|
6.5.2021 |
CS |
Úřední věstník Evropské unie |
L 158/17 |
ROZHODNUTÍ SPRÁVNÍ RADY č. 5/2020
ze dne 21. října 2020
o interních pravidlech týkajících se omezení některých práv subjektů údajů v souvislosti se zpracováním osobních údajů v rámci činností prováděných Agenturou Evropské unie pro bezpečnost letectví
SPRÁVNÍ RADA AGENTURY EVROPSKÉ UNIE PRO BEZPEČNOST LETECTVÍ,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (1), a zejména na článek 25 tohoto nařízení,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1139 ze dne 4. července 2018 o společných pravidlech v oblasti civilního letectví a o zřízení Agentury Evropské unie pro bezpečnost letectví, kterým se mění nařízení (ES) č. 2111/2005, (ES) č. 1008/2008, (EU) č. 996/2010, (EU) č. 376/2014 a směrnice Evropského parlamentu a Rady 2014/30/EU a 2014/53/EU a kterým se zrušuje nařízení Evropského parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nařízení Rady (EHS) č. 3922/91 (2), a zejména na článek 132 tohoto nařízení,
s ohledem na jednací řád správní rady Agentury Evropské unie pro bezpečnost letectví,
po konzultaci s evropským inspektorem ochrany údajů,
po informování výboru zaměstnanců,
vzhledem k těmto důvodům:
|
(1) |
Agentura Evropské unie pro bezpečnost letectví („EASA“) je zmocněna provádět správní šetření, předběžná disciplinární řízení, disciplinární řízení a řízení o dočasném zproštění výkonu služby v souladu se služebním řádem úředníků Evropské unie a pracovním řádem ostatních zaměstnanců Evropské unie, který je stanoven nařízením Rady (EHS, Euratom) č. 259/68 (dále jen „služební řád“) (3), a v souladu s rozhodnutím č. 2011/216/E výkonného ředitele EASA ze dne 16. prosince 2011 přijímajícím prováděcí předpisy týkající se vedení správních šetření a disciplinárních řízení. V případě nutnosti rovněž oznamuje případy úřadu OLAF. |
|
(2) |
Zaměstnanci EASA jsou povinni oznamovat veškeré potenciálně protiprávní činnosti, včetně podvodu a úplatkářství, které poškozují zájmy Unie. Zaměstnanci jsou rovněž povinni oznamovat jednání týkající se výkonu pracovních povinností, které může představovat vážné porušení povinností úředníků Unie. Tato povinnost je upravena rozhodnutím správní rady EASA 15-2018 ze dne 14. prosince 2018. |
|
(3) |
EASA zavedla politiku pro prevenci a efektivní řešení skutečných nebo potenciálních případů psychického nebo sexuálního obtěžování na pracovišti, jak je uvedeno v rozhodnutí výkonného ředitele EASA č. 2008/180/A ze dne 5. srpna 2009 přijímajícím prováděcí opatření na základě služebního řádu. |
|
(4) |
Uvedené rozhodnutí stanoví neformální postup, jehož prostřednictvím se údajná oběť obtěžování může obrátit na „důvěrné“ poradce v rámci EASA. |
|
(5) |
EASA také může provádět vyšetřování případných porušení bezpečnostních pravidel, pokud jde o utajované informace Evropské unie (dále jen „utajované informace EU“), a to na základě rozhodnutí výkonného ředitele EASA č. 2020/010/ED ze dne 17. února 2020 o bezpečnostních pravidlech EASA při ochraně utajovaných informací Evropské unie. |
|
(6) |
EASA se podrobuje interními i externím auditům svých činností. |
|
(7) |
V souvislosti s těmito správními šetřeními, audity a vyšetřováními EASA spolupracuje s dalšími orgány, institucemi a jinými subjekty Unie. |
|
(8) |
EASA může spolupracovat s vnitrostátními orgány třetích zemí a mezinárodními organizacemi, a to buď na jejich žádost, nebo z vlastního podnětu. |
|
(9) |
EASA také může spolupracovat s orgány veřejné moci členských států EU, a to buď na jejich žádost, nebo z vlastního podnětu. |
|
(10) |
EASA se zapojuje do věcí projednávaných Soudním dvorem Evropské unie a v takových případech může buď věc postoupit Soudnímu dvoru, hájit rozhodnutí, které přijala a které bylo u Soudního dvora napadeno, nebo zasahovat ve věcech, které se týkají jejích úkolů. V této souvislosti může nastat situace, kdy bude EASA povinna chránit důvěrnost osobních údajů obsažených v dokumentech získaných stranami sporu nebo vedlejšími účastníky. |
|
(11) |
EASA je zmocněna provádět kontroly, jiné monitorovací aktivity a šetření v souladu s článkem 75 odst. 2 písm. e) nařízení (EU) 2018/1139. |
|
(12) |
EASA je zmocněna provádět vyšetřování IT bezpečnosti prováděná interně nebo se zapojením externích subjektů (např. CERT-EU) v souladu s článkem 75 odst. 2 písm. d) nařízení (EU) 2018/1139. |
|
(13) |
Pověřenec EASA pro ochranu osobních údajů je zmocněn zpracovávat interní a externí stížnosti a provádět interní audity a šetření v souladu s článkem 45 odst. 2 nařízení (EU) (dále jen „nařízení“). |
|
(14) |
Za účelem plnění svých úkolů EASA shromažďuje a zpracovává informace a několik kategorií osobních údajů, včetně údajů o totožnosti fyzických osob, kontaktních údajů, pracovních pozic a úkolů, informací o soukromém a pracovním chování a výkonnosti a finančních údajů. EASA jedná jako správce údajů. |
|
(15) |
Podle nařízení je proto EASA povinna poskytovat subjektům údajů informace o těchto činnostech zpracování a o jejich právech jako subjektech údajů. |
|
(16) |
EASA může být povinna hledat rovnováhu mezi těmito právy a cíli správních šetření, auditů, vyšetřování a soudních řízení. Rovněž může být nutné najít rovnováhu mezi právy subjektu údajů a základními právy a svobodami jiných subjektů údajů. Za tímto účelem umožňuje článek 25 nařízení agentuře EASA omezit za přísných podmínek použití článků 14 až 22, 35 a 36 nařízení, jakož i článku 4 v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20. Nejsou-li omezení stanovena právním aktem přijatým na základě Smluv, je nezbytné přijmout interní pravidla, podle kterých je EASA oprávněna tato práva omezit. |
|
(17) |
EASA například může být nucena omezit informace, které poskytuje subjektu údajů o zpracování jeho osobních údajů během fáze předběžného posouzení správního šetření nebo během samotného šetření, a to před případným zamítnutím věci nebo ve fázi předběžného disciplinárního řízení. Za určitých okolností by poskytnutí těchto informací mohlo závažně ovlivnit schopnost agentury EASA účinně provádět šetření, například existuje-li riziko, že dotčená osoba může zničit důkazy nebo že před výslechem může ovlivňovat případné svědky. Může se také stát, že EASA bude povinna ochránit práva a svobody svědků, jakož i jiných dotčených osob. |
|
(18) |
Může být zapotřebí chránit anonymitu svědka nebo oznamovatele (whistleblowera), který požádal o utajení své totožnosti. V takovém případě může EASA v zájmu ochrany práv a svobod těchto osob rozhodnout o omezení přístupu k údajům o jejich totožnosti, jakož i k jejich prohlášením a dalším osobním údajům. |
|
(19) |
Může být zapotřebí chránit důvěrné informace o zaměstnanci, který se obrátil na důvěrné poradce agentury EASA v souvislosti s řízením týkajícím se obtěžování. V takovém případě může EASA v zájmu ochrany práv a svobod všech dotčených osob být povinen omezit přístup k údajům o totožnosti údajné oběti, údajného obtěžovatele a dalších dotčených osob, jakož i k jejich prohlášením a dalším osobním údajům. |
|
(20) |
EASA by měla uplatňovat omezení pouze tehdy, pokud respektují podstatu základních práv a svobod a představují nezbytně nutné a přiměřené opatření v demokratické společnosti. EASA by měl uvést důvody vysvětlující tato omezení. |
|
(21) |
V souladu se zásadou odpovědnosti by EASA měla vést záznamy o uplatňování těchto omezení. |
|
(22) |
Při zpracovávání osobních údajů vyměňovaných s jinými organizacemi v souvislosti se svými úkoly by měly EASA a tyto jiné organizace vzájemně konzultovat možné důvody pro uložení omezení a jejich nezbytnost a přiměřenost, pokud by to neohrozilo činnosti agentury EASA. |
|
(23) |
Ustanovení čl. 25 odst. 6 nařízení ukládá správci údajů povinnost informovat subjekty údajů o hlavních důvodech pro použití omezení a o jejich právu podat stížnost u EIOÚ. |
|
(24) |
Podle čl. 25 odst. 8 nařízení je EASA oprávněna odložit, neprovést nebo odepřít poskytnutí informací o důvodech pro použití omezení subjektu údajů, pokud by to jakýmkoli způsobem mařilo účinek omezení. EASA by měla v jednotlivých případech posoudit, zda by informování o omezení mařilo jeho účinek. |
|
(25) |
EASA by měla omezení zrušit, jakmile přestanou platit podmínky odůvodňující jeho uplatňování, přičemž tyto podmínky by měla pravidelně posuzovat. |
|
(26) |
V zájmu nejvyšší možné ochrany práv a svobod subjektů údajů a v souladu s čl. 44 odst. 1 nařízení by měl být pověřenec pro ochranu osobních údajů včas konzultován ohledně veškerých omezení, která mohou být použita, a ohledně ověření jejich souladu s tímto rozhodnutím. |
|
(27) |
Článek 16 odst. 5 a čl. 17 odst. 4 nařízení stanoví výjimky z práva subjektů údajů na informace a z práva na přístup k informacím. Pokud se použijí tyto výjimky, EASA není povinna uplatňovat omezení podle tohoto rozhodnutí, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Předmět a oblast působnosti
1. Toto rozhodnutí stanoví předpisy týkající se podmínek, za nichž EASA může omezit použití článků 4, 14 až 22, 35 a 36, a to v souladu s článkem 25 nařízení.
2. EASA je jako správce údajů zastoupena svým výkonným ředitelem.
Článek 2
Omezení
1. EASA může omezit použití článků 14 až 22, 35 a 36, jakož i článku 4 v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20:
|
(a) |
v souladu s čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení, pokud provádí správní šetření, předběžná disciplinární řízení, disciplinární řízení nebo řízení o dočasném zproštění výkonu služby podle článku 86 a přílohy IX služebního řádu, a v souladu s rozhodnutím výkonného ředitele EASA č. 2011/216/E ze dne 16. prosince 2011 nebo při oznamování případů úřadu; |
|
(b) |
v souladu s čl. 25 odst. 1 písm. h) nařízení při zajišťování, aby mohli zaměstnanci EASA důvěrně oznamovat skutečnosti, pokud jsou přesvědčeni, že došlo k závažným nesrovnalostem, jak je stanoveno v rozhodnutí správní rady EASA 15-2018 ze dne 14. prosince 2018; |
|
(c) |
v souladu s čl. 25 odst. 1 písm. h) nařízení při zajišťování, aby zaměstnanci EASA měli možnost oznámit důvěrným poradcům informace v souvislosti s řízením týkajícím se obtěžování, jak je vymezeno v rozhodnutí ředitele EASA č. 2008/180/A ze dne 5. srpna 2009; |
|
(d) |
v souladu s čl. 25 odst. 1 písm. b), c), d), f) g) a h) při provádění vyšetřování případných porušení bezpečnostních pravidel, pokud jde o utajované informace Evropské unie (dále jen „utajované informace EU“), a to na základě rozhodnutí výkonného ředitele EASA č. 2020/010/ED ze dne 17. února 2020 o bezpečnostních pravidlech EASA při ochraně utajovaných informací Evropské unie; |
|
(e) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení, pokud se provádí interní audity v souvislosti s činnostmi nebo útvary EASA; |
|
(f) |
v souladu s čl. 25 odst. 1 písm. c), d), g) a h) nařízení, pokud poskytuje pomoc jinému orgánu, instituci a jiným subjektům Unie nebo od nich pomoc přijímá nebo pokud s nimi spolupracuje v souvislosti s činnostmi spadajícími do působnosti písm. a) až d) tohoto odstavce, a v souladu s příslušnými dohodami o úrovni služeb, memorandy o porozumění a dohodami s spolupráci; |
|
(g) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení, pokud poskytuje pomoc vnitrostátním orgánům třetích zemí nebo mezinárodním organizacím nebo od nich pomoc přijímá nebo pokud spolupracuje s těmito orgány a organizacemi, ať už na jejich žádost, nebo z vlastního podnětu; |
|
(h) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení, pokud poskytuje pomoc orgánům veřejné moci členských států nebo od nich pomoc přijímá nebo pokud spolupracuje s těmito orgány, ať už na jejich žádost, nebo z vlastního podnětu; |
|
(i) |
v souladu s čl. 25 odst. 1 písm. e), pokud zpracovává osobní údaje v dokumentech získaných stranami sporu nebo vedlejšími účastníky v souvislosti s řízením u Soudního dvora Evropské Unie; |
|
(j) |
v souladu s čl. 25 odst. 1 písm. c), g) a (h) nařízení, pokud zpracovává osobní údaje při provádění kontrol, dalších monitorovacích aktivit a šetření v souladu s čl. 75 odst. 2 písm. e) nařízení (EU) 2018/1139; |
|
(k) |
v souladu s čl. 25 odst. 1 písm. b), c), d) , f), g) and h) nařízení, pokud zpracovává osobní údaje při provádění šetření IT bezpečnosti prováděných interně nebo se zapojením externích subjektů (např. CERT-EU) v souladu s čl. 75 odst. 2 písm. d) nařízení (EU) 2018/1139. |
2. V souladu s čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení může pověřenec pro ochranu osobních údajů omezit použití článků 14 až 22, 35 a 36 a článku 4 tohoto nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20, při vyřizování interních a externích stížností a při provádění interních auditů a šetření v souladu s čl. 45 odst. 2 nařízení.
3. Každé omezení respektuje podstatu základních práv a svobod a je nezbytné a přiměřené v demokratické společnosti.
4. Před uplatněním omezení se v jednotlivých případech posoudí jejich nezbytnost a přiměřenost. Omezení se vztahují pouze na to, co je nezbytně nutné k dosažení cílů těchto omezení.
5. Za účelem dodržení zásady odpovědnosti EASA vypracuje záznam, v němž popíše důvody uplatňovaných omezení, které důvody uvedené v odstavci 1 použila a výsledek posouzení jejich nezbytnosti a přiměřenosti. Tyto záznamy budou součástí rejstříku, který se na požádání zpřístupní EIOÚ. EASA pravidelně vypracuje zprávy o uplatňování článku 25 nařízení.
6. EASA při zpracovávání osobních údajů obdržených od jiných organizací v souvislosti se svými úkoly tyto organizace konzultuje ohledně možných důvodů pro uložení omezení a nezbytnosti a přiměřenosti dotčených omezení, pokud to neohrozí činnosti agentury EASA.
Článek 3
Rizika z hlediska práv a svobod subjektů údajů
1. Posouzení rizik uložení omezení pro práva a svobody subjektů údajů a podrobnosti o období platnosti těchto omezení se zaregistrují v záznamech o činnostech zpracování vedených agenturou EASA podle článku 31 nařízení. Budou rovněž zaznamenána ve všech posouzeních vlivu na ochranu údajů týkajících se těchto omezení, která jsou prováděna v souladu s článkem 39 nařízení.
2. Vždy, když EASA posuzuje nezbytnost a přiměřenost omezení, zváží možná rizika pro práva a svobody subjektu údajů.
Článek 4
Záruky a doby uchovávání
1. EASA zavede záruky proti zneužití osobních údajů, které podléhají nebo mohou podléhat omezením, nebo proti protiprávnímu přístupu k nim či jejich protiprávnímu předání. Tyto záruky zahrnují technická a organizační opatření a jsou v případě potřeby podrobně popsány v interních rozhodnutích, postupech a prováděcích pravidlech agentury EASA. Mezi tyto záruky patří:
|
(a) |
jasná definice úloh, povinností a procesních kroků; |
|
(b) |
v případě potřeby bezpečné elektronické prostředí, které brání protiprávnímu nebo náhodnému přístupu k elektronickým údajům nebo jejich předání neoprávněným osobám; |
|
(c) |
v případě potřeby bezpečné uložení a zpracování papírových dokumentů; |
|
(d) |
řádné sledování omezení a pravidelný přezkum jejich uplatňování. |
Přezkumy uvedené v písm. d) se provádějí alespoň jednou za šest měsíců.
2. Omezení se zruší, jakmile pominou okolnosti, které tato omezení odůvodňují.
3. Osobní údaje se uchovávají v souladu s platnými pravidly EASA pro uchovávání, přičemž tato pravidla budou určena v záznamech o ochraně údajů vedených podle článku 31 nařízení. Na konci doby uchovávání se osobní údaje smažou, anonymizují nebo uloží do archivu v souladu s článkem 13 nařízení.
Článek 5
Zapojení pověřence pro ochranu osobních údajů
1. Pověřenec pro ochranu osobních údajů je neprodleně informován o každém omezení práv subjektu údajů v souladu s tímto rozhodnutím. Je mu poskytnut přístup k souvisejícím záznamům a veškerým dokumentům týkajícím se skutkových nebo právních okolností.
2. Pověřenec pro ochranu osobních údajů může požádat o přezkum uplatňování daného omezení. EASA písemně informuje svého pověřence pro ochranu osobních údajů o výsledku požadovaného přezkumu.
3. EASA zdokumentuje zapojení pověřence pro ochranu osobních údajů do uplatňování omezení, včetně toho, jaké informace si s ním vyměnil.
Článek 6
Informování subjektů údajů o omezeních jejich práv
1. EASA začlení do oznámení o ochraně údajů zveřejněných na svých webových stránkách/intranetu oddíl s obecnými informacemi pro subjekty údajů o možném omezení práv subjektů údajů v souladu s čl. 2 odst. 1. Součástí informací je i to, která práva mohou být omezena, důvody, pro které se může omezení uložit, a případná délka trvání omezení.
2. EASA informuje subjekty údajů jednotlivě, písemně a bez zbytečného odkladu o stávajících a budoucích omezeních jejich práv. EASA informuje subjekt údajů o hlavních důvodech, na nichž je založeno uplatňování omezení, o jejich právu na konzultace s pověřencem pro ochranu osobních údajů s cílem napadnout toto omezení a o právu subjektu údajů podat stížnost u EIOÚ.
3. EASA může odložit, neprovést nebo odepřít poskytnutí informací o důvodech omezení a o právu na podání stížnosti u EIOÚ, pokud by to mařilo účinek omezení. Posouzení, zda by tento krok byl odůvodněný, se provádí individuálně. Jakmile by již nebyl mařen účinek omezení, poskytne EASA neprodleně subjektu údajů příslušné informace.
Článek 7
Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Pokud se na EASA vztahuje povinnost oznámit porušení zabezpečení podle čl. 35 odst. 1 nařízení, může za výjimečných okolností EASA toto oznámení částečně nebo zcela omezit. V poznámce zdokumentuje důvody omezení, jeho právní základ podle článku 2 a posouzení jeho nezbytnosti a přiměřenosti. Poznámka bude předána EIOÚ v okamžiku oznámení porušení zabezpečení osobních údajů.
2. Pokud důvody omezení již pominuly, oznámí EASA porušení zabezpečení osobních údajů dotčenému subjektu údajů a informuje ho o hlavních důvodech omezení a o jeho právu podat stížnost u EIOÚ.
Článek 8
Důvěrnost elektronických komunikací
1. Za výjimečných okolností může EASA omezit právo na důvěrnost elektronických komunikací podle článku 36 nařízení. Tato omezení musí být v souladu se směrnicí Evropského parlamentu a Rady 2002/58/ES (4).
2. Pokud EASA omezí právo na důvěrnost elektronických komunikací, informuje dotčený subjekt údajů ve své odpovědi na jakoukoliv žádost subjektu údajů o hlavních důvodech, na nichž se uplatňování omezení zakládá, a o právu subjektu údajů podat stížnost u EIOÚ.
3. EASA může odložit, neprovést nebo odepřít poskytnutí informací o důvodech omezení a o právu na podání stížnosti u EIOÚ, pokud by to mařilo účinek omezení. Posouzení, zda by tento krok byl odůvodněný, se provádí individuálně.
Článek 9
Vstup v platnost
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Ve Varšavě dne 21. října 2020.
Piotr SAMSON
předseda správní rady
(1) Úř. věst. L 295, 21.11.2018, s. 39.
(2) Úř. věst. L 212, 22.8.2018, s. 1.
(3) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(4) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).