Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32019D0236

Rozhodnutí Komise (EU) 2019/236 ze dne 7. února 2019, kterým se stanoví vnitřní pravidla týkající se poskytování informací subjektům údajů a omezení některých jejich práv v souvislosti se zpracováváním osobních údajů Evropskou komisí pro účely vnitřní bezpečnosti orgánů Unie

C/2019/761

OJ L 37, 8.2.2019, p. 144–149 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec/2019/236/oj

8.2.2019   

CS

Úřední věstník Evropské unie

L 37/144


ROZHODNUTÍ KOMISE (EU) 2019/236

ze dne 7. února 2019,

kterým se stanoví vnitřní pravidla týkající se poskytování informací subjektům údajů a omezení některých jejich práv v souvislosti se zpracováváním osobních údajů Evropskou komisí pro účely vnitřní bezpečnosti orgánů Unie

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 249 odst. 1 této smlouvy,

vzhledem k těmto důvodům:

(1)

Komise musí fungovat v bezpečném a zabezpečeném prostředí. Aby tomu tak bylo, potřebuje soudržný a integrovaný přístup k zajišťování vlastní bezpečnosti, který bude zaručovat odpovídající úrovně ochrany osob, majetku a informací úměrné zjištěným rizikům, jakož i účinné a včasné provádění bezpečnostních opatření. Komise čelí v oblasti zabezpečení velkým hrozbám a výzvám, zejména v souvislosti s terorismem, kybernetickými útoky a politickou a obchodní špionáží.

(2)

Aby byla zajištěna bezpečnost osob, majetku a informací, přijímá Komise, především prostřednictvím svého ředitelství pro bezpečnost Generálního ředitelství pro lidské zdroje a bezpečnost, opatření stanovená v rozhodnutí Komise (EU, Euratom) 2015/443 (1), jejichž součástí je zpracovávání několika kategorií osobních údajů. K zmiňovaným opatřením patří prověřování bezúhonnosti podle čl. 7 odst. 5, vyhodnocování hrozeb podle článku 12 a bezpečnostní šetření podle článku 13 rozhodnutí (EU, Euratom) 2015/443. V rámci svého mandátu k prošetřování shromažďuje Komise informace, které jsou v tomto ohledu významné (včetně osobních údajů), z různých zdrojů – od orgánů veřejné moci a fyzických osob – a vyměňuje si je s ostatními orgány, institucemi a jinými subjekty Unie, s příslušnými orgány členských států a třetích zemí, jakož i s mezinárodními organizacemi, a to před zahájením šetření nebo koordinačních aktivit, v jejich průběhu i po jejich skončení.

(3)

Komise zpracovává osobní údaje, jako jsou například identifikační údaje, kontaktní údaje, profesní údaje či údaje, jež souvisejí s předmětem prověřování bezúhonnosti, vyhodnocování hrozeb nebo bezpečnostního šetření. Osobní údaje se uchovávají v zabezpečeném elektronickém prostředí, aby se zabránilo nezákonnému přístupu k údajům nebo jejich předávání osobám mimo Komisi. Osobní údaje si útvary Komise odpovědné za šetření ponechávají až do ukončení šetření. Pro různé činnosti v rámci zpracovávání platí různé doby uchovávání v závislosti na kategorii šetření, zejména pak na tom, zda dané šetření probíhá ve spojitosti s podezřením na trestnou činnost, kontrarozvědkou nebo bojem proti terorismu. Po skončení doby uchovávání jsou informace týkající se předmětného případu včetně osobních údajů zlikvidovány (2).

(4)

Při provádění svých úkolů je Komise (coby správce) ve vztahu ke zpracovávání osobních údajů povinna dodržovat práva fyzických osob uznaná čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie a práva stanovená v nařízení Evropského parlamentu a Rady (EU) 2018/1725 (3). V souladu s článkem 9 rozhodnutí (EU, Euratom) 2015/443 musí Komise současně dbát přísných pravidel, jež upravují problematiku důvěrnosti.

(5)

Za určitých okolností je nutné sloučit práva subjektů údajů podle nařízení (EU) 2018/1725 s potřebou, aby Komise účinně plnila své úkoly při zajišťování bezpečnosti osob, majetku a informací v jejích prostorách podle rozhodnutí (EU, Euratom) 2015/443 (zejména aby prováděla bezpečnostní šetření), a s plným dodržováním základních práv a svobod jiných subjektů údajů. Za tímto účelem umožňuje čl. 25 odst. 1 písm. c), d) a h) nařízení (EU) 2018/1725 Komisi omezit použití článků 14 až 17, 19, 20 a 35 a zásady transparentnosti stanovené v čl. 4 odst. 1 písm. a) v rozsahu, v jakém předmětná ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 17, 19 a 20 uvedeného nařízení.

(6)

Aby se zaručilo účinné plnění úkolů Komise v oblasti zajišťování bezpečnosti osob, majetku a informací v jejích prostorách podle rozhodnutí (EU, Euratom) 2015/443, zejména provádění bezpečnostních šetření, a současné dodržování norem ochrany osobních údajů podle nařízení (EU) 2018/1725, je nezbytné přijmout vnitřní pravidla, podle nichž bude moci Komise omezit práva subjektů údajů v souladu s čl. 25 odst. 1 písm. c), d) a h) nařízení (EU) 2018/1725.

(7)

Tato vnitřní pravidla by se měla vztahovat na veškeré operace zpracování, které Komise provádí při plnění svých úkolů zajišťujících bezpečnost osob, majetku a informací v jejích prostorách na základě rozhodnutí (EU, Euratom) 2015/443, zejména funkce prošetřování v oblasti zajišťování bezpečnosti. Měla by se vztahovat na operace zpracování, které se provádějí před zahájením prošetřování, v jeho průběhu a během monitorování následného sledování jeho výstupů.

(8)

Za účelem dodržení článků 14, 15 a 16 nařízení (EU) 2018/1725 by Komise měla informovat všechny osoby o své činnosti zahrnující zpracovávání jejich osobních údajů a o jejich právech, a to transparentně a uceleně prohlášením o ochraně údajů zveřejněným na internetových stránkách Komise.

(9)

Komise by také měla v odpovídajícím formátu individuálně informovat subjekty údajů zapojené do bezpečnostního šetření, tj. dotčené osoby a svědky. Kromě toho by Komise měla individuálně informovat osoby, jejichž údaje se zpracovávají v rámci bezpečnostních opatření přijatých podle čl. 7 odst. 5 a čl. 12 odst. 1 písm. d) a e) rozhodnutí (EU, Euratom) 2015/443, jmenovitě v rámci prohledávání prostor Komise a komunikačních a informačních systémů a zařízení.

(10)

Na základě článku 25 nařízení (EU) 2018/1725 může být nezbytné, aby Komise omezila poskytování informací subjektům údajů a výkon dalších práv subjektů údajů za účelem ochrany, a to zejména bezpečnostního šetření, svých vyšetřovacích nástrojů a metod, bezpečnostních šetření a postupů jiných orgánů veřejné moci, jakož i práv jiných osob v souvislosti s daným bezpečnostním šetřením, prošetřováním a/nebo s danými postupy.

(11)

V některých případech by poskytnutí konkrétních informací subjektům údajů nebo prozrazení existence šetření nebo bezpečnostních opatření přijatých podle čl. 12 odst. 1 písm. d) a e) rozhodnutí (EU, Euratom) 2015/443, jmenovitě prohlídek prostor Komise a jejích komunikačních a informačních systémů a zařízení, mohlo zmařit nebo vážně ohrozit účel šetření a schopnost Komise zajistit vlastní bezpečnost, zejména pak účinně provádět bezpečnostní šetření v budoucnu.

(12)

V zájmu soustavné účinné spolupráce zmiňované v čl. 17 odst. 2 a 3 rozhodnutí (EU, Euratom) 2015/443 může být navíc nutné, aby Komise omezila uplatňování práv subjektů údajů kvůli ochraně operací zpracování prováděných dalšími orgány, institucemi a jinými subjekty Unie nebo příslušnými orgány členských států. V této souvislosti by měla Komise s uvedenými orgány, institucemi a jinými subjekty a orgány konzultovat relevantní důvody pro předmětná omezení a jejich nezbytnost a přiměřenost.

(13)

Komise může být rovněž nucena omezit poskytování informací subjektům údajů, jakož i uplatňování dalších práv těchto subjektů v souvislosti s osobními údaji získanými od třetích zemí nebo od mezinárodních organizací, aby vůči těmto zemím či organizacím dostála své povinnosti spolupráce, a chránila tak důležitý cíl obecného veřejného zájmu Unie. Za určitých okolností však může být zájem na mezinárodní spolupráci převážen zájmem nebo základními právy subjektu údajů.

(14)

Komise by měla se všemi omezeními nakládat transparentně a každé uplatněné omezení by měla zaregistrovat do příslušného záznamového systému.

(15)

Podle čl. 25 odst. 8 nařízení (EU) 2018/1725 mohou správci odložit, neprovést nebo odepřít poskytnutí informací subjektu údajů o důvodech použití určitého omezení, pokud by poskytnutí těchto informací jakýmkoliv způsobem ohrozilo účel daného omezení. V tomto případě se jedná zejména o omezení práv podle článků 16 a 35 nařízení (EU) 2018/1725.

(16)

Komise by měla uložená omezení pravidelně přezkoumávat, aby zajistila, že právo subjektu údajů být informován v souladu s články 16 a 35 nařízení (EU) 2018/1725 bude omezeno pouze po dobu, kdy je takové omezení nezbytné k tomu, aby Komise mohla zajistit vlastní bezpečnost, a zejména provádět bezpečnostní šetření.

(17)

V případě omezení dalších práv subjektů údajů by měl správce v každém jednotlivém případě posoudit, zda by informování o daném omezení ohrozilo jeho účel.

(18)

Uplatňování omezení by měl nezávisle přezkoumat pověřenec Komise pro ochranu osobních údajů, aby bylo zajištěno dodržování tohoto rozhodnutí.

(19)

Evropský inspektor ochrany údajů vydal své stanovisko dne 10. prosince 2018,

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1

Předmět a oblast působnosti

1.   Toto rozhodnutí stanoví pravidla, kterými se má Komise řídit při plnění veškerých svých úkolů podle rozhodnutí (EU, Euratom) 2015/443, pokud jde o informování subjektů údajů o zpracování jejich údajů v souladu s články 14, 15 a 16 nařízení (EU) 2018/1725.

Stanoví rovněž podmínky, za nichž může Komise v souladu s čl. 25 odst. 1 písm. c), d) a h) nařízení (EU) 2018/1725 omezit použití jeho článků 4, 14 až 17, 19, 20 a 35.

2.   Toto rozhodnutí se vztahuje na zpracovávání osobních údajů Komisí pro účely činností, jejichž provádění má zajistit bezpečnost osob, majetku a informací v Komisi podle rozhodnutí (EU, Euratom) 2015/443, nebo ve vztahu k těmto činnostem.

Článek 2

Platné výjimky a omezení

1.   Pokud Komise vykonává své povinnosti s ohledem na práva subjektů údajů podle nařízení (EU) 2018/1725, posoudí, zda neplatí některá z výjimek stanovených v uvedeném nařízení.

2.   Podle článků 3 až 7 tohoto rozhodnutí může Komise omezit použití článků 14 až 17, 19, 20 a 35 nařízení (EU) 2018/1725 a zásady transparentnosti zmiňované v čl. 4 odst. 1 písm. a) uvedeného nařízení v rozsahu, v jakém předmětná ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 17, 19 a 20 nařízení (EU) 2018/1725, pokud by výkon těchto práv a povinností ohrozil vnitřní bezpečnost orgánů, institucí a jiných subjektů Unie včetně jejich sítí elektronické komunikace, například tím, že by byly prozrazeny nástroje a metody používané v rámci bezpečnostních šetření, nebo by nepříznivě ovlivnil práva a svobody jiných subjektů údajů.

3.   Podle článků 3 až 7 může Komise omezit práva a povinnosti uvedené v odstavci 2 tohoto článku ve vztahu k osobním údajům získaným od dalších orgánů, institucí a jiných subjektů Unie, příslušných orgánů členských států nebo třetích zemí nebo od mezinárodních organizací, a to za níže uvedených okolností:

a)

pokud by výkon daných práv a povinností mohl být omezen dalšími orgány, institucemi a jinými subjekty Unie na základě jiných aktů uvedených v článku 25 nařízení (EU) 2018/1725 nebo podle kapitoly IX uvedeného nařízení nebo v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/794 (4) nebo nařízením Rady (EU) 2017/1939 (5);

b)

pokud by výkon daných práv a povinností mohl být omezen příslušnými orgány členských států na základě aktů uvedených v článku 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 (6) nebo na základě vnitrostátních opatření provádějících čl. 13 odst. 3, čl. 15 odst. 3 nebo čl. 16 odst. 3 směrnice Evropského parlamentu a Rady (EU) 2016/680 (7);

c)

pokud by výkon daných práv a povinností mohl ohrozit spolupráci Komise se třetími zeměmi nebo mezinárodními organizacemi v souvislosti s výměnou informací o potenciálních hrozbách v oblasti kontrarozvědky a boji proti terorismu a při provádění bezpečnostních šetření.

Před uplatněním omezení za okolností uvedených v prvním pododstavci písm. a) a b) konzultuje Komise příslušné orgány, instituce a jiné subjekty Unie nebo příslušné orgány členských států, ledaže je Komisi zřejmé, že uplatnění omezení je stanoveno v některém z aktů zmíněných v uvedených písmenech nebo by taková konzultace ohrozila účel jejích činností podle rozhodnutí (EU, Euratom) 2015/443.

Ustanovení prvního pododstavce písm. c) tohoto odstavce se nepoužije, je-li zájem Komise spolupracovat s třetími zeměmi nebo mezinárodními organizacemi převážen zájmy nebo základními právy a svobodami subjektů údajů.

4.   Ustanoveními odstavců 1, 2 a 3 není dotčeno použití jiných rozhodnutí Komise, která stanoví vnitřní pravidla týkající se poskytování informací subjektům údajů a omezování některých práv podle článku 25 nařízení (EU) 2018/1725 a článku 23 jednacího řádu Komise.

Článek 3

Poskytování informací subjektům údajů

1.   Komise na svých internetových stránkách zveřejňuje prohlášení o ochraně údajů, ve kterých informuje všechny subjekty údajů o svých činnostech, jež jsou spojeny se zpracováváním jejich osobních údajů a jež Komise provádí v rámci plnění svých úkolů podle rozhodnutí (EU, Euratom) 2015/443.

2.   Komise ve vhodném formátu individuálně informuje svědky a osoby dotčené bezpečnostním šetřením o zpracovávání jejich osobních údajů. Taktéž individuálně informuje osoby, jejichž údaje se zpracovávají v rámci bezpečnostních opatření přijatých podle čl. 7 odst. 5 a čl. 12 odst. 1 písm. d) a e) rozhodnutí (EU, Euratom) 2015/443, jmenovitě v rámci prohledávání prostor Komise a komunikačních a informačních systémů a zařízení.

3.   Pokud Komise zcela nebo částečně omezí poskytování informací subjektům údajů, jak je uvedeno v odstavci 2 tohoto článku, zaznamená a zaregistruje důvody předmětného omezení v souladu s článkem 6 tohoto rozhodnutí.

Článek 4

Práva subjektu údajů na přístup k osobním údajům, na jejich výmaz a na omezení jejich zpracování

1.   Pokud Komise zcela nebo zčásti omezí práva subjektu údajů na přístup k osobním údajům, na jejich výmaz nebo na omezení jejich zpracování, jež jsou v tomto pořadí uvedena v článcích 17, 19 a 20 nařízení (EU) 2018/1725, musí ve své odpovědi na žádost o přístup, výmaz nebo omezení zpracování informovat dotčený subjekt údajů o použitých omezeních, o jejich hlavních důvodech a o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.

2.   Poskytnutí informací o důvodech omezení uvedené v odstavci 1 tohoto článku může být odloženo, vynecháno nebo odepřeno, dokud by mařilo účel předmětného omezení.

3.   Komise zaznamená a zaregistruje důvody omezení v souladu s článkem 6 tohoto rozhodnutí.

4.   Pokud je právo na přístup k osobním údajům zcela nebo zčásti omezeno, může subjekt údajů uplatnit své právo na přístup k osobním údajům prostřednictvím evropského inspektora ochrany údajů v souladu s čl. 25 odst. 6, 7 a 8 nařízení (EU) 2018/1725.

Článek 5

Oznamování případů porušení zabezpečení osobních údajů subjektům údajů

Pokud Komise omezí oznamování případů porušení zabezpečení osobních údajů subjektu údajů, jak je uvedeno v článku 35 nařízení (EU) 2018/1725, v souladu s článkem 6 tohoto rozhodnutí zaznamená a zaregistruje důvody tohoto omezení.

Článek 6

Zaznamenání a registrace omezení

1.   Komise zaznamená důvody veškerých omezení uplatněných v souladu s tímto rozhodnutím, včetně posouzení nezbytnosti a přiměřenosti omezení, přičemž zohlední všechny relevantní aspekty čl. 25 odst. 2 nařízení (EU) 2018/1725.

V této souvislosti se v záznamu uvede, jak by uplatnění práva ohrozilo účel úkolů Komise podle rozhodnutí (EU, Euratom) 2015/443 nebo omezení použitých podle čl. 2 odst. 2 nebo 3 nebo jak by nepříznivě ovlivnilo práva a svobody jiných subjektů údajů.

2.   Záznam a případně dokumenty obsahující faktické a právní podklady se zaregistrují. Na žádost se zpřístupní evropskému inspektorovi ochrany údajů.

Článek 7

Délka omezení

1.   Omezení uvedená v článcích 3, 4 a 5 tohoto rozhodnutí zůstávají v platnosti, dokud platí důvody, na kterých se zakládají.

2.   Pokud důvody omezení uvedeného v článku 3 nebo 5 tohoto rozhodnutí pominou, Komise předmětné omezení zruší a subjektu údajů sdělí, proč bylo uplatněno. Zároveň Komise informuje subjekt údajů o možnosti kdykoliv podat stížnost u evropského inspektora ochrany údajů nebo požádat o soudní ochranu u Soudního dvora Evropské unie.

3.   Komise přezkoumá uplatňování omezení uvedených v článcích 4 a 6 každých šest měsíců od jejich přijetí a při uzavření příslušných šetření. Poté Komise sleduje, zda je třeba případné omezení/odklad zachovat, na ročním základě.

Článek 8

Přezkum ze strany pověřence pro ochranu osobních údajů

1.   Kdykoli jsou v souladu s tímto rozhodnutím omezena práva subjektu údajů, je o tom bez zbytečného odkladu informován pověřenec Komise pro ochranu osobních údajů. Na žádost se pověřenci pro ochranu osobních údajů zpřístupní záznam a veškeré dokumenty obsahující faktické a právní podklady.

2.   Pověřenec pro ochranu osobních údajů si může vyžádat přezkum předmětných omezení. Pověřenec pro ochranu osobních údajů je o výsledku požadovaného přezkumu informován.

3.   Výměna informací s pověřencem pro ochranu osobních údajů v průběhu celého postupu se zaznamenává v příslušné formě.

Článek 9

Toto rozhodnutí vstupuje v platnost třetím dnem po zveřejnění v Úředním věstníku Evropské unie.

V Bruselu dne 7. února 2019.

Za Komisi

předseda

Jean-Claude JUNCKER


(1)  Rozhodnutí Komise (EU, Euratom) 2015/443 ze dne 13. března 2015 o bezpečnosti v Komisi (Úř. věst. L 72, 17.3.2015, s. 41).

(2)  Uchovávání spisů v Komisi se řídí společným seznamem pro uchovávání, což je regulační dokument (poslední verze: SEC(2012) 713) v podobě harmonogramu archivace, který stanoví dobu uchovávání pro různé typy spisů Komise.

(3)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).

(4)  Nařízení Evropského parlamentu a Rady (EU) 2016/794 ze dne 11. května 2016 o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a o zrušení a nahrazení rozhodnutí 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV (Úř. věst. L 135, 24.5.2016, s. 53).

(5)  Nařízení Rady (EU) 2017/1939 ze dne 12. října 2017, kterým se provádí posílená spolupráce za účelem zřízení Úřadu evropského veřejného žalobce (Úř. věst. L 283, 31.10.2017, s. 1).

(6)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(7)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).


Top