(1)

Uredba (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta (1) od vseh institucij Unije zahteva, da vzpostavijo funkcijo notranje revizije, ki se izvaja v skladu z ustreznimi mednarodnimi standardi. Dejavnosti notranje revizije v Komisiji izvaja Služba za notranjo revizijo (v nadaljnjem besedilu: Služba), ki je bila ustanovljena 11. aprila 2000. Služba izvaja dejavnosti notranje revizije tudi v decentraliziranih agencijah Unije in drugih avtonomnih organih, ki prejemajo prispevke iz proračuna Unije.

(2)

Dejavnosti notranje revizije opravlja v skladu s členi 117 do 123 Uredbe (EU, Euratom) 2018/1046 in svojo listino o delu (2). V zvezi s tem je Služba popolnoma neodvisna ter ima popoln in neomejen dostop do vseh informacij, ki jih potrebuje pri izvajanju svojih dejavnostih notranje revizije v zvezi z vsemi dejavnostmi in oddelki zadevne institucije Unije.

(3)

Služba v skladu s členi 117 do 123 Uredbe (EU, Euratom) 2018/1046 svetuje drugim službam Komisije, izvajalskim agencijam ter decentraliziranim agencijam Unije in drugim avtonomnim organom, ki prejemajo prispevke iz proračuna Unije, o tem, kako obravnavati tveganja, tj. kakršne koli dogodke ali zadeve, ki bi lahko nastopili in negativno vplivali na doseganje političnih, strateških in operativnih ciljev Komisije, tako, da izdaja neodvisna mnenja o kakovosti upravljavskih in kontrolnih sistemov ter priporočila za izboljšanje pogojev izvajanja postopkov in spodbujanje dobrega finančnega poslovodenja. Zato se Služba pri dejavnostih notranje revizije običajno ne osredotoča na fizične osebe kot take. Vendar se pri svojih dejavnostih ne more izogniti obdelovanju osebnih podatkov v smislu člena 3(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (3). Dejavnosti notranje revizije, ki jih izvaja Služba, vključujejo ocenjevanje ustreznosti in uspešnosti notranjih sistemov za poslovodenje in poslovanje služb pri izvajanju politik, programov in ukrepov, ocenjevanje učinkovitosti in uspešnosti sistemov notranje kontrole in revizije, ki se uporabljajo za posamezno operacijo izvrševanja proračuna. Zato prispevajo k zaščiti pomembnih gospodarskih in finančnih interesov Unije in držav članic. Služba je upravljavec postopkov obdelave, ki jih izvaja v skladu s členom 118 in členom 119(2) finančne uredbe.

(4)

Dejavnosti notranje revizije, ki se izvajajo v Komisiji in njenih izvajalskih agencijah ter v decentraliziranih agencijah Unije in drugih avtonomnih organih, se razlikujejo po obliki in vsebini ter segajo od poslov dajanja zagotovila (vključno z ocenami tveganja) in svetovalnih poslov do pregledov z omejenim revizijskim obsegom in poslov porevizijskega ukrepanja.

(5)

Odbor za spremljanje poteka revizij je v skladu z listino o delu, posodobljeno 21. novembra 2018 (C(2018) 7707) svetovalno telo (4), ki pomaga Komisiji pri izpolnjevanju obveznosti iz Pogodb in drugih zakonskih instrumentov [Uredba (EU, Euratom) 2018/1046] tako, da zagotavlja neodvisnost Službe za notranjo revizijo, spremlja kakovost notranjerevizijsko delo in zagotavlja, da službe Komisije ustrezno upoštevajo priporočila notranjih in zunanjih revizij ter da se nanje ustrezno odzovejo z nadaljnjimi ukrepi. Odbor za spremljanje poteka revizij tako prispeva k splošnemu nadaljnjemu izboljšanju uspešnosti in učinkovitosti Komisije pri doseganju njenih ciljev ter olajšuje nadzor kolegija nad praksami Komisije na področju upravljanja, obvladovanja tveganja in notranje kontrole. Odbor za spremljanje poteka revizij je upravljavec postopkov obdelave, ki jih izvaja v skladu s členom 123 finančne uredbe.

(6)

Komisija za namene svojih dejavnosti iz členov 118 in 119(2) Uredbe (EU, Euratom) 2018/1046 ne glede na to, ali ukrepa na lastno pobudo ali na podlagi prejetih prispevkov, obdeluje osebne podatke, ki jih je pridobila ali prejela od pravnih oseb, fizičnih oseb, držav članic ter mednarodnih organov in organizacij. Med takšnimi dejavnostmi notranje revizije lahko Služba obdeluje tudi osebne podatke, ki so bili pridobljeni ali prejeti iz javno dostopnih virov, in sicer iz anonimnih ali iz opredeljenih virov, katerih identiteto je treba zaščititi.

(7)

Komisija lahko izmenjuje osebne podatke z institucijami, organi, uradi in agencijami Unije, s pristojnimi organi držav članic ter v okviru ustreznih mednarodnih sporazumov ali sporazumov o sodelovanju s tretjimi državami in mednarodnimi organizacijami.

(8)

Dejavnosti obdelave osebnih podatkov v smislu člena 3(3) Uredbe (EU) 2018/1725, ki se izvajajo pri dejavnostih notranje revizije, se lahko izvajajo, še preden Komisija uradno začne postopek, lahko se nadaljujejo ves čas trajanja revizijske dejavnosti in tudi po formalnem zaključku revizijske dejavnosti (na primer zaradi spremljanja izvajanja priporočil, da se oceni potreba po uvedbi novih dejavnosti notranje revizije).

(9)

Kategorije osebnih podatkov, ki jih obdeluje Komisija, so na primer identifikacijski podatki, kontaktni podatki, poklicni podatki in podatki, povezani s predmetom revizijske dejavnosti. Te kategorije osebnih podatkov se hranijo v varnem elektronskem okolju, da se prepreči nezakonit dostop ali prenos podatkov osebam, ki nimajo potrebe po tem, da bi bile seznanjene s temi podatki. Osebni podatki se hranijo največ deset let. Ob koncu obdobja hrambe se informacije, povezane z dejavnostjo notranje revizije, vključno z osebnimi podatki, prenesejo v zgodovinski arhiv Komisije (5) ali uničijo.

(10)

Komisija mora pri izvajanju dejavnosti notranje revizije spoštovati pravice fizičnih oseb v zvezi z obdelavo osebnih podatkov, ki jih priznavata člen 8(1) Listine Evropske unije o temeljnih pravicah in člen 16(1) Pogodbe, ter pravice v skladu z Uredbo (EU) 2018/1725. Hkrati mora Komisija v skladu s členom 117 Uredbe (EU, Euratom) 2018/1046 spoštovati stroga pravila o zaupnosti, navedena v mednarodnih standardih notranje revizije.

(11)

V nekaterih okoliščinah je treba uskladiti pravice posameznikov, na katere se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725 s potrebami dejavnosti notranje revizije in zaupnostjo izmenjave informacij s fizičnimi in pravnimi osebami ter z doslednim spoštovanjem temeljnih pravic in svoboščin drugih posameznikov, na katere se nanašajo osebni podatki. V ta namen člen 25(1)(c), (g) in (h) Uredbe (EU) 2018/1725 Službi omogoča omejitev uporabe členov 14 do 17, 19, 20 in 35 kot tudi načela preglednosti iz člena 4(1)(a), kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 17, 19, 20 in 35 navedene uredbe.

(12)

Za zagotovitev uspešnosti dejavnosti notranje revizije ob upoštevanju standardov varstva osebnih podatkov v skladu z Uredbo (EU) 2018/1725, ki je nadomestila Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta (6), je treba sprejeti notranja pravila, po katerih lahko Komisija omeji pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členom 25(1)(c), (g) in (h) Uredbe (EU) 2018/1725.

(13)

Ta notranja pravila bi morala zajemati vse postopke obdelave, ki jih uporablja Komisija pri izvajanju svojih dejavnosti notranje revizije, ne glede na to, ali ukrepa na lastno pobudo ali na podlagi prejetih prispevkov, kadar lahko uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, ogrozi izvajanje dejavnosti notranje revizije. Navedena pravila bi se morala uporabljati za postopke obdelave, izvedene pred uradnim začetkom posla, med trajanjem posla in med spremljanjem nadaljnjega ukrepanja na podlagi njegovega izida.

(14)

Za zagotovitev skladnosti s členi 14, 15 in 16 Uredbe (EU) 2018/1725 bi morala Komisija vse posameznike pregledno in usklajeno obveščati o svojih dejavnostih, ki vključujejo obdelavo njihovih osebnih podatkov, in o njihovih pravicah v obliki obvestila o varstvu podatkov, objavljenega na spletišču Komisije. Po potrebi bi morala Komisija navesti dodatne zaščitne ukrepe, da bi zagotovila, da so posamezniki, na katere se nanašajo osebni podatki, o tem v ustrezni obliki posamično obveščeni.

(15)

Na podlagi člena 25 Uredbe (EU) 2018/1725 lahko Komisija tudi omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, in uveljavljanje drugih pravic posameznikov, na katere se nanašajo osebni podatki, da bi zaščitila svoje dejavnosti notranje revizije, revizije javnih organov držav članic, revizijska orodja in metode ter pravice drugih oseb, povezanih z dejavnostmi notranje revizije.

(16)

Poleg tega bo Komisija zaradi nadaljnjega učinkovitega sodelovanja morda morala omejiti uporabo pravic posameznikov, na katere se nanašajo osebni podatki, da bi zaščitila postopke obdelave, ki jih uporabljajo službe Komisije ali druge institucije, organi, uradi in agencije Unije ali organi držav članic in mednarodne organizacije ter odbor za spremljanje poteka revizij. V ta namen bi se morala Komisija posvetovati z navedenimi službami, institucijami, organi, uradi in agencijami Unije ter organi držav članic in organizacijami ter odborom za spremljanje poteka revizij o ustreznih razlogih za uvedbo omejitev ter o potrebi po omejitvah in njihovi sorazmernosti.

(17)

Komisija bo morda morala omejiti tudi zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, in uporabo drugih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z osebnimi podatki, prejetimi od tretjih držav ali mednarodnih organizacij, da bi izpolnila svojo dolžnost sodelovanja s temi državami ali organizacijami in tako ohranila pomemben cilj splošnega javnega interesa Unije. Vendar pa lahko v nekaterih okoliščinah interes ali temeljne pravice posameznika, na katerega se nanašajo osebni podatki, prevladajo nad interesom mednarodnega sodelovanja.

(18)

Komisija bi morala vse omejitve obravnavati na pregleden način in vsako uporabo omejitev zabeležiti v ustreznem sistemu evidentiranja.

(19)

V skladu s členom 25(8) Uredbe (EU) 2018/1725 lahko upravljavci odložijo, opustijo ali zavrnejo zagotavljanje informacij o razlogih za uporabo omejitve za posameznika, na katerega se nanašajo osebni podatki, če bi zagotovitev te informacije na kakršen koli način ogrozila namen omejitve. To zlasti velja za primere omejitev pravic iz členov 16 in 35 Uredbe (EU) 2018/1725.

(20)

Če se omejijo druge pravice posameznikov, na katere se nanašajo osebni podatki, bi moral upravljavec Službe za notranjo revizijo za vsak primer posebej oceniti, ali bi sporočanje omejitve ogrozilo njen namen.

(21)

Uradna oseba za varstvo podatkov Evropske komisije bi morala opraviti neodvisen pregled uporabe omejitev, da se zagotovi skladnost s tem sklepom.

(22)

Uredba (EU) 2018/1725 od datuma, ko začne veljati, brez kakršnega koli prehodnega obdobja nadomešča Uredbo (ES) št. 45/2001. Možnost uporabe omejitev za nekatere pravice je bila določena v Uredbi (ES) št. 45/2001. Da bi se izognili ogrožanju zakonitosti dejavnosti notranje revizije, bi se moral ta sklep uporabljati od datuma začetka veljavnosti Uredbe (EU) 2018/1725.

(23)

Evropski nadzornik za varstvo podatkov je mnenje podal 27. novembra 2018 –