EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32020Q0722(02)
Decision No 1/2020 of the Governing Board of the Shift2Rail Joint Undertaking of 26 March 2020 laying down internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of the S2R JU
Rozhodnutí správní rady společného podniku SHIFT2RAIL č. 1/2020 ze dne 26. března 2020, kterým se stanoví vnitřní předpisy týkající se omezení některých práv subjektů údajů, pokud jde o zpracování osobních údajů v rámci fungování společného podniku S2R
Rozhodnutí správní rady společného podniku SHIFT2RAIL č. 1/2020 ze dne 26. března 2020, kterým se stanoví vnitřní předpisy týkající se omezení některých práv subjektů údajů, pokud jde o zpracování osobních údajů v rámci fungování společného podniku S2R
Úř. věst. L 236, 22.7.2020, p. 7–12
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
22.7.2020 |
CS |
Úřední věstník Evropské unie |
L 236/7 |
ROZHODNUTÍ SPRÁVNÍ RADY SPOLEČNÉHO PODNIKU SHIFT2RAIL Č. 1/2020
ze dne 26. března 2020,
kterým se stanoví vnitřní předpisy týkající se omezení některých práv subjektů údajů, pokud jde o zpracování osobních údajů v rámci fungování společného podniku S2R
SPRÁVNÍ RADA SPOLEČNÉHO PODNIKU SHIFT2RAIL (dále jen „společný podnik S2R”)
s ohledem na Smlouvu o fungování Evropské unie (1),
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (2), a zejména na článek 25 tohoto nařízení,
s ohledem na nařízení Rady (EU) č. 642/2014 ze dne 16. června 2014 o zřízení společného podniku S2R (3), a zejména na článek 8 stanov přiložených k nařízení Rady (EU) č. 642/2014,
s ohledem na pokyny evropského inspektora ochrany údajů k článku 25 nového nařízení a vnitřním předpisům,
v návaznosti na konzultaci s evropským inspektorem ochrany údajů ze dne 12. listopadu 2019 v souladu s čl. 41 odst. 2 nařízení (EU) 2018/1725,
s ohledem na doporučení evropského inspektora ochrany údajů ze dne 18. prosince 2019,
v návaznosti na konzultaci s výborem zaměstnanců společného podniku S2R,
vzhledem k těmto důvodům:
|
(1) |
Pouze právní akty přijaté na základě Smluv smí stanovit omezení práv subjektů údajů. Pokud se tato omezení nemohou zakládat na právních aktech přijatých na základě Smluv, nařízení (EU) 2018/1725 stanoví, že v záležitostech týkajících se činnosti společného podniku S2R mohou omezení stanovit vnitřní předpisy, a to včetně ustanovení týkajících se posouzení nezbytnosti a přiměřenosti omezení. |
|
(2) |
V souladu s čl. 25 odst. 1 nařízení (EU) 2018/1725 by omezení použití článků 14 až 22, 35 a 36, jakož i článku 4 uvedeného nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22, měla vycházet z vnitřních předpisů, které přijme společný podnik S2R. |
|
(3) |
V rámci svého správního fungování může společný podnik S2R vést správní šetření či disciplinární řízení, vykonávat předběžné činnosti související s případy možných nesrovnalostí oznámených úřadu OLAF, zpracovávat případy whistleblowingu, vyřizovat (formální a neformální) řízení v případě obtěžování, vyřizovat interní a externí stížnosti, provádět interní audity, provádět šetření ze strany pověřence pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725 a šetření interní (IT) bezpečnosti. |
|
(4) |
Společný podnik S2R zpracovává několik kategorií osobních údajů, jako jsou například údaje o totožnosti, kontaktní údaje, profesní údaje, administrativní údaje, údaje získané ze zvláštních zdrojů, elektronické komunikace a údaje o datovém provozu a údaje týkající se konkrétních případů (např. odůvodnění, údaje o chování, hodnocení, údaje o výkonnosti a jednání a údaje související nebo předložené v souvislosti s předmětem řízení nebo činnosti) (4). |
|
(5) |
Jako správce údajů vystupuje společný podnik S2R zastupovaný svým výkonným ředitelem. |
|
(6) |
Osobní údaje jsou bezpečně uloženy v elektronické nebo fyzické podobě, což brání protiprávnímu přístupu k údajům nebo jejich protiprávnímu předání osobám, které je nepotřebují znát. Zpracovávané osobní údaje jsou uchovávány jen po nezbytnou dobu a k účelům, pro které se zpracovávají během období uvedeného v oznámeních o ochraně údajů, prohlášeních o ochraně soukromí nebo v záznamech společného podniku S2R. |
|
(7) |
Vnitřní předpisy by měly platit pro všechny operace zpracování provedené společným podnikem S2R v rámci správních šetření, disciplinárních řízení, předběžných činností souvisejících s případy možných nesrovnalostí oznámených úřadu OLAF, řízení v případě whistleblowingu, (formálních a neformálních) řízení v případech obtěžování, vyřizování interních a externích stížností, interních auditů, šetření prováděných pověřencem pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725, (IT) šetření bezpečnosti prováděných interně nebo se zapojením externích subjektů (např. skupiny CERT-EU). |
|
(8) |
Měly by platit pro operace zpracování provedené před zahájením výše uvedených řízení, během těchto řízení a během sledování opatření v návaznosti na výsledky řízení. Součástí by rovněž měla být pomoc a spolupráce, kterou společný podnik S2R nabízí vnitrostátním orgánům a mezinárodním organizacím nad rámec svých správních šetření. |
|
(9) |
V případech, kdy se použijí tyto vnitřní předpisy, je společný podnik S2R povinen uvést odůvodnění vysvětlující, proč jsou daná omezení v demokratické společnosti naprosto nezbytná a přiměřená, a respektovat podstatu základních práv a svobod. |
|
(10) |
V této souvislosti je společný podnik S2R v průběhu výše uvedených řízení povinen dodržovat v maximální možné míře základní práva subjektů údajů, zejména ta, která se týkají práva na poskytování informací, práva na přístup k osobním údajům, práva na jejich opravu, výmaz, a omezení zpracování, práva na oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo na důvěrnost komunikace, jak je zakotveno v nařízení (EU) 2018/1725. |
|
(11) |
Je však možné, že společný podnik S2R bude muset omezit informace poskytované subjektu údajů a jiná práva subjektu údajů, a to zejména s cílem chránit vlastní šetření, šetření a řízení jiných veřejných orgánů a rovněž práva jiných osob v souvislosti se svými šetřeními či jinými řízeními. |
|
(12) |
Pokud společný podnik S2R uvažuje o uplatnění omezení, zváží riziko pro práva a svobody subjektu údajů především ve srovnání s rizikem pro práva a svobody jiných subjektů údajů a s rizikem maření účinku šetření nebo řízení vedených společným podnikem S2R, například formou likvidace důkazů. Rizika pro práva a svobody subjektu údajů se týkají především, ale nikoliv výlučně rizik poškození dobré pověsti a rizik spojených s právem na obhajobu a právem být vyslechnut. |
|
(13) |
Společný podnik S2R je tedy oprávněn omezit informace pro účely ochrany šetření a základních práv a svobod jiných subjektů údajů. |
|
(14) |
Společný podnik S2R by měl pravidelně sledovat, že platí podmínky odůvodňující dané omezení, a omezení zrušit, pokud podmínky již neplatí. |
|
(15) |
Správce by měl informovat pověřence pro ochranu osobních údajů v okamžiku odkladu a během přezkumů, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Předmět a rozsah působnosti
1. Tímto rozhodnutím se stanoví předpisy týkající se podmínek, za nichž je společný podnik S2R oprávněn v rámci svých řízení uvedených v odstavci 2 omezit uplatňování práv zakotvených v článcích 14 až 21, 35 a 36, jakož i v článku 4 nařízení (EU) 2018/1725, a to v souladu s článkem 25 tohoto nařízení.
2. V rámci správního fungování společného podniku S2R platí toto rozhodnutí pro operace zpracování osobních údajů prováděné programovou kanceláří pro účely provádění správních šetření, disciplinárních řízení, předběžných činností souvisejících s případy možných nesrovnalostí oznámených úřadu OLAF, projednávání případů whistleblowingu, (formálních a neformálních) řízení v případech obtěžování, vyřizování interních a externích stížností, provádění interních auditů, šetření prováděných pověřencem pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725, šetření (IT) bezpečnosti prováděných interně nebo se zapojením externích subjektů (např. skupiny CERT-EU).
3. Mezi dotčené kategorie údajů patří údaje o totožnosti, kontaktní údaje, profesní údaje, administrativní údaje, údaje získané ze zvláštních zdrojů, elektronické komunikace a údaje o datovém provozu a údaje týkající se konkrétních případů, např. odůvodnění, údaje o chování, hodnocení, údaje o výkonnosti a jednání a údaje související nebo předložené v souvislosti s předmětem řízení nebo činnosti.
4. V případech, kdy společný podnik S2R vykonává své povinnosti s ohledem na práva subjektu údajů podle nařízení (EU) 2018/1725, zváží, zda neplatí kterákoliv z výjimek uvedených v tomto nařízení.
Článek 2
Specifikace správce
Správcem operací zpracování je společný podnik S2R zastupovaný svým výkonným ředitelem.
Článek 3
Specifikace záruk
1. Společný podnik S2R zavede tyto záruky, jejichž cílem bude zamezit zneužití osobních údajů a protiprávnímu přístupu k nim nebo jejich protiprávnímu předání:
|
a) |
papírové dokumenty se uchovávají v zabezpečených skříních a přístup k nim mají pouze oprávnění zaměstnanci; |
|
b) |
veškeré údaje v elektronické podobě se uchovávají v zabezpečené IT aplikaci podle bezpečnostních norem společného podniku S2R a ve zvláštních elektronických adresářích, k nimž mají přístup pouze oprávnění zaměstnanci. Vhodné úrovně přístupu se udělují individuálně; |
|
c) |
databáze je chráněna heslem v rámci jednotného systému přihlašování a propojena automaticky s uživatelským jménem a heslem daného uživatele, včetně případné pseudonymity a/nebo šifrování. Nahrazování uživatelů je přísně zakázáno. Elektronické záznamy jsou uchovávány zabezpečeným způsobem, aby se zajistila důvěrnost a soukromí údajů v nich obsažených; |
|
d) |
všechny osoby, které mají přístup k údajům, jsou vázány povinností zachovávat důvěrnost. |
2. V souladu s čl. 6 odst. 3 by měly být záruky uvedené v odstavci 1 pravidelně přezkoumávány.
3. Doba uchovávání osobních údajů podle čl. 1 odst. 3 nesmí být delší, než je uvedeno v oznámeních o ochraně údajů, prohlášeních o ochraně soukromí nebo záznamech uvedených v čl. 7 odst. 1. Doba uchovávání nesmí být v žádném případě delší, než je nezbytné a přiměřené účelům, pro které jsou údaje zpracovávány (5).
Článek 4
Odůvodnění omezení
1. Jakékoli omezení společný podnik S2R uplatní výhradně za účelem zabezpečení:
|
a) |
národní bezpečnosti, veřejné bezpečnosti nebo obrany členských států; |
|
b) |
prevence, vyšetřování, odhalování a stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; |
|
c) |
jiných důležitých cílů obecného veřejného zájmu Unie nebo některého členského státu, zejména cílů společné zahraniční a bezpečnostní politiky Unie nebo důležitých hospodářských nebo finančních zájmů Unie nebo některého členského státu, včetně měnových, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení; |
|
d) |
vnitřní bezpečnosti orgánů a subjektů Unie, včetně jejich sítí elektronických komunikací; |
|
e) |
prevence, vyšetřování, odhalování a stíhání porušování etických pravidel u regulovaných povolání; |
|
f) |
monitorovací, inspekční nebo regulační funkce spojené, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až c); |
|
g) |
ochrany subjektu údajů nebo práv a svobod druhých; |
|
h) |
vymáhání občanskoprávních nároků. |
2. V rámci zvláštního uplatnění účelů uvedených v odstavci 1 výše je společný podnik S2R oprávněn uplatnit omezení za těchto okolností:
|
a) |
v souvislosti s osobními údaji, které si vymění s útvary Komise nebo jinými orgány, institucemi a jinými subjekty Unie;
|
|
b) |
v souvislosti s osobními údaji, které si vymění s příslušnými orgány členských států;
|
|
c) |
v souvislosti s osobními údaji, které si vymění s třetími zeměmi nebo mezinárodními organizacemi, pokud existují jasné důkazy o tom, že výkon těchto práv a povinností pravděpodobně ohrozí spolupráci společného podniku S2R s třetími zeměmi nebo mezinárodními organizacemi při plnění jeho úkolů. |
Před uplatněním omezení za okolností uvedených v písmenech a) a b) prvního pododstavce se společný podnik S2R obrátí na příslušné útvary Komise, orgány, instituce a jiné subjekty Unie nebo příslušné orgány členských států, pokud nebude společnému podniku S2R zřejmé, že uplatnění daného omezení umožňuje jeden z aktů uvedených v těchto písmenech.
Článek 5
Omezení a práva subjektů údajů
1. V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí je správce oprávněn v souvislosti s operacemi zpracování uvedenými v čl. 1 odst. 2 a odstavci 2 níže v případech, kdy to bude nutné a přiměřené, omezit tato práva:
|
a) |
právo na informace; |
|
b) |
právo na přístup; |
|
c) |
právo na opravu, výmaz a omezení zpracování údajů; |
|
d) |
právo na oznámení případů porušení zabezpečení osobních údajů subjektu údajů; |
|
e) |
právo na důvěrnost elektronické komunikace; |
2. V řádně odůvodněných případech a s cílem zajistit naplnění účelů uvedených v čl. 4 odst. 1 je správce oprávněn uplatnit omezení v souvislosti s těmito operacemi zpracování podle čl. 1 odst. 2:
|
a) |
provádění správních šetření a disciplinárních řízení; |
|
b) |
předběžné činnosti související s případy možných nesrovnalostí oznámených úřadu OLAF; |
|
c) |
řízení v případě whistleblowingu; |
|
d) |
(formální a neformální) řízení v případech obtěžování; |
|
e) |
vyřizování interních a externích stížností; |
|
f) |
interní audity; |
|
g) |
šetření prováděná pověřencem pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725; |
|
h) |
šetření (IT) bezpečnosti prováděná interně nebo se zapojením externích subjektů (např. skupiny CERT-EU); |
|
i) |
v rámci řízení grantů nebo zadávání veřejných zakázek, po uzávěrce pro podání výzev k předložení návrhů nebo uplatnění nabídek. |
3. V souvislosti s řízeními v případech obtěžování mohou být práva uvedená v odstavci 1 omezena za stejných podmínek s výjimkou práva na oznamování případů porušení zabezpečení osobních údajů subjektu údajů podle odst. 1 písm. d).
4. V souvislosti s řízením grantů nebo zadáváním veřejných zakázek mohou být práva uvedená v odstavci 1 omezena za stejných podmínek s výjimkou práva na opravu, výmaz a omezení zpracování podle odst. 1 písm. c).
5. V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí je správce oprávněn omezit právo na opravu, výmaz a omezení zpracování s výjimkami stanovenými v odstavcích 3 a 4.
6. Pokud společný podnik S2R zcela nebo částečně omezí uplatňování práv uvedených v odstavcích 1, 3, 4 a 5, podnikne kroky stanovené v článcích 6 a 7 tohoto rozhodnutí.
7. Pokud subjekty údajů požádají o přístup ke svým osobním údajům zpracovávaným v souvislosti s jedním nebo více konkrétními případy nebo ke konkrétní operaci zpracování v souladu s článkem 17 nařízení (EU) 2018/1725, omezí se společný podnik S2R v rámci posuzování této žádosti jen na tyto osobní údaje.
Článek 6
Nezbytnost a přiměřenost omezení
1. Všechna omezení na základě článku 4 musí být nezbytná a přiměřená vzhledem k rizikům pro práva a svobody subjektů údajů a musí respektovat podstatu základních práv a svobod v demokratické společnosti.
2. Zvažuje-li se použití omezení, provede se test nezbytnosti a přiměřenosti na základě těchto pravidel. Tento test bude proveden i v rámci pravidelného přezkumu v návaznosti na posouzení toho, zda nadále přetrvávají faktické a právní důvody omezení. Test se v každém jednotlivém případě zdokumentuje prostřednictvím oznámení o interním posuzování za účelem vyvození odpovědnosti.
3. Omezení musí být dočasná. Zůstanou v platnosti, dokud budou existovat důvody, které je opodstatňují. Zejména v případech, kdy bude usouzeno, že uplatňování omezeného práva by již nezmařilo účinek uloženého omezení nebo by nepříznivě ovlivňovalo práva nebo svobody jiných subjektů údajů.
Společný podnik S2R přezkoumá použití omezení každých šest měsíců ode dne jejich přijetí a při uzavření příslušného šetření, řízení nebo vyšetřování. Následně správce každých šest měsíců sleduje nutnost nadále uplatňovat veškerá omezení.
4. Pokud společný podnik S2R zcela nebo zčásti uplatní omezení na základě článku 4 tohoto rozhodnutí, zaznamená důvody tohoto omezení a právní základ v souladu s odstavcem 1 výše, včetně posouzení nezbytnosti a přiměřenosti omezení.
Záznam a případně i dokumenty obsahující věcné a právní prvky budou zaevidovány a na žádost přístupné evropskému inspektorovi ochrany údajů.
Článek 7
Povinnost informovat
1. Společný podnik S2R v oznámeních o ochraně údajů, prohlášeních o ochraně soukromí nebo v záznamech ve smyslu článku 31 nařízení (EU) 2018/1725 zveřejněných na jeho internetových stránkách a/nebo na intranetu, kde informuje subjekty údajů o jejich právech v rámci daného řízení, uvede informace související s možným omezením těchto práv. Tyto informace se týkají toho, která práva mohou být omezena, odůvodnění a případné délky trvání omezení.
Aniž jsou dotčena ustanovení čl. 6 odst. 4, informuje společný podnik S2R, je-li to přiměřené, jednotlivě všechny subjekty údajů, o nichž se domnívá, že jsou dotčenými osobami v rámci konkrétní operace zpracování, neprodleně a písemně o jejich právech v souvislosti se stávajícími nebo budoucími omezeními.
2. Pokud společný podnik S2R zčásti nebo zcela omezí práva uvedená v článku 5, informuje dotčený subjekt údajů o uplatněném omezení a o jeho hlavních důvodech a také o možnosti podat stížnost u evropského inspektora ochrany údajů nebo požádat o soudní ochranu u Soudního dvora Evropské unie.
Poskytnutí informací uvedených v odstavci 2 výše lze odložit, neprovést nebo odepřít, pokud by to mařilo účinek omezení uloženého podle čl. 25 odst. 8 nařízení (EU) 2018/1725.
Článek 8
Přezkum pověřencem pro ochranu osobních údajů
1. Společný podnik S2R neprodleně informuje svého pověřence pro ochranu osobních údajů, pokud správce omezí uplatňování práv subjektů údajů nebo prodlouží platnost omezení, a to v souladu s tímto rozhodnutím. Správce poskytne pověřenci pro ochranu osobních údajů přístup k záznamům obsahujícím posouzení nezbytnosti a přiměřenosti omezení a v záznamu uvede datum informování pověřence pro ochranu osobních údajů.
2. Pověřenec pro ochranu osobních údajů může správce písemně požádat, aby přezkoumal použití omezení. Správce písemně informuje pověřence pro ochranu osobních údajů o výsledku vyžádaného přezkumu.
3. Pověřenec pro ochranu osobních údajů je zapojen během celého postupu. Správce v případě zrušení omezení informuje pověřence pro ochranu osobních údajů.
Článek 9
Vstup v platnost
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
V Bruselu dne 26. března 2020.
Za správní radu společného podniku S2R
Henrik HOLOLEI
předseda
(1) Úř. věst. C 202, 7.6.2016, s. 47.
(2) Úř. věst. L 295, 21.11.2018, s. 39.
(3) Úř. věst. L 177, 17.6.2014, s. 9.
(4) V případě společné správy se údaje zpracovávají za použití prostředků a pro účely stanovené v příslušné dohodě mezi společnými správci ve smyslu článku 28 nařízení (EU) 2018/1725.
(5) Zásady uchovávání údajů společného podniku S2R se zakládají na uchovávání spisů v Komisi, které upravuje společný seznam pro uchovávání spisů, což je regulační dokument (poslední verze: SEC(2019) 900) v podobě harmonogramu archivace, který stanoví dobu uchovávání pro různé typy spisů Komise.
(6) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(7) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).