EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021Q0507(01)
Decision No 2021-096 Rev 1 of the Management Board of the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice of 16 April 2021 on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of the functioning of the European Union Agency for the Operational Management of the Large-Scale IT Systems in the Area of Freedom, Security and Justice
Решение № 2021-096 редакция 1 на управителния съвет на Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие от 16 април 2021 година относно вътрешните правила, свързани с ограниченията на определени права на субекти на данни във връзка с обработването на лични данни в рамките на функционирането на Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие
Решение № 2021-096 редакция 1 на управителния съвет на Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие от 16 април 2021 година относно вътрешните правила, свързани с ограниченията на определени права на субекти на данни във връзка с обработването на лични данни в рамките на функционирането на Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие
OB L 161, 7.5.2021, p. 9–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
7.5.2021 |
BG |
Официален вестник на Европейския съюз |
L 161/9 |
РЕШЕНИЕ № 2021-096 РЕДАКЦИЯ 1 НА УПРАВИТЕЛНИЯ СЪВЕТ НА АГЕНЦИЯТА НА ЕВРОПЕЙСКИЯ СЪЮЗ ЗА ОПЕРАТИВНОТО УПРАВЛЕНИЕ НА ШИРОКОМАЩАБНИ ИНФОРМАЦИОННИ СИСТЕМИ В ПРОСТРАНСТВОТО НА СВОБОДА, СИГУРНОСТ И ПРАВОСЪДИЕ
от 16 април 2021 година
относно вътрешните правила, свързани с ограниченията на определени права на субекти на данни във връзка с обработването на лични данни в рамките на функционирането на Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие
УПРАВИТЕЛНИЯТ СЪВЕТ НА АГЕНЦИЯТА НА ЕВРОПЕЙСКИЯ СЪЮЗ ЗА ОПЕРАТИВНОТО УПРАВЛЕНИЕ НА ШИРОКОМАЩАБНИ ИНФОРМАЦИОННИ СИСТЕМИ В ПРОСТРАНСТВОТО НА СВОБОДА, СИГУРНОСТ И ПРАВОСЪДИЕ (EU-LISA), наричана по-нататък „eu-LISA“,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1), и по-специално член 25 от него (наричан по-нататък „Регламент (ЕС) 2018/1725“),
като взе предвид Регламент (ЕС) 2018/1726 на Европейския парламент и на Съвета от 14 ноември 2018 г. относно Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие (eu-LISA), за изменение на Регламент (ЕО) № 1987/2006 и Решение 2007/533/ПВР на Съвета и за отмяна на Регламент (ЕС) № 1077/2011 (2), и по-специално член 35 от него (наричан по-нататък „Регламент (ЕС) 2018/1726“),
като взе предвид становището на Европейския надзорен орган по защита на данните (ЕНОЗД) от 11 март 2021 г. и неговите „Насоки относно член 25 от Регламент (ЕС) 2018/1725 и вътрешните правила за ограничаване на правата на субектите на данни“ (3),
след консултация с Комитета по персонала,
като има предвид, че:
|
(1) |
eu-LISA осъществява дейността си в съответствие с Регламент (ЕС) 2018/1726. |
|
(2) |
eu-LISA има правомощията да извършва административни разследвания, преддисциплинарни и дисциплинарни производства и производства за временно отстраняване от длъжност в съответствие с Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Европейския съюз, предвидени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета („Правилник за длъжностните лица“) (4), и Решение № 2014-080 от 28 януари 2015 г. на управителния съвет на eu-LISA за приемане на правила за прилагане на Правилника за длъжностните лица, с което се приемат разпоредби за прилагане относно провеждането на административни разследвания и дисциплинарни производства. Ако е необходимо, eu-LISA също така уведомява OLAF за случаите. |
|
(3) |
Служителите на eu-LISA са задължени да докладват потенциални незаконни дейности, включително измами и корупция, които са в ущърб на интересите на Съюза. Служителите също са задължени да подават сигнали за поведение, свързано с изпълнението на професионални задължения, което може да представлява сериозно нарушение на задълженията на длъжностните лица на Съюза. Това е уредено с решението на eu-LISA от 26 юни 2018 г. относно вътрешните правила във връзка с подаването на сигнали за нередности. |
|
(4) |
eu-LISA въведе политика за предотвратяване и ефективно справяне с действителни или потенциални случаи на психически или сексуален тормоз на работното място, както е предвидено в нейното Решение № 2018-174 на управителния съвет от 6 декември 2018 г. относно политиката на eu-LISA за защита на личното достойнство и предотвратяване на психическия и сексуалния тормоз, с което се приемат мерки за изпълнение съгласно Правилника за длъжностните лица. В решението се установява неофициална процедура, при която предполагаемата жертва на тормоз може да се обърне към „доверени“ съветници на eu-LISA. |
|
(5) |
eu-LISA може също така да провежда разследвания на потенциални нарушения на правилата за сигурност за класифицирана информация на Европейския съюз („КИЕС“) на основание на своето Решение № 2019-273 от 20 ноември 2019 г. за изменение на правилата за сигурност на агенцията във връзка със защитата на КИЕС. |
|
(6) |
eu-LISA е обект както на вътрешни, така и на външни одити, свързани с дейностите, които упражнява. |
|
(7) |
В контекста на тези административни разследвания, одити и други разследвания, eu-LISA си сътрудничи и с други институции, органи, служби и агенции на Съюза. |
|
(8) |
eu-LISA може да си сътрудничи с националните органи на трети държави и с международни организации в съответствие с разпоредбите на член 43 от Регламент (ЕС) 2018/1726. |
|
(9) |
Освен това eu-LISA може да си сътрудничи с държавните органи на държавите — членки на ЕС, по тяхно искане или по собствена инициатива. |
|
(10) |
eu-LISA участва в дела пред Съда на Европейския съюз, като сезира Съда, като защитава взето решение, което е оспорено пред Съда, или като встъпва в производства, свързани с нейните задачи. В този контекст може да е необходимо eu-LISA да запази поверителността на личните данни, съдържащи се в документи, получени от страните по делото или от встъпилите страни. |
|
(11) |
За да изпълнява задълженията си, eu-LISA събира и обработва информация и няколко категории лични данни, включително данни за самоличността на физически лица, информация за връзка, професионални функции и задачи, информация за поведението в личния и професионалния живот и за трудовото изпълнение, както и финансови данни. eu-LISA действа като администратор на данни. |
|
(12) |
Следователно, съгласно Регламент (ЕС) 2018/1725 eu-LISA се задължава да предоставя информация на субектите на данни относно тези дейности по обработване и да зачита техните права като субекти на данни. |
|
(13) |
От eu-LISA може да се изисква да съвместява тези права с целите на административните разследвания, одитите, разследванията и съдебните производства. Може също да се изисква да балансира между правата на даден субект на данни и основните права и свободи на други субекти на данни. За тази цел член 25 от Регламент (ЕС) 2018/1725 дава възможност на eu-LISA да ограничава, при строго определени условия, прилагането на членове 14—22, 35 и 36 от Регламент (ЕС) 2018/1725, както и на член 4 от него, доколкото неговите разпоредби се отнасят до правата и задълженията, предвидени в членове 14—20. Освен ако не са предвидени ограничения в правен акт, приет въз основа на Договорите, е необходимо приемането на вътрешни правила, по силата на които eu-LISA да разполага с правото да ограничава тези права. |
|
(14) |
Може да се наложи например eu-LISA да ограничи информацията относно обработването на личните данни на субект на данни, която му/ѝ предоставя, по време на етапа на предварителна оценка в административно разследване или по време на самото разследване, преди евентуално прекратяване на дело или по време на преддисциплинарния етап. При определени обстоятелства предоставянето на такава информация може значително да повлияе върху способността на eu-LISA да проведе разследването по ефективен начин, когато например съществува риск засегнатото лице да унищожи доказателства или да въздейства върху потенциални свидетели, преди да бъдат снети показанията им. Може да се наложи също така eu-LISA да защити правата и свободите на свидетели, както и на други участници. |
|
(15) |
Може да е необходимо да се запази анонимността на свидетел или лице, сигнализиращо за нередности, което е поискало самоличността му да не бъде разкривана. В такъв случай eu-LISA може да реши да ограничи достъпа до самоличността, показанията и други лични данни на съответното лице с цел защита на неговите права и свободи. |
|
(16) |
Може да е необходимо да се защити поверителна информация относно служител, който се е свързал с доверените съветници на eu-LISA в контекста на процедура във връзка с тормоз. В тези случаи може да се наложи eu-LISA да ограничи достъпа до самоличността, показанията и други лични данни на предполагаемата жертва, предполагаемия извършител и на други участници с цел защита на правата и свободите на всички засегнати лица. |
|
(17) |
eu-LISA следва да прилага ограничения само когато те са съобразени с характера на основните права и свободи и са строго необходима и пропорционална мярка в едно демократично общество. eu-LISA следва да представи мотиви, с които да обоснове тези ограничения. |
|
(18) |
В съответствие с прилагането на принципа на отчетност eu-LISA следва да води регистър за прилаганите от нея ограничения. |
|
(19) |
Когато обработва лични данни, обменени с други организации в рамките на задачите си, eu-LISA и съответните организации следва да се консултират взаимно относно потенциалните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това не би представлявало заплаха за дейностите на eu-LISA. |
|
(20) |
В член 25, параграф 6 от Регламент (ЕС) 2018/1725 се определя задължение за администратора да информира субектите на данни за основните причини за прилагането на ограничението и за правото им да подадат жалба до ЕНОЗД. |
|
(21) |
В съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725 eu-LISA има право да отложи, пропусне или откаже да предостави информация относно причините за прилагането на ограничение на субекта на данните, ако това по някакъв начин би премахнало ефекта от ограничението. eu-LISA следва да преценява за всеки отделен случай дали съобщаването на ограничението би премахнало ефекта от него. |
|
(22) |
eu-LISA следва да отмени ограничението веднага щом условията, които го обосновават, вече не са приложими, както и редовно да извършва оценка на тези условия. |
|
(23) |
За да се гарантира максимална защита на правата и свободите на субектите на данни и в съответствие с член 44, параграф 1 от Регламент (ЕС) 2018/1725, длъжностното лице по защита на данните на eu-LISA следва да бъде консултирано своевременно за всички ограничения, които може да се прилагат, и да провери съответствието им с настоящото решение. |
|
(24) |
В член 16, параграф 5 и член 17, параграф 4 от Регламент (ЕС) 2018/1725 се предвиждат изключения от правото на информация и правото на достъп на субекти на данни. Ако тези изключения са приложими, не е необходимо eu-LISA да прилага ограничение съгласно настоящото решение. |
|
(25) |
Съгласно член 35, параграф 2 от Регламент (ЕС) 2018/1726, управителният съвет приема мерки за прилагането от Агенцията на Регламент (ЕС) 2018/1725, включително вътрешните правила, посочени в член 25, параграфи 1, 3 и 4 от Регламент 2018/1725, след консултация с ЕНОЗД, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и приложно поле
1. С настоящото решение се определят правила относно условията, при които eu-LISA може да ограничи прилагането на членове 4, 14—22, 35 и 36 съгласно член 25 от Регламент (ЕС) 2018/1725 в контекста на процедурите, посочени в параграф 2, в съответствие с член 25 от посочения регламент.
2. eu-LISA, като администратор на данни, се представлява от изпълнителния си директор.
Член 2
Ограничения
1. eu-LISA може да ограничава прилагането на членове 14—22, 35 и 36, както и на член 4 от Регламента, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—20:
|
(а) |
въз основа на член 25, параграф 1, букви б), в), е), ж) и з) от Регламент (ЕС) 2018/1725 — при провеждане на административни разследвания, преддисциплинарни производства, дисциплинарни производства или производства за временно отстраняване от длъжност съгласно член 86 от Правилника за длъжностните лица и приложение IX към него и Решение № 2014-080 на eu-LISA от 28 януари 2015 г., както и при уведомяване на OLAF за случаи; |
|
(б) |
въз основа на член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725 — когато гарантира поверителността на докладваните факти от служителите на eu-LISA, в случаите, при които се смята, че са налице тежки нередности, както е описано в Решение № 2018-122 на eu-LISA от 26 юни 2018 г. относно вътрешните правила за подаване на сигнали за нередности; |
|
(в) |
въз основа на член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725 — когато се гарантира възможността на служителите на eu-LISA да докладват на доверени съветници в контекста на процедура във връзка с тормоз, както е определено в Решение № 2018-174 на eu-LISA от декември 2018 г.; |
|
(г) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламент (ЕС) 2018/1725 — при извършване на вътрешни одити във връзка с дейности или отдели на eu-LISA; |
|
(д) |
въз основа на член 25, параграф 1, букви в), г), ж) и з) от Регламент (ЕС) 2018/1725 — при предоставяне на съдействие на други институции, органи, служби и агенции на Съюза или при получаване на съдействие от същите, или при сътрудничество с тях в контекста на дейности по букви а)—г) от този параграф, както и въз основа на съответните споразумения за нивото на обслужване, меморандуми за разбирателство и споразумения за сътрудничество; |
|
(е) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламент (ЕС) 2018/1725 — при предоставяне на съдействие на национални органи на трети държави и на международни организации или при получаване на съдействие от същите, или при сътрудничество с такива органи и организации, без да се засягат разпоредбите на член 43 от Регламент (ЕС) 2018/1726; |
|
(ж) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламент (ЕС) 2018/1725 — при предоставяне на съдействие и сътрудничество на държавни органи на държави — членки на ЕС, или при получаване на съдействие и сътрудничество от същите по тяхно искане или по собствена инициатива; |
|
(з) |
въз основа на член 25, параграф 1, буква д) от Регламент (ЕС) 2018/1725 — при обработване на лични данни в документи, получени от страните по дело или встъпилите страни в контекста на производства пред Съда на Европейския съюз. |
2. Всички ограничения са съобразени с характера на основните права и свободи и представляват необходима и пропорционална мярка в едно демократично общество.
3. Преди прилагане на ограниченията се извършва проверка за необходимост и пропорционалност за всеки отделен случай. Ограниченията са в границите само на строго необходимото за постигане на поставената цел.
4. За целите на отчетността eu-LISA съставя запис, в който се описват причините за прилаганите ограничения, основанията от посочените в параграф 1, които се прилагат, и резултатът от проверката за необходимост и пропорционалност. Тези записи са част от регистър, който се предоставя на ЕНОЗД при поискване. eu-LISA изготвя периодични доклади относно прилагането на член 25 от Регламент (ЕС) 2018/1725.
5. Когато обработва лични данни, получени от други организации в рамките на своите задачи, eu-LISA се консултира с тези организации относно възможните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това би представлявало заплаха за дейностите на eu-LISA.
Член 3
Рискове за правата и свободите на субектите на данни
1. В регистъра на дейностите по обработване, воден от eu-LISA съгласно член 31 от Регламента, се вписват оценки на рисковете за правата и свободите на субектите на данни от налагането на ограничения и информация за периода на прилагането на тези ограничения. Те се вписват и във всички евентуални оценки на въздействието върху защитата на данните по отношение на тези ограничения, провеждани съгласно член 39 от Регламент (ЕС) 2018/1725.
2. При оценката на необходимостта и пропорционалността на дадено ограничение eu-LISA отчита потенциалните рискове за правата и свободите на субекта на данни.
Член 4
Гаранции и срокове на съхранение
1. eu-LISA използва гаранции за предотвратяване на злоупотреби и незаконен достъп или предаване на лични данни, по отношение на които се прилагат или може да се прилагат ограничения. Тези гаранции включват технически и организационни мерки и са подробно разписани, когато е необходимо, във вътрешни решения, процедури и правила за прилагане на eu-LISA. Гаранциите включват:
|
(а) |
ясно определяне на функциите, отговорностите и процедурните етапи; |
|
(б) |
ако е целесъобразно, сигурна електронна среда, която предпазва от неправомерен и случаен достъп или прехвърляне на електронни данни към неоправомощени лица; |
|
(в) |
ако е целесъобразно, сигурно съхранение и обработване на документи на хартиен носител; |
|
(г) |
надлежно наблюдение на ограниченията и периодично преразглеждане на прилагането им. |
Преразглежданията, посочени в буква г), се извършват най-малко на всеки шест месеца.
2. Ограниченията се отменят веднага след като обстоятелствата, които ги обосновават, престанат да бъдат приложими.
3. Личните данни се съхраняват в съответствие с приложимите правила за съхранение на eu-LISA, които се определят в регистрите за защита на данните, поддържани съгласно член 31 от Регламент (ЕС) 2018/1725. В края на срока на съхранение личните данни се заличават, анонимизират или прехвърлят в архиви в съответствие с член 13 от Регламент (ЕС) 2018/1725.
Член 5
Участие на длъжностното лице по защита на данните
1. Длъжностното лице по защита на данните на eu-LISA се уведомява без неоснователно забавяне при всяко ограничаване или намерение за ограничаване на права на субект на данни в съответствие с настоящото Решение. Той или тя получава достъп до съответните досиета и документи, свързани с фактическите или правните обстоятелства.
2. Длъжностното лице по защита на данните на eu-LISA може да поиска преразглеждане на прилагането на ограничение. eu-LISA уведомява в писмен вид своето длъжностно лице по защита на данните за резултата от преразглеждането.
3. eu-LISA документира участието на длъжностното лице по защита на данните в прилагането на ограниченията, включително информацията, която е споделена с него или нея.
4. На практика лицето, което отговаря от името на администратора на данни („практически администратор“) (5), уведомява длъжностното лице по защита на данните на eu-LISA при премахване на ограничението.
Член 6
Информация, предоставяна на субектите на данни относно ограниченията на правата им
1. В съобщенията за защита на личните данни, публикувани на уебсайта/интранет на eu-LISA, eu-LISA включва раздел, предоставящ обща информация на субектите на данни относно възможността за ограничаване на правата на субекти на данни съгласно член 2, параграф 1. Информацията включва правата, които може да бъдат ограничавани, основанията, на които може да се прилагат ограничения, и евентуалната им продължителност.
2. eu-LISA информира субектите на данни индивидуално, в писмен вид и без необосновано забавяне за текущи или бъдещи ограничения на правата им. eu-LISA информира субекта на данни за основните причини, на които се основава прилагането на ограничението, за правото му да се консултира с длъжностното лице по защита на данните, за да оспори ограничението, и за неговите права да подаде жалба до ЕНОЗД.
3. eu-LISA може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това би премахнало ефекта от ограничението. Преценката дали това би било оправдано се извършва за всеки отделен случай. Веднага след като това вече не би премахнало ефекта от ограничението, eu-LISA предоставя информацията на субекта на данните.
Член 7
Съобщаване на субекта на данни за нарушение на сигурността на личните данни
1. Когато има задължението да съобщи за нарушение на сигурността на данните в съответствие с член 35, параграф 1 от Регламент (ЕС) 2018/1725, eu-LISA може, при извънредни обстоятелства, изцяло или частично да ограничи това съобщаване. В съобщение eu-LISA документира причините за ограничението, правното основание за него съгласно член 2 и оценка на неговата необходимост и пропорционалност. Съобщението се изпраща до ЕНОЗД в момента на уведомяване за нарушението на сигурността на личните данни.
2. Когато основанията за ограничението са изчерпани, eu-LISA съобщава на съответния субект на данни за нарушението на сигурността на личните данни и го/я информира за основните причини за ограничението, както и за неговото/нейното право да подаде жалба до ЕНОЗД.
Член 8
Поверителност на електронните съобщения
1. При извънредни обстоятелства eu-LISA може да ограничи правото на поверителност на електронните съобщения съгласно член 36 от Регламент (ЕС) 2018/1725. Тези ограничения трябва да бъдат в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (6).
2. Когато ограничава правото на поверителност на електронните съобщения, eu-LISA информира съответния субект на данни в отговора си на искане, изпратено от него/нея, за основните причини, на които се основава прилагането на ограничението, и за неговото/нейното право да подаде жалба до ЕНОЗД.
3. eu-LISA може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това би премахнало ефекта от ограничението. Преценката дали това би било оправдано се извършва за всеки отделен случай.
Член 9
Влизане в сила
Настоящото решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
Съставено в Талин на 16 април 2021 година.
За управителния съвет
Zsolt SZOLNOKI
Председател на управителния съвет
(1) ОВ L 295, 21.11.2018 г., стр. 39.
(2) ОВ L 295, 21.11.2018 г., стр. 99.
(3) Насоки на ЕНОЗД относно член 25 от Регламент (ЕС) 2018/1725 и вътрешните правила за ограничаване на правата на субектите на данни (актуализация от 24 юни 2020 г.) — https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en
(4) Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. за определяне на Правилника за длъжностните лица и Условията за работа на другите служители на Европейските общности и за постановяване на специални мерки, временно приложими за длъжностните лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1).
(5) Насоки на ЕНОЗД относно документирането на действия по обработване на данни за институциите, органите и агенциите на ЕС — Отчетност на място, част I — „висшето ръководство отговаря за спазването на правилата, но отговорността обикновено се поема на по-ниско равнище („лице, отговарящо от името на администратора на данни“/„практически администратор“)“.
(6) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (OB L 201, 31.7.2002 г., стр. 37).