|
28.6.2021 |
BG |
Официален вестник на Европейския съюз |
L 228/3 |
Решение на Управителния съвет относно вътрешните правила, свързани с ограниченията на определени права на субекти на данни във връзка с обработването на лични данни в рамката на дейностите, осъществявани от Европейската агенция за околна среда
УПРАВИТЕЛНИЯТ СЪВЕТ НА ЕВРОПЕЙСКАТА АГЕНЦИЯ ЗА ОКОЛНА СРЕДА —
КАТО ВЗЕ ПРЕДВИД Договора за функционирането на Европейския съюз,
КАТО ВЗЕ ПРЕДВИД Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1), и по-специално член 25 от него,
КАТО ВЗЕ ПРЕДВИД Регламент (ЕО) № 401/2009 на Европейския парламент и на Съвета от 23 април 2009 г. относно Европейската агенция за околната среда и Европейската мрежа за информация и наблюдение на околната среда (кодифицирана версия) (2), и по-специално член 8 от него,
КАТО ВЗЕ ПРЕДВИД становището на Европейския надзорен орган по защита на данните (ЕНОЗД) от 13 март 2020 г. и Ръководството на ЕНОЗД относно член 25 от Регламент (ЕС) 2018/1725 и вътрешните правила,
След консултиране с Комитета по персонала,
КАТО ИМА ПРЕДВИД, ЧЕ:
|
(1) |
Европейската агенция за околна среда (наричана по-нататък „Агенцията“) има правомощията да извършва административни разследвания, преддисциплинарни и дисциплинарни производства и процедури за временно отстраняване от длъжност в съответствие с Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Европейския съюз, предвидени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета („Правилник за длъжностните лица“) (3) и Решение на Управителния съвет на ЕАОС от 15 февруари 2013 г. относно провеждането на административни разследвания и дисциплинарни производства. Ако е необходимо, тя също така уведомява OLAF за случаи. |
|
(2) |
Длъжностните лица на Агенцията са задължени да докладват потенциални незаконни дейности, включително измама и корупция, които са в ущърб на интересите на Съюза. Длъжностните лица освен това са задължени да подават сигнали за поведение, свързано с изпълнението на професионални задължения, което може да представлява сериозно нарушение на задълженията на длъжностните лица на Съюза. Това е уредено в Решение на Управителния съвет на ЕАОС от 24 април 2018 г. относно насоките за подаване на сигнали за нередности (Решение EEA/MB/2018/011). |
|
(3) |
Агенцията въведе политика за предотвратяване и ефективно справяне с действителни или потенциални случаи на психически или сексуален тормоз на работното място, както е предвидено в Решението на управителния ѝ съвет от 13 юни 2017 г. относно политиката на ЕАОС за защита на личното достойнство и предотвратяване на психическия и сексуалния тормоз (Решение EEA/MB/2017/011). В решението се установява неофициална процедура, при която предполагаемата жертва на тормоз може да се обърне към „доверени“ съветници на Агенцията. |
|
(4) |
Агенцията е обект както на вътрешни, така и на външни одити, свързани с дейностите, които упражнява. |
|
(5) |
В контекста на тези административни разследвания, одити и други разследвания, Агенцията си сътрудничи и с други институции, органи, служби и агенции на Съюза. |
|
(6) |
Агенцията може да си сътрудничи с националните органи на трети държави и с международни организации по тяхно искане или по собствена инициатива. |
|
(7) |
Агенцията може също да си сътрудничи с държавните органи на държавите — членки на ЕС, по тяхно искане или по собствена инициатива. |
|
(8) |
Агенцията участва в дела пред Съда на Европейския съюз, като сезира Съда, като защитава взето решение, което е оспорено пред Съда, или като встъпва в производства, свързани с нейните задачи. В този контекст може да е необходимо Агенцията да запази поверителността на личните данни, съдържащи се в документи, получени от страните или от встъпилите страни. |
|
(9) |
За да изпълнява задачите си, Агенцията събира и обработва информация и няколко категории лични данни, включително данни за самоличността на физически лица, информация за контакт, професионални функции и задачи, информация за поведението в личния и професионалния живот и за трудовото изпълнение и финансови данни. Агенцията действа в качеството на администратор на данни. |
|
(10) |
Следователно съгласно Регламент (ЕС) 2018/1725 Агенцията се задължава да предоставя информация на субектите на данни относно тези дейности по обработване и да зачита техните права като субекти на данни. |
|
(11) |
От Агенцията може да се изисква да съвместява тези права с целите на административните разследвания, одитите, разследванията и съдебните производства. От нея може също да се изисква да намери баланс между правата на даден субект на данни и основните права и свободи на други субекти на данни. За тази цел в член 25 от Регламента на Агенцията се дава възможност да ограничава, при строго определени условия, прилагането на членове 14—22, 35 и 36 от Регламента, както и на член 4 от него, доколкото неговите разпоредби се отнасят до правата и задълженията, предвидени в членове 14—20. Освен ако не са предвидени ограничения в правен акт, приет въз основа на Договорите, е необходимо приемането на вътрешни правила, по силата на които Агенцията да разполага с правото да ограничава тези права. |
|
(12) |
Може да се наложи например Агенцията да ограничи информацията относно обработването на личните данни на субект на данни, която му/ѝ предоставя, по време на етапа на предварителна оценка в административно разследване или по време на самото разследване, преди евентуално прекратяване на дело или по време на преддисциплинарния етап. При определени обстоятелства предоставянето на такава информация може значително да повлияе върху способността на Агенцията да проведе разследването по ефективен начин, когато например съществува риск засегнатото лице да унищожи доказателства или да въздейства върху потенциални свидетели, преди да бъдат снети показанията им. Може също така да се наложи Агенцията да защити правата и свободите на свидетелите, както и тези на други засегнати лица. |
|
(13) |
Може да е необходимо да се запази анонимността на свидетел или лице, сигнализиращо за нередности, което е поискало самоличността му да не бъде разкривана. В такъв случай Агенцията може да реши да ограничи достъпа до самоличността, показанията и други лични данни на съответното лице с цел защита на неговите права и свободи. |
|
(14) |
Може да е необходимо да се запази поверителна информация относно длъжностно лице, което се е свързало с доверените съветници на Агенцията в контекста на процедура във връзка с тормоз. В тези случаи може да се наложи Агенцията да ограничи достъпа до самоличността, показанията и други лични данни на предполагаемата жертва, предполагаемия извършител и на други участници с цел защита на правата и свободите на всички засегнати лица. |
|
(15) |
Агенцията следва да прилага ограничения само когато те са съобразени с характера на основните права и свободи и са строго необходима и пропорционална мярка в едно демократично общество. Агенцията следва да представи аргументи, обосноваващи основанията за тези ограничения. |
|
(16) |
В съответствие с прилагането на принципа на отчетност Агенцията следва да води регистър за прилаганите от нея ограничения. |
|
(17) |
Когато обработва лични данни, обменени с други организации в рамките на задачите си, Агенцията и съответните организации следва да се консултират взаимно относно потенциалните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това не би представлявало заплаха за дейностите на Агенцията. |
|
(18) |
С разпоредбата на член 25, параграф 6 от Регламента администраторът се задължава да информира субектите на данни за основните причини, на които се основава прилагането на ограничението, както и за правото им да подадат жалба до ЕНОЗД. |
|
(19) |
В съответствие с член 25, параграф 8 от Регламента Агенцията има право да отложи, пропусне или откаже да предостави информация относно причините за прилагането на ограничение на субекта на данните, ако това по някакъв начин би премахнало ефекта от ограничението. Агенцията следва да преценява за всеки отделен случай дали съобщаването на ограничението би премахнало неговия ефект. |
|
(20) |
Агенцията следва да отмени ограничението веднага щом условията, които го обосновават, вече не са приложими, както и редовно да извършва оценка на тези условия. |
|
(21) |
За да се гарантира максимална защита на правата и свободите на субектите на данни и в съответствие с член 44, параграф 1 от Регламента, длъжностното лице по защита на данните следва да бъде консултирано своевременно за всички ограничения, които може да се прилагат, и да провери съответствието им с настоящото решение. |
|
(22) |
В член 16, параграф 5 и член 17, параграф 4 от Регламента се предвиждат изключения от правото на информация и правото на достъп на субекти на данни. Ако тези изключения са приложими, не е необходимо Агенцията да прилага ограничение съгласно настоящото решение. |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и приложно поле
1. С настоящото решение се установяват правила относно условията, при които Агенцията може да ограничи прилагането на членове 4, 14—22, 35 и 36 въз основа на член 25 от Регламента.
2. В качеството си на администратор Агенцията се представлява от своя изпълнителен директор, който може да делегира ролята на администратор в рамките на Агенцията, за да бъдат отразени оперативните отговорности за конкретни операции по обработване на лични данни.
Член 2
Ограничения
1. Агенцията може да ограничава прилагането на членове 14—22, 35 и 36, както и на член 4 от Регламента, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—20:
|
а) |
въз основа на член 25, параграф 1, букви б), в), е), ж) и з) от Регламента — при провеждане на административни разследвания, преддисциплинарни производства, дисциплинарни производства или производства за временно отстраняване от длъжност съгласно член 86 и приложение IX към Правилника за длъжностните лица и Решението на Управителния съвет на ЕАОС от 15 февруари 2013 г. относно провеждането на административни разследвания и дисциплинарни производства, при обработването на вътрешни и външни жалби и при уведомяването на OLAF за случаи; |
|
б) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато гарантира поверителността на докладваните факти от длъжностните лица на Агенцията, в случаите, при които се смята, че са налице тежки нередности, както е описано в Решение на Управителния съвет на ЕАОС от 24 април 2018 г. относно насоките за подаване на сигнали за нередности (Решение EEA/MB/2018/011); |
|
в) |
въз основа на член 25, параграф 1, буква з) от Регламента — когато гарантира, че длъжностните лица на Агенцията имат възможността да докладват поверителна информация в контекста на процедура, свързана с тормоз (официална или неофициална), по смисъла на Решението на Управителния съвет на ЕАОС от 13 юни 2017 г. относно политиката на ЕАОС за защита на личното достойнство и предотвратяване на психическия и сексуалния тормоз (Решение EEA/MB/2017/011); |
|
г) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента, когато провежда вътрешни одити във връзка с дейности или отдели на Агенцията, включително разследвания, провеждани от длъжностното лице по защита на данните в съответствие с член 45, параграф 2 от Регламент (ЕС) 2018/1725, и разследвания на сигурността в областта на информационните технологии (ИТ), провеждани вътрешно или с външно участие (напр. CERT-EU); |
|
д) |
въз основа на член 25, параграф 1, букви в), г), ж) и з) от Регламента — при предоставяне на съдействие на други институции, органи, служби и агенции на Съюза или при получаване на съдействие от същите, или при сътрудничество с тях в контекста на дейности по букви а) до г) от този параграф, както и въз основа на съответните споразумения за нивото на обслужване, меморандуми за разбирателство и споразумения за сътрудничество; |
|
е) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при предоставяне на съдействие на национални органи на трети държави и на международни организации или при получаване на съдействие от същите, или при сътрудничество с такива органи и организации по тяхно искане или по собствена инициатива; |
|
ж) |
въз основа на член 25, параграф 1, букви в), ж) и з) от Регламента — при предоставяне на съдействие на държавни органи на държави членки на ЕС или при получаване на съдействие от същите по тяхно искане или по собствена инициатива; |
|
з) |
въз основа на член 25, параграф 1, буква д) от Регламента — при обработване на лични данни в документи, получени от страните или встъпилите страни в контекста на производства пред Съда на Европейския съюз. |
|
и) |
Всички ограничения следва да са съобразени с характера на основните права и свободи и да представляват необходима и пропорционална мярка в едно демократично общество. |
2. Преди прилагане на ограниченията се извършва проверка за необходимост и пропорционалност за всеки отделен случай. Ограниченията следва да са в границите само на строго необходимото за постигане на поставената цел.
3. За целите на отчетността Агенцията съставя регистър, в който се описват причините за прилаганите ограничения, основанията от посочените в параграф 1, които се прилагат, и резултатът от проверката за необходимост и пропорционалност. Тези записи са част от регистър, който при поискване се предоставя на ЕНОЗД. Агенцията изготвя периодични отчети за прилагането на член 25 от Регламента.
4. Когато обработва лични данни, получени от други организации в рамките на своите задачи, Агенцията се консултира с тези организации относно възможните основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това би представлявало заплаха за дейностите на Агенцията.
5. Засегнатите категории данни са потвърдени данни („обективни“ данни, например данни за идентификация, данни за връзка, професионални данни, административни данни, данни, получени от специфични източници, електронни съобщения и данни за трафик) и/или непотвърдени данни („субективни“ данни, свързани със случая, например мотиви, данни за поведението, оценки, данни за работната ефективност и действия, както и данни, свързани или представени във връзка с предмета на процедурата или дейността).
Член 3
Рискове за правата и свободите на субектите на данни
1. В регистъра на дейностите по обработване, воден от Агенцията съгласно член 31 от Регламента, се вписват оценки на рисковете за правата и свободите на субектите на данни от налагането на ограничения и информация за периода на прилагането на тези ограничения. Те се вписват и в оценки на въздействието върху защитата на данните по отношение на ограниченията, наложени съгласно член 39 от Регламента.
2. При оценката на необходимостта и пропорционалността на дадено ограничение Агенцията следва да отчете потенциалните рискове за правата и свободите на субекта на данни.
Член 4
Гаранции и срокове на съхранение
1. Агенцията използва гаранции за предотвратяване на злоупотреби и незаконен достъп или предаване на лични данни, по отношение на които се прилагат или може да се прилагат ограничения. Тези гаранции следва да включват технически и организационни мерки и следва да са подробно разписани, когато е необходимо, във вътрешни решения, процедури и правила за прилагане на Агенцията. Гаранциите включват:
|
а) |
ясно определяне на функциите, отговорностите и процедурните етапи; |
|
б) |
сигурна електронна среда, която да предотвратява незаконен и случаен достъп или пренос на електронни данни до неоправомощени лица; всички данни в електронен формат се съхраняват в сигурно ИТ приложение в съответствие със стандартите за сигурност на Агенцията, както и в отделни електронни папки, достъпни само за упълномощения персонал. Подходящите нива на достъп се предоставят за всеки отделен случай; |
|
в) |
сигурно съхранение и обработване на документи на хартиен носител, които се съхраняват в обезопасени шкафове и са достъпни само за упълномощени служители; |
|
г) |
надлежно наблюдение на ограниченията и периодично преразглеждане на прилагането им. |
2. Преразглежданията, посочени в буква г), се извършват най-малко на всеки шест месеца.
3. Ограниченията се отменят веднага след като обстоятелствата, послужили като основание за налагането им, престанат да съществуват.
4. Личните данни се запазват в съответствие с приложимите правила за запазване на Агенцията, които ще бъдат определени в документите за защита на данните, поддържани съобразно член 31 от Регламента. В края на срока на съхранение личните данни се заличават, анонимизират или прехвърлят в архиви в съответствие с член 13 от Регламента.
Член 5
Участие на длъжностното лице по защита на данните
1. Длъжностното лице по защита на данните на Агенцията следва да бъде уведомено без неоснователно забавяне при всяко ограничаване на права на субект на данни в съответствие с настоящото решение. Той или тя следва да получи достъп до съответните записи и документи, свързани с фактическите или правните обстоятелства.
2. Длъжностното лице на Агенцията по защита на данните може да поиска преразглеждане на прилагането на дадено ограничение. Агенцията уведомява писмено длъжностното си лице по защита на данните за резултата от преразглеждането.
3. Агенцията документира участието на длъжностното лице по защита на данните в прилагането на ограниченията, включително информацията, която е споделена с него или нея.
Член 6
Информация, предоставяна на субектите на данни, относно ограниченията на правата им
1. В съобщенията за защита на личните данни, публикувани в нейния интранет, Агенцията включва раздел, предоставящ обща информация на субектите на данни относно възможността за ограничаване на правата на субекти на данни съгласно член 2, параграф 1. Информацията включва правата, които може да бъдат ограничавани, основанията, на които може да се прилагат ограничения, и евентуалната им продължителност.
2. Агенцията информира субектите на данни поотделно в писмен вид и без неоснователно забавяне за текущите или бъдещите ограничения на техните права. Агенцията информира субекта на данни за основните причини, на които се основава прилагането на ограничението, за правото му/ѝ да се консултира с длъжностното лице по защита на данните с цел оспорване на ограничението и за неговите/нейните права да подаде жалба до ЕНОЗД.
3. Агенцията може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това би премахнало ефекта от ограничението. Преценката дали това би било оправдано се извършва за всеки отделен случай. Веднага след като това вече не би премахнало ефекта от ограничението, Агенцията предоставя информацията на субекта на данни.
Член 7
Съобщаване на субекта на данните за нарушение на сигурността на личните данни
1. Когато има задължението да съобщи за нарушение на сигурността на данните в съответствие с член 35, параграф 1 от Регламента, Агенцията може, при извънредни обстоятелства, изцяло или частично да ограничи това съобщаване. В съобщение се документират причините за ограничението, правното основание за него съгласно член 2 и оценка на неговата необходимост и пропорционалност. Съобщението се изпраща до ЕНОЗД в момента на уведомяване за нарушението на сигурността на личните данни.
2. Когато причините за ограничението са изчерпани, Агенцията следва да съобщи на съответния субект на данни за нарушението на сигурността на личните данни и да го/я информира за основните причини за ограничението, както и за неговото/нейното право да подаде жалба до ЕНОЗД.
Член 8
Поверителност на електронните съобщения
1. При извънредни обстоятелства Агенцията може да ограничи правото на поверителност на електронните съобщения съгласно член 36 от Регламента. Тези ограничения трябва да бъдат в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (4).
2. Когато ограничава правото на поверителност на електронните съобщения, Агенцията информира съответния субект на данни за основните причини, на които се основава прилагането на ограничението и за неговото/нейното право да подаде жалба до ЕНОЗД.
3. Агенцията може да отложи, пропусне или откаже да предостави информация относно причините за дадено ограничение и правото да се подаде жалба до ЕНОЗД, доколкото това би премахнало ефекта от ограничението. Преценката дали това би било оправдано се извършва за всеки отделен случай.
Член 9
Влизане в сила
Настоящото решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
Одобрено с писмена процедура от Управителния съвет,
19 април 2021 година.
Laura BURKE
Председател, Управителен съвет на ЕАОС
(1) ОВ L 295, 21.11.2018 г., стр. 39.
(2) ОВ L 126, 21.5.2009 г., стр. 13.
(3) Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. за установяване на Правилник за длъжностните лица на Европейските общности и Условия за работа на другите служители на Европейските общности и за установяване на специални мерки, временно приложими за длъжностни лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1).
(4) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (OВ L 201, 31.7.2002 г., стp. 37).