Úřední věstník
Evropské unie
CS
Série L
|
|
Úřední věstník |
CS Série L |
|
2023/2189 |
16.10.2023 |
SPRÁVNÍ RADA SPOLEČNÉHO PODNIKU EDCTP3 V OBLASTI GLOBÁLNÍHO ZDRAVÍ ROZHODNUTÍ č. GB/18/2023,
kterým se stanoví vnitřní předpisy týkající se omezení některých práv subjektů údajů, pokud jde o zpracování osobních údajů v rámci fungování společného podniku EDCTP3 v oblasti globálního zdraví [2023/2189]
SPRÁVNÍ RADA SPOLEČNÉHO PODNIKU EDCTP3 V OBLASTI GLOBÁLNÍHO ZDRAVÍ,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (dále jen „nařízení (EU) 2018/1725“) (1), a zejména na článek 25 tohoto nařízení,
s ohledem na nařízení Rady (EU) 2021/2085 ze dne 19. listopadu 2021, kterým se zřizují společné podniky v rámci programu Horizont Evropa a zrušují nařízení (ES) č. 219/2007, (EU) č. 557/2014, (EU) č. 558/2014, (EU) č. 559/2014, (EU) č. 560/2014, (EU) č. 561/2014 a (EU) č. 642/2014 (2) (dále jen „jednotný základní akt“),
s ohledem na pokyny evropského inspektora ochrany údajů (dále jen „EIOÚ“) k článku 25 nařízení (EU) 2018/1725 a vnitřním předpisům ze dne 24. června 2020 (3),
v návaznosti na konzultaci s EIOÚ ze dne 12. června 2023 v souladu s čl. 41 odst. 2 nařízení (EU) 2018/1725,
s ohledem na doporučení EIOÚ ze dne 19. června 2023,
poté, co informovala zaměstnance společného podniku EDCTP3 v oblasti globálního zdraví,
vzhledem k těmto důvodům:
|
1) |
Omezení práv subjektů údajů smí stanovit pouze právní akty přijaté na základě Smluv. Pokud se tato omezení nemohou zakládat na právních aktech přijatých na základě Smluv, nařízení (EU) 2018/1725 stanoví, že v záležitostech týkajících se činnosti společného podniku EDCTP3 v oblasti globálního zdraví mohou omezení stanovit vnitřní předpisy, a to včetně ustanovení týkajících se posouzení nezbytnosti a přiměřenosti takových omezení. |
|
2) |
V souladu s čl. 25 odst. 1 nařízení (EU) 2018/1725 by omezení použití článků 14 až 22, 35 a 36, jakož i článku 4 uvedeného nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20, měla vycházet z vnitřních předpisů, které přijme společný podnik EDCTP3 v oblasti globálního zdraví. |
|
3) |
V rámci svého správního fungování může společný podnik EDCTP3 v oblasti globálního zdraví vést správní šetření, předběžná disciplinární řízení, disciplinární řízení a řízení o dočasném zproštění výkonu služby, vykonávat předběžné činnosti související s případy možných nesrovnalostí oznámených úřadu OLAF, zpracovávat případy whistleblowingu, zpracovávat (formální a neformální) případy obtěžování, vyřizovat interní a externí stížnosti, provádět interní a externí audity, provádět šetření ze strany pověřence pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725 a šetření (IT) bezpečnosti vyřizovaná interně nebo se zapojením externích subjektů (např. CERT-EU). |
|
4) |
Společný podnik EDCTP3 v oblasti globálního zdraví může rovněž provádět šetření možného porušení bezpečnostních pravidel pro utajované informace Evropské unie na základě rozhodnutí, které má v úmyslu přijmout, pokud jde o jeho bezpečnostní pravidla na ochranu utajovaných informací EU. |
|
5) |
V souvislosti s těmito správními šetřeními, audity a vyšetřováními společný podnik EDCTP3 v oblasti globálního zdraví spolupracuje s dalšími orgány, institucemi a jinými subjekty Unie. |
|
6) |
Společný podnik EDCTP3 v oblasti globálního zdraví může spolupracovat s vnitrostátními orgány třetích zemí a mezinárodními organizacemi, a to buď na jejich žádost, nebo z vlastního podnětu. |
|
7) |
Společný podnik EDCTP3 v oblasti globálního zdraví také může spolupracovat s orgány veřejné moci členských států EU, a to buď na jejich žádost, nebo z vlastního podnětu. |
|
8) |
Společný podnik EDCTP3 v oblasti globálního zdraví se zapojuje do věcí projednávaných Soudním dvorem Evropské unie a v takových případech může buď věc postoupit Soudnímu dvoru, hájit rozhodnutí, které přijal a které bylo u Soudního dvora napadeno, nebo zasahovat ve věcech, které se týkají jeho úkolů. V této souvislosti může nastat situace, kdy bude společný podnik EDCTP3 v oblasti globálního zdraví povinen chránit důvěrnost osobních údajů obsažených v dokumentech získaných stranami sporu nebo vedlejšími účastníky. |
|
9) |
V rámci plnění svých úkolů společný podnik EDCTP3 v oblasti globálního zdraví shromažďuje a zpracovává několik kategorií osobních údajů, jako jsou například údaje o totožnosti, kontaktní údaje, profesní údaje, administrativní údaje, údaje získané ze zvláštních zdrojů, elektronické komunikace a údaje o datovém provozu a údaje týkající se konkrétních případů, např. odůvodnění, údaje o chování, hodnocení, údaje o výkonnosti a jednání a údaje související s předmětem řízení nebo činnosti nebo předložené v souvislosti nimi (4). |
|
10) |
Společný podnik EDCTP3 v oblasti globálního zdraví zastupovaný svým výkonným ředitelem vystupuje jako správce údajů. |
|
11) |
Osobní údaje jsou bezpečně uloženy v elektronickém prostředí nebo v papírové podobě, která brání protiprávnímu přístupu nebo předání údajů osobám, které nemají žádné zákonné právo na přístup k těmto osobním údajům. Zpracovávané osobní údaje jsou uchovávány jen po nezbytnou dobu a k účelům, pro které se zpracovávají během období uvedeného v oznámeních o ochraně údajů, prohlášeních o ochraně soukromí nebo v záznamech společného podniku EDCTP3 v oblasti globálního zdraví. |
|
12) |
Podle nařízení (EU) 2018/1725 je proto společný podnik EDCTP3 v oblasti globálního zdraví povinen poskytovat subjektům údajů informace o těchto činnostech zpracování a dodržovat jejich práva jakožto subjektů údajů. |
|
13) |
Společný podnik EDCTP3 v oblasti globálního zdraví může být povinen hledat rovnováhu mezi těmito právy a cíli správních šetření, auditů, vyšetřování a soudních řízení. Rovněž může být povinen najít rovnováhu mezi právy subjektu údajů a základními právy a svobodami jiných subjektů údajů. Za tímto účelem umožňuje článek 25 nařízení (EU) 2018/1725 společnému podniku EDCTP3 v oblasti globálního zdraví omezit za přísných podmínek použití článků 14 až 22, 35 a 36 nařízení (EU) 2018/1725, jakož i článku 4 v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20. |
|
14) |
Tyto vnitřní předpisy by měly platit pro tyto příslušné operace zpracování prováděné před zahájením výše uvedených řízení, během těchto řízení a během sledování návazného postupu v reakci na výstupy těchto řízení a po celou dobu, po kterou omezení nadále platí. Měly by se rovněž vztahovat na jakoukoli pomoc a spolupráci, kterou společný podnik EDCTP3 v oblasti globálního zdraví poskytuje vnitrostátním orgánům a mezinárodním organizacím nad rámec svých správních šetření. |
|
15) |
V případech, kdy se použijí tyto vnitřní předpisy, je společný podnik EDCTP3 v oblasti globálního zdraví povinen uvést odůvodnění vysvětlující, proč jsou daná omezení v demokratické společnosti naprosto nezbytná a přiměřená, a respektovat podstatu základních práv a svobod. |
|
16) |
V této souvislosti je společný podnik EDCTP3 v oblasti globálního zdraví během výše uvedených řízení povinen v plném souladu s příslušnými právními předpisy a pokyny dodržovat základní práva subjektů údajů, zejména ta, která se týkají práva na poskytování informací, práva na přístup k údajům a jejich opravu, práva na výmaz, omezení zpracování, práva na oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo na důvěrnost komunikace, jak je zakotveno v nařízení (EU) 2018/1725. |
|
17) |
Je však možné, že společný podnik EDCTP3 v oblasti globálního zdraví bude povinen omezit informace poskytované subjektům údajů a jiná práva subjektů údajů, a to zejména s cílem chránit svá vlastní šetření, šetření a řízení jiných veřejných orgánů, jakož i práva jiných osob v souvislosti se svými šetřeními či jinými řízeními. |
|
18) |
Pokud bude společný podnik EDCTP3 v oblasti globálního zdraví zvažovat použití omezení, zváží riziko pro práva a svobody subjektu údajů především ve srovnání s rizikem hrozícím právům a svobodám jiných subjektů údajů a s rizikem maření účinku šetření nebo řízení vedených společným podnikem EDCTP3 v oblasti globálního zdraví, například formou likvidace důkazů. Rizika pro práva a svobody subjektu údajů se týkají především, ale nikoliv výlučně, rizik ohrožení dobrého jména a rizik spojených s právem na obhajobu a právem být vyslechnut. |
|
19) |
Společný podnik EDCTP3 v oblasti globálního zdraví tedy může omezit informace pro účely ochrany šetření a základních práv a svobod jiných subjektů údajů. |
|
20) |
V zájmu nejvyšší možné ochrany práv a svobod subjektů údajů a v souladu s čl. 44 odst. 1 nařízení (EU) 2018/1725 by měl být pověřenec pro ochranu osobních údajů včas konzultován ohledně veškerých omezení, která mohou být použita, a ohledně ověření jejich souladu s tímto rozhodnutím. |
|
21) |
Společný podnik EDCTP3 v oblasti globálního zdraví by měl pravidelně sledovat, zda platí podmínky odůvodňující dané omezení, a omezení zrušit, pokud podmínky nadále neplatí. |
|
22) |
Správce by měl informovat pověřence pro ochranu osobních údajů v okamžiku odkladu a během přezkumů. |
|
23) |
Toto rozhodnutí se přijme písemným postupem v souladu s článkem 10 jednacího řádu správní rady společného podniku EDCTP3 v oblasti globálního zdraví, |
ROZHODLA TAKTO:
Článek 1
Předmět a oblast působnosti
1. Tímto rozhodnutím se stanoví předpisy týkající se podmínek, za nichž může společný podnik EDCTP3 v oblasti globálního zdraví v rámci svých řízení uvedených v článku 3 tohoto rozhodnutí omezit uplatňování článků 14 až 22, 35 a 36 nařízení (EU) 2018/1725, jakož i článku 4 uvedeného nařízení, a to v souladu s článkem 25 nařízení (EU) 2018/1725.
2. Mezi kategorie údajů relevantní pro tato řízení patří údaje o totožnosti, kontaktní údaje, profesní údaje, administrativní údaje, údaje získané ze zvláštních zdrojů, elektronické komunikace a údaje o datovém provozu a údaje týkající se konkrétních případů, např. odůvodnění, údaje o chování, hodnocení, údaje o výkonnosti a jednání a údaje související nebo předložené v souvislosti s předmětem řízení nebo činnosti.
3. V případech, kdy společný podnik EDCTP3 v oblasti globálního zdraví vykonává své povinnosti s ohledem na práva subjektu údajů podle nařízení (EU) 2018/1725, zváží, zda neplatí kterákoli z výjimek uvedených v uvedeném nařízení.
Článek 2
Specifikace správce
Správcem operací zpracování je společný podnik EDCTP3 v oblasti globálního zdraví zastupovaný svým výkonným ředitelem.
Článek 3
Omezení
1. Společný podnik EDCTP3 v oblasti globálního zdraví může omezit použití článků 14 až 22, 35 a 36 nařízení (EU) 2018/1725 i článku 4 uvedeného nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 20:
|
a) |
v souladu s čl. 25 odst. 1 písm. b), c), f), g) a h) nařízení (EU) 2018/1725 při provádění správních šetření, předběžných disciplinárních řízení, disciplinárních řízení nebo řízení o dočasném zproštění výkonu služby podle článku 86 a přílohy IX služebního řádu a rozhodnutí správní rady společného podniku EDCTP3 v oblasti globálního zdraví č. 17/2023 a při oznamování případů úřadu OLAF; |
|
b) |
v souladu s čl. 25 odst. 1 písm. h) nařízení (EU) 2018/1725 při zajišťování toho, aby mohli zaměstnanci společného podniku EDCTP3 v oblasti globálního zdraví důvěrně oznamovat skutečnosti, pokud jsou přesvědčeni, že došlo k závažným nesrovnalostem, jak je stanoveno v rozhodnutí správní rady společného podniku EDCTP3 v oblasti globálního zdraví č. 12/2023 o vnitřních předpisech týkajících se oznamování (whistleblowingu); |
|
c) |
v souladu s čl. 25 odst. 1 písm. h) nařízení (EU) 2018/1725 při zajišťování toho, aby se zaměstnanci společného podniku EDCTP3 v oblasti globálního zdraví mohli obracet na důvěrné poradce v souvislosti s řízením v případě obtěžování, jak je vymezeno v rozhodnutí správní rady společného podniku EDCTP3 v oblasti veřejného zdraví č. 13/2023; |
|
d) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení (EU) 2018/1725 při provádění interních a externích auditů týkajících se činností nebo útvarů společného podniku EDCTP3 v oblasti globálního zdraví; |
|
e) |
v souladu s čl. 25 odst. 1 písm. c), d), g) a h) nařízení (EU) 2018/1725 při poskytování pomoci jinému orgánu, instituci či jinému subjektu Unie nebo přijímání pomoci od nich nebo spolupráci s nimi v souvislosti s činnostmi spadajícími do působnosti písmen a) až d) tohoto odstavce a v souladu s příslušnými dohodami o poskytování služeb, memorandy o porozumění a dohodami o spolupráci; |
|
f) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení (EU) 2018/1725 při poskytování pomoci vnitrostátním orgánům třetích zemí nebo mezinárodním organizacím nebo přijímání pomoci od nich nebo spolupráci s nimi, ať už na jejich žádost, nebo z vlastního podnětu; |
|
g) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení (EU) 2018/1725 při poskytování pomoci orgánům veřejné moci členských států EU nebo přijímání pomoci od nich nebo spolupráci s nimi, ať už na jejich žádost, nebo z vlastního podnětu; |
|
h) |
v souladu s čl. 25 odst. 1 písm. e) nařízení (EU) 2018/1725 při zpracovávání osobních údajů v dokumentech obdržených účastníky nebo vedlejšími účastníky řízení u Soudního dvora Evropské unie; |
|
i) |
v souladu s čl. 25 odst. 1 písm. c) a h) nařízení (EU) 2018/1725 při zpracovávání osobních údajů během šetření prováděných pověřencem pro ochranu osobních údajů podle čl. 45 odst. 2 nařízení (EU) 2018/1725; |
|
j) |
v souladu s čl. 25 odst. 1 písm. c), d), g) a h) nařízení (EU) 2018/1725 při zpracovávání osobních údajů během šetření (IT) bezpečnosti vyřizovaných interně nebo se zapojením externích subjektů (např. CERT-EU); |
|
k) |
v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení (EU) 2018/1725 při zpracovávání osobních údajů v rámci řízení grantů nebo zadávání veřejných zakázek po uplynutí lhůty pro předkládání návrhů nebo nabídek. |
2. V rámci zvláštního uplatnění omezení uvedených v odstavci 1 výše je společný podnik EDCTP3 v oblasti veřejného zdraví oprávněn uplatnit omezení za těchto okolností:
|
a) |
v souvislosti s osobními údaji, které byly vyměněny s útvary Komise nebo s jinými orgány, institucemi a subjekty Unie;
|
|
b) |
v souvislosti s osobními údaji, které byly vyměněny s příslušnými orgány členských států;
|
|
c) |
v souvislosti s osobními údaji, které si vymění s třetími zeměmi nebo mezinárodními organizacemi, pokud existují jasné důkazy o tom, že výkon těchto práv a povinností pravděpodobně ohrozí spolupráci společného podniku EDCTP3 v oblasti globálního zdraví s třetími zeměmi nebo mezinárodními organizacemi při plnění jeho úkolů. |
Před uplatněním omezení za okolností uvedených v písmenech a) a b) prvního pododstavce se společný podnik EDCTP3 v oblasti globálního zdraví obrátí na příslušné útvary Komise, orgány, instituce a jiné subjekty Unie nebo příslušné orgány členských států, pokud nebude společnému podniku EDCTP3 v oblasti globálního zdraví zřejmé, že uplatnění daného omezení je stanoveno jedním z aktů uvedených v těchto písmenech.
3. Pokud společný podnik EDCTP3 v oblasti globálního zdraví zcela nebo částečně omezí uplatňování práv uvedených v odstavcích 1 a 2, podnikne kroky stanovené v článcích 5 a 6 tohoto rozhodnutí.
4. Pokud subjekty údajů požádají o přístup ke svým osobním údajům zpracovávaným v souvislosti s jedním nebo více konkrétními případy nebo ke konkrétní operaci zpracování v souladu s článkem 17 nařízení (EU) 2018/1725, omezí se společný podnik EDCTP3 v oblasti globálního zdraví v rámci posuzování této žádosti jen na tyto osobní údaje.
Článek 4
Specifikace záruk
1. Společný podnik EDCTP3 v oblasti globálního zdraví zavede záruky proti zneužití osobních údajů, které podléhají nebo mohou podléhat omezením, nebo proti protiprávnímu přístupu k nim či jejich protiprávnímu předání. Tyto záruky zahrnují technická a organizační opatření a jsou v případě potřeby podrobně popsány v interních rozhodnutích, postupech a prováděcích pravidlech společného podniku EDCTP3 v oblasti globálního zdraví. Mezi tyto záruky patří:
|
a) |
jasná definice úloh, povinností a procesních kroků; |
|
b) |
papírové dokumenty se uchovávají v zabezpečených skříních a přístup k nim mají pouze oprávnění zaměstnanci; |
|
c) |
veškeré údaje v elektronické podobě se uchovávají v zabezpečené IT aplikaci podle bezpečnostních norem společného podniku EDCTP3 v oblasti globálního zdraví a ve zvláštních elektronických adresářích, k nimž mají přístup pouze oprávnění zaměstnanci. Vhodné úrovně přístupu se udělují individuálně; |
|
d) |
všechny osoby, které mají přístup k údajům, jsou vázány povinností zachovávat důvěrnost; |
|
e) |
řádné sledování omezení a pravidelný přezkum jejich uplatňování. |
2. V souladu s čl. 5 odst. 3 tohoto rozhodnutí by měly být záruky uvedené v odstavci 1 pravidelně přezkoumávány.
3. Osobní údaje se uchovávají v souladu s platnými pravidly společného podniku EDCTP3 v oblasti globálního zdraví pro uchovávání, přičemž tato pravidla budou určena v záznamech o ochraně údajů vedených podle článku 31 nařízení (EU) 2018/1725. Doba uchovávání nesmí být v žádném případě delší, než je nezbytné a přiměřené účelům, pro které jsou údaje zpracovávány.
Článek 5
Nezbytnost a přiměřenost omezení
1. Všechna omezení na základě článku 3 tohoto rozhodnutí musí být nezbytná a přiměřená vzhledem k rizikům pro práva a svobody subjektů údajů a musí respektovat podstatu základních práv a svobod v demokratické společnosti.
2. Zvažuje-li se použití omezení, provede se na základě těchto pravidel test nezbytnosti a přiměřenosti. Tento test se provádí i v rámci pravidelného přezkumu v návaznosti na posouzení toho, zda nadále přetrvávají skutkové a právní důvody omezení. Test se v každém jednotlivém případě zdokumentuje prostřednictvím oznámení o interním posuzování za účelem vyvození odpovědnosti.
Společný podnik EDCTP3 v oblasti globálního zdraví vypracuje pravidelné zprávy o uplatňování článku 25 nařízení (EU) 2018/1725.
3. Omezení musí být dočasná. Zůstanou v platnosti, dokud budou existovat důvody, které je opodstatňují, zejména pak v případě, kdy se má za to, že uplatňování omezeného práva by již nemařilo účinek uloženého omezení nebo by nepříznivě ovlivňovalo práva nebo svobody jiných subjektů údajů.
Společný podnik EDCTP3 v oblasti globálního zdraví přezkoumá použití omezení každých šest měsíců ode dne jejich přijetí a při uzavření příslušného šetření, řízení nebo vyšetřování. Následně správce každých šest měsíců kontroluje, zda je třeba omezení nadále uplatňovat.
4. Pokud společný podnik EDCTP3 v oblasti globálního zdraví zcela nebo zčásti uplatní omezení na základě článku 3 tohoto rozhodnutí, zaznamená důvody tohoto omezení a právní základ(y) v souladu s článkem 3 tohoto rozhodnutí, včetně posouzení nezbytnosti a přiměřenosti omezení.
Tento záznam a v případě potřeby dokumenty obsahující skutkové a právní prvky, z nichž omezení vycházejí, se zaevidují. Na požádání se zpřístupní evropskému inspektoru ochrany údajů.
Článek 6
Povinnost informovat
1. Společný podnik EDCTP3 v oblasti globálního zdraví v oznámeních o ochraně údajů, prohlášeních o ochraně soukromí nebo v záznamech ve smyslu článku 31 nařízení (EU) 2018/1725 zveřejněných na jeho internetových stránkách a/nebo na intranetu, kde informuje subjekty údajů o jejich právech v rámci daného řízení, uvede informace související s možným omezením těchto práv. Tyto informace se týkají toho, která práva mohou být omezena, a odůvodnění a případné délky platnosti omezení.
Aniž jsou dotčena ustanovení čl. 5 odst. 4 tohoto rozhodnutí, informuje společný podnik EDCTP3 v oblasti globálního zdraví, je-li to přiměřené, rovněž jednotlivě všechny subjekty údajů, o nichž se domnívá, že jsou dotčenými osobami v rámci konkrétní operace zpracování, neprodleně a písemně o jejich právech v souvislosti se stávajícími či budoucími omezeními.
2. Pokud společný podnik EDCTP3 v oblasti globálního zdraví zčásti nebo zcela omezí práva uvedená v článku 3 tohoto rozhodnutí, informuje dotčený subjekt údajů o uplatněném omezení a o jeho hlavních důvodech a také o možnosti podat stížnost u evropského inspektora ochrany údajů nebo požádat o soudní ochranu u Soudního dvora Evropské unie.
Poskytnutí informací uvedených v odstavci 2 výše lze odložit, neprovést nebo odepřít, pokud by mařilo účinek omezení uloženého podle čl. 25 odst. 8 nařízení (EU) 2018/1725.
Článek 7
Zapojení pověřence pro ochranu osobních údajů
1. Společný podnik EDCTP3 v oblasti globálního zdraví neprodleně konzultuje pověřence pro ochranu osobních údajů ve společném podniku EDCTP3 v oblasti globálního zdraví předtím, než správce v souladu s tímto rozhodnutím omezí uplatňování práv subjektů údajů nebo prodlouží platnost omezení, i během této doby. Správce poskytne pověřenci pro ochranu osobních údajů přístup k záznamům obsahujícím posouzení nezbytnosti a přiměřenosti omezení a k veškerým dokumentům týkajícím se skutkových nebo právních souvislostí.
2. Pověřenec pro ochranu osobních údajů může správce písemně požádat, aby použití omezení přezkoumal. Správce písemně informuje pověřence pro ochranu osobních údajů o výsledku vyžádaného přezkumu.
3. Pověřenec pro ochranu osobních údajů je zapojen během celého postupu. Správce v případě zrušení omezení informuje pověřence pro ochranu osobních údajů.
4. Společný podnik EDCTP3 v oblasti globálního zdraví písemně zdokumentuje zapojení pověřence pro ochranu osobních údajů do uplatňování omezení, včetně informací, které jsou s pověřencem sdíleny.
Článek 8
Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Pokud se na společný podnik EDCTP3 v oblasti globálního zdraví vztahuje povinnost oznámit porušení zabezpečení podle čl. 35 odst. 1 nařízení (EU) 2018/1725, může za výjimečných okolností toto oznámení částečně nebo zcela omezit. V poznámce zdokumentuje důvody omezení, jeho právní základ podle článku 3 tohoto rozhodnutí a posouzení jeho nezbytnosti a přiměřenosti. Poznámka bude předána evropskému inspektorovi ochrany údajů v okamžiku oznámení porušení zabezpečení osobních údajů.
2. Pokud důvody omezení již pominuly, oznámí společný podnik EDCTP3 v oblasti globálního zdraví porušení zabezpečení osobních údajů dotčenému subjektu údajů a informuje ho o hlavních důvodech omezení a o jeho právu podat stížnost evropskému inspektorovi ochrany údajů.
Článek 9
Důvěrnost elektronických komunikací
1. Za výjimečných okolností může společný podnik EDCTP3 v oblasti globálního zdraví omezit právo na důvěrnost elektronických komunikací podle článku 36 nařízení (EU) 2018/1725. Tato omezení musí být v souladu se směrnicí Evropského parlamentu a Rady 2002/58/ES.
2. Pokud společný podnik EDCTP3 v oblasti globálního zdraví omezí právo na důvěrnost elektronických komunikací, informuje dotčený subjekt údajů ve své odpovědi na jakoukoliv žádost subjektu údajů o hlavních důvodech, na nichž se uplatňování omezení zakládá, a o právu subjektu údajů podat stížnost u evropského inspektora ochrany údajů.
3. Společný podnik EDCTP3 v oblasti globálního zdraví může odložit, neprovést nebo odepřít poskytnutí informací o důvodech omezení a o právu podat stížnost evropskému inspektorovi ochrany údajů, pokud by to mařilo účinek omezení. Posouzení, zda by tento krok byl odůvodněný, se provádí v každém jednotlivém případě.
Článek 10
Vstup v platnost
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
V Bruselu dne 3. srpna 2023.
Za správní radu společného podniku EDCTP3 v oblasti globálního zdraví
Dr. Henning GÄDEKE
předseda správní rady
(1) Úř. věst. L 295, 21.11.2018, s. 39.
(2) Úř. věst. L 427, 30.11.2021, s. 17.
(3) K dispozici zde: Guidance on Art. 25 of the Regulation 2018/1725 | Evropský inspektor ochrany údajů (europa.eu)
(4) V případě společné správy údajů se údaje zpracovávají v souladu s prostředky a účely stanovenými v příslušné dohodě společných správců, jak je stanoveno v článku 28 nařízení (EU) 2018/1725.
(5) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. L 119, 4.5.2016, s. 1).
(6) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).
ELI: http://data.europa.eu/eli/dec/2023/2189/oj
ISSN 1977-0626 (electronic edition)