РЕШЕНИЕ (EC) 2024/1245 НА КОМИСИЯТА

от 2 май 2024 година

за определяне на вътрешни правила по отношение на предоставянето на информация на субектите на данни и ограничаването от Комисията на някои от техните права в контекста на дейността на Службата за медиация

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1), и по-специално член 25, параграф 1 от него,

като има предвид, че:

(1)

С Решение C(2024)1420 на Комисията (2) относно Службата за медиация се създава Служба за медиация като независима служба в Комисията. Нейната задача е да улеснява уреждането по взаимно съгласие на конфликти на работното място или спорове, свързани с правата и задълженията на служителите на Комисията, обхванати от Правилника за длъжностните лица (Правилника за персонала) и Условията за работа на другите служители на Европейския съюз, установени с Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета (3).

(2)	С Решение C(2024)1420 се установява неформална процедура, посредством която всяко лице, попадащо в неговия обхват, може да поиска съдействие от Службата за медиация.

(3)

Комисията и, в контекста на настоящото решение, Службата за медиация от нейно име допринасят за работно място, на което се работи продуктивно и при зачитане на достойнството, като неформално уреждат спорове, преди те да ескалират, и като предотвратяват възникването на подобни ситуации в рамките на институцията. Службата за медиация предоставя неформални поверителни съвети на всеки служител, който поиска съдействие („отправящо искането лице“). Със съгласието на отправящото искането лице тя може да се свърже и с всяка друга страна, посочена от отправящото искането лице („засегнатото лице“) във връзка с медиация. При медиацията се изисква съгласието на всички участващи страни. Службата за медиация действа изключително на неформална основа. Тя не е оправомощена да взема решения, които засягат неблагоприятно физически лица.

(4)

За да изпълнява задачите си в областта на медиацията, Комисията събира и обработва информация и няколко категории лични данни на членове на персонала и други лица, попадащи в обхвата на Решение C(2024)1420, включително идентификационни данни, информация за контакт, информация за професионалните функции и задачи, информация за личното и професионалното поведение и данни за резултатите. Комисията може също така да обработва предоставени доброволно от отправящото искането лице чувствителни лични данни, посочени в членове 10 и 11 от Регламент (ЕС) 2018/1725.

(5)

Личните данни се съхраняват в сигурна физическа и електронна среда с цел предотвратяване на неправомерния достъп до тях или предаването им на лица, които не е необходимо да се запознават с тях. След края на обработването данните се съхраняват в съответствие с член 6, параграф 11 от Решение C(2024)1420.

(6)	Съгласно Регламент (ЕС) 2018/1725 Комисията, в качеството си на администратор, се задължава да предоставя информация на субектите на данни относно тези дейности по обработване и да зачита техните права като субекти на данни.

(7)

При изпълнението на своите задачи Комисията е длъжна да зачита правата на физическите лица по отношение на обработването на лични данни, признати в член 8, параграф 1 от Хартата на основните права на Европейския съюз и в член 16, параграф 1 от Договора за функционирането на Европейския съюз, както и правата, предвидени в Регламент (ЕС) 2018/1725. Същевременно в контекста на дейността си като служба за медиация Комисията е длъжна да спазва строги правила за поверителност по отношение на отправящите искания лица и следователно от нея може да се изисква да намери баланс между правата на даден субект на данни и основните права и свободи на други субекти на данни.

(8)

От решаващо значение за отправящото искането лице е поверителността на обмена да бъде запазена и да не се предприемат действия без неговото съгласие. Когато дадено лице търси от Службата за медиация поверителен съвет в контекста на конфликт и не даде съгласие Службата за медиация да се свърже със засегнатото лице във връзка с медиация, Службата за медиация няма да може да информира засегнатото лице. Предоставянето на такава информация би направило невъзможно или сериозно би възпрепятствало постигането на преследваните от Службата за медиация цели, по-специално осигуряването на безопасно пространство, където отправящото искането лице може открито да обсъди положението си и да реши дали да започне процедура по медиация със засегнатото лице. Поради това Комисията може да приложи изключението, предвидено в член 16, параграф 5, буква б) от Регламент (ЕС) 2018/1725, за да защити поверителността на обработването съгласно член 5, параграф 1 от Решение C(2024)1420.

(9)

При определени обстоятелства е необходимо да се постигне баланс между правата на субектите на данни съгласно Регламент (ЕС) 2018/1725 и необходимостта да се гарантира, че Комисията изпълнява ефективно задачата си да предоставя неформални поверителни съвети, като същевременно се гарантира пълното зачитане на основните права и свободи на други субекти на данни. За тази цел с член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725 на Комисията се предоставя възможността да ограничава прилагането на членове 14—17 и членове 19, 20 и 35, както и принципа на прозрачност, установен в член 4, параграф 1, буква а), доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, член 19, член 20 и член 35 от посочения регламент.

(10)

Такъв би могъл да бъде по-специално случаят, когато отправящото искането лице непряко предоставя информация, свързана с други засегнати лица. В този случай Комисията може да реши да ограничи определени права на засегнатото лице, когато упражняването на тези права би довело до разкриване на информация за отправящо искане лице, което не е дало съгласието си Службата за медиация да предприеме действия за улесняване на диалога със засегнатото лице. В такъв случай Комисията може да вземе решение за ограничаване на правото на достъп до информация, отнасящо се до засегнатото лице, или на други негови права, за да се защитят правата и свободите на отправящото искането лице. Комисията може да вземе горното решение съгласно член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725.

(11)

Може да е необходимо да се защити поверителна информация, отнасяща се до отправящо искане лице. В такива случаи може да се наложи Комисията да ограничи достъпа до самоличността, изявленията и други лични данни на отправящото искането лице, включително самия факт, че той е бил в контакт със Службата за медиация, за да защити своите права и свободи.

(12)

Може също така да е необходимо да се ограничи правото на информация на отправящото искането лице, в случаите когато Службата за медиация ще трябва да подаде сигнал до Медицинската служба за необходимостта от спешни действия за защита на физическата и психическата неприкосновеност на отправящото искането лице. В такъв случай Службата за медиация може да реши да не информира отправящото искането лице за такъв сигнал, за да даде възможност на Медицинската служба да оцени мерките за здравни или социални грижи, които могат да бъдат предоставени на това лице. Комисията може да вземе горното решение съгласно член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725. В тази конкретна ситуация правата на отправящото искането лице ще бъдат защитени, тъй като Медицинската служба спазва поверителността на медицинската информация и лицето ще бъде информирано, тъй като Медицинската служба ще се свърже с него, ако сметне това за необходимо.

(13)

В Решение C(2024)1420 се изисква от Комисията да гарантира, че исканията за съдействие, подадени до Службата за медиация, се обработват поверително. С цел да се гарантира поверителният характер на разглеждането при спазване на стандартите за защита на личните данни съгласно Регламент (ЕС) 2018/1725, е необходимо да се приемат вътрешни правила, съгласно които Комисията да може да ограничава правата на субектите на данни в съответствие с член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725.

(14)	Вътрешните правила следва да се прилагат за всички операции по обработване, извършвани от Комисията при изпълнението на задачите ѝ, свързани с разглеждането на искания съгласно член 6 от Решение C(2024)1420.

(15)

С оглед на спазването на членове 14, 15 и 16 от Регламент (ЕС) 2018/1725 Комисията следва по прозрачен и последователен начин да информира всички физически лица за своите дейности, включващи обработване на техни лични данни, и за техните права посредством съобщение относно защитата на личните данни, публикувано на уебсайта на Комисията. Когато е уместно, Комисията следва индивидуално да информира отправящото искането лице чрез подходящи средства. Когато отправящото искането лице е дало съгласието си за свързване с друго засегнато лице, Комисията следва индивидуално да информира по подходящ начин засегнатото лице.

(16)	Комисията следва да прилага ограничения само когато те са съобразени с характера на основните права и свободи и са строго необходима и пропорционална мярка в едно демократично общество. Комисията следва да посочи причини, за да обоснове тези ограничения.

(17)	При прилагането на принципите на прозрачност, справедливост и отчетност Комисията следва да прилага всички ограничения прозрачно и да регистрира всяко прилагане на ограничения в съответната система за записване.

(18)	В член 25, параграф 6 от Регламент (ЕС) 2018/1725 се определя задължение за администратора да информира субектите на данни за основните причини, на които се основава прилагането на ограничението, и за правото им да подадат жалба до Европейския надзорен орган по защита на данните.

(19)

В съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725 Комисията може да отложи, пропусне или откаже да предостави информация на субекта на данни относно основните причини за прилагането на дадено ограничение, ако предоставянето на тази информация по някакъв начин би премахнало ефекта от ограничението.

(20)	В случаите на ограничаване на права на субектите на данни Комисията следва да преценява във всеки отделен случай дали съобщаването на ограничението би премахнало неговия ефект.

(21)

Комисията следва да отмени ограничението веднага щом условията, които го обосновават, вече не са налице, както и редовно да извършва оценка на тези условия. В определени случаи може да се окаже необходимо да се запази дадено ограничение до момента, в който Комисията не спре да съхранява съответните лични данни. В такива случаи субектът на данни следва да не се уведомява за обработването на личните му данни. По-конкретно подобна ситуация би могла да възникне, когато е налице сериозен риск упражняването на правото от въпросното лице да засегне правата и свободите на други лица. Такъв е по-специално случаят, когато отправящото искането лице не е дало съгласието си Службата за медиация да се свърже със засегнатото лице, за да започне неформална медиация между тях.

(22)	Комисията следва да преразгледа прилагането на ограниченията, когато отправящото искането лице даде съгласие за участие в неформална медиация или най-късно до приключване на разглеждането на искането за съдействие.

(23)	В член 16, параграф 5, член 17, параграф 4, член 19, параграф 3 и член 20, параграф 2 от Регламент (ЕС) 2018/1725 се предвиждат изключения от правата на субектите на данни. Ако тези изключения са приложими, не е необходимо Комисията да прилага ограничение съгласно настоящото решение.

(24)

За да се гарантира защитата на правата и свободите на субектите на данни и в съответствие с член 44, параграф 1 от Регламент (ЕС) 2018/1725, Комисията следва да включи съответните координатори по защита на данните и длъжностното лице по защита на данните на Европейската комисия по време на цялата процедура и да документира тази консултация. По-специално, следва да бъде проведена предварителна консултация с координатора по защита на данните, назначен да съветва съответната служба на Комисията, за всички ограничения, които могат да бъдат приложени, и той следва да провери дали те са в съответствие с настоящото решение.

(25)	Длъжностното лице по защита на данните на Европейската комисия следва да извършва независим преглед на прилагането на ограниченията с цел да се осигури спазването на настоящото решение.

(26)	Беше проведена консултация с Европейския надзорен орган по защита на данните, който представи становището си на 13 март 2024 г.,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Предмет и обхват

1. Настоящото решение се прилага за обработването на лични данни от Комисията в качеството ѝ на администратор за целите на разглеждането на искания по член 6 от Решение C(2024)1420.

2. С настоящото решение се определят правилата, които Комисията трябва да следва, когато уведомява субектите на данни относно обработването на техните лични данни в съответствие с членове 14, 15 и 16 от Регламент (ЕС) 2018/1725 при разглеждането на искания по член 6 от Решение C(2024)1420.

3. В него се определят също условията, при които Комисията може да ограничи прилагането на член 4, членове 14—17 и членове 19, 20 и 35 от Регламент (ЕС) 2018/1725 в съответствие с член 25, параграф 1, буква з) от него.

4. Категориите лични данни, обхванати от настоящото решение, включват идентификационни данни, информация за контакт, информация за професионалните функции и задачи, информация за личното и професионалното поведение и резултатите. Отправящите искания лица могат също така да предоставят чувствителни категории лични данни, посочени в членове 10 и 11 от Регламент (ЕС) 2018/1725, в контекста на искането за съдействие от Службата за медиация по конкретен случай.

Член 2

Приложими ограничения

1. При спазване на членове 3—9 от настоящото решение Комисията може да ограничава прилагането на членове 14—17 и членове 19, 20 и 35 от Регламент (ЕС) 2018/1725, както и на принципа на прозрачност, установен в член 4, параграф 1, буква а) от него, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17 и членове 19, 20 и 35 от посочения регламент. Комисията може да направи това, когато упражняването на тези права и задължения би засегнало неблагоприятно защитата на субекта на данните или правата и свободите на други лица в съответствие с член 25, параграф 1, буква з) от посочения регламент.

2. Параграф 1 не засяга прилагането на други решения на Комисията за определяне на вътрешни правила по отношение на предоставянето на информация на субектите на данни и ограничаването на някои права съгласно член 25 от Регламент (ЕС) 2018/1725.

3. Всяко ограничение на правата и задълженията, посочено в параграф 1, е съобразено с характера на основните права и свободи и е необходимо и пропорционално в едно демократично общество, като се отчитат рисковете за правата и свободите на субектите на данни.

4. Преди да наложи ограничения, Комисията извършва оценка на тяхната необходимост и пропорционалност във всеки отделен случай. Ограниченията се свеждат до строго необходимото за постигане на тяхната цел.

Член 3

Предоставяне на информация на субектите на данни

1. Комисията публикува на своя уебсайт съобщение относно защитата на личните данни, с което информира всички субекти на данни за своите дейности, включващи обработване на техни лични данни за целите на разглеждането на искания по член 6 от Решение C(2024) 1420. В съобщението също така се предоставя информация относно потенциалната възможност за ограничаване на права на субектите на данни съгласно членове 2, 3, 4 и 5 от настоящото решение, както и относно правата, които могат да бъдат ограничавани, основанията, на които могат да се прилагат ограничения, и евентуалната им продължителност.

2. Комисията информира отправящите искания лица индивидуално и по подходящ начин за обработването на техните лични данни. Комисията също така индивидуално информира по подходящ начин засегнатото лице, когато отправящото искането лице е дало съгласието си за неформална медиация със засегнатото лице.

3. Когато в съответствие с член 2 Комисията ограничава изцяло или частично предоставянето на информацията, посочена в параграф 2, на отправящи искания лица, чиито лични данни се обработват за целите на разглеждането на искания по член 6 от Решение C(2024) 1420, тя записва и регистрира причините за ограничението в съответствие с член 6 от настоящото решение.

Член 4

Право на достъп на субектите на данни, право на изтриване и право на ограничаване на обработването

1. Когато Комисията ограничава изцяло или частично правото на субектите на данни на достъп до лични данни, правото на изтриване или правото на ограничаване на обработването, посочени съответно в членове 17, 19 и 20 от Регламент (ЕС) 2018/1725, в отговора си на искането за достъп, изтриване или ограничаване на обработването тя информира в писмен вид и без ненужно забавяне съответния субект на данни:

а)	за приложеното ограничение и основните причини за него; и

б)	за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда на Европейския съюз.

2. Предоставянето на информация относно причините за ограничението, посочено в параграф 1, може да бъде отложено, пропуснато или отказано дотогава, докато това би премахнало ефекта от ограничението.

3. Комисията записва причините за ограничението в съответствие с член 6.

4. Когато правото на достъп е изцяло или частично ограничено, субектът на данни може да упражнява правото си на достъп с посредничеството на Европейския надзорен орган по защита на данните в съответствие с член 25, параграфи 6, 7 и 8 от Регламент (ЕС) 2018/1725.

Член 5

Съобщаване на субектите на данни за нарушения на сигурността на личните данни

Когато Комисията е задължена да съобщи на субекта на данните за нарушение на сигурността на личните данни съгласно член 35 от Регламент (ЕС) 2018/1725, тя може, при изключителни обстоятелства, да ограничи изцяло или частично това съобщаване. Комисията записва и регистрира причините за ограничението в съответствие с член 6 от настоящото решение. Комисията съобщава за записа на Европейския надзорен орган по защита на данните в момента на уведомяването за нарушението на сигурността на личните данни.

Член 6

Записване и регистриране на ограниченията

1. Комисията записва причините за всяко ограничение, приложено в съответствие с настоящото решение, като включва оценка на рисковете за правата и свободите на субектите на данни от налагането на ограничение и необходимостта от ограничението и неговата пропорционалност, като взема предвид съответните елементи, посочени в член 25, параграф 2 от Регламент (ЕС) 2018/1725.

2. В записа се посочва по какъв начин упражняването на правото от страна на съответния субект на данни би засегнало неблагоприятно защитата на субекта на данните или правата и свободите на други лица в съответствие с член 25, параграф 1, буква з) от Регламент (ЕС) 2018/1725.

3. Записът и, когато е приложимо, документите, съдържащи относимите фактически и правни елементи, се регистрират. При поискване те се предоставят на Европейския надзорен орган по защита на данните.

Член 7

Продължителност на ограниченията

1. Ограниченията, посочени в членове 3, 4 и 5, продължават да се прилагат, докато причините за тях продължават да са налице.

2. Когато причините за дадено ограничение, посочено в член 3, 4 или 5, вече не са налице, Комисията отменя ограничението.

3. Комисията също така посочва на субекта на данните основните причини за прилагане на ограничението и го уведомява за възможността да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или да потърси защита по съдебен ред пред Съда на Европейския съюз.

4. Комисията прави преглед на прилагането на ограниченията, посочени в членове 3, 4 и 5 от настоящото решение, когато отправящото искането лице даде съгласието си за започване на неформална медиация със засегнатото лице или най-късно при приключване разглеждането на исканията, подадени съгласно Решение C(2024)1420. Впоследствие Комисията проверява на всеки шест месеца дали е нужно ограничението да бъде запазено. Прегледът включва оценка на необходимостта от ограничението и неговата пропорционалност, като се вземат предвид съответните елементи, посочени в член 25, параграф 2 от Регламент (ЕС) 2018/1725.

Член 8

Гаранции и срокове на съхранение

1. Комисията въвежда гаранции за предотвратяване на злоупотреби и незаконен достъп или предаване на лични данни, по отношение на които се прилагат или може да се прилагат ограничения. Тези гаранции включват технически и организационни мерки и при необходимост се описват подробно във вътрешните процедури на Комисията. Гаранциите включват:

а)	ясно определяне на функциите, отговорностите, правата за достъп и процедурните стъпки;

б)	защитена електронна среда, която предотвратява незаконен и случаен достъп или предаване на електронни данни на неоправомощени лица;

в)	надеждно съхранение и обработване на документи на хартиен носител; и

г)	надлежно наблюдение на ограниченията и периодичен преглед на прилагането им.

2. Личните данни се съхраняват в съответствие с член 6, параграф 11 от Решение C(2024)1420. В края на срока на съхранение Комисията заличава личните данни.

Член 9

Участие на координатора по защита на данните и на длъжностното лице по защита на данните на Комисията

1. Преди прилагането на каквито и да било ограничения се провеждат консултации с координатора по защита на данните, назначен да съветва съответната служба на Комисията, и се проверява съответствието на тези ограничения с настоящото решение.

2. Без да се засяга параграф 1, длъжностното лице по защита на данните към Комисията се уведомява своевременно, когато права на субектите на данни биват ограничавани в съответствие с настоящото решение. При поискване на длъжностното лице по защита на данните се предоставя достъп до записите и документите, съдържащи съответните фактически и правни елементи.

3. Длъжностното лице по защита на данните може да поиска да се извърши преглед на прилагането на дадено ограничение. Комисията уведомява писмено длъжностното лице по защита на данните за резултата от поискания преглед.

4. Комисията документира участието на длъжностното лице по защита на данните и, когато е приложимо, на координатора по защита на данните (включително информацията, която е споделена с тях) във всеки случай, при който се ограничават правата и задълженията, посочени в член 2, параграф 2.

Член 10

Влизане в сила

Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Съставено в Брюксел на 2 май 2024 година.

За Комисията

Председател

Ursula VON DER LEYEN

(1) ОВ L 295, 21.11.2018 г., стр. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.

(2) Решение C(2024)1420 на Комисията относно Службата за медиация и за отмяна на Решение C(2002)601.

(3) Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. относно определяне на Правилника за длъжностните лица и Условията за работа на другите служители на Европейските общности и относно постановяване на специални мерки, временно приложими за длъжностни лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1, ELI: http://data.europa.eu/eli/reg/1968/259(1)/oj).