1)

Výkonná agentura pro malé a střední podniky (EASME) (dále jen „agentura“) byla zřízena prováděcím rozhodnutím 2013/771/EU za účelem plnění úkolů souvisejících s prováděním programů Unie v oblasti energetiky, životního prostředí, klimatu, konkurenceschopnosti a malých a středních podniků, výzkumu a inovací a informačních a komunikačních technologií (3).

2)

V rámci své správní a provozní činnosti může agentura provádět správní šetření, předběžná disciplinární řízení, disciplinární řízení a řízení o dočasném zproštění výkonu služby v souladu se služebním řádem úředníků Evropské unie a pracovním řádem ostatních zaměstnanců Evropské unie, který je stanoven nařízením Rady (EHS, Euratom, ESUO) č. 259/68 (dále jen „služební řád“) (4), a v souladu s prováděcími ustanoveními týkajícími se vedení správních šetření a disciplinárních řízení. V případě potřeby může agentura vykonávat předběžné činnosti související s případy potenciálních podvodů a nesrovnalostí a může případy oznámit úřadu OLAF.

3)

Zaměstnanci agentury jsou povinni oznamovat veškeré potenciálně protiprávní činnosti, včetně podvodu a úplatkářství, které poškozují zájmy Unie. Zaměstnanci jsou rovněž povinni oznamovat jednání týkající se výkonu pracovních povinností, které může představovat vážné porušení povinností úředníků Unie. To upravují vnitřní předpisy nebo politiky týkající se whistleblowingu.

4)

Agentura zavedla politiku prevence a účinného řešení skutečných nebo potenciálních případů psychického nebo sexuálního obtěžování na pracovišti, jak je stanoveno v prováděcích opatřeních podle služebního řádu, kterými se zavádí neformální postup, podle něhož se údajná oběť obtěžování může obrátit na „důvěrné“ poradce agentury.

5)

Agentura může rovněž provádět interní šetření bezpečnosti (IT) a šetření týkající se možného porušení bezpečnostních pravidel pro utajované informace EU.

6)

Agentura podléhá interním i externím auditům týkajícím se jejích činností, včetně auditů prováděných útvary interního auditu Evropské komise a Evropského účetního dvora.

7)

Agentura může vyřizovat žádosti Úřadu evropského veřejného žalobce (EPPO), žádosti o přístup ke zdravotnické dokumentaci zaměstnanců agentury a provádět vyšetřování z pozice pověřence pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení.

8)

V souvislosti s těmito správními šetřeními, audity a vyšetřováními či žádostmi agentura spolupracuje s dalšími orgány, institucemi a jinými subjekty Unie.

9)

Agentura může spolupracovat s vnitrostátními orgány třetích zemí a mezinárodními organizacemi, a to buď na jejich žádost, nebo z vlastního podnětu.

10)

Agentura také může spolupracovat s orgány veřejné moci členských států EU, a to buď na jejich žádost, nebo z vlastního podnětu.

11)

Agentura může být předmětem stížností, řízení nebo vyšetřování prostřednictvím whistleblowerů nebo evropského veřejného ochránce práv.

12)

Agentura může být zapojena do věcí projednávaných Soudním dvorem Evropské unie a v takových případech může buď věc postoupit Soudnímu dvoru, hájit rozhodnutí, které přijal a které bylo u Soudního dvora napadeno, nebo zasahovat ve věcech, které se týkají jeho úkolů. V této souvislosti může nastat situace, kdy bude povinna chránit důvěrnost osobních údajů obsažených v dokumentech získaných stranami sporu nebo vedlejšími účastníky.

13)

V rámci svých činností zpracovává agentura několik kategorií osobních údajů, včetně údajů o totožnosti fyzických osob, kontaktních údajů, profesních úloh a úkolů, informací o soukromém a profesním chování a výkonnosti a finančních údajů, jakož i v některých konkrétních případech citlivých údajů (např. údaje o zdravotním stavu). Osobní údaje zahrnují věcné neboli „tvrdé“ údaje a údaje založené na posouzení neboli „měkké“ údaje.

„Tvrdými údaji“ se rozumí objektivní věcné údaje, jako jsou údaje o totožnosti, kontaktní údaje, profesní údaje, správní podrobnosti, metadata související s elektronickou komunikací a provozní údaje.

„Měkkými údaji“ se rozumí subjektivní údaje a zahrnují zejména popis a posouzení situací a okolností, stanoviska, připomínky týkající se subjektů údajů, hodnocení chování a výkonnosti subjektů údajů a odůvodnění jednotlivých rozhodnutí týkajících se předmětu řízení nebo činnosti prováděné agenturou nebo předložených v souvislosti s nimi v souladu s platným právním rámcem.

Posouzení, připomínky a stanoviska se považují za osobní údaje ve smyslu čl. 3 odst. 1 nařízení.

14)

Podle nařízení je proto agentura povinna poskytovat subjektům údajů informace o těchto činnostech zpracování a dodržovat jejich práva jako subjektů údajů.

15)

Agentura je odhodlána dodržovat v maximální možné míře základní práva subjektů údajů, zejména právo na poskytování informací, přístup a opravu, právo na výmaz, omezení zpracování, právo na oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo na důvěrnost komunikace, zakotvená v nařízení. Agentura však může být rovněž povinna omezit práva a povinnosti subjektu údajů za účelem ochrany svých činností a základních práv a svobod druhých.

16)

Ustanovení čl. 25 odst. 1 a 5 nařízení proto agentuře umožňuje omezit za určitých podmínek použití článků 14 až 22, 35 a 36, jakož i článku 4 nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20, a to na základě vnitřních předpisů přijatých na nejvyšší úrovni řízení agentury a zveřejněných v Úředním věstníku Evropské unie, pokud nejsou založeny na právních aktech přijatých na základě Smluv.

17)

Na různá práva subjektů údajů se mohou vztahovat omezení, včetně poskytování informací subjektům údajů, práva na přístup, opravu, výmaz, omezení zpracování, oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo důvěrnost komunikace, jak je zakotveno v nařízení.

18)

Agentura může být povinna hledat rovnováhu mezi těmito právy a cíli správních šetření, auditů, vyšetřování a soudních řízení. Rovněž může být povinna najít rovnováhu mezi právy subjektu údajů a základními právy a svobodami jiných subjektů údajů.

19)

Agentura například může být nucena omezit informace, které poskytuje subjektu údajů o zpracování jeho osobních údajů během fáze předběžného posouzení správního šetření nebo během samotného šetření, a to před případným zamítnutím věci nebo ve fázi předběžného disciplinárního řízení. Za určitých okolností může poskytnutí těchto informací závažně ovlivnit schopnost agentury účinně provádět šetření, například existuje-li riziko, že dotčená osoba může zničit důkazy nebo že před výslechem může ovlivňovat případné svědky. Může se také stát, že agentura bude povinna ochránit práva a svobody svědků, jakož i jiných dotčených osob.

20)

Agentura může být povinna chránit anonymitu svědka nebo whistleblowera, který požádal o utajení své totožnosti. V takovém případě může v zájmu ochrany práv a svobod těchto osob nebo podezřelého rozhodnout o omezení přístupu k údajům o jejich totožnosti, jakož i k jejich prohlášením a dalším osobním údajům.

21)

Agentura může být povinna chránit důvěrné informace o zaměstnanci, který se obrátil na její důvěrné poradce v souvislosti s řízením týkajícím se obtěžování. V takovém případě může být v zájmu ochrany práv a svobod všech dotčených osob povinna omezit přístup k údajům o totožnosti údajné oběti, údajného obtěžovatele a dalších dotčených osob, jakož i k jejich prohlášením a dalším osobním údajům.

22)

Pokud jde o výběrová a náborová řízení, hodnocení zaměstnanců a zadávací řízení, lze právo na přístup, opravu, výmaz a omezení vykonávat pouze v určitých časových okamžicích a za podmínek stanovených v příslušných řízeních, aby byla chráněna práva jiných subjektů údajů a aby byly dodrženy zásady rovného zacházení a zachována důvěrnost jednání.

23)

Agentura může rovněž omezit přístup fyzických osob k jejich lékařským údajům například psychologické nebo psychiatrické povahy z důvodu možné citlivosti těchto údajů a lékařská služba Komise může subjektům údajů poskytnout pouze nepřímý přístup prostřednictvím jejich vlastního praktického lékaře. Subjekt údajů může uplatnit právo na opravu posudků nebo stanovisek lékařské služby Komise tím, že předloží své připomínky nebo zprávu praktického lékaře podle vlastního výběru.

24)

Agentura, zastoupená svým ředitelem, vystupuje jako správce údajů bez ohledu na další přenesení pravomocí spojených s úlohou správce v rámci agentury s cílem zohlednit provozní odpovědnost za konkrétní činnosti zpracování osobních údajů na příslušné „pověřené správce údajů“.

25)

Osobní údaje jsou bezpečně uloženy v elektronickém prostředí, které je v souladu s rozhodnutím Komise (EU, Euratom) 2017/46 (5)nebo v tištěné podobě, přičemž je znemožněn nezákonný přístup k údajům nebo jejich předávání osobám, které je nepotřebují znát. Zpracovávané osobní údaje jsou uchovávány jen po nezbytnou dobu a k účelům, pro které se zpracovávají, během období uvedeného v oznámeních o ochraně údajů nebo v záznamech agentury.

26)

Agentura uplatní omezení pouze tehdy, pokud respektují podstatu základních práv a svobod a představují nezbytně nutné a přiměřené opatření v demokratické společnosti. Agentura uvede důvody těchto omezení a informuje subjekty údajů o těchto důvodech a jejich právu podat stížnost u EIOÚ, jak je stanoveno v čl. 25 odst. 6 nařízení.

27)

V souladu se zásadou odpovědnosti agentura vede záznamy o uplatňování omezení.

28)

Při zpracovávání osobních údajů vyměňovaných s jinými organizacemi v souvislosti se svými úkoly agentura a tyto jiné organizace vzájemně konzultují možné důvody pro uložení omezení a jejich nezbytnost a přiměřenost, pokud by to neohrozilo činnosti agentury.

29)

Tyto interní předpisy se proto uplatní na všechny činnosti zpracování osobních údajů vykonávané agenturou při provádění správních šetření, disciplinárních řízení, předběžných činností týkajících se případů možných nesrovnalostí oznámených úřadu OLAF, vyšetřování Úřadu evropského veřejného žalobce (EPPO), postupů whistleblowingu, (formálních a neformálních) řízení v případech obtěžování, vyřizování interních a externích stížností, žádostí o přístup k vlastní zdravotnické dokumentaci nebo opravy této dokumentace, vyšetřování prováděných pověřencem pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení, šetření (IT) bezpečnosti prováděných interně nebo se zapojením externích subjektů (např. CERT-EU), auditů, řízení u Soudního dvora Evropské unie nebo vnitrostátních orgánů, výběrových a náborových řízení, hodnocení zaměstnanců a zadávacích řízení, jak je uvedeno výše.

30)

Tyto vnitřní předpisy se uplatní na činnosti zpracování prováděné před zahájením výše uvedených řízení, během těchto řízení a během sledování navazujícího postupu v reakci na výsledky těchto řízení. Součástí by rovněž měla být pomoc a spolupráce, kterou agentura nabídne ostatním institucím EU, vnitrostátním orgánům a mezinárodním organizacím nad rámec svých správních šetření.

31)

Podle čl. 25 odst. 8 nařízení je agentura oprávněna odložit, neprovést nebo odepřít poskytnutí informací o důvodech pro použití omezení subjektu údajů, pokud by to jakýmkoli způsobem mařilo účinek omezení. Agentura v jednotlivých případech posoudí, zda by informování o omezení mařilo jeho účinek.

32)

Agentura omezení zruší, jakmile přestanou platit podmínky odůvodňující jeho uplatňování, přičemž tyto podmínky pravidelně posuzuje.

33)

V zájmu nejvyšší možné ochrany práv a svobod subjektů údajů a v souladu s čl. 44 odst. 1 nařízení je nutno před uplatněním či přezkumem jakéhokoli omezení včas konzultovat pověřence pro ochranu osobních údajů agentury, který ověří soulad omezení s tímto rozhodnutím.

34)

Ustanovení čl. 16 odst. 5 a čl. 17 odst. 4 nařízení stanoví výjimky z práva subjektů údajů na informace a z práva na přístup k informacím. Pokud se použijí tyto výjimky, agentura není povinna uplatňovat omezení podle tohoto rozhodnutí,