8.2.2019   

HR

Službeni list Europske unije

L 37/144


ODLUKA KOMISIJE (EU) 2019/236

od 7. veljače 2019.

o utvrđivanju internih pravila o pružanju informacija ispitanicima i ograničenju nekih njihovih prava u kontekstu obrade osobnih podataka koju provodi Europska komisija u svrhu unutarnje sigurnosti institucija Unije

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 249. stavak 1.,

budući da:

(1)

Komisija mora djelovati u sigurnom i zaštićenom okruženju. Kako bi se to postiglo, potreban je dosljedan i integriran pristup njezinoj sigurnosti pružanjem odgovarajuće razine zaštite osoba, imovine i informacija razmjerne utvrđenim rizicima i osiguravanjem učinkovitog i pravovremenog pružanja sigurnosti. Komisija je izložena velikim sigurnosnim prijetnjama i izazovima, posebno onima koji se odnose na terorizam, kibernapade te političku i gospodarsku špijunažu.

(2)

Kako bi osigurala sigurnost osoba, imovine i informacija, Komisija preko Uprave za sigurnost Glavne uprave za ljudske resurse i sigurnost poduzima mjere navedene u Odluci Komisije (EU, Euratom) 2015/443 (1) koje obuhvaćaju obradu više kategorija osobnih podataka. Te mjere obuhvaćaju sigurnosne pozadinske provjere u skladu s člankom 7. stavkom 5., procjenu prijetnji u skladu s člankom 12. i sigurnosne istrage u skladu s člankom 13. Odluke (EU, Euratom) 2015/443. Komisija u okviru svojih ovlasti za provođenje istraga prikuplja informacije koje bi mogle biti korisne za istragu, uključujući osobne podatke iz različitih izvora, npr. od javnih tijela i fizičkih osoba, te ih prije, tijekom i nakon istrage ili koordinacijskih aktivnosti razmjenjuje s drugim institucijama, tijelima, uredima i agencijama Unije, nadležnim tijelima država članica i trećih zemalja te međunarodnim organizacijama.

(3)

Kategorije osobnih podataka koje Komisija obrađuje su, primjerice, identifikacijski podaci, podaci za kontakt, profesionalni podaci i podaci o predmetu sigurnosne pozadinske provjere, procjeni prijetnje ili sigurnosnoj istrazi. Osobni podaci pohranjuju se u sigurnom elektroničkom okruženju kako bi se spriječio nezakonit pristup podacima ili njihov prijenos osobama izvan Komisije. Osobni se podaci do završetka istrage čuvaju u službama Komisije koje su zadužene za istragu. Rokovi za čuvanje podataka ovise o aktivnostima obrade i kategoriji istrage, odnosno o tome provodi li se istraga zbog sumnje na kaznena djela, kontraobavještajne djelatnosti ili borbe protiv terorizma. Po isteku roka za čuvanje podataka, informacije o tom predmetu, uključujući osobne podatke, brišu se (2).

(4)

Komisija je kao voditelj obrade podataka pri obavljanju svojih zadaća dužna poštovati prava fizičkih osoba u vezi s obradom osobnih podataka potvrđena u članku 8. stavku 1. Povelje Europske unije o temeljnim pravima i u članku 16. stavku 1. Ugovora o funkcioniranju Europske unije, kao i prava iz Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (3). Komisija je pritom dužna poštovati stroga pravila o povjerljivosti iz članka 9. Odluke (EU, Euratom) 2015/443.

(5)

U određenim okolnostima potrebno je uskladiti prava ispitanika u skladu s Uredbom (EU) 2018/1725 s potrebom da Komisija učinkovito provodi svoje zadaće osiguravanja sigurnosti osoba, imovine i informacija u Komisiji u skladu s Odlukom (EU, Euratom) 2015/443, posebno sigurnosne istrage te uz puno poštovanje temeljnih prava i sloboda drugih ispitanika. U tu svrhu, u članku 25. stavku 1. točkama (c), (d) i (h) Uredbe (EU) 2018/1725 Komisiji se omogućava da ograniči primjenu članaka od 14. do 17. i članaka 19., 20. i 35. te načela transparentnosti utvrđenog u članku 4. stavku 1. točki (a), u mjeri u kojoj se njegove odredbe odnose na prava i obveze iz članaka od 14. do 17. i članaka 19. i 20. te uredbe.

(6)

Kako bi se osiguralo da Komisija djelotvorno obavlja svoje zadaće osiguravanja sigurnosti osoba, imovine i informacija u Komisiji u skladu s Odlukom (EU, Euratom) 2015/443, posebno svoje sigurnosne istrage, poštujući pritom standarde zaštite osobnih podataka u skladu s Uredbom (EU) 2018/1725, potrebno je donijeti interna pravila na temelju kojih Komisija može ograničiti prava ispitanikâ u skladu s člankom 25. stavkom 1. točkama (c), (d) i (h) Uredbe (EU) 2018/1725.

(7)

Ta interna pravila trebala bi obuhvatiti sve postupke obrade koje Komisija provodi pri obavljanju svojih zadaća kako bi zajamčila sigurnost osoba, imovine i informacija u Komisiji u skladu s Odlukom (EU, Euratom) 2015/443, posebno njezinu istražnu ulogu u području sigurnosti. Ta bi se pravila trebala primjenjivati na postupke obrade prije pokretanja istrage, tijekom istrage i tijekom praćenja daljnjih mjera u vezi s ishodom istraga.

(8)

Radi usklađivanja s člancima 14., 15. i 16. Uredbe (EU) 2018/1725 Komisija bi trebala transparentno i dosljedno obavješćivati sve osobe o svojim aktivnostima koje uključuju obradu njihovih osobnih podataka i o njihovim pravima putem obavijesti o zaštiti podataka koja se objavljuje na internetskim stranicama Komisije.

(9)

Osim toga, Komisija bi na odgovarajući način trebala pojedinačno obavijestiti ispitanike, odnosno osobe i svjedoke koji su uključeni u sigurnosnu istragu. Komisija bi nadalje trebala pojedinačno obavijestiti osobe čiji se podaci obrađuju u kontekstu sigurnosnih mjera koje se poduzimaju u skladu s člankom 7. stavkom 5. i člankom 12. stavkom 1. točkama (d) i (e) Odluke (EU, Euratom) 2015/443, posebno pri pretragama Komisijinih prostora i komunikacijskih i informacijskih sustava i opreme.

(10)

Na temelju članka 25. Uredbe (EU) 2018/1725 Komisija će možda morati ograničiti pružanje informacija ispitanicima i ostvarivanje drugih prava ispitanikâ, posebno kako bi zaštitila sigurnosnu istragu, svoje instrumente i metode istrage, sigurnosne istrage i postupke drugih javnih tijela, kao i prava drugih osoba na koje se ta sigurnosna istraga, istrage i/ili postupci odnose.

(11)

U nekim slučajevima pružanje određenih informacija ispitanicima ili otkrivanje postojanja istrage ili sigurnosnih mjera poduzetih na temelju članka 12. stavka 1. točaka (d) i (e) Odluke (EU, Euratom) 2015/443, tj. pretraga Komisijinih prostora i komunikacijskih i informacijskih sustava i opreme, moglo bi onemogućiti ili ozbiljno ugroziti svrhu istrage i sposobnost Komisije da osigura njezinu sigurnost te posebno učinkovito provođenje sigurnosnih istraga u budućnosti.

(12)

Osim toga, kako bi se očuvala učinkovita suradnja iz članka 17. stavaka 2. i 3. Odluke (EU, Euratom) 2015/443, Komisija će možda morati ograničiti prava ispitanika kako bi zaštitila postupke obrade podataka drugih institucija, tijela, ureda i agencija Unije ili nadležnih tijela država članica. Komisija bi se stoga trebala posavjetovati s tim institucijama, tijelima, uredima, agencijama i nadležnim tijelima o relevantnim osnovama za uvođenje ograničenja te o nužnosti i proporcionalnosti tih ograničenja.

(13)

Komisija će možda morati ograničiti i pružanje informacija ispitanicima i druga prava ispitanika u vezi s osobnim podacima koje primi od trećih zemalja ili međunarodnih organizacija kako bi ispunila svoju dužnost suradnje s tim zemljama ili organizacijama i tako zaštitila važan cilj od općeg javnog interesa Unije. Međutim, u nekim okolnostima interes ili temeljna prava ispitanika mogu prevladati nad interesima međunarodne suradnje.

(14)

Komisija bi trebala transparentno rješavati sva ograničenja i registrirati svaku primjenu ograničenja u odgovarajućem sustavu evidencije.

(15)

U skladu s člankom 25. stavkom 8. Uredbe (EU) 2018/1725 voditelji obrade podataka mogu odgoditi, izostaviti ili uskratiti pružanje informacija o razlozima za primjenu ograničenja na ispitanika ako bi pružanje tih informacija na bilo koji način ugrozilo svrhu ograničenja. To se posebno odnosi na ograničenja prava iz članaka 16. i 35. Uredbe (EU) 2018/1725.

(16)

Komisija bi trebala redovito preispitivati uvedena ograničenja kako bi se osiguralo da prava ispitanika na informiranje u skladu s člancima 16. i 35. Uredbe (EU) 2018/1725 budu ograničena samo ako su ta ograničenja potrebna kako bi Komisija mogla osigurati svoju sigurnost te provoditi svoje sigurnosne istrage.

(17)

Ako se ograničavaju druga prava ispitanika, voditelj obrade bi u svakom pojedinačnom slučaju trebao procijeniti bi li priopćavanje ograničenja ugrozilo njegovu svrhu.

(18)

Službenik za zaštitu podataka Komisije trebao bi neovisno preispitati primjenu ograničenja kako bi se osigurala usklađenost s ovom Odlukom.

(19)

Europski nadzornik za zaštitu podataka dostavio je mišljenje 10. prosinca 2018.,

DONIJELA JE OVU ODLUKU:

Članak 1.

Predmet i područje primjene

1.   Ovom se Odlukom utvrđuju pravila kojih se Komisija treba pridržavati pri obavješćivanju ispitanika o obradi njihovih podataka u skladu s člancima 14., 15. i 16. Uredbe (EU) 2018/1725 dok obavlja sve svoje zadaće u skladu s Odlukom (EU, Euratom) 2015/443.

Njome se utvrđuju i uvjeti pod kojima Komisija može ograničiti primjenu članka 4., članaka od 14. do 17. i članaka 19., 20. i 35. Uredbe (EU) 2018/1725, u skladu s člankom 25. stavkom 1. točkama (c), (d) i (h) te uredbe.

2.   Ova Odluka primjenjuje se na obradu osobnih podataka koju provodi Komisija za potrebe aktivnosti ili u vezi s aktivnostima koje provodi kako bi osigurala sigurnost osoba, imovine i informacija u Komisiji u skladu s Odlukom (EU, Euratom) 2015/443.

Članak 2.

Iznimke i ograničenja

1.   Kad je riječ o pravima ispitanika u skladu s Uredbom (EU) 2018/1725, Komisija pri obavljanju svojih dužnosti razmatra treba li primijeniti neke od iznimki utvrđenih tom uredbom.

2.   Komisija u skladu s člancima od 3. do 7. ove Odluke može ograničiti primjenu članaka od 14. do 17. i članaka 19., 20. i 35. Uredbe (EU) 2018/1725, kao i načelo transparentnosti iz članka 4. stavka 1. točka (a) te uredbe u mjeri u kojoj se njegove odredbe odnose na prava i obveze iz članaka od 14. do 17. i članaka 19. i 20. Uredbe (EU) 2018/1725, ako bi ostvarivanje tih prava i obveza ugrozilo unutarnju sigurnost institucija, tijela, ureda ili agencija Unije, uključujući njihove elektroničke komunikacijske mreže, među ostalim otkrivanjem njezinih instrumenata i metoda istrage u kontekstu sigurnosnih istraga, ili bi negativno utjecalo na prava i slobode drugih ispitanika.

3.   Komisija u skladu s člancima od 3. do 7. može ograničiti prava i obveze iz stavka 2. ovog članka u odnosu na osobne podatke dobivene od drugih institucija, tijela, agencija i ureda Unije, nadležnih tijela država članica ili trećih zemalja ili međunarodnih organizacija, u sljedećim okolnostima:

(a)

ako bi druge institucije, tijela, agencije i uredi Unije mogli ograničiti ostvarivanje tih prava i obveza na temelju drugih akata iz članka 25. Uredbe (EU) 2018/1725 ili u skladu s poglavljem IX. te uredbe ili u skladu s Uredbom (EU) 2016/794 Europskog parlamenta i Vijeća (4) ili Uredbom Vijeća (EU) 2017/1939 (5);

(b)

ako bi nadležna tijela država članica mogla ograničiti ostvarivanje tih prava i obveza na temelju akata iz članka 23. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (6) ili na temelju nacionalnih mjera kojima se prenosi članak 13. stavak 3., članak 15. stavak 3. ili članak 16. stavak 3. Direktive (EU) 2016/680 Europskog parlamenta i Vijeća (7);

(c)

ako bi ostvarivanje tih prava i obveza moglo ugroziti suradnju Komisije s trećim zemljama ili međunarodnim organizacijama u području razmjene informacija o mogućim protuobavještajnim i protuterorističkim prijetnjama i pri provođenju njezinih sigurnosnih istraga.

Prije primjene ograničenjâ u okolnostima iz točaka (a) i (b) prvog podstavka Komisija se savjetuje s relevantnim institucijama, tijelima, agencijama i uredima Unije ili nadležnim tijelima država članica, osim ako je Komisiji jasno da je primjena ograničenja predviđena nekim od akata iz tih točaka ili ako bi takvo savjetovanje ugrozilo svrhu njezinih aktivnosti iz Odluke (EU, Euratom) 2015/443.

Točka (c) prvog podstavka ovog stavka ne primjenjuje se ako je interes Komisije za suradnju s trećim zemljama ili međunarodnim organizacijama manje važan od interesa ili temeljnih prava i sloboda ispitanika.

4.   Stavcima 1., 2. i 3. ne dovodi se u pitanje primjena drugih odluka Komisije kojima se utvrđuju interna pravila o pružanju informacija ispitanicima i ograničenju određenih prava u skladu s člankom 25. Uredbe (EU) 2018/1725 i člankom 23. Poslovnika Komisije.

Članak 3.

Pružanje informacija ispitanicima

1.   Komisija na svojim internetskim stranicama objavljuje obavijesti o zaštiti podataka kojima sve ispitanike obavješćuje o svojim aktivnostima koje uključuju obradu njihovih osobnih podataka, a koje provodi kako bi ispunila svoje zadaće u skladu s Odlukom (EU, Euratom) 2015/443.

2.   Komisija na odgovarajući način pojedinačno obavješćuje svjedoke i osobe na koje se odnosi sigurnosna istraga o obradi njihovih osobnih podataka. Komisija pojedinačno obavješćuje i osobe čiji se podaci obrađuju u okviru sigurnosnih mjera poduzetih u skladu s člankom 7. stavkom 5. i člankom 12. stavkom 1. točkom (d) i (e) Odluke (EU, Euratom) 2015/443, to jest pri pretragama Komisijinih prostora te komunikacijskih i informacijskih sustava i opreme.

3.   Ako u cijelosti ili djelomično ograniči pružanje informacija ispitanicima iz stavka 2. ovog članka, Komisija bilježi razloge za ograničenje i upisuje ih u registar u skladu s člankom 6. ove Odluke.

Članak 4.

Pravo ispitanika na pristup podacima, pravo na brisanje podataka i pravo na ograničenje obrade podataka

1.   Ako ispitanicima u cijelosti ili djelomično ograniči pravo na pristup podacima, pravo na brisanje podataka ili pravo na ograničenje obrade podataka, kako je navedeno u člancima 17., 19. i 20. Uredbe (EU) 2018/1725, Komisija u svojem odgovoru na zahtjev za pristup podacima, brisanje podataka ili ograničenje obrade podataka obavješćuje tog ispitanika o primijenjenom ograničenju, glavnim razlozima te o mogućnosti podnošenja pritužbe Europskom nadzorniku za zaštitu podataka ili traženja pravnog lijeka na Sudu Europske unije.

2.   Informiranje o razlozima ograničenja iz stavka 1. ovog članka može se odgoditi, izostaviti ili uskratiti ako bi se time ugrozila svrha ograničenja.

3.   Komisija bilježi razloge za ograničenje i upisuje ih u registar u skladu s člankom 6. ove Odluke.

4.   Ako je pravo pristupa podacima u cijelosti ili djelomično ograničeno, ispitanik može ostvariti svoje pravo pristupa posredovanjem Europskog nadzornika za zaštitu podataka, u skladu s člankom 25. stavcima 6., 7. i 8. Uredbe (EU) 2018/1725.

Članak 5.

Obavješćivanje ispitanika o povredi osobnih podataka

Ako ograniči obavješćivanje ispitanika o povredi osobnih podataka, kako je navedeno u članku 35. Uredbe (EU) 2018/1725, Komisija bilježi razloge za ograničenje i upisuje ih u registar u skladu s člankom 6. ove Odluke.

Članak 6.

Bilježenje ograničenja i njihov upis u registar

1.   Komisija bilježi razloge za svako ograničenje primijenjeno u skladu s ovom Odlukom, među ostalim i procjenom nužnosti i proporcionalnosti ograničenja, uzimajući u obzir relevantne elemente iz članka 25. stavka 2. Uredbe (EU) 2018/1725.

U tu se svrhu u evidenciji navodi da bi se ostvarivanjem tog prava ugrozila svrha Komisijinih zadaća na temelju Odluke (EU, Euratom) 2015/443 ili ograničenja koja se primjenjuju na temelju članka 2. stavka 2. ili 3. ili da bi ono negativno utjecalo na prava i slobode drugih ispitanika.

2.   Evidencija i, prema potrebi, dokumenti koji sadržavaju temeljne činjenične i pravne elemente upisuju se u registar. Oni se na zahtjev stavljaju na raspolaganje Europskom nadzorniku za zaštitu podataka.

Članak 7.

Trajanje ograničenja

1.   Ograničenja iz članaka 3., 4. i 5. ove Odluke primjenjuju se sve dok postoje opravdani razlozi.

2.   Ako prestanu postojati razlozi za ograničenje iz članka 3. ili 5. ove Odluke, Komisija ukida ograničenje i ispitaniku navodi razloge ograničenja. Komisija istodobno obavješćuje ispitanika o mogućnosti da u svakom trenutku podnese pritužbu Europskom nadzorniku za zaštitu podataka ili zatraži pravni lijek na Sudu Europske unije.

3.   Komisija preispituje primjenu ograničenja iz članaka 4. i 6. svakih šest mjeseci od njihove primjene i po završetku relevantne istrage. Nakon toga, Komisija na godišnjoj osnovi prati je li potrebno zadržati ograničenje odnosno odgodu.

Članak 8.

Preispitivanje koje provodi službenik za zaštitu podataka

1.   Službenik za zaštitu podataka Komisije obavješćuje se bez nepotrebne odgode o svakom ograničenju prava ispitanika u skladu s ovom Odlukom. Službeniku za zaštitu podataka na njegov se zahtjev omogućuje pristup evidenciji i svim dokumentima koji sadržavaju osnovne činjenične i pravne elemente.

2.   Službenik za zaštitu podataka Komisije može zatražiti da se ograničenje preispita. Službenika za zaštitu podataka obavješćuje se o ishodu zatraženog preispitivanja.

3.   Razmjene informacija sa službenikom za zaštitu podataka tijekom postupka bilježe se u odgovarajućem obliku.

Članak 9.

Ova Odluka stupa na snagu trećeg dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Bruxellesu 7. veljače 2019.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER


(1)  Odluka Komisije (EU, Euratom) 2015/443 оd 13. ožujka 2015. o sigurnosti u Komisiji (SL L 72, 17.3.2015., str. 41.).

(2)  Čuvanje spisa u Komisiji uređeno je zajedničkim popisom čuvanja, regulatornim dokumentom (zadnja verzija je SEC(2012) 713) u obliku rasporeda čuvanja kojim se utvrđuju rokovi čuvanja različitih vrsta spisa Komisije.

(3)  Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(4)  Uredba (EU) 2016/794 Europskog parlamenta i Vijeća od 11. svibnja 2016. o Agenciji Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) te zamjeni i stavljanju izvan snage odluka Vijeća 2009/371/PUP, 2009/934/PUP, 2009/935/PUP, 2009/936/PUP i 2009/968/PUP (SL L 135, 24.5.2016., str. 53.).

(5)  Uredba Vijeća (EU) 2017/1939 od 12. listopada 2017. o provedbi pojačane suradnje u vezi s osnivanjem Ureda europskog javnog tužitelja („EPPO”), (SL L 283, 31.10.2017., str. 1.).

(6)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(7)  Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).