|
2.12.2022 |
BG |
Официален вестник на Европейския съюз |
L 311/176 |
РЕШЕНИЕ (ЕС) 2022/2359 НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА
от 22 ноември 2022 година
за приемане на вътрешни правила относно ограниченията на правата на субектите на данни във връзка с вътрешната дейност на Европейската централна банка (ЕЦБ/2022/42)
ИЗПЪЛНИТЕЛНИЯТ СЪВЕТ НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Устава на Европейската система на централните банки и на Европейската централна банка, и по-специално член 11.6 от него,
като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1), и по-специално член 25 от него,
като има предвид, че:
|
(1) |
Европейската централна банка (ЕЦБ) изпълнява задачите си в съответствие с Договорите. |
|
(2) |
Съгласно член 45, параграф 3 от Регламент (ЕС) 2018/1725 с Решение (ЕС) 2020/655 на Европейската централна банка (ЕЦБ/2020/28) (2) се определят общите правила за прилагането на Регламент (ЕС) 2018/1725 по отношение на ЕЦБ. В частност то съдържа правилата за назначаването и функциите на длъжностното лице по защита на данните (ДЛЗД) на ЕЦБ, включително задачите, задълженията и правомощията му. |
|
(3) |
При изпълнението на възложените ѝ задачи ЕЦБ и по-специално съответното организационно звено действа като администратор на данни, доколкото определя, самостоятелно или съвместно с други, целите и средствата за обработването на лични данни. |
|
(4) |
Във връзка с вътрешната дейност на ЕЦБ на различни структурни звена в ЕЦБ (включително генерална дирекция „Човешки ресурси“ (DG/HR), Службата за управление и спазване на етичната рамка (CGO), дирекция „Вътрешен одит“ (D/IA) и генерална дирекция „Правни услуги“ (DG/L)) са поверени задачи съгласно правната уредба на трудовите отношения в ЕЦБ, които включват обработването на лични данни. Сред тези задачи са например: действия, предприети във връзка с потенциални нарушения на професионални задължения (включително разследвания на непристойно поведение съгласно рамката на ЕЦБ относно достойнството на работното място и действия в отговор на съобщаване за незаконна дейност или нарушение на професионални задължения, подадено чрез какъвто и да е канал, включително, наред с другото, чрез инструмента на ЕЦБ за подаване на сигнали за нарушения); задачи, свързани с процедури за подбор; задачи, предприети от генерална дирекция „Човешки ресурси“ при изпълнение на функциите ѝ, свързани с управление на оценяването на резултатите, повишения, пряко назначаване на персонала на ЕЦБ, професионално развитие, включително оценка на потенциала на служители в рамките на и между структурни звена, увеличения на заплати и бонуси, както и решения относно мобилността и отпуските; разглеждане на вътрешни жалби, подадени от персонала на ЕЦБ (включително чрез производството по административен преглед, производството по административно обжалване, специалното производство по административно обжалване или медицински комисии) и последващи на тях действия; консултативните задачи на Службата за управление и спазване на етичната рамка съгласно Етичната рамка на ЕЦБ (установена в част 0 от Правилата за персонала на ЕЦБ) и консултативните задачи на Службата за управление и спазване на етичната рамка във връзка с мониторинга за съответствие на частната финансова дейност (включително сътрудничество с външен доставчик на услуги, определен съгласно член 0.4.3.3 от Правилата за персонала на ЕЦБ); и одити, извършвани от дирекция „Вътрешен одит“, и задачи, изпълнявани съгласно Циркулярно писмо 01/2006 относно вътрешните административни разследвания (3), когато предприема разследващи действия и административни разследвания в случаи с персонал на ЕЦБ, които могат да имат дисциплинарно измерение (включително задачите на лицата, които провеждат разследването или членовете на разследващата комисия, когато трябва да събират доказателства и да установяват относими факти). |
|
(5) |
Съгласно Решение (ЕС) 2016/456 на Европейската централна банка (ЕЦБ/2016/3) (4) ЕЦБ трябва да предава на Европейската служба за борба с измамите по нейно искане или по собствена инициатива информация, с която разполага ЕЦБ, която поражда подозрение за възможни случаи на измама, корупция или друга незаконна дейност, засягаща финансовите интереси на Съюза. Решение (ЕС) 2016/456 (ЕЦБ/2016/3) предвижда, че в такъв случай заинтересованите страни биват информирани бързо, ако това няма да навреди на разследването, и че при всички случаи не могат да се правят заключения, в които заинтересованите страни са посочени поименно, без да им се даде възможност да изразят становището си по всички свързани с тях факти, включително съществуващите срещу тях доказателства. |
|
(6) |
Съгласно член 4, буква б) от Решение (ЕС) 2020/655 (ЕЦБ/2020/28) ДЛЗД трябва да разследва въпроси и инциденти, свързани със защитата на данни, по своя собствена инициатива или по искане на ЕЦБ. |
|
(7) |
Отделът за сигурност и безопасност в рамките на дирекция „Администрация“ отговаря за провеждането на разследвания с цел осигуряване на защитата на физическата сигурност в ЕЦБ на лицата, помещенията и имуществото, за събиране на сведения за заплахи и за анализ на инциденти със сигурността. |
|
(8) |
ЕЦБ има задължение за лоялно сътрудничество с национални органи, включително национални органи за наказателно преследване. По-специално съгласно Решение (ЕС) 2016/1162 на Европейската централна банка (ЕЦБ/2016/19) (5) по искане от национален разследващ орган ЕЦБ може да предостави поверителна информация, която тя държи и която е свързана със задачите, възложени на ЕЦБ с Регламент (ЕС) № 1024/2013 (6), или други задачи, свързани с ЕСЦБ/Евросистемата, съответно на НКО или НЦБ за разкриване на въпросния национален разследващ орган при определени условия. |
|
(9) |
Съгласно Регламент (ЕС) 2017/1939 на Съвета (7) ЕЦБ трябва да предостави незабавно на Европейската прокуратура всяка информация при наличие на подозрение за извършено престъпление от нейната компетентност. |
|
(10) |
ЕЦБ трябва да си сътрудничи с органите на ЕС, упражняващи надзорна, контролна или одитна функция, на която ЕЦБ е субект, като например Европейския надзорен орган по защита на данните, Европейската сметна палата и Европейския омбудсман, при изпълнението на съответните им задачи. В този контекст ЕЦБ може да обработва лични данни, за да може да отговаря на искания, да провежда консултации и да предоставя информация на такива органи. |
|
(11) |
Съгласно рамката за вътрешно разрешаване на спорове в ЕЦБ персоналът на ЕЦБ може да се свърже с медиатор по всяко време и всякакъв начин, за да поиска подкрепа от медиатор при разрешаване или предотвратяване на свързан с работата спор. Тази рамка предвижда, че цялата комуникация с медиатора е защитена като поверителна. Всичко споменато по време на процеса на медиация се счита за привилегирована информация и всяка участваща в медиацията страна трябва да използва тази информация единствено за целите на процеса на медиация, без с това да се засяга евентуално съдебно производство. По изключение медиаторът може да разкрие информация, когато това се явява необходимо за предотвратяване на непосредствен риск от сериозни вреди за физическата или психическата неприкосновеност на дадено лице. |
|
(12) |
ЕЦБ се стреми да гарантира условия на труд, които защитават здравето и безопасността на нейния персонал и зачитат достойнството му на работното място, като му предоставя услуги за социално-психологическа подкрепа. Персоналът на ЕЦБ може да потърси услугите на социален съветник във връзка с всякакви въпроси, включително емоционални, лични и свързани с работата въпроси. Социалният съветник не може да има достъп до личните досиета на персонала на ЕЦБ, освен ако е изрично упълномощен от тях. Получената от социалния съветник информация и изявленията на лицето пред социалния съветник не могат да бъдат разкривани, освен ако това е изрично разрешено от лицето или се изисква от закона. |
|
(13) |
Във връзка с вътрешната си дейност ЕЦБ обработва няколко категории данни, които може да са свързани с физическо лице, което е идентифицирано или може да бъде идентифицирано. В приложенията към настоящото решение се съдържат неизчерпателни списъци на категориите лични данни, които се обработват от ЕЦБ във връзка с вътрешната ѝ дейност. Личните данни могат също така да бъдат част от оценка, включваща оценка, извършена от компетентното структурно звено във връзка с разглеждания въпрос, включително например оценка от генерална дирекция „Човешки ресурси“, генерална дирекция „Правни услуги“, дирекция „Вътрешен одит“ или от дисциплинарна комисия или разследваща комисия относно нарушение на професионални задължения. |
|
(14) |
В контекста на съображения 4—13 е подходящо да се посочат основанията, на които ЕЦБ може да ограничи правата на субектите на данни. |
|
(15) |
При изпълнението на задачите си ЕЦБ се стреми да постигне важни цели от общ обществен интерес на Съюза. Поради това изпълнението на тези задачи следва да бъде гарантирано, както е предвидено в Регламент (ЕС) 2018/1725, и по-специално в член 25, параграф 1, букви б), в), г), е), ж) и з). |
|
(16) |
В съответствие с член 25, параграф 1 от Регламент (ЕС) 2018/1725 ограниченията на прилагането на членове 14—22, 35 и 36, както и на член 4 от посочения регламент, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—22, следва да бъдат определени във вътрешни правила или правни актове, приети въз основа на Договорите. Поради това ЕЦБ следва да определи правилата, съгласно които може да ограничава правата на субектите на данни при изпълнението на задачите си. |
|
(17) |
ЕЦБ следва да обоснове защо подобни ограничения на правата на субектите на данни са строго необходими и пропорционални в демократичното общество, за да се гарантират преследваните цели при упражняването на правомощията ѝ и свързаните с тях функции, както и как ЕЦБ зачита същността на основните права и свободи, като същевременно налага такива ограничения. |
|
(18) |
В тази рамка ЕЦБ е задължена да зачита във възможно най-голяма степен предвидените в Регламент (ЕС) 2018/1725 основни права на субектите на данни, по-специално правата, свързани с правото на предоставяне на информация, достъп и коригиране, правото на изтриване, ограничаване на обработването, правото на съобщаване на субекта на данните за нарушение на сигурността на личните данни или поверителността на съобщенията. |
|
(19) |
ЕЦБ обаче може да бъде задължена да ограничи информацията, предоставяна на субектите на данни, и правата на други субекти на данни, за да защити изпълнението на задачите си, по-специално собствените си разследвания и процедури, разследванията и процедурите на други публични органи и основните права и свободи на други лица, свързани с нейните разследвания или други процедури. |
|
(20) |
ЕЦБ следва да отмени ограничението, което вече е било наложено, доколкото то вече не е необходимо. |
|
(21) |
ДЛЗД следва да преразгледа прилагането на ограниченията, за да гарантира спазването на настоящото решение и на Регламент (ЕС) 2018/1725. |
|
(22) |
Макар че с настоящото решение се определят правилата, съгласно които ЕЦБ може да ограничава правата на субектите на данни, когато ЕЦБ обработва лични данни във връзка с вътрешната си дейност, Изпълнителният съвет прие отделно решение за приемане на вътрешни правила относно ограничаването на права при изпълнението на надзорните ѝ задачи. |
|
(23) |
ЕЦБ може да прилага изключение в съответствие с Регламент (ЕС) 2018/1725, което прави ненужно разглеждането на ограничение, включително по-специално посочените в член 15, параграф 4, член 16, параграф 5, член 19, параграф 3 и член 35, параграф 3 от посочения регламент. |
|
(24) |
За целите на архивирането в обществен интерес, във вътрешни правила или правни актове, приети въз основа на Договорите от ЕЦБ във връзка с нейното архивиране, може да бъдат предвидени дерогации от правата на субектите на данни, посочени в членове 17, 18, 20, 21, 22 и 23 от Регламент (ЕС) 2018/1725, при спазване на условията и гаранциите, изискуеми в съответствие с член 25, параграф 4 от Регламент (ЕС) 2018/1725. |
|
(25) |
В съответствие с член 41, параграф 2 от Регламент (ЕС) 2018/1725 беше проведена консултация с Европейския надзорен орган по защита на данните, който прие становище на 12 март 2021 г. |
|
(26) |
Проведена беше консултация с Комитета на персонала, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и обхват
1. С настоящото решение се определят правилата, свързани с ограничаването на правата на субектите на данни от ЕЦБ при извършването на дейностите по обработване на лични данни, вписани в централния регистър, във връзка с вътрешната ѝ дейност.
2. Правата на субектите на данни, които могат да бъдат ограничавани, са уредени в следните членове от Регламент (ЕС) 2018/1725:
|
а) |
член 14 (прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни); |
|
б) |
член 15 (информация, предоставяна при събиране на лични данни от субекта на данните); |
|
в) |
член 16 (информация, предоставяна, когато личните данни не са получени от субекта на данните); |
|
г) |
член 17 (право на достъп на субекта на данните); |
|
д) |
член 18 (право на коригиране); |
|
е) |
член 19 (право на изтриване (право „да бъдеш забравен“)); |
|
ж) |
член 20 (право на ограничаване на обработването); |
|
з) |
член 21 (задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването); |
|
и) |
член 22 (право на преносимост на данните); |
|
й) |
член 35 (съобщаване на субекта на данните за нарушение на сигурността на личните данни); |
|
к) |
член 36 (поверителност на електронните съобщения); |
|
л) |
член 4, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—22 от Регламент (ЕС) 2018/1725. |
Член 2
Определения
За целите на настоящото решение се прилагат следните определения:
|
1) |
„обработване“ означава обработване съгласно определението в член 3, точка 3 от Регламент (ЕС) 2018/1725; |
|
2) |
„лични данни“ означава лични данни съгласно определението в член 3, точка 1 от Регламент (ЕС) 2018/1725; |
|
3) |
„субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождението, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице; |
|
4) |
„централен регистър“ означава публично достъпното хранилище на всички дейности по обработване на лични данни, извършени в ЕЦБ, поддържано от ДЛЗД и предвидено в член 9 от Решение (ЕС) 2020/655 (ЕЦБ/2020/28); |
|
5) |
„администратор“ означава ЕЦБ и по-специално компетентното организационно звено на ЕЦБ, което самостоятелно или съвместно с други, определя целите и средствата на обработването на лични данни и отговаря за операцията по обработването; |
|
6) |
„институции и органи на Съюза“ означава институции и органи на Съюза съгласно определението в член 3, точка 10 от Регламент (ЕС) 2018/1725. |
Член 3
Прилагане на ограниченията
1. За извършването на дейностите по обработване на лични данни, посочени в член 1, параграф 1, администраторът може да ограничи правата, посочени в член 1, параграф 2, за да гарантира интересите и целите, посочени в член 25, параграф 1 от Регламент (ЕС) 2018/1725, когато упражняването на тези права би застрашило някое от следните:
|
а) |
оценката и съобщаването за потенциални нарушения на професионални задължения и, когато е необходимо, тяхното последващо разследване и последващи действия, включително временно отстраняване от длъжност, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в), е) и/или з) от Регламент (ЕС) 2018/1725; |
|
б) |
неформалните и/или формалните процедури в областта на достойнството на работното място, включително разглеждането на случаи, които могат да доведат до такава процедура съгласно установеното в част 0.5 от Правилата за персонала на ЕЦБ, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в), е) и/или з) от Регламент (ЕС) 2018/1725; |
|
в) |
надлежното изпълнение на функциите на генерална дирекция „Човешки ресурси“ съгласно рамката на трудовото право в ЕЦБ, отнасящи се до управление на оценяването на резултатите, процедури за повишение или пряко назначаване на персонала на ЕЦБ, процедури за подбор и професионално развитие, гарантирането на което е в съответствие с член 25, параграф 1, букви в) и/или з) от Регламент (ЕС) 2018/1725; |
|
г) |
разглеждането на вътрешни жалби, подадени от персонала на ЕЦБ (включително чрез производството по административен преглед, производството по административно обжалване, специалното производство по административно обжалване или медицински комисии), и техни последващи действия, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в) и/или з) от Регламент (ЕС) 2018/1725; |
|
д) |
съобщаването за незаконна дейност или нарушение на професионални задължения чрез инструмента на ЕЦБ за подаване на сигнали или оценката на исканията на Службата за управление и спазване на етичната рамка за защита на лицата, подаващи сигнали за нарушения, или свидетелите срещу ответни действия с цел отмъщение, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в), е) и/или з) от Регламент (ЕС) 2018/1725; |
|
е) |
дейностите на Службата за управление и спазване на етичната рамка съгласно етичната рамка на ЕЦБ, уредени в част 0 от Правилата за персонала на ЕЦБ, и правилата за подбор и назначаване, съдържащи се в част 1А от Правилата за персонала на ЕЦБ, и наблюдението за спазване на правилата за частната финансова дейност, включително функциите, изпълнявани от външния доставчик на услуги, определен съгласно член 0.4.3.3 от Правилата за персонала на ЕЦБ, и оценката и последващите действия във връзка с потенциални нарушения, произтичащи от това наблюдение от страна на Службата за управление и спазване на етичната рамка, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в), е) и/или з) от Регламент (ЕС) 2018/1725; |
|
ж) |
одити, предприети от дирекция „Вътрешен одит“, действия по разследване и вътрешни административни разследвания, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в) и/или з) от Регламент (ЕС) 2018/1725; |
|
з) |
изпълнението на функциите на ЕЦБ съгласно Решение (ЕС) 2016/456 (ЕЦБ/2016/3), по-специално задължението на ЕЦБ да съобщава информация за незаконна дейност, гарантирането на което е в съответствие с член 25, параграф 1, букви б), в), ж) и/или з) от Регламент (ЕС) 2018/1725; |
|
и) |
разследвания, провеждани от ДЛЗД във връзка с дейностите по обработване, извършвани в ЕЦБ съгласно член 4, буква б) от Решение (ЕС) 2020/655 (ЕЦБ/2020/28), гарантирането на които е в съответствие с член 25, параграф 1, буква б) и/или з) от Регламент (ЕС) 2018/1725; |
|
й) |
разследвания с цел гарантиране на физическата сигурност в ЕЦБ на лицата, помещенията и имуществото, независимо дали се провеждат вътрешно или с външна подкрепа, събиране на сведения за заплахи и анализ на инциденти със сигурността, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в), г) и/или з) от Регламент (ЕС) 2018/1725; |
|
к) |
съдебни производства, гарантирането на които е в съответствие с член 25, параграф 1, букви б), в) и/или з) от Регламент (ЕС) 2018/1725; |
|
л) |
сътрудничеството между ЕЦБ и националните разследващи органи, по-специално предоставянето на поверителна информация, с която ЕЦБ разполага, за разкриване пред национален разследващ орган по негово искане, гарантирането на което е в съответствие с член 25, параграф 1, букви б), в), г) и/или з) от Регламент (ЕС) 2018/1725; |
|
м) |
сътрудничеството между ЕЦБ и Европейската прокуратура съгласно Регламент (ЕС) 2017/1939, по-специално задължението на ЕЦБ да предоставя информация за престъпления, гарантирането на което е в съответствие с член 25, параграф 1, букви б), в), г) и/или з) от Регламент (ЕС) 2018/1725; |
|
н) |
сътрудничеството с органи на ЕС, упражняващи надзорна, контролна или одитна функция, на която ЕЦБ е субект, гарантирането на което е в съответствие с член 25, параграф 1, букви в), г), ж) и/или з) от Регламент (ЕС) 2018/1725; |
|
о) |
изпълнението на задачите на медиатор съгласно рамката за вътрешно разрешаване на спорове в ЕЦБ, по-специално предоставяйки подкрепа при разрешаване или предотвратяване на свързан с работата спор, гарантирането на което е в съответствие с член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725; |
|
п) |
предоставянето на услуги за социално-психологическа подкрепа от социалния съветник в помощ на персонала на ЕЦБ, гарантирането на което е в съответствие с член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725. |
Категориите лични данни, по отношение на които могат да се прилагат ограниченията, посочени в параграф 1, са определени в приложения I—XIV към настоящото решение.
2. Администраторът може да прилага ограничение само когато въз основа на оценка на всеки отделен случай стигне до заключението, че ограничението:
|
а) |
е необходимо и пропорционално, като се вземат предвид рисковете за правата и свободите на субекта на данните; и |
|
б) |
е съобразено със същността на основните права и свободи в демократичното общество. |
3. Администраторът документира своята оценка във вътрешна бележка за оценка, която включва правното основание, причините за ограничението, ограничените права на субектите на данни, засегнатите субекти на данни, необходимостта и пропорционалността на ограничението и вероятната продължителност на ограничението.
4. Решението на администратора за ограничаване на правата на субект на данни съгласно параграф 1 се взема на равнището на съответния ръководител на структурно звено или заместник-ръководител, в чиято сфера на дейност се извършва основната операция по обработване, включваща личните данни.
Член 4
Предоставяне на обща информация относно ограниченията
Администраторът предоставя обща информация относно потенциалното ограничаване на правата на субектите на данни, както следва:
|
а) |
администраторът посочва правата, които могат да бъдат ограничени, причините за ограничението и потенциалната му продължителност; |
|
б) |
администраторът включва информацията, посочена в буква а), в своите съобщения за защита на данните, декларации за поверителност и регистри на дейности по обработване, посочени в член 31 от Регламент (ЕС) 2018/1725. |
Член 5
Ограничаване на правото на достъп на субектите на данни, правото на коригиране, правото на изтриване или на ограничаване на обработването
1. Когато администраторът ограничава изцяло или частично правото на достъп, правото на коригиране, правото на изтриване или правото на ограничаване на обработването, посочени съответно в член 17, член 18, член 19, параграф 1 и член 20, параграф 1 от Регламент (ЕС) 2018/1725, той информира в срока, посочен в член 11, параграф 5 от Решение (ЕС) 2020/655 (ЕЦБ/2020/28), засегнатия субект на данни в своя писмен отговор на искането за наложеното ограничение, за основните мотиви за ограничението и за възможността да подаде жалба до Европейския надзорен орган по защита на данните или да потърси съдебна защита пред Съда на Европейския съюз.
2. Администраторът съхранява вътрешната бележка за оценката, посочена в член 3, параграф 3, и когато е приложимо, документите, съдържащи основните фактически и правни елементи, и ги предоставя на ДЛЗД и Европейския надзорен орган по защита на данните при поискване.
3. Администраторът може да отложи, пропусне или откаже предоставянето на информация за мотивите за ограничението, посочени в параграф 1, ако предоставянето на тази информация би възпрепятствало постигането на целта на ограничението. Веднага след като установи, че предоставянето на информацията вече не възпрепятства целта на ограничението, администраторът предоставя тази информация на субекта на данните.
Член 6
Продължителност на ограниченията
1. Администраторът отменя ограничението веднага щом обосновалите го обстоятелства престанат да са налице.
2. Когато отмени ограничение съгласно параграф 1, администраторът незабавно:
|
а) |
доколкото все още не е направил това, информира субекта на данните за основните причини, на които се основава прилагането на ограничение; |
|
б) |
информира субекта на данните за правото му да подаде жалба до Европейския надзорен орган по защита на данните или да потърси съдебна защита пред Съда на Европейския съюз; |
|
в) |
предоставя на субекта на данните правото, което е било предмет на отмененото ограничение. |
3. На всеки шест месеца администраторът прави преоценка на необходимостта от поддържането на ограничение, наложено съгласно настоящото решение, и документира повторната си оценка във вътрешна бележка за оценка.
Член 7
Гаранции
ЕЦБ прилага организационни и технически гаранции, както е посочено в приложение XV, за предотвратяване на злоупотреби и на неправомерен достъп или прехвърляне.
Член 8
Преглед от ДЛЗД
1. Когато администраторът ограничава прилагането на правата на субекта на данни, през цялото време той следва да работи с ДЛЗД. По-специално се прилага следното:
|
а) |
администраторът се консултира без ненужно забавяне с ДЛЗД; |
|
б) |
по искане на ДЛЗД администраторът предоставя на ДЛЗД достъп до всички документи, съдържащи основните фактически и правни елементи, включително вътрешната бележка за оценка, посочена в член 3, параграф 3; |
|
в) |
администраторът документира как е участвало ДЛЗД, включително относимата информация, която е била обменена, по-специално датата на първата консултация, посочена в буква а); |
|
г) |
ДЛЗД може да поиска от администратора да преразгледа ограничението; |
|
д) |
администраторът информира в писмен вид ДЛЗД за резултата от поискания преглед без ненужно забавяне и при всички случаи преди прилагането на ограничението. |
2. Администраторът информира ДЛЗД, когато на ограничението е направена преоценка в съответствие с член 6, параграф 3 или е отменено.
Член 9
Влизане в сила
Настоящото решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
Съставено във Франкфурт на Майн на 22 ноември 2022 година.
Председател на ЕЦБ
Christine LAGARDE
(1) ОВ L 295, 21.11.2018 г., стр. 39.
(2) Решение (ЕС) 2020/655 на Европейската централна банка от 5 май 2020 г. за приемане на правила за прилагане във връзка със защитата на данни в Европейската централна банка и за отмяна на Решение ЕЦБ/2007/1 (ЕЦБ/2020/28) (ОВ L 152, 15.5.2020 г., стр. 13).
(3) Циркулярно писмо 01/2006 е прието на 21 март 2006 г. и е достъпно на уебсайта на ЕЦБ.
(4) Решение (ЕС) 2016/456 на Европейската централна банка от 4 март 2016 г. относно реда и условията за извършване на разследвания в Европейската централна банка от Европейската служба за борба с измамите във връзка с предотвратяването на измами, корупция и всякакви други незаконни дейности, засягащи финансовите интереси на Съюза (ЕЦБ/2016/3) (ОВ L 79, 30.3.2016 г., стр. 34).
(5) Решение (ЕС) 2016/1162 на Европейската централна банка от 30 юни 2016 г. относно разкриването на поверителна информация в контекста на наказателни разследвания (ЕЦБ/2016/19) (OВ L 192, 16.7.2016 г., стр. 73).
(6) Регламент (ЕС) № 1024/2013 на Съвета от 15 октомври 2013 г. за възлагане на Европейската централна банка на конкретни задачи относно политиките, свързани с пруденциалния надзор над кредитните институции (ОВ L 287, 29.10.2013 г., стр. 63).
(7) Регламент (ЕС) 2017/1939 на Съвета от 12 октомври 2017 г. за установяване на засилено сътрудничество за създаване на Европейска прокуратура (ОВ L 283, 31.10.2017 г., стр. 1).
ПРИЛОЖЕНИЕ I
Оценка и съобщаване за потенциални нарушения на професионални задължения и, когато е необходимо, тяхното последващо разследване и последващи действия
Ограничението, посочено в член 3, параграф 1, буква а) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за местоположение; |
|
ж) |
данни за предоставени стоки или услуги; |
|
з) |
данни за външни дейности; |
|
и) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
й) |
други данни във връзка с оценката и съобщаването за потенциални нарушения на професионални задължения и, когато е необходимо, с тяхното последващо разследване и последващи действия. |
ПРИЛОЖЕНИЕ II
Неформални и/или формални процедури в областта на достойнството на работното място, включително разглеждането на случаи, които могат да доведат до такава процедура съгласно установеното в част 0.5 от Правилата за персонала на ЕЦБ
Ограничението, посочено в член 3, параграф 1, буква б) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за местоположение; |
|
ж) |
данни за предоставени стоки или услуги; |
|
з) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
и) |
други данни във връзка с неформални и/или формални процедури в областта на достойнството на работното място, включително разглеждането на случаи, които могат да доведат до такава процедура съгласно установеното в част 0.5 от Правилата за персонала на ЕЦБ. |
ПРИЛОЖЕНИЕ III
Изпълнение на функциите на генерална дирекция „Човешки ресурси“ съгласно рамката на трудовото право в ЕЦБ
Ограничението, посочено в член 3, параграф 1, буква в) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за местоположение; |
|
ж) |
данни за предоставени стоки или услуги; |
|
з) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
и) |
други данни, включени в или свързани с разглеждането на отделни случаи, по-специално такива, които могат да доведат до решение, засягащо неблагоприятно персонала на ЕЦБ, и разглеждането на вътрешни жалби, подадени от персонала на ЕЦБ, и техни последващи действия; |
|
й) |
други данни, свързани с процедури за подбор. |
ПРИЛОЖЕНИЕ IV
Разглеждане на вътрешни жалби и техни последващи действия
Ограничението, посочено в член 3, параграф 1, буква г) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за местоположение; |
|
ж) |
данни за предоставени стоки или услуги; |
|
з) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
и) |
други данни, включени в или свързани с разглеждането на отделни случаи, по-специално такива, които могат да доведат до решение, засягащо неблагоприятно персонала на ЕЦБ, и разглеждането на вътрешни жалби, подадени от персонала на ЕЦБ, и техни последващи действия. |
ПРИЛОЖЕНИЕ V
Съобщаване за незаконна дейност или нарушение на професионални задължения, подадено чрез какъвто и да е канал, включително чрез инструмента на ЕЦБ за подаване на сигнали за нередности или чрез оценката на Службата за управление и спазване на етичната рамка на искания за защита на лицата, подаващи сигнали за нередности, или на свидетелите
Ограничението, посочено в член 3, параграф 1, буква д) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за местоположение; |
|
ж) |
данни за предоставени стоки или услуги; |
|
з) |
данни за външни дейности; |
|
и) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
й) |
други данни, свързани с предполагаема незаконна дейност или предполагаемо нарушение на професионални задължения или с искане за защита на лицата, подаващи сигнали за нередности, или на свидетелите. |
ПРИЛОЖЕНИЕ VI
Дейности на Службата за управление и спазване на етичната рамка съгласно Правилата за персонала на ЕЦБ
Ограничението, посочено в член 3, параграф 1, буква е) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за външни дейности; |
|
ж) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
з) |
други данни, свързани с дейности, за които се съобщава на Службата за управление и спазване на етичната рамка или се разследват от нея. |
ПРИЛОЖЕНИЕ VII
Одити, предприети от дирекция „Вътрешен одит“, и действия по разследване или вътрешни административни разследвания
Ограничението, посочено в член 3, параграф 1, буква ж) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за външни дейности; |
|
ж) |
данни за местоположение; |
|
з) |
данни за предоставени стоки или услуги; |
|
и) |
социални и поведенчески данни и други видове данни, специфични за операцията по обработване; |
|
й) |
информация за административни производства или други разследвания; |
|
к) |
данни за електронния трафик; |
|
л) |
данни от системата за видеонаблюдение; |
|
м) |
аудио записи; |
|
н) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
о) |
данни, свързани с наказателни производства, санкции или други административни наказания; |
|
п) |
други данни, свързани с одити, предприети от дирекция „Вътрешен одит“, и с действия по разследване или вътрешни административни разследвания. |
ПРИЛОЖЕНИЕ VIII
Изпълнение на функциите на ЕЦБ съгласно Решение (ЕС) 2016/456 (ЕЦБ/2016/3)
Ограничението, посочено в член 3, параграф 1, буква з) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за външни дейности; |
|
ж) |
данни за местоположение; |
|
з) |
данни за предоставени стоки или услуги; |
|
и) |
данни за електронния трафик; |
|
й) |
данни от системата за видеонаблюдение; |
|
к) |
аудио записи; |
|
л) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
м) |
други данни, свързани с изпълнението на функциите на ЕЦБ съгласно Решение (ЕС) 2016/456 (ЕЦБ/2016/3). |
ПРИЛОЖЕНИЕ IХ
Разследвания, провеждани от ДЛЗД съгласно член 4, буква б) от Решение (ЕС) 2020/655 (ЕЦБ/2020/28)
Ограничението, посочено в член 3, параграф 1, буква и) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за външни дейности; |
|
ж) |
данни за местоположение; |
|
з) |
данни за предоставени стоки или услуги; |
|
и) |
данни за електронния трафик; |
|
й) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
к) |
други данни, свързани с разследвания, провеждани от ДЛЗД съгласно член 4, буква б) от Решение (ЕС) 2020/655 (ЕЦБ/2020/28). |
ПРИЛОЖЕНИЕ X
Разследвания с цел гарантиране на физическата сигурност в ЕЦБ на лицата, помещенията и имуществото, събирането на сведения за заплахи и анализ на инциденти със сигурността
Ограничението, посочено в член 3, параграф 1, буква й) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
данни за местоположение; |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за електронния трафик; |
|
ж) |
данни от системата за видеонаблюдение; |
|
з) |
аудио записи; |
|
и) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
й) |
данни относно висящи наказателни дела или данни от регистрите за съдимост; |
|
к) |
други данни, свързани с разследвания с цел гарантиране на физическата сигурност в ЕЦБ на лицата, помещенията и имуществото, със сведения за заплахи или анализ на инциденти със сигурността. |
ПРИЛОЖЕНИЕ XI
Съдебни производства
Ограничението, посочено в член 3, параграф 1, буква к) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за външни дейности; |
|
ж) |
данни за местоположение; |
|
з) |
данни за електронния трафик; |
|
и) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
й) |
други данни, свързани със съдебни производства. |
ПРИЛОЖЕНИЕ XII
Сътрудничество между ЕЦБ и националните разследващи органи, Европейската прокуратура и органи на ЕС, упражняващи надзорна, контролна или одитна функция, на която ЕЦБ е субект
Ограничението, посочено в член 3, параграф 1, букви л)—н) от настоящото решение, може да се прилага по отношение на всички категории лични данни, посочени в приложения I—XI, както и на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за установяване на самоличността; |
|
б) |
данни за връзка; |
|
в) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
г) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
д) |
данни за семейство, начин на живот и социално положение; |
|
е) |
данни за външни дейности; |
|
ж) |
данни за местоположение; |
|
з) |
данни за предоставени стоки или услуги; |
|
и) |
данни от системата за видеонаблюдение; |
|
й) |
данни за електронния трафик; |
|
к) |
аудио записи; |
|
л) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
м) |
информация за административни производства или други разследвания; |
|
н) |
данни, свързани с наказателни производства, санкции или други административни наказания; |
|
о) |
други данни, свързани със сътрудничеството между ЕЦБ и националните разследващи органи, Европейската прокуратура и органи на ЕС, упражняващи надзорна, контролна или одитна функция, на която ЕЦБ е субект. |
ПРИЛОЖЕНИЕ XIII
Изпълнение на задачите на медиатор
Ограничението, посочено в член 3, параграф 1, буква о) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за връзка; |
|
б) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
в) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
г) |
данни за семейство, начин на живот и социално положение; |
|
д) |
социални и поведенчески данни и други видове данни, специфични за операцията по обработване; |
|
е) |
информация за административни производства или други регулаторни разследвания; |
|
ж) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
з) |
други данни, свързани с изпълнението на задачите на медиатор. |
ПРИЛОЖЕНИЕ XIV
Предоставяне на услуги за социално-психологическа подкрепа от социалния съветник
Ограничението, посочено в член 3, параграф 1, буква п) от настоящото решение, може да се прилага по отношение на категориите данни, посочени в съответните регистри за обработване, по-специално следните категории лични данни:
|
а) |
данни за връзка; |
|
б) |
професионални данни, включително данни относно образование, обучение и заетост; |
|
в) |
финансови данни (напр. информация за заплащане, надбавки или частни сделки); |
|
г) |
данни за семейство, начин на живот и социално положение; |
|
д) |
социални и поведенчески данни и други видове данни, специфични за операцията по обработване; |
|
е) |
информация за административни производства или други регулаторни разследвания; |
|
ж) |
данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в професионални съюзи, генетични данни или биометрични данни, данни за здравословното състояние, или данни за сексуалния живот или сексуалната ориентация на физическото лице; |
|
з) |
други данни, свързани с предоставянето на услуги за социално-психологическа подкрепа от социалния съветник. |
ПРИЛОЖЕНИЕ XV
Организационните и технически гаранции в ЕЦБ за предотвратяване на злоупотреби и на неправомерно обработване на лични данни включват:
|
а) |
по отношение на лицата:
|
|
б) |
по отношение на процесите:
|
|
в) |
по отношение на технологиите:
|