Decyzja zarządu w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Europejską Agencję Środowiska
ZARZĄD EUROPEJSKIEJ AGENCJI ŚRODOWISKA,
UWZGLĘDNIAJĄC Traktat o funkcjonowaniu Unii Europejskiej,
UWZGLĘDNIAJĄC rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1), w szczególności jego art. 25,
UWZGLĘDNIAJĄC rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 401/2009 z dnia 23 kwietnia 2009 r. w sprawie Europejskiej Agencji Środowiska oraz Europejskiej Sieci Informacji i Obserwacji Środowiska (wersja ujednolicona) (2), w szczególności jego art. 8,
UWZGLĘDNIAJĄC opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 13 marca 2020 r. oraz wytyczne EIOD dotyczące art. 25 rozporządzenia (UE) 2018/1725 i przepisów wewnętrznych,
po konsultacji z Komitetem Pracowniczym,
A TAKŻE MAJĄC NA UWADZE, CO NASTĘPUJE:
(1) | Europejska Agencja Środowiska (zwana dalej „Agencją”) jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań dotyczących zawieszenia, zgodnie z Regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej, określonymi w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 („regulamin pracowniczy”) (3), oraz zgodnie z decyzją zarządu EEA z dnia 15 lutego 2013 r. w sprawie prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych. Jeżeli jest to wymagane, powiadamia ona również OLAF. |
(2) | Pracownicy Agencji są zobowiązani do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne niedopełnienie obowiązków urzędników Unii. Kwestię tę reguluje decyzja zarządu w sprawie wytycznych dotyczących informowania o nieprawidłowościach z dnia 24 kwietnia 2018 r. (decyzja EEA/MB/2018/011). |
(3) | Agencja wdrożyła politykę zapobiegania faktycznym lub potencjalnym przypadkom mobbingu lub molestowania seksualnego w miejscu pracy oraz skutecznego postępowania w takich przypadkach, jak przewidziano w decyzji zarządu z dnia 13 czerwca 2017 r. w sprawie polityki EEA dotyczącej ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu (decyzja EEA/MB/2017/011). W decyzji tej ustanowiono nieformalną procedurę, w ramach której osoba będąca domniemaną ofiarą nękania może skontaktować się z zaufanymi doradcami Agencji. |
(4) | Agencja podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań. |
(5) | W kontekście takich dochodzeń administracyjnych, audytów i postępowań Agencja współpracuje z innymi instytucjami, organami, urzędami i jednostkami agencjami Unii. |
(6) | Agencja może współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy. |
(7) | Agencja może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy. |
(8) | Agencja angażuje się w sprawy przed Trybunałem Sprawiedliwości Unii Europejskiej, w przypadku gdy kieruje kwestię do Trybunału, broni podjętej przez siebie decyzji, którą zaskarżono przed Trybunałem, albo interweniuje w sprawach istotnych dla jej zadań. W tym kontekście Agencja może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów. |
(9) | Aby wywiązać się ze swoich zadań, Agencja gromadzi i przetwarza informacje i kilka kategorii danych osobowych, w tym dane dotyczące tożsamości osób fizycznych, informacje kontaktowe, służbowe role i zadania, informacje na temat prywatnego i zawodowego zachowania oraz prywatnych i zawodowych wyników, a także dane finansowe. Agencja działa w charakterze administratora danych. |
(10) | Na mocy rozporządzenia (UE) 2018/1725 („rozporządzenie”) Agencja jest zatem zobowiązana do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą. |
(11) | Agencja może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osób, których dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu art. 25 rozporządzenia daje Agencji możliwość ograniczenia na określonych warunkach stosowania art. 14-22, 35 i 36 rozporządzenia, jak również art. 4, w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. Jeżeli ograniczenia nie są przewidziane w aktach prawnych przyjętych na podstawie Traktatów, należy przyjąć wewnętrzne przepisy, na podstawie których Agencja jest uprawniona do ograniczania takich praw. |
(12) | Agencja może np. potrzebować ograniczyć informacje, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych podczas etapu wstępnej oceny dochodzenia administracyjnego lub podczas samego dochodzenia, przed możliwym umorzeniem sprawy lub na etapie postępowania przeddyscyplinarnego. W pewnych okolicznościach udzielenie takich informacji może poważnie wpłynąć na zdolność Agencji do prowadzenia dochodzenia w skuteczny sposób, jeżeli na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub wpływać na potencjalnych świadków przed ich przesłuchaniem. Agencja może być również zobowiązana do ochrony praw i wolności świadków, a także innych zaangażowanych osób. |
(13) | Konieczna może być ochrona anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Agencja może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności. |
(14) | Może zaistnieć konieczność ochrony poufnych informacji dotyczących pracownika, który skontaktował się z zaufanymi doradcami Agencji w kontekście postępowania w sprawie molestowania. W takich przypadkach Agencja może potrzebować ograniczyć dostęp do danych dotyczących tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy i innych zaangażowanych osób w celu ochrony praw i wolności wszystkich osób, których ta sprawa dotyczy. |
(15) | Agencja powinna stosować ograniczenia tylko wtedy, gdy szanują istotę podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. Agencja powinna przedstawić przyczyny stanowiące uzasadnienie tych ograniczeń. |
(16) | Zgodnie z zasadą rozliczalności Agencja powinna prowadzić rejestr stosowania ograniczeń. |
(17) | Przy przetwarzaniu danych osobowych wymienianych z innymi organizacjami w ramach wykonywania swoich zadań Agencja i te organizacje powinny konsultować się ze sobą w sprawie możliwych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności Agencji. |
(18) | Artykuł 25 ust. 6 rozporządzenia zobowiązuje administratora danych do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD. |
(19) | Zgodnie z art. 25 ust. 8 rozporządzenia Agencja ma prawo odroczyć przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia, pominąć je lub go odmówić, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja powinna ocenić indywidualnie, czy powiadomienie o ograniczeniu anulowałoby jego skutek. |
(20) | Agencja powinna znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie oceniać te warunki. |
(21) | Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, należy skonsultować z inspektorem ochrony danych w odpowiednim czasie wszelkie ograniczenia, które mogą być zastosowane, i zweryfikować ich zgodność z niniejszą decyzją. |
(22) | W art. 16 ust. 5 i art. 17 ust. 4 rozporządzenia przedstawiono wyjątki dotyczące prawa do informacji i prawa dostępu osób, których dane dotyczą. Jeżeli wyjątki te mają zastosowanie, Agencja nie musi stosować ograniczenia na mocy niniejszej decyzji, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres stosowania
1. W niniejszej decyzji ustanawia się zasady dotyczące warunków, na jakich Agencja może ograniczyć stosowanie art. 4, 14-22, 35 i 36 na podstawie art. 25 rozporządzenia.
2. Agencja jako administrator danych jest reprezentowana przez dyrektora wykonawczego, który może delegować funkcję administratora danych w Agencji w celu odzwierciedlenia obowiązków operacyjnych w odniesieniu do konkretnych operacji przetwarzania danych osobowych.
Artykuł 2
Ograniczenia
1. Agencja może ograniczyć stosowanie art. 14-22, 35 i 36 oraz art. 4 rozporządzenia, o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20:
a) | zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia, gdy prowadzi dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne i postępowania dotyczące zawieszenia na podstawie art. 86 i załącznika IX do regulaminu pracowniczego oraz decyzji zarządu EEA z dnia 15 lutego 2013 r. w sprawie prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych, gdy rozpatruje wewnętrzne i zewnętrzne skargi oraz gdy zgłasza sprawy do OLAF; |
b) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, gdy zapewnia, aby pracownicy Agencji mogli zgłaszać fakty z zachowaniem poufności, gdy uważają, że występują poważne nieprawidłowości, jak określono w decyzji zarządu EEA w sprawie wytycznych dotyczących informowania o nieprawidłowościach z dnia 24 kwietnia 2018 r. (decyzja EEA/MB/2018/011); |
c) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, gdy zapewnia, aby pracownicy Agencji mogli informować zaufanych doradców w kontekście postępowania (formalnego lub nieformalnego) w sprawie molestowania, jak określono w decyzji zarządu EEA z dnia 13 czerwca 2017 r. w sprawie polityki EEA dotyczącej ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu (decyzja EEA/MB/2017/011); |
d) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, gdy przeprowadza audyty wewnętrzne dotyczące działań lub służb Agencji, w tym postępowania wyjaśniające prowadzone przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, oraz dochodzenia w sprawie bezpieczeństwa (IT) prowadzone wewnętrznie lub przy udziale zewnętrznym (np. CERT-UE); |
e) | zgodnie z art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia, gdy udziela pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymuje od nich pomoc, lub współpracuje z nimi w kontekście działań prowadzonych na podstawie lit. a)-d) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy; |
f) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, gdy udziela pomocy organom krajowym państw trzecich i organizacjom międzynarodowym lub otrzymuje od nich pomoc, lub współpracuje z nimi, na ich wniosek lub z własnej inicjatywy; |
g) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, gdy udziela pomocy organom publicznym państw członkowskich UE lub otrzymuje od nich pomoc, lub współpracuje z nimi, na ich wniosek lub z własnej inicjatywy; |
h) | zgodnie z art. 25 ust. 1 lit. e) rozporządzenia podczas przetwarzania danych osobowych znajdujących się w dokumentach otrzymanych od stron lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej; |
i) | wszelkie ograniczenia respektują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym. |
2. Badanie konieczności i analizę proporcjonalności przeprowadza się indywidualnie dla każdego przypadku przed wprowadzeniem ograniczeń. Ograniczenia nie mogą wykraczać poza to, co jest ściśle niezbędne do osiągnięcia ich celu.
3. Do celów rozliczalności Agencja prowadzi rejestr opisujący przyczyny zastosowanych ograniczeń, mające zastosowanie przesłanki z ust. 1, jak również wynik testu konieczności i proporcjonalności. Dokumentacja ta stanowi część rejestru, który jest udostępniany na wniosek EIOD. Agencja przygotowuje sprawozdanie okresowe dotyczące stosowania art. 25 rozporządzenia.
4. Przetwarzając dane osobowe otrzymane od innych organizacji w ramach wykonywania swoich zadań, Agencja konsultuje się z tymi organizacjami w sprawie możliwych powodów nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności Agencji.
5. Przedmiotowe dane obejmują kategorię „twarde dane” (dane „obiektywne”, takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię „miękkie dane” (dane „subiektywne” związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
Artykuł 3
Zagrożenia dla praw i wolności osób, których dane dotyczą
1. Oceny ryzyka dla praw i wolności osób, których dane dotyczą, wynikające z nałożenia ograniczeń oraz szczegóły dotyczące okresu stosowania tych ograniczeń są zamieszczane w rejestrze czynności przetwarzania prowadzonym przez Agencję na podstawie art. 31 rozporządzenia. Są one również rejestrowane we wszelkich ocenach skutków dla ochrony danych, dotyczących tych ograniczeń, prowadzonych na podstawie art. 39 rozporządzenia, w stosownych przypadkach.
2. Ilekroć Agencja ocenia konieczność i proporcjonalność ograniczenia, uwzględnia potencjalne zagrożenia dla praw i wolności osoby, której dane dotyczą.
Artykuł 4
Zabezpieczenia i okresy przechowywania
1. Agencja wdraża zabezpieczenia, aby zapobiegać nadużyciom i niezgodnemu z prawem dostępowi do danych osobowych, względem których stosuje się lub można zastosować ograniczenia, lub niezgodnemu z prawem przekazywaniu takich danych. Takie zabezpieczenia obejmują środki techniczne i organizacyjne oraz są w razie potrzeby wyszczególnione w wewnętrznych decyzjach, procedurach i przepisach wykonawczych Agencji. Zabezpieczenia te obejmują:
a) | wyraźną definicję ról, obowiązków i etapów proceduralnych; |
b) | bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu i przypadkowemu dostępowi lub przekazywaniu danych elektronicznych osobom nieupoważnionym; przechowywanie wszystkich danych elektronicznych w bezpiecznej aplikacji informatycznej zgodnie ze standardami Agencji w zakresie bezpieczeństwa, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. odpowiedni poziom dostępu, który jest przyznawany indywidualnie; |
c) | bezpieczne przechowywanie i przetwarzanie dokumentów w formie papierowej, które są przechowywane w zabezpieczonych szafkach i dostępne wyłącznie dla upoważnionego personelu; |
d) | należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. |
2. Przeglądy, o których mowa w lit. d), prowadzone są co najmniej raz na sześć miesięcy.
3. Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie.
4. Dane osobowe są przechowywane zgodnie z mającymi zastosowanie przepisami dotyczącymi przechowywania Agencji, które mają być określone w rejestrach ochrony danych prowadzonych na podstawie art. 31 rozporządzenia. Na koniec okresu przechowywania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia.
Artykuł 5
Zaangażowanie inspektora ochrony danych
1. Inspektor ochrony danych Agencji jest niezwłocznie informowany za każdym razem, gdy ogranicza się prawa osoby, której dane dotyczą, zgodnie z niniejszą decyzją. Należy przyznać tej osobie dostęp do powiązanych rejestrów i wszelkich dokumentów dotyczących merytorycznego lub prawnego kontekstu.
2. Inspektor ochrony danych Agencji może złożyć wniosek o dokonanie przeglądu stosowania ograniczenia. Agencja informuje swojego inspektora ochrony danych na piśmie o wyniku takiego przeglądu.
3. Agencja dokumentuje zaangażowanie inspektora ochrony danych w stosowanie ograniczeń, w tym przekazane mu informacje.
Artykuł 6
Informowanie osób, których dane dotyczą, o ograniczeniach dotyczących ich praw
1. Agencja włącza do zgłoszeń o ochronie danych publikowanych w swoim intranecie sekcję, w której przedstawia osobom, których dane dotyczą, ogólne informacje na temat możliwości ograniczenia praw osób, których dane dotyczą, zgodnie z art. 2 ust. 1. W informacjach tych uwzględnia się, które prawa mogą być ograniczane, podstawy możliwego stosowania ograniczeń i ich możliwy okres obowiązywania.
2. Agencja informuje osoby, których dane dotyczą, indywidualnie, na piśmie i bez zbędnej zwłoki o trwających lub przyszłych ograniczeniach ich praw. Agencja informuje osobę, której dane dotyczą, o głównych powodach stanowiących podstawę zastosowania ograniczenia, o jej prawie do skonsultowania się z inspektorem ochrony danych w celu podważenia ograniczenia oraz o jej prawie do wniesienia skargi do EIOD.
3. Agencja może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny zasadności takiej decyzji dokonuje się w poszczególnych przypadkach. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, Agencja przekazuje te informacje osobie, której dane dotyczą.
Artykuł 7
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1. Jeżeli Agencja jest zobowiązana do zawiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia, może ona w wyjątkowych okolicznościach ograniczyć takie powiadomienia w całości lub w części. W zgłoszeniu dokumentuje powody takiego ograniczenia, podstawę prawną na mocy art. 2, i ocenę jego konieczności i proporcjonalności. Zgłoszenie to przekazuje się EIOD w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. Jeżeli powody ograniczenia przestają mieć zastosowanie, Agencja informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł 8
Poufność łączności elektronicznej
1. W wyjątkowych okolicznościach Agencja może ograniczyć prawo do poufności łączności elektronicznej na podstawie art. 36 rozporządzenia. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady (4).
2. Jeżeli Agencja ogranicza prawo do poufności łączności elektronicznej, informuje daną osobę, której dane dotyczą, o głównych powodach, na których opiera się zastosowanie ograniczenia, i o jej prawie do wniesienia skargi do EIOD.
3. Agencja może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny zasadności takiej decyzji dokonuje się indywidualnie dla każdego przypadku.
Artykuł 9
Wejście w życie
Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Zatwierdzone przez zarząd w drodze procedury pisemnej
19 kwietnia 2021 r.
Laura BURKE
Przewodnicząca zarządu Europejskiej Agencji Środowiska
(1) Dz.U. L 295 z 21.11.2018, s. 39.
(2) Dz.U. L 126 z 21.5.2009, s. 13.
(3) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
(4) Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00