EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021Q0126(01)
Decision of the Steering Committee of the Executive Agency for Small and Medium-sized Enterprises on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the Agency
Απόφαση της διευθύνουσας επιτροπής του Εκτελεστικού Οργανισμού για τις Μικρομεσαίες Επιχειρήσεις σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων που εκτελεί ο οργανισμός
Απόφαση της διευθύνουσας επιτροπής του Εκτελεστικού Οργανισμού για τις Μικρομεσαίες Επιχειρήσεις σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων που εκτελεί ο οργανισμός
OJ L 26, 26.1.2021, p. 116–124
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
26.1.2021 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 26/116 |
ΑΠΟΦΑΣΗ ΤΗΣ ΔΙΕΥΘΥΝΟΥΣΑΣ ΕΠΙΤΡΟΠΗΣ ΤΟΥ ΕΚΤΕΛΕΣΤΙΚΟΥ ΟΡΓΑΝΙΣΜΟΥ ΓΙΑ ΤΙΣ ΜΙΚΡΟΜΕΣΑΙΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ
σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων που εκτελεί ο οργανισμός
Η ΔΙΕΥΘΥΝΟΥΣΑ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης και ιδίως το άρθρο 249 παράγραφος 1,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1) (στο εξής: «ο κανονισμός»), και ιδίως το άρθρο 25,
Έχοντας υπόψη την εκτελεστική απόφαση 2013/771/ΕΕ της Επιτροπής, της 17ης Δεκεμβρίου 2013, για τη σύσταση του Εκτελεστικού Οργανισμού για τις Μικρομεσαίες Επιχειρήσεις και για την κατάργηση των αποφάσεων 2004/20/ΕΚ και 2007/372/ΕΚ (2),
Κατόπιν διαβούλευσης με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Ο εκτελεστικός οργανισμός για τις μικρομεσαίες επιχειρήσεις (EASME) («ο Οργανισμός») συστάθηκε με την εκτελεστική απόφαση 2013/771/ΕΕ, ενόψει της εκτέλεσης των καθηκόντων που συνδέονται με την εφαρμογή προγραμμάτων της Ένωσης στον τομέα της ενέργειας, του περιβάλλοντος, της δράσης για το κλίμα, της ανταγωνιστικότητας και των ΜΜΕ, της έρευνας και της καινοτομίας και των ΤΠΕ (3). |
|
(2) |
Εντός του πλαισίου της διοικητικής και επιχειρησιακής του λειτουργίας, ο Οργανισμός μπορεί να διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής, σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης, καθώς και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό της Ευρωπαϊκής Ένωσης, όπως ορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου («κανονισμός υπηρεσιακής κατάστασης») (4), και με τις εκτελεστικές διατάξεις για τη διεξαγωγή διοικητικών ερευνών και πειθαρχικών διαδικασιών. Εάν απαιτείται, ο Οργανισμός μπορεί να διεξάγει προκαταρκτικές δραστηριότητες που σχετίζονται με περιπτώσεις πιθανής απάτης και παρατυπιών και μπορεί να κοινοποιεί υποθέσεις στην OLAF. |
|
(3) |
Τα μέλη του προσωπικού του Οργανισμού έχουν την υποχρέωση να αναφέρουν πιθανές παράνομες δραστηριότητες, συμπεριλαμβανομένων της απάτης και της δωροδοκίας, που θίγουν τα οικονομικά συμφέροντα της Ένωσης. Τα μέλη του προσωπικού του Οργανισμού είναι επίσης υποχρεωμένα να αναφέρουν κάθε συμπεριφορά που αφορά την εκπλήρωση των επαγγελματικών καθηκόντων και που ενδεχομένως συνιστά σοβαρή παράβαση των υποχρεώσεων των υπαλλήλων της Ένωσης. Αυτό ρυθμίζεται από τους εσωτερικούς κανόνες ή τις πολιτικές σχετικά με την καταγγελία δυσλειτουργιών. |
|
(4) |
Ο Οργανισμός έχει θέσει σε εφαρμογή μια πολιτική για την πρόληψη και την αποτελεσματική αντιμετώπιση πραγματικών ή πιθανών περιπτώσεων ψυχολογικής ή σεξουαλικής παρενόχλησης στον χώρο εργασίας, όπως προβλέπεται στα μέτρα εφαρμογής σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης για τη θέσπιση μιας άτυπης διαδικασίας με την οποία το φερόμενο θύμα της παρενόχλησης μπορεί να επικοινωνήσει με τους έμπιστους συμβούλους του Οργανισμού. |
|
(5) |
Ο Οργανισμός μπορεί επίσης να διεξάγει εσωτερικές έρευνες ασφαλείας (ΤΠ) και για πιθανές παραβιάσεις των κανόνων ασφαλείας για τις διαβαθμισμένες πληροφορίες της ΕΕ («ΔΠΕΕ»). |
|
(6) |
Ο Οργανισμός υπόκειται σε εσωτερικούς και εξωτερικούς ελέγχους σχετικά με τις δραστηριότητές του, συμπεριλαμβανομένης της διενέργειας υπηρεσιών εσωτερικού ελέγχου της Ευρωπαϊκής Επιτροπής και του Ευρωπαϊκού Ελεγκτικού Συνεδρίου. |
|
(7) |
Ο Οργανισμός μπορεί να χειρίζεται αιτήματα της Ευρωπαϊκής Εισαγγελίας (EPPO), αιτήσεις πρόσβασης σε ιατρικούς φακέλους των μελών του προσωπικού του Οργανισμού, να διενεργεί έρευνες από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού. |
|
(8) |
Στο πλαίσιο των εν λόγω διοικητικών ερευνών, ελέγχων, λοιπών ερευνών ή αιτημάτων, ο Οργανισμός συνεργάζεται με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης. |
|
(9) |
Ο Οργανισμός μπορεί να συνεργάζεται με τις εθνικές αρχές τρίτων χωρών και με διεθνείς οργανισμούς, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(10) |
Ο Οργανισμός μπορεί να συνεργάζεται και με τις δημόσιες αρχές των κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(11) |
Ο Οργανισμός ενδέχεται να υπόκειται σε καταγγελίες, διαδικασίες ή έρευνες μέσω μαρτύρων δημοσίου συμφέροντος ή του Ευρωπαίου Διαμεσολαβητή. |
|
(12) |
Ο Οργανισμός μπορεί να συμμετέχει σε υποθέσεις ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης σε περιπτώσεις κατά τις οποίες είτε παραπέμπει ένα ζήτημα στο Δικαστήριο είτε υπερασπίζεται μια απόφαση που έχει λάβει και η οποία έχει αμφισβητηθεί ενώπιον του Δικαστηρίου, ή παρεμβαίνει σε υποθέσεις που σχετίζονται με τις αρμοδιότητές του. Σε αυτό το πλαίσιο, ο Οργανισμός μπορεί να χρειάζεται να διαφυλάσσει την εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε έγγραφα που υποβάλουν οι διάδικοι ή οι παρεμβαίνοντες. |
|
(13) |
Στο πλαίσιο των δραστηριοτήτων του, ο Οργανισμός επεξεργάζεται διάφορες κατηγορίες προσωπικών δεδομένων, συμπεριλαμβανομένων δεδομένων ταυτοποίησης φυσικών προσώπων, πληροφοριών επαφής, επαγγελματικών ρόλων και καθηκόντων, πληροφοριών για ιδιωτική και επαγγελματική συμπεριφορά και απόδοση, χρηματοοικονομικών δεδομένων, καθώς και, σε ορισμένες ειδικές περιπτώσεις, ευαίσθητων δεδομένων (π.χ. δεδομένα υγείας). Τα προσωπικά δεδομένα περιλαμβάνουν πραγματικά εξακριβωμένα δεδομένα και μη εξακριβωμένα δεδομένα αξιολόγησης. Τα εξακριβωμένα δεδομένα είναι αντικειμενικά πραγματικά δεδομένα, όπως δεδομένα αναγνώρισης, δεδομένα επαφής, επαγγελματικά δεδομένα, διοικητικά στοιχεία, μεταδεδομένα που σχετίζονται με ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης. Τα μη εξακριβωμένα δεδομένα είναι υποκειμενικά δεδομένα και περιλαμβάνουν ιδίως την περιγραφή και την αξιολόγηση καταστάσεων και περιστάσεων, απόψεων, παρατηρήσεων που σχετίζονται με υποκείμενα δεδομένων, αξιολόγηση της συμπεριφοράς και της απόδοσης των υποκειμένων των δεδομένων και συλλογιστική που στηρίζει μεμονωμένες αποφάσεις που προωθούν ή σχετίζονται με το αντικείμενο της διαδικασίας ή της δραστηριότητας που ασκεί ο Οργανισμός σύμφωνα με το ισχύον νομικό πλαίσιο. Οι αξιολογήσεις, οι παρατηρήσεις και οι απόψεις θεωρούνται δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 3 παράγραφος 1 του κανονισμού. |
|
(14) |
Σύμφωνα με τον κανονισμό, ο Οργανισμός είναι συνεπώς υποχρεωμένος να παρέχει πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τις εν λόγω δραστηριότητες επεξεργασίας και να σέβεται τα δικαιώματά τους ως υποκείμενα των δεδομένων. |
|
(15) |
Ο Οργανισμός δεσμεύεται να σέβεται, στον μέγιστο δυνατό βαθμό, τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων, ιδίως το δικαίωμα παροχής πληροφοριών, πρόσβασης και διόρθωσης, το δικαίωμα διαγραφής, περιορισμού επεξεργασίας, το δικαίωμα γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή το απόρρητο των επικοινωνιών, όπως θεσπίζονται στον κανονισμό. Ωστόσο, ενδέχεται να απαιτείται από τον Οργανισμό να περιορίζει τα δικαιώματα και τις υποχρεώσεις του υποκειμένου των δεδομένων με σκοπό την προστασία των δραστηριοτήτων του και των θεμελιωδών δικαιωμάτων και ελευθεριών άλλων. |
|
(16) |
Επομένως, το άρθρο 25 παράγραφοι 1 και 5 του κανονισμού παρέχει στον Οργανισμό τη δυνατότητα να περιορίσει, υπό όρους, την εφαρμογή των άρθρων 14 έως 22, 35 και 36, καθώς και του άρθρου 4 του κανονισμού, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20 και βασίζονται σε εσωτερικούς κανόνες που θα θεσπιστούν στο ανώτατο επίπεδο διαχείρισης του Οργανισμού και υπόκεινται σε δημοσίευση στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, όταν δεν βασίζονται σε νομικές πράξεις που εκδίδονται βάσει των Συνθηκών. |
|
(17) |
Περιορισμοί ενδέχεται να ισχύουν για διαφορετικά δικαιώματα υποκειμένων δεδομένων, συμπεριλαμβανομένης της παροχής πληροφοριών σε υποκείμενα δεδομένων, του δικαιώματος πρόσβασης, διόρθωσης, διαγραφής, περιορισμού της επεξεργασίας, ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή της εμπιστευτικότητας της επικοινωνίας, όπως κατοχυρώνεται στον κανονισμό. |
|
(18) |
Ο Οργανισμός μπορεί να χρειαστεί να διασφαλίσει τη συμβατότητα των εν λόγω δικαιωμάτων με τους στόχους των διοικητικών ερευνών, των ελέγχων, των ερευνών και των δικαστικών διαδικασιών. Μπορεί επίσης να χρειαστεί να εξισορροπήσει τα δικαιώματα ενός υποκειμένου δεδομένων με τα θεμελιώδη δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων. |
|
(19) |
Ο Οργανισμός μπορεί, επί παραδείγματι, να χρειάζεται να περιορίσει τις πληροφορίες που παρέχει σε ένα υποκείμενο δεδομένων σχετικά με την επεξεργασία των οικείων δεδομένων προσωπικού χαρακτήρα κατά το στάδιο της προκαταρκτικής αξιολόγησης μιας διοικητικής έρευνας ή κατά τη διάρκεια της ίδιας της έρευνας, πριν από την ενδεχόμενη απόρριψη μιας υπόθεσης ή στο στάδιο των προκαταρκτικών πειθαρχικών διαδικασιών. Υπό ορισμένες περιστάσεις, η παροχή τέτοιων πληροφοριών ενδέχεται να επηρεάσει σοβαρά την ικανότητα του Οργανισμού να διεξάγει την έρευνα με αποτελεσματικό τρόπο, οσάκις, π.χ., υπάρχει κίνδυνος το εμπλεκόμενο πρόσωπο να καταστρέψει αποδεικτικά στοιχεία ή να επηρεάσει πιθανούς μάρτυρες πριν από την εξέτασή τους. Ο Οργανισμός μπορεί, επίσης, να χρειαστεί να προασπίσει τα δικαιώματα και τις ελευθερίες των μαρτύρων, καθώς και άλλων εμπλεκόμενων προσώπων. |
|
(20) |
Ο Οργανισμός ενδέχεται να χρειαστεί να προστατεύσει την ανωνυμία μάρτυρα ή καταγγέλλοντος που έχει ζητήσει να μην ταυτοποιηθεί. Σε μια τέτοια περίπτωση, ο Οργανισμός μπορεί να αποφασίσει την περιορισμένη πρόσβαση στα στοιχεία ταυτότητας, στις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα των εν λόγω προσώπων ή του υπόπτου, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες τους. |
|
(21) |
Ο Οργανισμός ενδέχεται να χρειαστεί να προστατεύσει τις απόρρητες πληροφορίες που αφορούν ένα μέλος του προσωπικού το οποίο έχει επικοινωνήσει με τους έμπιστους συμβούλους του Οργανισμού στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης. Σε μια τέτοια περίπτωση, ο Οργανισμός ενδέχεται να χρειαστεί να περιορίσει την πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και άλλα δεδομένα προσωπικού χαρακτήρα του φερόμενου ως θύματος, του φερόμενου ως παρενοχλούντος και άλλων εμπλεκόμενων προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες όλων των ενδιαφερόμενων ατόμων. |
|
(22) |
Όσον αφορά τις διαδικασίες επιλογής και πρόσληψης, την αξιολόγηση προσωπικού και τις διαδικασίες δημοσίων συμβάσεων, το δικαίωμα πρόσβασης, διόρθωσης, διαγραφής και περιορισμού μπορεί να ασκηθεί μόνο σε ορισμένες χρονικές περιόδους και υπό τις προϋποθέσεις που προβλέπονται στις σχετικές διαδικασίες για τη διασφάλιση των δικαιωμάτων άλλων υποκειμένων δεδομένων και την τήρηση των αρχών της ίσης μεταχείρισης και του απορρήτου των διαβουλεύσεων. |
|
(23) |
Ο Οργανισμός μπορεί επίσης να περιορίσει την πρόσβαση ατόμων στα ιατρικά τους δεδομένα, για παράδειγμα ψυχολογικής ή ψυχιατρικής φύσης, λόγω της πιθανής ευαισθησίας αυτών των δεδομένων, και η ιατρική υπηρεσία της Επιτροπής μπορεί να παρέχει στα υποκείμενα των δεδομένων μόνο έμμεση πρόσβαση μέσω του δικού τους ιατρού. Το υποκείμενο των δεδομένων μπορεί να ασκήσει το δικαίωμα διόρθωσης των αξιολογήσεων ή των απόψεων της ιατρικής υπηρεσίας της Επιτροπής παρέχοντας τα σχόλιά του ή μια αναφορά ενός ιατρού της επιλογής του. |
|
(24) |
Ο Οργανισμός, εκπροσωπούμενος από τον διευθυντή του, ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων, ανεξάρτητα από τις περαιτέρω εξουσιοδοτήσεις καθηκόντων υπευθύνου επεξεργασίας εντός του Οργανισμού, αναλαμβάνοντας τις επιχειρησιακές ευθύνες για συγκεκριμένες πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που εκτελούνται από αρμόδιους «εξουσιοδοτημένους υπεύθυνους επεξεργασίας δεδομένων». |
|
(25) |
Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται με ασφάλεια σε ηλεκτρονικό περιβάλλον σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής (5) ή εγγράφως, αποτρέποντας την παράνομη πρόσβαση ή μεταφορά δεδομένων σε άτομα που δεν απαιτείται να τα γνωρίζουν. Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία διατηρούνται μόνο για το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, για την περίοδο που καθορίζεται στις ανακοινώσεις προστασίας δεδομένων και στα αρχεία του Οργανισμού. |
|
(26) |
Ο Οργανισμός εφαρμόζει περιορισμούς μόνον υπό την προϋπόθεση ότι δεν θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, ότι είναι απολύτως απαραίτητες και ότι αποτελούν αναλογικό μέτρο σε μια δημοκρατική κοινωνία. Ο Οργανισμός επεξηγεί την αιτιολόγηση αυτών των περιορισμών και ενημερώνει σχετικά τα υποκείμενα των δεδομένων για τους λόγους αυτούς και το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ, όπως προβλέπεται στο άρθρο 25 παράγραφος 6 του κανονισμού. |
|
(27) |
Κατ’ εφαρμογή της αρχής της λογοδοσίας, ο Οργανισμός τηρεί αρχείο των επιβληθέντων περιορισμών. |
|
(28) |
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ανταλλάσσονται με άλλους οργανισμούς στο πλαίσιο των αρμοδιοτήτων του, ο Οργανισμός διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τους πιθανούς σχετικούς λόγους για την επιβολή των περιορισμών, καθώς και για την αναγκαιότητα και την αναλογικότητα των περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητες του. |
|
(29) |
Αυτοί οι εσωτερικοί κανόνες ισχύουν επομένως για όλες τις δραστηριότητες επεξεργασίας που πραγματοποιεί ο Οργανισμός και περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα κατά την εκτέλεση διοικητικών ερευνών, πειθαρχικών διαδικασιών, προκαταρκτικών δραστηριοτήτων που σχετίζονται με περιπτώσεις πιθανών παρατυπιών που αναφέρθηκαν στην OLAF, ερευνών της Ευρωπαϊκής Εισαγγελίας (EPPO), διαδικασιών καταγγελίας δυσλειτουργιών, (επίσημων και ανεπίσημων) διαδικασιών για περιπτώσεις παρενόχλησης, επεξεργασίας εσωτερικών και εξωτερικών καταγγελιών, αιτημάτων πρόσβασης ή διόρθωσης ιδίων ιατρικών φακέλων, των ερευνών που πραγματοποιούνται από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού, ερευνών ασφαλείας ΤΠ που διενεργούνται εσωτερικά ή με εξωτερική εμπλοκή (π.χ. CERT-EU), ελέγχων, διαδικασιών ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης ή εθνικών δημόσιων αρχών, διαδικασιών επιλογής και πρόσληψης, αξιολόγησης προσωπικού και δημοσίων συμβάσεων, όπως αναφέρεται παραπάνω. |
|
(30) |
Οι εν λόγω εσωτερικοί κανόνες εφαρμόζονται σε δραστηριότητες επεξεργασίας που διενεργούνται πριν από την έναρξη των διαδικασιών που αναφέρονται ανωτέρω, κατά τη διάρκεια των εν λόγω διαδικασιών και κατά την παρακολούθηση του αποτελέσματος των εν λόγω διαδικασιών. Θα πρέπει επίσης να συμπεριλαμβάνεται η βοήθεια και η συνεργασία που παρέχει ο Οργανισμός σε άλλα θεσμικά όργανα της ΕΕ, εθνικές αρχές και διεθνείς οργανισμούς εκτός των διοικητικών ερευνών του. |
|
(31) |
Σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού, ο Οργανισμός έχει το δικαίωμα να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με τους λόγους επιβολής ενός περιορισμού, εάν αυτό θα αναιρούσε με οποιονδήποτε τρόπο το αποτέλεσμα του περιορισμού. Ο Οργανισμός αξιολογεί κατά περίπτωση το κατά πόσον η κοινοποίηση του περιορισμού ενδέχεται να ακυρώσει την ισχύ του. |
|
(32) |
Ο Οργανισμός αίρει τον περιορισμό μόλις οι συνθήκες που αιτιολογούν την επιβολή του παύσουν να υφίστανται, και αξιολογεί σε τακτική βάση τις εν λόγω συνθήκες. |
|
(33) |
Για να διασφαλιστεί η μέγιστη προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων και σύμφωνα με το άρθρο 44 παράγραφος 1 του κανονισμού, ζητείται εγκαίρως η γνώμη του υπευθύνου προστασίας δεδομένων του Οργανισμού, προτού εφαρμοστεί ή επανεξεταστεί οποιοσδήποτε περιορισμός και ελέγχεται η συμμόρφωση του περιορισμού με την παρούσα απόφαση. |
|
(34) |
Το άρθρο 16 παράγραφος 5 και το άρθρο 17 παράγραφος 4 του κανονισμού περιλαμβάνουν εξαιρέσεις για το δικαίωμα πληροφόρησης και το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων. Εάν ισχύουν αυτές οι εξαιρέσεις, ο Οργανισμός δεν χρειάζεται να εφαρμόσει περιορισμούς δυνάμει της παρούσας απόφασης, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Η παρούσα απόφαση θεσπίζει κανόνες σχετικά με τους όρους υπό τους οποίους ο εκτελεστικός οργανισμός για τις μικρομεσαίες επιχειρήσεις (EASME) και οποιοσδήποτε από τους νόμιμους διαδόχους του («ο Οργανισμός») μπορεί να περιορίσει την εφαρμογή των άρθρων 4, 14 έως 22, 35 και 36, σύμφωνα με το άρθρο 25 του κανονισμού.
2. Ο Οργανισμός, ως υπεύθυνος επεξεργασίας δεδομένων, εκπροσωπείται από τον διευθυντή του Οργανισμού, ο οποίος μπορεί να μεταβιβάσει την αρμοδιότητα του υπεύθυνου επεξεργασίας δεδομένων.
Άρθρο 2
Περιορισμοί που εφαρμόζονται
1. Ο Οργανισμός μπορεί να επιβάλλει περιορισμούς στην εφαρμογή των άρθρων 14 έως 22, 35 και 36 και του άρθρου 4 του κανονισμού, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20.
2. Η απόφαση εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον Οργανισμό, εντός του πλαισίου της διοικητικής και επιχειρησιακής του λειτουργίας:
|
α) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β), γ), στ), ζ), και η) του κανονισμού, όταν πραγματοποιεί εσωτερικές έρευνες, μεταξύ άλλων με βάση εξωτερικές καταγγελίες, διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής βάσει του άρθρου 86 και του παραρτήματος IX του κανονισμού υπηρεσιακής κατάστασης και των κανόνων εφαρμογής του, έρευνες ασφαλείας ή έρευνες της OLAF· |
|
β) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν διασφαλίζει ότι τα μέλη του προσωπικού του Οργανισμού μπορούν να καταγγέλλουν ζητήματα εμπιστευτικότητας όταν πιστεύουν ότι υφίστανται σοβαρές παρατυπίες, όπως προβλέπεται στους εσωτερικούς κανόνες ή πολιτικές αναφορικά με την καταγγελία δυσλειτουργιών· |
|
γ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν διασφαλίζει ότι τα μέλη του προσωπικού του Οργανισμού μπορούν να υποβάλουν αναφορές σε έμπιστους συμβούλους, στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης, όπως ορίζεται από εσωτερικούς κανόνες· |
|
δ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού, όταν διεξάγει εσωτερικούς ή εξωτερικούς ελέγχους σχετικά με δραστηριότητες ή τη λειτουργία του Οργανισμού· |
|
ε) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία δ) και η) του κανονισμού, όταν διασφαλίζει αναλύσεις ασφαλείας, συμπεριλαμβανομένων των παραβιάσεων της ασφάλειας στον κυβερνοχώρο και των συστημάτων ΤΠ, που αντιμετωπίζονται εσωτερικά ή με εξωτερική εμπλοκή (π.χ. CERT-EU), όταν διασφαλίζει την εσωτερική ασφάλεια μέσω βιντεοπαρακολούθησης, ελέγχου πρόσβασης και σκοπούς διερεύνησης, όταν εξασφαλίζει τα συστήματα επικοινωνίας και πληροφοριών και εφαρμόζει μέτρα αντιμετώπισης τεχνικής ασφάλειας· |
|
στ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία ζ) και η) του κανονισμού, όταν ο υπεύθυνος προστασίας δεδομένων («ΥΠΔ») του Οργανισμού διερευνά θέματα που σχετίζονται άμεσα με τα καθήκοντά του/της· |
|
ζ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β), ζ) και η) του κανονισμού, στο πλαίσιο ερευνών από την Ευρωπαϊκή Εισαγγελία (EPPO)· |
|
η) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν άτομα ζητούν πρόσβαση ή διόρθωση των ιατρικών τους δεδομένων, ακόμη και αν αυτά κατέχονται από την ιατρική υπηρεσία της Επιτροπής. |
|
θ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή από άλλα θεσμικά και λοιπά όργανα, και οργανισμούς της Ένωσης ή όταν συνεργάζεται μαζί τους στο πλαίσιο δραστηριοτήτων βάσει των στοιχείων α) έως η) της παρούσας παραγράφου, και σύμφωνα με τις σχετικές συμφωνίες σε επίπεδο υπηρεσιών, μνημόνια συμφωνίας και συμφωνίες συνεργασίας της αντίστοιχης ιδρυτικής πράξης τους· |
|
ι) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή σε ή από τρίτες χώρες, εθνικές αρχές και διεθνείς οργανισμούς ή συνεργάζεται με τέτοιες αρχές και οργανισμούς, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
ια) |
σύμφωνα με το άρθρο 25 παράγραφος 1) στοιχεία γ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή και συνεργασία σε και από δημόσιες αρχές κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
ιβ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο ε) του κανονισμού, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε έγγραφα που υποβάλουν οι διάδικοι ή οι παρεμβαίνοντες στο πλαίσιο προσφυγών ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης· |
Για τους σκοπούς της παρούσας απόφασης, οι ανωτέρω δραστηριότητες περιλαμβάνουν προπαρασκευαστικές ενέργειες και ενέργειες παρακολούθησης που σχετίζονται άμεσα με την ίδια δραστηριότητα.
3. Ο Οργανισμός μπορεί επίσης να εφαρμόζει περιορισμούς κατά περίπτωση στα δικαιώματα των υποκειμένων των δεδομένων που αναφέρονται στην παρούσα απόφαση, στις ακόλουθες περιπτώσεις:
|
α) |
όταν οι υπηρεσίες της Επιτροπής ή άλλα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης έχουν το δικαίωμα να περιορίζουν την άσκηση των αναφερόμενων δικαιωμάτων και ο σκοπός ενός τέτοιου περιορισμού από την εν λόγω υπηρεσία της Επιτροπής, θεσμικό και λοιπό όργανο και οργανισμό της Ένωσης τίθεται σε κίνδυνο όταν ο Οργανισμός δεν εφαρμόζει ισοδύναμο περιορισμό για τα ίδια δεδομένα προσωπικού χαρακτήρα· |
|
β) |
όταν οι αρμόδιες αρχές των κρατών μελών δικαιούνται να περιορίσουν την άσκηση των αναφερόμενων δικαιωμάτων και ο σκοπός ενός τέτοιου περιορισμού από την εν λόγω αρχή του κράτους μέλους τίθεται σε κίνδυνο όταν ο Οργανισμός δεν εφαρμόζει ισοδύναμο περιορισμό για τα ίδια δεδομένα προσωπικού χαρακτήρα· |
|
γ) |
όταν η άσκηση αυτών των δικαιωμάτων και υποχρεώσεων θα έθετε σε κίνδυνο τη συνεργασία του Οργανισμού με τρίτες χώρες ή διεθνείς οργανισμούς κατά την εκτέλεση των καθηκόντων του, εκτός εάν αυτή η ανάγκη συνεργασίας υπερισχύει των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων. |
|
δ) |
Πριν εφαρμόσει περιορισμούς βάσει της παρούσας παραγράφου, ο Οργανισμός διαβουλεύεται, όπου απαιτείται, τις αρμόδιες υπηρεσίες της Επιτροπής, άλλα θεσμικά και λοιπά όργανα, οργανισμούς, υπηρεσίες της Ένωσης, διεθνείς οργανισμούς ή τις αρμόδιες αρχές των κρατών μελών, εκτός εάν είναι σαφές ότι ο περιορισμός αυτός προβλέπεται από έναν εκ των προαναφερόμενων πράξεων ή μια τέτοια διαβούλευση θα έθετε σε κίνδυνο τις δραστηριότητες του Οργανισμού. |
4. Οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία σχετικά με τις παραπάνω δραστηριότητες ενδέχεται να περιέχουν πραγματικά εξακριβωμένα δεδομένα και μη εξακριβωμένα δεδομένα αξιολόγησης.
5. Οι τυχόν περιορισμοί δεν πρέπει να θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, ενώ πρέπει να αποτελούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία.
Άρθρο 3
Καταγραφή και καταχώριση περιορισμών
1. Ο υπεύθυνος επεξεργασίας δεδομένων καταρτίζει αρχείο του περιορισμού, το οποίο περιγράφει:
|
α) |
τους λόγους για τυχόν περιορισμούς που εφαρμόζονται σύμφωνα με την παρούσα απόφαση, |
|
β) |
ποιοι λόγοι ισχύουν μεταξύ αυτών που απαριθμούνται στο άρθρο 2, |
|
γ) |
πώς η άσκηση του δικαιώματος θα αποτελούσε κίνδυνο για το υποκείμενο των δεδομένων ή θα έθετε σε κίνδυνο τον σκοπό των καθηκόντων του Οργανισμού ή θα επηρέαζε αρνητικά τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων. |
|
δ) |
το αποτέλεσμα της αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού, λαμβάνοντας υπόψη τα σχετικά στοιχεία στο άρθρο 25 παράγραφος 2 του κανονισμού. |
2. Πριν από την επιβολή περιορισμών πρέπει να διενεργείται κατά περίπτωση έλεγχος αναγκαιότητας και αναλογικότητας του περιορισμού. Ο υπεύθυνος επεξεργασίας δεδομένων εξετάζει τους πιθανούς κινδύνους όσο αφορά τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Οι περιορισμοί δεν πρέπει να υπερβαίνουν το αυστηρώς αναγκαίο μέτρο για την επίτευξη του στόχου τους.
3. Το αρχείο του περιορισμού και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
Άρθρο 4
Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων
1. Οι εκτιμήσεις των κινδύνων που συνεπάγονται οι επιβαλλόμενοι περιορισμοί για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και τα στοιχεία της περιόδου εφαρμογής των εν λόγω περιορισμών περιλαμβάνονται στο αρχείο των δραστηριοτήτων επεξεργασίας που τηρεί ο υπεύθυνος επεξεργασίας δεδομένων δυνάμει του άρθρου 31 του κανονισμού. Περιλαμβάνονται επίσης και σε κάθε εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων αναφορικά με τους εν λόγω περιορισμούς που διεξάγεται δυνάμει του άρθρου 39 του κανονισμού, κατά περίπτωση.
2. Στις περιπτώσεις που ο υπεύθυνος επεξεργασίας δεδομένων προτίθεται να εφαρμόσει έναν περιορισμό, σταθμίζεται ο κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ιδίως ο κίνδυνος για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων και ο κίνδυνος υπονόμευσης του αποτελέσματος των ερευνών ή διαδικασιών, για παράδειγμα μέσω της καταστροφής αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων αφορούν κατά κύριο λόγο, μεταξύ άλλων, τους κινδύνους φήμης και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης.
Άρθρο 5
Διασφαλίσεις και περίοδοι αποθήκευσης
1. Ο Οργανισμός εφαρμόζει ειδικές διασφαλίσεις για την πρόληψη της κατάχρησης και της παράνομης πρόσβασης ή διαβίβασης δεδομένων προσωπικού χαρακτήρα ως προς τους περιορισμούς που εφαρμόζονται ή θα μπορούσαν να εφαρμοστούν. Οι εν λόγω διασφαλίσεις περιλαμβάνουν τεχνικά και οργανωτικά μέτρα και περιγράφονται λεπτομερώς, όπως είναι αναγκαίο, στις εσωτερικές αποφάσεις, τις διαδικασίες και τους κανόνες εφαρμογής του Οργανισμού. Οι διασφαλίσεις αυτές περιλαμβάνουν τα εξής:
|
α) |
σαφή καθορισμό των ρόλων, των αρμοδιοτήτων και των διαδικαστικών μέτρων, |
|
β) |
κατά περίπτωση, ένα ασφαλές ηλεκτρονικό περιβάλλον που αποτρέπει την παράνομη και τυχαία πρόσβαση ή μεταφορά ηλεκτρονικών δεδομένων σε μη εξουσιοδοτημένα άτομα, |
|
γ) |
κατά περίπτωση, ασφαλής αποθήκευση και επεξεργασία έντυπων εγγράφων, |
|
δ) |
διασφάλιση της συμμόρφωσης με τις υποχρεώσεις εμπιστευτικότητας για όλα τα άτομα που έχουν πρόσβαση στα προσωπικά δεδομένα. |
2. Η περίοδος διατήρησης δεδομένων προσωπικού χαρακτήρα υπό περιορισμό ορίζεται στο σχετικό αρχείο σύμφωνα με το άρθρο 31 του κανονισμού λαμβάνοντας υπόψη τον σκοπό της επεξεργασίας και περιλαμβάνει το χρονικό πλαίσιο που απαιτείται για διοικητικό και δικαστικό έλεγχο. Μετά το πέρας της περιόδου διατήρησης, τα δεδομένα προσωπικού χαρακτήρα διαγράφονται, ανωνυμοποιούνται ή διαβιβάζονται σε αρχεία σύμφωνα με το άρθρο 13 του κανονισμού.
Άρθρο 6
Διάρκεια των περιορισμών
1. Οι περιορισμοί που αναφέρονται στο άρθρο 2 εξακολουθούν να εφαρμόζονται όσο εξακολουθούν να ισχύουν οι λόγοι που τους αιτιολογούν.
2. Όταν δεν ισχύουν πλέον οι λόγοι περιορισμού, ο υπεύθυνος επεξεργασίας δεδομένων αίρει τον περιορισμό εάν η άσκηση του περιορισμένου δικαιώματος δεν επηρεάζει πλέον αρνητικά τη σχετική εφαρμοστέα διαδικασία ή δεν επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων δεδομένων.
3. Σε περίπτωση που το υποκείμενο των δεδομένων έχει ζητήσει εκ νέου πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας δεδομένων παρέχει τους κύριους λόγους του περιορισμού στο υποκείμενο των δεδομένων. Ταυτόχρονα, ο Οργανισμός ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη δυνατότητα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ανά πάσα στιγμή ή άσκησης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.
4. Ο Οργανισμός εξετάζει την εφαρμογή των περιορισμών που αναφέρονται στο άρθρο 2 κάθε έξι μήνες.
Άρθρο 7
Συμμετοχή του υπεύθυνου προστασίας δεδομένων
1. Ο υπεύθυνος επεξεργασίας δεδομένων του Οργανισμού ενημερώνει τον ΥΠΔ του Οργανισμού χωρίς αδικαιολόγητη καθυστέρηση και πριν από οποιαδήποτε απόφαση για τον περιορισμό των δικαιωμάτων του υποκειμένου των δεδομένων σύμφωνα με την παρούσα απόφαση ή για την επέκταση της εφαρμογής του περιορισμού. Ο υπεύθυνος επεξεργασίας δεδομένων παρέχει στον ΥΠΔ πρόσβαση στα σχετικά αρχεία και σε οποιαδήποτε έγγραφα αφορούν το πραγματικό ή νομικό πλαίσιο.
2. Ο ΥΠΔ μπορεί να ζητήσει από τον υπεύθυνο επεξεργασίας δεδομένων να εξετάσει την εφαρμογή ενός περιορισμού. Ο υπεύθυνος επεξεργασίας δεδομένων ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα της αιτούμενης επανεξέτασης.
3. Ο υπεύθυνος επεξεργασίας δεδομένων τεκμηριώνει τη συμμετοχή του ΥΠΔ στην εφαρμογή του περιορισμού, αναφέροντας μεταξύ άλλων ποιες πληροφορίες κοινοποιούνται. Τα έγγραφα βάσει αυτού του άρθρου αποτελούν μέρος του αρχείου που σχετίζεται με τον περιορισμό και διατίθενται στον ΕΕΠΔ κατόπιν αιτήματος.
Άρθρο 8
Ενημέρωση του υποκείμενου των δεδομένων σχετικά με τους περιορισμούς των δικαιωμάτων τους
1. Σύμφωνα με το άρθρο 31 του κανονισμού, o υπεύθυνος επεξεργασίας δεδομένων περιλαμβάνει σε ανακοινώσεις προστασίας δεδομένων και σε αρχεία που δημοσιεύονται στον ιστότοπό του και στο ενδοδίκτυο γενικές πληροφορίες σχετικά με τους πιθανούς περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων δυνάμει του άρθρου 2 παράγραφος 2 της παρούσας απόφασης. Οι πληροφορίες καλύπτουν τα δικαιώματα και τις υποχρεώσεις επί των οποίων μπορεί να επιβληθούν περιορισμοί, τις αιτίες για τις οποίες μπορεί να εφαρμοστούν περιορισμοί και την πιθανή διάρκειά τους.
2. Ο υπεύθυνος επεξεργασίας δεδομένων ενημερώνει τα υποκείμενα των δεδομένων ξεχωριστά, εγγράφως και χωρίς αδικαιολόγητη καθυστέρηση, σχετικά με τους υφιστάμενους ή μελλοντικούς περιορισμούς των δικαιωμάτων τους. Ο υπεύθυνος επεξεργασίας δεδομένων ενημερώνει το υποκείμενο των δεδομένων για τους κύριους λόγους στους οποίους βασίζεται η εφαρμογή του περιορισμού, για το δικαίωμα επικοινωνίας με τον ΥΠΔ για την προσφυγή κατά του περιορισμού και για το δικαίωμά του/της να υποβάλει καταγγελία στον ΕΕΠΔ.
3. Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών σχετικά με τους λόγους ενός περιορισμού και το δικαίωμα υποβολής καταγγελίας στον ΕΕΠΔ, για το χρονικό διάστημα που αυτό θα αναιρούσε την ισχύ του περιορισμού. Η αξιολόγηση αυτής της αιτιολόγησης πραγματοποιείται κατά περίπτωση και ο υπεύθυνος επεξεργασίας δεδομένων παρέχει τις πληροφορίες στο υποκείμενο των δεδομένων, μόλις αυτό δεν θα ακυρώνει πλέον το αποτέλεσμα του περιορισμού.
Άρθρο 9
Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων
1. Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που ορίζονται στην παρούσα απόφαση, το δικαίωμα πρόσβασης βάσει του άρθρου 17 του κανονισμού μπορεί να περιορίζεται από τον υπεύθυνο επεξεργασίας δεδομένων, όπου είναι απαραίτητο και ανάλογο με τις δραστηριότητες βάσει της παρούσας απόφασης.
2. Όταν τα υποκείμενα των δεδομένων ζητούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τους που υποβάλλονται σε επεξεργασία στο πλαίσιο συγκεκριμένης δραστηριότητας επεξεργασίας που αναφέρεται στο άρθρο 2 παράγραφος 2 της παρούσας απόφασης, ο Οργανισμός περιορίζει την απάντησή του στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για τη δραστηριότητα αυτή.
3. Τα δικαιώματα των υποκειμένων των δεδομένων για άμεση πρόσβαση στα έγγραφα ψυχολογικής ή ψυχιατρικής φύσης ενδέχεται να είναι περιορισμένα. Ούτε η έμμεση πρόσβαση ούτε το δικαίωμα διόρθωσης και κοινοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα περιορίζονται με αυτούς τους εσωτερικούς κανόνες. Επομένως, ένας ενδιάμεσος ιατρός θα πρέπει να έχει πρόσβαση κατόπιν αιτήματος του ενδιαφερόμενου ατόμου σε όλες τις σχετικές πληροφορίες και διακριτική ευχέρεια ως προς το πώς και ποια πρόσβαση θα παρέχει στο υποκείμενο των δεδομένων.
4. Όταν ο υπεύθυνος επεξεργασίας δεδομένων περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, όπως αναφέρεται στο άρθρο 17 του κανονισμού, ενημερώνει εγγράφως το ενδιαφερόμενο υποκείμενο των δεδομένων, στην απάντησή του στην αίτηση πρόσβασης, για τον περιορισμό που εφαρμόζεται και για τους κύριους λόγους και για τη δυνατότητα υποβολής καταγγελίας στον ΕΕΠΔ ή άσκησης ένδικης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.
5. Η πληροφόρηση σχετικά με τον περιορισμό της πρόσβασης μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται στο μέτρο που στερεί από τον περιορισμό την ισχύ του σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού.
6. Περιορισμός δυνάμει του παρόντος άρθρου εφαρμόζεται σύμφωνα με την παρούσα απόφαση.
Άρθρο 10
Δικαίωμα διόρθωσης, διαγραφής και περιορισμού ως προς την επεξεργασία
1. Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που ορίζονται στην παρούσα απόφαση, το δικαίωμα διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας σύμφωνα με τα άρθρα 18, 19 παράγραφος 1 και 20 παράγραφος 1 του κανονισμού μπορεί να περιορίζεται από τον υπεύθυνο επεξεργασίας δεδομένων, όπου είναι απαραίτητο και κατάλληλο, όσον αφορά δραστηριότητες βάσει του άρθρου 2 παράγραφος 2 της παρούσας απόφασης.
2. Όσον αφορά τα ιατρικά δεδομένα, τα υποκείμενα των δεδομένων μπορούν να ασκήσουν το δικαίωμα διόρθωσης της αξιολόγησης ή της γνώμης της ιατρικής υπηρεσίας της Επιτροπής παρέχοντας τα σχόλιά τους ή μια έκθεση ιατρού της επιλογής τους, απευθείας, στην ιατρική υπηρεσία της Επιτροπής.
3. Περιορισμός δυνάμει του παρόντος άρθρου εφαρμόζεται σύμφωνα με την παρούσα απόφαση.
Άρθρο 11
Ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Στις περιπτώσεις που ο υπεύθυνος επεξεργασίας δεδομένων υποχρεούται να κοινοποιεί μια παραβίαση δεδομένων σύμφωνα με το άρθρο 35 παράγραφος 1 του κανονισμού, δύναται, σε εξαιρετικές περιπτώσεις, να περιορίζει μια τέτοια κοινοποίηση εν όλω ή εν μέρει. Τεκμηριώνει σε ανακοίνωση τους λόγους του περιορισμού, τη νομική αιτία για την επιβολή του σύμφωνα με το άρθρο 2 και μια αξιολόγηση της αναγκαιότητας και της αναλογικότητάς του. Η ανακοίνωση κοινοποιείται στον ΕΕΠΔ τη στιγμή της κοινοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα.
2. Όταν οι λόγοι για την επιβολή του περιορισμού παύσουν να ισχύουν, ο Οργανισμός κοινοποιεί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο ενδιαφερόμενο υποκείμενο των δεδομένων και τον/την ενημερώνει σχετικά με τους κύριους λόγους του περιορισμού και με το δικαίωμα του/της να υποβάλει καταγγελία στον ΕΕΠΔ.
Άρθρο 12
Απόρρητο των ηλεκτρονικών επικοινωνιών
1. Σε εξαιρετικές περιπτώσεις, ο Οργανισμός μπορεί να περιορίσει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών βάσει του άρθρου 36 του κανονισμού. Τέτοιοι περιορισμοί συμμορφώνονται με την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.
2. Κατά παρέκκλιση από το άρθρο 8 παράγραφος 3, όταν ο Οργανισμός περιορίζει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων στην απάντησή του σε οποιοδήποτε αίτημα από το εν λόγω υποκείμενο σχετικά με τους κύριους λόγους στους οποίους βασίζεται η εφαρμογή του περιορισμού και σχετικά με το δικαίωμά του/της να υποβάλει καταγγελία στον ΕΕΠΔ.
Άρθρο 13
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 9 Νοεμβρίου 2020.
Για τη διευθύνουσα επιτροπή του EASME,
(υπεγράφη ηλεκτρονικά)
Kristin SCHREIBER
Η Πρόεδρος
(1) ΕΕ L 295 της 21.11. 2018, σ. 39.
(2) Εκτελεστική απόφαση 2013/771/ΕΕ της Επιτροπής, της 17ης Δεκεμβρίου 2013, για τη σύσταση του Εκτελεστικού Οργανισμού για τις Μικρομεσαίες Επιχειρήσεις και για την κατάργηση των αποφάσεων 2004/20/ΕΚ και 2007/372/ΕΚ (ΕΕ L 341 της 18.12.2013, σ. 73) και οικονομική κατάσταση EASME, όπως τροποποιήθηκε από την οικονομική κατάσταση EASME στις 2 Οκτωβρίου 2014.
(3) Απόφαση C(2013) 9414 της Επιτροπής, της 23ης Δεκεμβρίου 2013, σχετικά με την ανάθεση αρμοδιοτήτων στον Εκτελεστικό Οργανισμό για τις Μικρομεσαίες Επιχειρήσεις με σκοπό την εκτέλεση καθηκόντων που συνδέονται με την εφαρμογή των ενωσιακών προγραμμάτων στον τομέα της ενέργειας, του περιβάλλοντος, της δράσης για το κλίμα, της ανταγωνιστικότητας και των ΜΜΕ, της έρευνας και καινοτομίας, των ΤΠΕ, της θαλάσσιας πολιτικής και αλιείας, τα οποία περιλαμβάνουν, ιδίως, την εκτέλεση πιστώσεων που έχουν εγγραφεί στον γενικό προϋπολογισμό της Ένωσης, όπως τροποποιήθηκε τελευταία από την απόφαση C(2019) 3353 της Επιτροπής της 30ής Απριλίου 2019 και το παράρτημά της.
(4) Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου, της 29ης Φεβρουαρίου 1968, περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (ΕΕ L 56 της 4.3.1968, σ. 1).
(5) Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Ευρωπαϊκή Επιτροπή (ΕΕ L 6 της 11.1.2017, σ. 40).