|
8.2.2019 |
BG |
Официален вестник на Европейския съюз |
L 37/144 |
РЕШЕНИЕ (EC) 2019/236 НА КОМИСИЯТА
от 7 февруари 2019 година
за определяне на вътрешните правила по отношение на предоставянето на информация на субектите на данни и ограничаването на някои от техните права в контекста на обработването на лични данни от Европейската комисия за целите на вътрешната сигурност на институциите на Съюза
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 249, параграф 1 от него,
като има предвид, че:
|
(1) |
Комисията трябва да работи в безопасна и сигурна среда. За тази цел тя се нуждае от последователен, комплексен подход в тази област, осигуряващ подходяща степен на защита на лицата, активите и информацията, отговаряща на установените рискове, — подход, гарантиращ ефективно и навременно обезпечаване на сигурността. Комисията е изправена пред сериозни заплахи и предизвикателства в областта на сигурността, особено що се отнася до тероризма, кибератаките и политическия и търговски шпионаж. |
|
(2) |
За да гарантира сигурността на лицата, активите и информацията чрез своята дирекция „Сигурност“ на ГД „Човешки ресурси и сигурност“ Комисията предприема мерки съгласно предвиденото в Решение (ЕС, Евратом) 2015/443 на Комисията (1), които се отнасят до обработката на различни категории лични данни. Тези мерки включват извършване на цялостни проверки на сигурността съгласно член 7, параграф 5, изготвяне на преценки за наличието на заплахи съгласно член 12 и разследвания на сигурността в съответствие с член 13 от Решение (ЕС, Евратом) 2015/443 на Комисията. В рамката на своя мандат за разследвания Комисията събира информация от интерес за дадено разследване, включително лични данни, от различни източници — публични органи и физически лица — и я обменя с другите институции, органи, служби и агенции на Съюза, с компетентните органи на държавите членки и на трети държави и с международни организации преди, по време на и след дейностите на разследване или координация. |
|
(3) |
Обработваните от Комисията категории лични данни са, например, данни за самоличност, данни за връзка, данни за професионалната дейност и данни, свързани с предмета на цялостна проверка на сигурността, преценка за наличието на заплахи или разследване на сигурността или такива, за които е установено, че имат такава връзка. Личните данни се съхраняват в сигурна електронна среда, за да се предотврати неправомерен достъп или предаване на данни на лица извън Комисията. Личните данни се запазват в службите на Комисията, отговарящи за разследването, до края на разследването. За различните дейности по обработване се прилагат различни срокове за съхранение на данните, в зависимост от категорията на разследването, а именно в зависимост от това дали става дума за предполагаеми престъпления, контраразузнаване или борба с тероризма. В края на срока на съхраняване свързаната със случая информация, включително личните данни, се унищожава (2). |
|
(4) |
При изпълнението на своите задачи Комисията като контролиращ орган е длъжна да зачита правата на физическите лица по отношение на обработването на лични данни, признати в член 8, параграф 1 от Хартата на основните права на Европейския съюз и в член 16, параграф 1 от Договора за функционирането на Европейския съюз, както и правата, предвидени в Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (3). Същевременно Комисията е длъжна да спазва строги правила за поверителност, посочени в член 9 от Решение (ЕС, Евратом) 2015/443. |
|
(5) |
При определени обстоятелства е необходимо да се намери баланс между правата на субектите на данни съгласно Регламент (ЕС) 2018/1725 и необходимостта Комисията да извършва ефективно задачите си за гарантиране сигурността на лицата, активите и информацията в Комисията в съответствие с Решение (ЕС, Евратом) 2015/443, по-специално разследвания на сигурността, както и безусловното зачитане на основните права и свободи на други субекти на данни. За тази цел с член 25, параграф 1, буква в), г) и з) от Регламент (ЕС) 2018/1725 на Комисията се предоставя възможността да ограничава прилагането на членове 14—17, член 19, член 20 и член 35, както и принципа за прозрачност, посочен в член 4, параграф 1, буква а) от него, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, член 19 и член 20 от посочения регламент. |
|
(6) |
С цел да се гарантира, че Комисията извършва ефективно задачите си за гарантиране сигурността на лицата, активите и информацията в Комисията в съответствие с Решение (ЕС, Евратом) 2015/443, по-специално своите разследвания на сигурността, като в същото време се спазват стандартите за защита на личните данни съгласно Регламент (ЕС) 2018/1725, е необходимо да се приемат вътрешни правила, съгласно които Комисията може да ограничава правата на субектите на данни в съответствие с член 25, параграф 1, букви в), г) и з) от Регламент (ЕС) 2018/1725. |
|
(7) |
Тези вътрешни правила следва да обхващат всички операции по обработката, които осъществява Комисията при изпълнението на своите задачи да гарантира сигурността на лицата, активите и информацията в Комисията съгласно Решение (ЕС, Евратом) 2015/443, по-специално разследващата функция в областта на сигурността. Те следва да се прилагат за операции по обработване, извършвани преди започването на дадено разследване, в хода на разследването и по време на наблюдението на последващите действия след приключването на разследванията. |
|
(8) |
С оглед на спазването на членове 14, 15 и 16 от Регламент (ЕС) 2018/1725 Комисията следва да информира всички физически лица за своите дейности, включващи обработването на техните лични данни, както и за техните права по прозрачен и последователен начин чрез информация за политиката за защита на личните данни, публикувана на уебсайта на Комисията. |
|
(9) |
Освен това Комисията следва да информира в подходящ формат поотделно субектите на данни, участващи в разследване на сигурността, а именно засегнатите лица и свидетелите. Освен това Комисията следва отделно да информира лицата, чиито данни се обработват в контекста на мерките за сигурност, предприети съгласно член 7, параграф 5 и член 12, параграф 1, букви г) и д) от Решение (ЕС, Евратом) 2015/443 на Комисията, а именно при претърсване на сгради на Комисията и търсене на данни от комуникационни и информационни системи и оборудване. |
|
(10) |
Въз основа на член 25 от Регламент (ЕС) 2018/1725 може да се наложи Комисията да ограничи предоставянето на информация на субектите на данни и упражняването на другите права на субектите на данни, с цел да се защити по-специално, разследване за сигурност, неговите инструменти и методи за разследване, разследвания на сигурността и производства на други публични органи, както и на правата на други лица, свързани с това разследване на сигурността, друг вид разследване и/или производство. |
|
(11) |
В някои случаи предоставянето на определена информация на субектите на данни или разкриване наличието на разследване или на мерки за сигурност, взети съгласно член 12, параграф 1, букви г) и д) от Решение (ЕС, Евратом) 2015/443 на Комисията, а именно претърсвания на сгради на Комисията и търсене на данни от комуникационни информационни системи и оборудване може да направи невъзможно или да навреди сериозно на целта на разследването и способността на Комисията да гарантира своята сигурност и по-специално ефективно да провежда разследвания на сигурността в бъдеще. |
|
(12) |
Освен това, с цел да се поддържа ефективно сътрудничество, както е посочено в член 17, параграфи 2 и 3 от Решение (ЕС, Евратом) 2015/443 може да се наложи Комисията да ограничи прилагането на правата на субектите на данни, за да предпази операциите по обработване, извършвани от други институции, органи, служби и агенции на Съюза или от компетентните органи на държавите членки. За тази цел Комисията следва да се консултира с тези институции, органи, служби, агенции и органи относно съответните основания за налагането на ограничения, както и за необходимостта и пропорционалността на ограниченията. |
|
(13) |
Възможно е също така на Комисията да се наложи да ограничи предоставянето на информация на субектите на данни и прилагането на други права на субектите на данни във връзка с лични данни, получени от трети държави или международни организации, за да изпълни задължението си за сътрудничество с тези държави или организации и да опази по този начин важна цел от общ обществен интерес на Съюза. Въпреки това при някои обстоятелства интересът или основните права на субекта на данните могат да надделеят над интереса на международното сътрудничество. |
|
(14) |
Комисията следва да борави с всички ограничения по прозрачен начин и да регистрира всяко прилагане на ограничения в съответната система за записване. |
|
(15) |
В съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725 администраторите на лични данни могат да отложат, пропуснат или откажат да предоставят информация на субекта на данните за причините за прилагането на ограничение, ако предоставянето на тази информация би изложило по някакъв начин на риск целта на ограничението. Това е по-конкретно случаят с ограниченията по отношение на правата, предвидени в членове 16 и 35 от Регламент (ЕС) 2018/1725. |
|
(16) |
Комисията следва редовно да извършва преглед на наложените ограничения, за да гарантира, че правата на субекта на данни да бъде информиран в съответствие с членове 16 и 35 от Регламент (ЕС) 2018/1725 са ограничени само доколкото тези ограничения са необходими, за да може Комисията да осигури своята сигурност и по-специално да проведе своите разследвания на сигурността. |
|
(17) |
Ако бъдат ограничени други права на субектите на данни, администраторът следва да прецени за всеки отделен случай дали съобщаването на ограничението би изложило на риск неговата цел. |
|
(18) |
Длъжностното лице за защита на данните на Комисията следва да извършва независим преглед на прилагането на ограниченията с цел осигуряване на спазването на настоящото решение. |
|
(19) |
Европейският надзорен орган по защита на данните даде становище на 10 декември 2018 г. |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и обхват
1. С настоящото решение се определят правилата, които Комисията спазва, когато информира субектите на данни относно обработването на техните данни в съответствие с членове 14, 15 и 16 от Регламент (ЕС) 2018/1725 при изпълнение на своите задачи в съответствие с Решение (ЕС, Евратом) 2015/443.
В него се определят също условията, при които Комисията може да ограничи прилагането на член 4, членове 14—17, член 19, член 20 и член 35 от Регламент (ЕС) 2018/1725 в съответствие с член 25, параграф 1, букви в), г) и з) от посочения регламент.
2. Настоящото решение се прилага за обработването на лични данни от Комисията за целите на или във връзка с дейностите, осъществявани за гарантиране на сигурността на лицата, активите и информацията в Комисията съгласно Решение (ЕС, Евратом) 2015/443.
Член 2
Приложими изключения и ограничения
1. Когато Комисията изпълнява задълженията си по отношение на правата на субектите на данни съгласно Регламент (ЕС) 2018/1725, тя преценява дали се прилага някое от изключенията, предвидени в посочения регламент.
2. При спазване на разпоредбите на членове 3—7 от настоящото решение, Комисията може да ограничи прилагането на членове 14—17, 19, 20 и 35 от Регламент (ЕС) 2018/1725, както и на принципа на прозрачност, установен в член 4, параграф 1, буква а) от посочения регламент, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, 19 и 20 от Регламент (ЕС) 2018/1725, когато упражняването на тези права и задължения би изложило на риск вътрешната сигурност на институциите, органите, службите и агенциите на Съюза, включително техните електронни съобщителни мрежи, наред с другото чрез разкриването на нейните инструменти и методи за разследване при разследвания на сигурността, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.
3. При спазване на разпоредбите на членове 3—7 Комисията може да ограничава правата и задълженията, посочени в параграф 2 на настоящия член, във връзка с лични данни, получени от други институции, органи, агенции и служби на Съюза, от компетентните органи на държавите членки или на трети държави или от международни организации, при следните обстоятелства:
|
а) |
когато упражняването на тези права и задължения може да бъде ограничено от другите институции, органи, агенции и служби на Съюза въз основа на други актове, предвидени в член 25 от Регламент (ЕС) 2018/1725, или в съответствие с глава IX от посочения регламент, или в съответствие с Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета (4) или Регламент (ЕС) 2017/1939 на Съвета (5); |
|
б) |
когато упражняването на тези права и задължения може да бъде ограничено от компетентните органи на държавите членки въз основа на актовете, посочени в член 23 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (6), или съгласно националните мерки за транспониране на член 13, параграф 3, член 15, параграф 3 или член 16, параграф 3 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (7); |
|
в) |
когато упражняването на тези права и задължения би могло да изложи на риск сътрудничеството на Комисията с трети държави или международни организации във връзка с обмена на информация относно потенциалните заплахи на контраразузнаването и тероризма, както и в провеждането на нейните разследвания на сигурността. |
Преди да приложи ограничения при обстоятелствата, посочени в букви а) и б) от първа алинея, Комисията се консултира със съответните институции, органи, агенции и служби на Съюза или с компетентните органи на държавите членки, освен ако за Комисията е ясно, че прилагането на ограничение е предвидено в някой от актовете, посочени в тези букви, или че консултацията би изложила на риск целта на нейните дейности в съответствие с Решение (ЕС, Евратом) 2015/443.
Първа алинея, буква в) от настоящия параграф не се прилага, когато интересите или основните права и свободи на субектите на данни надделяват над интереса на Комисията да си сътрудничи с трети държави или международни организации.
4. Параграфи 1, 2 и 3 се прилагат, без да се засяга прилагането на други решения на Комисията за определяне на вътрешни правила по отношение на предоставянето на информация на субектите на данни и ограничаването на някои права съгласно член 25 от Регламент (ЕС) 2018/1725 и член 23 от Процедурния правилник на Комисията.
Член 3
Предоставяне на информация на субекти на данни
1. Комисията публикува на своя уебсайт политиката си за защита на личните данни, с която информира субектите на данни за своите дейности, включващи обработването на техните лични данни, извършвани в изпълнение на нейните задачи в съответствие с Решение (ЕС, Евратом) 2015/443.
2. Комисията информира поотделно свидетелите и лицата, засегнати от разследване на сигурността за обработването на техните лични данни в подходящ формат. Тя също така поотделно информира лицата, чиито данни се обработват в контекста на мерките за сигурност, предприети съгласно член 7, параграф 5 и член 12, параграф 1, букви г) и д) от Решение (ЕС, Евратом) 2015/443 на Комисията, а именно при претърсвания в сгради на Комисията и търсене на данни от комуникационни и информационни системи и оборудване.
3. Когато Комисията ограничава изцяло или частично предоставянето на информация на субектите на данни, както е посочено в параграф 2 от настоящия член, тя записва и регистрира причините за ограничението в съответствие с член 6 от настоящото решение.
Член 4
Право на достъп на субектите на данни, право на изтриване и право на ограничаване на обработването
1. Когато Комисията ограничава изцяло или частично правото на достъп до данни от страна на субектите на данни, правото на изтриване или правото на ограничаване на обработването, както са посочени съответно в членове 17, 19 и 20 от Регламент (ЕС) 2018/1725, в отговора си на искането за достъп, изтриване или ограничаване на обработването тя информира засегнатия субект на данни за приложеното ограничение и основните причини за него, както и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда на Европейския съюз.
2. Предоставянето на информация относно причините за ограничението, посочено в параграф 1 от настоящия член, може да бъде отложено, пропуснато или отказано, ако това би застрашило постигането на целта на ограничението.
3. Комисията записва и регистрира причините за ограничението в съответствие с член 6 от настоящото решение.
4. Когато правото на достъп е изцяло или частично ограничено, субектът на данни може да упражнява правото си на достъп с посредничеството на Европейския надзорен орган по защита на данните в съответствие с член 25, параграфи 6, 7 и 8 от Регламент (ЕС) 2018/1725.
Член 5
Съобщаване на субектите на данни за нарушения на сигурността на личните данни
Когато Комисията ограничава съобщаването за нарушение на сигурността на личните данни на субекта на данните, както е посочено в член 35 от Регламент (ЕС) 2018/1725, тя записва и регистрира причините за ограничението в съответствие с член 6 от настоящото решение.
Член 6
Записване и регистриране на ограниченията
1. Комисията записва причините за всички ограничения, прилагани съгласно настоящото решение, като включва оценка на необходимостта и пропорционалността на ограничението, вземайки предвид съответните елементи, посочени в член 25, параграф 2 от Регламент (ЕС) 2018/1725.
За тази цел в записа се посочва по какъв начин упражняването на правото би изложило на риск целта на задачите на Комисията в съответствие с Решение (ЕС, Евратом) 2015/443 или, ако ограниченията се прилагат съгласно член 2, параграф 2 или параграф 3, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.
2. Записът и, когато е приложимо, документите, съдържащи релевантните фактически и правни елементи, се регистрират. Те се предоставят на Европейския надзорен орган по защита на данните при поискване.
Член 7
Продължителност на ограниченията
1. Ограниченията, посочени в членове 3, 4 и 5 от настоящото решение, продължават да се прилагат, докато причините за тях продължават да са валидни.
2. Когато причините за дадено ограничение, посочено в член 3 или член 5 от настоящото решение, вече не са приложими, Комисията отменя ограничението и посочва на субекта на данните причините за ограничението. В същото време Комисията информира субекта на данните за възможността да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или за търсене на защита по съдебен ред пред Съда на Европейския съюз.
3. Комисията преразглежда прилагането на ограниченията, посочени в членове 4 и 6, на всеки шест месеца от прилагането им, както и при приключването на съответното разследване. След това Комисията преценява ежегодно необходимостта от запазването на дадено ограничение/отлагане.
Член 8
Преглед от длъжностното лице за защита на данните
1. Длъжностното лице за защита на данните на Комисията се уведомява своевременно, когато правата на субектите на данни се ограничават в съответствие с настоящото решение. При поискване на длъжностното лице за защита на данните се предоставя достъп до записа и документите, съдържащи релевантните фактически и правни елементи.
2. Длъжностното лице за защита на данните от Комисията може да поиска преразглеждане на ограниченията. Длъжностното лице за защита на данните се уведомява за резултата от искането за преразглеждане.
3. Обменът на информация с длъжностното лице по защита на данните през цялата процедура се записва в подходяща форма.
Член 9
Настоящото решение влиза в сила на третия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Съставено в Брюксел на 7 февруари 2019 година.
За Комисията
Председател
Jean-Claude JUNCKER
(1) Решение (ЕС, Евратом) 2015/443 на Комисията от 13 март 2015 г. относно сигурността в Комисията (ОВ L 72, 17.3.2015 г., стр. 41.
(2) Запазването на преписки в Комисията се урежда с Общия списък за запазването на преписки — регулаторен документ (последна версия SEC(2012)713) под формата на таблица, в който се определят сроковете на съхраняване на различните видове преписки на Комисията.
(3) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39).
(4) Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета от 11 май 2016 г. относно Агенцията на Европейския съюз за сътрудничество в областта на правоприлагането (Европол) и за замяна и отмяна на решения 2009/371/ПВР, 2009/934/ПВР, 2009/935/ПВР, 2009/936/ПВР и 2009/968/ПВР на Съвета (ОВ L 135, 24.5.2016 г., стр. 53).
(5) Регламент (ЕС) 2017/1939 на Съвета от 12 октомври 2017 г. за установяване на засилено сътрудничество за създаване на Европейска прокуратура (ОВ L 283, 31.10.2017 г., стр. 1).
(6) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).
(7) Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89).