|
2.9.2020 |
BG |
Официален вестник на Европейския съюз |
L 287/1 |
РЕШЕНИЕ НА КОЛЕГИЯТА № 2020-04
от 15 юли 2020 година
относно вътрешните правила за ограничения на определени права на субектите на данни във връзка с обработването на лични данни в рамките на дейности, извършвани от Евроюст
КОЛЕГИЯТА НА ЕВРОЮСТ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1) („Регламента“), и по-специално член 25 от него,
като взе предвид становището на Европейския надзорен орган по защита на данните (ЕНОЗД) от 25 юни 2020 г.,
като има предвид, че:
|
(1) |
Евроюст има правомощията да извършва административни разследвания, преддисциплинарни и дисциплинарни производства и процедури за временно отстраняване от длъжност в съответствие с Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Европейския съюз, предвидени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета („Правилник за длъжностните лица“) (2) и Решение на Евроюст от 23 септември 2013 г., предвиждащо общи изпълнителни разпоредби за провеждане на административни разследвания и дисциплинарни производства. Ако това се изисква, Евроюст също така уведомява OLAF за случаи, в съответствие с Решение на Колегията № 2020-03 от 15 юли 2020 г. относно условията и реда за вътрешни разследвания в Евроюст във връзка с предотвратяване на измами, корупция и всякакви незаконни действия в ущърб на интересите на Съюза. |
|
(2) |
Длъжностните лица на Евроюст са задължени да докладват потенциални незаконни дейности, включително измами и корупция, които са в ущърб на интересите на Съюза. Длъжностните лица освен това са задължени да подават сигнали за поведение, свързано с изпълнението на професионални задължения, което може да представлява сериозно нарушение на задълженията на длъжностните лица на Съюза. Това е регламентирано от Решение на колегията № 2019-02 от 29 януари 2019 г. относно насоките на Евроюст за подаване на сигнали за нередности. |
|
(3) |
Евроюст въведе политика за предотвратяване и ефективно справяне с действителни или потенциални случаи на психически или сексуален тормоз на работното място, както е предвидено в Решението на Евроюст от 31 януари 2012 г. относно политиката на Евроюст за защита на личното достойнство и предотвратяване на психическия и сексуалния тормоз. В решението се установява неофициална процедура, при която предполагаемата жертва на тормоз може да се обърне към „доверени“ съветници на Евроюст. |
|
(4) |
Евроюст може също така да извършва разследвания за потенциални нарушения на правилата за сигурност за класифицирана информация на ЕС (КИЕС) въз основа на Решение на колегията № 2016-4 от 22 март 2016 г. за приемане на преработените правила за сигурност на Евроюст, изменено с Решение на колегията № 2016-24 от 13 декември 2016 г. |
|
(5) |
Евроюст е обект както на вътрешни, така и на външни одити, свързани с дейностите, които упражнява. |
|
(6) |
В контекста на тези административни разследвания, одити и други разследвания, Евроюст си сътрудничи и с други институции, органи, служби и агенции на Съюза. |
|
(7) |
Евроюст може да си сътрудничи с националните органи на трети държави и с международни организации по тяхно искане или по собствена инициатива. |
|
(8) |
Евроюст освен това може да си сътрудничи с държавните органи на държавите членки на ЕС по тяхно искане или по собствена инициатива. |
|
(9) |
Евроюст участва в дела пред Съда на Европейския съюз, като сезира Съда, като защитава взето решение, което е оспорено пред Съда, или като встъпва в производства, свързани с неговите задачи. В този контекст може да е необходимо Евроюст да запази поверителността на личните данни, съдържащи се в документи, получени от страните или от встъпилите страни. |
|
(10) |
За да изпълнява задачите си, Евроюст събира и обработва информация и няколко категории лични данни, включително данни за самоличността на физически лица (напр. име, фамилия, дата на раждане и др.), информация за контакт (напр. домашен адрес, телефонен номер, имейл адрес и др.), професионални функции и задачи, информация за поведението в личния и професионалния живот и за трудовото изпълнение (данни за поведението, които може да са свързани и ограничени единствено до целта на текущите административни разследвания, преддисциплинарни и дисциплинарни производства и процедури за временно отстраняване от длъжност, предварителни дейности, свързани със случаи на потенциални нередности, докладвани на OLAF, обработване на сигнали за нередности и сходни производства) и финансови данни. Евроюст действа в качеството на администратор на данни. |
|
(11) |
Следователно, съгласно Регламента, Евроюст се задължава да предоставя информация на субектите на данни относно тези дейности по обработване и да зачита техните права като субекти на данни. |
|
(12) |
От Евроюст може да се изисква да съвместява тези права с целите на административните разследвания, одитите, разследванията и съдебните производства. Може също да се изисква да балансира между правата на даден субект на данни и основните права и свободи на други субекти на данни. За тази цел член 25 от Регламент (ЕС) 2018/1725 дава възможност на Евроюст да ограничава, при строго определени условия, прилагането на членове 14—22, 35 и 36 от Регламента, както и на член 4 от него, доколкото неговите разпоредби се отнасят до правата и задълженията, предвидени в членове 14—20. Освен ако не са предвидени ограничения в правен акт, приет въз основа на Договорите, е необходимо приемането на вътрешни правила, по силата на които Евроюст да разполага с правото да ограничава тези права. |
|
(13) |
Може да се наложи например Евроюст да ограничи информацията относно обработването на личните данни на субект на данни, която му/ѝ предоставя, по време на етапа на предварителна оценка в административно разследване или по време на самото разследване, преди евентуално прекратяване на дело или по време на преддисциплинарния етап. При определени обстоятелства предоставянето на такава информация може значително да повлияе върху способността на Евроюст да проведе разследването по ефективен начин, когато например съществува риск засегнатото лице да унищожи доказателства или да въздейства върху потенциални свидетели, преди да бъдат снети показанията им. Може също така да се наложи Евроюст да защити правата и свободите на свидетелите, както и тези на други засегнати лица. |
|
(14) |
Може да е необходимо да се запази анонимността на свидетел или лице, сигнализиращо за нередности, което е поискало самоличността му да не бъде разкривана. В такъв случай Евроюст може да реши да ограничи достъпа до самоличността, показанията и други лични данни на съответното лице с цел защита на неговите права и свободи. |
|
(15) |
Може да е необходимо да се запази поверителна информация относно длъжностно лице, което се е свързало с доверените съветници на Евроюст в контекста на процедура във връзка с тормоз. В тези случаи може да се наложи Евроюст да ограничи достъпа до самоличността, показанията и други лични данни на предполагаемата жертва, предполагаемия извършител и на други участници с цел защита на правата и свободите на всички засегнати лица. |
|
(16) |
Евроюст следва да прилага ограничения само когато те са съобразени с характера на основните права и свободи и са строго необходима и пропорционална мярка в едно демократично общество. Евроюст следва да представи аргументи, обосноваващи основанията за тези ограничения. |
|
(17) |
В съответствие с прилагането на принципа на отчетност Евроюст следва да води регистър за прилаганите от него ограничения. |
|
(18) |
Когато обработва лични данни, обменени с други организации в рамките на задачите си, Евроюст и съответните организации се консултират взаимно относно потенциалните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това не би представлявало заплаха за дейностите на Евроюст. |
|
(19) |
Разпоредбата на член 25, параграф 6 от Регламента задължава администратора да информира субектите на данни за основните причини, на които се основава прилагането на ограничението, както и за правото им да подадат жалба до ЕНОЗД. |
|
(20) |
В съответствие с член 25, параграф 8 от Регламента Евроюст има право да отложи, пропусне или откаже да предостави информация относно причините за прилагането на ограничение на субекта на данните, ако това по някакъв начин би премахнало ефекта от ограничението. Евроюст следва да преценява за всеки отделен случай дали съобщаването на ограничението би премахнало неговия ефект. |
|
(21) |
Евроюст следва да отмени ограничението веднага щом условията, които го обосновават, вече не са приложими, както и редовно да извършва оценка на тези условия. |
|
(22) |
За да се гарантира максимална защита на правата и свободите на субектите на данни и в съответствие с член 44, параграф 1 от Регламента, длъжностното лице по защита на данните следва да бъде консултирано своевременно за всички ограничения, които може да се прилагат, и да провери съответствието им с настоящото решение. |
|
(23) |
В член 16, параграф 5 и член 17, параграф 4 от Регламента се предвиждат изключения от правото на информация и правото на достъп на субекти на данни. Ако тези изключения са приложими, не е необходимо Евроюст да прилага ограничение съгласно настоящото решение, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и приложно поле
1. С настоящото решение се установяват правила относно условията, при които Евроюст може да ограничи прилагането на членове 4, 14–22, 35 и 36 въз основа на член 25 от Регламента.
2. При спазване на условията, определени в настоящото решение, ограничения могат да се прилагат по отношение на следните права: предоставяне на информация на субектите на данни, право на достъп, коригиране, изтриване, ограничаване на обработването на данни, информиране на субекта за нарушение на сигурността на личните данни или поверителност на електронните съобщения.
3. Настоящото решение се прилага за обработването на лични данни от Евроюст, доколкото личните данни са обработвани за целите на административни разследвания, преддисциплинарни и дисциплинарни производства и процедури за временно отстраняване от длъжност, предварителни действия, свързани със случаи на потенциални нередности, докладвани на OLAF, обработване на сигнали за нередности, (официални и неофициални) процедури, свързани с тормоз, обработване на вътрешни и външни жалби, провеждане на вътрешни одити, разследвания от страна на длъжностното лице по защита на личните данни в съответствие с член 45, параграф 2 от Регламент (ЕС) 2018/1725, както и разследвания в областта на сигурността на ИТ, извършвани вътрешно или с външно участие (напр. CERT-EU).
4. Категориите лични данни, попадащи в обхвата на настоящото решение, включват данни за самоличността, данни за контакт, данни за поведението и финансови данни.
5. Евроюст, като администратор на данни, се представлява от административния директор.
Член 2
Ограничения
1. Евроюст може да ограничава прилагането на членове 14—22, 35 и 36, както и на член 4 от Регламента, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—20:
|
а) |
въз основа на член 25, параграф 1, букви б), в), е), ж) и з) от Регламента — при провеждане на административни разследвания, преддисциплинарни производства, дисциплинарни производства или производства за временно отстраняване от длъжност съгласно член 86 и приложение IX към Правилника за длъжностните лица и Решение на Евроюст от 23 септември 2013 г., предвиждащо общи изпълнителни разпоредби за провеждане на административни разследвания и дисциплинарни производства, както и при уведомяване на OLAF за случаи; |
|
б) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато гарантира поверителността на докладваните факти от длъжностните лица на Евроюст, в случаите, при които се смята, че са налице тежки нередности, както е описано в Решение на Kолегията № 2019-02 от 29 януари 2019 г. относно насоките на Евроюст за подаване на сигнали за нередности; |
|
в) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато гарантира, че длъжностните лица на Евроюст имат възможността да докладват поверителна информация в контекста на процедура, свързана с тормоз, по смисъла на Решението на Евроюст от 31 януари 2012 г. относно политиката на Евроюст за защита на личното достойнство и предотвратяване на психическия и сексуалния тормоз; |
|
г) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при извършване на вътрешни одити във връзка с дейности или отдели на Евроюст; |
|
д) |
въз основа на член 25, параграф 1, букви в), г), ж) и з) от Регламента —, при предоставяне на съдействие на други институции, органи, служби и агенции на Съюза или при получаване на съдействие от същите, или при сътрудничество с тях в контекста на дейности по букви а) до г) от този параграф, както и въз основа на съответните споразумения за нивото на обслужване, меморандуми за разбирателство и споразумения за сътрудничество; |
|
е) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при предоставяне на съдействие на национални органи на трети държави и на международни организации или при получаване на съдействие от същите, или при сътрудничество с такива органи и организации по тяхно искане или по собствена инициатива; |
|
ж) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при предоставяне на съдействие на държавни органи на държави членки на ЕС или при получаване на съдействие от същите по тяхно искане или по собствена инициатива; |
|
з) |
въз основа на член 25, параграф 1, буква д) от Регламента — при обработване на лични данни в документи, получени от страните или встъпилите страни в контекста на производства пред Съда на Европейския съюз; |
|
и) |
въз основа на член 25, параграф 1, буква и) от Регламента — когато обработването на лични данни е необходимо за изпълнение по гражданскоправни претенции. |
2. Всички ограничения следва да са съобразени с характера на основните права и свободи и да представляват необходима и пропорционална мярка в едно демократично общество.
3. Преди прилагане на ограниченията се извършва проверка за необходимост и пропорционалност за всеки отделен случай. Ограниченията следва да са в границите само на строго необходимото за постигане на поставената цел.
4. За целите на отчетността Евроюст съставя регистър, в който се описват причините за прилаганите ограничения, основанията от посочените в параграф 1, които се прилагат, и резултатът от проверката за необходимост и пропорционалност. Тези записи са част от регистър, който при поискване се предоставя на ЕНОЗД. Евроюст изготвя периодични отчети за прилагането на член 25 от Регламента.
5. Когато обработва лични данни, получени от други организации в рамките на своите задачи, Евроюст се консултира с тези организации относно възможните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това би представлявало заплаха за дейностите на Евроюст.
Член 3
Рискове за правата и свободите на субектите на данни
1. В регистъра на дейностите по обработване, воден от Евроюст съгласно член 31 от Регламента, се вписват оценки на рисковете за правата и свободите на субектите на данни от налагането на ограничения и информация за периода на прилагането на тези ограничения. Те се вписват и в оценки на въздействието върху защитата на данните по отношение на ограниченията, наложени съгласно член 39 от Регламента.
2. При оценката на необходимостта и пропорционалността на дадено ограничение Евроюст следва да отчете потенциалните рискове за правата и свободите на субекта на данни. Когато Евроюст обмисля налагането на ограничение, рискът за правата и свободите на субекта на данни се преценява по-специално спрямо риска за правата и свободите на други субекти на данни и риска от премахване на ефекта от разследванията или процедурите на Евроюст, например чрез унищожаване на доказателства. Рисковете за правата и свободите на субекта на данни са свързани предимно, но не само, с рискове за репутацията и рискове за правото на защита и правото на изслушване.
Член 4
Гаранции и срокове на съхранение
1. Евроюст използва гаранции за предотвратяване на злоупотреби и незаконен достъп или предаване на лични данни, по отношение на които се прилагат или може да се прилагат ограничения. Тези гаранции включват технически и организационни мерки и са подробно разписани, когато е необходимо, във вътрешни решения, процедури и правила за прилагане на Евроюст. Гаранциите включват:
|
а) |
ясно определяне на функциите, отговорностите и процедурните етапи; |
|
б) |
всички данни в електронен формат се съхраняват в сигурно ИТ приложение, което предотвратява неправомерен или случаен достъп или предаване на данни в електронен формат на неупълномощени лица, според стандартите за сигурност на Евроюст, както и в отделни електронни папки, достъпни само за упълномощения персонал. Съответните нива на достъп се предоставят за всеки отделен случай; |
|
в) |
документите на хартиен носител се съхраняват в обезопасени шкафове и само упълномощени служители имат достъп до тях; |
|
г) |
надлежно наблюдение на ограниченията и периодично преразглеждане на прилагането им; |
|
д) |
всички лица с достъп до данните са обвързани от задължение за поверителност. |
Преразглежданията, посочени в буква г), се извършват най-малко на всеки шест месеца.
2. Ограниченията се отменят, след като престанат да се прилагат обстоятелствата, които ги обосновават.
3. Срокът на съхраняване на личните данни, посочен в член 1, параграф 4, е не по-дълъг от необходимото и съответстващ на целите, за които се обработват данните. Личните данни се съхраняват в съответствие с приложимите правила за съхранение на Евроюст, посочени в член 18 и Приложението към Процедурния правилник за обработването и защитата на личните данни в Евроюст (3), които трябва да бъдат определени в регистрите за защита на личните данни, водени в съответствие с член 31 от Регламента. В края на срока на съхранение личните данни се заличават, анонимизират или прехвърлят в архиви в съответствие с член 13 от Регламента.
Член 5
Участие на длъжностното лице по защита на данните
1. Длъжностното лице по защита на данните на Евроюст следва да бъде уведомено без неоснователно забавяне при всяко ограничаване на права на субект на данни в съответствие с настоящото Решение. Той или тя следва да получи достъп до съответните досиета и документи, свързани с фактическите или правните обстоятелства.
2. Длъжностното лице по защита на данните на Евроюст може да поиска преразглеждане на прилагането на ограничението. Евроюст уведомява писмено длъжностното лице по защита на данните за резултата от преразглеждането.
3. Евроюст документира участието на длъжностното лице по защита на данните в прилагането на ограниченията, включително информацията, която е споделена с него или нея.
Член 6
Информация, предоставяна на субектите на данни, относно ограниченията на правата им
1. В съобщенията за защита на личните данни, публикувани на интернет страницата/интранет, Евроюст включва раздел, предоставящ обща информация на субектите на данни относно възможността за ограничаване на правата на субекти на данни съгласно член 2, параграф 1. Информацията включва правата, които може да бъдат ограничавани, основанията, на които може да се прилагат ограничения, и евентуалната им продължителност.
2. Евроюст информира субектите на данни поотделно в писмен вид и без неоснователно забавяне за текущите или бъдещите ограничения на техните права. Евроюст информира субекта на данни за основните причини, на които се основава прилагането на ограничението, за правото му/ѝ да се консултира с длъжностното лице по защита на данните с цел оспорване на ограничението и за неговите/нейните права да подаде жалба до ЕНОЗД.
3. Евроюст може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това би премахнало ефекта от ограничението. Преценката дали това би било оправдано се извършва за всеки отделен случай. Веднага след като това вече не би премахнало ефекта от ограничението, Евроюст предоставя информацията на субекта на данни.
Член 7
Съобщаване на субекта на данни за нарушение на сигурността на личните данни
1. Когато има задължението да съобщи за нарушение на сигурността на данните в съответствие с член 35, параграф 1 от Регламента, Евроюст може, при извънредни обстоятелства, изцяло или частично да ограничи това съобщаване. В съобщение се документират причините за ограничението, правното основание за него съгласно член 2 и оценка на неговата необходимост и пропорционалност. Съобщението се изпраща до ЕНОЗД в момента на уведомяване за нарушението на сигурността на личните данни.
2. Когато основанията за ограничението са изчерпани, Евроюст съобщава на съответния субект на данни за нарушението на сигурността на личните данни и го/я информира за основните причини за ограничението, както и за неговото/нейното право да подаде жалба до ЕНОЗД.
Член 8
Поверителност на електронните съобщения
1. При извънредни обстоятелства Евроюст може да ограничи правото на поверителност на електронните съобщения съгласно член 36 от Регламента. Тези ограничения трябва да бъдат в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (4).
2. Когато ограничава правото на поверителност на електронните съобщения, Евроюст информира съответния субект на данни в отговора си на искане, изпратено от него/нея, за основните причини, на които се основава прилагането на ограничението и за неговото/нейното право да подаде жалба до ЕНОЗД.
3. Евроюст може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това би премахнало ефекта от ограничението. Преценката дали това би било оправдано се извършва за всеки отделен случай.
Член 9
Влизане в сила
Настоящото решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
Съставено в Хага на 15 юли 2020 г.
За Колегията на Евроюст
Ladislav HAMRAN
Председател на Евроюст
(1) ОВ L 295, 21.11.2018 г., стр. 39.
(2) Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. за установяване на Правилник за длъжностните лица на Европейските общности и Условия за работа на другите служители на Европейските общности и за установяване на специални мерки, временно приложими за длъжностни лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1).
(3) Процедурен правилник за обработването и защитата на личните данни в Евроюст (ОВ L 50, 24.2.2020 г., стр. 10).
(4) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (OB L 201, 31.7.2002 г., стр. 37).