РЕШЕНИЕ (ЕС) 2018/1996 НА КОМИСИЯТА

от 14 декември 2018 година

за определяне на вътрешни правила относно предоставянето на информация на субектите на данни и ограничаването на някои от техните права в контекста на обработването на лични данни за целите на разследванията в областта на търговската политика и търговската защита

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 249, параграф 1 от него,

като има предвид, че:

(1)	В рамките на своите правомощия съгласно регламенти (ЕС) 2015/478 (1), (ЕС) 2015/755 (2), (ЕС) 2016/1036 (3) и (ЕС) 2016/1037 (4) на Европейския парламент и на Съвета Комисията провежда търговската политика на Съюза.

(2)

По-специално, при разследванията в областта на търговската защита неизбежно биват обработвани лични данни по смисъла на член 3, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (5). Комисията събира информация, представляваща интерес във връзка с разследванията, включително лични данни. Като се спазва изискването за защита на поверителната информация, цялата информация, която се предоставя от определена страна в дадено разследване, следва незабавно да бъде предоставена на останалите засегнати страни, участващи в разследването, чрез осигуряване на достъп до неповерителното досие. Такова предаване на данни е необходимо и правно обосновано за защитата на правните претенции на заинтересованите страни. Задачите на Комисията в областта на търговската политика, както и мерките за търговска защита, са първостепенна отговорност на генерална дирекция „Търговия“ (ГД „Търговия“), чиито организационни структури действат като администратор на данни.

(3)

Сред обработваните от Комисията лични данни например са данни за самоличност, данни за връзка, данни за професионалната дейност и данни, свързани с предмета на разследването. Личните данни се съхраняват в сигурна електронна среда, за да се предотврати неправомерен достъп или предаване на данни на лица извън Комисията. Някои лични данни могат да бъдат включени в отделна електронна среда, до която имат достъп регулиран брой страни, заинтересовани от разследването. Личните данни се запазват в службите на Комисията, отговарящи за разследването, до края на разследването. Административният срок на запазване е 5 години и започва да тече от края на разследването. В края на срока на запазване свързаната със случая информация, включително личните данни, се прехвърля в историческия архив на Комисията (6).

(4)

При изпълнението на своите задачи Комисията е длъжна да зачита правата на физическите лица по отношение на обработването на лични данни, признати в член 8, параграф 1 от Хартата на основните права на Европейския съюз и в член 16, параграф 1 от Договора, както и правата, предвидени в Регламент (ЕС) 2018/1725. Същевременно Комисията е длъжна да спазва строги правила за поверителност, както са определени в член 19 от Регламент (ЕС) 2016/1036, член 29 от Регламент (ЕС) 2016/1037, член 8 от Регламент (ЕС) 2015/478 и член 5 от Регламент (ЕС) 2015/755.

(5)

При определени обстоятелства е необходимо да се съгласуват правата на субектите на данни съгласно Регламент (ЕС) 2018/1725 с необходимостта от ефективност на разследванията, като изцяло се зачитат основните права и свободи на други субекти на данни. За тази цел с член 25, параграф 1, букви в), ж) и з) от Регламент (ЕС) 2018/1725 се предоставя на Комисията възможността да ограничава прилагането на членове 14—17, 19, 20 и 35, както и на принципа на прозрачност, установен в член 4, параграф 1, буква а), доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, 19, 20 и 35 от посочения регламент.

(6)

С цел да се гарантира ефективността на разследванията в областта на търговската защита при зачитане на стандартите за защита на личните данни съгласно Регламент (ЕС) 2018/1725, който замени Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (7), е необходимо да се приемат вътрешни правила, съгласно които Комисията може да ограничи правата на субектите на данни в съответствие с член 25, параграф 1, букви в), ж) и з) от Регламент (ЕС) 2018/1725.

(7)

Поради това е необходимо да се установят вътрешни правила, които да обхванат всички операции по обработване, осъществявани от Комисията при изпълнение на функциите ѝ за разследване в областта на търговската защита. Тези правила следва да се прилагат за операции по обработване, извършвани преди започването на разследване, в хода на разследването и по време на наблюдението на последващите действия след приключването на разследванията.

(8)

За да спази членове 14, 15 и 16 от Регламент (ЕС) 2018/1725, Комисията следва да информира всички лица за дейностите си, включващи обработване на техните лични данни, както и за техните права, по прозрачен и последователен начин чрез съобщение защита на данните, публикувано на уебсайта на Комисията. Когато е целесъобразно, Комисията следва да представя допълнителни гаранции, че субектите на данни са информирани индивидуално в подходящ формат.

(9)

Въз основа на член 25 от Регламент (ЕС) 2018/1725 Комисията също така може да ограничи предоставянето на информация на субектите на данни и упражняването на другите права на субектите на данни, за да защити собствените си разследвания в областта на търговската защита, както и правата на други лица, свързани с разследванията.

(10)

Освен това, с цел да се поддържа ефективно сътрудничество, може да се наложи Комисията да ограничи прилагането на правата на субектите на данни, за да предпази операциите по обработване, извършвани от други институции, органи, служби и агенции на Съюза или от компетентните органи на държавите членки. За тази цел Комисията следва да се консултира с тези институции, органи, служби, агенции и органи относно съответните основания за налагането на ограничения, както и за необходимостта и пропорционалността на ограниченията.

(11)

Възможно е също така на Комисията да се наложи да ограничи предоставянето на информация на субектите на данни и прилагането на други права на субектите на данни във връзка с лични данни, получени от трети държави или международни организации, за да изпълни задължението си за сътрудничество с тези държави или организации и да опази по този начин важна цел от общ обществен интерес на Съюза. При някои обстоятелства обаче интересът или основните права на субекта на данните могат да надделеят над интереса на международното сътрудничество.

(12)	Комисията следва да борави с всички ограничения по прозрачен начин и да регистрира всяко прилагане на ограничения в съответния регистър.

(13)

Съгласно член 25, параграф 8 от Регламент (ЕС) 2018/1725 администраторите могат да отложат, пропуснат или откажат предоставянето на информацията за причините за налагането на ограничение върху субекта на данните, ако предоставянето на тази информация би изложило по някакъв начин на риск целта на ограничението. Това е по-конкретно случаят с ограниченията по отношение на правата, предвидени в членове 16 и 35 от Регламент (ЕС) 2018/1725.

(14)

Комисията следва редовно да извършва преглед на наложените ограничения, за да гарантира, че правата на субекта на данни да бъде информиран в съответствие с членове 16 и 35 от Регламент (ЕС) 2018/1725 са ограничени само доколкото тези ограничения са необходими, за да може Комисията да проведе своите разследвания в областта на търговската защита.

(15)	Ако бъдат ограничени други права на субектите на данни, администраторът следва да прецени за всеки отделен случай дали съобщаването на ограничението би изложило на риск неговата цел.

(16)	Длъжностното лице по защита на данните на Европейската комисия следва да извършва независим преглед на прилагането на ограниченията с цел осигуряване на спазването на настоящото решение.

(17)

Регламент (ЕС) 2018/1725 заменя Регламент (ЕО) № 45/2001 без преходен период, считано от датата на влизането му в сила. Възможността за прилагане на ограничения на някои права на субектите на данни беше предвидена в Регламент (ЕО) № 45/2001. За да не бъдат изложени на риск търговската политика и провеждането на разследвания в областта на търговската защита, настоящото решение следва да се прилага от датата на влизане в сила на Регламент (ЕС) 2018/1725.

(18)	Европейският надзорен орган по защита на данните даде становище на 30 ноември 2018 г.,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Предмет и обхват

1. С настоящото решение се определят правилата, които Комисията да следва, когато информира субектите на данни относно обработването на техните данни в съответствие с членове 14, 15 и 16 от Регламент (ЕС) 2018/1725 в контекста на своите разследвания в областта на търговската политика и търговската защита.

В него се определят също условията, при които Комисията може да ограничи прилагането на член 4, членове 14—17, 19, 20 и 35 от Регламент (ЕС) 2018/1725 в съответствие с член 25, параграф 1, букви в), ж) и з) от същия регламент.

2. Настоящото решение се прилага за обработването на лични данни от Комисията за целите на или във връзка с дейностите, извършвани с оглед на изпълнението на задачите на Комисията съгласно регламенти (ЕС) 2016/1036, (ЕС) 2016/1037, (ЕС) 2015/478 и (ЕС) 2015/755.

3. Настоящото решение се прилага за обработването на лични данни от всички служби на Комисията, доколкото те обработват лични данни, съдържащи се в информацията, която са длъжни да предават на Комисията, или лични данни, които вече са обработени от Комисията за целите на или във връзка с дейностите, посочени в параграф 2 от настоящия член.

Член 2

Приложими изключения и ограничения

1. Когато Комисията изпълнява задълженията си по отношение на правата на субектите на данни съгласно Регламент (ЕС) 2018/1725, тя преценява дали се прилага някое от изключенията, предвидени в посочения регламент.

2. При спазване на разпоредбите на членове 3—7 от настоящото решение Комисията може да ограничи прилагането на членове 14—17, 19, 20 и 35 от Регламент (ЕС) 2018/1725, както и на принципа на прозрачност, установен в член 4, параграф 1, буква а) от посочения регламент, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, 19, 20 и 35 от същия регламент, когато упражняването на тези права и задължения би изложило на риск целта на дейностите на Комисията във връзка с търговската политика и търговската защита или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.

3. При спазване на разпоредбите на членове 3—7 от настоящото решение Комисията може също да ограничи правата и задълженията, посочени в параграф 2 на настоящия член, във връзка с лични данни, получени от други институции, органи, агенции и служби на Съюза, от компетентните органи на държавите членки или на трети държави или от международни организации, при следните обстоятелства:

а)

когато упражняването на тези права и задължения може да бъде ограничено от другите институции, органи, агенции и служби на Съюза въз основа на други актове, предвидени в член 25 от Регламент (ЕС) 2018/1725, или в съответствие с глава IX от посочения регламент, или в съответствие с Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета (8) или Регламент (ЕС) 2017/1939 на Съвета (9);

б)

когато упражняването на тези права и задължения може да бъде ограничено от компетентните органи на държавите членки въз основа на актовете, посочени в член 23 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (10), или съгласно националните мерки за транспониране на член 13, параграф 3, член 15, параграф 3 или член 16, параграф 3 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (11);

в)	когато упражняването на тези права и задължения би могло да изложи на риск сътрудничеството на Комисията с трети държави или международни организации при провеждането на разследвания в областта на търговската защита.

Преди да приложи ограничения при обстоятелствата, посочени в букви а) и б) от първа алинея, Комисията се консултира със съответните институции, органи, агенции и служби на Съюза или с компетентните органи на държавите членки, освен ако за Комисията е ясно, че прилагането на ограничение е предвидено в някой от актовете, посочени в тези букви.

Буква в) от първа алинея не се прилага, когато интересите или основните права и свободи на субектите на данни надделяват над интереса на Комисията да си сътрудничи с трети държави или международни организации.

4. Параграфи 1, 2 и 3 се прилагат, без да се засяга прилагането на други решения на Комисията за определяне на вътрешни правила по отношение на предоставянето на информация на субектите на данни и ограничаването на някои права съгласно член 25 от Регламент (ЕС) 2018/1725 и член 23 от Процедурния правилник на Комисията.

Член 3

Предоставяне на информация на субекти на данни

1. Комисията публикува на своя уебсайт съобщение за защита на данните, с което информира всички субекти на данни за своите дейности в областта на търговската защита, включващи обработването на техните лични данни. Когато е целесъобразно, Комисията гарантира, че субектите на данни са информирани индивидуално в подходящ формат.

2. Когато Комисията ограничава изцяло или частично предоставянето на информация на субектите на данни, чиито данни се обработват за целите на разследване в областта на търговската политика или търговската защита, тя записва и регистрира причините за ограничаването в съответствие с член 6.

Член 4

Право на достъп на субекти на данни, право на изтриване и право на ограничаване на обработването

1. Когато Комисията ограничава изцяло или частично правото на достъп до лични данни от страна на субектите на данни, правото на изтриване или правото на ограничаване на обработването, както са посочени съответно в членове 17, 19 и 20 от Регламент (ЕС) 2018/1725, в отговора си на искането за достъп, изтриване или ограничаване на обработването тя информира засегнатия субект на данни за приложеното ограничение и причините за него, както и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда на Европейския съюз.

2. Предоставянето на информация относно причините за ограничението, посочено в параграф 1, може да бъде отложено, пропуснато или отказано, ако предоставянето би застрашило постигането на целта на ограничението.

3. Комисията регистрира причините за ограничението в съответствие с член 6.

4. Когато правото на достъп е изцяло или частично ограничено, субектът на данни упражнява правото си на достъп с посредничеството на Европейския надзорен орган по защита на данните в съответствие с член 25, параграфи 6, 7 и 8 от Регламент (ЕС) 2018/1725.

Член 5

Съобщаване на субектите на данни за нарушения на сигурността на личните данни

Когато Комисията ограничава съобщаването за нарушение на сигурността на личните данни на субекта на данните, както е посочено в член 35 от Регламент (ЕС) 2018/1725, тя записва и регистрира причините за ограничението в съответствие с член 6 от настоящото решение.

Член 6

Записване и регистриране на ограниченията

1. Комисията записва причините за всички ограничения, прилагани съгласно настоящото решение, като включва оценка на необходимостта и пропорционалността на ограничението, като взема предвид съответните елементи от член 25, параграф 2 от Регламент (ЕС) 2018/1725.

За тази цел в записа се посочва по какъв начин упражняването на правото би изложило на риск целите на разследванията в областта на търговската политика или търговската защита или, ако ограниченията се прилагат съгласно член 2, параграф 2 или параграф 3, би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.

2. Записът и, когато е приложимо, документите, съдържащи основните фактически и правни елементи, се регистрират. При поискване те се предоставят на Европейския надзорен орган по защита на данните.

Член 7

Продължителност на ограниченията

1. Ограниченията, посочени в членове 3, 4 и 5, продължават да се прилагат, докато причините за тях продължават да са валидни.

2. Когато причините за дадено ограничение, посочено в член 3 или член 5, вече не са валидни, Комисията отменя ограничението и посочва на субекта на данните причините за ограничението. В същото време Комисията информира субекта на данните за възможността за подаване на жалба до Европейския надзорен орган по защита на данните по всяко време или за търсене на защита по съдебен ред пред Съда на Европейския съюз.

3. Комисията преразглежда прилагането на ограничението, посочено в членове 3 и 5, на всеки шест месеца след приемането му, както и при приключването на съответното разследване. След това Комисията/администраторът на лични данни ежегодно осъществява наблюдение върху необходимостта от запазване на всяко едно ограничение/отлагане.

Член 8

Преглед от длъжностното лице по защита на данните на Европейската комисия

1. Длъжностното лице по защита на данните се уведомява без ненужно забавяне, когато правата на субектите на данни се ограничават в съответствие с настоящото решение. При поискване на длъжностното лице по защита на данните се предоставя достъп до записа и документите, съдържащи основните фактически и правни елементи.

2. Длъжностното лице по защита на данните може да поиска преразглеждане на ограничението. Длъжностното лице по защита на данните се уведомява в писмен вид за резултата от искането за преразглеждане.

Член 9

Влизане в сила

Настоящото решение влиза в сила в деня на публикуването му в Официален вестник на Европейския съюз.

То се прилага от 11 декември 2018 г.

Съставено в Брюксел на 14 декември 2018 година.

За Комисията

Председател

Jean-Claude JUNCKER

(1) Регламент (ЕС) 2015/478 на Европейския парламент и на Съвета от 11 март 2015 г. относно общите правила за внос (ОВ L 83, 27.3.2015 г., стр. 16).

(2) Регламент (ЕС) 2015/755 на Европейския парламент и на Съвета от 29 април 2015 г. относно общия режим за внос от някои трети държави (ОВ L 123, 19.5.2015 г., стр. 33).

(3) Регламент (ЕС) 2016/1036 на Европейския парламент и на Съвета от 8 юни 2016 г. за защита срещу дъмпингов внос от страни, които не са членки на Европейския съюз (ОВ L 176, 30.6.2016 г., стр. 21).

(4) Регламент (ЕС) 2016/1037 на Европейския парламент и на Съвета от 8 юни 2016 г. относно защитата срещу субсидиран внос от държави, които не са членки на Европейския съюз (ОВ L 176, 30.6.2016 г., стр. 55).

(5) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39).

(6) Запазването на преписки в Комисията се урежда с Общия списък за запазването на преписки — регулаторен документ (последна версия SEC(2012)713) под формата на график за запазване, в който се определят сроковете на запазване за различните видове преписки на Комисията.

(7) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(8) Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета от 11 май 2016 г. относно Агенцията на Европейския съюз за сътрудничество в областта на правоприлагането (Европол) и за замяна и отмяна на решения 2009/371/ПВР, 2009/934/ПВР, 2009/935/ПВР, 2009/936/ПВР и 2009/968/ПВР на Съвета (ОВ L 135, 24.5.2016 г., стр. 53).

(9) Регламент (ЕС) 2017/1939 на Съвета от 12 октомври 2017 г. за установяване на засилено сътрудничество за създаване на Европейска прокуратура (ОВ L 283, 31.10.2017 г., стр. 1).

(10) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

(11) Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89).