|
2.8.2023 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 194/39 |
ΑΠΟΦΑΣΗ αριθ. 253
του διοικητικού συμβουλίου του Οργανισμού Σιδηροδρόμων της Ευρωπαϊκής Ένωσης σχετικά με τους εσωτερικούς κανόνες που αφορούν περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων του Οργανισμού Σιδηροδρόμων της Ευρωπαϊκής Ένωσης [2023/1585]
ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ ΣΙΔΗΡΟΔΡΟΜΩΝ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1), και ιδίως το άρθρο 25,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/796 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, σχετικά με τον Οργανισμό Σιδηροδρόμων της Ευρωπαϊκής Ένωσης και την κατάργηση του κανονισμού (ΕΚ) αριθ. 881/2004 (2),
Κατόπιν διαβούλευσης με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Ο Οργανισμός είναι εξουσιοδοτημένος να διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής, σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και το καθεστώς που εφαρμόζεται στο λοιπό προσωπικό της Ευρωπαϊκής Ένωσης, όπως ορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου (στο εξής: κανονισμός υπηρεσιακής καταστάσεως) (3), και με την απόφαση του Οργανισμού της 8ης Ιουλίου 2022 περί καθορισμού γενικών εκτελεστικών διατάξεων για τη διεξαγωγή διοικητικών ερευνών και πειθαρχικών διαδικασιών. Εφόσον απαιτείται, ο Οργανισμός κοινοποιεί επίσης τα περιστατικά στην OLAF. |
|
(2) |
Τα μέλη του προσωπικού του Οργανισμού έχουν την υποχρέωση να αναφέρουν πιθανές παράνομες δραστηριότητες, συμπεριλαμβανομένων της απάτης και της δωροδοκίας, που θίγουν τα οικονομικά συμφέροντα της Ένωσης. Τα μέλη του προσωπικού του Οργανισμού είναι επίσης υποχρεωμένα να αναφέρουν κάθε συμπεριφορά που αφορά την εκπλήρωση των επαγγελματικών καθηκόντων και ενδέχεται να συνιστά σοβαρή παράβαση των υποχρεώσεων των υπαλλήλων της Ένωσης. Το εν λόγω ζήτημα ρυθμίζεται με την απόφαση του Οργανισμού, της 15ης Νοεμβρίου 2018, σχετικά με τους εσωτερικούς κανόνες για την καταγγελία δυσλειτουργιών. |
|
(3) |
Ο Οργανισμός έχει θεσπίσει πολιτική για την πρόληψη και την αποτελεσματική αντιμετώπιση πραγματικών ή δυνητικών περιπτώσεων ψυχολογικής ή σεξουαλικής παρενόχλησης στον χώρο εργασίας, όπως προκύπτει από την απόφαση αριθ. ERA-ED-690/2013 του Οργανισμού περί έγκρισης εκτελεστικών διατάξεων για την εφαρμογή μέτρων σύμφωνα με τους κανονισμούς υπηρεσιακής κατάστασης. Η απόφαση θεσπίζει άτυπη διαδικασία βάσει της οποίας το φερόμενο θύμα παρενόχλησης μπορεί να επικοινωνήσει με τους «εμπιστευτικούς» συμβούλους του Οργανισμού. |
|
(4) |
Ο Οργανισμός μπορεί επίσης να διεξάγει έρευνες σχετικά με ενδεχόμενες παραβιάσεις των κανόνων ασφαλείας για τις διαβαθμισμένες πληροφορίες της ΕΕ (ΔΠΕΕ), δυνάμει της πολιτικής πληροφόρησης και ΤΠ του Οργανισμού με την οποία θεσπίζονται κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης. |
|
(5) |
Ο Οργανισμός υπόκειται τόσο σε εσωτερικούς όσο και σε εξωτερικούς ελέγχους όσον αφορά τις δραστηριότητές του. |
|
(6) |
Στο πλαίσιο των εν λόγω διοικητικών ερευνών, ελέγχων και λοιπών ερευνών, ο Οργανισμός συνεργάζεται με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης. |
|
(7) |
Ο Οργανισμός μπορεί να συνεργάζεται με τις εθνικές αρχές τρίτων χωρών και με διεθνείς οργανισμούς, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(8) |
Ο Οργανισμός μπορεί να συνεργάζεται επίσης με τις δημόσιες αρχές των κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(9) |
Ο Οργανισμός συμμετέχει σε υποθέσεις ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης είτε για να παραπέμψει ένα ζήτημα στο Δικαστήριο είτε για να υπερασπιστεί μια απόφαση που έχει λάβει και η οποία έχει προσβληθεί ενώπιον του Δικαστηρίου, ή για να παρέμβει σε υποθέσεις σχετικές με τα καθήκοντά του. Στο πλαίσιο αυτό, ο Οργανισμός ενδέχεται να χρειαστεί να διαφυλάξει τον εμπιστευτικό χαρακτήρα των δεδομένων προσωπικού χαρακτήρα που περιέχονται σε έγγραφα τα οποία έλαβαν οι διάδικοι ή οι παρεμβαίνοντες. |
|
(10) |
Για την εκπλήρωση των καθηκόντων του, ο Οργανισμός συλλέγει και επεξεργάζεται πληροφορίες και ορισμένες κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως στοιχεία ταυτότητας φυσικών προσώπων, στοιχεία επικοινωνίας, επαγγελματικούς ρόλους και καθήκοντα, πληροφορίες σχετικά με την ιδιωτική και επαγγελματική συμπεριφορά και τις επιδόσεις, καθώς και χρηματοοικονομικά δεδομένα. O Οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων. |
|
(11) |
Σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725 (στο εξής: ο κανονισμός), ο Οργανισμός είναι συνεπώς υποχρεωμένος να παρέχει πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τις εν λόγω δραστηριότητες επεξεργασίας και να σέβεται τα δικαιώματα που έχουν ως υποκείμενα των δεδομένων. |
|
(12) |
Ενδέχεται να ζητηθεί από τον Οργανισμό να διασφαλίσει τη συμβατότητα των εν λόγω δικαιωμάτων με τους στόχους των διοικητικών ερευνών, των ελέγχων, των ερευνών και των δικαστικών διαδικασιών. Μπορεί επίσης να απαιτείται η εξισορρόπηση των δικαιωμάτων του υποκειμένου των δεδομένων με τα θεμελιώδη δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων. Προς τον σκοπό αυτόν, το άρθρο 25 του κανονισμού παρέχει στον Οργανισμό τη δυνατότητα περιορισμού, υπό αυστηρές προϋποθέσεις, της εφαρμογής των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20. Είναι αναγκαίο να θεσπιστούν εσωτερικοί κανόνες βάσει των οποίων ο Οργανισμός έχει το δικαίωμα να περιορίζει τα εν λόγω δικαιώματα, εκτός εάν προβλέπονται περιορισμοί σε νομική πράξη που έχει εκδοθεί βάσει των Συνθηκών. |
|
(13) |
Ο Οργανισμός μπορεί, για παράδειγμα, να χρειάζεται να περιορίσει τις πληροφορίες που παρέχει σε ένα υποκείμενο δεδομένων σχετικά με την επεξεργασία των οικείων δεδομένων προσωπικού χαρακτήρα κατά το στάδιο της προκαταρκτικής αξιολόγησης μιας διοικητικής έρευνας ή κατά τη διάρκεια της ίδιας της έρευνας, πριν από την ενδεχόμενη απόρριψη μιας υπόθεσης ή στο στάδιο των προκαταρκτικών πειθαρχικών διαδικασιών. Υπό ορισμένες περιστάσεις, η παροχή τέτοιων πληροφοριών ενδέχεται να επηρεάσει σοβαρά την ικανότητα του Οργανισμού να διεξάγει την έρευνα με αποτελεσματικό τρόπο, οσάκις, π.χ., υπάρχει κίνδυνος το εμπλεκόμενο πρόσωπο να καταστρέψει αποδεικτικά στοιχεία ή να επηρεάσει πιθανούς μάρτυρες πριν από την εξέτασή τους. Ο Οργανισμός μπορεί, επίσης, να χρειαστεί να προασπίσει τα δικαιώματα και τις ελευθερίες των μαρτύρων, καθώς και άλλων εμπλεκόμενων προσώπων. |
|
(14) |
Ενδέχεται να κριθεί αναγκαία η προστασία της ανωνυμίας μάρτυρα ή καταγγέλλοντος που έχει ζητήσει να μην ταυτοποιηθεί. Σε μια τέτοια περίπτωση, ο Οργανισμός μπορεί να αποφασίσει την περιορισμένη πρόσβαση στα στοιχεία ταυτότητας, στις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα των εν λόγω προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες τους. |
|
(15) |
Ενδέχεται να κριθεί αναγκαία η προστασία των απόρρητων πληροφοριών που αφορούν ένα μέλος του προσωπικού το οποίο έχει επικοινωνήσει με τους εμπιστευτικούς συμβούλους του Οργανισμού στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης. Σε μια τέτοια περίπτωση, ο Οργανισμός μπορεί να χρειαστεί να περιορίσει την πρόσβαση στα στοιχεία ταυτότητας, τις καταθέσεις και σε άλλα δεδομένα προσωπικού χαρακτήρα του φερόμενου ως θύματος, του φερόμενου ως παρενοχλούντος και άλλων εμπλεκόμενων προσώπων, με σκοπό να προστατεύσει τα δικαιώματα και τις ελευθερίες όλων των ενδιαφερομένων. |
|
(16) |
Ο Οργανισμός εφαρμόζει περιορισμούς μόνον υπό την προϋπόθεση ότι δεν θίγουν το ουσιαστικό περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών, είναι απολύτως απαραίτητοι και αποτελούν αναλογικό μέτρο σε μια δημοκρατική κοινωνία. Ο Οργανισμός αιτιολογεί αναλυτικά τους περιορισμούς. |
|
(17) |
Κατ’ εφαρμογή της αρχής της λογοδοσίας, ο Οργανισμός θα πρέπει να τηρεί αρχείο των επιβληθέντων περιορισμών. |
|
(18) |
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ανταλλάσσονται με άλλους οργανισμούς στο πλαίσιο των αρμοδιοτήτων του, ο Οργανισμός διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τους πιθανούς σχετικούς λόγους για την επιβολή των περιορισμών, καθώς και για την αναγκαιότητα και την αναλογικότητα των περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητες του. |
|
(19) |
Το άρθρο 25 παράγραφος 6 του κανονισμού υποχρεώνει τον υπεύθυνο επεξεργασίας να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με τους κύριους λόγους στους οποίους βασίζεται η επιβολή του περιορισμού, καθώς και σχετικά με το δικαίωμά τους να υποβάλουν καταγγελία στον ΕΕΠΔ. |
|
(20) |
Σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού, ο Οργανισμός έχει το δικαίωμα να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με τους λόγους επιβολής ενός περιορισμού, εάν αυτό θα αναιρούσε με οποιονδήποτε τρόπο το αποτέλεσμα του περιορισμού. Ο Οργανισμός θα πρέπει να αξιολογεί κατά περίπτωση το κατά πόσον η ανακοίνωση του περιορισμού ενδέχεται να ακυρώσει την ισχύ του. |
|
(21) |
Ο Οργανισμός θα πρέπει να αίρει τον περιορισμό μόλις οι συνθήκες που αιτιολογούν την επιβολή του παύσουν να υφίστανται, και να αξιολογεί σε τακτική βάση τις εν λόγω συνθήκες. |
|
(22) |
Η διασφάλιση της μέγιστης δυνατής προστασίας των δικαιωμάτων και των υποχρεώσεων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 44 παράγραφος 1 του κανονισμού επιτάσσει την έγκαιρη ενημέρωση του υπευθύνου προστασίας δεδομένων για τους επιβαλλόμενους περιορισμούς και τον έλεγχο συμμόρφωσης της σχετικής απόφασης από αυτόν. |
|
(23) |
Το άρθρο 16 παράγραφος 5 και το άρθρο 17 παράγραφος 4 του κανονισμού περιλαμβάνουν εξαιρέσεις για το δικαίωμα πληροφόρησης και το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων. Εάν ισχύουν αυτές οι εξαιρέσεις, ο Οργανισμός δεν χρειάζεται να εφαρμόσει περιορισμούς δυνάμει της παρούσας απόφασης, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Με την παρούσα απόφαση θεσπίζονται κανόνες σχετικά με τους όρους υπό τους οποίους ο Οργανισμός δύναται να περιορίσει την εφαρμογή του άρθρου 4, των άρθρων 14 έως 22 και των άρθρων 35 και 36 βάσει του άρθρου 25 του κανονισμού.
2. Ως υπεύθυνος επεξεργασίας, ο Οργανισμός εκπροσωπείται από τον εκτελεστικό διευθυντή του.
Άρθρο 2
Περιορισμοί
1. Ο Οργανισμός μπορεί να περιορίσει την εφαρμογή των άρθρων 14 έως 22, των άρθρων 35 και 36 καθώς και του άρθρου 4 του κανονισμού, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20:
|
α) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β), γ), στ), ζ) και η) του κανονισμού, όταν διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες και πειθαρχικές διαδικασίες ή διαδικασίες αναστολής βάσει του άρθρου 86 και του παραρτήματος IX του κανονισμού υπηρεσιακής καταστάσεως, και βάσει της απόφασης αριθ. 297 του διοικητικού συμβουλίου του Οργανισμού (4), και όταν κοινοποιεί υποθέσεις στην OLAF· |
|
β) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν διασφαλίζει ότι τα μέλη του προσωπικού του Οργανισμού μπορούν να καταγγέλλουν ζητήματα εμπιστευτικότητας όταν πιστεύουν ότι υφίστανται σοβαρές παρατυπίες, όπως προβλέπεται στην απόφαση αριθ. 183 του διοικητικού συμβουλίου του Οργανισμού σχετικά με την καταγγελία δυσλειτουργιών (5) και στην απόφαση αριθ. 8 σχετικά με τις εσωτερικές έρευνες (6)· |
|
γ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού, όταν διασφαλίζει ότι τα μέλη του προσωπικού του Οργανισμού μπορούν να υποβάλλουν αναφορές σε έμπιστους συμβούλους, στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης, όπως ορίζεται από την απόφαση ERA-ED-690-2013 (7) του Οργανισμού· |
|
δ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού, όταν διεξάγει εσωτερικούς ελέγχους σχετικά με δραστηριότητες ή τμήματα του Οργανισμού· |
|
ε) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει συνδρομή από άλλα θεσμικά και λοιπά όργανα, και οργανισμούς της Ένωσης ή όταν συνεργάζεται μαζί τους στο πλαίσιο δραστηριοτήτων βάσει των στοιχείων α) έως δ) της παρούσας παραγράφου, και σύμφωνα με τις σχετικές συμφωνίες σε επίπεδο υπηρεσιών, μνημόνια συμφωνίας και συμφωνίες συνεργασίας· |
|
στ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει βοήθεια προς ή από εθνικές αρχές τρίτων χωρών και διεθνείς οργανισμούς ή συνεργάζεται με τέτοιες αρχές και οργανισμούς, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
ζ) |
σύμφωνα με το άρθρο 25 παράγραφος 1) στοιχεία γ), ζ) και η) του κανονισμού, όταν παρέχει ή λαμβάνει βοήθεια και συνεργασία προς και από δημόσιες αρχές των κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
η) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο ε) του κανονισμού, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε έγγραφα που υποβάλλουν οι διάδικοι ή οι παρεμβαίνοντες στο πλαίσιο προσφυγών ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης. |
2. Κάθε περιορισμός πρέπει να σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών, και να συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία.
3. Πριν από την επιβολή περιορισμών πρέπει να διενεργείται έλεγχος της αναγκαιότητας και της αναλογικότητας του μέτρου κατά περίπτωση. Οι περιορισμοί επιβάλλονται μόνον εφόσον είναι απολύτως αναγκαίο για την επίτευξη του στόχου τους.
4. Στο πλαίσιο της λογοδοσίας, ο Οργανισμός δημιουργεί αρχείο στο οποίο αρχειοθετεί τους λόγους που αιτιολογούν τους επιβληθέντες περιορισμούς, τους αναφερόμενους στην παράγραφο 1 λόγους που συντρέχουν στη συγκεκριμένη περίπτωση και το πόρισμα του ελέγχου αναγκαιότητας και αναλογικότητας του μέτρου. Αυτά τα αρχεία αποτελούν μέρος ενός μητρώου, το οποίο τίθεται στη διάθεση του ΕΕΠΔ εφόσον το ζητήσει. Ο Οργανισμός εκπονεί περιοδικές εκθέσεις κατ’ εφαρμογή του άρθρου 25 του κανονισμού.
5. Κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που λαμβάνονται από άλλους οργανισμούς στο πλαίσιο των αρμοδιοτήτων του, ο Οργανισμός διαβουλεύεται με τους εν λόγω οργανισμούς σχετικά με τους πιθανούς λόγους για την επιβολή των περιορισμών, καθώς και για την αναγκαιότητα και την αναλογικότητα των εν λόγω περιορισμών, εκτός εάν αυτό θέτει σε κίνδυνο τις δραστηριότητές του Οργανισμού.
Άρθρο 3
Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων
1. Οι εκτιμήσεις των κινδύνων που συνεπάγονται οι επιβαλλόμενοι περιορισμοί για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και τα στοιχεία της περιόδου εφαρμογής των εν λόγω περιορισμών περιλαμβάνονται στο αρχείο των δραστηριοτήτων επεξεργασίας που τηρεί ο Οργανισμός δυνάμει του άρθρου 31 του κανονισμού. Περιλαμβάνονται επίσης και σε κάθε εκτίμηση αντικτύπου για την προστασία των δεδομένων αναφορικά με τους εν λόγω περιορισμούς η οποία διεξάγεται δυνάμει του άρθρου 39 του κανονισμού.
2. Όταν ο Οργανισμός αξιολογεί την αναγκαιότητα και την αναλογικότητα ενός περιορισμού, εξετάζει τους πιθανούς κινδύνους για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Άρθρο 4
Διασφαλίσεις και περίοδοι αποθήκευσης
1. Ο Οργανισμός εφαρμόζει διασφαλίσεις για την πρόληψη των καταχρήσεων και της παράνομης πρόσβασης ή διαβίβασης δεδομένων προσωπικού χαρακτήρα τα οποία υπόκεινται ή δύνανται να υπόκεινται σε περιορισμούς. Οι εν λόγω διασφαλίσεις περιλαμβάνουν τεχνικά και οργανωτικά μέτρα και περιγράφονται λεπτομερώς, όπως είναι αναγκαίο, στις εσωτερικές αποφάσεις, τις διαδικασίες και τους κανόνες εφαρμογής του Οργανισμού. Στις διασφαλίσεις περιλαμβάνονται τα εξής:
|
α) |
σαφής καθορισμός των ρόλων, των αρμοδιοτήτων και των διαδικαστικών μέτρων, |
|
β) |
κατά περίπτωση, ένα ασφαλές ηλεκτρονικό περιβάλλον που αποτρέπει την παράνομη και τυχαία πρόσβαση ή μεταφορά ηλεκτρονικών δεδομένων σε μη εξουσιοδοτημένα άτομα, |
|
γ) |
κατά περίπτωση, ασφαλής αποθήκευση και επεξεργασία έντυπων εγγράφων, |
|
δ) |
δέουσα παρακολούθηση των περιορισμών και περιοδική ανασκόπηση της εφαρμογής τους. |
2. Η ανασκόπηση που αναφέρεται στο στοιχείο δ) διεξάγεται τουλάχιστον ανά έξι μήνες.
3. Οι περιορισμοί αίρονται αμέσως μόλις οι περιστάσεις που τους δικαιολογούν δεν ισχύουν πλέον.
4. Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται σύμφωνα με τους ισχύοντες κανόνες διατήρησης του Οργανισμού, που θα προσδιορίζονται στα αρχεία προστασίας δεδομένων που τηρούνται βάσει του άρθρου 31 του κανονισμού. Μετά το πέρας της περιόδου διατήρησης, τα δεδομένα προσωπικού χαρακτήρα διαγράφονται, ανωνυμοποιούνται ή διαβιβάζονται σε αρχεία σύμφωνα με το άρθρο 13 του κανονισμού.
Άρθρο 5
Συμμετοχή του υπεύθυνου προστασίας δεδομένων
1. Ο υπεύθυνος προστασίας δεδομένων του Οργανισμού ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση κάθε φορά που τα δικαιώματα των υποκειμένων των δεδομένων περιορίζονται σύμφωνα με την παρούσα απόφαση. Παρέχεται στον ΥΠΔ πρόσβαση στα σχετικά αρχεία και σε οποιαδήποτε έγγραφα αφορούν το πραγματικό ή νομικό πλαίσιο.
2. Ο ΥΠΔ του Οργανισμού δύναται να ζητήσει επανεξέταση της εφαρμογής ενός περιορισμού. Ο Οργανισμός ενημερώνει γραπτώς τον ΥΠΔ του για το αποτέλεσμα της επανεξέτασης.
3. Ο Οργανισμός τεκμηριώνει τη συμμετοχή του ΥΠΔ σε κάθε περίπτωση επιβολής περιορισμού, αναφέροντας μεταξύ άλλων ποιες πληροφορίες κοινοποιούνται σε αυτόν.
Άρθρο 6
Ενημέρωση των υποκειμένων των δεδομένων σχετικά με τους περιορισμούς των δικαιωμάτων τους
1. Ο Οργανισμός περιλαμβάνει μια ενότητα στις ανακοινώσεις προστασίας δεδομένων προσωπικού χαρακτήρα στον δικτυακό τόπο και/ή στο ενδοδίκτυό του με γενικές πληροφορίες προς τα υποκείμενα των δεδομένων σχετικά με τους δυνητικούς περιορισμούς δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 2 παράγραφος 1. Οι πληροφορίες καλύπτουν τα δικαιώματα επί των οποίων μπορεί να επιβληθούν περιορισμοί, τους λόγους για τους οποίους μπορεί να εφαρμοστούν περιορισμοί και την πιθανή διάρκειά τους.
2. Ο Οργανισμός ενημερώνει ατομικά τα υποκείμενα των δεδομένων, εγγράφως και χωρίς αδικαιολόγητη καθυστέρηση, σχετικά με τους υφιστάμενους ή μελλοντικούς περιορισμούς των δικαιωμάτων τους. Ο Οργανισμός ενημερώνει το υποκείμενο των δεδομένων για τους κύριους λόγους στους οποίους βασίζεται η εφαρμογή του περιορισμού, για το δικαίωμά του να συμβουλεύεται τον ΥΠΔ προκειμένου να αμφισβητήσει τον περιορισμό και για το δικαίωμά του να υποβάλει καταγγελία στον ΕΕΠΔ.
3. O Οργανισμός μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί να παράσχει πληροφορίες σχετικά με τους λόγους του περιορισμού και το δικαίωμα υποβολής καταγγελίας στον ΕΕΠΔ στο μέτρο που η ενημέρωση αυτή στερεί από τον περιορισμό την ισχύ του. Η αξιολόγηση του κατά πόσον κάτι τέτοιο θα ήταν δικαιολογημένο γίνεται κατά περίπτωση. Ο Οργανισμός παρέχει τις πληροφορίες στο υποκείμενο των δεδομένων αμέσως μόλις παύσει να υφίσταται η πιθανότητα οι εν λόγω πληροφορίες να διακυβεύσουν την ισχύ του περιορισμού.
Άρθρο 7
Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Όταν ο Οργανισμός υποχρεούται να ανακοινώσει παραβίαση δεδομένων δυνάμει του άρθρου 35 παράγραφος 1 του κανονισμού, μπορεί, σε εξαιρετικές περιπτώσεις, να περιορίσει την εν λόγω ανακοίνωση εν όλω ή εν μέρει. Τεκμηριώνει σε υπόμνημα τους λόγους του περιορισμού, τη νομική του βάση σύμφωνα με το άρθρο 2 και την αξιολόγηση της αναγκαιότητας και της αναλογικότητάς του. Το υπόμνημα υποβάλλεται στον ΕΕΠΔ τη στιγμή της ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα.
2. Όταν οι λόγοι για την επιβολή του περιορισμού παύσουν να ισχύουν, ο Οργανισμός ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο ενδιαφερόμενο υποκείμενο των δεδομένων και το ενημερώνει σχετικά με τους κύριους λόγους του περιορισμού και με το δικαίωμα του να υποβάλει καταγγελία στον ΕΕΠΔ.
Άρθρο 8
Απόρρητο των ηλεκτρονικών επικοινωνιών
1. Σε εξαιρετικές περιπτώσεις, ο Οργανισμός μπορεί να περιορίσει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών βάσει του άρθρου 36 του κανονισμού. Οι εν λόγω περιορισμοί συνάδουν με την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8).
2. Κατά παρέκκλιση από το άρθρο 6 παράγραφος 3, όταν ο Οργανισμός περιορίζει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων, απαντώντας σε οποιοδήποτε αίτημα από το εν λόγω υποκείμενο, σχετικά με τους κύριους λόγους που αιτιολογούν τον περιορισμό και σχετικά με το δικαίωμά του να υποβάλει καταγγελία στον ΕΕΠΔ.
Άρθρο 9
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Για το διοικητικό συμβούλιο, 17 Φεβρουαρίου 2021.
Η Πρόεδρος
Clio LIÉGEOIS
(1) ΕΕ L 295 της 21.11.2018, σ. 39.
(2) ΕΕ L 138 της 26.5.2016, σ. 1, στο εξής: κανονισμός του Οργανισμού.
(3) Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου, της 29ης Φεβρουαρίου 1968, περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (ΕΕ L 56 της 4.3.1968, σ. 1).
(4) Απόφαση αριθ. 297 του διοικητικού συμβουλίου του Οργανισμού της Ευρωπαϊκής Ένωσης, της 8ης Ιουλίου 2022, για τη θέσπιση γενικών εκτελεστικών διατάξεων για τη διεξαγωγή διοικητικών ερευνών και πειθαρχικών διαδικασιών.
(5) Απόφαση αριθ. 183 του διοικητικού συμβουλίου του Οργανισμού Σιδηροδρόμων της Ευρωπαϊκής Ένωσης, της 15ης Νοεμβρίου 2018, σχετικά με τις κατευθυντήριες γραμμές για την καταγγελία δυσλειτουργιών.
(6) Απόφαση αριθ. 08 του διοικητικού συμβουλίου του Ευρωπαϊκού Οργανισμού Σιδηροδρόμων, της 17ης Οκτωβρίου 2006, σχετικά με τους όρους και τις προϋποθέσεις των εσωτερικών ερευνών για την πρόληψη της απάτης, της δωροδοκίας και οποιασδήποτε παράνομης δραστηριότητας επιζήμιας για τα συμφέροντα των Κοινοτήτων.
(7) Απόφαση αριθ. 690/2013 του Ευρωπαϊκού Οργανισμού Σιδηροδρόμων σχετικά με την πολιτική για την προστασία της αξιοπρέπειας του ατόμου και την πρόληψη της ψυχολογικής και σεξουαλικής παρενόχλησης.
(8) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (EE L 201 της 31.7.2002, σ. 37).