|
6.3.2019 |
CS |
Úřední věstník Evropské unie |
LI 65/1 |
ROZHODNUTÍ EVROPSKÉ INVESTIČNÍ BANKY,
ze dne 6. února 2019,
kterým se stanoví vnitřní pravidla pro zpracování osobních údajů divizí pro vyšetřování podvodů při generálním inspektorátu a kanceláří Evropské investiční banky pro otázky compliance v souvislosti s poskytováním informací subjektům údajů a omezení některých jejich práv
EVROPSKÁ INVESTIČNÍ BANKA (dále jen „EIB“),
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 309 uvedené smlouvy,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (1),
s ohledem na stanoviska evropského inspektora ochrany údajů (2),
Vzhledem k těmto důvodům:
|
(1) |
Na základě politiky EIB v oblasti boje proti podvodům (3) a zásad divize EIB pro vyšetřování podvodů (4) má divize EIB pro vyšetřování podvodů při generálním inspektorátu (dále jen „divize IG/IN“) pověření vyšetřovat informace o podvodech, korupci, nekalých praktikách, nátlaku, obstrukcích, legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „zakázané jednání“) v souvislosti s veškerými činnostmi EIB. Divize IG/IN má pověření vyšetřovat (i) členy řídících orgánů, zaměstnance a poradce EIB, (ii) subjekty zúčastněné na projektech EIB, (iii) subjekty zúčastněné na zadávání veřejných zakázek ze strany EIB a (iv) subjekty zúčastněné na výpůjčních a treasury operacích. Součástí pověření divize IG/IN je také ověřování integrity z vlastního podnětu, a to v oblastech zvýšeného rizika, za účelem zvyšování účinnosti a efektivity operací a činností EIB. |
|
(2) |
Podle etického kodexu zaměstnanců EIB (5) a zásad EIB pro oznamování podezření z protiprávního jednání (6), v platném znění, jsou zaměstnanci EIB povinni hlásit příslušným útvarům jakékoli porušení profesních povinností, včetně protiprávní činnosti, zakázaného jednání či porušení předpisů, pravidel, zásad nebo směrnic skupiny EIB, včetně etického kodexu, přičemž příslušným útvarem bude v závislosti na povaze porušení buď kancelář EIB pro otázky compliance (dále jen „OCCO“), nebo generální inspektorát EIB (dále jen „IG“). |
|
(3) |
S ohledem na mandát vedoucího kanceláře skupiny EIB pro otázky compliance (dále jen „GCCO“ a „mandát GCCO“) a politiku integrity a zásady compliance (7) spadá do oblasti působnosti vedoucího kanceláře skupiny EIB pro otázky compliance zjišťování a posuzování rizik pro skupinu EIB v oblasti compliance, poskytování poradenství ohledně těchto rizik a také sledování a podávání zpráv o těchto rizicích, tedy konkrétně o rizicích možného uložení právních či správních sankcí, rizicích finanční újmy či újmy na pověsti člena skupiny EIB, jež mohou být důsledkem nedodržení veškerých použitelných právních a správních předpisů, etických kodexů zaměstnanců a standardů správné praxe ze strany člena skupiny EIB. V souladu s mandátem GCCO provádí GCCO potřebná správní šetření možného porušení etického kodexu zaměstnanců skupiny EIB. Zaměstnanci skupiny EIB jsou povinni spolupracovat při provádění takových správních šetření způsobem stanoveným GCCO. |
|
(4) |
Při provádění svých úkolů musí divize IG/IN a OCCO dodržovat práva fyzických osob při zpracovávání osobních údajů, která jsou uznána čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie, jakož i právními akty vycházejícími z těchto ustanovení. Divize IG/IN a OCCO musí zároveň dodržovat přísná pravidla zachování důvěrnosti a služebního tajemství uvedená ve služebním řádu EIB a v etickém kodexu zaměstnanců EIB a zajistit dodržování procesních práv dotčených osob a svědků, zejména práv dotčených osob na řádný proces a presumpci neviny. |
|
(5) |
Za určitých okolností je však třeba sladit práva subjektů údajů uvedená v nařízení Evropského parlamentu a Rady (EU) 2018/1725 (dále jen „nařízení“) s úkoly a potřebami divize IG/IN a OCCO, jakož i plné dodržování základních práv a svobod jiných subjektů údajů. Pro tyto účely umožňuje článek 25 nařízení divizi IG/IN a OCCO, aby na základě svého pověření omezily použití článků 14 až 22, 35 a 36, jakož i článku 4 uvedeného nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22. Za tímto účelem je nezbytné přijmout vnitřní pravidla, na jejich základě může příslušný správce údajů omezit práva subjektů údajů v souladu s článkem 25 nařízení. |
|
(6) |
Tato vnitřní pravidla by se měla vztahovat na veškeré operace zpracování údajů prováděné divizí IG/IN a OCCO při plnění jejich pověření, jak jsou zakotvena v politice EIB v oblasti boje proti podvodům, v zásadách divize EIB pro vyšetřování podvodů, v politice integrity a zásadách compliance a v mandátu GCCO, a to po celou dobu trvání daného procesu. |
|
(7) |
Za účelem dodržení článků 14, 15 a 16 nařízení by příslušný správce údajů měl informovat všechny osoby o svých činnostech, při kterých jsou zpracovávány jejich osobní údaje, a o jejich právech, a to transparentním a uceleným způsobem v podobě prohlášení o ochraně údajů zveřejněných na internetových stránkách EIB a na intranetu EIB, jakož i individuálně informovat subjekty údajů relevantní pro jeho činnost – dotčené osoby, svědky a informátory. |
|
(8) |
Divize IG/IN a OCCO mohou být nuceny uplatnit určité důvody pro omezení uvedená v článku 25 nařízení na operace zpracování údajů prováděné v rámci jejich úkolů stanovených (i) v politice EIB v oblasti boje proti podvodům a v postupech vyšetřování pro divizi IG/IN (8), a (ii) v mandátu GCCO pro OCCO. |
|
(9) |
Komunikace mezi OLAF a EIB probíhá v souladu se správním ujednáním mezi Evropským úřadem pro boj proti podvodům a Evropskou investiční bankou ze dne 31. března 2016. |
|
(10) |
Kromě toho za účelem zachování účinné spolupráce mohou být divize IG/IN and OCCO nuceny uplatnit omezení práv subjektů údajů, aby ochránily informace obsahující osobní údaje pocházející od jiných útvarů EIB, orgánů, institucí a jiných subjektů Evropské unie, příslušných orgánů členských států a třetích zemí, jakož i od mezinárodních organizací. Pro tyto účely by měly divize IG/IN and OCCO s těmito jinými útvary EIB, orgány, institucemi a jinými subjekty, orgány a mezinárodními organizacemi konzultovat relevantní důvody pro tato omezení a jejich nezbytnost a přiměřenost. |
|
(11) |
Divize IG/IN a OCCO by měly všechna omezení uplatňovat transparentním způsobem a zaregistrovat každé použití omezení do příslušného záznamového systému. |
|
(12) |
Podle čl. 25 odst. 8 nařízení mohou správci poskytnutí informací odložit nebo je neprovést z důvodů uplatňování omezení na subjekt údajů, pokud by to jakýmkoliv způsobem ohrozilo účely omezení. Oznámení takového omezení by ohrozilo účel omezení, zejména pokud je použito omezení práv podle článků 16 a 35. K tomu, aby bylo právo subjektu údajů být informován v souladu s články 16 a 35 nařízení (EU) 2018/1725 omezeno pouze po dobu, po níž trvají důvody odkladu, by měl příslušný správce údajů své stanovisko pravidelně přezkoumávat. |
|
(13) |
Pokud je uplatněno omezení práv dalších subjektů údajů, měl by správce případ od případu posoudit, zda by informování o omezení ohrozilo jeho účel. |
|
(14) |
EIB jmenovala svého inspektora ochrany údajů (dále jen „inspektor“) v souladu s článkem 24 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (9). |
|
(15) |
Inspektor je oprávněn provádět nezávislý přezkum uplatňování omezení, aby se zajistil soulad s tímto rozhodnutím. |
PŘIJALA TOTO ROZHODNUTÍ:
KAPITOLA I
DIVIZE PRO VYŠETŘOVÁNÍ PODVODŮ PŘI GENERÁLNÍM INSPEKTORÁTU
Článek 1
Předmět a oblast působnosti
1. Tato kapitola stanoví pravidla, která musí dodržovat příslušný správce údajů, vymezený v čl. 2 odst. 1 rozhodnutí, při informování subjektů údajů o zpracování jejich údajů v souladu s články 14, 15 a 16 nařízení (EU) 2018/1725.
Rovněž stanoví podmínky, za nichž může příslušný správce údajů omezit použití článků 14 až 22, 35 a 36, jakož i článku 4 nařízení, v souladu s článkem 25 nařízení.
2. Tato kapitola se vztahuje na zpracování osobních údajů divizí IG/IN pro účely činností prováděných za účelem splnění jejích úkolů uvedených v politice EIB v oblasti boje proti podvodům a v zásadách divize EIB pro vyšetřování podvodů nebo v souvislosti s uvedenými činnostmi.
3. V rámci svého pověření zpracovává divize IG/IN několik kategorií osobních údajů, zejména identifikační údaje, kontaktní údaje, profesní údaje a údaje o zapojení do věci.
Článek 2
Vymezení správce a pojistky
1. Správcem údajů v rámci operací zpracování je vedoucí divize IG/IN.
2. Osobní údaje jsou uchovávány v zabezpečeném elektronickém a fyzickém prostředí, které brání nezákonnému přístupu k údajům nebo předání údajů osobám, které je nepotřebují znát.
3. Zpracovávané osobní údaje jsou uchovávány po dobu nejméně pěti let a nejdéle deseti let od skončení vyšetřování. Údaje související s případy, kde nebylo prokázáno porušení předpisů, jsou uchovávány po dobu nepřesahující pět let.
4. Výše uvedené doby lze překročit jen ve výjimečných a řádně odůvodněných případech, a to se souhlasem inspektora.
Článek 3
Platné výjimky a omezení
1. V případech, kdy divize IG/IN vykonává své povinnosti s ohledem na práva subjektů údajů podle nařízení, posoudí, zda se použije některá z výjimek stanovených v uvedeném nařízení.
2. Podle článků 4 až 7 tohoto rozhodnutí může divize IG/IN omezit použití článků 14 až 22 a 35 nařízení, článku 36 nařízení, jakož i článku 4 nařízení, v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22 nařízení, pokud by výkon těchto práv a povinností ohrozil účel vyšetřování a jiných činností divize IG/IN, například odhalením jejích vyšetřovacích nástrojů a metod, nebo by negativně ovlivnil práva a svobody jiných subjektů údajů.
3. Podle článků 4 až 7 tohoto rozhodnutí může divize IG/IN omezit práva a povinnosti uvedené v odstavci 2 tohoto článku ve vztahu k osobním údajům získaným od jiného útvaru či jiných útvarů EIB, OLAF nebo dalších orgánů, institucí a jiných subjektů Evropské unie, příslušných orgánů členských států nebo třetích zemí nebo od mezinárodních organizací, a to za těchto okolností:
|
a) |
pokud by výkon těchto práv a povinností mohl být omezen ze strany jiného útvaru či jiných útvarů EIB, OLAF nebo dalších orgánů, institucí a jiných subjektů Evropské unie na základě jiných aktů uvedených v článku 25 nařízení nebo v souladu s kapitolou IX uvedeného nařízení; |
|
b) |
pokud by výkon těchto práv a povinností mohl být omezen ze strany příslušných orgánů členských států na základě aktů uvedených v článku 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 (10) nebo na základě vnitrostátních opatření provádějících čl. 13 odst. 3, čl. 15 odst. 3 nebo čl. 16 odst. 3 směrnice Evropského parlamentu a Rady (EU) 2016/680 (11); |
|
c) |
pokud by výkon těchto práv a povinností mohl při plnění úkolů divize IG/IN ohrozit její spolupráci se třetími zeměmi a mezinárodními organizacemi. |
Dříve než divize IG/IN použije omezení za okolností uvedených v prvním pododstavci písm. a) a b), konzultuje příslušný útvar či příslušné útvary EIB, OLAF, orgány, instituce a jiné subjekty Evropské unie nebo příslušné orgány členských států, pokud není divizi IG/IN jasné, že uplatnění omezení je stanoveno v některém z právních aktů uvedených v těchto písmenech.
Ustanovení prvního pododstavce písm. c) se nepoužije, pokud zájmy nebo základní práva a svobody subjektů údajů převáží nad zájmem Evropské unie o spolupráci se třetími zeměmi nebo mezinárodními organizacemi.
Článek 4
Poskytování informací subjektům údajů
1. Divize IG/IN zveřejní na internetových stránkách EIB prohlášení o ochraně údajů, jímž informuje všechny subjekty údajů o svých činnostech, při kterých jsou zpracovávány jejich osobní údaje.
2. Divize IG/IN individuálně informuje všechny subjekty údajů, které považuje za dotčené osoby, svědky nebo informátory ve smyslu politiky EIB v oblasti boje proti podvodům a postupů vyšetřování.
3. Pokud divize IG/IN zcela nebo zčásti omezí poskytování informací subjektům údajů uvedeným v odstavci 2, zaznamená důvody tohoto omezení, včetně posouzení nezbytnosti a přiměřenosti omezení.
Pro tyto účely se v záznamu uvede, jak by poskytnutí informací ohrozilo účel vyšetřovacích činností divize IG/IN nebo omezení uplatňovaných podle čl. 3 odst. 3, nebo jak by negativně ovlivnilo práva a svobody jiných subjektů údajů.
Záznam a případně dokumenty obsahující podkladové faktické a právní prvky se zaregistrují. Na žádost se zpřístupní evropskému inspektorovi ochrany údajů (EIOÚ).
4. Omezení uvedená v odstavci 3 platí tak dlouho, dokud jsou platné důvody odůvodňující omezení.
Jakmile důvody omezení pominou, divize IG/IN poskytne subjektu údajů dotčené informace a uvede důvody omezení. Současně divize IG/IN informuje subjekt údajů o možnosti podat kdykoliv stížnost u EIOÚ nebo uplatnit opravný prostředek u Soudního dvora Evropské unie.
Divize IG/IN přezkoumá použití omezení přinejmenším každých šest měsíců od jeho přijetí a při uzavření příslušného vyšetřování. Potřebu zachovat jakékoli omezení poté monitoruje správce jednou ročně.
Článek 5
Právo subjektu údajů na přístup k údajům
1. Pokud subjekty údajů požadují v souladu s článkem 17 nařízení přístup ke svým osobním údajům zpracovávaným v kontextu jednoho nebo více zvláštních případů nebo ke konkrétní operaci zpracování, divize IG/IN omezí své posouzení žádosti pouze na tyto osobní údaje.
2. Pokud divize IG/IN zcela nebo zčásti omezí právo na přístup uvedené v článku 17 nařízení, učiní následující kroky:
|
a) |
ve své odpovědi na žádost informuje dotčený subjekt údajů o použitých omezeních a o jejich hlavních důvodech a o možnosti podat stížnost u EIOÚ nebo uplatnit opravný prostředek u Soudního dvora Evropské unie; |
|
b) |
zaznamená důvody omezení, včetně posouzení nezbytnosti a přiměřenosti omezení. Pro tyto účely se v záznamu uvede, jak by poskytnutí informací ohrozilo účel vyšetřovacích činností divize IG/IN nebo omezení uplatňovaných podle čl. 3 odst. 3, nebo jak by negativně ovlivnilo práva a svobody jiných subjektů údajů. |
Poskytnutí informací uvedených v písmenu a) může být v souladu s čl. 25 odst. 8 nařízení odloženo, neprovedeno nebo odepřeno.
3. Záznam uvedený v odst. 2 prvním pododstavci písm. b) a případně dokumenty obsahující podkladové faktické a právní prvky se zaregistrují. Na vyžádání se zpřístupní EIOÚ. Použije se čl. 25 odst. 7 nařízení (EU) 2018/1725.
Článek 6
Právo na opravu, výmaz a omezení zpracování údajů
Pokud divize IG/IN zcela nebo zčásti omezí uplatnění práva na opravu, výmaz nebo omezení zpracování údajů podle článku 18, čl. 19 odst. 1 a čl. 20 odst. 1 nařízení (EU) 2018/1725, učiní kroky stanovené v čl. 5 odst. 2 tohoto rozhodnutí a provede záznam v souladu s čl. 5 odst. 3 tohoto rozhodnutí.
Článek 7
Oznámení o porušení zabezpečení osobních údajů subjektu údajů
Pokud divize IG/IN omezí oznámení o porušení zabezpečení osobních údajů subjektu údajů podle článku 35 nařízení, zaznamená důvody omezení v souladu s čl. 4 odst. 3 tohoto rozhodnutí. Použije se ustanovení čl. 4 odst. 4 tohoto rozhodnutí.
Článek 8
Přezkum inspektorem ochrany údajů
Divize IG/IN informuje inspektora bezodkladně vždy, když omezí možnost uplatnění práv subjektů údajů podle tohoto rozhodnutí, a poskytne přístup k záznamu a posouzení nezbytnosti a přiměřenosti daného omezení.
Inspektor může divizi IG/IN písemně vyzvat k přezkoumání uplatnění daných omezení. Divize IG/IN bude inspektora písemně informovat o výsledku požadovaného přezkumu.
KAPITOLA II
KANCELÁŘ SKUPINY EIB PRO OTÁZKY COMPLIANCE
Článek 9
Předmět a oblast působnosti
1. Tato kapitola stanoví pravidla, která musí dodržovat OCCO při informování subjektů údajů o zpracování jejich údajů v souladu s články 14, 15 a 16 nařízení (EU) 2018/1725.
Rovněž stanoví podmínky, za nichž může OCCO omezit použití článků 14 až 22, 35 a 36, jakož i článku 4 nařízení (EU) 2018/1725, v souladu s článkem 25 uvedeného nařízení.
2. Tato kapitola se vztahuje na zpracování osobních údajů ze strany OCCO pro účely činností prováděných za účelem splnění jejích úkolů uvedených v mandátu GCCO, politice integrity a zásadách compliance a v dalších vnitřních pravidlech a zásadách nebo v souvislosti s uvedenými činnostmi.
3. V rámci své činnosti OCCO zpracovává několik kategorií osobních údajů, zejména identifikační údaje, kontaktní údaje, profesní údaje a údaje o zapojení do věci.
Článek 10
Vymezení správce a pojistky
1. Příslušným správcem údajů je GCCO.
2. Osobní údaje jsou uchovávány v zabezpečeném elektronickém a fyzickém prostředí, které brání nezákonnému přístupu k údajům nebo předání údajů osobám, které je nepotřebují znát.
3. Osobní údaje zpracovávané OCCO jsou uchovávány po dobu nejméně šesti měsíců od odložení věci a po dobu nepřesahující pět let od uzavření správního šetření.
4. Výše uvedené doby lze překročit jen ve výjimečných a řádně odůvodněných případech, a to se souhlasem inspektora.
Článek 11
Platné výjimky a omezení
1. V případech, kdy OCCO vykonává své povinnosti s ohledem na práva subjektů údajů podle nařízení (EU) 2018/1725, posoudí, zda se použije některá z výjimek stanovených v uvedeném nařízení.
2. Podle článků 12 až 15 tohoto rozhodnutí může OCCO omezit použití článků 14 až 22, 35 a 36 nařízení (EU) 2018/1725, jakož i článku 4 nařízení, v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22 nařízení (EU) 2018/1725, pokud by výkon těchto práv a povinností ohrozil účel správních šetření a jiných činností OCCO, například odhalením jejích nástrojů a metod správního šetření, nebo by negativně ovlivnil práva a svobody jiných subjektů údajů.
3. Podle článků 12 až 15 tohoto rozhodnutí může OCCO omezit práva a povinnosti uvedené v odstavci 2 tohoto článku ve vztahu k osobním údajům získaným od jiného útvaru či jiných útvarů EIB, orgánů, institucí a jiných subjektů Evropské unie, příslušných orgánů členských států nebo třetích zemí nebo od mezinárodních organizací, a to za těchto okolností:
|
a) |
pokud by výkon těchto práv a povinností mohl být omezen ze strany jiného útvaru či jiných útvarů EIB, orgánů, institucí a jiných subjektů Evropské unie na základě jiných aktů uvedených v článku 25 nařízení (EU) 2018/1725 nebo v souladu s kapitolou IX uvedeného nařízení; |
|
b) |
pokud by výkon těchto práv a povinností mohl být omezen ze strany příslušných orgánů členských států na základě aktů uvedených v článku 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo na základě vnitrostátních opatření provádějících čl. 13 odst. 3, čl. 15 odst. 3 nebo čl. 16 odst. 3 směrnice Evropského parlamentu a Rady (EU) 2016/680; |
|
c) |
pokud by výkon těchto práv a povinností mohl při plnění úkolů OCCO ohrozit její spolupráci se třetími zeměmi a mezinárodními organizacemi. |
Dříve než OCCO použije omezení za okolností uvedených v prvním pododstavci písm. a) a b), konzultuje příslušný útvar či příslušné útvary EIB, orgány, instituce a jiné subjekty Evropské unie nebo příslušné orgány členských států, pokud není OCCO jasné, že uplatnění omezení je stanoveno v některém z právních aktů uvedených v těchto písmenech.
Ustanovení prvního pododstavce písm. c) se nepoužije, pokud zájmy nebo základní práva a svobody subjektů údajů převáží nad zájmem Evropské unie o spolupráci se třetími zeměmi nebo mezinárodními organizacemi.
Článek 12
Poskytování informací subjektům údajů
1. OCCO zveřejní na intranetu EIB prohlášení o ochraně údajů, jímž informuje všechny subjekty údajů o svých činnostech, při kterých jsou zpracovávány jejich osobní údaje.
2. OCCO individuálně informuje všechny subjekty údajů, které považuje za dotčené osoby, svědky a informátory.
3. Pokud OCCO zcela nebo zčásti omezí poskytování informací subjektům údajů uvedeným v odstavci 2, zaznamená důvody tohoto omezení, včetně posouzení nezbytnosti a přiměřenosti omezení.
Pro tyto účely se v záznamu uvede, jak by poskytnutí informací ohrozilo účel správního šetření nebo jiných činností OCCO nebo omezení uplatňovaných podle čl. 11 odst. 3, nebo jak by negativně ovlivnilo práva a svobody jiných subjektů údajů.
Záznam a případně dokumenty obsahující podkladové faktické a právní prvky se zaregistrují. Na vyžádání se zpřístupní EIOÚ.
4. Omezení uvedená v odstavci 3 platí tak dlouho, dokud jsou platné důvody odůvodňující omezení.
Jakmile důvody omezení pominou, OCCO poskytne subjektu údajů dotčené informace a uvede důvody omezení. Současně OCCO informuje subjekt údajů o možnosti podat kdykoliv stížnost u EIOÚ nebo uplatnit opravný prostředek u Soudního dvora Evropské unie.
OCCO přezkoumá použití omezení přinejmenším každých šest měsíců od jeho přijetí a při uzavření příslušného správního šetření. Potřebu zachovat jakékoli omezení poté monitoruje správce jednou ročně.
Článek 13
Právo subjektu údajů na přístup k údajům
1. Pokud subjekty údajů požadují v souladu s článkem 17 nařízení (EU) 2018/1725 přístup ke svým osobním údajům zpracovávaným v kontextu jednoho nebo více zvláštních případů nebo ke konkrétní operaci zpracování, OCCO omezí své posouzení žádosti pouze na tyto osobní údaje.
2. Pokud OCCO zcela nebo zčásti omezí právo na přístup uvedené v článku 17 nařízení (EU) 2018/1725, učiní následující kroky:
|
a) |
ve své odpovědi na žádost informuje dotčený subjekt údajů o použitých omezeních a o jejich hlavních důvodech a o možnosti podat stížnost u EIOÚ nebo uplatnit opravný prostředek u Soudního dvora Evropské unie; |
|
b) |
zaznamená důvody omezení, včetně posouzení nezbytnosti a přiměřenosti omezení. Pro tyto účely se v záznamu uvede, jak by poskytnutí informací ohrozilo účel správního šetření nebo jiných činností OCCO nebo omezení uplatňovaných podle čl. 11 odst. 3, nebo jak by negativně ovlivnilo práva a svobody jiných subjektů údajů. |
Poskytnutí informací uvedených v písmenu a) může být v souladu s čl. 25 odst. 8 nařízení (EU) 2018/1725 odloženo, neprovedeno nebo odepřeno.
3. Záznam uvedený v odst. 2 prvním pododstavci písm. b) a případně dokumenty obsahující podkladové faktické a právní prvky se zaregistrují. Na vyžádání se zpřístupní EIOÚ. Použije se čl. 25 odst. 7 nařízení (EU) 2018/1725.
Článek 14
Právo na opravu, výmaz a omezení zpracování údajů
Pokud OCCO zcela nebo zčásti omezí uplatnění práva na opravu, výmaz nebo omezení zpracování údajů podle článku 18, čl. 19 odst. 1 a čl. 20 odst. 1 nařízení (EU) 2018/1725, učiní kroky stanovené v čl. 13 odst. 2 tohoto rozhodnutí a provede záznam v souladu s čl. 13 odst. 3 tohoto rozhodnutí.
Článek 15
Oznámení o porušení zabezpečení osobních údajů subjektu údajů
Pokud OCCO omezí oznámení o porušení zabezpečení osobních údajů subjektu údajů podle článku 35 nařízení (EU) 2018/1725, zaznamená důvody omezení v souladu s čl. 12 odst. 3 tohoto rozhodnutí. Použije se ustanovení čl. 12 odst. 4 tohoto rozhodnutí.
Článek 16
Přezkum inspektorem ochrany údajů
OCCO informuje inspektora bezodkladně vždy, když omezí možnost uplatnění práv subjektů údajů podle tohoto rozhodnutí, a poskytne přístup k záznamu a posouzení nezbytnosti a přiměřenosti daného omezení.
Inspektor může správce písemně vyzvat k přezkoumání uplatnění daných omezení. OCCO bude inspektora písemně informovat o výsledku požadovaného přezkumu.
KAPITOLA III
ZÁVĚREČNÁ USTANOVENÍ
Článek 17
Vstup v platnost
Toto rozhodnutí schválila správní rada EIB dne 6. února 2019 a vstupuje v platnost dnem jeho zveřejnění na internetových stránkách EIB.
V Lucemburku dne 6. února 2019.
(1) Úř. věst. L 295, 21.11.2018, s. 39.
(2) Zpracování osobních údajů v rámci vyšetřování divize IG/IN a správních šetření kanceláře pro otázky compliance bylo oznámeno EIOÚ;
(3) https://www.eib.org/attachments/strategies/anti_fraud_policy_20130917_en.pdf;
(4) http://www.eib.org/attachments/general/fraud_investigatons_charter_2017_en.pdf
(5) http://www.eib.org/en/infocentre/publications/all/staff-code-of-conduct.htm
(6) http://www.eib.org/en/infocentre/publications/all/eib-s-whistleblowing-policy.htm
(7) http://www.eib.org/en/infocentre/publications/all/integrity-policy-and-compliance-charter.htm
(8) http://www.eib.org/en/infocentre/publications/all/anti-fraud-procedures.htm
(9) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).
(10) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(11) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).