This document is an excerpt from the EUR-Lex website
Document 32023Q1585
Decision No 253 of the Management Board of the European Union Agency for Railways on internal rules concerning restrictions of certain data- subject rights in relation to the processing of personal data in the framework of activities carried out by the European Union Agency for Railways [2023/1585]
Sklep št. 253 upravnega odbora Agencije Evropske unije za železnice o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Agencija Evropske unije za železnice [2023/1585]
Sklep št. 253 upravnega odbora Agencije Evropske unije za železnice o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Agencija Evropske unije za železnice [2023/1585]
PUB/2023/1040
UL L 194, 2.8.2023, pp. 39–44
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
- Date of document:
- 17/02/2021; Datum sprejetja
- Date of effect:
- 22/08/2023; začetek veljavnosti datum objave +20 glej člen 9
- Date of end of validity:
- No end date
- Author:
- Agencija Evropske unije za železnice
- Responsible body:
- Eurostat, European Anti-Fraud Office, Directorate-General for Justice and Consumers
- Form:
- Poslovnik
- Treaty:
- Pogodba o delovanju Evropske unije
- Legal basis:
-
- 32016R0796
- 32018R1725 - A25
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- Link
- EUROVOC descriptor:
- Subject matter:
- Directory code:
|
2.8.2023 |
SL |
Uradni list Evropske unije |
L 194/39 |
SKLEP št. 253
upravnega odbora Agencije Evropske unije za železnice o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Agencija Evropske unije za železnice [2023/1585]
UPRAVNI ODBOR AGENCIJE EVROPSKE UNIJE ZA ŽELEZNICE JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) in zlasti člena 25 Uredbe;
ob upoštevanju Uredbe (EU) 2016/796 Evropskega parlamenta in Sveta z dne 11. maja 2016 o Agenciji Evropske unije za železnice in razveljavitvi Uredbe (ES) št. 881/2004 (2);
po posvetovanju z Evropskim nadzornikom za varstvo podatkov,
ob upoštevanju naslednjega:
|
(1) |
agencija je pooblaščena za izvajanje upravnih preiskav, preddisciplinskih in disciplinskih postopkov ter postopkov začasne odstranitve z delovnega mesta v skladu s Kadrovskimi predpisi za uradnike Evropske unije in Pogoji za zaposlitev drugih uslužbencev Evropske unije, določenih z Uredbo Sveta (EGS, Euratom, ESPJ) št 259/68 (Kadrovski predpisi) (3) ter Sklepom agencije z dne 8. julija 2022 o določitvi splošnih izvedbenih določb o izvajanju upravnih preiskav in disciplinskih postopkov. Po potrebi o primerih uradno obvesti tudi urad OLAF. |
|
(2) |
Uslužbenci agencije morajo prijaviti morebitne nezakonite dejavnosti, vključno z goljufijami in korupcijo, ki škodijo interesom Unije. Prijaviti morajo tudi vsakršno ravnanje, povezano z opravljanjem poklicnih nalog, ki lahko pomeni hudo kršenje obveznosti uradnikov Unije. To ureja Sklep agencije o notranjih pravilih v zvezi s prijavljanjem nepravilnosti z dne 15. novembra 2018. |
|
(3) |
Agencija je vzpostavila politiko preprečevanja in učinkovite obravnave dejanskih ali morebitnih primerov psihološkega ali spolnega nadlegovanja na delovnem mestu, kot je določeno v Sklepu ERA-ED-690/2013 o sprejetju izvedbenih ukrepov na podlagi kadrovskih predpisov. Sklep določa neformalni postopek, po katerem se lahko domnevna žrtev nadlegovanja obrne na „zaupne“ svetovalce agencije. |
|
(4) |
Agencija lahko na podlagi svoje politike glede obveščanja in informacijske tehnologije o sprejetju varnostnih predpisov za varovanje tajnih podatkov EU izvaja tudi preiskave morebitnih kršitev varnostnih predpisov za tajne podatke EU. |
|
(5) |
Delovanje agencije je predmet notranjih in zunanjih revizij. |
|
(6) |
Agencija v okviru takih upravnih preiskav, revizij in drugih preiskav sodeluje z drugimi institucijami, organi, uradi in agencijami Unije. |
|
(7) |
Sodeluje lahko z nacionalnimi organi tretjih držav in mednarodnimi organizacijami bodisi na njihovo zahtevo bodisi na lastno pobudo. |
|
(8) |
Sodeluje lahko tudi z javnimi organi držav članic EU bodisi na njihovo zahtevo bodisi na lastno pobudo. |
|
(9) |
Vključena je v postopke pred Sodiščem Evropske unije, kadar zadevo predloži Sodišču, zagovarja odločitev, ki jo je sprejela in je bila izpodbijana pred Sodiščem, ali intervenira v postopku, ki zadeva njene naloge. V zvezi s tem mora morda ohraniti zaupnost osebnih podatkov iz dokumentov, ki jih pridobijo stranke ali intervenienti. |
|
(10) |
Agencija za opravljanje svojih nalog zbira in obdeluje informacije ter več kategorij osebnih podatkov, vključno z identifikacijskimi podatki posameznikov, kontaktnimi podatki, poklicnimi vlogami in nalogami, informacijami o zasebnem in poklicnem ravnanju in uspešnosti ter finančnimi podatki. Agencija deluje kot upravljavec podatkov. |
|
(11) |
Zato mora v skladu z Uredbo (EU) 2018/1725 (v nadaljevanju: Uredba) posameznikom, na katere se nanašajo osebni podatki, zagotavljati informacije o navedenih dejavnostih obdelave ter spoštovati njihove pravice, ki jih imajo kot posamezniki, na katere se nanašajo osebni podatki. |
|
(12) |
Navedene pravice mora morda uskladiti s cilji upravnih preiskav, revizij, drugih preiskav in sodnih postopkov. Morda mora tudi uravnotežiti pravice posameznikov, na katere se nanašajo osebni podatki, s temeljnimi pravicami in svoboščinami drugih posameznikov, na katere se nanašajo osebni podatki. V ta namen člen 25 Uredbe agenciji omogoča, da pod strogimi pogoji omeji uporabo členov 14 do 22, 35 in 36 Uredbe ter njenega člena 4, če njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 20. Če omejitve niso določene v pravnem aktu, sprejetem na podlagi Pogodb, je treba sprejeti notranja pravila, v skladu s katerimi lahko agencija omeji navedene pravice. |
|
(13) |
Agencija mora morda na primer omejiti informacije, ki jih zagotavlja posamezniku, na katerega se nanašajo osebni podatki, o obdelavi njegovih osebnih podatkov v fazi predhodne ocene upravne preiskave ali med preiskavo samo, pred morebitno zavrnitvijo zadeve ali v fazi preddisciplinskega postopka. V nekaterih okoliščinah lahko zagotavljanje takih informacij resno vpliva na sposobnost agencije za učinkovito izvedbo preiskave, kadar na primer obstaja tveganje, da bi lahko zadevna oseba uničila dokaze ali vplivala na morebitne priče pred njihovim zaslišanjem. Agencija mora morda tudi zaščititi pravice in svoboščine prič in drugih vpletenih oseb. |
|
(14) |
Morda bo treba zaščititi anonimnost priče ali prijavitelja nepravilnosti, ki sta zahtevala, da se njuna identiteta ne razkrije. Agencija se v tem primeru lahko odloči za omejitev dostopa do identitete, izjav in drugih osebnih podatkov takih oseb, da zaščiti njihove pravice in svoboščine. |
|
(15) |
Morda je treba zaščititi zaupne informacije o uslužbencu, ki se je obrnil na zaupne svetovalce agencije v postopku prijave nadlegovanja. V takih primerih mora agencija morda omejiti dostop do identitete, izjav in drugih osebnih podatkov domnevne žrtve, domnevnega nadlegovalca in drugih vpletenih, da zaščiti pravice in svoboščine vseh vpletenih. |
|
(16) |
Omejitve bi morala uporabiti samo, če se z njimi upošteva bistvo temeljnih pravic in svoboščin ter so nujno potreben in sorazmeren ukrep v demokratični družbi. Navedene omejitve bi morala utemeljiti. |
|
(17) |
Na podlagi načela odgovornosti bi morala voditi evidenco o svoji uporabi omejitev. |
|
(18) |
Pri obdelavi osebnih podatkov, ki jih v okviru svojih nalog izmenja z drugimi organizacijami, se agencija in navedene organizacije medsebojno posvetujejo o morebitnih razlogih za uvedbo omejitev ter o nujnosti in sorazmernosti navedenih omejitev, razen če bi to ogrozilo njene dejavnosti. |
|
(19) |
Člen 25(6) Uredbe zavezuje upravljavca podatkov, da posameznike, na katere se nanašajo osebni podatki, obvesti o glavnih razlogih, ki so podlaga za uporabo omejitve, in o njihovi pravici do vložitve pritožbe pri ENVP. |
|
(20) |
Agencija lahko v skladu s členom 25(8) Uredbe preloži, opusti ali zavrne zagotavljanje informacij o razlogih za uporabo omejitve posamezniku, na katerega se nanašajo osebni podatki, če bi se s tem kakor koli izničil učinek omejitve. Agencija bi morala za vsak primer posebej oceniti, ali bi sporočanje omejitve izničilo njen učinek. |
|
(21) |
Agencija bi morala omejitev odpraviti takoj, ko pogoji, ki jo upravičujejo, ne veljajo več, in navedene pogoje redno ocenjevati. |
|
(22) |
Za zagotovitev čim večje zaščite pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter v skladu s členom 44(1) Uredbe, bi se bilo treba s pooblaščeno osebo za varstvo podatkov pravočasno posvetovati o vsaki omejitvi, ki bi se lahko uporabila, in preveriti njeno skladnost s tem sklepom. |
|
(23) |
Člena 16(5) in 17(4) Uredbe določata izjeme od pravic posameznikov, na katere se nanašajo osebni podatki, do obveščenosti in dostopa. Če veljajo te izjeme, agenciji ni treba uporabiti omejitve v skladu s tem sklepom – |
SPREJEL NASLEDNJI SKLEP:
Člen 1
Predmet urejanja in področje uporabe
1. Ta sklep določa pravila v zvezi s pogoji, pod katerimi lahko agencija v skladu s členom 25 Uredbe omeji uporabo členov 4, 14 do 22, 35 in 36.
2. Agencijo kot upravljavca zastopa njen izvršni direktor.
Člen 2
Omejitve
1. Agencija lahko omeji uporabo členov 14 do 22, 35 in 36 ter člena 4 Uredbe, če njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 20:
|
(a) |
v skladu s členom 25(1)(b), (c), (f), (g) in (h) Uredbe pri izvajanju upravnih preiskav, preddisciplinskih in disciplinskih postopkov ter postopkov začasne odstranitve z delovnega mesta v skladu s členom 86 in Prilogo IX h kadrovskim predpisom ter Sklepom upravnega odbora št. 297 (4), ter pri prijavi primerov uradu OLAF; |
|
(b) |
v skladu s členom 25(1)(h) Uredbe pri zagotavljanju, da lahko njeni uslužbenci prijavijo dejstva zaupno, kadar menijo, da obstajajo hude nepravilnosti, kot je določeno v Sklepu upravnega odbora agencije št. 183 o prijavljanju nepravilnosti (5) in Sklepu št. 8 o notranjih preiskavah (6); |
|
(c) |
v skladu s členom 25(1)(h) Uredbe pri zagotavljanju, da lahko njeni uslužbenci poročajo zaupnim svetovalcem v okviru postopka prijave nadlegovanja, kot je opredeljeno v Sklepu agencije ERA-ED-690-2013 (7); |
|
(d) |
v skladu s členom 25(1)(c), (g) in (h) Uredbe pri izvajanju notranjih revizij v zvezi z delovanjem ali oddelki agencije; |
|
(e) |
v skladu s členom 25(1)(c), (d), (g) in (h) Uredbe pri zagotavljanju ali prejemanju pomoči od drugih institucij, organov, uradov in agencij Unije ali pri sodelovanju z njimi v okviru dejavnosti iz točk (a) do (d) tega odstavka ter v skladu z zadevnimi sporazumi o ravni storitev, memorandumi o soglasju in sporazumi o sodelovanju; |
|
(f) |
v skladu s členom 25(1)(c), (g) in (h) Uredbe pri zagotavljanju ali prejemanju pomoči od nacionalnih organov tretjih držav in mednarodnih organizacij ali pri sodelovanju s takimi organi in organizacijami bodisi na njihovo zahtevo ali na svojo pobudo; |
|
(g) |
v skladu s členom 25(1)(c), (g) in (h) Uredbe pri zagotavljanju ali prejemanju pomoči od javnih organov držav članic EU ali pri sodelovanju z njimi bodisi na njihovo zahtevo ali na svojo pobudo; |
|
(h) |
v skladu s členom 25(1)(e) Uredbe pri obdelovanju osebnih podatkov iz dokumentov, ki jih pridobijo stranke ali intervenienti v okviru postopkov pred Sodiščem Evropske unije. |
2. Pri vseh omejitvah je treba spoštovati bistvo temeljnih pravic in svoboščin, omejitve pa morajo biti nujen in sorazmeren ukrep v demokratični družbi.
3. Pred uporabo omejitev se za vsak primer posebej opravi preskus nujnosti in sorazmernosti. Omejitve morajo biti omejene na tisto, kar je nujno potrebno za doseganje ciljev.
4. Za namene odgovornosti agencija sestavi zapisnik, v katerem opiše veljavne razloge za omejitve, kateri razlogi iz odstavka 1 veljajo, ter rezultat preskusa nujnosti in sorazmernosti. Ti zapisniki so del evidence, ki se na zahtevo da na voljo ENVP. Agencija pripravlja periodična poročila o uporabi člena 25 Uredbe.
5. Pri obdelavi osebnih podatkov, prejetih od drugih organizacij v okviru nalog, bi se morala agencija z navedenimi organizacijami posvetovati o morebitnih razlogih za uvedbo omejitev ter o nujnosti in sorazmernosti zadevnih omejitev, razen če bi to ogrozilo delovanje agencije.
Člen 3
Tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki
1. Ocena tveganj uvedbe omejitev za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in podrobnosti o obdobju uporabe teh omejitev se zabeležijo v evidenci dejavnosti obdelave, ki jo agencija vodi v skladu s členom 31 Uredbe. Zabeležijo se tudi v vsaki oceni učinka v zvezi z varstvom podatkov, opravljeni v zvezi z navedenimi omejitvami v skladu s členom 39 Uredbe.
2. Agencija pri presoji nujnosti in sorazmernosti omejitve upošteva morebitna tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.
Člen 4
Zaščitni ukrepi in obdobja hrambe
1. Za preprečevanje zlorabe osebnih podatkov, za katere se uporabljajo ali bi se lahko uporabljale omejitve, nezakonitega dostopa do njih ali njihovega nezakonitega prenosa agencija izvaja zaščitne ukrepe. Ti zaščitni ukrepi vključujejo tehnične in organizacijske ukrepe ter so po potrebi podrobno opisani v notranjih sklepih, postopkih in izvedbenih pravilih agencije. Zaščitni ukrepi vključujejo:
|
(a) |
jasno opredelitev vlog, odgovornosti in postopkovnih korakov; |
|
(b) |
po potrebi varno elektronsko okolje, ki nepooblaščenim osebam preprečuje nezakonit in naključen dostop do elektronskih podatkov ali njihov prenos; |
|
(c) |
po potrebi varno hrambo in obdelavo papirnih dokumentov; |
|
(d) |
ustrezno spremljanje omejitev in redni pregled njihove uporabe. |
2. Pregledi iz točke (d) se opravijo vsaj vsakih šest mesecev.
3. Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več.
4. Osebni podatki se hranijo v skladu z veljavnimi pravili agencije o hrambi podatkov, ki se opredelijo v evidenci o varstvu podatkov, ki se vodi v skladu s členom 31 Uredbe. Ob koncu obdobja hrambe se osebni podatki izbrišejo, anonimizirajo ali prenesejo v arhive v skladu s členom 13 Uredbe.
Člen 5
Vključitev pooblaščene osebe za varstvo podatkov
1. Kadar se pravice subjektov, na katere se nanašajo osebni podatki, omejijo v skladu s tem sklepom, se brez nepotrebnega odlašanja obvesti pooblaščeno osebo za varstvo podatkov v agenciji, ki se ji omogoči dostop do povezanih evidenc in dokumentov, ki se nanašajo na dejansko stanje ali pravni okvir.
2. Pooblaščena oseba za varstvo podatkov v agenciji lahko zahteva pregled uporabe omejitve. Agencija pooblaščeno osebo za varstvo podatkov pisno obvesti o rezultatu pregleda.
3. Agencija dokumentira vključitev pooblaščene osebe za varstvo podatkov v uporabo omejitev, med drugim tudi, katere informacije se ji dajo na voljo.
Člen 6
Obveščanje posameznikov, na katere se nanašajo osebni podatki, o omejitvah njihovih pravic
1. Agencija v obvestila o varstvu podatkov, objavljena na njenem spletišču in/ali intranetu, vključi oddelek, ki posameznikom, na katere se nanašajo osebni podatki, zagotavlja splošne informacije o možnosti za omejitev njihovih pravic v skladu s členom 2(1). Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge za morebitno uporabo omejitev in njihovo morebitno trajanje.
2. Agencija posameznike, na katere se nanašajo osebni podatki, posamično pisno in brez nepotrebnega odlašanja obvesti o omejitvah njihovih pravic, ki se ali se bodo uporabljale. Agencija posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih temelji uporaba omejitve, njegovi pravici do posvetovanja s pooblaščeno osebo za varstvo podatkov glede izpodbijanja omejitve in njegovi pravici, da vloži pritožbo pri ENVP.
3. Agencija lahko preloži, opusti ali zavrne zagotavljanje informacij o razlogih za omejitev in pravici do vložitve pritožbe pri ENVP, vse dokler bi se s tem izničil učinek omejitve. Za vsak primer posebej se oceni, ali bi bilo to upravičeno. Agencija posameznika, na katerega se nanašajo osebni podatki, obvesti takoj, ko se s tem ne bi več izničil učinek omejitve.
Člen 7
Sporočanje kršitve varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki
1. Kadar za agencijo velja obveznost sporočanja kršitev varnosti osebnih podatkov v skladu s členom 35(1) Uredbe, ta lahko v izjemnih okoliščinah v celoti ali delno omeji tako sporočilo. V zaznamku dokumentira razloge za omejitev, njeno pravno podlago v skladu s členom 2 ter oceno njene nujnosti in sorazmernosti. Zaznamek se sporoči ENVP ob uradnem obvestilu o kršitvi varnosti osebnih podatkov.
2. Kadar razlogi za omejitev ne veljajo več, agencija sporoči kršitev varnosti osebnih podatkov zadevnemu posamezniku, na katerega se nanašajo osebni podatki, ter ga obvesti o glavnih razlogih za omejitev in njegovi pravici, da vloži pritožbo pri ENVP.
Člen 8
Zaupnost elektronskih sporočil
1. Agencija lahko v izjemnih okoliščinah omeji pravico do zaupnosti elektronskih sporočil na podlagi člena 36 Uredbe. Take omejitve morajo biti v skladu z Direktivo 2002/58/ES Evropskega parlamenta in Sveta (8).
2. Ne glede na člen 6(3) mora agencija, kadar omeji pravico do zaupnosti elektronskih sporočil, zadevnega posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na njegovo zahtevo obvestiti o glavnih razlogih, na katerih temelji uporaba omejitve, in o njegovi pravici do vložitve pritožbe pri ENVP.
Člen 9
Začetek veljavnosti
Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Za upravni odbor, 17. februarja 2021.
Predsednica
Clio LIÉGEOIS
(1) UL L 295, 21.11.2018, str. 39.
(2) UL L 138, 26.5.2016, str. 1, v nadaljnjem besedilu: uredba o agenciji.
(3) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o kadrovskih predpisih za uradnike in pogojih za zaposlitev drugih uslužbencev Evropskih skupnosti in o posebnih ukrepih, ki se začasno uporabljajo za uradnike Komisije (UL L 56, 4.3.1968, str. 1).
(4) Sklep št. 297 upravnega odbora Agencije Evropske unije za železnice o splošnih izvedbenih določbah o izvajanju upravnih preiskav in disciplinskih postopkov z dne 8. julija 2022.
(5) Sklep št. 183 upravnega odbora Agencije Evropske unije za železnice o smernicah za prijavljanje nepravilnosti z dne 15. novembra 2018.
(6) Sklep št. 08 upravnega odbora Evropske agencije za železnice o pogojih za izvajanje notranjih preiskav v zvezi s preprečevanjem goljufij, korupcije in kakršnega koli nezakonitega ravnanja, ki škoduje interesom Skupnosti z dne 17. oktobra 2006.
(7) Sklep št. 690/2013 Evropske železniške agencije o politiki varstva dostojanstva oseb ter preprečevanju psihološkega nadlegovanja in spolnega nadlegovanja.
(8) Direktiva 2002/58/ES evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
