This document is an excerpt from the EUR-Lex website
Document 32020Q0706(01)
Decision of the Administrative Board of the European Maritime Safety Agency of 6 April 2020 on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of EMSA
Az Európai Tengerészeti Biztonsági Ügynökség Igazgatási Tanácsa határozata (2020. április 6.) az érintettek bizonyos, személyes adatoknak az Európai Tengerészeti Biztonsági Ügynökség (EMSA) működésének keretében való kezelésével kapcsolatos jogainak korlátozására vonatkozó belső szabályokról
Az Európai Tengerészeti Biztonsági Ügynökség Igazgatási Tanácsa határozata (2020. április 6.) az érintettek bizonyos, személyes adatoknak az Európai Tengerészeti Biztonsági Ügynökség (EMSA) működésének keretében való kezelésével kapcsolatos jogainak korlátozására vonatkozó belső szabályokról
HL L 214., 2020.7.6, p. 5–12
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2020.7.6. |
HU |
Az Európai Unió Hivatalos Lapja |
L 214/5 |
AZ EURÓPAI TENGERÉSZETI BIZTONSÁGI ÜGYNÖKSÉG IGAZGATÁSI TANÁCSA HATÁROZATA
(2020. április 6.)
az érintettek bizonyos, személyes adatoknak az Európai Tengerészeti Biztonsági Ügynökség (EMSA) működésének keretében való kezelésével kapcsolatos jogainak korlátozására vonatkozó belső szabályokról
AZ EURÓPAI TENGERÉSZETI BIZTONSÁGI ÜGYNÖKSÉG IGAZGATÁSI TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (1) és különösen annak 25. cikkére,
tekintettel az európai adatvédelmi biztos (EDPS) 2019. december 18-i véleményére (DH/GC/vm/D(2019) 2673 C 2019-0876), valamint az európai adatvédelmi biztosnak az új rendelet 25. cikkével és a belső szabályokkal kapcsolatos útmutatására,
tekintettel az EMSA létrehozásáról szóló, 2002. június 27-i 1406/2002/EK európai parlamenti és tanácsi rendeletre (2) és különösen annak 4. cikke (4) bekezdésére,
mivel:
|
(1) |
Az Ügynökség a tevékenységeit az alapító rendeletével összhangban végzi. |
|
(2) |
Az (EU) 2018/1725 rendelet 25. cikkének (1) bekezdésével összhangban a szóban forgó rendelet 14–22., 35. és 36., valamint 4. cikkének alkalmazására vonatkozó korlátozásoknak – amennyiben a rendelkezései megfelelnek a 14–22. cikkben meghatározott jogoknak és kötelezettségeknek – az Ügynökség által elfogadásra kerülő belső szabályokon kell alapulniuk, kivéve, ha a Szerződések alapján elfogadott jogi aktusokon alapulnak. |
|
(3) |
Az említett belső szabályok – többek között a korlátozás szükségességének és arányosságának értékelésére vonatkozó rendelkezések – nem alkalmazhatók, ha a Szerződések alapján elfogadott valamely jogi aktus az érintett jogainak korlátozását írja elő. |
|
(4) |
Amennyiben az Ügynökség a feladatait az érintettnek az (EU) 2018/1725 rendeletben meghatározott jogaira figyelemmel látja el, meg kell vizsgálnia, hogy nem kell-e alkalmazni az említett rendeletben meghatározott bármely mentességet. |
|
(5) |
Az Ügynökség működésének keretében igazgatási vizsgálatokat végezhet, fegyelmi eljárásokat folytathat le, az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatban előkészítő tevékenységeket végezhet, visszaélés bejelentésével kapcsolatos ügyekben vizsgálódhat, (hivatalos és nem hivatalos) zaklatási eljárásokat folytathat le, belső és külső panaszokat kezelhet, belső ellenőrzéseket végezhet, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatokat folytathat le, és belső (informatikai) biztonsági vizsgálatokat végezhet. Az Ügynökség különféle kategóriákba tartozó személyes adatokat kezel, többek között tényszerű adatokat („objektív” adatokat, például: személyazonosító adatok, elérhetőségi adatok, szakmai adatok, részletes igazgatási adatok, meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és forgalmi adatok) és/vagy véleményeken alapuló adatokat (az üggyel kapcsolatos „szubjektív” adatokat, például: indokolás, viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok). |
|
(6) |
Az ügyvezető igazgató által képviselt Ügynökség jár el adatkezelőként függetlenül attól, hogy az EMSA-n belül az adatkezelői feladatkört átruházzák annak érdekében, hogy tükrözze az egyes konkrét személyesadat-kezelési műveletekért való felelősséget. |
|
(7) |
A személyes adatokat biztonságosan, elektronikus környezetben vagy nyomtatott formában tárolják, ami megakadályozza a jogosulatlan hozzáférést és azt, hogy az adatokat olyan személyeknek továbbítsák, akiknek nem kell azokat ismerniük. Az Ügynökség által kezelt személyes adatokat legfeljebb az adatkezelés céljából szükséges és helyénvaló ideig – az Ügynökség adatvédelmi értesítéseiben, adatvédelmi nyilatkozataiban vagy nyilvántartásaiban meghatározott ideig – őrzik meg. |
|
(8) |
Az igazgatási vizsgálatok, a fegyelmi eljárások, az OLAF-nak jelentett esetleges szabálytalanságokkal kapcsolatos előzetes tevékenységek, a visszaélések bejelentésével kapcsolatos ügyek, a zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárások, a belső és külső panaszok elbírálása, a belső ellenőrzések, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban folytatott vizsgálatok, valamint házon belül vagy külső fél (például a CERT-EU) részvételével folytatott biztonsági vizsgálatok keretében az Ügynökség által végzett valamennyi adatkezelési műveletre alkalmazni kell a belső szabályokat. |
|
(9) |
Ezeket a belső szabályokat a fent említett eljárások megindítása előtt, ezen eljárások ideje alatt, valamint az eljárások eredményeinek nyomon követése során végzett adatkezelési műveletekre egyaránt alkalmazni kell. A belső szabályok alkalmazásának ki kell terjednie az Ügynökség által a nemzeti hatóságoknak és a nemzetközi szervezeteknek az igazgatási vizsgálatokon kívül nyújtott támogatásra és együttműködésre is. |
|
(10) |
Azokban az esetekben, amikor ezek a belső szabályok alkalmazandók, az Ügynökségnek indokolnia kell, hogy a korlátozások miért feltétlenül szükségesek és arányosak egy demokratikus társadalomban, és hogy azok tiszteletben tartják az alapvető jogok és szabadságok lényeges tartalmát. |
|
(11) |
Az Ügynökség az említett kereteken belül a fenti eljárások során köteles a lehető legnagyobb mértékben tiszteletben tartani az érintettek alapvető jogait, különösen a tájékoztatáshoz, hozzáféréshez és helyesbítéshez, törléshez való joggal, az adatkezelés korlátozásához való joggal, az érintett adatvédelmi incidensről való tájékoztatásának jogával, illetve a tájékoztatás bizalmas kezelésével kapcsolatos, az (EU) 2018/1725 rendeletben foglalt jogokat. |
|
(12) |
Az Ügynökség mindazonáltal kötelezhető arra, hogy különösen a saját vizsgálatainak, valamint más hatóságok vizsgálatainak és eljárásainak védelme, valamint a vizsgálataival vagy más eljárásaival összefüggésben más személyek jogainak védelme érdekében korlátozza az érintett tájékoztatását és más érintettek jogait. |
|
(13) |
Az Ügynökség ebből következően a vizsgálat és más érintettek alapvető jogainak és szabadságainak védelme céljából korlátozhatja a tájékoztatást. |
|
(14) |
Az Ügynökségnek rendszeresen ellenőrizni kell, hogy alkalmazhatók-e a korlátozást indokoló feltételek, és fel kell oldani a korlátozást, amennyiben a feltételek már nem alkalmazandók. |
|
(15) |
Az adatkezelőnek a halasztáskor és a felülvizsgálatok során tájékoztatnia kell az adatvédelmi tisztviselőt, |
A KÖVETKEZŐKÉPPEN HATÁROZOTT:
1. cikk
Tárgy és hatály
(1) Ez a határozat azokra a feltételekre vonatkozó szabályokat állapítja meg, amelyekkel az Ügynökség a (2) bekezdésben meghatározott eljárások keretében korlátozhatja az (EU) 2018/1725 rendelet 14–21., 35. és 36. cikkében említett jogok, továbbá – a 25. cikket követve – a 4. cikk alkalmazását.
(2) Az Ügynökség működésének keretében ez a határozat az Ügynökség személyes adatokon végzett adatkezelési műveleteire alkalmazandó a következők során: igazgatási vizsgálatok, fegyelmi eljárások lefolytatása, az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése, visszaélés bejelentésével kapcsolatos ügyek, (hivatalos és nem hivatalos) zaklatási eljárások, belső és külső panaszok kezelése, belső ellenőrzések végzése, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok és házon belül vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.
(3) Az érintett adatkategóriák: tényszerű adatok („objektív” adatok, pl. személyazonosító adatok, elérhetőségi adatok, szakmai adatok, részletes igazgatási adatok, meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és a forgalmi adatok) és/vagy a véleményeken alapuló adatok (az üggyel kapcsolatos „szubjektív” adatok, pl.: indokolás, viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok).
(4) Amennyiben az Ügynökség a feladatait az érintettnek az (EU) 2018/1725 rendeletben meghatározott jogaira figyelemmel látja el, meg kell vizsgálnia, hogy nem kell-e alkalmazni az említett rendeletben meghatározott bármely mentességet.
(5) Az ebben a határozatban meghatározott feltételek mellett a korlátozások a következő jogokra vonatkozhatnak: információszolgáltatás az érintettek részére, hozzáférési, helyesbítési, törlési jog, az adatkezelés korlátozásához való jog, az érintett tájékoztatása az adatvédelmi incidensről, illetve a tájékoztatás bizalmas kezelése. A személyzeti szabályzat 5. cikkének (4) bekezdésével összhangban az igazgatási tanács jóváhagyja az EMSA tisztviselői és ideiglenes alkalmazottai vonatkozásában használt álláshely-típusok és -megnevezések közötti egyenértékűséget megállapító táblázatokat, amelyek e határozat mellékletében találhatók.
2. cikk
Az adatkezelő meghatározása
(1) Az adatkezelési műveletek tekintetében az adatkezelő az Ügynökség, amelyet az ügyvezető igazgató képvisel, aki átruházhatja az adatkezelői feladatkört. Az érintetteket az Ügynökség honlapján és/vagy az intraneten közzétett adatvédelmi tájékoztatók vagy feljegyzések útján tájékoztatni kell az átruházott hatáskörben eljáró adatkezelőről.
(2) Az 1. cikk (3) bekezdésében említett személyes adatok megőrzési ideje nem lehet hosszabb, mint amennyi az adatkezelés céljához mérten szükséges és megfelelő. A megőrzési idő semmiképpen sem lehet hosszabb az 5. cikk (1) bekezdésében említett adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban meghatározott megőrzési időszaknál.
(3) Amikor az Ügynökség korlátozás alkalmazását mérlegeli, számba kell vennie az érintett jogaira és szabadságaira nézve fennálló kockázatokat, különösen a többi érintett jogaira és szabadságaira nézve fennálló kockázat, valamint azon kockázat szempontjából, hogy például a bizonyítékok megsemmisítésével az Ügynökség vizsgálatai vagy eljárásai hatástalanná válnak. Az érintett jogait és szabadságait érintő kockázatok elsősorban, de nem kizárólag a jó hírnévvel kapcsolatos kockázatokat, valamint a védekezéshez és a meghallgatáshoz való joggal kapcsolatos kockázatokat jelentik.
2a. cikk
Garanciák
Az adatkezelő kötelezettséget vállal arra, hogy a visszaélés, illetve a jogosulatlan hozzáférés vagy továbbítás megakadályozását célzó garanciákat léptet életbe, amelyek közé tartoznak – a teljesség igénye nélkül – a következők:
|
a) |
A papíralapú iratokat biztonságos szekrényekben és/vagy széf(ek)ben kell tárolni, és azokhoz csak az arra jogosult munkatársak férhetnek hozzá; |
|
b) |
Valamennyi elektronikus adatot biztonságos informatikai alkalmazáson kell tárolni az Ügynökség biztonsági előírásainak megfelelően, valamint egyedi elektronikus mappákban, amelyekhez kizárólag az erre felhatalmazott személyzet férhet hozzá. Mindenki számára egyénileg megfelelő hozzáférési szintet kell biztosítani; |
|
c) |
Az adatbázis(ok)nak jelszóval védett, egységes belépési eljárással működő rendszernek kell lenniük, amelyek automatikusan kapcsolódnak a felhasználó azonosítójához és jelszavához. Az adatbázisokhoz és az adatokhoz a másik felhasználó nevében/azonosítójával történő hozzáférés szigorúan tilos. Az elektronikus nyilvántartásokat biztonságosan kell kezelni a bennük tárolt adatok bizalmasságának és titkosságának védelme érdekében; |
|
d) |
Az adatokhoz hozzáféréssel rendelkező valamennyi személyt titoktartási kötelezettség terhel. |
3. cikk
Korlátozások
(1) Az Ügynökség kizárólag az alábbiak védelme érdekében alkalmazhat korlátozást:
|
a) |
a tagállamok nemzetbiztonsága, közbiztonsága vagy honvédelme; |
|
b) |
bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és az említett veszélyek megelőzését; |
|
c) |
az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió közös kül- és biztonságpolitikai célkitűzései vagy az Unió, illetve valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot; |
|
d) |
az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlési hálózatokat is; |
|
e) |
a bírói függetlenség és a bírósági eljárások védelme; |
|
f) |
a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása; |
|
g) |
az a)–c) pontokban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység; |
|
h) |
az érintett védelme vagy mások jogainak és szabadságainak védelme; |
|
i) |
polgári jogi követelések érvényesítése. |
(2) A fenti (1) bekezdésben ismertetett célok konkrét alkalmazásaként az Ügynökség korlátozásokat vezethet be az alábbi körülmények között:
|
a) |
ha egy másik uniós intézmény, szerv vagy ügynökség az (EU) 2018/1725 rendelet 25. cikkében meghatározott egyéb jogi aktusok alapján, vagy a rendelet IX. fejezetével vagy más uniós intézmények, szervek, ügynökségek és hivatalok alapító jogi aktusaival összhangban korlátozhatja a felsorolt jogok gyakorlását; |
|
b) |
ha az uniós intézmény, szerv vagy ügynökség által alkalmazott ilyen korlátozás célja veszélybe kerülne, ha az EMSA ugyanazon személyes adatok vonatkozásában nem alkalmazna a szóban forgó korlátozással azonos hatású korlátozást; |
|
c) |
ha a felsorolt jogok gyakorlását tagállami illetékes hatóság az (EU) 2016/679 európai parlamenti és tanácsi rendelet (3) 23. cikkében meghatározott egyéb jogi aktusok, vagy az (EU) 2016/680 európai parlamenti és tanácsi irányelv (4) 13. cikkének (3) bekezdését, 15. cikkének (3) bekezdését vagy 16. cikkének (3) bekezdését átültető nemzeti intézkedések alapján korlátozhatja; |
|
d) |
ha az illetékes hatóság által alkalmazott ilyen korlátozás célja veszélybe kerülne, ha az EMSA ugyanazon személyes adatok vonatkozásában nem alkalmazna a szóban forgó korlátozással azonos hatású korlátozást; |
|
e) |
ha a szóban forgó jogok és kötelezettségek gyakorlása veszélyeztetné az Ügynökség – feladatainak végzése során – harmadik országokkal vagy nemzetközi szervezetekkel folytatott együttműködését. |
Mielőtt az első albekezdés a) és b) pontjában említett körülmények között korlátozások alkalmazására sor kerül, az Ügynökség egyeztet az érintett bizottsági szolgálatokkal, uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy a tagállamok illetékes hatóságaival, kivéve, ha az Ügynökség számára egyértelmű, hogy a korlátozás alkalmazásáról a nevezett pontokban említett valamely jogi aktus rendelkezik.
(3) Minden korlátozásnak szükségesnek és arányosnak kell lennie az érintettek jogaira és szabadságaira nézve fennálló kockázatokkal, és tiszteletben kell tartania az alapvető jogok és szabadságok lényeges tartalmát egy demokratikus társadalomban.
(4) Ha korlátozás alkalmazásáról döntenek, a jelen szabályok alapján 6 havonta (hathavonta) szükségességi és arányossági vizsgálatot kell végezni. Elszámoltathatósági okokból a vizsgálatot – eseti alapon – belső értékelő feljegyzés útján dokumentálják.
(5) A korlátozásokat fel kell oldani, amint az azokat indokoló körülmények már nem állnak fenn, különösen abban az esetben, ha úgy ítélik meg, hogy a korlátozott jog gyakorlása már nem lehetetlenítené el a megállapított korlátozás hatását, vagy nem érintené hátrányosan más érintettek jogait vagy szabadságait.
4. cikk
Az adatvédelmi tisztviselő által végzett felülvizsgálat
(1) Az Ügynökség indokolatlan késedelem nélkül tájékoztatja az Ügynökség adatvédelmi tisztviselőjét minden olyan esetben, amikor az adatkezelő korlátozza az érintettek jogainak alkalmazását, vagy e határozattal összhangban meghosszabbítja a korlátozást. Az adatkezelő hozzáférést biztosít az adatvédelmi tisztviselő részére a korlátozás szükségességére és arányosságára vonatkozó értékelést tartalmazó feljegyzéshez, és dokumentálja az adatvédelmi tisztviselő tájékoztatásának időpontját a feljegyzésben.
(2) Az adatvédelmi tisztviselő írásban kérheti az adatkezelőt, hogy vizsgálja felül a korlátozások alkalmazását. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.
(3) Az adatkezelő tájékoztatja a korlátozás feloldásáról az adatvédelmi tisztviselőt.
5. cikk
Az érintett tájékoztatása
(1) Kellően indokolt esetekben és az e határozatban megállapított feltételek mellett az adatkezelő korlátozhatja a tájékoztatáshoz való jogot az alábbi adatkezelési műveletek tekintetében:
|
a) |
igazgatási vizsgálatok és fegyelmi eljárások lefolytatása; |
|
b) |
az OLAF felé bejelentett lehetséges szabálytalanságokkal kapcsolatos előzetes tevékenységek; |
|
c) |
közérdekű bejelentésekkel kapcsolatos eljárások; |
|
d) |
zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások; |
|
e) |
belső és külső panaszok kezelése; |
|
f) |
belső ellenőrzések; |
|
g) |
az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok; |
|
h) |
házon belül vagy külső partnerek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok. |
Az Ügynökség az (EU) 2018/1725 rendelet 31. cikkének értelmében vett adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban, amelyeket a weboldalán és/vagy az intraneten tesz közzé, és amelyekben tájékoztatja az érintetteket a konkrét eljárásban rendelkezésükre álló jogokról, tájékoztatást ad a szóban forgó jogok esetleges korlátozásáról. A tájékoztatás kiterjed arra, hogy a korlátozás adott esetben mely jogokra vonatkozik, valamint a korlátozás okaira és lehetséges időtartamára.
(2) A (3) bekezdés rendelkezéseinek sérelme nélkül, az Ügynökség – amennyiben arányos – haladéktalanul írásban egyenként is tájékoztat minden olyan érintettet, akit megítélése szerint a konkrét adatkezelési művelet érint, a jelenlegi vagy jövőbeli korlátozásokkal kapcsolatos jogaikról.
(3) Amennyiben az Ügynökség teljes egészében vagy részlegesen korlátozza az érintettek részére történő, a (2) bekezdésben említett tájékoztatást, feljegyzésben dokumentálja a korlátozás okait, a jogalapot e határozat 3. cikkével összhangban, a korlátozás szükségességének és arányosságának értékelését is beleértve.
A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére bocsátják.
(4) A (3) bekezdésben említett korlátozás mindaddig hatályban marad, amíg az azt alátámasztó indokok fennállnak.
Amennyiben a korlátozás okai már nem állnak fenn, az Ügynökség tájékoztatja az érintettet a korlátozás alkalmazásának fő indokairól. Ezzel egyidejűleg az Ügynökség tájékoztatja az érintettet arról a jogáról, hogy bármikor panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán.
Az Ügynökség a korlátozás elfogadását követően hathavonta, valamint az adott vizsgálat vagy eljárás lezárultakor felülvizsgálja a korlátozás alkalmazását. Ezt követően az adatkezelő hathavonta ellenőrzi a korlátozás fenntartásának szükségességét.
6. cikk
Az érintett hozzáféréshez való joga
(1) Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a hozzáféréshez való jogot, ha szükséges és arányos:
|
a) |
igazgatási vizsgálatok és fegyelmi eljárások lefolytatása; |
|
b) |
az OLAF felé bejelentett lehetséges szabálytalanságokkal kapcsolatos előzetes tevékenységek; |
|
c) |
közérdekű bejelentésekkel kapcsolatos eljárások; |
|
d) |
zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások; |
|
e) |
belső és külső panaszok kezelése; |
|
f) |
belső ellenőrzések; |
|
g) |
az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok; |
|
h) |
házon belül vagy külső partnerek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok. |
Ha az érintett egy vagy több konkrét esettel vagy egy konkrét adatkezelési művelettel összefüggésben kezelt személyes adataihoz kér hozzáférést az (EU) 2018/1725 rendelet 17. cikkével összhangban, az Ügynökség a kérelem értékelését kizárólag a szóban forgó személyes adatokra korlátozza.
(2) Amennyiben az Ügynökség teljes egészében vagy részlegesen korlátozza az (EU) 2018/1725 rendelet 17. cikkében említett hozzáférési jogot, megteszi a következő lépéseket:
|
a) |
a kérésre adott válaszában tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól, valamint arról a lehetőségről, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán; |
|
b) |
belső értékelő feljegyzésben dokumentálja a korlátozás okait, értékelve a korlátozás szükségességét és arányosságát és megjelölve annak időtartamát. |
Az a) pontban említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, amennyiben a tájékoztatás az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében elrendelt korlátozás hatását ellehetetlenítené.
Az Ügynökség a korlátozás elfogadását követően hathavonta, valamint az adott vizsgálat lezárultakor felülvizsgálja a korlátozás alkalmazását. Ezt követően az adatkezelő hathavonta ellenőrzi a korlátozás fenntartásának szükségességét.
(3) A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére bocsátják.
7. cikk
Helyesbítési jog, törlési jog és az adatkezelés korlátozásához való jog
(1) Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a helyesbítéshez, törléshez és korlátozáshoz való jogot, ha szükséges és helyénvaló:
|
a) |
igazgatási vizsgálatok és fegyelmi eljárások lefolytatása; |
|
b) |
az OLAF felé bejelentett lehetséges szabálytalanságokkal kapcsolatos előzetes tevékenységek; |
|
c) |
közérdekű bejelentésekkel kapcsolatos eljárások; |
|
d) |
zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások; |
|
e) |
belső és külső panaszok kezelése; |
|
f) |
belső ellenőrzések; |
|
g) |
az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok; |
|
h) |
házon belül vagy külső partnerek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok; |
|
i) |
offline biztonsági mentési nyilvántartások, amelyek szekvenciálisak, és amelyeket kizárólag katasztrófa utáni helyreállítás vagy részleges adatok helyreállítása esetén dolgoznak fel. |
(2) Amennyiben az Ügynökség részben vagy egészben korlátozza az (EU) 2018/1725 rendelet 18. cikkében, 19. cikkének (1) bekezdésében és 20. cikkének (1) bekezdésében említett, a helyesbítéshez, a törléshez és az adatkezelés korlátozásához való jog alkalmazását, megteszi az e határozat 6. cikkének (2) bekezdésében meghatározott intézkedéseket, és a 6. cikk (3) bekezdésével összhangban rögzíti a feljegyzést. A fenti intézkedések ellenére minden korlátozást felül kell vizsgálni az e határozat 3. cikkének (4) bekezdésében meghatározott feltételek szerint.
8. cikk
Az érintett tájékoztatása az adatvédelmi incidensről és az elektronikus hírközlés bizalmas jellege
(1) Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja az adatvédelmi incidensről történő tájékoztatáshoz való jogot, ha szükséges és helyénvaló:
|
a) |
igazgatási vizsgálatok és fegyelmi eljárások lefolytatása; |
|
b) |
az OLAF felé bejelentett lehetséges szabálytalanságokkal kapcsolatos előzetes tevékenységek; |
|
c) |
közérdekű bejelentésekkel kapcsolatos eljárások; |
|
d) |
belső és külső panaszok kezelése; |
|
e) |
belső ellenőrzések; |
|
f) |
az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok; |
|
g) |
házon belül vagy külső partnerek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok. |
(2) Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja az elektronikus adatközlés bizalmasságához való jogot, amennyiben az helyénvaló és szükséges:
|
a) |
igazgatási vizsgálatok és fegyelmi eljárások lefolytatása; |
|
b) |
az OLAF felé bejelentett lehetséges szabálytalanságokkal kapcsolatos előzetes tevékenységek; |
|
c) |
közérdekű bejelentésekkel kapcsolatos eljárások; |
|
d) |
zaklatási ügyekkel kapcsolatos hivatalos eljárások; |
|
e) |
belső és külső panaszok kezelése; |
|
f) |
házon belül vagy külső partnerek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok. |
(3) Amennyiben az Ügynökség korlátozza az érintettnek az adatvédelmi incidensről való tájékoztatását vagy az elektronikus hírközlés bizalmas jellegét – amelyekről az (EU) 2018/1725 rendelet 35. és 36. cikke rendelkezik –, e határozat 5. cikkének (3) bekezdésével összhangban rögzíti és feljegyzi a korlátozás indokait. A jelen határozat 5. cikkének (4) bekezdése alkalmazandó. A fenti intézkedések ellenére minden korlátozást felül kell vizsgálni az e határozat 3. cikkének (4) bekezdésében meghatározott feltételek szerint.
9. cikk
Hatálybalépés
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Kelt Lisszabonban, 2020. április 6-án.
az EMSA részéről
Andreas NORDSETH
az igazgatási tanács elnöke
(1) HL L 295., 2018.11.21., 39. o.
(2) HL L 208., 2002.8.5., 1. o.
(3) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)(HL L 119., 2016.5.4., 1. o.).
(4) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).