|
28.6.2021 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 228/3 |
Απόφαση του διοικητικού συμβουλίου σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων που εκτελεί ο Ευρωπαϊκός Οργανισμός Περιβάλλοντος
ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΟΡΓΑΝΙΣΜΟΥ ΠΕΡΙΒΑΛΛΟΝΤΟΣ,
ΕΧΟΝΤΑΣ ΥΠΟΨΗ τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
ΕΧΟΝΤΑΣ ΥΠΟΨΗ τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1), και ιδίως το άρθρο 25,
ΕΧΟΝΤΑΣ ΥΠΟΨΗ τον κανονισμό (ΕΚ) αριθ. 401/2009 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Απριλίου 2009 για τον ευρωπαϊκό οργανισμό περιβάλλοντος και το ευρωπαϊκό δίκτυο πληροφοριών και παρατηρήσεων σχετικά με το περιβάλλον (κωδικοποιημένη έκδοση) (2), και ιδίως το άρθρο 8,
ΕΧΟΝΤΑΣ ΥΠΟΨΗ τη γνωμοδότηση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) της 13ης Μαρτίου 2019 και τις Κατευθυντήριες Οδηγίες του ΕΕΠΔ για το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 και τους εσωτερικούς κανόνες,
Κατόπιν διαβούλευσης με την Επιτροπή Προσωπικού,
ΕΚΤΙΜΩΝΤΑΣ ΤΑ ΑΚΟΛΟΥΘΑ:
|
(1) |
Ο Ευρωπαϊκούς Οργανισμός Περιβάλλοντος (εφεξής «ο Οργανισμός») είναι εξουσιοδοτημένος να διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής, σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης, καθώς και του καθεστώτος που εφαρμόζεται στο λοιπό προσωπικό της Ευρωπαϊκής Ένωσης, όπως ορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου («κανονισμός υπηρεσιακής καταστάσεως») (3), και με την απόφαση του διοικητικού συμβουλίου του ΕΟΠ της 15ης Φεβρουαρίου 2013 για τη διεξαγωγή διοικητικών ερευνών και πειθαρχικών διαδικασιών. Εφόσον απαιτείται, κοινοποιεί επίσης τα περιστατικά στην OLAF. |
|
(2) |
Τα μέλη του προσωπικού του Οργανισμού έχουν την υποχρέωση να αναφέρουν πιθανές παράνομες δραστηριότητες, συμπεριλαμβανομένης της απάτης και της δωροδοκίας, που θίγουν τα οικονομικά συμφέροντα της Ένωσης. Τα μέλη του προσωπικού του Οργανισμού είναι επίσης υποχρεωμένα να αναφέρουν κάθε συμπεριφορά που αφορά την άσκηση των επαγγελματικών καθηκόντων, η οποία μπορεί να συνιστά σοβαρή παράβαση των υποχρεώσεων των υπαλλήλων της Ένωσης. Αυτό ρυθμίζεται από την απόφαση του διοικητικού συμβουλίου του ΕΟΠ της 24ης Απριλίου 2018 σχετικά με τις κατευθυντήριες γραμμές για την καταγγελία δυσλειτουργιών (απόφαση EEA/MB/2018/011). |
|
(3) |
Ο Οργανισμός έχει θεσπίσει μια πολιτική για την πρόληψη και την αποτελεσματική αντιμετώπιση πραγματικών ή δυνητικών περιπτώσεων ψυχολογικής ή σεξουαλικής παρενόχλησης στον χώρο εργασίας όπως προκύπτει από την απόφαση του διοικητικού του συμβουλίου της 13ης Ιουνίου 2017 σχετικά με την πολιτική προστασίας της αξιοπρέπειας του προσώπου και της πρόληψης της ηθικής και σεξουαλικής παρενόχλησης (απόφαση EEA/MB/2017/011). Η απόφαση θεσπίζει άτυπη διαδικασία βάσει της οποίας το φερόμενο θύμα παρενόχλησης μπορεί να επικοινωνήσει με τους «εμπιστευτικούς» συμβούλους του Οργανισμού. |
|
(4) |
Ο Οργανισμός υπόκειται τόσο σε εσωτερικούς όσο και σε εξωτερικούς ελέγχους όσον αφορά τις δραστηριότητές του. |
|
(5) |
Στο πλαίσιο των εν λόγω διοικητικών ερευνών, ελέγχων και λοιπών ερευνών, ο Οργανισμός συνεργάζεται με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης. |
|
(6) |
Ο Οργανισμός μπορεί να συνεργάζεται με τις εθνικές αρχές τρίτων χωρών και με διεθνείς οργανισμούς, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(7) |
Ο Οργανισμός μπορεί να συνεργάζεται και με τις δημόσιες αρχές των κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(8) |
Ο Οργανισμός συμμετέχει σε υποθέσεις ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης σε περιπτώσεις κατά τις οποίες είτε παραπέμπει ένα ζήτημα στο Δικαστήριο είτε υπερασπίζεται μια απόφαση που έχει λάβει και η οποία έχει προσβληθεί ενώπιον του Δικαστηρίου, ή παρεμβαίνει σε υποθέσεις σχετικές με τα καθήκοντά του. Στο πλαίσιο αυτό, ο Οργανισμός ενδέχεται να χρειαστεί να διαφυλάξει τον εμπιστευτικό χαρακτήρα των δεδομένων προσωπικού χαρακτήρα που περιέχονται σε έγγραφα τα οποία έλαβαν οι διάδικοι ή οι παρεμβαίνοντες. |
|
(9) |
Για την εκπλήρωση των καθηκόντων του, ο Οργανισμός συλλέγει και επεξεργάζεται πληροφορίες και ορισμένες κατηγορίες δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των στοιχείων ταυτότητας φυσικών προσώπων, στοιχείων επικοινωνίας, επαγγελματικών θέσεων και αρμοδιοτήτων, πληροφοριών σχετικά με την ιδιωτική και επαγγελματική συμπεριφορά και τις επιδόσεις και χρηματοοικονομικών δεδομένων. O Οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων. |
|
(10) |
Σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725 («ο κανονισμός»), ο Οργανισμός είναι συνεπώς υποχρεωμένος να παρέχει πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τις εν λόγω δραστηριότητες επεξεργασίας και να σέβεται τα δικαιώματά τους ως υποκειμένων των δεδομένων. |
|
(11) |
Ενδέχεται να ζητηθεί από τον Οργανισμό να διασφαλίσει τη συμβατότητα των εν λόγω δικαιωμάτων με τους στόχους των διοικητικών ερευνών, των ελέγχων, των ερευνών και των δικαστικών διαδικασιών. Μπορεί επίσης να απαιτείται η εξισορρόπηση των δικαιωμάτων του υποκειμένου των δεδομένων με τα θεμελιώδη δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων. Προς τον σκοπό αυτόν, το άρθρο 25 του κανονισμού παρέχει στον Οργανισμό τη δυνατότητα περιορισμού υπό αυστηρές προϋποθέσεις, της εφαρμογής των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20. Εκτός εάν προβλέπονται περιορισμοί σε νομική πράξη που εκδίδεται βάσει των Συνθηκών, είναι αναγκαίο να θεσπιστούν εσωτερικοί κανόνες βάσει των οποίων ο Οργανισμός δικαιούται να περιορίζει τα εν λόγω δικαιώματα. |
|
(12) |
Ο Οργανισμός μπορεί, επί παραδείγματι, να χρειάζεται να περιορίσει τις πληροφορίες που παρέχει σε ένα υποκείμενο δεδομένων σχετικά με την επεξεργασία των οικείων δεδομένων προσωπικού χαρακτήρα κατά το στάδιο της προκαταρκτικής αξιολόγησης μιας διοικητικής έρευνας ή κατά τη διάρκεια της ίδιας της έρευνας, πριν από την ενδεχόμενη απόρριψη μιας υπόθεσης ή στο στάδιο των προκαταρκτικών πειθαρχικών διαδικασιών.. Υπό ορισμένες περιστάσεις, η παροχή τέτοιων πληροφοριών ενδέχεται να επηρεάσει σοβαρά την ικανότητα του Οργανισμού να διεξάγει την έρευνα με αποτελεσματικό τρόπο, οσάκις, π.χ., υπάρχει κίνδυνος το εμπλεκόμενο πρόσωπο να καταστρέψει αποδεικτικά στοιχεία ή να επηρεάσει πιθανούς μάρτυρες πριν από την εξέτασή τους. Ο Οργανισμός μπορεί, επίσης, να χρειαστεί να προασπίσει τα δικαιώματα και τις ελευθερίες των μαρτύρων, καθώς και άλλων εμπλεκόμενων προσώπων. |
|
(13) |
Ενδέχεται να κριθεί αναγκαία η προστασία της ανωνυμίας μάρτυρα ή καταγγέλλοντος που έχει ζητήσει να μην ταυτοποιηθεί. Σε μια τέτοια περίπτωση, ο Οργανισμός μπορεί να αποφασίσει την περιορισμένη πρόσβαση στα στοιχεία ταυτότητας, στις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα των εν λόγω προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες τους. |
|
(14) |
Ενδέχεται να κριθεί αναγκαία η προστασία των απόρρητων πληροφοριών που αφορούν ένα μέλος του προσωπικού το οποίο έχει επικοινωνήσει με τους εμπιστευτικούς συμβούλους του Οργανισμού στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης. Σε μια τέτοια περίπτωση, ο Οργανισμός μπορεί να χρειαστεί να περιορίσει την πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα του εικαζόμενου θύματος, του φερόμενου ως παρενοχλούντος και άλλων εμπλεκόμενων προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες όλων των ενδιαφερομένων. |
|
(15) |
Ο Οργανισμός θα πρέπει να εφαρμόζει περιορισμούς μόνον υπό την προϋπόθεση ότι δεν θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, ότι είναι απολύτως απαραίτητες και ότι αποτελούν αναλογικό μέτρο σε μια δημοκρατική κοινωνία. Ο Οργανισμός πρέπει να αιτιολογεί αναλυτικά το σκεπτικό αυτών των περιορισμών. |
|
(16) |
Κατ’ εφαρμογή της αρχής της λογοδοσίας, ο Οργανισμός θα πρέπει να τηρεί αρχείο των επιβληθέντων περιορισμών. |
|
(17) |
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ανταλλάσσονται με άλλους οργανισμούς στο πλαίσιο των αρμοδιοτήτων του, ο Οργανισμός θα πρέπει να διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τους πιθανούς σχετικούς λόγους για την επιβολή των περιορισμών, καθώς και για την αναγκαιότητα και την αναλογικότητα των περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητες του. |
|
(18) |
Το άρθρο 25 παράγραφος 6 του κανονισμού υποχρεώνει τον υπεύθυνο επεξεργασίας να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με τους κύριους λόγους στους οποίους βασίζεται η επιβολή του περιορισμού, καθώς και σχετικά με το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ. |
|
(19) |
Σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού, ο Οργανισμός έχει το δικαίωμα να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με τους λόγους επιβολής ενός περιορισμού, εάν αυτό θα αναιρούσε με οποιονδήποτε τρόπο το αποτέλεσμα του περιορισμού. Ο Οργανισμός θα πρέπει να αξιολογεί κατά περίπτωση το κατά πόσον η κοινοποίηση του περιορισμού ενδέχεται να ακυρώσει την ισχύ του. |
|
(20) |
Ο Οργανισμός θα πρέπει να αίρει τον περιορισμό μόλις οι συνθήκες που αιτιολογούν την επιβολή του παύσουν να υφίστανται, και αξιολογεί σε τακτική βάση τις εν λόγω συνθήκες. |
|
(21) |
Η διασφάλιση της μέγιστης δυνατής προστασίας των δικαιωμάτων και των υποχρεώσεων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 44 παράγραφος 1 του κανονισμού επιτάσσει την έγκαιρη ενημέρωση του υπευθύνου προστασίας δεδομένων για τους επιβαλλόμενους περιορισμούς και τον έλεγχο συμμόρφωσης της σχετικής απόφασης από αυτόν. |
|
(22) |
Το άρθρο 16 παράγραφος 5 και το άρθρο 17 παράγραφος 4 του κανονισμού περιλαμβάνουν εξαιρέσεις για το δικαίωμα πληροφόρησης και το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων. Εάν ισχύουν αυτές οι εξαιρέσεις, ο Οργανισμός δεν χρειάζεται να εφαρμόσει περιορισμούς δυνάμει της παρούσας απόφασης. |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Με την παρούσα απόφαση θεσπίζονται κανόνες σχετικά με τους όρους υπό τους οποίους ο Οργανισμός δύναται να επιβάλλει περιορισμούς κατά την εφαρμογή των άρθρων 4, 14 έως 22, 35 και 36 βάσει του άρθρου 25 του κανονισμού.
2. Ο Οργανισμός, ως υπεύθυνος επεξεργασίας, εκπροσωπείται από τον εκτελεστικό διευθυντή του, ο οποίος μπορεί να αναθέσει τον ρόλο του υπεύθυνου επεξεργασίας στο πλαίσιο του Οργανισμού, αναλαμβάνοντας τις επιχειρησιακές ευθύνες για συγκεκριμένες πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Άρθρο 2
Περιορισμοί
1. Ο Οργανισμός μπορεί να επιβάλλει περιορισμούς στην εφαρμογή των άρθρων 14 έως 22, 35 και 36 και του άρθρου 4 του κανονισμού, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20:
|
α) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β), γ), στ), ζ) και η) του κανονισμού, όταν διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές και πειθαρχικές διαδικασίες ή αναστολές βάσει του άρθρου 86 και του παραρτήματος IX του κανονισμού υπηρεσιακής καταστάσεως, και την απόφαση του διοικητικού συμβουλίου του ΕΟΠ της 15ης Φεβρουαρίου 2013 σχετικά με τη διεξαγωγή διοικητικών ερευνών και πειθαρχικών διαδικασιών, κατά τη διεκπεραίωση εσωτερικών και εξωτερικών καταγγελιών και κατά την κοινοποίηση υποθέσεων στην OLAF· |
|
β) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν διασφαλίζει ότι τα μέλη του προσωπικού του Οργανισμού μπορούν να καταγγέλλουν ζητήματα εμπιστευτικότητας όταν πιστεύουν ότι υφίστανται σοβαρές παρατυπίες, όπως προβλέπεται στην απόφαση του του διοικητικού συμβουλίου του ΕΟΠ της 14ης Δεκεμβρίου 2018 σχετικά με τις κατευθυντήριες γραμμές για την καταγγελία δυσλειτουργιών (απόφαση EEA/MB/2018/011)· |
|
γ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν διασφαλίζει ότι τα μέλη του προσωπικού του Οργανισμού μπορούν να υποβάλουν καταγγελίες σε εμπιστευτικούς συμβούλους στο πλαίσιο μιας διαδικασίας που αφορά υπόθεση παρενόχλησης (επίσημης ή ανεπίσημης), όπως ορίζεται στην απόφαση του διοικητικού συμβουλίου του ΕΟΠ της 13ης Ιουνίου 2017 σχετικά με την πολιτική του ΕΟΠ για την προστασία της αξιοπρέπειας του ατόμου και την πρόληψη της ψυχολογικής και σεξουαλικής παρενόχλησης (απόφαση EEA/MB/2017/011)· |
|
δ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού, κατά τη διενέργεια εσωτερικών ελέγχων σε σχέση με τις δραστηριότητες ή τις υπηρεσίες του Οργανισμού, συμπεριλαμβανομένων των ερευνών που διενεργούνται από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725, και εσωτερικών ερευνών ασφαλείας (ΤΠ) που διεκπεραιώνονται εσωτερικά ή με τη συμμετοχή τρίτων (π.χ. CERT-EE)· |
|
ε) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή από άλλα θεσμικά και λοιπά όργανα, και οργανισμούς της Ένωσης ή όταν συνεργάζεται μαζί τους στο πλαίσιο δραστηριοτήτων βάσει των στοιχείων α) έως δ) της παρούσας παραγράφου, και σύμφωνα με τις σχετικές συμφωνίες σε επίπεδο υπηρεσιών, μνημόνια συμφωνίας και συμφωνίες συνεργασίας· |
|
στ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή σε ή από τρίτες χώρες, εθνικές αρχές και διεθνείς οργανισμούς ή συνεργάζεται με τέτοιες αρχές και οργανισμούς, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
ζ) |
σύμφωνα με το άρθρο 25 παράγραφος 1) στοιχεία γ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή και συνεργασία σε και από δημόσιες αρχές κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
η) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο ε) του κανονισμού, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε έγγραφα που υποβάλουν οι διάδικοι ή οι παρεμβαίνοντες στο πλαίσιο προσφυγών ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης· |
|
θ) |
Οι τυχόν περιορισμοί δεν πρέπει να θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, ενώ πρέπει να αποτελούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία. |
2. Πριν από την επιβολή περιορισμών πρέπει να διενεργείται κατά περίπτωση έλεγχος αναγκαιότητας και αναλογικότητας του μέτρου. Οι περιορισμοί δεν πρέπει να υπερβαίνουν το αυστηρώς αναγκαίο μέτρο για την επίτευξη του στόχου τους.
3. Στο πλαίσιο της λογοδοσίας, ο Οργανισμός δημιουργεί αρχείο στο οποίο αρχειοθετεί τους λόγους που αιτιολογούν τους επιβληθέντες περιορισμούς, τους αναφερόμενους στην παράγραφο 1 λόγους που συντρέχουν στη συγκεκριμένη περίπτωση και το πόρισμα του ελέγχου αναγκαιότητας και αναλογικότητας του μέτρου. Αυτά τα αρχεία αποτελούν μέρος ενός μητρώου, το οποίο τίθεται στη διάθεση του ΕΕΠΔ εφόσον το ζητήσει. Ο Οργανισμός εκπονεί περιοδικές εκθέσεις κατ’ εφαρμογή του άρθρου 25 του κανονισμού.
4. Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνονται από άλλους οργανισμούς στο πλαίσιο των αρμοδιοτήτων του, ο Οργανισμός διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τους πιθανούς λόγους για την επιβολή των περιορισμών, καθώς και για την αναγκαιότητα και την αναλογικότητα των εν λόγω περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητές του Οργανισμού.
5. Οι σχετικές κατηγορίες δεδομένων περιλαμβάνουν τα τεκμηριωμένα δεδομένα («αντικειμενικά» δεδομένα όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης) και/ή μη τεκμηριωμένα δεδομένα («υποκειμενικά» δεδομένα σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς, εκτιμήσεις, στοιχεία απόδοσης και συμπεριφοράς και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας).
Άρθρο 3
Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων
1. Οι εκτιμήσεις των κινδύνων που συνεπάγονται οι επιβαλλόμενοι περιορισμοί για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και τα στοιχεία της περιόδου εφαρμογής των εν λόγω περιορισμών περιλαμβάνονται στο αρχείο των δραστηριοτήτων επεξεργασίας που τηρεί ο Οργανισμός δυνάμει του άρθρου 31 του κανονισμού. Περιλαμβάνονται επίσης και σε κάθε εκτίμηση του αντικτύπου όσον αφορά την προστασία των δεδομένων αναφορικά με τους εν λόγω περιορισμούς που διεξάγεται δυνάμει του άρθρου 39 του κανονισμού.
2. Όταν ο Οργανισμός αξιολογεί την αναγκαιότητα και την αναλογικότητα ενός περιορισμού, εξετάζει τους πιθανούς κινδύνους για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Άρθρο 4
Διασφαλίσεις και περίοδοι αποθήκευσης
1. Ο Οργανισμός εφαρμόζει διασφαλίσεις για την πρόληψη της κατάχρησης και της παράνομης πρόσβασης ή διαβίβασης δεδομένων προσωπικού χαρακτήρα ως προς τους περιορισμούς που εφαρμόζονται ή θα μπορούσαν να εφαρμοστούν. Οι εν λόγω διασφαλίσεις περιλαμβάνουν τεχνικά και οργανωτικά μέτρα και περιγράφονται λεπτομερώς, όπως είναι αναγκαίο, στις εσωτερικές αποφάσεις, τις διαδικασίες και τους κανόνες εφαρμογής του Οργανισμού. Στις διασφαλίσεις περιλαμβάνονται τα εξής:
|
α) |
σαφής καθορισμός των ρόλων, των αρμοδιοτήτων και των διαδικαστικών μέτρων, |
|
β) |
ασφαλές ηλεκτρονικό περιβάλλον που αποτρέπει την παράνομη και τυχαία πρόσβαση ή μεταφορά ηλεκτρονικών δεδομένων σε μη εξουσιοδοτημένα πρόσωπα· όλα τα ηλεκτρονικά δεδομένα αποθηκεύονται σε ασφαλή εφαρμογή πληροφορικής σύμφωνα με τα πρακτική του Οργανισμού, καθώς και σε συγκεκριμένους ηλεκτρονικούς φακέλους στους οποίους πρόσβαση έχει μόνο εξουσιοδοτημένο προσωπικό. Τα κατάλληλα επίπεδα πρόσβασης παρέχονται μεμονωμένα· |
|
γ) |
ασφαλής αποθήκευση και επεξεργασία έντυπων εγγράφων, τα οποία φυλάσσονται σε ασφαλισμένα ντουλάπια και είναι προσβάσιμα μόνο από εξουσιοδοτημένο προσωπικό· |
|
δ) |
δέουσα παρακολούθηση των περιορισμών και περιοδική ανασκόπηση της εφαρμογής τους. |
2. Η ανασκόπηση που αναφέρεται στο στοιχείο δ) διεξάγεται τουλάχιστον ανά έξι μήνες.
3. Οι περιορισμοί αίρονται αμέσως μόλις οι περιστάσεις που τους δικαιολογούν δεν ισχύον πλέον.
4. Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται σύμφωνα με τους ισχύοντες κανόνες διατήρησης του Οργανισμού, που θα προσδιορίζονται στα αρχεία προστασίας δεδομένων που τηρούνται βάσει του άρθρου 31 του κανονισμού. Μετά το πέρας της περιόδου διατήρησης, τα δεδομένα προσωπικού χαρακτήρα διαγράφονται, ανωνυμοποιούνται ή διαβιβάζονται σε αρχεία σύμφωνα με το άρθρο 13 του κανονισμού.
Άρθρο 5
Συμμετοχή του υπεύθυνου προστασίας δεδομένων
1. Ο ΥΠΔ του Οργανισμού ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση κάθε φορά που τα δικαιώματα των υποκειμένων των δεδομένων περιορίζονται σύμφωνα με την παρούσα απόφαση. Του/της χορηγείται πρόσβαση στα σχετικά αρχεία και σε οποιαδήποτε έγγραφα αφορούν το πραγματικό ή νομικό πλαίσιο.
2. Ο ΥΠΔ του Οργανισμού δύναται να ζητήσει επανεξέταση της εφαρμογής ενός περιορισμού. Ο Οργανισμός ενημερώνει γραπτώς τον ΥΠΔ του για το αποτέλεσμα της επανεξέτασης.
3. Ο Οργανισμός τεκμηριώνει τη συμμετοχή του ΥΠΔ στην εφαρμογή περιορισμών, αναφέροντας μεταξύ άλλων ποιες πληροφορίες κοινοποιούνται σε αυτόν/ή.
Άρθρο 6
Ενημέρωση των υποκειμένων των δεδομένων σχετικά με τους περιορισμούς των δικαιωμάτων τους
1. Ο Οργανισμός περιλαμβάνει στις ανακοινώσεις προστασίας δεδομένων που δημοσιεύονται στο ενδοδίκτυό του τμήμα με το οποίο παρέχονται γενικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τη δυνατότητα περιορισμού των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 2 παράγραφος 1. Οι πληροφορίες καλύπτουν τα δικαιώματα επί των οποίων μπορεί να επιβληθούν περιορισμοί, τους λόγους για τους οποίους μπορεί να εφαρμοστούν περιορισμοί και την πιθανή διάρκειά τους.
2. Ο Οργανισμός ενημερώνει ατομικά τα υποκείμενα των δεδομένων, εγγράφως και χωρίς αδικαιολόγητη καθυστέρηση, σχετικά με τους υφιστάμενους ή μελλοντικούς περιορισμούς των δικαιωμάτων τους. Ο Οργανισμός ενημερώνει το υποκείμενο των δεδομένων για τους κύριους λόγους στους οποίους βασίζεται η εφαρμογή του περιορισμού, για το δικαίωμά του να συμβουλεύεται τον ΥΠΔ προκειμένου να αμφισβητήσει τον περιορισμό και για το δικαίωμά του να υποβάλει καταγγελία στον ΕΕΠΔ.
3. O Οργανισμός μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών σχετικά με τους λόγους ενός περιορισμού και το δικαίωμα υποβολής καταγγελίας στον ΕΕΠΔ για όσο διάστημα θα ακύρωνε την ισχύ του περιορισμού. Η αξιολόγηση του κατά πόσον κάτι τέτοιο θα ήταν δικαιολογημένο γίνεται κατά περίπτωση. Ο Οργανισμός παρέχει τις πληροφορίες στο υποκείμενο των δεδομένων αμέσως μόλις παύσει να υφίσταται η πιθανότητα οι εν λόγω πληροφορίες να διακυβεύσουν την ισχύ του περιορισμού.
Άρθρο 7
Ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Όταν ο Οργανισμός υποχρεούται να κοινοποιήσει παραβίαση δεδομένων δυνάμει του άρθρου 35 παράγραφος 1 του κανονισμού, μπορεί, σε εξαιρετικές περιπτώσεις, να περιορίσει την εν λόγω κοινοποίηση εν όλω ή εν μέρει. Τεκμηριώνει σε ανακοίνωση τους λόγους του περιορισμού, τη νομική βάση για την επιβολή του σύμφωνα με το άρθρο 2 και αξιολόγηση της αναγκαιότητας και της αναλογικότητάς του. Η ανακοίνωση κοινοποιείται στον ΕΕΠΔ τη στιγμή της κοινοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα.
2. Όταν οι λόγοι για την επιβολή του περιορισμού παύσουν να ισχύουν, ο Οργανισμός κοινοποιεί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο ενδιαφερόμενο υποκείμενο των δεδομένων και τον/την ενημερώνει σχετικά με τους κύριους λόγους του περιορισμού και με το δικαίωμα του/της να υποβάλει καταγγελία στον ΕΕΠΔ.
Άρθρο 8
Απόρρητο των ηλεκτρονικών επικοινωνιών
1. Σε εξαιρετικές περιπτώσεις, ο Οργανισμός μπορεί να περιορίσει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών βάσει του άρθρου 36 του κανονισμού. Τέτοιοι περιορισμοί συμμορφώνονται με την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4).
2. Όταν ο Οργανισμός περιορίζει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων σχετικά με τους κύριους λόγους στους οποίους βασίζεται η εφαρμογή του περιορισμού και σχετικά με το δικαίωμά του/της να υποβάλει καταγγελία στον ΕΕΠΔ.
3. O Οργανισμός μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών σχετικά με τους λόγους ενός περιορισμού και το δικαίωμα υποβολής καταγγελίας στον ΕΕΠΔ, για το χρονικό διάστημα που αυτό θα αναιρούσε την ισχύ του περιορισμού. Η αξιολόγηση του κατά πόσον κάτι τέτοιο θα ήταν αιτιολογημένο γίνεται κατά περίπτωση.
Άρθρο 9
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Εγκρίθηκε με γραπτή διαδικασία του διοικητικού συμβουλίου
19 Απριλίου 2021.
Laura BURKE
Πρόεδρος του διοικητικού συμβουλίου του ΕΟΠ
(1) ΕΕ L 295 της 21.11.2018, σ. 39.
(2) EE L 126 της 21.5.2009, σ. 13.
(3) Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου της 29ης Φεβρουαρίου 1968 περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (κανονισμός υπηρεσιακής καταστάσεως των υπαλλήλων) (ΕΕ L 56 της 4.3.1968, σ. 1).
(4) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).