1.   С Процедурния правилник за обработването и защитата на личните данни в Евроюст (наричан по-долу „процедурният правилник“) се прилагат разпоредбите за защита на данните, съдържащи се в регламента за Евроюст и в Регламент (ЕС) 2018/1725.

2.   Те се прилагат за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да бъдат част от регистър с лични данни.

3.   Процедурният правилник се прилага за всички лични данни, обработвани от Евроюст, включително за личните данни, съдържащи се в информация, която е изготвена или получена от Евроюст и с която Евроюст разполага, по въпроси, свързани с политиките, дейностите и решенията, които са от компетентността на Евроюст.

1.   Настоящият процедурен правилник се прилага както за лични данни с оперативно значение, така и за лични данни от административен характер, които се обработват от Евроюст.

2.   Данните с оперативно значение се обработват в съответствие с дял II.

3.   Данните от административен характер се обработват в съответствие с дял III.

1.   Исканията за упражняване на правата на субекта на данни се разглеждат от съответния(те) национален(ни) член(ове), който(които) предава(т) копие от искането на длъжностното лице по защита на данните, за да бъде регистрирано.

2.   Съответният(те) национален(ни) член(ове) се консултира(т) с компетентните органи на държавите членки относно решението в отговор на искането.

3.   При необходимост длъжностното лице по защита на данните прави допълнителни проверки в системата за управление на делата и уведомява съответния(те) национален(ни) член(ове), ако при тези проверки се установи важна допълнителна информация. Съответният(те) национален(ни) член(ове) взема(т) предвид информацията, предоставена от длъжностното лице по защита на данните, и когато е целесъобразно преразглежда(т) първоначалното решение.

4.   Правните и фактическите основания за решението на националния(те) член(ове) се документират във временното работно досие относно искането в системата за управление на делата и се предоставят на ЕНОЗД при поискване.

5.   Длъжностното лице по защита на данните съобщава на субекта на данните решението, взето от съответния(ите) национален(ни) член(ове) от името на Евроюст, и уведомява субекта на данните за възможността да подаде жалба до ЕНОЗД, ако не е удовлетворен от решението, или да потърси защита по съдебен ред пред Съда на Европейския съюз.

6.   Когато искането е получено чрез национален надзорен орган, Евроюст информира този орган за решението, за което длъжностното лице по защита на данните е уведомило субекта на данните.

1.   Системата за управление на делата автоматично дава уникален референтен номер (идентификатор) на всяко новосъздадено временно работно досие.

2.   Когато национален член, отговарящ за управлението на временно работно досие, както е определено в член 24, параграф 1 от регламента за Евроюст, предоставя достъп до временно работно досие или до част от него на един или повече участващи национални членове, системата за управление на делата гарантира, че оправомощените потребители, действащи от профила на националното бюро, за което отговаря националният член, имат достъп до съответните части от досието, но не могат да променят данните, въведени от първоначалния автор. Оправомощените потребители могат обаче да добавят релевантна информация към новите части на временните работни досиета. По същия начин информацията от индекса може да бъде четена от всички оправомощени потребители на системата, но промени в нея могат да се правят единствено от първоначалния автор.

3.   Системата за управление на делата уведомява автоматично длъжностното лице по защита на данните за създаването на всяко ново работно досие, съдържащо лични данни.

4.   Системата за управление на делата гарантира, че съответният национален член, който е създал временно работно досие, може да въведе в индекса само личните данни с оперативно значение, посочени в параграф 1, букви а) — и), к) и м) и параграф 2 от приложение II към регламента за Евроюст, в съответствие с член 23, параграф 4 и член 24, параграф 3 от регламента за Евроюст.

5.   Когато в съответствие с член 23, параграф 6 от регламента за Евроюст националните членове желаят временно да съхраняват и анализират лични данни, за да определят дали тези данни имат отношение към задачите на Евроюст, те създават проект за временно работно досие, който остава достъпен само за тях и за оправомощените от тях лица в рамките на профила на тяхното бюро. След три месеца проектът за временно работно досие следва да бъде преобразуван във временно работно досие в системата за управление на делата или да бъде заличен автоматично от системата. Системата изпраща предупреждение до съответния национален член преди изтичането на този срок, за да му напомни, че трябва да вземе решение по проекта за досие.

6.   Съответният(ите) национален(ни) член(ове) гарантира(т), че съдържащата се в индекса информация е достатъчна, за да отговаря на задачите на Евроюст, определени в член 2 от Регламента за Евроюст.

1.   Евроюст предприема подходящи технически мерки, за да се гарантира, че длъжностното лице по защита на данните получава автоматично информация за изключителните случаи, в които се прилага член 27, параграф 4 от регламента за Евроюст. Системата за управление на делата създава гаранции, че такива данни не може да се включват в индекса, посочен в член 23, параграфи 1 и 4 от регламента за Евроюст.

2.   Когато данните се отнасят за свидетели или за пострадали по смисъла на член 27, параграф 2 от регламента за Евроюст, тази информация не се въвежда в системата за управление на делата, освен ако съответните национални членове решат друго. Решението за обработване на тези данни се документира.

1.   Евроюст предприема подходящи технически мерки, за да гарантира, че длъжностното лице по защита на данните получава автоматично информация за изключителните случаи, в които за ограничен период от време се прилага член 27, параграф 3 от регламента за Евроюст. Системата за управление на делата обозначава тези данни по начин, който да напомня на лицето, което ги е въвело в системата, че те могат да бъдат съхранявани само за ограничен срок от време.

2.   Когато данните се отнасят за свидетели или за пострадали по смисъла на член 27, параграф 2 от регламента за Евроюст, тази информация не се въвежда в системата за управление на делата, освен ако съответните национални членове решат друго. Решението за обработване на тези данни се документира.

1.   Всеки национален член на Евроюст документира и уведомява длъжностното лице по защита на данните за разрешената от него политика на достъп, в съответствие с член 34 от регламента за Евроюст в рамките на своето национално бюро по отношение на личните данни с оперативно значение.

2.   Националните членове могат, за всеки отделен случай, да решат да предоставят специално разрешение за достъп до временно работно досие или до части от него на лице, което не е служител на Евроюст, но работи от името на Евроюст и е част от специална категория служители, които предварително са получили разрешение от административния директор на Евроюст съгласно член 24, параграф 2 от регламента за Евроюст за достъп до системата за управление на делата.

3.   Националните членове правят необходимото, така че в рамките на националното им бюро да бъдат предприети и да се спазват подходящи организационни мерки, както и да се прилагат правилно техническите и организационните мерки, в т.ч. преминаване на необходимото обучение, които са им предоставени от Евроюст.

4.   В съответствие с член 34 от регламента за Евроюст колегията може да предостави на други служители на Евроюст достъп до лични данни с оперативно значение, когато това е необходимо за изпълнението на задачите на Евроюст.

1.   Системата за управление на делата на Евроюст, предвидена в член 23 от регламента за Евроюст, служи за регистриране на всички дейности по обработване, посочени в член 35 от регламента за Евроюст, що се отнася до личните данни с оперативно значение.

2.   Системата за управление на делата на Евроюст съдържа пълен запис на предаването и получаването на лични данни с оперативно значение, като позволява да се установи предаването на лични данни с оперативно значение и да се идентифицира националният орган, организация, трета държава или международна организация, които са предали или са получили такава информация до/от Евроюст.

1.   Решението за предаване на лични данни на трети държави или международни организации в съответствие с член 58, параграф 1 от регламента за Евроюст се взема от колегията на Евроюст по искане на съответния(ите) национален(ни) член(ове) след оценка, извършена от длъжностното лице по защита на данните.

2.   Оценката, посочена в параграф 1, се предоставя от длъжностното лице по защита на данните в срок от десет работни дни. Когато е необходимо поради спешни причини, посочени от съответния(ите) национален(ни) член(ове), оценката се предоставя във възможно най-кратък срок. В особено сложни случаи длъжностното лице по защита на данните може да договори със съответния(ите) национален(ни) член(ове) по-дълъг срок за приключване на оценката.

3.   В оценката на длъжностното лице по защита на данните се разглеждат по-специално въпросите, посочени в съображения 51 и 52 от регламента за Евроюст. Когато при извършването на оценката на целесъобразността на гаранциите в конкретния случай длъжностното лице по защита на данните има резерви, то може да се консултира с ЕНОЗД преди да представи оценка на конкретно предаване.

1.   Евроюст въвежда подходящи технически мерки, за да гарантира спазването на сроковете за съхраняване на лични данни с оперативно значение, определени в член 29 от регламента за Евроюст, както и автоматичното заличаване на данните, когато към момента на проверката не е взето обосновано решение за продължаване на съхраняването на лични данни с оперативно значение.

2.   Системата за управление на делата гарантира по-специално, че на всеки три години след въвеждането на данните се прави проверка на необходимостта от съхраняването им във временно работно досие. Проверките подлежат на документиране в системата по подходящ начин заедно с мотивите за всяко решение за удължаване на съхраняването на лични данни с оперативно значение, а резултатът от проверките се съобщава автоматично на длъжностното лице по защита на данните. Резултатите от вземането или невземането на такова решение се прилагат към случая като цяло в съответствие с посоченото в член 29, параграф 2 от регламента за Евроюст.

3.   Системата за управление на делата обозначава по специален начин данните, които могат да бъдат съхранявани за ограничен период от време в съответствие с член 27, параграф 3, както и данните, посочени в член 27, параграф 4 от регламента за Евроюст. Ако личните данни с оперативно значение, посочени в член 27, параграф 4, се съхраняват за срок, по-дълъг от пет години, системата за управление на делата изпраща сигнал, за да се гарантира, че тази информация се предоставя автоматично на ЕНОЗД.

4.   В изключителни случаи, когато национален член счита, че са необходими допълнителни лични данни с оперативно значение за целите на архивирането в обществен интерес или за статистически цели, съгласно посоченото в член 29, параграф 7, буква д) от регламента за Евроюст, колегията взема решение, след като е изслушала становището на длъжностното лице по защита на данните, относно необходимостта от съхраняване на данните в конкретния случай и за конкретната цел. ЕНОЗД бива уведомяван за използването на тази процедура.

1.   Исканията за упражняване на права се отправят пряко до административния директор на Евроюст или до длъжностното лице по защита на данните. Във всички случаи на длъжностното лице по защита на данните се предоставя копие от искането с оглед на неговата регистрация.

2.   Ако е необходимо, длъжностното лице по защита на данните оказва съдействие на субекта на данните и предоставя специални формуляри, които могат да бъдат използвани от лицата, за да отправят исканията си.

3.   Административният директор взема решение по конкретния случай въз основа на информацията, предоставена от административния орган, който участва пряко в обработването на личните данни, и на становището на длъжностното лице по защита на данните.

4.   Длъжностното лице по защита на данните съобщава на субекта на данните решението, взето от административния директор, и уведомява субекта на данните за възможността да подаде жалба до ЕНОЗД, в случай че не е удовлетворен от решението на Евроюст.

5.   Искането се обработва изцяло в срок от един месец от датата на получаване. При необходимост този срок може да бъде удължен с още два месеца, като се вземат предвид броят и сложността на исканията. Административният директор информира субекта на данните за всяко удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако в рамките на този срок Евроюст не вземе решение по искането, субектът на данните може да подаде жалба до ЕНОЗД.

1.   Всяка индивидуална операция по обработване на лични данни от административен характер, извършвана в рамките на Евроюст, има, с оглед на определената ѝ цел и при пълно спазване на член 4, параграф 1, буква г) и член 31, параграф 1, буква е) от Регламент (ЕС) 2018/1725, ясен и определен срок на съхранение, за да се гарантира, че данните се съхраняват само за срок, който не надвишава необходимото за целите, за които се обработват личните данни от административен характер. Този срок се определя за всяка категория данни, които се обработват и документират в регистъра на дейностите по обработване.

2.   Евроюст съхранява личните данни от административен характер в съответствие с параграф 1, докато това е необходимо и във всички случаи за срок, не по-дълъг от сроковете, посочени за всяка категория дейности по обработване в таблицата, приложена към настоящия правилник.

3.   Изпълнителният съвет, като действа по предложение на административния директор, може да определи по-кратки срокове на съхраняване от установените в приложението към настоящия правилник срокове.

1.   Настоящият процедурен правилник се преразглежда редовно, за да се оцени необходимостта от неговото изменение. Измененията на процедурния правилник се извършват съгласно процедурата, установена за неговото одобрение в регламента за Евроюст.

2.   ЕНОЗД представя на колегията предложения или препоръки за изменение на настоящия процедурен правилник.