DECYZJA nr 253
zarządu Agencji Kolejowej Unii Europejskiej w sprawie przepisów wewnętrznych dotyczących ograniczenia niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działalności prowadzonej przez Agencję Kolejową Unii Europejskiej [2023/1585]
ZARZĄD AGENCJI KOLEJOWEJ UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1), w szczególności jego art. 25,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/796 z dnia 11 maja 2016 r. w sprawie Agencji Kolejowej Unii Europejskiej i uchylenia rozporządzenia (WE) nr 881/2004 (2),
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1) | Agencja jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań dotyczących zawieszenia, zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej ustanowionymi rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 („regulamin pracowniczy") (3) i z decyzją Agencji z dnia 8 lipca 2022 r. ustanawiającą ogólne przepisy wykonawcze w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych. Jeżeli jest to wymagane, powiadamia ona również OLAF. |
(2) | Pracownicy Agencji są zobowiązani do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne uchybienie obowiązkom urzędników Unii. Kwestię tę reguluje decyzja Agencji z dnia 15 listopada 2018 r. w sprawie przepisów wewnętrznych dotyczących informowania o nieprawidłowościach. |
(3) | Agencja opracowała politykę zapobiegania faktycznemu bądź potencjalnemu mobbingowi lub molestowaniu seksualnemu w miejscu pracy i skutecznego postępowania w przypadku ich wystąpienia, zgodnie z decyzją ERA-ED-690/2013 w sprawie przyjęcia środków wykonawczych zgodnie z regulaminem pracowniczym. W decyzji tej ustanowiono nieformalną procedurę, w ramach której osoba będąca domniemaną ofiarą molestowania może skontaktować się z zaufanymi doradcami Agencji. |
(4) | Agencja może również prowadzić dochodzenia w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących informacji niejawnych Unii Europejskiej („EUCI") na podstawie swojej polityki informacyjnej i informatycznej zawierającej przepisy bezpieczeństwa dotyczące ochrony EUCI. |
(5) | Agencja podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań. |
(6) | W kontekście takich dochodzeń administracyjnych, audytów i postępowań Agencja współpracuje z innymi instytucjami, organami, urzędami i jednostkami organizacyjnymi UE. |
(7) | Agencja może współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy. |
(8) | Agencja może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy. |
(9) | Agencja angażuje się w sprawy przed Trybunałem Sprawiedliwości Unii Europejskiej, w przypadku gdy kieruje kwestię do Trybunału, broni podjętej przez siebie decyzji, którą zaskarżono przed Trybunałem, albo interweniuje w sprawach istotnych dla jej zadań. W tym kontekście Agencja może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów. |
(10) | Aby wywiązać się ze swoich zadań, Agencja gromadzi i przetwarza informacje i kilka kategorii danych osobowych, w tym dane dotyczące tożsamości osób fizycznych, informacje kontaktowe, służbowe role i zadania, informacje na temat prywatnego i zawodowego zachowania oraz prywatnych i zawodowych wyników, a także dane finansowe. Agencja działa w charakterze administratora danych. |
(11) | Na mocy rozporządzenia UE 2018/1725 („rozporządzenie") Agencja jest zatem zobowiązana do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą. |
(12) | Agencja może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osób, których dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu w art. 25 rozporządzenia przyznano Agencji, na ściśle określonych warunkach, możliwość ograniczenia stosowania art. 14-22, 35 i 36 rozporządzenia, a także art. 4, o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. O ile w akcie prawnym przyjętym na podstawie Traktatów nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których Agencja jest uprawniona do ograniczania tych praw. |
(13) | Agencja może np. potrzebować ograniczyć informacje, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych podczas etapu wstępnej oceny dochodzenia administracyjnego lub podczas samego dochodzenia, przed możliwym umorzeniem sprawy lub na etapie postępowania przeddyscyplinarnego. W pewnych okolicznościach udzielenie takich informacji może poważnie wpłynąć na zdolność Agencji do prowadzenia dochodzenia w skuteczny sposób, jeżeli na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub wpływać na potencjalnych świadków przed ich przesłuchaniem. Agencja może być również zobowiązana do ochrony praw i wolności świadków, a także innych zaangażowanych osób. |
(14) | Konieczna może być ochrona anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Agencja może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności. |
(15) | Może zaistnieć konieczność ochrony poufnych informacji dotyczących pracownika, który skontaktował się z zaufanymi doradcami Agencji w kontekście postępowania w sprawie molestowania. W takich przypadkach Agencja może być zmuszona ograniczyć dostęp do danych dotyczących tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy i innych zaangażowanych osób w celu ochrony praw i wolności wszystkich osób, których ta sprawa dotyczy. |
(16) | Agencja powinna stosować ograniczenia tylko wtedy, gdy są one zgodne z istotą podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. Agencja powinna przedstawić przyczyny stanowiące uzasadnienie tych ograniczeń. |
(17) | Zgodnie z zasadą rozliczalności Agencja powinna prowadzić rejestr stosowania ograniczeń. |
(18) | Przy przetwarzaniu danych osobowych wymienianych z innymi organizacjami w ramach wykonywania swoich zadań Agencja i te organizacje powinny konsultować się ze sobą w sprawie możliwych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności Agencji. |
(19) | Art. 25 ust. 6 rozporządzenia zobowiązuje administratora danych do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD. |
(20) | Zgodnie z art. 25 ust. 8 rozporządzenia Agencja ma prawo wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia, pominąć je lub go odmówić, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja powinna ocenić indywidualnie, czy powiadomienie o ograniczeniu anulowałoby jego skutek. |
(21) | Agencja powinna znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających je i regularnie oceniać te warunki. |
(22) | W celu zagwarantowania jak największej ochrony praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, należy w odpowiednim czasie skonsultować z inspektorem ochrony danych wszelkie ograniczenia, które mogą być zastosowane i zweryfikować ich zgodność z niniejszą decyzją. |
(23) | Art. 16 ust. 5 i art. 17 ust. 4 rozporządzenia przewidują wyjątki od prawa osób, których dane dotyczą, do informacji i prawa dostępu. Jeżeli wyjątki te mają zastosowanie, Agencja nie musi stosować ograniczenia na mocy niniejszej decyzji, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres stosowania
1. W niniejszej decyzji ustanawia się zasady dotyczące warunków, na jakich Agencja może ograniczyć stosowanie art. 4, 14-22, 35 i 36 zgodnie z art. art. 25 rozporządzenia.
2. Agencję, jako administratora danych, reprezentuje jej dyrektor wykonawczy.
Artykuł 2
Ograniczenia
1. Agencja może ograniczyć stosowanie art. 14-22, 35 i 36 oraz art. 4 rozporządzenia, o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20:
a) | zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia, podczas prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań dotyczących zawieszenia na mocy art. 86 i załącznika IX do regulaminu pracowniczego oraz decyzji nr 297 zarządu Agencji (4), a także przy przekazywaniu spraw OLAF-owi; |
b) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, podczas zapewniania pracownikom Agencji możliwości poufnego zgłaszania faktów, jeżeli uważają, że wystąpiły poważne nieprawidłowości, zgodnie z decyzją zarządu Agencji nr 183 w sprawie informowania o nieprawidłowościach (5) oraz decyzją nr 8 w sprawie dochodzeń wewnętrznych (6); |
c) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, podczas zapewniania pracownikom Agencji możliwości zgłaszania się do zaufanych doradców w kontekście procedury dotyczącej molestowania, określonej w decyzji Agencji ERA-ED-690-2013 (7); |
d) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, podczas prowadzenia audytów wewnętrznych dotyczących działań lub służb Agencji; |
e) | zgodnie z art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia, podczas udzielania pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymywania od nich pomocy, lub współpracy z nimi w kontekście działań prowadzonych na podstawie lit. a)-d) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy; |
f) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, podczas udzielania pomocy organom krajowym państw trzecich i organizacjom międzynarodowym lub otrzymywania od nich pomocy, lub współpracy z nimi, na ich wniosek lub z własnej inicjatywy; |
g) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, podczas udzielania pomocy organom publicznym państw członkowskich lub otrzymywania od nich pomoc, lub współpracy z nimi, na ich wniosek albo z własnej inicjatywy; |
h) | zgodnie z art. 25 ust. 1 lit. e) rozporządzenia, podczas przetwarzania danych osobowych znajdujących się w dokumentach otrzymanych od stron lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej. |
2. Wszelkie ograniczenia muszą być zgodne z istotą podstawowych praw i wolności oraz niezbędne i proporcjonalne w społeczeństwie demokratycznym.
3. Badanie konieczności i analizę proporcjonalności przeprowadza się indywidualnie dla każdego przypadku przed wprowadzeniem ograniczeń. Ograniczenia nie mogą wykraczać poza to, co jest ściśle niezbędne do osiągnięcia ich celu.
4. Do celów rozliczalności Agencja prowadzi rejestr opisujący przyczyny zastosowanych ograniczeń, mające zastosowanie przesłanki z ust. 1, jak również wynik testu konieczności i proporcjonalności. Dokumentacja ta stanowi część rejestru, który jest udostępniany na wniosek EIOD. Agencja przygotowuje sprawozdanie okresowe dotyczące stosowania art. 25 rozporządzenia.
5. Przetwarzając dane osobowe otrzymane od innych organizacji w ramach wykonywania swoich zadań, Agencja konsultuje się z tymi organizacjami w sprawie możliwych powodów nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności Agencji.
Artykuł 3
Zagrożenia dla praw i wolności osób, których dane dotyczą
1. Oceny ryzyka dla praw i wolności osób, których dane dotyczą, wynikające z nałożenia ograniczeń oraz szczegóły dotyczące okresu stosowania tych ograniczeń są zamieszczane w rejestrze czynności przetwarzania prowadzonym przez Agencję na podstawie art. 31 rozporządzenia. Są one również rejestrowane we wszelkich ocenach skutków dla ochrony danych, dotyczących tych ograniczeń, prowadzonych na podstawie art. 39 rozporządzenia.
2. Ilekroć Agencja ocenia konieczność i proporcjonalność ograniczenia, uwzględnia potencjalne zagrożenia dla praw i wolności osoby, której dane dotyczą.
Artykuł 4
Zabezpieczenia i okresy przechowywania
1. Agencja wdraża zabezpieczenia, aby zapobiegać nadużyciom i niezgodnemu z prawem dostępowi do danych osobowych, względem których stosuje się lub można zastosować ograniczenia, lub niezgodnemu z prawem przekazywaniu takich danych. Zabezpieczenia te obejmują środki techniczne i organizacyjne oraz są wyszczególnione, w razie potrzeby, w wewnętrznych decyzjach, procedurach i przepisach wykonawczych Agencji. Zabezpieczenia te obejmują:
a) | jasne określenie ról, obowiązków i etapów proceduralnych; |
b) | w stosownych przypadkach bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu i przypadkowemu dostępowi lub przekazywaniu danych elektronicznych osobom nieupoważnionym; |
c) | w stosownych przypadkach bezpieczne przechowywanie i przetwarzanie dokumentów w formie papierowej; |
d) | należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. |
2. Przeglądy, o których mowa w lit. d), prowadzone są co najmniej raz na sześć miesięcy.
3. Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie.
4. Dane osobowe są przechowywane zgodnie z mającymi zastosowanie przepisami Agencji dotyczącymi przechowywania, które mają być określone w rejestrach ochrony danych prowadzonych na podstawie art. 31 rozporządzenia. Na koniec okresu przechowywania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia.
Artykuł 5
Zaangażowanie inspektora ochrony danych
1. Inspektor ochrony danych Agencji jest niezwłocznie informowany za każdym razem, gdy ogranicza się prawa osoby, której dane dotyczą, zgodnie z niniejszą decyzją. Należy przyznać tej osobie dostęp do powiązanych rejestrów i wszelkich dokumentów dotyczących merytorycznego lub prawnego kontekstu.
2. Inspektor ochrony danych Agencji może złożyć wniosek o dokonanie przeglądu stosowania ograniczenia. Agencja informuje swojego inspektora ochrony danych na piśmie o wyniku takiego przeglądu.
3. Agencja dokumentuje zaangażowanie inspektora ochrony danych w stosowanie ograniczeń, w tym przekazane mu informacje.
Artykuł 6
Informowanie osób, których dane dotyczą, o ograniczeniach dotyczących ich praw
1. Agencja zamieszcza w informacjach o ochronie danych publikowanych w swoim intranecie sekcję, w której przedstawia osobom, których dane dotyczą, ogólne informacje na temat możliwości ograniczenia praw osób, których dane dotyczą, zgodnie z art. 2 ust. 1. Informacje te dotyczą praw, które mogą zostać ograniczone, powodów, dla których ograniczenia mogą być stosowane, oraz ich potencjalnego czasu trwania.
2. Agencja informuje osoby, których dane dotyczą, indywidualnie, na piśmie i bez zbędnej zwłoki o trwających lub przyszłych ograniczeniach ich praw. Agencja informuje osobę, której dane dotyczą, o głównych powodach stanowiących podstawę zastosowania ograniczenia, o jej prawie do skonsultowania się z inspektorem ochrony danych w celu podważenia ograniczenia oraz o jej prawie do wniesienia skargi do EIOD.
3. Agencja może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD jeżeli skutkowałoby to uchyleniem skutku ograniczenia. Oceny zasadności takiej decyzji dokonuje się w poszczególnych przypadkach. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, Agencja przekazuje te informacje osobie, której dane dotyczą.
Artykuł 7
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1. Jeżeli Agencja jest zobowiązana do zawiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia, może ona w wyjątkowych okolicznościach ograniczyć takie powiadomienia w całości lub w części. W zgłoszeniu dokumentuje powody takiego ograniczenia, podstawę prawną na mocy art. 2, i ocenę jego konieczności i proporcjonalności. Zgłoszenie to przekazuje się EIOD w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. Jeżeli powody ograniczenia przestają mieć zastosowanie, Agencja informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł 8
Poufność łączności elektronicznej
1. W wyjątkowych okolicznościach Agencja może ograniczyć prawo do poufności łączności elektronicznej na podstawie art. 36 rozporządzenia. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady (8).
2. Niezależnie od art. 6 ust. 3, w przypadku gdy Agencja ogranicza prawo do poufności łączności elektronicznej, informuje zainteresowaną osobę, której dane dotyczą, w odpowiedzi na wszelkie wnioski osoby, której dane dotyczą, o głównych powodach zastosowania ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł 9
Wejście w życie
Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
W imieniu zarządu, dnia 17 lutego 2021 r.
Przewodnicząca
Clio LIÉGEOIS
(1) Dz.U. L 295 z 21.11.2018, s. 39.
(2) Dz.U. L 138 z 26.5.2016, s. 1, zwane dalej „rozporządzeniem w sprawie Agencji".
(3) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
(4) Decyzja nr 297 zarządu Agencji Unii Europejskiej ustanawiająca ogólne przepisy wykonawcze dotyczące prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych z dnia 8 lipca 2022 r.
(5) Decyzja nr 183 zarządu Agencji Kolejowej Unii Europejskiej w sprawie wytycznych dotyczących informowania o nieprawidłowościach z dnia 15 listopada 2018 r.
(6) Decyzja nr 8 Rady Administracyjnej Europejskiej Agencji Kolejowej w sprawie warunków prowadzenia dochodzeń wewnętrznych w związku z zapobieganiem nadużyciom finansowym, korupcji i innym nielegalnym działaniom szkodzącym interesom Wspólnot z dnia 17 października 2006 r.
(7) Decyzja nr 690/2013 Europejskiej Agencji Kolejowej w sprawie polityki ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu.
(8) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00