Decyzja 22/2023 Rady Zarządzającej Europejskiego Instytutu Innowacji i Technologii (EIT) w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EIT
RADA ZARZĄDZAJĄCA EIT,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/819 z dnia 20 maja 2021 r. w sprawie Europejskiego Instytutu Innowacji i Technologii (1), w szczególności jego art. 17 ust. 6,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (2) (zwane dalej „rozporządzeniem”), w szczególności jego art. 25,
uwzględniając wytyczne Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 24 czerwca 2020 r. dotyczące art. 25 rozporządzenia (UE) 2018/1725 oraz wewnętrzne zasady ograniczające prawa osób, których dane dotyczą (3),
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1) | Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725, w przypadku braku aktów prawnych przyjętych na podstawie Traktatów, stosowanie art. 14-22, 35 i 36, a także art. 4 tego rozporządzenia - o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - należy ograniczyć przepisami wewnętrznymi przyjętymi przez Agencję. |
(2) | Te przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania jeżeli akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą. |
(3) | Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu. |
(4) | EIT w ramach swojej działalności może prowadzić dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne i postępowania dotyczące zawieszenia, zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej ustanowionymi rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 (4) („regulamin pracowniczy”) i z decyzją 29/2022 Rady Zarządzającej EIT (5). |
(5) | Pracownicy EIT mają obowiązek zgłaszania przypadków potencjalnie nielegalnej działalności, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii lub postępowania związanego z wykonywaniem obowiązków służbowych, które może stanowić poważne zaniedbanie w wypełnianiu obowiązków określonych w regulaminie pracowniczym. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne uchybienie obowiązkom urzędników Unii. Reguluje to decyzja 33/2018 Rady Zarządzającej EIT ustanawiająca wytyczne dotyczące informowania o nieprawidłowościach (6). |
(6) | EIT opracował politykę zapobiegania faktycznym lub potencjalnym przypadkom mobbingu lub molestowania seksualnego w miejscu pracy oraz skutecznego postępowania w takich przypadkach, zgodnie z decyzją 16/2017 Rady Zarządzającej EIT (7). Ponadto decyzją 28/2019 dyrektora EIT (8) przyjęto podręcznik nieformalnych procedur w sprawach dotyczących mobbingu i molestowania seksualnego. W decyzjach tych ustanowiono nieformalne procedury, w ramach których osoba będąca domniemaną ofiarą nękania może skontaktować się z zaufanymi doradcami EIT (9). EIT może również rozpatrywać skargi wewnętrzne i zewnętrzne, przeprowadzać audyty wewnętrzne, prowadzić dochodzenia za pośrednictwem inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725. |
(7) | EIT podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jego działań. |
(8) | W kontekście wyżej wymienionych zadań EIT może udzielać pomocy i korzystać z niej, a także angażować się we wzajemną współpracę z innymi instytucjami, organami i jednostkami organizacyjnymi Unii, zgodnie z postanowieniami odpowiednich umów o gwarantowanym poziomie usług, protokołów ustaleń i umów o współpracy. |
(9) | EIT może również współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy. |
(10) | EIT może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy. |
(11) | EIT angażuje się w sprawy przed Trybunałem Sprawiedliwości Unii Europejskiej, w przypadku gdy kieruje kwestię do Trybunału, broni podjętej przez siebie decyzji, którą zaskarżono przed Trybunałem, albo interweniuje w sprawach istotnych dla jego zadań. W tym kontekście EIT może być zmuszony do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów. |
(12) | Aby wypełniać swoje zadania, EIT gromadzi i przetwarza informacje oraz kilka kategorii danych osobowych, w tym dane identyfikacyjne dotyczące danych osób fizycznych, dane kontaktowe, informacje o rolach i zadaniach zawodowych, informacje na temat prywatnego i zawodowego zachowania oraz wyników, a także dane finansowe. EIT działa w charakterze administratora danych. |
(13) | Na mocy rozporządzenia (UE) 2018/1725 EIT jest zatem zobowiązany do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą. |
(14) | Może zaistnieć konieczność pogodzenia przez EIT praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, z potrzebami wyżej wymienionych działań, przy pełnym poszanowaniu podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 rozporządzenia (UE) 2018/1725 przewiduje, na ściśle określonych warunkach, możliwość ograniczenia stosowania art. 14-20, 35 i 36, jak również art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. O ile w akcie prawnym przyjętym na podstawie Traktatów nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których EIT może ograniczyć te prawa zgodnie z tym samym artykułem rozporządzenia (UE) 2018/1725. |
(15) | W szczególności może to mieć miejsce w przypadku przekazywania informacji na temat przetwarzania danych osobowych osobie, której dane dotyczą, na etapie wstępnej oceny dochodzenia administracyjnego lub w trakcie samego dochodzenia, przed ewentualnym oddaleniem sprawy lub etapem poprzedzającym postępowanie dyscyplinarne. W pewnych okolicznościach dostarczenie takich informacji może poważnie wpłynąć na zdolność EIT do skutecznego prowadzenia dochodzenia, na przykład w każdym przypadku, gdy istnieje ryzyko, że dana osoba zniszczy dowody lub będzie wpływać na potencjalnych świadków przed przesłuchaniem. Ponadto konieczne może być zapewnienie przez EIT ochrony ich praw i wolności, jak również praw i wolności innych zaangażowanych osób. |
(16) | Konieczna może być ochrona anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku EIT może podjąć decyzję o ograniczeniu dostępu do danych dotyczących tożsamości, oświadczeń i innych danych osobowych sygnalisty i innych zaangażowanych osób, w celu ochrony ich praw i wolności. |
(17) | Może zaistnieć konieczność ochrony poufnych informacji dotyczących pracownika, który skontaktował się z zaufanymi doradcami EIT w kontekście postępowania w sprawie molestowania. W takim przypadku EIT może podjąć decyzję o ograniczeniu dostępu do danych dotyczących tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy i innych zaangażowanych osób, w celu ochrony ich praw i wolności. |
(18) | W trakcie prowadzenia dochodzeń w sprawie czynności przetwarzania mających miejsce w EIT może zaistnieć konieczność zachowania przez inspektora ochrony danych skuteczności prowadzonych przez siebie dochodzeń oraz, w razie potrzeby, ochrony osób zaangażowanych oraz ich praw i wolności. |
(19) | EIT powinien stosować ograniczenia tylko wtedy, gdy respektują one istotę podstawowych praw i wolności oraz są bezwzględnie konieczne i proporcjonalne w demokratycznym społeczeństwie. EIT powinien przedstawić uzasadnienie wyjaśniające powody tych ograniczeń. |
(20) | W oparciu o zasadę rozliczalności EIT powinien prowadzić rejestr stosowania ograniczeń. |
(21) | Przy przetwarzaniu danych osobowych wymienianych z innymi organizacjami w ramach wykonywania swoich zadań EIT i te organizacje powinny konsultować się ze sobą w sprawie możliwych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności EIT. |
(22) | Art. 25 ust. 6 rozporządzenia (UE) 2018/1725 zobowiązuje administratora do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD. |
(23) | Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 EIT może odroczyć, pominąć udzielenie informacji na temat przyczyn zastosowania ograniczenia wobec osoby, której dane dotyczą, lub odmówić udzielenia tych informacji, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. EIT powinien ocenić w poszczególnych przypadkach i we współpracy z inspektorem ochrony danych, czy powiadomienie o ograniczeniu unieważniłoby jego skutek. |
(24) | EIT powinien znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie oceniać te warunki. |
(25) | W celu zagwarantowania jak największej ochrony praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, należy poinformować inspektora ochrony danych w odpowiednim czasie o wszelkich ograniczeniach, które mogą być zastosowane, i zweryfikować ich zgodność z niniejszą decyzją. |
(26) | Stosowanie wyżej wymienionych ograniczeń pozostaje bez uszczerbku dla ewentualnego zastosowania przepisów art. 16 ust. 5 i art. 17 ust. 4 rozporządzenia (UE) 2018/1725 odnoszących się, odpowiednio, do prawa do informacji, gdy dane nie zostały uzyskane od osoby, której dane dotyczą, oraz do prawa dostępu przysługującego osobie, której dane dotyczą. Jeżeli wyjątki te mają zastosowanie, EIT nie musi stosować ograniczenia na mocy niniejszej decyzji, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres stosowania
W niniejszej decyzji ustanawia się zasady dotyczące warunków, na jakich EIT może ograniczyć stosowanie art. 14-20, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
Artykuł 2
Określenie administratora
1. Administratorem procesów przetwarzania danych jest EIT, reprezentowany przez dyrektora, który może delegować obowiązki administratora.
2. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w oświadczeniach o ochronie danych lub rejestrach publikowanych na stronie internetowej lub w intranecie EIT.
Artykuł 3
Ograniczenia
1. EIT, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w tym rozporządzeniu.
2. Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 EIT może ograniczyć stosowanie art. 14-20, 35 i 36, jak również art. 4 rozporządzenia, o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20 rozporządzenia (UE) 2018/1725:
a) | zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia(UE) 2018/1725, gdy prowadzi dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne i postępowania dotyczące zawieszenia na podstawie art. 86 i załącznika IX do regulaminu pracowniczego i decyzji Rady Zarządzającej EIT ustanawiającej przepisy wykonawcze w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych oraz gdy zgłasza sprawy do OLAF; |
b) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725 w trakcie procedur informowania o nieprawidłowościach w celu zapewnienia pracownikom EIT możliwości poufnego zgłaszania faktów, jeżeli uważają, że występują poważne nieprawidłowości, jak określono w decyzji 33/2018 Rady Zarządzającej EIT w sprawie ustanowienia wytycznych dotyczących informowania o nieprawidłowościach; |
c) | zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725 w formalnych i nieformalnych procedurach podejmowanych w przypadkach molestowania mających na celu zapewnienie pracownikom EIT możliwości poufnego zgłaszania się do zaufanych doradców w kontekście postępowania w sprawie molestowania, określonego w decyzji 16/2017 Rady Zarządzającej EIT w sprawie polityki EIT w zakresie ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu oraz decyzji 28/2019 dyrektora EIT w sprawie przyjęcia podręcznika nieformalnych procedur w przypadkach mobbingu i molestowania seksualnego; |
d) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725, w przypadku przeprowadzania audytów wewnętrznych lub zewnętrznych w odniesieniu do działań lub jednostek/działów EIT; |
e) | zgodnie z art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia (UE) 2018/1725, gdy udziela pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymuje od nich pomoc, lub współpracuje z nimi w kontekście działań prowadzonych na podstawie lit. a)-d) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy; |
f) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725, gdy udziela pomocy organom krajowym państw trzecich i organizacjom międzynarodowym lub otrzymuje od nich pomoc, lub współpracuje z nimi, na ich wniosek lub z własnej inicjatywy; |
g) | zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725, gdy udziela pomocy organom publicznym państw członkowskich lub otrzymuje od nich pomoc, lub współpracuje z nimi, na ich wniosek albo z własnej inicjatywy; |
h) | zgodnie z art. 25 ust. 1 lit. e) rozporządzenia (UE) 2018/1725 podczas przetwarzania danych osobowych znajdujących się w dokumentach uzyskanych przez strony lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej, jak również w przypadku postępowań wszczętych przez organy krajowe lub sądy państwa członkowskiego; |
i) | na podstawie art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725, gdy inspektor ochrony danych prowadzi dochodzenia w sprawie czynności przetwarzania prowadzonych w EIT zgodnie z decyzją 01/2020 dyrektora EIT w sprawie przepisów wykonawczych dotyczących inspektora ochrony danych Europejskiego Instytutu Innowacji i Technologii (10) oraz zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725. |
3. Kategorie danych obejmują dane identyfikacyjne osoby fizycznej, dane kontaktowe, informacje o rolach i zadaniach zawodowych, informacje na temat zachowań prywatnych i zawodowych oraz wyniki, a także dane finansowe.
4. Wszelkie ograniczenia respektują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym.
5. Badanie konieczności i analizę proporcjonalności przeprowadza się indywidualnie dla każdego przypadku przed wprowadzeniem ograniczeń i muszą być one należycie udokumentowane. Należy stosować tylko takie ograniczenia, które są niezbędnie konieczne do osiągnięcia założonych celów.
6. Ograniczenia powinny być należycie monitorowane przez administratora danych, a okresowy przegląd wraz z analizą konieczności i proporcjonalności przeprowadza się co sześć miesięcy po ich przyjęciu w porozumieniu z inspektorem ochrony danych.
7. Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie. Administrator danych w porozumieniu z inspektorem ochrony danych przekazuje takie informacje osobie, której dane dotyczą, wraz z informacjami na temat możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych (EIOD) lub skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.
8. Do celów rozliczalności EIT sporządza protokół opisujący przyczyny zastosowanych ograniczeń, do których mają zastosowanie powody wymienione w ust. 1, oraz wyniki badania konieczności i analizy proporcjonalności. Dokumentacja ta stanowi część rejestru ad hoc, który jest prowadzony przez inspektora ochrony danych i udostępniany na wniosek Europejskiego Inspektora Ochrony Danych (EIOD). EIT przygotowuje sprawozdanie okresowe dotyczące stosowania art. 25 rozporządzenia (UE) 2018/1725.
9. Przetwarzając dane osobowe wymieniane z innymi organizacjami w ramach wykonywania swoich zadań, EIT konsultuje się z tymi organizacjami i uzyskuje od nich informacje w sprawie możliwych istotnych powodów nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności EIT.
Artykuł 4
Zagrożenia dla praw i wolności osób, których dane dotyczą
1. Ocena zagrożeń dla praw i wolności osób, których dane osobowe mogą podlegać ograniczeniom, jak również okres zatrzymywania danych, znajdują się w rejestrze czynności przetwarzania prowadzonym przez EIT zgodnie z art. 31 rozporządzenia (UE) 2018/1725 oraz, w stosownych przypadkach, w odpowiednich ocenach skutków dla ochrony danych dotyczących tych ograniczeń na podstawie art. 39 wspomnianego rozporządzenia.
2. W każdym przypadku, gdy EIT dokonuje oceny konieczności i proporcjonalności ograniczeń, uwzględnia potencjalne ryzyka naruszenia praw i wolności osoby, której dane dotyczą.
Artykuł 5
Zabezpieczenia i okresy przechowywania
1. EIT wdraża odpowiednie zabezpieczenia zapobiegające nadużyciom i niezgodnemu z prawem dostępowi do danych osobowych lub ich przekazywaniu, które to dane mogą zostać objęte ograniczeniami. Zabezpieczenia te obejmują środki techniczne i organizacyjne wprowadzone w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub nieupoważnionym ujawnieniem, zmodyfikowaniem i dostępem oraz przed wszelkimi innymi bezprawnymi formami przetwarzania i są w razie potrzeby wyszczególnione w wewnętrznych decyzjach, procedurach i przepisach wykonawczych EIT.
Zabezpieczenia te obejmują:
a) | wyraźną definicję ról, obowiązków i etapów proceduralnych; |
b) | w stosownych przypadkach bezpieczne środowisko elektroniczne, które zapobiega niezgodnemu z prawem i przypadkowemu dostępowi nieupoważnionych osób do danych elektronicznych lub ich przesyłowi do takich osób; |
c) | w stosownych przypadkach bezpieczne przechowywanie i przetwarzanie dokumentów papierowych; |
d) | należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. |
Przeglądy, o których mowa w lit. d), prowadzone są co najmniej raz na sześć miesięcy.
2. Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie.
3. Okres przechowywania danych osobowych, które mogą podlegać ograniczeniom, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym przypadku nie może on być dłuższy niż okres przechowywania określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach ochrony danych prowadzonych na podstawie art. 31 rozporządzenia (UE) 2018/1725. Na koniec okresu zatrzymywania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia (UE) 2018/1725.
Artykuł 6
Informacje dla inspektora ochrony danych i ich przegląd
1. Administrator bez zbędnej zwłoki informuje inspektora ochrony danych o każdym przypadku ograniczenia praw osoby, której dane dotyczą, zgodnie z niniejszą decyzją, i uzyskuje dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności, jak również do wszelkich dokumentów dotyczących elementów faktycznych lub prawnych.
2. Inspektor ochrony danych może złożyć wniosek o dokonanie przeglądu stosowania ograniczenia. EIT informuje swojego IOD na piśmie o wyniku takiego przeglądu dokonanego przez administratora danych.
3. Udział inspektora ochrony danych w procedurze nakładania ograniczeń, w tym w wymianie informacji, jest dokumentowany w odpowiedniej formie przez administratora danych.
Artykuł 7
Informowanie osób, których dane dotyczą, o ograniczeniach dotyczących ich praw
1. EIT umieszcza w zawiadomieniach o ochronie danych publikowanych na jego stronie internetowej lub w intranecie sekcję informującą wszystkie osoby, których dane dotyczą, o czynnościach przetwarzania obejmujących przetwarzanie ich danych osobowych, które mogłyby podlegać ograniczeniom zgodnie z niniejszymi przepisami. W informacjach tych uwzględnia się, które prawa mogą być ograniczane, podstawy możliwego stosowania ograniczeń i ich potencjalny okres obowiązywania.
2. Administratorzy danych indywidualnie informują na piśmie i niezwłocznie osoby, których dane dotyczą, będące stronami procedury, strony, których dotyczą procedury, lub świadków o trwających lub przyszłych ograniczeniach ich praw.
3. Jeżeli w kontekście działań wymienionych w niniejszej decyzji EIT ogranicza, w całości lub w części, prawa osób, których dane dotyczą, wymienione w art. 14-16 i 35 rozporządzenia (UE) 2018/1725, osoby te są informowane o głównych powodach, na których opiera się stosowanie ograniczenia, oraz o ich prawie do skonsultowania się z inspektorem ochrony danych w celu zakwestionowania ograniczenia, a także o przysługującym im prawie do złożenia skargi do EIOD, jak również o prawie do skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.
4. EIT może wstrzymać przekazanie informacji o powodach zastosowania ograniczenia, o którym mowa w ust. 1, i o prawie do wniesienia skargi do EIOD, pominąć je lub go odmówić przez czas, przez jaki mogłoby ono unieważnić skutek ograniczenia. Oceny, czy byłoby to uzasadnione, dokonuje się indywidualnie dla każdego przypadku we współpracy z inspektorem ochrony danych. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, EIT przekazuje te informacje osobie, której dane dotyczą.
Artykuł 8
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1. Jeżeli EIT jest zobowiązany do zawiadomienia o naruszeniu ochrony danych zgodnie z art. 35 ust. 1 rozporządzenia (UE) 2018/1725, może, w wyjątkowych okolicznościach, ograniczyć takie zawiadomienie w całości lub w części. W zgłoszeniu dokumentuje powody takiego ograniczenia, podstawę prawną, na mocy art. 2, i ocenę jego konieczności i proporcjonalności. Notę przekazuje się EIOD w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. Jeżeli przyczyny ograniczenia przestają mieć zastosowanie, EIT zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł 9
Poufność łączności elektronicznej
1. W wyjątkowych okolicznościach EIT może ograniczyć prawo do poufności łączności elektronicznej na podstawie art. 36 rozporządzenia (UE) 2018/1725. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady.
2. W przypadku gdy EIT ogranicza prawo do poufności łączności elektronicznej, informuje o tym zainteresowaną osobę, której dotyczą dane, w odpowiedzi na jej wniosek, o podstawowych powodach zastosowania ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD lub wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
3. EIT może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD dopóki skutkowałoby to uchyleniem skutku ograniczenia. Ocena ta przeprowadzana jest indywidualnie dla każdego przypadku we współpracy z inspektorem ochrony danych.
Artykuł 10
Wejście w życie
Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Heraklionie, dnia 21 czerwca 2023 r.
Przewodniczący Rady Zarządzającej
Nektarios TAVERNARAKIS
(1) Dz.U. L 189 z 28.5.2021, s. 61.
(2) Dz.U. L 295 z 21.11.2018, s. 39.
(3) https://edps.europa.eu/sites/edp/files/publication/20-06-24_edps_guidance_on_article_25_of_the_new_regulation_and_internal_rules_en.pdf
(4) Dz.U. L 56 z 4.3.1968, s. 1, ELI: http://data.europa.eu/eli/reg/1968/259(1)/oj.
(5) Decyzja 29/2022 Rady Zarządzającej EIT z dnia 5 sierpnia 2022 r. ustanawiająca ogólne przepisy wykonawcze w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych; https://eit.europa.eu/library/gb-decisionadministrative-inquiries-disciplinary-proceedings.
(6) Decyzja 33/2018 Rady Zarządzającej EIT z dnia 30 listopada 2018 r. w sprawie ustanowienia wytycznych dotyczących informowania o nieprawidłowościach; https://eit.europa.eu/library/eit-governing-board-decision-332018-laying-down-guidelines-whistleblowing.
(7) Decyzja 16/2017 Rady Zarządzającej EIT z dnia 7 lipca 2017 r. w sprawie polityki ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu; https://eit.europa.eu/library/decision-162017-governing-board-eit-7-july-2017-policy-protecting-dignity-person-and-0.
(8) Decyzja 28/2019 dyrektora EIT z dnia 5 listopada 2019 r. w sprawie przyjęcia podręcznika nieformalnych procedur w sprawach dotyczących mobbingu i molestowania seksualnego; https://eit.europa.eu/library/decision-282019-eit-director-5-november-2019-adoption-manual-informal-procedures-cases.
(9) Domniemana ofiara może skontaktować się z dowolnym poufnym doradcą wybranym w międzyagencyjnym zaproszeniu do wyrażenia zainteresowania z udziałem sześciu agencji/organów UE.
(10) Decyzja 01/2020 dyrektora EIT z dnia 13 stycznia 2020 r. w sprawie przepisów wykonawczych dotyczących inspektora ochrony danych Europejskiego Instytutu Innowacji i Technologii; https://eit.europa.eu/library/decision-012020-implementing-rules-concerning-data-protection-officer-eit.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00