość tych danych, a Służba Medyczna Komisji może chcieć zapewnić osobom, których dane dotyczą, jedynie pośredni dostęp za pośrednictwem ich własnego lekarza. Osoba, której dane dotyczą, może skorzystać z prawa do sprostowania ocen lub opinii Służby Medycznej Komisji, przedstawiając swoje uwagi lub sprawozdanie wybranego przez siebie lekarza. |
(24) | Agencja, reprezentowana przez dyrektora, działa jako administrator danych niezależnie od dalszego delegowania roli administratora danych w Agencji w celu odzwierciedlenia obowiązków operacyjnych w zakresie konkretnych czynności przetwarzania danych osobowych na właściwych "delegowanych administratorów danych". |
(25) | Dane osobowe są przechowywane w bezpieczny sposób w środowisku elektronicznym zgodnym z decyzją Komisji (UE, Euratom) 2017/46 (5) w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej lub w formie papierowej, zapobiegając przypadkom bezprawnego dostępu lub przekazywania danych osobom, które nie mają potrzeby posiadania informacji. Przetwarzane dane osobowe są przechowywane nie dłużej niż jest to konieczne i odpowiednie do celów, dla których dane są przetwarzane, przez okres określony w informacjach o ochronie danych i rejestrach Agencji. |
(26) | Agencja stosuje ograniczenia tylko wtedy, gdy szanują istotę podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. Agencja uzasadnia uzasadnienie tych ograniczeń i informuje odpowiednio osoby, których dane dotyczą, o tych podstawach oraz o przysługującym im prawie do wniesienia skargi do EIOD zgodnie z art. 25 ust. 6 rozporządzenia. |
(27) | Zgodnie z zasadą odpowiedzialności Agencja prowadzi rejestr stosowania ograniczeń. |
(28) | Przetwarzając dane osobowe wymieniane z innymi organizacjami w ramach swoich zadań, Agencja i te organizacje konsultują się ze sobą w sprawie potencjalnych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagroziłoby to działalności Agencji. |
(29) | Niniejsze przepisy wewnętrzne mają zatem zastosowanie do wszystkich czynności przetwarzania danych osobowych, prowadzonych przez Agencję w ramach prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do OLAF, dochodzeń prowadzonych przez Prokuraturę Europejską (EPPO), procedur zgłaszania nieprawidłowości przez sygnalistów, (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania skarg wewnętrznych i zewnętrznych, wniosków o dostęp do własnej dokumentacji medycznej lub jej poprawienie, dochodzeń prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU), audytów, postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej lub krajowymi władzami państwowymi, procedur selekcji i rekrutacji, oceny personelu i procedur udzielania zamówień publicznych, o których mowa powyżej. |
(30) | Niniejsze przepisy wewnętrzne mają zastosowanie do czynności przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych w odniesieniu do wyników tych procedur. Powinny one również obejmować pomoc i współpracę zapewnianą przez Agencję innym instytucjom UE, organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi. |
(31) | Zgodnie z art. 25 ust. 8 rozporządzenia Agencja ma prawo wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia, pominąć je lub go odmówić, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja ocenia indywidualnie, czy powiadomienie o ograniczeniu anulowałoby jego skutek. |
(32) | Agencja znosi ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie ocenia te warunki. |
(33) | Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, przed zastosowaniem lub przeglądem jakichkolwiek ograniczeń przeprowadza się konsultacje z inspektorem ochrony danych Agencji i weryfikuje ich zgodność z niniejszą decyzją. |
(34) | Artykuł 16 ust. 5 i art. 17 ust. 4 rozporządzenia przewidują wyjątki od prawa osób, których dane dotyczą, do informacji i prawa dostępu. Jeżeli wyjątki te mają zastosowanie Agencja nie musi stosować ograniczenia na mocy niniejszej decyzji, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres stosowania
1. W niniejszej decyzji ustanawia się przepisy dotyczące warunków, na jakich Agencja Wykonawcza ds. Edukacji, Kultury i Sektora Audiowizualnego i którykolwiek z jej następców prawnych ("Agencja") mogą ograniczyć stosowanie art. 4, 14-22, 35 i 36, zgodnie z art. 25 rozporządzenia.
2. Agencja, jako administrator danych, jest reprezentowana przez dyrektora Agencji, który może dalej delegować funkcję administratora danych.
Artykuł 2
Obowiązujące ograniczenia
1. Agencja może ograniczyć stosowanie art. 14-22, 35 i 36, jak również art. 4 rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20.
2. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Agencję w ramach jej działalności administracyjnej i operacyjnej:
a) | zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia podczas prowadzenia dochodzeń wewnętrznych, w tym w oparciu o skargi zewnętrzne, dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne lub zawieszające zgodnie z art. 86 i załącznikiem IX do regulaminu pracowniczego i jego przepisami wykonawczymi, dochodzeniami w zakresie bezpieczeństwa lub dochodzeniami OLAF; |
b) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, zapewniając pracownikom Agencji możliwość poufnego zgłaszania faktów, jeżeli uważają, że wystąpiły poważne nieprawidłowości, zgodnie z wewnętrznymi zasadami lub strategiami dotyczącymi informowania o nieprawidłowościach; |
c) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, zapewniając pracownikom Agencji możliwość zgłaszania się do zaufanych doradców w kontekście procedury dotyczącej molestowania, określonej w przepisach wewnętrznych; |
d) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, w przypadku przeprowadzania audytów wewnętrznych lub zewnętrznych w odniesieniu do działań lub funkcjonowania Agencji; |
e) | zgodnie z art. 25 ust. 1 lit. d) i h) rozporządzenia, przy zapewnianiu analiz bezpieczeństwa, w tym analiz dotyczących cyberbezpieczeństwa i nadużyć systemów informatycznych, prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU), zapewnianiu bezpieczeństwa wewnętrznego za pomocą monitoringu wizyjnego, kontroli dostępu i dochodzeń, zabezpieczaniu systemów komunikacyjnych i informacyjnych oraz przeprowadzaniu technicznych środków przeciwdziałania zagrożeniom; |
f) | zgodnie z art. 25 ust. 1 lit. g) i h) rozporządzenia, gdy inspektor ochrony danych ("IOD") Agencji prowadzi dochodzenia w sprawach bezpośrednio związanych z jego zadaniami; |
g) | zgodnie z art. 25 ust. 1 lit. b), g) i h) rozporządzenia, w kontekście dochodzeń prowadzonych przez Prokuraturę Europejską (EPPO); |
h) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, w przypadku gdy osoby fizyczne żądają dostępu do swoich danych medycznych lub ich sprostowania, w tym jeżeli są one w posiadaniu Służby Medycznej Komisji; |
i) | zgodnie z art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia, przy udzielaniu pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymywaniu od nich pomocy, lub przy współpracy z nimi w kontekście działań prowadzonych na podstawie lit. a)-h) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy do aktów ustanawiających; |
j) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, przy udzielaniu pomocy organom krajowym państw trzecich i organizacji międzynarodowych lub otrzymywaniu od nich pomocy lub też przy współpracy z takimi organami i organizacjami, na ich wniosek lub z własnej inicjatywy; |
k) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, przy udzielaniu pomocy organom publicznym państw członkowskich UE lub otrzymywaniu od nich pomocy i współpracy z nimi, na ich wniosek lub z własnej inicjatywy; |
l) | zgodnie z art. 25 ust. 1 lit. e) rozporządzenia, podczas przetwarzania danych osobowych znajdujących się w dokumentach otrzymanych od stron lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej; |
Do celów niniejszej decyzji powyższe działania obejmują działania przygotowawcze i następcze bezpośrednio związane z tym samym działaniem.
3. Agencja może również stosować ograniczenia w poszczególnych przypadkach w odniesieniu do praw osób, których dane dotyczą, o których mowa w niniejszej decyzji, w następujących okolicznościach:
a) | w przypadku gdy służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii są uprawnione do ograniczania wykonywania praw wymienionych w wykazie, a cel takiego ograniczenia przez tę służbę Komisji bądź instytucję, organ lub agencję Unii byłby zagrożony, jeżeli Agencja nie stosuje równoważnego ograniczenia w odniesieniu do tych samych danych osobowych; |
b) | w przypadku gdy właściwe organy państw członkowskich są uprawnione do ograniczenia wykonywania wymienionych praw, a cel takiego ograniczenia przez ten organ państwa członkowskiego byłby zagrożony, jeżeli Agencja nie stosuje równoważnego ograniczenia w odniesieniu do tych samych danych osobowych; |
c) | w przypadku gdy wykonywanie tych praw i obowiązków zagroziłoby współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy wykonywaniu jej zadań, chyba że nadrzędne w stosunku do tej potrzeby współpracy są interesy lub podstawowe prawa i wolności osób, których dane dotyczą; |
d) | przed zastosowaniem ograniczenia na podstawie niniejszego ustępu Agencja konsultuje się w razie potrzeby z odpowiednimi służbami Komisji, innymi instytucjami, organami i jednostkami organizacyjnymi Unii lub organizacjami międzynarodowymi lub z właściwymi organami państwa członkowskiego, chyba że jest oczywiste, że ograniczenie jest przewidziane w jednym z aktów prawnych, o którym mowa powyżej, lub jeżeli takie konsultacje zagrażałyby działalności Agencji. |
4. Kategorie przetwarzanych danych osobowych związane z powyższymi działaniami mogą zawierać "twarde" dane faktyczne i "miękkie" dane z oceny.
5. Wszelkie ograniczenia respektują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym.
Artykuł 3
Zapisywanie i rejestrowanie ograniczeń
1. Administrator danych prowadzi rejestr ograniczeń opisujący:
a) | przyczyny zastosowanych ograniczeń na mocy niniejszej decyzji; |
b) | które z podstaw wymienionych w art. 2 mają zastosowanie; |
c) | w jaki sposób wykonywanie tego prawa stwarzałoby ryzyko dla osoby, której dane dotyczą, zagrażałoby celowi zadań Agencji lub wpłynęłoby niekorzystnie na prawa i wolności innych osób, których dane dotyczą; |
d) | wynik oceny konieczności i proporcjonalności tych ograniczeń, z uwzględnieniem stosownych elementów w art. 25 ust. 2 rozporządzenia. |
2. Badanie konieczności i proporcjonalności ograniczenia przeprowadza się indywidualnie dla każdego przypadku przed zastosowaniem ograniczeń. Administrator danych bierze pod uwagę potencjalne zagrożenia dla praw i wolności osoby, której dane dotyczą. Ograniczenia nie mogą wykraczać poza to, co jest ściśle niezbędne do osiągnięcia ich celu.
3. Rejestr ograniczenia oraz, w stosownych przypadkach, dokumenty zawierające leżące u jego podstaw elementy faktyczne i prawne są rejestrowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
Artykuł 4
Zagrożenia dla praw i wolności osób, których dane dotyczą
1. Oceny ryzyka dla praw i wolności osób, których dane dotyczą, wynikające z nałożenia ograniczeń oraz szczegóły dotyczące okresu stosowania tych ograniczeń są rejestrowane w rejestrze czynności przetwarzania prowadzonym przez administratora danych na podstawie art. 31 rozporządzenia. Są one również rejestrowane we wszelkich ocenach skutków dla ochrony danych, dotyczących tych ograniczeń, prowadzonych na podstawie art. 39 rozporządzenia, w stosownych przypadkach.
2. W sytuacji gdy administrator danych rozważa zastosowanie ograniczenia, ryzyko dla praw i wolności podmiotu danych jest ważone w szczególności w stosunku do ryzyka dla praw i wolności innych podmiotów danych oraz ryzyka negatywnego wpływu na dochodzenia lub procedury, na przykład poprzez zniszczenie dowodów. Zagrożenia dla praw i wolności osób, których dane dotyczą, obejmują, między innymi, ryzyko utraty reputacji i zagrożenia dla prawa do obrony i prawa do bycia wysłuchanym.
Artykuł 5
Zabezpieczenia i okresy przechowywania
1. Agencja wprowadza szczególne zabezpieczenia w celu zapobiegania nadużyciom i bezprawnemu dostępowi lub przekazywaniu danych osobowych, w odniesieniu do których mają lub mogą być stosowane ograniczenia. Takie zabezpieczenia obejmują środki techniczne i organizacyjne oraz są w razie potrzeby wyszczególnione w wewnętrznych decyzjach, procedurach i przepisach wykonawczych Agencji. Zabezpieczenia te obejmują:
a) | jasne określenie ról, obowiązków i kroków proceduralnych; |
b) | w stosownych przypadkach bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu i przypadkowemu dostępowi lub przekazywaniu danych elektronicznych osobom nieupoważnionym; |
c) | w stosownych przypadkach bezpieczne przechowywanie i przetwarzanie dokumentów w formie papierowej; |
d) | zapewnienie przestrzegania wymogów poufności przez wszystkie osoby, które mają dostęp do danych osobowych. |
2. Okres przechowywania danych osobowych objętych ograniczeniem jest określany w powiązanym rejestrze na mocy art. 31 rozporządzenia z uwzględnieniem celu przetwarzania i obejmuje ramy czasowe niezbędne do przeprowadzenia kontroli administracyjnej i sądowej. Na koniec okresu przechowywania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia.
Artykuł 6
Okres obowiązywania ograniczeń
1. Ograniczenia, o których mowa w art. 2, mają zastosowanie tak długo, jak długo mają zastosowanie powody uzasadniające je.
2. W chwili, gdy powody ograniczenia przestają mieć zastosowanie, administrator danych znosi ograniczenie, jeżeli wykonanie ograniczonego prawa nie miałoby już negatywnego wpływu na odpowiednią mającą zastosowanie procedurę lub nie wpłynęłoby niekorzystnie na prawa lub wolności innych osób, których dane dotyczą.
3. W przypadku gdy osoba, której dane dotyczą, ponownie zwróciła się o dostęp do danych osobowych, administrator danych podaje osobie, której dane dotyczą, główne powody takiego ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub wystąpienia o sądowy środek ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
4. Agencja dokonuje przeglądu stosowania ograniczenia, o którym mowa w art. 2, co sześć miesięcy.
Artykuł 7
Zaangażowanie inspektora ochrony danych
1. Administrator danych Agencji informuje inspektora ochrony danych Agencji bez zbędnej zwłoki i przed podjęciem jakiejkolwiek decyzji o ograniczeniu praw osób, których dane dotyczą, zgodnie z niniejszą decyzją lub o rozszerzeniu stosowania ograniczenia. Administrator danych przyznaje inspektorowi ochrony danych dostęp do powiązanych rejestrów i wszelkich dokumentów dotyczących kontekstu faktycznego lub prawnego.
2. Inspektor ochrony danych może się zwrócić do administratora danych o dokonanie przeglądu stosowania ograniczenia. Administrator danych informuje inspektora ochrony danych na piśmie o wyniku wnioskowanego przeglądu.
3. Administrator danych dokumentuje udział inspektora ochrony danych w stosowaniu ograniczenia, w tym jakie informacje są udostępniane. Dokumenty, o których mowa w niniejszym artykule, stanowią część rejestru związanego z ograniczeniem i są udostępniane EIOD na jego wniosek.
Artykuł 8
Informowanie osób, których dane dotyczą, o ograniczaniu ich praw
1. Administrator danych zamieszcza w informacjach o ochronie danych i rejestrach na mocy art. 31 rozporządzenia, publikowanych na swojej stronie internetowej i w intranecie, ogólne informacje na temat potencjalnych ograniczeń praw osób, których dane dotyczą, zgodnie z art. 2 ust. 2 niniejszej decyzji. Informacje te obejmują, które prawa i obowiązki mogą być ograniczone, podstawy, na jakich mogą być stosowane ograniczenia, oraz potencjalny okres ich obowiązywania.
2. Administrator danych informuje osoby, których dane dotyczą, indywidualnie, pisemnie i bez zbędnej zwłoki, o bieżących lub przyszłych ograniczeniach ich praw. Administrator danych informuje osobę, której dane dotyczą, o głównych powodach zastosowania ograniczenia, o przysługującym jej prawie do konsultacji z inspektorem ochrony danych w celu zakwestionowania ograniczenia oraz o przysługującym jej prawie do złożenia skargi do EIOD.
3. Administrator danych może wstrzymać przekazanie informacji o powodach zastosowania ograniczenia i informacji dotyczących prawa do złożenia skargi do EIOD, pominąć je lub go odmówić tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny tego uzasadnienia dokonuje się indywidualnie dla każdego przypadku, a administrator danych przekazuje informacje osobie, której dane dotyczą, gdy tylko nie anuluje to już skutku ograniczenia.
Artykuł 9
Prawo dostępu przysługujące osobie, której dane dotyczą
1. W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji administrator danych może ograniczyć prawo dostępu na mocy art. 17 rozporządzenia, jeżeli jest to konieczne i proporcjonalne w odniesieniu do działań podejmowanych na mocy niniejszej decyzji.
2. W przypadku gdy osoby, których dane dotyczą, zwracają się o dostęp do swoich danych osobowych przetwarzanych w kontekście konkretnej czynności przetwarzania, o której mowa w art. 2 ust. 2 niniejszej decyzji, Agencja ogranicza swoją odpowiedź na dane osobowe przetwarzane na potrzeby tej czynności.
3. Prawa osób, których dane dotyczą, do bezpośredniego dostępu do dokumentów o charakterze psychologicznym lub psychiatrycznym mogą zostać ograniczone. Niniejsze przepisy wewnętrzne nie ograniczają ani pośredniego dostępu, ani prawa do sprostowania i zawiadomienia o naruszeniu ochrony danych osobowych. W związku z tym lekarzowi pośredniczącemu należy na wniosek danej osoby udzielić dostępu do wszystkich powiązanych informacji oraz do swobody decyzyjnej co do tego, w jaki sposób i jaki dostęp należy zapewnić osobie, której dane dotyczą.
4. W przypadku gdy administrator danych ogranicza, w całości lub w części, prawo dostępu do danych osobowych, o którym mowa w art. 17 rozporządzenia, informuje na piśmie zainteresowaną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, o zastosowanym ograniczeniu i jego głównych powodach oraz o możliwości złożenia skargi do EIOD lub skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.
5. Informacje dotyczące ograniczenia dostępu mogą zostać zawieszone, pominięte lub mogą zostać odrzucone, jeżeli zgodnie z art. 25 ust. 8 rozporządzenia unieważniłyby one skutek ograniczenia.
6. Ograniczenie na mocy niniejszego artykułu stosuje się zgodnie z niniejszą decyzją.
Artykuł 10
Prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania
1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania na mocy art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia może, w razie konieczności i w stosownych przypadkach, zostać ograniczone przez administratora danych w odniesieniu do czynności, o których mowa w art. 2 ust. 2 niniejszej decyzji.
2. W odniesieniu do danych medycznych osoby, których dane dotyczą, mogą skorzystać z prawa do sprostowania oceny lub opinii Służby Medycznej Komisji, przekazując swoje uwagi lub sprawozdanie wybranego przez siebie lekarza, w tym bezpośrednio Służbie Medycznej Komisji.
3. Ograniczenie na mocy niniejszego artykułu stosuje się zgodnie z niniejszą decyzją.
Artykuł 11
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1. Jeżeli administrator danych jest zobowiązany do powiadamiania o naruszaniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia, może on w wyjątkowych okolicznościach ograniczać takie powiadomienia w całości lub w części. Dokumentuje on w nocie powody takiego ograniczenia, podstawę prawną, na mocy art. 2, i ocenę jego konieczności i proporcjonalności. Notę przekazuje się EIOD w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. Jeżeli przyczyny ograniczenia przestają mieć zastosowanie, Agencja informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł 12
Poufność łączności elektronicznej
1. W wyjątkowych okolicznościach Agencja może ograniczyć prawo do poufności łączności elektronicznej na mocy art. 36 rozporządzenia. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady (6).
2. Niezależnie od art. 8 ust. 3, w przypadku gdy Agencja ogranicza prawo do poufności łączności elektronicznej, informuje zainteresowaną osobę, której dane dotyczą, w odpowiedzi na wszelkie wnioski osoby, której dane dotyczą, o głównych powodach zastosowania ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł 13
Wejście w życie
Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 22 października 2020 r.
(1) Dz.U. L 295 z 21.11. 2018, s. 39.
(2) Decyzja wykonawcza Komisji 2013/776/UE z dnia 18 grudnia 2013 r. w sprawie ustanowienia "Agencji Wykonawczej ds. Edukacji, Kultury i Sektora Audiowizualnego" i uchylenia decyzji 2009/336/WE (Dz.U. L 343 z 19.12.2013, s. 46), zmieniona decyzjami wykonawczymi (UE) 2018/1716 (Dz.U. L 286 z 14.11.2018, s. 33) oraz (UE) 2019/1855 (Dz.U. L 285 z 6.11.2019, s. 14).
(3) Decyzja Komisji C(2013) 9189 z dnia 18 grudnia 2013 r. w sprawie przekazania uprawnień Agencji Wykonawczej ds. Edukacji, Kultury i Sektora Audiowizualnego (EACEA) w celu wykonania zadań związanych z wdrożeniem programów Unii w dziedzinie edukacji, sektora audiowizualnego i kultury, obejmujących przede wszystkim wykonanie środków wpisanych w budżecie ogólnym Unii oraz przydziałów na EFR. Wyżej wspomniana decyzja była dalej zmieniana następującymi decyzjami: decyzją Komisji C(2014) 4084 z dnia 26 czerwca 2014 r., decyzją Komisji C(2015) 658 z dnia 12 lutego 2015 r., decyzją Komisji C(2016) 401 z dnia 1 lutego 2016 r., decyzją Komisji C(2016) 1851 z dnia 31 marca 2016 r., decyzją Komisji C(2017) 3049 z dnia 12 maja 2017 r., decyzją Komisji C(2018) 5011 z dnia 1 sierpnia 2018 r., decyzją Komisji C(2018) 7435 z dnia 13 listopada 2018 r., decyzją Komisji C(2019) 1299 z dnia 19 lutego 2019 r. oraz decyzją Komisji C(2019) 7856 z dnia 6 listopada 2019 r.
(4) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiającego specjalne środki stosowane tymczasowo wobec urzędników Komisji (warunki zatrudnienia innych pracowników) (Dz.U. L 56 z 4.3.1968, s. 1).
(5) Decyzja Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej (Dz.U. L 6 z 11.1.2017, s. 40).
(6) Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
W imieniu Komitetu Sterującego
Themis CHRISTOPHIDOU
Przewodnicząca