EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32018D1962
Commission Decision (EU) 2018/1962 of 11 December 2018 laying down internal rules concerning the processing of personal data by the European Anti-Fraud Office (OLAF) in relation to the provision of information to data subjects and the restriction of certain of their rights in accordance with Article 25 of Regulation (EU) 2018/1725 of the European Parliament and of the Council
Решение (EC) 2018/1962 на Комисията от 11 декември 2018 година за определяне на вътрешни правила по отношение на обработването на лични данни от Европейската служба за борба с измамите (OLAF) във връзка с предоставянето на информация на субектите на данни и ограничаването на някои от техните права в съответствие с член 25 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета
Решение (EC) 2018/1962 на Комисията от 11 декември 2018 година за определяне на вътрешни правила по отношение на обработването на лични данни от Европейската служба за борба с измамите (OLAF) във връзка с предоставянето на информация на субектите на данни и ограничаването на някои от техните права в съответствие с член 25 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета
C/2018/8654
OB L 315, 12.12.2018, p. 41–46
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
12.12.2018 |
BG |
Официален вестник на Европейския съюз |
L 315/41 |
РЕШЕНИЕ (EC) 2018/1962 НА КОМИСИЯТА
от 11 декември 2018 година
за определяне на вътрешни правила по отношение на обработването на лични данни от Европейската служба за борба с измамите (OLAF) във връзка с предоставянето на информация на субектите на данни и ограничаването на някои от техните права в съответствие с член 25 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 249, параграф 1 от него,
като има предвид, че:
|
(1) |
Европейската служба за борба с измамите („Службата“) бе създадена с Решение № 1999/352/ЕО на Комисията, ЕОВС, Евратом (1) като служба на Комисията. Службата провежда разследвания при пълна независимост. |
|
(2) |
Службата провежда административни разследвания с цел борба срещу измамите, корупцията и всяка друга незаконна дейност, засягаща финансовите интереси на Съюза, в съответствие с Регламент (ЕС, Евратом) № 883/2013 на Европейския парламент и на Съвета (2). За тази цел тя упражнява правомощията за разследване, предоставени на Комисията от съответните актове на Съюза, в държавите членки, а в съответствие с действащите споразумения за сътрудничество и взаимопомощ и с всички останали действащи правни инструменти — в трети държави и в помещенията на международни организации. |
|
(3) |
Службата провежда също административни разследвания в рамките на институциите, органите, службите и агенциите, създадени от или на основание на Договорите. В рамката на своя мандат за разследвания Службата събира информация от интерес за дадено разследване, включително лични данни, от различни източници — публични органи, частноправни субекти и физически лица — и я обменя с институциите, органите, службите и агенциите на Съюза, с компетентните органи на държавите членки и на трети държави, както и с международни организации преди, по време на и след дейностите на разследване или координация. |
|
(4) |
В рамката на своите дейности Службата обработва различни категории лични данни, и по-специално данни за установяване на самоличността, данни за контакт, професионални данни и данни за участие в случая. Службата, представлявана от своя генерален директор, действа като администратор на данни. Личните данни се съхраняват в сигурна електронна среда, в която са предотвратени както незаконният достъп, така и предаването на данни на лица, на които не се налага да ги узнават. Обработените лични данни се запазват в продължение на петнадесет години, след като случаят е прекратен или случаят на разследване или на координация е приключен с решение на генералния директор. В края на срока на запазване информацията, свързана със случая, включително личните данни, се прехвърля в историческия архив. |
|
(5) |
При изпълнението на задачите си Службата е задължена да спазва правата на физическите лица при обработването на лични данни, признати в член 8, параграф 1 от Хартата на основните права на Европейския съюз и в член 16, параграф 1 от Договора, както и в правните актове, основани на тези разпоредби. В същото време Службата трябва да спазва строгите правила за поверителност и професионална тайна, посочени в член 10 от Регламент (ЕС, Евратом) № 883/2013, и да гарантира спазването на процесуалните права на засегнатите лица и на свидетелите, посочени в член 9 от посочения регламент, и по-специално правото на засегнатите лица на презумпция за невиновност. |
|
(6) |
Сигурната електронна среда, в която се съхраняват личните данни, както и процедурните гаранции и стриктните правила за поверителност и професионална тайна, посочени съответно в членове 9 и 10 от Регламент (ЕС, Евратом) № 883/2013, гарантират високо равнище на защита срещу свързаните с обработването рискове за правата и свободите на субектите на данни. |
|
(7) |
При определени обстоятелства е необходимо да се съгласуват правата на субектите на данни съгласно Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (3) с нуждите на разследванията и поверителността на обмена на информация с други компетентни публични органи, както и с пълното зачитане на основните права и свободи на други субекти на данни. За тази цел съгласно член 25 от посочения регламент на Службата се предоставя възможността да ограничава прилагането на членове 14—22, 35 и 36, както и на член 4 от него, доколкото разпоредбите му съответстват на правата и задълженията, предвидени в членове 14—22. |
|
(8) |
Службата назначи съгласно член 10, параграф 4 от Регламент (ЕС, Евратом) № 883/2013 длъжностно лице за защита на данните в съответствие с член 24 от Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (4). |
|
(9) |
За да се гарантират поверителността и ефективността на разследванията и другите оперативни дейности, провеждани от Службата, при спазване на стандартите за защита на личните данни по Регламент (ЕС) 2018/1725, е необходимо да се приемат вътрешни правила, по силата на които Службата може да ограничи правата на субектите на данни в съответствие с член 25 от посочения регламент. |
|
(10) |
В приложното поле на този правен акт следва да бъдат обхванати всички операции по обработване, осъществявани от Службата в изпълнение на нейната функция за извършване на независими разследвания. Посочените правила следва да се прилагат за операциите по обработване, извършвани преди образуването на разследване, по време и на вътрешните, и и на външните разследвания, посочени в членове 3 и 4 от Регламент (ЕС, Евратом) № 883/2013, както и по време на наблюдението на последващите действия във връзка с резултатите от разследванията. Правилата следва да се прилагат за операциите по обработване, които са част от дейностите, свързани с функцията за разследване, като например системата за докладване на измами, оперативните анализи, базите данни за международно сътрудничество, както и операциите, които могат да съдържат данни за разследване, като например при работа с разследвания на ДЛЗД или при други процедури по жалба, провеждани от Службата. Това следва да включва също така помощта и сътрудничеството, предоставяни от Службата за национални органи и международни организации извън рамката на нейните административни разследвания. |
|
(11) |
С оглед на спазването на членове 14, 15 и 16 от Регламент (ЕС) 2018/1725 Службата следва да информира всички физически лица за своите дейности, включващи обработването на техни лични данни, както и за техните права по прозрачен и последователен начин, като публикува на своя уебсайт информация за своята политика за защита на личните данни и като информира в подходящ формат и поотделно субектите на данни, които имат отношение към разследването — засегнатите лица, свидетелите и информаторите. |
|
(12) |
Без да се засяга прилагането на изключенията, определени в Регламент (ЕС) 2018/1725, Службата може да ограничи предоставянето на информация на субектите на данни и прилагането на други права на субектите на данни, за да защити собствените си разследвания, разследванията и производствата на публични органи на държавите членки, инструментите и методите за разследване, както и правата на други лица, свързани с нейните разследвания. |
|
(13) |
В някои случаи предоставянето на определена информация на субектите на данни или разкриването на наличието на дадено разследване би могло да направи невъзможно или сериозно да засегне изпълнението на целта на операцията по обработване и възможността на Службата или компетентните национални органи и институциите, органите, службите и агенциите на Съюза да провеждат ефективно разследване в бъдеще. |
|
(14) |
Освен това Службата е длъжна да защитава самоличността на информаторите, включително лицата, сигнализиращи за нередности, и свидетелите, които следва да не търпят отрицателни последици във връзка със своето сътрудничество със Службата. |
|
(15) |
По тези причини може да е необходимо Службата да прилага някои основания за ограничения, посочени в член 25 от Регламент (ЕС) 2018/1725, към операции за обработване на данни, извършвани в рамката на задачите на Службата, определени в член 2 от Решение № 1999/352/ЕО, ЕОВС, Евратом. |
|
(16) |
Наред с това, с оглед на поддържането на ефективно сътрудничество, може да се наложи Службата да прилага ограничения на правата на субектите на данни с цел да защити информацията, съдържаща лични данни, която е получена от служби на Комисията или други институции, органи, структури и агенции на Съюза, компетентни органи на държавите членки и трети държави, както и от международни организации. За тази цел Службата следва да се консултира със съответните служби, институции, органи, структури, агенции, компетентни органи и международни организации относно съответните основания за ограниченията, както и за необходимостта и пропорционалността на ограниченията. |
|
(17) |
В рамката на своята функция за разследване Службата често обменя информация, включително лични данни, с inter alia службите на Комисията и изпълнителните агенции, подпомагащи службите на Комисията при изпълнението на техните програми. В съответствие с член 25, параграф 5 от Регламент (ЕС) 2018/1725 — в който се изисква вътрешните правила да бъдат приети на най-високото равнище на управление на съответните институции, органи, агенциите и служби на Съюза — настоящото решение обхваща обработването на лични данни, съдържащи се в информацията, която те са длъжни да предават на Службата. Поради това всички служби на Комисията и изпълнителните агенции, обработващи лични данни в изпълнение на своето задължение да информират Службата по силата на член 8, параграф 1 от Регламент (ЕС, Евратом) № 883/2013 или когато въпросните лични данни се обработват от Службата в изпълнение на нейните задачи, следва да прилагат правилата, определени в настоящото решение, за да бъдат защитени операциите по обработване, извършвани от Службата. Затова при такива обстоятелства съответните служби на Комисията и изпълнителните агенции следва да се консултират със Службата относно съответните основания за ограниченията и тяхната необходимост и пропорционалност, за да се гарантира последователното им прилагане. |
|
(18) |
Службата и ако е уместно, службите на Комисията и изпълнителните агенции следва да действат при всички ограничения по прозрачен начин и да регистрират всеки случай на прилагане на ограничения в съответната система за вписване. |
|
(19) |
Съгласно член 25, параграф 8 от Регламент (ЕС) № 2018/1725 администраторите на лични данни могат да отложат или да се въздържат от предоставянето на информация на субекта на данните за причините за прилагането на ограничение, ако предоставянето на тази информация би изложило по някакъв начин на риск целта на ограничението. По-специално, когато се прилага ограничение на правата, предвидено в членове 16 и 35, уведомяването на такова ограничаване би изложило на риск целта на ограничението. За да се гарантира, че правото на субекта на данните да бъде информиран в съответствие с членове 16 и 38 от Регламент (ЕС) № 2018/1725 е ограничено само докато траят причините за отлагането, Службата следва редовно да преразглежда своята позиция. |
|
(20) |
Когато се прилага ограничаване на правата на други субекти на данни, администраторът на лични данни следва да прави оценка на база конкретен случай дали съобщаването на ограничението би изложило на риск неговата цел. |
|
(21) |
Длъжностното лице за защита на данните на Службата — и когато е уместно, длъжностното лице за защита на данните на Комисията или на съответната изпълнителна агенция — следва също така да извършва независим преглед на прилагането на ограничения с оглед да се гарантира съответствие с настоящото решение, |
|
(22) |
Регламент (ЕС) 2018/1725 заменя Регламент (ЕО) № 45/2001 без преходен период, считано от датата на влизането му в сила. В Регламент (ЕО) № 45/2001 е предвидена възможността да се прилагат ограничения на някои права. С цел да се избегне застрашаването на целта на разследванията, попадащи в компетенциите на Службата, и оказването на неблагоприятно въздействие върху правата и свободите на други лица настоящото решение следва да се прилага от датата на влизане в сила на Регламент (ЕС) 2018/1725. |
|
(23) |
Европейският надзорен орган по защита на данните бе консултиран на 23 ноември 2018 г., |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и обхват
1. С настоящото решение се определят правилата, към които Европейската служба за борба с измамите („Службата“) следва да се придържа, когато информира субектите на данни относно обработването на техните данни в съответствие с членове 14, 15 и 16 от Регламент (ЕС) 2018/1725.
В него се определят също условията, при които Службата може да ограничи прилагането на член 4, членове 14—20 и член 35 от Регламент (ЕС) 2018/1725 в съответствие с член 25 от посочения регламент.
2. Настоящото решение се прилага за обработването на лични данни от Службата за целите на или във връзка с дейностите, извършвани с оглед на изпълнението на задачите на Службата, посочени в член 2 от Решение 1999/352/ЕО, ЕОВС, Евратом и в Регламент (ЕС, Евратом) № 883/2013.
3. Настоящото решение се прилага за обработването на лични данни от службите на Комисията и изпълнителните агенции, доколкото те обработват лични данни, съдържащи се в информацията, която те са длъжни да предават на Службата съгласно член 8, параграф 1 от Регламент (ЕС, Евратом) № 883/2013, или лични данни, вече обработени от Службата за целите на или във връзка с дейностите, посочени в параграф 2 на настоящия член.
Член 2
Приложими изключения и ограничения
1. Когато Службата изпълнява задълженията си по отношение на правата на субектите на данни съгласно Регламент (ЕС) 2018/1725, тя преценява дали е приложимо някое от изключенията, определени в посочения регламент.
2. При спазване на разпоредбите на членове 3—6 от настоящото решение Службата може да ограничи прилагането на членове 14—20 и член 35 от Регламент (ЕС) 2018/1725, както и на неговия член 4, доколкото разпоредбите му съответстват на правата и задълженията, предвидени в членове 14—20 и член 35 от Регламент (ЕС) 2018/1725, когато упражняването на тези права и задължения би застрашило целта на дейностите на Службата по разследване, включително чрез разкриването на нейните инструменти и методи за разследване, или би оказало неблагоприятно въздействие върху правата и свободите на други лица.
3. При спазване на разпоредбите на членове 3—6 от настоящото решение Службата може да ограничава правата и задълженията, посочени в параграф 2 на настоящия член, във връзка с лични данни, получени от службите на Комисията или от други институции, органи, агенции и служби на Съюза, от компетентните органи на държавите членки или трети държави или от международни организации, при следните обстоятелства:
|
а) |
когато упражняването на тези права и задължения може да бъде ограничено от службите на Комисията или други институции, органи, агенции и служби на Съюза въз основа на други актове, предвидени в член 25 от Регламент (ЕС) 2018/1725, или в съответствие с глава IX от посочения регламент, или с учредителните актове на други институции, органи, агенции и служби на Съюза; |
|
б) |
когато упражняването на тези права и задължения може да бъде ограничено от компетентните органи на държавите членки въз основа на актовете, посочени в член 23 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (5), или съгласно националните мерки за транспониране на член 13, параграф 3, член 15, параграф 3 или член 16, параграф 3 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (6); |
|
в) |
когато упражняването на тези права и задължения би могло да застраши сътрудничеството на Службата с трети държави или международни организации при изпълнението на нейните задачи. |
Преди да приложи ограничения при обстоятелствата, посочени в букви а) и б), Службата се консултира със съответните служби на Комисията и институции, органи, агенции и служби на Съюза или с компетентните органи на държавите членки, освен ако за Службата е ясно, че прилагането на ограничение е предвидено в някой от актовете, посочени в тези букви.
Буква в) не се прилага, когато интересите или основните права и свободи на субектите на данни надделяват над интереса на Съюза да си сътрудничи с трети държави или международни организации.
4. Когато службите на Комисията и изпълнителните агенции обработват лични данни в случаите, посочени в член 1, параграф 3, те могат, когато е необходимо, да прилагат ограничения в съответствие с настоящото решение. За тази цел те се консултират със Службата, освен ако за съответната служба на Комисията или изпълнителна агенция е ясно, че прилагането на дадено ограничение е оправдано съгласно настоящото решение.
Член 3
Предоставяне на информация на субекти на данни
1. Службата публикува на своя уебсайт политиката си за защита на личните данни, с която информира субектите на данни за своите дейности, включващи обработването на техните лични данни.
2. Службата информира поотделно всички субекти на данни, които смята за засегнати лица, свидетели или информатори по смисъла на Регламент (ЕС, Евратом) № 883/2013.
3. Когато Службата ограничава изцяло или частично предоставянето на информация на субектите на данни, посочени в параграф 2, тя записва причините за ограничението, включително оценката на необходимостта и пропорционалността на ограничението.
За тази цел в записа се посочва по какъв начин предоставянето на информацията би застрашило целта на дейностите на Службата по разследване или на ограниченията, прилагани съгласно член 2, параграф 3, или би имало неблагоприятно въздействие върху правата и свободите на други лица.
Записът и, когато е приложимо, документите, съдържащи съответните фактически и правни елементи, се регистрират. Те се предоставят на Европейския надзорен орган по защита на данните при поискване.
4. Ограничението, посочено в член 3, продължава да се прилага, докато причините за него продължават да са валидни.
Когато причините за ограничението вече не са приложими, Службата предоставя на субекта на данните съответната информация и причините за ограничението. В същото време Службата информира субекта на данните за възможността за подаване на жалба до Европейския надзорен орган по защита на данните по всяко време или за търсене на защита по съдебен ред пред Съда на Европейския съюз.
Службата преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответното разследване. След това администраторът на лични данни разглежда необходимостта от продължаване на всяко едно ограничение на годишна основа.
Член 4
Право на достъп на субекта на данните
1. Когато субекти на данни поискат достъп до личните си данни, обработвани в контекста на един или повече конкретни случая или за конкретна операция по обработване, в съответствие с член 17 от Регламент (ЕС) 2018/1725 Службата ограничава оценката си на искането единствено до тези лични данни.
2. Когато Службата ограничава изцяло или частично правото на достъп, посочено в член 17 от Регламент (ЕС) 2018/1725, тя предприема следните стъпки:
|
а) |
в отговора си на съответното искане информира засегнатия субект на данните за приложеното ограничение и за принципните причини за него, както и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсенето на защита по съдебен ред пред Съда на Европейския съюз; |
|
б) |
записва причините за ограничаването, включително оценката за необходимостта и пропорционалността на ограничението. За тази цел в записа се посочва по какъв начин предоставянето на достъп би изложило на риск целта на дейностите на Службата по разследване или на ограниченията, прилагани съгласно член 2, параграф 3, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни. |
Предоставянето на информацията, посочена в буква а), може да бъде отложено, пропуснато или отказано в съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725.
3. Записът, посочен в параграф 2, буква б), и когато е приложимо, документите, съдържащи съответните фактически и правни елементи, се регистрират. Те се предоставят на Европейския надзорен орган по защита на данните при поискване. Прилага се член 25, параграф 7 от Регламент (ЕС) № 2018/1725.
Член 5
Право на коригиране, изтриване и ограничаване на обработването
Когато Службата ограничава изцяло или частично прилагането на правото на коригиране, изтриване или ограничаване на обработването, посочено в член 18, член 19, параграф 1 и член 20, параграф 1 от Регламент (ЕС) 2018/1725, тя предприема необходимите стъпки, посочени в член 4, параграф 2 от настоящото решение, и регистрира записа в съответствие с член 4, параграф 3 от него.
Член 6
Съобщаване на субекта на данните за нарушение на сигурността на личните данни
Когато Службата ограничава съобщаването за нарушение на сигурността на личните данни на субекта на данните, посочено в член 35 от Регламент (ЕС) 2018/1725, тя записва и регистрира причините за ограничението в съответствие с член 3, параграф 3 от настоящото решение. Прилага се член 3, параграф 4 от настоящото решение.
Член 7
Преглед от длъжностното лице за защита на данните
1. Длъжностното лице за защита на данните на Службата („ДЛЗД на Службата“) се уведомява без ненужно забавяне, когато правата на субектите на данни се ограничават в съответствие с настоящото решение. На ДЛЗД на Службата се предоставя достъп до записа и документите, съдържащи съответните фактически и правни елементи.
ДЛЗД на Службата може да поиска преразглеждане на ограниченията. ДЛЗД на Службата се информира писмено за резултата от исканото преразглеждане.
2. Когато служби на Комисията и изпълнителни агенции обработват лични данни в случаите, посочени в член 1, параграф 3, длъжностното лице за защита на данните на Комисия („ДЛЗД на Комисията“) или, когато е приложимо, длъжностното лице за защита на данните на съответната изпълнителна агенция („ДЛЗД на агенцията“) се уведомява без ненужно забавяне във всички случаи, когато правата на субекти на данни се ограничават в съответствие с настоящото решение. При поискване на ДЛЗД на Комисията или, когато е приложимо, на ДЛЗД на агенцията се предоставя достъп до записа и документите, съдържащи съответните фактически и правни елементи.
ДЛЗД на Комисията или, когато е приложимо, ДЛЗД на агенцията може да поиска преразглеждане на ограниченията. ДЛЗД на Комисията или ДЛЗД на агенцията се информира писмено за изхода от исканото преразглеждане.
3. Целият обмен на информация с ДЛЗД по време на процедурата се вписва в съответната форма.
Член 8
Влизане в сила
Настоящото решение влиза в сила в деня на публикуването му в Официален вестник на Европейския съюз.
То се прилага от 11 декември 2018 г.
Съставено в Брюксел на 11 декември 2018 година.
За Комисията
Председател
Jean-Claude JUNCKER
(1) Решение 1999/352/ЕО, ЕОВС, Евратом на Комисията от 28 април 1999 г. за създаване на Европейска служба за борба с измамите (OLAF) (ОВ L 136, 31.5.1999 г., стр. 20).
(2) Регламент (ЕС, Евратом) № 883/2013 на Европейския парламент и на Съвета от 11 септември 2013 г. относно разследванията, провеждани от Европейската служба за борба с измамите (OLAF), и за отмяна на Регламент (ЕО) № 1073/1999 на Европейския парламент и на Съвета и Регламент (Евратом) № 1074/1999 на Съвета (ОВ L 248, 18.9.2013 г., стр. 1).
(3) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39).
(4) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).
(5) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).
(6) Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89).