Επίσημη Εφημερίδα
της Ευρωπαϊκής Ένωσης
EL
Σειρά L
|
|
Επίσημη Εφημερίδα |
EL Σειρά L |
|
2023/2189 |
16.10.2023 |
ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΚΟΙΝΗΣ ΕΠΙΧΕΙΡΗΣΗΣ ΠΑΓΚΟΣΜΙΟ ΠΡΟΓΡΑΜΜΑ ΓΙΑ ΤΗΝ ΥΓΕΙΑ EDCTP3 ΑΠΟΦΑΣΗ αριθ. GB/18/2023
σχετικά με τους εσωτερικούς κανόνες περί περιορισμού ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της λειτουργίας της κοινής επιχείρησης «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» [2023/2189]
ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΚΟΙΝΗΣ ΕΠΙΧΕΙΡΗΣΗΣ «ΠΑΓΚΟΣΜΙΟ ΠΡΟΓΡΑΜΜΑ ΓΙΑ ΤΗΝ ΥΓΕΙΑ EDCTP3»,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ [στο εξής: κανονισμός (ΕΕ) 2018/1725] (1), και ιδίως το άρθρο 25,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2021/2085 του Συμβουλίου, της 19ης Νοεμβρίου 2021, σχετικά με τη σύσταση των κοινών επιχειρήσεων στο πλαίσιο του προγράμματος «Ορίζων Ευρώπη» και για την κατάργηση των κανονισμών (ΕΚ) αριθ. 219/2007, (ΕΕ) αριθ. 557/2014, (ΕΕ) αριθ. 558/2014, (ΕΕ) αριθ. 559/2014, (ΕΕ) αριθ. 560/2014, (ΕΕ) αριθ. 561/2014 και (ΕΕ) αριθ. 642/2014 (2) (στο εξής: ενιαία βασική πράξη),
Έχοντας υπόψη τις οδηγίες του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) σχετικά με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 και τους εσωτερικούς κανόνες της 24ης Ιουνίου 2020 (3),
Κατόπιν διαβούλευσης με τον ΕΕΠΔ στις 12 Ιουνίου 2023, σύμφωνα με το άρθρο 41 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725,
Έχοντας υπόψη τις συστάσεις του ΕΕΠΔ της 19ης Ιουνίου 2023,
Αφού ενημέρωσε το προσωπικό της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3»,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Μόνο οι νομικές πράξεις που εκδίδονται βάσει των Συνθηκών δύνανται να προβλέπουν περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων. Στις περιπτώσεις που οι εν λόγω περιορισμοί δεν μπορούν να βασίζονται σε νομικές πράξεις που εκδίδονται βάσει των Συνθηκών, ο κανονισμός (ΕΕ) 2018/1725 ορίζει ότι, σε θέματα σχετικά με τη λειτουργία της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», δύναται να προβλέπονται περιορισμοί με εσωτερικούς κανονισμούς, έπειτα από την αξιολόγηση της αναγκαιότητας και της αναλογικότητας των εν λόγω περιορισμών. |
|
(2) |
Σύμφωνα με το άρθρο 25 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, οι περιορισμοί της εφαρμογής των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού, καθώς και του άρθρου 4 του εν λόγω κανονισμού, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20, πρέπει να βασίζονται σε εσωτερικούς κανονισμούς που θεσπίζονται από την ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3». |
|
(3) |
Στο πλαίσιο της διοικητικής λειτουργίας της, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες και διαδικασίες αναστολής, προκαταρκτικές δραστηριότητες που σχετίζονται με περιπτώσεις ενδεχόμενων παρατυπιών που έχουν καταγγελθεί στην Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF), να επεξεργάζεται υποθέσεις καταγγελίας δυσλειτουργιών, να επεξεργάζεται (επίσημες και ανεπίσημες) διαδικασίες παρενόχλησης, να επεξεργάζεται εσωτερικές και εξωτερικές καταγγελίες, να διενεργεί εσωτερικούς και εξωτερικούς ελέγχους, να διεξάγει έρευνες μέσω του υπευθύνου προστασίας δεδομένων (στο εξής: ΥΠΔ), σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725 και να διενεργεί έρευνες ασφαλείας (ΤΠ) που διεκπεραιώνονται εσωτερικά ή με τη συμμετοχή τρίτων (π.χ. CERT-EU). |
|
(4) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί επίσης να διεξάγει έρευνες σχετικά με ενδεχόμενες παραβιάσεις των κανόνων ασφαλείας για τις διαβαθμισμένες πληροφορίες της ΕΕ (ΔΠΕΕ), δυνάμει της απόφασης που προτίθεται να εκδώσει σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης. |
|
(5) |
Στο πλαίσιο των εν λόγω διοικητικών ερευνών, ελέγχων και λοιπών ερευνών, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» συνεργάζεται με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης. |
|
(6) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να συνεργάζεται με τις εθνικές αρχές τρίτων χωρών και με διεθνείς οργανισμούς, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(7) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να συνεργάζεται και με τις δημόσιες αρχές των κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με δική του πρωτοβουλία. |
|
(8) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» συμμετέχει σε υποθέσεις ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης είτε για να παραπέμψει ένα ζήτημα στο Δικαστήριο είτε για να υπερασπιστεί μια απόφαση που έχει λάβει και η οποία έχει προσβληθεί ενώπιον του Δικαστηρίου, ή για να παρέμβει σε υποθέσεις σχετικές με τα καθήκοντά του. Στο πλαίσιο αυτό, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» ενδέχεται να χρειαστεί να διαφυλάξει τον εμπιστευτικό χαρακτήρα των δεδομένων προσωπικού χαρακτήρα που περιέχονται στα έγγραφα τα οποία υποβάλλονται από τους διαδίκους ή τους παρεμβαίνοντες. |
|
(9) |
Για να εκπληρώσει τα καθήκοντά της, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» συλλέγει και επεξεργάζεται διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης, και/ή δεδομένα σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς, εκτιμήσεις, στοιχεία απόδοσης και συμπεριφοράς και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας (4). |
|
(10) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», εκπροσωπούμενη από τον εκτελεστικό διευθυντή της, ενεργεί ως υπεύθυνος επεξεργασίας των δεδομένων. |
|
(11) |
Τα δεδομένα προσωπικού χαρακτήρα φυλάσσονται με ασφάλεια σε ηλεκτρονικό περιβάλλον ή σε έντυπη μορφή ώστε να αποτρέπεται η παράνομη πρόσβαση σε αυτά ή η διαβίβασή τους σε πρόσωπα που δεν έχουν νόμιμο δικαίωμα πρόσβασης στα εν λόγω δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία διατηρούνται μόνο για το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, για την περίοδο που καθορίζεται στις ανακοινώσεις προστασίας δεδομένων, στις δηλώσεις προστασίας δεδομένων προσωπικού χαρακτήρα ή στα αρχεία της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3». |
|
(12) |
Σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» είναι συνεπώς υποχρεωμένη να παρέχει πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τις εν λόγω δραστηριότητες επεξεργασίας και να σέβεται τα δικαιώματα που έχουν ως υποκείμενα των δεδομένων. |
|
(13) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να χρειαστεί να διασφαλίσει τη συμβατότητα των εν λόγω δικαιωμάτων με τους στόχους των διοικητικών ερευνών, των ελέγχων, των ερευνών και των δικαστικών διαδικασιών. Μπορεί επίσης να απαιτείται η εξισορρόπηση των δικαιωμάτων του υποκειμένου των δεδομένων με τα θεμελιώδη δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων. Προς τον σκοπό αυτόν, το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 παρέχει, υπό αυστηρές προϋποθέσεις, στην ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» τη δυνατότητα περιορισμού της εφαρμογής των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καθώς και του άρθρου 4, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20. |
|
(14) |
Οι εσωτερικοί κανόνες θα πρέπει να εφαρμόζονται στις σχετικές πράξεις επεξεργασίας που διενεργούνται πριν από την έναρξη των διαδικασιών που αναφέρονται ανωτέρω, κατά τη διάρκεια των εν λόγω διαδικασιών, κατά την παρακολούθηση της συνέχειας των αποτελεσμάτων των εν λόγω διαδικασιών και καθ’ όλη την περίοδο κατά την οποία εξακολουθεί να εφαρμόζεται ο περιορισμός. Επίσης, θα πρέπει να εφαρμόζονται στο πλαίσιο συνδρομής και συνεργασίας που παρέχει η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» σε εθνικές αρχές και διεθνείς οργανισμούς εκτός των διοικητικών ερευνών που διενεργεί. |
|
(15) |
Στις περιπτώσεις όπου εφαρμόζονται οι εν λόγω εσωτερικοί κανόνες, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» πρέπει να αιτιολογεί γιατί οι περιορισμοί είναι απολύτως αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία και να τηρεί την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών. |
|
(16) |
Στο πλαίσιο αυτό, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» υποχρεούται να σέβεται, σε πλήρη συμμόρφωση με τη σχετική νομοθεσία και τις σχετικές κατευθυντήριες γραμμές, τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων κατά τη διεξαγωγή των ανωτέρω διαδικασιών, ιδίως αυτά που αφορούν το δικαίωμα παροχής πληροφοριών, πρόσβασης και διόρθωσης, το δικαίωμα διαγραφής, περιορισμού επεξεργασίας, το δικαίωμα γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή το απόρρητο των επικοινωνιών, όπως θεσπίζονται στον κανονισμό (ΕΕ) 2018/1725. |
|
(17) |
Ωστόσο, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να υποχρεωθεί να περιορίσει τις πληροφορίες στα υποκείμενα των δεδομένων και άλλα δικαιώματα των υποκειμένων των δεδομένων για την προστασία, κυρίως, των δικών της ερευνών, των ερευνών και διαδικασιών άλλων δημόσιων αρχών, καθώς και των δικαιωμάτων άλλων προσώπων που σχετίζονται με τις έρευνες ή άλλες διαδικασίες της. |
|
(18) |
Όταν εξετάζει το ενδεχόμενο να εφαρμόσει έναν περιορισμό, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» σταθμίζει τον κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ιδίως τον κίνδυνο για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων και τον κίνδυνο της ακύρωσης του αποτελέσματος των ερευνών ή διαδικασιών της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», για παράδειγμα μέσω της καταστροφής αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων αφορούν πρωτίστως, μεταξύ άλλων, τους κινδύνους φήμης και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης. |
|
(19) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί επομένως να περιορίσει τις πληροφορίες για λόγους προστασίας της έρευνας και των θεμελιωδών δικαιωμάτων και ελευθεριών άλλων υποκειμένων δεδομένων. |
|
(20) |
Η διασφάλιση της μέγιστης δυνατής προστασίας των δικαιωμάτων και των υποχρεώσεων των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 44 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 επιτάσσει την έγκαιρη ενημέρωση του υπευθύνου προστασίας δεδομένων για τους επιβαλλόμενους περιορισμούς και τον έλεγχο συμμόρφωσης της σχετικής απόφασης από αυτόν. |
|
(21) |
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» θα πρέπει να παρακολουθεί περιοδικά την τήρηση των όρων που δικαιολογούν τον περιορισμό και να αίρει τον περιορισμό όταν αυτοί δεν ισχύουν πλέον. |
|
(22) |
Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει τον ΥΠΔ κατά τη στιγμή της αναβολής και κατά τη διάρκεια των αναθεωρήσεων. |
|
(23) |
Η παρούσα απόφαση εκδίδεται με γραπτή διαδικασία σύμφωνα με το άρθρο 10 του εσωτερικού κανονισμού του διοικητικού συμβουλίου της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», |
ΑΠΟΦΑΣΙΖΕΙ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Η παρούσα απόφαση θεσπίζει κανόνες σχετικά με τους όρους υπό τους οποίους η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», στο πλαίσιο των διαδικασιών της που ορίζονται στο άρθρο 3 της παρούσας απόφασης, μπορεί να περιορίζει την εφαρμογή των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καθώς και του άρθρου 4 του ίδιου κανονισμού, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725.
2. Οι κατηγορίες δεδομένων που αφορούν τις εν λόγω διαδικασίες περιλαμβάνουν στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης και δεδομένα σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς, εκτιμήσεις, στοιχεία απόδοσης και συμπεριφοράς και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας.
3. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», κατά την άσκηση των καθηκόντων της όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων βάσει του κανονισμού (ΕΕ) 2018/1725, εξετάζει αν εφαρμόζονται τυχόν εξαιρέσεις που ορίζονται στον εν λόγω κανονισμό.
Άρθρο 2
Ορισμός του υπεύθυνου επεξεργασίας
Ο υπεύθυνος επεξεργασίας των πράξεων επεξεργασίας είναι η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», εκπροσωπούμενη από τον εκτελεστικό διευθυντή της.
Άρθρο 3
Περιορισμοί
1. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να περιορίσει την εφαρμογή των άρθρων 14 έως 22 και των άρθρων 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καθώς και του άρθρου 4 του ίδιου κανονισμού, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 20:
|
α) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία β), γ), στ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν διεξάγει διοικητικές έρευνες, προκαταρκτικές πειθαρχικές διαδικασίες, πειθαρχικές διαδικασίες ή διαδικασίες αναστολής βάσει του άρθρου 86 και του παραρτήματος IX του κανονισμού υπηρεσιακής καταστάσεως, και βάσει της απόφασης αριθ. 17/2023 του διοικητικού συμβουλίου της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», και όταν κοινοποιεί υποθέσεις στην OLAF· |
|
β) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού (ΕΕ) 2018/1725, όταν διασφαλίζει ότι τα μέλη του προσωπικού της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορούν να καταγγέλλουν ζητήματα εμπιστευτικά εφόσον πιστεύουν ότι υφίστανται σοβαρές παρατυπίες, όπως προβλέπεται στην απόφαση αριθ. 12/2023 του διοικητικού συμβουλίου της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» σχετικά με τους εσωτερικούς κανόνες για την καταγγελία δυσλειτουργιών· |
|
γ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο η) του κανονισμού (ΕΕ) 2018/1725, όταν διασφαλίζει ότι τα μέλη του προσωπικού της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορούν να υποβάλλουν αναφορές σε έμπιστους συμβούλους, στο πλαίσιο διαδικασίας που αφορά υπόθεση παρενόχλησης, όπως ορίζεται από την απόφαση αριθ. 13/2023 του διοικητικού συμβουλίου της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3»· |
|
δ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν διενεργεί εσωτερικούς και εξωτερικούς ελέγχους σε σχέση με δραστηριότητες ή τμήματα της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3»· |
|
ε) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν παρέχει ή λαμβάνει συνδρομή από άλλα θεσμικά και λοιπά όργανα, και οργανισμούς της Ένωσης ή όταν συνεργάζεται μαζί τους στο πλαίσιο δραστηριοτήτων βάσει των στοιχείων α) έως δ) της παρούσας παραγράφου, και σύμφωνα με τις σχετικές συμφωνίες σε επίπεδο υπηρεσιών, μνημόνια συμφωνίας και συμφωνίες συνεργασίας· |
|
στ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν παρέχει ή λαμβάνει συνδρομή προς ή από εθνικές αρχές τρίτων χωρών και διεθνείς οργανισμούς ή συνεργάζεται με τέτοιες αρχές και οργανισμούς, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
ζ) |
σύμφωνα με το άρθρο 25 παράγραφος 1) στοιχεία γ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν παρέχει ή λαμβάνει συνδρομή και συνεργασία προς και από δημόσιες αρχές των κρατών μελών της ΕΕ, είτε κατόπιν αιτήματός τους είτε με ίδια πρωτοβουλία· |
|
η) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2018/1725, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε έγγραφα που υποβάλλουν οι διάδικοι ή οι παρεμβαίνοντες στο πλαίσιο προσφυγών ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης· |
|
θ) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα κατά τη διάρκεια των ερευνών που διενεργούνται από τον ΥΠΔ σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725· |
|
ι) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), δ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα κατά τη διάρκεια ερευνών ασφαλείας ΤΠ που διεκπεραιώνονται εσωτερικά ή με τη συμμετοχή τρίτων (π.χ. CERT-ΕΕ)· |
|
ια) |
σύμφωνα με το άρθρο 25 παράγραφος 1 στοιχεία γ), ζ) και η) του κανονισμού (ΕΕ) 2018/1725, όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της διαδικασίας διαχείρισης επιχορηγήσεων ή της διαδικασίας σύναψης συμβάσεων, μετά τη λήξη της προθεσμίας υποβολής των προσκλήσεων υποβολής προτάσεων ή της υποβολής προσφορών. |
2. Στο πλαίσιο της ειδικής εφαρμογής των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να εφαρμόζει περιορισμούς στις ακόλουθες περιπτώσεις:
|
α) |
σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τις υπηρεσίες της Επιτροπής ή με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης·
|
|
β) |
σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με αρμόδιες αρχές των κρατών μελών·
|
|
γ) |
σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τρίτες χώρες ή διεθνείς οργανισμούς, εφόσον υπάρχουν σαφείς αποδείξεις ότι η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να θέσει σε κίνδυνο τη συνεργασία της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» με τρίτες χώρες ή διεθνείς οργανισμούς κατά την άσκηση των καθηκόντων της. |
Πριν από την εφαρμογή περιορισμών στις περιπτώσεις που αναφέρονται στα στοιχεία α) και β) του πρώτου εδαφίου, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» ζητάει τη γνώμη των οικείων υπηρεσιών της Επιτροπής, των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης ή των αρμόδιων αρχών των κρατών μελών, εκτός εάν έχει καταστεί σαφές στην ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» ότι η εφαρμογή ενός περιορισμού προβλέπεται σε κάποια από τις πράξεις που αναφέρονται στα εν λόγω στοιχεία.
3. Όταν η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» περιορίζει, εν όλω ή εν μέρει, την εφαρμογή των δικαιωμάτων που αναφέρονται στις παραγράφους 1 και 2 ανωτέρω, ακολουθεί τα στάδια που περιγράφονται στα άρθρα 5 και 6 της παρούσας απόφασης.
4. Όταν τα υποκείμενα των δεδομένων ζητούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τους που υποβάλλονται σε επεξεργασία στο πλαίσιο μίας ή περισσοτέρων συγκεκριμένων περιπτώσεων ή συγκεκριμένης πράξης επεξεργασίας, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» περιορίζει την αξιολόγηση της αίτησης στα εν λόγω δεδομένα προσωπικού χαρακτήρα και μόνο.
Άρθρο 4
Εγγυήσεις
1. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» εφαρμόζει εγγυήσεις για την πρόληψη των καταχρήσεων και της παράνομης πρόσβασης ή διαβίβασης δεδομένων προσωπικού χαρακτήρα τα οποία υπόκεινται ή δύνανται να υπόκεινται σε περιορισμούς. Οι εν λόγω εγγυήσεις περιλαμβάνουν τεχνικά και οργανωτικά μέτρα και περιγράφονται λεπτομερώς, όπως είναι αναγκαίο, στις εσωτερικές αποφάσεις, τις διαδικασίες και τους κανόνες εφαρμογής της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3». Στις εγγυήσεις περιλαμβάνονται τα εξής:
|
α) |
σαφής καθορισμός των ρόλων, των αρμοδιοτήτων και των διαδικαστικών μέτρων· |
|
β) |
τα έγγραφα φυλάσσονται σε ασφαλισμένα ντουλάπια και είναι προσβάσιμα μόνο από εξουσιοδοτημένο προσωπικό· |
|
γ) |
όλα τα ηλεκτρονικά δεδομένα αποθηκεύονται σε ασφαλή εφαρμογή ΤΠ σύμφωνα με τα πρότυπα ασφαλείας της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», καθώς και σε συγκεκριμένους ηλεκτρονικούς φακέλους στους οποίους πρόσβαση έχει μόνο εξουσιοδοτημένο προσωπικό. Τα κατάλληλα επίπεδα πρόσβασης παρέχονται μεμονωμένα· |
|
δ) |
όλα τα πρόσωπα που έχουν πρόσβαση στα δεδομένα δεσμεύονται από την υποχρέωση τήρησης του απορρήτου· |
|
ε) |
δέουσα παρακολούθηση των περιορισμών και περιοδική επανεξέταση της εφαρμογής τους. |
2. Σύμφωνα με το άρθρο 5 παράγραφος 3 της παρούσας απόφασης, οι εγγυήσεις που αναφέρονται στην παράγραφο 1 θα πρέπει να υπόκεινται σε περιοδική επανεξέταση.
3. Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται σύμφωνα με τους ισχύοντες κανόνες διατήρησης της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», που θα προσδιορίζονται στα αρχεία προστασίας δεδομένων που τηρούνται βάσει του άρθρου 31 του κανονισμού (ΕΕ) 2018/1725. Η περίοδος διατήρησης δεν υπερβαίνει σε καμία περίπτωση το διάστημα που είναι αναγκαίο και εύλογο για τους σκοπούς για τους οποίους τα δεδομένα υποβλήθηκαν σε επεξεργασία.
Άρθρο 5
Αναγκαιότητα και αναλογικότητα των περιορισμών
1. Οποιοσδήποτε περιορισμός βάσει του άρθρου 3 της παρούσας απόφασης είναι αναγκαίος και αναλογικός, λαμβάνει υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και τηρεί την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών σε μια δημοκρατική κοινωνία.
2. Αν κριθεί απαραίτητη η εφαρμογή περιορισμού, διενεργείται δοκιμή αναλογικότητας με βάση τους ισχύοντες κανόνες. Η δοκιμή διενεργείται και στο πλαίσιο κάθε περιοδικής επανεξέτασης, κατόπιν αξιολόγησης σχετικά με το κατά πόσον εξακολουθούν να ισχύουν πραγματικοί και νομικοί λόγοι περιορισμού ή όχι. Ο εν λόγω έλεγχος τεκμηριώνεται με εσωτερικό σημείωμα αξιολόγησης για σκοπούς λογοδοσίας κατά περίπτωση.
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» εκπονεί περιοδικές εκθέσεις σχετικά με την εφαρμογή του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725.
3. Οι περιορισμοί είναι προσωρινοί. Εξακολουθούν να εφαρμόζονται όσο εξακολουθούν να ισχύουν οι λόγοι που τους αιτιολογούν, ειδικότερα όταν κρίνεται ότι η άσκηση του περιορισμένου δικαιώματος δεν θα στερεί πλέον από τον περιορισμό που επιβάλλεται την ισχύ του, ούτε θα θίγει τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων των δεδομένων.
Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» επανεξετάζει την εφαρμογή του περιορισμού ανά έξι μήνες μετά την έγκρισή του και κατά το κλείσιμο της σχετικής έρευνας, διαδικασίας ή διερεύνησης. Στη συνέχεια, ο υπεύθυνος επεξεργασίας παρακολουθεί την ανάγκη διατήρησης οποιουδήποτε περιορισμού σε εξαμηνιαία βάση.
4. Όταν η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» εφαρμόζει, εν όλω ή εν μέρει, τους περιορισμούς βάσει του άρθρου 3 της παρούσας απόφασης, καταγράφει τους λόγους του περιορισμού και τον νομικό λόγο σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβάνοντας αξιολόγηση της αναγκαιότητας και της αναλογικότητας του περιορισμού.
Το αρχείο καταγραφής και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Όλα αυτά τίθενται, κατόπιν αιτήματος, στη διάθεση του ΕΕΠΔ.
Άρθρο 6
Υποχρέωση ενημέρωσης
1. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» περιλαμβάνει στις ανακοινώσεις προστασίας δεδομένων, στις δηλώσεις προστασίας δεδομένων προσωπικού χαρακτήρα ή στα αρχεία κατά την έννοια του άρθρου 31 του κανονισμού (ΕΕ) 2018/1725 που δημοσιεύονται στον ιστότοπό της και/ή στο ενδοδίκτυό της για την ενημέρωση των υποκειμένων των δεδομένων σχετικά με τα δικαιώματά τους στο πλαίσιο μιας συγκεκριμένης διαδικασίας, πληροφορίες σχετικά με τον δυνητικό περιορισμό των εν λόγω δικαιωμάτων. Οι πληροφορίες προσδιορίζουν τα δικαιώματα που ενδέχεται να περιοριστούν, τους λόγους, καθώς και την πιθανή διάρκεια του περιορισμού.
Με την επιφύλαξη των διατάξεων του άρθρου 5 παράγραφος 4 της παρούσας απόφασης, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3», κατά περίπτωση, ενημερώνει επίσης μεμονωμένα όλα τα υποκείμενα των δεδομένων τα οποία θεωρούνται πρόσωπα που τα αφορά η συγκεκριμένη πράξη επεξεργασίας, για τα δικαιώματά τους σχετικά με υφιστάμενους ή μελλοντικούς περιορισμούς, χωρίς αδικαιολόγητη καθυστέρηση και σε γραπτή μορφή.
2. Όταν η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» περιορίζει, εν όλω ή εν μέρει, τα δικαιώματα που περιγράφονται στο άρθρο 3 της παρούσας απόφασης, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων σχετικά με τον περιορισμό που εφαρμόζεται και τους κύριους λόγους του περιορισμού, καθώς και σχετικά με τη δυνατότητά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.
Η ενημέρωση που προβλέπεται στην παράγραφο 2 ανωτέρω μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει του άρθρου 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725 την ισχύ του.
Άρθρο 7
Συμμετοχή του υπεύθυνου προστασίας δεδομένων
1. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» διαβουλεύεται χωρίς αδικαιολόγητη καθυστέρηση με τον ΥΠΔ της ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» πριν και κατά τη διάρκεια της περιόδου κατά την οποία ο υπεύθυνος επεξεργασίας περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων, ή παρατείνει τον περιορισμό, σύμφωνα με την παρούσα απόφαση. Ο υπεύθυνος επεξεργασίας παρέχει στον ΥΠΔ πρόσβαση στο αρχείο που περιέχει την αξιολόγηση της αναγκαιότητας και της αναλογικότητας του περιορισμού και σε οποιαδήποτε έγγραφα αφορούν το πραγματικό ή νομικό πλαίσιο.
2. Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να επανεξετάσει την εφαρμογή των περιορισμών. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα της αιτούμενης επανεξέτασης.
3. Ο ΥΠΔ συμμετέχει καθ’ όλη τη διάρκεια της διαδικασίας. Ο υπεύθυνος επεξεργασίας ενημερώνει τον ΥΠΔ όταν αρθεί ο περιορισμός.
4. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» τεκμηριώνει γραπτώς τη συμμετοχή του ΥΠΔ στην εφαρμογή των περιορισμών, αναφέροντας μεταξύ άλλων ποιες πληροφορίες κοινοποιούνται σε αυτόν.
Άρθρο 8
Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Όταν η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» υποχρεούται να ανακοινώσει παραβίαση δεδομένων σύμφωνα με το άρθρο 35 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, μπορεί, σε εξαιρετικές περιπτώσεις, να περιορίσει την εν λόγω ανακοίνωση εν όλω ή εν μέρει. Τεκμηριώνει σε υπόμνημα τους λόγους του περιορισμού, τη νομική του βάση σύμφωνα με το άρθρο 3 της παρούσας απόφασης και την αξιολόγηση της αναγκαιότητας και της αναλογικότητάς του. Το υπόμνημα υποβάλλεται στον ΕΕΠΔ τη στιγμή της ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα.
2. Όταν οι λόγοι για την επιβολή του περιορισμού παύσουν να ισχύουν, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο ενδιαφερόμενο υποκείμενο των δεδομένων και το ενημερώνει σχετικά με τους κύριους λόγους του περιορισμού και με το δικαίωμα του να υποβάλει καταγγελία στον ΕΕΠΔ.
Άρθρο 9
Απόρρητο των ηλεκτρονικών επικοινωνιών
1. Σε εξαιρετικές περιπτώσεις, η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να περιορίσει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών βάσει του άρθρου 36 του κανονισμού (ΕΕ) 2018/1725. Οι εν λόγω περιορισμοί συνάδουν με την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.
2. Όταν η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» περιορίζει το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών, ενημερώνει το ενδιαφερόμενο υποκείμενο των δεδομένων στην απάντησή της σε οποιοδήποτε αίτημα από το εν λόγω υποκείμενο σχετικά με τους ουσιώδεις λόγους που αιτιολογούν τον περιορισμό αυτό και σχετικά με το δικαίωμά του/της να υποβάλει καταγγελία στον ΕΕΠΔ.
3. Η ΚΕ «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3» μπορεί να αναβάλει, να παραλείψει ή να αρνηθεί την παροχή πληροφοριών σχετικά με τους λόγους ενός περιορισμού και το δικαίωμα υποβολής καταγγελίας στον ΕΕΠΔ, για το χρονικό διάστημα που αυτό θα στερούσε από τον περιορισμό την ισχύ του. Η αξιολόγηση του κατά πόσον κάτι τέτοιο θα ήταν δικαιολογημένο γίνεται κατά περίπτωση.
Άρθρο 10
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 3 Αυγούστου 2023.
Για το διοικητικό συμβούλιο της κοινής επιχείρησης «Παγκόσμιο πρόγραμμα για την υγεία EDCTP3»
Δρ Henning GÄDEKE
Πρόεδρος του διοικητικού συμβουλίου
(1) ΕΕ L 295 της 21.11.2018, σ. 39.
(2) ΕΕ L 427 της 30.11.2021, σ. 17.
(3) Διατίθεται στη διεύθυνση Guidance on Art. 25 of the Regulation 2018/1725 | European Data Protection Supervisor (europa.eu)
(4) Όταν προβλέπεται κοινή ευθύνη επεξεργασίας, η επεξεργασία των δεδομένων πραγματοποιείται σύμφωνα με τα μέσα και τους σκοπούς που καθορίζονται στη σχετική συμφωνία μεταξύ των από κοινού υπευθύνων επεξεργασίας, όπως ορίζεται στο άρθρο 28 του κανονισμού (ΕΕ) 2018/1725.
(5) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (ΕΕ L 119 της 4.5.2016, σ. 1).
(6) Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).
ELI: http://data.europa.eu/eli/dec/2023/2189/oj
ISSN 1977-0669 (electronic edition)