|
17.3.2021 |
BG |
Официален вестник на Европейския съюз |
L 92/6 |
РЕШЕНИЕ НА УПРАВИТЕЛНИЯ КОМИТЕТ
относно вътрешните правила, свързани с ограниченията на определени права на субекти на данни във връзка с обработването на лични данни в рамките на дейностите, осъществявани от Изпълнителната агенция за образование, аудиовизия и култура
УПРАВИТЕЛНИЯТ КОМИТЕТ,
като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 249, параграф 1 от него,
като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1) („Регламентът“), и по-специално член 25 от него,
като взе предвид Решение за изпълнение 2013/776/ЕС на Комисията от 18 декември 2013 г. за създаване на Изпълнителна агенция за образование, аудиовизия и култура и за отмяна на Решение 2009/336/ЕО (2),
след като се консултира с Европейския надзорен орган по защита на данните,
като има предвид, че:
|
(1) |
Изпълнителната агенция за образование, аудиовизия и култура („Агенцията“) беше създадена с Решение за изпълнение 2013/776/ЕС с оглед на изпълнението на задачи, свързани с изпълнението на програми на Съюза в областта на образованието, аудиовизията и културата (3). |
|
(2) |
В рамката на нейното административно и оперативно функциониране Агенцията може да извършва административни разследвания, преддисциплинарни и дисциплинарни производства и процедури за временно отстраняване от длъжност в съответствие с Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Европейския съюз, предвидени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета („Правилник за длъжностните лица“) (4), и с изпълнителните разпоредби за провеждане на административни разследвания и дисциплинарни производства. Ако е необходимо, Агенцията може да осъществява предварителни дейности, свързани със случаи на потенциална измама и нередности, и може да нотифицира случаи на OLAF. |
|
(3) |
Длъжностните лица на Агенцията са задължени да докладват потенциални незаконни дейности, включително измама и корупция, които са в ущърб на интересите на Съюза. Длъжностните лица освен това са задължени да подават сигнали за поведение, свързано с изпълнението на професионални задължения, което може да представлява сериозно нарушение на задълженията на длъжностните лица на Съюза. Това се регулира от вътрешните правила или политики относно подаване на сигнали за нередности. |
|
(4) |
Агенцията въведе политика за предотвратяване и ефективно решаване на потенциални случаи на психически или сексуален тормоз на работното място, както е предвидено в мерки за изпълнение съгласно Правилника за длъжностните лица, установяващ неофициална процедура, чрез която предполагаемата жертва на тормоз може да се свърже с доверените съветници на Агенцията. |
|
(5) |
Агенцията може също да осъществява вътрешни (IT) проучвания за сигурност и за потенциални нарушения на правилата за сигурност за класифицирана информация на Европейския съюз („КИЕС“). |
|
(6) |
Агенцията подлежи на вътрешни и външни одити относно нейните дейности, включително тези, осъществявани от Службата за вътрешен одит на Европейската комисия и Европейската сметна палата. |
|
(7) |
Агенцията може да разглежда молби от Европейската прокуратура (EPPO), молби за достъп до медицински досиета на длъжностни лица на Агенцията, да осъществява разследвания чрез длъжностното лице по защита на данните в съответствие с член 45, параграф 2 от Регламента. |
|
(8) |
В контекста на такива административни разследвания, одити, разследвания или молби Агенцията си сътрудничи с други институции, органи, служби и агенции. |
|
(9) |
Агенцията може да си сътрудничи с националните органи на трети държави и с международни организации по тяхно искане или по собствена инициатива. |
|
(10) |
Агенцията може също да си сътрудничи с държавните органи на държавите – членки на ЕС по тяхно искане или по собствена инициатива. |
|
(11) |
Агенцията може да бъде обект на оплаквания, производства или разследвания чрез лица, сигнализиращи за нередности, или чрез Европейския омбудсман. |
|
(12) |
Агенцията може да участва в дела пред Съда на Европейския съюз, като сезира Съда, като защитава взето решение, което е оспорено пред Съда, или като встъпва в производства, свързани с нейните задачи. В този контекст може да е необходимо Агенцията да запази поверителността на личните данни, съдържащи се в документи, получени от страните или от встъпилите страни. |
|
(13) |
В контекста на нейните дейности Агенцията обработва няколко категории лични данни, включително данни за идентификация на физически лица, информация за връзка, професионални функции и задачи, информация за поведението в личния и професионалния живот и за трудовото изпълнение, както и финансови данни и чувствителни данни (напр. данни за здравословното състояние) в някои специфични случаи. Личните данни включват фактически „твърди“ данни и „меки“ данни за оценяване. „Твърдите данни“ са обективни фактически данни, например данни за идентификация, данни за контакт, административни подробни данни, метаданни, свързани с електронни съобщения, и данни за трафик. „Меките данни“ са субективни данни и включват по-специално описанието и оценяването на ситуации и обстоятелства, възгледи, наблюдения, свързани със субекти на данни, оценка на поведението и изпълнението на субекти на данни и аргументи, които са в основата на индивидуални решения, свързани или представени във връзка с предмета на процедура или дейност, осъществявана от Агенцията в съответствие с приложимата правна рамка. Оценките, наблюденията и възгледите се считат за лични данни по смисъла на член 3, параграф 1 от Регламента. |
|
(14) |
Следователно, съгласно Регламента, Агенцията се задължава да предоставя информация на субектите на данни относно тези дейности по обработване и да зачита техните права като субекти на данни. |
|
(15) |
Агенцията се ангажира да зачита във възможно най-голяма степен основните права на субектите на данни и по-специално правото на предоставяне на информация, достъп и коригиране, правото на изтриване, ограничаване на обработването, правото на съобщаване на субекта на данните за нарушение на сигурността на личните данни или на поверителност на съобщаването, заложени в Регламента. Същевременно може да се наложи Агенцията да ограничи правата и задълженията на субект на данни, с цел да защити своите дейности и основните права и свободи на други лица. |
|
(16) |
Поради това в параграфи 1 и 5 на член 25 от Регламента се дава възможност на Агенцията да ограничава, по условия, прилагането на членове 14—22, 35 и 36, както и на член 4 от Регламента, доколкото нейните разпоредби съответстват на правата и задълженията, предвидени в членове 14—20. Ограничението се основава на вътрешни правила, които трябва да се приемат на най-високото равнище на управление на Агенцията и подлежат на публикуване в Официален вестник на Европейския съюз, когато не са базирани на правни актове, приети въз основа на Договорите. |
|
(17) |
Ограниченията могат да се прилагат за различни права на субектите на данни, включително предоставяне на информация на субектите на данни, право на достъп, коригиране, изтриване, ограничаване на обработването, правото на съобщаване на субекта на данните за нарушение на сигурността на личните данни или на поверителност на съобщаването, заложени в Регламента. |
|
(18) |
От Агенцията може да се изисква да съвместява тези права с целите на административните разследвания, одитите, разследванията и съдебните производства. Може също да се изисква да балансира между правата на даден субект на данни и основните права и свободи на други субекти на данни. |
|
(19) |
Може да се наложи например Агенцията да ограничи информацията относно обработването на личните данни на субект на данни, която му/ѝ предоставя, по време на етапа на предварителна оценка в административно разследване или по време на самото разследване, преди евентуално прекратяване на дело или по време на преддисциплинарния етап. При определени обстоятелства предоставянето на такава информация може значително да повлияе върху способността на Агенцията да проведе разследването по ефективен начин, когато например съществува риск съответното лице да унищожи доказателства или да въздейства върху потенциални свидетели, преди да бъдат снети показанията им. Може също да се наложи Агенцията да защити правата и свободите на свидетелите, както и тези на други засегнати лица. |
|
(20) |
Може да е необходимо Агенцията да запази анонимността на свидетел или лице, сигнализиращо за нередности, което е поискало самоличността му да не бъде разкривана. В такъв случай Агенцията може да реши да ограничи достъпа до самоличността, показанията и други лични данни на съответното лице или заподозряно лице, за да защити неговите права и свободи. |
|
(21) |
Може да е необходимо Агенцията да запази поверителна информация относно длъжностно лице, което се е свързало с доверените съветници на Агенцията в контекста на процедура във връзка с тормоз. В тези случаи може да се наложи Агенцията да ограничи достъпа до самоличността, показанията и други лични данни на предполагаемата жертва, предполагаемия извършител и на други участници, за да защити правата и свободите на всички засегнати лица. |
|
(22) |
Във връзка с процедурите за подбор и наемане, оценка на персонала и процедурите за възлагане на обществени поръчки, правото на достъп, коригиране, изтриване и ограничаване може да се упражнява само в определени моменти и при условията, предвидени в съответните процедури, за да се защитят правата на други субекти на данни и да се спазят принципите на равно третиране и тайната на разискванията. |
|
(23) |
Агенцията може също да ограничи достъпа на физическите лица до техните медицински данни, например от психологически или психиатричен характер, поради потенциалната чувствителност на тези данни, а медицинската служба на Комисията може да поиска да предоставя на субектите на данни само индиректен достъп чрез техния собствен лекар. Субектът на данни може да упражни правото на коригиране на оценките или становищата на медицинската служба на Комисията, като предостави своите коментари или доклад на избран от него лекар. |
|
(24) |
Агенцията, представлявана от своя директор, действа като администратор на данни независимо от допълнителното делегиране на функцията на администратор в рамките на Агенцията, за да се отразят оперативните отговорности за определени дейности по обработването на лични данни за компетентните „упълномощени администратори на данни“. |
|
(25) |
Личните данни се съхраняват надеждно в електронна среда в съответствие с Решение (ЕС, Евратом) 2017/46 на Комисията (5)относно сигурността на комуникационните и информационните системи в Европейската комисия или на хартиен носител, като се предотвратява незаконен достъп или предаване на данни на лица, които не е необходимо да се запознават с тях. Обработваните лични данни се съхраняват за срок, не по-дълъг от необходимия за целите, за които се обработват данните, за периода, посочен в информацията за защита на данните и регистрите на Агенцията. |
|
(26) |
Агенцията следва да прилага ограничения само когато те са съобразени с характера на основните права и свободи и са строго необходима и пропорционална мярка в едно демократично общество. Агенцията следва да посочи причините, като представи обосновката за тези ограничения и съответно информира субектите на данни за изложените съображения и правото им да подадат жалба до ЕНОЗД, както е предвидено в член 25, параграф 6 от Регламента. |
|
(27) |
В съответствие с прилагането на принципа на отчетност Агенцията следва да води регистър за прилаганите от нея ограничения. |
|
(28) |
Когато обработва лични данни, обменени с други организации в рамките на задачите си, Агенцията и съответните организации следва да се консултират взаимно относно потенциалните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това не би представлявало заплаха за дейностите на Агенцията. |
|
(29) |
По този начин тези вътрешни правила следва да се прилагат за всички дейности по обработка, извършвани от Агенцията, включващи лични данни при извършване на административни разследвания, дисциплинарни производства, предварителни дейности, свързани със случаи на потенциални нередности, докладвани на OLAF, разследвания на Европейската прокуратура (EPPO), процедури за подаване на сигнали за нередности, (формални и неформални) процедури за случаи на тормоз, обработка на вътрешни и външни жалби, молби за достъп до собствени медицински досиета или за коригирането им, разследванията, извършвани от длъжностното лице по защита на данните в съответствие с член 45, параграф 2 от Регламента, (IT) проучвания за надеждност, извършвани вътрешно или с външно участие (напр. CERT-EU), одити, производства пред Съда на Европейския съюз или национални публични органи, процедури за подбор и наемане, оценка на персонала и обществени поръчки, както е изброено по-горе. |
|
(30) |
Настоящите вътрешни правила следва да се прилагат за дейности по обработване, извършвани преди започване на горепосочените процедури, по време на тези процедури и по време на наблюдението на последващите действия във връзка с резултата от тези процедури. Тук следва да бъдат включени също помощта и сътрудничеството, които Агенцията предоставя на други институции на ЕС, националните органи и международните организации извън административните ѝ разследвания. |
|
(31) |
В съответствие с член 25, параграф 8 от Регламента Агенцията има право да отложи, пропусне или откаже да предостави информация относно причините за прилагането на ограничение на субекта на данните, ако това по някакъв начин би премахнало ефекта от ограничението. Агенцията следва да преценява за всеки отделен случай дали съобщаването на ограничението би премахнало неговия ефект. |
|
(32) |
Агенцията следва да отмени ограничението веднага щом условията, които го обосновават, вече не са приложими, както и редовно да извършва оценка на тези условия. |
|
(33) |
За да се гарантира максимална защита на правата и свободите на субектите на данни и в съответствие с член 44, параграф 1 от Регламента, длъжностното лице по защита на данните следва да бъде консултирано своевременно преди някое ограничение да може да се приложи или преразгледа, и да провери съответствието му с настоящото решение. |
|
(34) |
В член 16, параграф 5 и член 17, параграф 4 от Регламента се предвиждат изключения от правото на информация и правото на достъп на субекти на данни. Ако тези изключения са приложими, не е необходимо Агенцията да прилага ограничение съгласно настоящото решение, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и обхват
1. С настоящото решение се определят правила, свързани с условията, при които Изпълнителната агенция за образование, аудиовизия и култура и всеки от нейните правоприемници („Агенцията“) може да ограничи прилагането на членове 4, 14—22, 35 и 36 съгласно член 25 от Регламента.
2. Агенцията, като администратор на данни, се представлява от директора на Агенцията, който може допълнително да делегира функцията на администратора на данни.
Член 2
Приложими ограничения
1. Агенцията може да ограничава прилагането на членове 14—22, 35 и 36, както и на член 4 от Регламента, доколкото нейните разпоредби съответстват на правата и задълженията, предвидени в членове 14—20.
2. Настоящото решение се прилага за обработката на лични данни от Агенцията в рамките на нейното административно и оперативно функциониране:
|
а) |
съгласно член 25, параграф 1, букви б), в), е), ж) и з) от Регламента при провеждане на вътрешни разследвания, включително въз основа на външни жалби, административни разследвания, преддисциплинарни и дисциплинарни производства или процедури за временно отстраняване от длъжност по член 86 и Приложение IX от Правилника за длъжностните лица и правилата за неговото прилагане, проучвания за надеждност или разследвания на OLAF; |
|
б) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато се гарантира поверителността на докладваните факти от длъжностните лица на Агенцията, в случаите, при които се смята, че са налице тежки нередности, както е описано във вътрешните правила или политики относно подаване на сигнали за нередности; |
|
в) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато се гарантира възможността на длъжностните лица на Агенцията да докладват на доверени съветници в контекста на процедура във връзка с тормоз, както е определено от вътрешни правила; |
|
г) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при извършване на вътрешни или външни одити във връзка с дейности или с функционирането на Агенцията; |
|
д) |
въз основа на член 25, параграф 1, букви г) и з) от Регламента — когато се гарантират анализи във връзка със сигурността, включително киберсигурност и злоупотреби с ИТ системи, извършвани вътрешно или с външно участие (напр. CERT-EU), при гарантиране на вътрешната сигурност посредством видеонаблюдение, контрол на достъпа и за целите на разследвания, при защита на комуникационните и информационните системи и изпълнение на контрамерки в областта на техническата сигурност; |
|
е) |
въз основа на член 25, параграф 1, букви ж) и з) от Регламента — когато длъжностното лице по защита на данните („ДЛЗД“) на Агенцията разследва въпроси, свързани директно с неговите/нейните задачи; |
|
ж) |
въз основа на член 25, параграф 1, букви б), ж) и з) от Регламента — в контекста на разследвания от Европейската прокуратура (EPPO); |
|
з) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато физически лица поискат достъп или коригиране на техните медицински данни, включително ако те се съхраняват от медицинската служба на Комисията. |
|
и) |
въз основа на член 25, параграф 1, букви в), г), ж) и з) от Регламента — при предоставяне на съдействие на други институции, органи, служби и агенции на Съюза или при получаване на съдействие от същите, или при сътрудничество с тях в контекста на дейности по букви а) до з) от този параграф, както и въз основа на съответните споразумения за нивото на обслужване, меморандуми за разбирателство и споразумения за сътрудничество от съответните им актове за установяване; |
|
й) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при предоставяне на съдействие на национални органи на трети държави и на международни организации или при получаване на съдействие от същите, или при сътрудничество с такива органи и организации по тяхно искане или по собствена инициатива; |
|
к) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при предоставяне на съдействие на държавни органи на държави — членки на ЕС, или при получаване на съдействие от същите по тяхно искане или по собствена инициатива; |
|
л) |
въз основа на член 25, параграф 1, буква д) от Регламента — при обработване на лични данни в документи, получени от страните или встъпилите страни в контекста на производства пред Съда на Европейския съюз; |
За целите на настоящото решение гореспоменатите дейности следва да включват подготвителни и последващи действия, свързани директно с една и съща дейност.
3. Агенцията може също да прилага ограничения за всеки отделен случай за правата на субекти на данни, посочени в настоящото решение, при следните обстоятелства:
|
а) |
когато службите на Комисията или други институции, органи, агенции и служби на Съюза имат право да ограничат упражняването на изброените права и целта на такова ограничение от тази служба на Комисията, институция, орган или агенция на Съюза може да бъде застрашена, когато Агенцията не прилага еквивалентно ограничение по отношение на едни и същи лични данни; |
|
б) |
когато компетентните органи на държави членки имат право да ограничат упражняването на изброените права и целта на такова ограничение от този орган на държава членка може да бъде застрашена, когато Агенцията не прилага еквивалентно ограничение по отношение на едни и същи лични данни; |
|
в) |
когато упражняването на тези права и задължения може да застраши сътрудничеството на Агенцията с трети държави или международни организации при изпълнението на нейните задачи, освен ако над тази необходимост от сътрудничество не надделяват интересите или основните права и свободи на субекта на данни. |
|
г) |
Преди да приложи ограничения по този параграф, Агенцията следва да се консултира, когато е необходимо, със съответните служби на Комисията, други институции, органи, агенции, служби на Съюза, международни организации или компетентните органи на държавите членки, освен ако не е ясно, че ограничението е предвидено в един от горепосочените актове или такава консултация може да застраши дейностите на Агенцията. |
4. Обработваните категории лични данни, свързани с горепосочените дейности, могат да съдържат фактически „твърди“ данни и „меки“ данни за оценка.
5. Всички ограничения следва да са съобразени с характера на основните права и свободи и да представляват необходима и пропорционална мярка в едно демократично общество.
Член 3
Записване и регистриране на ограничения
1. Администраторът на данни следва да изготвя документ за ограничението, описващ:
|
а) |
причините за всяко ограничение, приложено съгласно настоящото решение; |
|
б) |
кои основания сред изброените в член 2 се прилагат; |
|
в) |
как упражняването на правото може да представлява риск за субекта на данни или може да застраши целта на задачите на Агенцията, или може да повлияе неблагоприятно на правата и свободите на други субекти на данни. |
|
г) |
резултат от оценката на необходимостта и пропорционалността на ограничението, като се вземат предвид съответните елементи в член 25, параграф 2 от Регламента. |
2. Преди прилагане на ограничения следва да се извърши проверка за необходимостта и пропорционалността на дадено ограничение за всеки отделен случай. Администраторът на данни следва да вземе предвид потенциалните рискове за правата и свободите на субекта на данни. Ограниченията следва да са в границите само на строго необходимото за постигане на поставената цел.
3. Документът за ограничението и, когато е приложимо, документите, съдържащи основните фактологични и правни елементи, следва да се вписват в регистъра. При поискване те се предоставят на Европейския надзорен орган по защита на данните.
Член 4
Рискове за правата и свободите на субектите на данни
1. В регистъра на дейностите по обработване, воден от администратора на данни въз основа на член 31 от Регламента, следва да се вписват оценки на рисковете за правата и свободите на субектите на данни от налагането на ограничения и информация за периода на прилагането на тези ограничения. Те следва да се вписват и във всички оценки на въздействието върху защитата на данните по отношение на ограниченията, наложени съгласно член 39 от Регламента, когато е приложимо.
2. Когато администраторът на данни обмисля да приложи ограничение, рискът за правата и свободите на субекта на данни следва да се преценява по-специално въз основа на риска за правата и свободите на други субекти на данни и риска от отрицателно въздействие върху разследванията или процедурите, например чрез унищожаване на доказателства. Рисковете за правата и свободите на субекта на данни засягат главно, но не се ограничават до рискове за репутацията и рискове за правото на защита и правото на изслушване.
Член 5
Гаранции и срокове на съхранение
1. Агенцията следва да определи специфични гаранции за предотвратяване на злоупотреби и незаконен достъп или предаване на лични данни, по отношение на които се прилагат или може да се прилагат ограничения. Тези гаранции следва да включват технически и организационни мерки и следва да са подробно разписани, когато е необходимо, във вътрешни решения, процедури и правила за прилагане на Агенцията. Тези гаранции следва да включват:
|
а) |
ясно определяне на функциите, отговорностите и процедурните етапи; |
|
б) |
ако е целесъобразно, защитена електронна среда, която предотвратява незаконен и случаен достъп или предаване на електронни данни на неоправомощени лица; |
|
в) |
ако е целесъобразно, надеждно съхранение и обработка на документи на хартиен носител; |
|
г) |
гарантиране на спазването на задълженията за поверителност за всички лица, които имат достъп до личните данни. |
2. Периодът на съхранение на лични данни при ограничение следва да се определя в съответния регистър съгласно член 31 от Регламента, като се отчита целта на обработването, и следва да се включват сроковете, необходими за административен и съдебен контрол. В края на срока на съхранение личните данни се заличават, анонимизират или прехвърлят в архиви в съответствие с член 13 от Регламента.
Член 6
Продължителност на ограниченията
1. Ограниченията, посочени в член 2, следва да продължават да се прилагат, докато причините за тях продължават да са валидни.
2. Когато причините за ограничението вече не се прилагат, администраторът на данни следва да отмени ограничението, ако упражняването на ограниченото право няма да окаже отрицателно въздействие върху съответната приложима процедура или неблагоприятно да повлияе на правата или свободите на други субекти на данни.
3. В случай че субектът на данни отново иска достъп до съответните лични данни, администраторът на данни следва да предостави на субекта на данни основните причини за ограничението. Същевременно Агенцията следва да уведомява субекта на данни за възможността да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или да потърси защита по съдебен ред пред Съда на Европейския съюз.
4. На всеки шест месеца Агенцията следва да преразглежда прилагането на ограниченията, посочени в член 2.
Член 7
Участие на длъжностното лице по защита на данните
1. Администраторът на данни на Агенцията следва да информира ДЛЗД на Агенцията без ненужно забавяне и преди всяко решение за ограничаване на правата на субекта на данни в съответствие с настоящото решение или за удължаване на прилагането на ограничението. Администраторът на данни следва да предоставя достъп на ДЛЗД до съответните регистри и всички документи, свързани с фактическите или правните обстоятелства.
2. ДЛЗД може да поиска от администратора на данни да преразгледа прилагането на ограничение. Администраторът на данни следва да информира писмено ДЛЗД за резултата от поисканото преразглеждане.
3. Администраторът на данни следва да документира участието на ДЛЗД в прилагането на ограничението, включително каква информация се споделя. Документите по този член следва да са част от документа, свързан с ограничението, и следва да се предоставят на ЕНОЗД при поискване.
Член 8
Информация, предоставяна на субекта на данни, относно ограниченията на правата му
1. Администраторът на данни следва да включва в информацията и документите за защита на данните съгласно член 31 от Регламента, публикувани на неговия уеб сайт и в интранета, обща информация за потенциалните ограничения на правата на субектите на данни съгласно член 2, параграф 2 от настоящото решение. Информацията следва да включва правата и задълженията, които може да бъдат ограничавани, основанията, на които може да се прилагат ограничения, и евентуалната им продължителност.
2. Администраторът на данни следва да информира субектите на данни поотделно в писмен вид и без неоснователно забавяне за текущите или бъдещите ограничения на техните права. Администраторът на данни следва да информира субекта на данни за основните причини, на които се основава прилагането на ограничението, за правото му да се консултира с длъжностното лице по защита на данните, за да оспори ограничението и за неговите права да подаде жалба до ЕНОЗД.
3. Администраторът на данни може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това може да премахне ефекта от ограничението. Оценката на тази обосновка следва да се извършва за всеки отделен случай и администраторът на данни следва да предоставя информацията на субекта на данни веднага след като това вече няма да отменя ефекта от ограничението.
Член 9
Право на достъп на субекта на данни
1. В надлежно обосновани случаи и при условията, предвидени в настоящото решение, правото на достъп съгласно член 17 от Регламента може да бъде ограничено от администратора на данни, когато е необходимо и пропорционално по отношение на дейностите по настоящото решение.
2. Когато субектите на данни искат достъп до техните лични данни, обработени в контекста на специфична дейност по обработване, посочена в член 2, параграф 2 от настоящото решение, Агенцията следва да ограничи отговора си до личните данни, обработвани за тази дейност.
3. Правата на субектите на данни за пряк достъп до документи от психологически или психиатричен характер могат да бъдат ограничени. Нито индиректният достъп, нито правото на коригиране и съобщаване на нарушение на сигурността на личните данни ще бъдат ограничени с тези вътрешни правила. Следователно, при поискване от съответното лице, на лекар посредник следва да бъде предоставен достъп до цялата свързана информация и дискреционни правомощия във връзка с това как и какъв достъп да се осигури на субекта на данни.
4. Когато администраторът на данни ограничава изцяло или частично правото за достъп до лични данни, посочено в член 17 от Регламента, в отговора си на молбата за достъп той следва да информира писмено съответния субект на данни за приложеното ограничение и за основните причини за него, както и за възможността за подаване на жалба до ЕНОЗД или за търсенето на защита по съдебен ред пред Съда на Европейския съюз.
5. Информацията за ограничението на достъп може да се отложи, пропусне или откаже, ако ще обезсили ефекта на ограничението в съответствие с член 25, параграф 8 от Регламента.
6. Ограничение по този член следва да се прилага в съответствие с настоящото решение.
Член 10
Право на коригиране, изтриване и ограничаване на обработването
1. В надлежно обосновани случаи и при условията, предвидени в настоящото решение, правото на коригиране, изтриване и ограничаване на обработването съгласно член 18, член 19, параграф 1 и член 20, параграф 1 от Регламента може да бъде ограничено от администратора на данни, когато е необходимо и подходящо по отношение на дейностите съгласно член 2, параграф 2 от настоящото решение.
2. Във връзка с медицински данни субектите на данни могат да упражняват правото на коригиране на оценката или становището на медицинската служба на Комисията, като предоставят техните коментари или доклад на избран от тях лекар, включително директно на медицинската служба на Комисията.
3. Ограничение по този член следва да се прилага в съответствие с настоящото решение.
Член 11
Съобщаване на субекта на данните за нарушение на сигурността на личните данни
1. Когато администраторът на данни има задължението да съобщи за нарушение на сигурността на данните в съответствие с член 35, параграф 1 от Регламента, той/тя може, при извънредни обстоятелства, изцяло или частично да ограничи това съобщаване. Той/тя следва да документира в съобщение причините за ограничението, правното основание за него съгласно член 2 и оценка на неговата необходимост и пропорционалност. Съобщението се изпраща до ЕНОЗД в момента на уведомяване за нарушението на сигурността на личните данни.
2. Когато причините за ограничението са изчерпани, Агенцията следва да съобщи на съответния субект на данни за нарушението на сигурността на личните данни и да го/я информира за основните причини за ограничението, както и за неговото/нейното право да подаде жалба до ЕНОЗД.
Член 12
Поверителност на електронните съобщения
1. При извънредни обстоятелства Агенцията може да ограничи правото на поверителност на електронните съобщения, предвидено в член 36 от Регламента. Тези ограничения трябва да бъдат в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (6).
2. Независимо от член 8, параграф 3, когато Агенцията ограничава правото на поверителност на електронните съобщения, тя следва да информира съответния субект на данни в отговора си на всяка молба, изпратена от него/нея, за основните причини, на които се основава прилагането на ограничението, и за неговото/нейното право да подаде жалба до ЕНОЗД.
Член 13
Влизане в сила
Настоящото решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
Съставено в Брюксел на 22 октомври 2020 година.
За Управителния комитет
Председател
Themis CHRISTOPHIDOU
(1) ОВ L 295, 21.11. 2018 г., стр. 39.
(2) : Решение за изпълнение 2013/776/ЕС на Комисията от 18 декември 2013 г. за създаване на Изпълнителна агенция за образование, аудиовизия и култура и за отмяна на Решение 2009/336/ЕО (ОВ L 343, 19.12.2013 г., стр. 46), впоследствие изменено с решения за изпълнение (ЕС) 2018/1716 (ОВ L 286, 14.11.2018 г., стр. 33) и с (ЕС) 2019/1855 (ОВ L 285, 6.11.2019 г., стр. 14).
(3) Решение C(2013)9189 на Комисията от 18 декември 2013 г. за делегиране на правомощия на Изпълнителна агенция за образование, аудиовизия и култура (EACEA) с оглед изпълнение на задачи, свързани с изпълнението на програми на Съюза в областта на образованието, аудиовизията и културата, включващи, по-специално, изпълнение на бюджетни кредити, записани в общия бюджет на Съюза, и на средства по Европейския фонд за развитие (ЕФР). Посоченото по-горе решение беше допълнително изменено с Решение C(2014)4084 на Комисията от 26 юни 2014 г., Решение C(2015)658 на Комисията от 12 февруари 2015 г., Решение C(2016)401 на Комисията от 1 февруари 2016 г., Решение C(2016)1851 на Комисията от 31 март 2016 г., Решение C(2017)3049 на Комисията от 12 май 2017 г., Решение C(2018)5011 на Комисията от 1 август 2018 г., Решение C(2018)7435 на Комисията от 13 ноември 2018 г., Решение C(2019)1299 на Комисията от 19 февруари 2019 г. и Решение C(2019)7856 на Комисията от 6 ноември 2019 г.
(4) Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. за установяване на Правилник за длъжностните лица на Европейските общности и Условия за работа на другите служители на Европейските общности и за установяване на специални мерки, временно приложими за длъжностни лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1).
(5) Решение (ЕС, Евратом) 2017/46 на Комисията от 10 януари 2017 година относно сигурността на комуникационните и информационните системи в Европейската комисия (OB L 6, 11.1.2017 г., стр. 40).
(6) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (OB L 201, 31.7.2002 г., стр. 37).