1.   Toto rozhodnutí stanoví obecná pravidla týkající se podmínek, za nichž mohou správci údajů podle čl. 25 odst. 1 nařízení o ochraně fyzických osob případně omezit použití článků 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 a 36 tohoto nařízení i článku 4 nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22 uvedeného nařízení.

2.   Pro účely tohoto rozhodnutí se rozumí:

a)

„osobními údaji“ veškeré informace týkající se subjektu údajů, které jsou zpracovávány při výkonu činností nebo postupů, jež nespadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování Evropské unie, na rozdíl od operativních osobních údajů ve smyslu čl. 3 odst. 2 nařízení o ochraně fyzických osob;

b)	„správcem údajů“ subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů v rámci činností a postupů prováděných Výborem bez ohledu na to, zda byla odpovědnost za toto určení delegována.

3.   Toto rozhodnutí se použije na zpracování osobních údajů pro účely činností a postupů prováděných Výborem. Nepoužije se v případě, pokud právní akt přijatý na základě Smluv stanoví omezení práv subjektů údajů.

4.   Výbor je ve smyslu čl. 3 odst. 8 nařízení o ochraně fyzických osob správcem a může delegovat odpovědnost za určení účelů a prostředků zpracování osobních údajů.

5.   Pro účely veškerého zpracování, omezení a odkladu, neposkytnutí nebo odepření informací se odpovědný správce údajů určí v souladu s příslušnými interními rozhodnutími, postupy a prováděcími pravidly Výboru.

1.   Před uplatněním jakýchkoli omezení podle čl. 3 odst. 1 správci údajů zváží, zda se použije některá z výjimek nebo odchylek stanovených v nařízení, zejména podle čl. 15 odst. 4, čl. 16 odst. 5, čl. 19 odst. 3, čl. 25 odst. 3 a 4 a čl. 35 odst. 3 nařízení o ochraně fyzických osob.

2.   Na uplatňování odchylek se vztahují vhodné záruky v souladu s článkem 13 nařízení o ochraně fyzických osob a článkem 6 tohoto rozhodnutí.

1.   Správci údajů mohou případně omezit použití článků 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 a 36 nařízení o ochraně fyzických osob i článku 4 tohoto nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22 tohoto nařízení, pokud by měl výkon práv subjektů údajů nepříznivý dopad na účel nebo výsledek jedné či více činností nebo postupů prováděných Výborem. Jedná se zejména o tyto případy:

a)

podle čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení o ochraně fyzických osob, kdy orgán oprávněný ke jmenování a orgán oprávněný k uzavírání pracovních smluv ve Výboru (dále jen „orgán oprávněný ke jmenování“) vedou disciplinární řízení, správní šetření a vyšetřování týkající se záležitostí zaměstnanců v souladu s článkem 86 služebního řádu úředníků Evropské unie (dále jen „služební řád“), přílohou IX služebního řádu a články 50a a 119 pracovního řádu ostatních zaměstnanců Evropské unie (6) (dále jen „pracovní řád“) a vyšetřování v souvislosti se žádostmi o pomoc předloženými podle článku 24 služebního řádu a článků 11 a 81 pracovního řádu a vyšetřování týkající se případů obvinění z obtěžování ve smyslu článku 12a služebního řádu;

b)	podle čl. 25 odst. 1 písm. b), c), f) a h) nařízení o ochraně fyzických osob, kdy orgán oprávněný ke jmenování přezkoumává žádosti a stížnosti podané úředníky a ostatními zaměstnanci Výboru (dále jen „zaměstnanci“) v souladu s článkem 90 služebního řádu a články 46 a 117 pracovního řádu;

c)	podle čl. 25 odst. 1 písm. c) a h) nařízení o ochraně fyzických osob, kdy orgán oprávněný ke jmenování provádí zaměstnaneckou politiku Výboru prostřednictvím výběrových řízení (náboru) a postupů hodnocení a povyšování;

d)

podle čl. 25 odst. 1 písm. c), f), g) a h) nařízení o ochraně fyzických osob, kdy schvalující osoba Výboru (dále jen „schvalující osoba“) plní oddíl Výboru souhrnného rozpočtu Evropské unie prostřednictvím udělovacích řízení v souladu s finančními pravidly pro souhrnný rozpočet Unie (7) (dále jen „finanční nařízení“);

e)

podle čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení o fyzické ochraně osob, kdy schvalující osoba provádí monitorování a šetření týkající se legality finančních transakcí prováděných Výborem a v rámci Výboru, finančních nároků (8) členů a náhradníků Výboru (dále jen „členů Výboru“) a financování činností a akcí organizovaných nebo spolupořádaných Výborem a řeší finanční nesrovnalosti ze strany některého zaměstnance v souladu s článkem 93 finančního nařízení;

f)

podle čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení o fyzické ochraně osob, kdy Výbor poskytuje informace a dokumenty Evropskému úřadu pro boj proti podvodům (dále jen „OLAF“), a to buď na žádost OLAF, nebo z vlastního podnětu, oznamuje případy tomuto úřadu nebo zpracovává informace a dokumenty, jež mu OLAF poskytl; (9)

g)	podle čl. 25 odst. 1 písm. c), g) a h) nařízení o fyzické ochraně osob, kdy Výbor provádí interní audity pro účely článků 118 a 119 finančního nařízení a v souvislosti s činnostmi a postupy svých útvarů;

h)

podle čl. 25 odst. 1 písm. c), d) a h) nařízení o fyzické ochraně osob, kdy Výbor provádí interní hodnocení rizik, kontroly vstupu včetně ověření spolehlivosti, preventivní opatření a vyšetřování bezpečnostních incidentů, včetně incidentů týkajících se členů nebo zaměstnanců Výboru i incidentů týkajících se infrastruktury a informačních a komunikačních technologií Výboru, a bezpečnostní šetření a pomocná vyšetřování týkající se i sítí elektronických komunikací, ať už z vlastního podnětu nebo na žádost třetích stran;

i)

podle čl. 25 odst. 1 písm. c), d) a h) nařízení o fyzické ochraně osob, kdy pověřenec pro ochranu osobních údajů provádí z vlastního podnětu nebo na žádost třetích stran vyšetřování záležitostí a skutečností přímo souvisejících s jeho úkoly, o nichž se dozvěděl, a to v souladu s čl. 45 odst. 2 nařízení o ochraně osobních údajů;

j)

podle čl. 25 odst. 1 písm. h) nařízení o fyzické ochraně osob, kdy správci údajů zpracovávají osobní údaje získané v souvislosti s tím, že některý zaměstnanec poskytne v dobré víře faktické informace svědčící o možné protiprávní činnosti, včetně podvodů a korupce, které poškozují zájmy Unie („závažné nesrovnalosti“), nebo o jednání týkajícím se výkonu pracovních povinností, které může představovat vážné porušení povinností zaměstnanců („závažné pochybení“);

k)	podle čl. 25 odst. 1 písm. h) nařízení o fyzické ochraně osob, kdy správci údajů zpracovávají osobní údaje, jež získali v případech údajného obtěžování důvěrní poradci v rámci neformálního řízení;

l)

podle čl. 25 odst. 1 písm. h) nařízení o fyzické ochraně osob, kdy správci údajů zpracovávají osobní údaje o zdravotním stavu (dále jen „lékařské údaje“) člena nebo zaměstnance Výboru, včetně údajů psychologické nebo psychiatrické povahy, které jsou obsaženy ve zdravotnické dokumentaci, již Výbor o dotčeném subjektu údajů vede;

m)	podle čl. 25 odst. 1 písm. e) nařízení o fyzické ochraně osob, kdy správci údajů zpracovávají osobní údaje v dokumentech získaných stranami sporu nebo vedlejšími účastníky v souvislosti s řízením u Soudního dvora Evropské Unie (dále jen „Soudní dvůr“);

n)

podle čl. 25 odst. 1 písm. b), c), d), g) a h) nařízení o fyzické ochraně osob, kdy Výbor poskytuje pomoc jiným orgánům, institucím a jiným subjektům Unie nebo ji od nich přijímá a spolupracuje s nimi v rámci činností nebo postupů uvedených v odstavci 1 písm. (a) až (m) v souladu s příslušnými dohodami o úrovni služeb, memorandy o porozumění a dohodami o spolupráci;

o)	podle čl. 25 odst. 1 písm. b), c), g) a h) nařízení o fyzické ochraně osob, kdy Výbor poskytuje pomoc orgánům členských států nebo třetích zemí nebo mezinárodním organizacím či ji od nich přijímá a spolupracuje s těmito orgány a organizacemi na jejich žádost nebo z vlastního podnětu;

p)	podle čl. 25 odst. 1 písm. a), b), e) a f) nařízení o fyzické ochraně osob, kdy Výbor poskytuje orgánům členských států nebo orgánům třetích zemí či mezinárodním organizacím informace a dokumenty, které požadují v rámci vyšetřování.

2.   Omezení uvedená v odstavci 1 se mohou týkat jak objektivních („tvrdých údajů“), tak subjektivních („měkkých údajů“) osobních údajů, a zejména, nikoli však výlučně, jedné nebo více z těchto kategorií:

a)	údaje o totožnosti;

b)	kontaktní údaje;

c)	profesní údaje; (10)

d)	finanční údaje;

e)	údaje o dohledu; (11)

f)	provozní údaje; (12)

g)	lékařské údaje; (13)

h)	genetické údaje; (13)

i)	biometrické údaje; (13)

j)	údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby; (13)

k)	údaje, které vypovídají o rasovém nebo etnickém původu, náboženském nebo filozofickém přesvědčení, politických názorech či příslušnosti nebo členství v odborových organizacích; (13)

l)	údaje, které vypovídají o pracovních výsledcích nebo chování fyzických osob účastnících se výběrových řízení (náboru) a postupů hodnocení nebo povyšování; (14)

m)	údaje o přítomnosti fyzických osob;

n)	údaje o vnějších činnostech fyzických osob;

o)	údaje týkající se podezření ze spáchání trestného činu, trestných činů, rozsudků v trestních věcech nebo bezpečnostních opatření;

p)	elektronické komunikace;

q)	veškeré další údaje týkající se předmětu příslušné činnosti nebo postupu, v jehož rámci je nutné tyto údaje zpracovat.

3.   Všechna omezení dodržují podstatu základních práv a svobod, jsou nezbytná a přiměřená v demokratické společnosti a omezují se na to, co je nezbytně nutné k dosažení jejich cíle.

4.   Všechna omezení vztahující se na uplatňování článku 36 nařízení o ochraně fyzických osob (Důvěrnost elektronických komunikací), ať již úplná nebo částečná, podle odstavce 1 musí být v souladu s platnými právními předpisy Unie týkajícími se soukromí elektronických komunikací. (15)

5.   Správci údajů pravidelně přezkoumávají uplatňování omezení uvedených v odstavci 1, a to nejméně každých šest měsíců od jejich přijetí, ale také tehdy, pokud se změní podstatné a rozhodující prvky v daném případu a při provedení nebo ukončení činnosti či postupu, které k omezení vedly. Následně správci údajů jednou ročně ověří, zda je nutné dané omezení nadále uplatňovat.

6.   Omezení uvedená v odstavci 1 platí, dokud nepominou důvody, které jejich platnost odůvodňují. Pokud důvody pro omezení uvedené v odstavci 1 pominou, správci údajů toto omezení zruší.

7.   Správci údajů při zpracovávání osobních údajů obdržených od třetích stran v souvislosti s úkoly Výboru tyto třetí strany konzultují ohledně možných důvodů pro uložení omezení a nezbytnosti a přiměřenosti dotčených omezení, pokud to nebude mít nepříznivý dopad na činnost nebo postupy Výboru.

1.   Správci údajů před uplatněním veškerých omezení posoudí případ od případu, zda jsou zvažovaná omezení nezbytná a přiměřená.

2.   Vždy, když správci údajů posuzují nezbytnost a přiměřenost omezení, zváží možná rizika pro práva a svobody subjektu údajů.

3.   Posouzení rizik pro práva a svobody subjektů údajů, která vyplývají z uložení omezení, a zejména riziko, že jejich osobní údaje mohou být dále zpracovávány bez jejich vědomí a že by jim mohlo být bráněno ve výkonu jejich práv v souladu s nařízením, a rovněž podrobnosti o období uplatňování těchto omezení, se zaregistrují v záznamu o činnostech zpracování vedeném správci údajů podle čl. 31 odst. 1 nařízení o ochraně fyzických osob. Budou rovněž zaznamenána ve všech posouzeních vlivu na ochranu údajů týkajících se těchto omezení, která jsou prováděna v souladu s článkem 39 nařízení o ochraně fyzických osob.

1.   Kdykoliv správci údajů uplatňují omezení, zaznamenávají:

a)	důvody pro uplatnění omezení;

b)	příčiny, na jejichž základě se omezení uplatňují;

c)	nepříznivý dopad, který by měl výkon práv subjektů údajů na účel nebo výsledek jedné nebo více činností či postupů prováděných Výborem;

d)	výsledek posouzení uvedeného v čl. 4 odst. 1.

2.   Záznamy uvedené v odstavci 1 jsou podle čl. 31 odst. 5 nařízení o ochraně fyzických osob uchovávány v centrálním rejstříku a jsou na požádání zpřístupněny evropskému inspektorovi ochrany údajů.

3.   Pokud správci údajů omezí uplatňování článku 35 nařízení o ochraně fyzických osob (Oznamování případů porušení zabezpečení osobních údajů subjektu údajů), záznam, na nějž odkazuje odstavec 1, bude uveden v oznámení evropskému inspektorovi ochrany údajů podle čl. 34 odst. 1 nařízení o ochraně osobních údajů.

1.   Správci údajů zavedou záruky proti zneužití osobních údajů, které mohou podléhat omezením podle čl. 3 odst. 1, nebo proti protiprávnímu přístupu k nim či jejich protiprávnímu předání. Tyto záruky zahrnují příslušná technická a organizační opatření a jsou v případě potřeby upřesněna v příslušných interních rozhodnutích, postupech a prováděcích pravidlech Výboru.

2.   Záruky uvedené v odstavci 1 zahrnují:

a)	jasně definované úlohy, povinnosti a procesní kroky;

b)	případně zabezpečené elektronické prostředí, které zabrání neoprávněným osobám v protiprávním nebo náhodném přístupu k elektronickým údajům nebo protiprávnímu či náhodnému předání těchto údajů neoprávněným osobám;

c)	případně zabezpečené uložení a zpracování dokumentů v tištěné podobě;

d)	řádné sledování omezení a pravidelný přezkum jejich uplatňování.

3.   Osobní údaje se uchovávají v souladu s platnými pravidly Výboru pro uchovávání údajů (16), která budou stanovena v záznamech vedených správci údajů podle čl. 31 odst. 1 nařízení o ochraně fyzických osob. Na konci doby uchovávání se osobní údaje podle potřeby vymažou, anonymizují tak, že dotčený subjekt údajů není nebo již přestal být identifikovatelným, nebo se v souladu s článkem 13 nařízení o ochraně osobních údajů převedou do archivů Výboru.

1.   Oznámení o ochraně údajů zveřejněná na veřejných internetových stránkách Výboru a na jeho intranetu obsahují oddíl, v němž jsou subjektům údajů poskytovány obecné informace o možném omezení jejich práv v rámci činností a postupů Výboru, které se týkají zpracování jejich osobních údajů. V tomto oddílu se stanoví práva, která mohou být omezena, důvody, na jejichž základě mohou být omezení uplatňována, možná doba trvání těchto omezení a správní a právní opravné prostředky, které mají subjekty údajů k dispozici.

2.   Pokud správci údajů uplatňují omezení, bez zbytečného prodlení a vhodnou formou přímo informují jednotlivé příslušné subjekty údajů o:

a)	veškerých stávajících nebo připravovaných omezeních jejich práv;

b)	hlavních důvodech, na nichž se omezení zakládá;

c)	jejich právu konzultovat pověřence pro ochranu osobních údajů s cílem napadnout toto omezení;

d)	jejich právu podat stížnost evropskému inspektorovi ochrany údajů;

e)	jejich právu požádat o soudní ochranu Soudní dvůr.

3.   Pokud správci údajů ve výjimečných případech omezí uplatňování článku 35 nařízení o ochraně fyzických osob (Oznamování případů porušení zabezpečení osobních údajů subjektu údajů), bez ohledu na odstavec 2 oznámí porušení bezpečnosti osobních údajů dotčenému subjektu údajů a poskytnou informace uvedené v odst. 2 písm. (b), (d) a (e), jakmile pominou důvody pro omezení tohoto oznámení.

4.   Pokud správci údajů ve výjimečných případech omezí použití článku 36 nařízení o ochraně fyzických osob (Důvěrnost elektronických komunikací), bez ohledu na odstavec 2 poskytnou na případnou žádost dotčeného subjektu údajů ve své odpovědi informace uvedené v odstavci 2.

5.   Správci údajů mohou odložit, neposkytnout nebo odepřít poskytnutí informací uvedených v odstavci 2 („odklad, neposkytnutí nebo odepření informací“), pokud by to mařilo účinek omezení. Dotčenému subjektu údajů poskytnou informace uvedené v odstavci 2, pokud by to již nevedlo k tomu, že by omezení bylo neúčinné.

6.   Články 4 a 5 se použijí obdobně na jakýkoli případ odkladu, neposkytnutí nebo odepření informací.

1.   Správci údajů bez zbytečného odkladu písemně informují pověřence pro ochranu osobních údajů, kdykoli omezí práva subjektu údajů podle čl. 3 odst. 1, provádějí pravidelné přezkumy uvedené v čl. 3 odst. 5, zruší omezení stanovená v čl. 3 odst. 6, odloží, neposkytnou nebo odepřou poskytnutí informací uvedených v čl. 7 odst. 2 podle čl. 7 odst. 5. Pověřenec pro ochranu osobních údajů má na požádání přístup k souvisejícím záznamům a veškerým dokumentům obsahující příslušné věcné a právní prvky.

2.   Pověřenec pro ochranu údajů může požadovat, aby správci údajů přezkoumali veškerá stávající omezení i odklady, neposkytnutí nebo odepření informací a jejich uplatňování. Pověřenec pro ochranu osobních údajů je o výsledku požadovaného přezkumu písemně informován.

3.   Činnost pověřence pro ochranu osobních údajů stanovenou v odstavcích 1 a 2 v souvislosti s uplatňováním omezení a odkladů, neposkytnutí nebo odepření informací správci údajů řádně zdokumentují, což platí i pro informace sdílené s pověřencem pro ochranu osobních údajů.

4.   Pověřenec pro ochranu osobních údajů na požádání poskytne správcům údajů své stanovisko týkající se stanovení jejich povinností v rámci ujednání o společné správě podle čl. 28 odst. 1 nařízení o ochraně fyzických osob.

1.   Generální tajemník může podle potřeby vydat v souladu s tímto rozhodnutím pokyny nebo přijmout prováděcí opatření za účelem dalšího nezbytného upřesnění a provedení ustanovení tohoto rozhodnutí.

2.   Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.