DECYZJA EUROPEJSKIEGO BANKU INWESTYCYJNEGO
z dnia 9 października 2023 r.
ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez dyrekcję ds. zasobów ludzkich Europejskiego Banku Inwestycyjnego w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw [2023/2717]
EUROPEJSKI BANK INWESTYCYJNY („EBI”),
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 309
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1),
a także mając na uwadze, co następuje:
(1) | Zgodnie z art. 38 Regulaminów pracowniczych EBI I i II, w stosunku do pracowników, którzy nie wypełniają swoich zobowiązań wobec EBI, mogą zostać podjęte środki dyscyplinarne przewidziane procedurą określoną w art. 40 tych regulaminów. Zgodnie z art. 41 Regulaminów pracowniczych EBI I i II pracownicy mogą złożyć wniosek o dokonanie przeglądu aktu, który wywiera na nich negatywny wpływ. W związku z takim wnioskiem EBI może w niektórych przypadkach zaproponować pracownikowi ugodę przed komisją pojednawczą. Przepisy wykonawcze dotyczące kontroli administracyjnej określają bardziej szczegółowo zakres mechanizmu kontroli administracyjnej, a także procedurę, którą należy stosować. Zgodnie z Polityką godności w miejscu pracy EBI musi rozpatrywać skargi dotyczące molestowania. |
(2) | Podstawową odpowiedzialność za organizację procedur określonych w art. 40 i 41 Regulaminów pracowniczych EBI I i II, w Polityce godności w miejscu pracy i w Przepisach wykonawczych dotyczących kontroli administracyjnej oraz za zarządzanie tymi procedurami ponosi dyrekcja ds. zasobów ludzkich EBI. |
(3) | W trakcie wykonywania swoich zadań dyrekcja ds. zasobów ludzkich ma obowiązek przestrzegania praw osób fizycznych w odniesieniu do przetwarzania danych osobowych wynikających z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej, jak również z aktów prawnych opartych na tych przepisach. Jednocześnie dyrekcja ds. zasobów ludzkich ma obowiązek przestrzegania ścisłych zasad poufności i tajemnicy zawodowej, o których mowa w Regulaminie pracowniczym EBI i w Kodeksie postępowania dla pracowników EBI, oraz poszanowania praw procesowych osób objętych procedurą i świadków, a w szczególności prawa osób objętych procedurą do rzetelnego postępowania sądowego, prawa do obrony i zasady domniemania niewinności. |
(4) | W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, określonych w rozporządzeniu (UE) 2018/1725, z celami i wymogami zadań realizowanych przez dyrekcję ds. zasobów ludzkich, jak również z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 powyższego rozporządzenia stanowi, że dyrekcja ds. zasobów ludzkich może ograniczyć stosowanie art. 14-21 i 35, a także art. 4 w zakresie, w jakim przepisy tego rozporządzenia odpowiadają prawom i obowiązkom przewidzianym w art. 14-21. |
(5) | W celu zapewnienia skuteczności procedur realizowanych przez komisję dyscyplinarną powołaną zgodnie z art. 40 pracowniczych I i II, przez służbę odpowiedzialną za kontrolę administracyjną zgodnie z art. 41 Regulaminów pracowniczych I i II oraz, w stosownym przypadku, przez komisję pojednawczą powołaną w celu polubownego rozwiązania sporu, jak również przez panel ds. godności w miejscu pracy powołany zgodnie z Polityką godności w miejscu pracy, przy jednoczesnym poszanowaniu standardów ochrony danych osobowych wynikających z rozporządzenia (UE) 2018/1725, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których dyrekcja ds. zasobów ludzkich będzie mogła ograniczać prawa osób, których dane dotyczą, zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725. |
(6) | Przepisy wewnętrzne powinny mieć zastosowanie do wszystkich operacji przetwarzania realizowanych przez dyrekcję ds. zasobów ludzkich w ramach wykonywania uprawnień wynikających z art. 40 i 41 Regulaminów pracowniczych EBI I i II oraz zgodnie z Polityką godności w miejscu pracy. Ponadto powyższe przepisy powinny mieć zastosowanie do operacji przetwarzania realizowanych przed uruchomieniem procedur wykonywanych przez komisję dyscyplinarną, służbę odpowiedzialną za kontrolę administracyjną lub komisję pojednawczą i panel ds. godności w miejscu pracy, w trakcie wykonywania powyższych procedur oraz w trakcie wykonywania dalszych działań wynikających z powyższych procedur. |
(7) | W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 administrator danych powinien informować wszystkie osoby fizyczne o swoich działaniach związanych z przetwarzaniem ich danych osobowych oraz o ich prawach w sposób przejrzysty i spójny w formie komunikatów o ochronie danych publikowanych w serwisie intranetowym EBI, jak również powinien indywidualnie informować osoby, których dane dotyczą i których dotyczy jego działalność, tj. osoby objęte procedurą, strony i świadków. |
(8) | W celu utrzymania skutecznej współpracy dyrekcja ds. zasobów ludzkich może być także zmuszona do stosowania ograniczeń w odniesieniu do praw osób, których dane dotyczą, do ochrony informacji zawierających dane osobowe pochodzących od innych instytucji, organów i jednostek organizacyjnych Unii Europejskiej, właściwych organów państw członkowskich i państw trzecich oraz organizacji międzynarodowych. W tym celu dyrekcja ds. zasobów ludzkich powinna konsultować ze wspomnianymi innymi instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej oraz organami państw i organizacjami międzynarodowymi zastosowanie ograniczeń w oparciu o istotne przesłanki, konieczność ich zastosowania oraz ich proporcjonalność. |
(9) | Dyrekcja ds. zasobów ludzkich powinna rozpatrywać wszystkie ograniczenia w przejrzysty sposób i rejestrować każde zastosowanie ograniczeń w odpowiednim systemie rejestracji. |
(10) | Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administratorzy danych mogą wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia lub odmówić przekazania takich informacji, jeżeli mogłoby to w jakikolwiek sposób zagrozić celowi ograniczenia. Dotyczy to w szczególności przypadków ograniczenia praw przewidzianych w art. 16 i 35 rozporządzenia (UE) 2018/1725. Dyrekcja ds. zasobów ludzkich powinna regularnie weryfikować swoje stanowisko, aby zapewnić, że prawo osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 jest ograniczone jedynie tak długo, jak długo zachodzą przesłanki opóźnienia przekazania tych informacji. |
(11) | W przypadku ograniczenia praw innych osób, których dane dotyczą, dyrekcja ds. zasobów ludzkich powinna ocenić w poszczególnych przypadkach, czy poinformowanie o ograniczeniu zagrażałoby celowi takiego ograniczenia. |
(12) | Inspektor ochrony danych EBI może przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres stosowania
1. Niniejsza decyzja ustanawia przepisy, których zobowiązany jest przestrzegać administrator danych, zgodnie z definicją zawartą w art. 2 ust. 1, dotyczące informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725.
Ustanawia ona także warunki, na jakich właściwy administrator danych może ograniczyć stosowanie art. 14-21 i 35 oraz art. 4 tego rozporządzenia, zgodnie z art. 25 ust. 1 lit. c), g) i h) powyższego rozporządzenia.
2. Niniejsza decyzja dotyczy przetwarzania danych osobowych przez dyrekcję ds. zasobów ludzkich w celu wykonywania lub w związku z wykonywaniem czynności służących realizacji jej zadań, o których mowa w art. 40 i 41 Regulaminów pracowniczych EBI I i II oraz w Polityce godności w miejscu pracy (z późniejszymi zmianami).
3. W ramach swoich uprawnień dyrekcja ds. zasobów ludzkich przetwarza kilka kategorii danych osobowych, w szczególności dane identyfikacyjne, dane kontaktowe, dane zawodowe i dane dotyczące udziału w sprawie.
Artykuł 2
Specyfikacja administratora danych i zabezpieczeń
1. Administratorem operacji przetwarzania danych jest dyrektor generalny ds. zasobów ludzkich.
2. Dane osobowe przechowywane są w zabezpieczonym środowisku elektronicznym i fizycznym, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu.
3. Przetwarzane dane osobowe przechowywane są przez co najmniej sześć miesięcy od dnia początkowego określonego w Harmonogramie przechowywania danych. Dokładne informacje na temat długości okresów przechowywania danych w przypadku poszczególnych procedur zawiera Harmonogram przechowywania danych opracowany przez dyrekcję ds. zasobów ludzkich.
Artykuł 3
Obowiązujące wyjątki i ograniczenia
1. Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, dyrekcja ds. zasobów ludzkich uwzględnia, czy mają zastosowanie jakiekolwiek wyjątki przewidziane w tym rozporządzeniu.
2. Z zastrzeżeniem art. 4-7 niniejszej decyzji dyrekcja ds. zasobów ludzkich może ograniczyć stosowanie art. 14-21 i 35 rozporządzenia (UE) 2018/1725, a także art. 4 w zakresie, w jakim postanowienia tej decyzji odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 tego rozporządzenia, w przypadku gdy wykonywanie tych praw i obowiązków zagrażałoby celowi procedur określonych w art. 40 i 41 Regulaminów pracowniczych EBI I i II oraz w Polityce godności w miejscu pracy lub naruszałoby prawa i wolności innych osób, których dane dotyczą.
3. Z zastrzeżeniem art. 4-7 niniejszej decyzji dyrekcja ds. zasobów ludzkich może również ograniczyć prawa i obowiązki, o których mowa w ust. 2 niniejszego artykułu, w odniesieniu do danych osobowych uzyskanych od innych instytucji, organów i jednostek organizacyjnych Unii Europejskiej, właściwych organów państw członkowskich bądź organizacji międzynarodowych, jeżeli zachodzą następujące okoliczności:
a) | gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez inne instytucje, organy i jednostki organizacyjne Unii Europejskiej na podstawie innych aktów, o których mowa w art. 25 powyższego rozporządzenia, lub zgodnie z rozdziałem IX tego rozporządzenia; |
b) | gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (2), lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 (3); |
c) | gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy dyrekcji ds. zasobów ludzkich z państwami trzecimi i organizacjami międzynarodowymi przy wypełnianiu jej zadań. |
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, dyrekcja ds. zasobów ludzkich konsultuje się z właściwymi instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dyrekcja ds. zasobów ludzkich nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.
Litera c) akapitu pierwszego nie ma zastosowania, w przypadku gdy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, przeważają nad interesem Unii Europejskiej dotyczącym współpracy z państwami trzecimi lub organizacjami międzynarodowymi.
4. Postanowienia ust. 1, 2 i 3 pozostają bez uszczerbku dla stosowania innych decyzji EBI (4) ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczania niektórych praw w trybie art. 25 rozporządzenia (UE) 2018/1725.
Artykuł 4
Przekazywanie informacji osobom, których dane dotyczą
1. Dyrekcja ds. zasobów ludzkich publikuje w serwisie intranetowym EBI informacje o ochronie danych, w których powiadamia wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych, zawierające komunikat o ochronie danych dotyczący możliwego ograniczenia ich praw. Informacje te dotyczą praw, które mogą zostać ograniczone, podstaw, na jakich ograniczenia mogą być stosowane, oraz ich potencjalnego czasu trwania.
2. Dyrekcja ds. zasobów ludzkich informuje poszczególne osoby, których dane dotyczą, będące stronami procedury, osobami, których dotyczy procedura, lub świadkami, w specjalnym komunikacie o ochronie danych zawierającym informacje dotyczące praw, które mogą zostać ograniczone, przyczyn zastosowania takiego ograniczenia bądź takich ograniczeń oraz potencjalnego czasu trwania takiego ograniczenia bądź takich ograniczeń.
3. W przypadku całkowitego lub częściowego ograniczenia przez dyrekcję ds. zasobów ludzkich przekazywania informacji osobom, których dane dotyczą i o których mowa w art. 2, dyrekcja ds. zasobów ludzkich odnotowuje przyczyny zastosowania takiego ograniczenia, w tym ocenę jego konieczności i proporcjonalności. W ramach takiej oceny dokumentuje się również ryzyko związane z odnośną procedurą oraz wpływ na prawa i wolności osób, których dane dotyczą.
W tym celu we wpisie określa się w szczególności, w jaki sposób przekazanie takich informacji zniweczyłoby skutek ograniczenia zastosowanego (ograniczeń zastosowanych) zgodnie z art. 3 ust. 2 i art. 3 ust. 3 bądź jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.
W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych (EIOD).
4. Ograniczenie, o którym mowa w ust. 3, stosuje się tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.
Gdy przyczyny stosowania ograniczenia przestają obowiązywać, dyrekcja ds. zasobów ludzkich przekazuje stosowne informacje osobie, której dane dotyczą, oraz podaje jej przyczyny ograniczenia. Jednocześnie dyrekcja ds. zasobów ludzkich informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
Dyrekcja ds. zasobów ludzkich dokonuje przeglądu zastosowania danego ograniczenia co najmniej co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownej procedury. Następnie administrator danych co sześć miesięcy monitoruje konieczność zachowania jakiegokolwiek ograniczenia.
Artykuł 5
Prawo dostępu przysługujące osobie, której dane dotyczą
1. W przypadku gdy dyrekcja ds. zasobów ludzkich ogranicza, całkowicie lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje ona następujące kroki:
a) | w odpowiedzi na wniosek o udzielenie dostępu informuje przedmiotową osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, o jego czasie trwania, a także o możliwości wniesienia skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej; |
b) | odnotowuje przyczyny zastosowania takiego ograniczenia, w tym ocenę jego konieczności i proporcjonalności; w tym celu we wpisie określa, w jaki sposób przekazanie tych informacji i wykonanie prawa zagroziłoby celowi danej procedury lub zniweczyłoby skutek ograniczeń zastosowanych zgodnie z art. 3 ust. 2 i art. 3 ust. 3 bądź jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą. |
Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można opóźnić przekazanie informacji, o których mowa w lit. a), pominąć je lub go odmówić.
2. W rejestrze uwzględnia się wpis, o którym mowa w ust. 2 lit. b) akapitu pierwszego, oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie EIOD. Zastosowanie ma art. 25 ust. 7 rozporządzenia (UE) 2018/1725.
3. Ograniczenie, o którym mowa w ust. 1, stosuje się tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.
Gdy przyczyny stosowania ograniczenia przestają obowiązywać, dyrekcja ds. zasobów ludzkich przekazuje stosowne informacje osobie, której dane dotyczą, oraz podaje jej przyczyny ograniczenia. Jednocześnie dyrekcja ds. zasobów ludzkich informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
Dyrekcja ds. zasobów ludzkich dokonuje przeglądu zastosowania danego ograniczenia co najmniej co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownej procedury. Następnie administrator danych co sześć miesięcy monitoruje konieczność zachowania jakiegokolwiek ograniczenia.
Artykuł 6
Prawo do poprawiania danych, ich usunięcia i ograniczenia przetwarzania
Jeżeli dyrekcja ds. zasobów ludzkich ogranicza, całkowicie lub częściowo, stosowanie prawa do poprawiania danych, ich usunięcia lub prawa do ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje ona kroki określone w art. 5 ust. 2 i art. 5 ust. 3 niniejszej decyzji.
Artykuł 7
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Jeżeli dyrekcja ds. zasobów ludzkich ogranicza zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, o czym mowa w art. 35 rozporządzenia (UE) 2018/1725, odnotowuje ona i rejestruje powody takiego ograniczenia zgodnie z art. 4 ust. 3 niniejszej decyzji. Zastosowanie ma art. 4 ust. 4 niniejszej decyzji.
Artykuł 8
Przegląd prowadzony przez inspektora ochrony danych
Dyrekcja ds. zasobów ludzkich niezwłocznie informuje inspektora ochrony danych o swojej decyzji o ograniczeniu stosowania praw osób, których dane dotyczą, zgodnie z niniejszą decyzją. Inspektor ochrony danych dokonuje przeglądu wpisu w rejestrze oraz oceny konieczności i proporcjonalności ograniczenia. Z przeglądu przeprowadzonego przez inspektora ochrony danych zostanie sporządzona dokumentacja.
Inspektor ochrony danych może zwrócić się do dyrekcji ds. zasobów ludzkich na piśmie o dokonanie przeglądu stosowania ograniczeń. Dyrekcja ds. zasobów ludzkich informuje inspektora ochrony danych na piśmie o wynikach wnioskowanego przeglądu.
Artykuł 9
Wejście w życie
Niniejsza decyzja, zatwierdzona przez Radę Dyrektorów EBI w dniu 9 października 2023 r., zastępuje decyzję EBI ustanawiającą przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez dyrekcję ds. zasobów ludzkich Europejskiego Banku Inwestycyjnego w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw, zatwierdzoną przez Radę Dyrektorów EBI w dniu 26 lutego 2019 r. Decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Luksemburgu dnia 9 października 2023 r.
(1) Dz.U. L 295 z 21.11.2018, s. 39.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016 L 119 z 4.5.2016, s. 1).
(3) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016 L 119 z 4.5.2016, s. 89).
(4) Takich jak podobne decyzje przyjęte przez inne dyrekcje EBI.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00