2022.3.11. |
HU |
Az Európai Unió Hivatalos Lapja |
L 84/44 |
A RÉGIÓK BIZOTTSÁGA ELNÖKSÉGE 4/2022. HATÁROZATA
(2022. január 25.)
a Régiók Bizottsága tevékenységeinek és eljárásainak keretében végzett személyesadat-kezeléssel kapcsolatban az érintettek egyes jogainak korlátozására vonatkozó belső szabályok megállapításáról
A RÉGIÓK BIZOTTSÁGA ELNÖKSÉGE,
tekintettel az Európai Unió működéséről szóló szerződésre (1) és különösen annak 306. cikkére,
tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (2) („a rendelet” vagy „EUDPR”), és különösen annak 25. cikkére,
tekintettel a Régiók Európai Bizottsága eljárási szabályzatára (3), különösen e szabályzat 37. cikkének (d) bekezdésére,
tekintettel az európai adatvédelmi biztos („az EDPS”) 2021. április 20-i D(2021) 0894 (2021-0345. eset) véleményére, az EUDPR 41. cikkének (2) bekezdésével összhangban,
mivel:
(1) |
Az EUDPR 3. cikkének (1) bekezdése alapján egy azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ „személyes adatnak” tekintendő. |
(2) |
Ez a rendelet ugyanúgy érvényes a Régiók Bizottságára („az RB”), mint az összes uniós intézményre a tevékenységeinek és eljárásainak keretében végzett személyesadat-kezelés tekintetében. |
(3) |
Az RB az EUDPR 3. cikkének (8) bekezdése szerinti adatkezelő, amely delegálhatja a személyesadat-kezelés céljainak és eszközeinek meghatározására irányuló felelősséget. |
(4) |
Az EUDPR 45. cikkének (3) bekezdése alapján a Régiók Bizottságának az Elnöksége („az Elnökség”) végrehajtási szabályokat (4) fogadott el a rendelettel és a Régiók Bizottságának adatvédelmi tisztviselőjével („a DPO”) kapcsolatban. Ezekkel a szabályokkal összhangban az RB főtitkárságához tartozó szervezeti egységeknek (igazgatóságok, osztályok vagy részlegek) vagy az RB valamelyik politikai csoportja titkárságának, amely egyedül vagy másokkal közösen határozza meg a személyesadat-kezelés céljait és eszközeit, ezeknek az adatoknak a vonatkozásában az RB nevében delegált adatkezelőként kell eljárnia. |
(5) |
Az RB és az Európai Gazdasági és Szociális Bizottság („az EGSZB”) az intézményközi együttműködés keretében osztozik egyes szervezeti egységeken és erőforrásokon („a Közös szolgálatok”), és a Közös szolgálatok által végzett személyesadat-kezeléssel kapcsolatban az érintettek egyes jogainak korlátozására vonatkozó belső szabályokat az RB és az EGSZB által ebből a célból megkötött megállapodással összhangban kell meghatározni. |
(6) |
Az RB feladatainak ellátása érdekében az adatkezelők információkat, valamint a személyes adatok különböző kategóriáit gyűjtik és kezelik, ideértve a természetes személyek azonosító adatait, a kapcsolattartási adatokat, a munkahelyi beosztást és feladatokat, a magánéleti és a munkahelyi magatartásra és teljesítményre vonatkozó információkat, illetve a pénzügyi adatokat. A rendelet alapján az adatkezelőknek ezért tájékoztatniuk kell az érintetteket ezekről az általuk végzett adatkezelési tevékenységekről, és tiszteletben kell tartaniuk az érintettként őket megillető jogokat. |
(7) |
Előfordulhat, hogy az adatkezelőknek össze kell egyeztetniük ezeket a jogokat az RB-n belül végzett vizsgálatok, tevékenységek, ellenőrzések és eljárások célkitűzéseivel. Arra is szükség lehet, hogy egyensúlyt teremtsenek az érintett jogai és más érintettek alapvető jogai és szabadságai között. Ennek érdekében az EUDPR 25. cikkének (1) bekezdése lehetővé teszi az adatkezelők számára az EUDPR 14., 15., 16., 17., 18., 19., 20., 21., 22., 35. és 36. cikke, valamint az EUDPR 4. cikke alkalmazásának korlátozását, amennyiben rendelkezései megfelelnek az EUDPR 14–22. cikkében meghatározott jogoknak és kötelezettségeknek. |
(8) |
Az adatkezelők csak akkor alkalmazhatnak korlátozásokat, ha ez utóbbiak tiszteletben tartják az alapvető jogok és szabadságok lényegét, illetve egy demokratikus társadalomban feltétlenül szükséges és arányos intézkedésnek minősülnek. |
(9) |
Az adatkezelőknek indokokkal kell szolgálniuk ezeknek a korlátozásoknak a magyarázatául, és nyilvántartást kell vezetniük az érintettek jogainak általuk alkalmazott korlátozásairól. |
(10) |
Az adatkezelőknek azonnal fel kell oldaniuk a korlátozást, amint az azt indokoló feltételek már nem állnak fenn. Rendszeresen meg kell vizsgálniuk ezeket a feltételeket. |
(11) |
Az érintetteket megillető jogok és szabadságok legmagasabb szintű védelmének garantálása érdekében megfelelő időben konzultálni kell az adatvédelmi tisztviselővel az esetlegesen alkalmazott korlátozásokról, továbbá ellenőrizni kell, hogy azok megfelelnek-e ennek a határozatnak. |
(12) |
Amennyiben a Szerződések (5) alapján elfogadott jogi aktus nem ír elő korlátozásokat, belső szabályokat kell elfogadni, amelyek értelmében az adatkezelők korlátozhatják az érintettek jogait. |
(13) |
Ez a határozat nem érvényes azokban az esetekben, amikor az EUDPR 15. cikkének (4) bekezdésében és 16. cikkének (5) bekezdésében megállapított kivételek valamelyike érvényes az érintettek részére nyújtandó tájékoztatásra vonatkozóan, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
Tárgy, hatály és fogalommeghatározások
(1) Ez a határozat általános szabályokat állapít meg azokra a feltételekre vonatkozóan, amelyek fennállása esetén az EUDPR 25. cikkének (1) bekezdése alapján az adatkezelők korlátozhatják az EUDPR 14., 15., 16., 17., 18., 19., 20., 21., 22., 35. és 36. cikkének, valamint az EUDPR 4. cikkének az alkalmazását, amennyiben rendelkezései megfelelnek az EUDPR 14–22. cikkben meghatározott jogoknak és kötelezettségeknek.
(2) E határozat alkalmazásában a következő fogalommeghatározásokat kell alkalmazni:
a) |
„személyes adat” egy érintettre vonatkozó bármely információ, amelyet az Európai Unió működéséről szóló szerződés harmadik része V. címe 4. vagy 5. fejezetének hatálya alá nem tartozó tevékenységek vagy eljárások végrehajtása során dolgoznak fel, az EUDPR 3. cikkének (2) bekezdése szerinti műveleti vonatkozású személyes adatokkal ellentétben; |
b) |
„adatkezelő” az a szervezet, amely a Régiók Bizottsága által végzett tevékenységek és eljárások keretében a személyesadat-kezelés céljait és eszközeit önállóan vagy másokkal együtt ténylegesen meghatározza, tekintet nélkül arra, hogy ennek a meghatározásnak a felelősségét delegálták-e. |
(3) Ez a határozat az RB által végzett tevékenységek és eljárások céljából történő személyesadat-kezelésre érvényes. Nem érvényes akkor, ha a Szerződések alapján elfogadott valamely jogi aktus az érintettek jogainak korlátozásáról rendelkezik.
(4) Az RB az EUDPR 3. cikkének (8) bekezdése szerinti adatkezelő, amely delegálhatja a személyesadat-kezelés céljainak és eszközeinek meghatározására irányuló felelősséget.
(5) Az információk minden egyes feldolgozásához, korlátozásához és halasztásához, kihagyásához vagy megtagadásához minden esetben az RB megfelelő belső határozataival, eljárásaival és végrehajtási szabályaival összhangban kell meghatározni az adatkezelőt.
2. cikk
Kivételek és eltérések
(1) Az adatkezelőknek, mielőtt a 3. cikk (1) bekezdése alapján korlátozásokat alkalmaznak, figyelembe kell venniük, hogy érvényesek-e a rendeletben megállapított kivételek vagy eltérések, nevezetesen azok, amelyek az EUDPR 15. cikkének (4) bekezdésén, 16. cikkének (5) bekezdésén, 19. cikkének (3) bekezdésén, 25. cikkének (3) és (4) bekezdésén és 35. cikkének (3) bekezdésén alapulnak.
(2) Az eltérések az EUDPR 13. cikkével és ennek a határozatnak a 6. cikkével összhangban megfelelő garanciák mellett alkalmazhatók.
3. cikk
Korlátozások
(1) Az adatkezelők korlátozhatják az EUDPR 14., 15., 16., 17., 18., 19., 20., 21., 22., 35. és a 36. cikkének, valamint az EUDPR 4. cikkének az alkalmazását – amennyiben annak rendelkezései megfelelnek az EUDPR 14–22. cikkben meghatározott jogoknak és kötelezettségeknek –, ha az érintettek jogainak gyakorlása károsan befolyásolná az RB által végzett egy vagy több tevékenység vagy eljárás célját vagy eredményét, különösen:
a) |
az EUDPR 25. cikke (1) bekezdésének b), c), f), g) és h) pontja alapján, ha a kinevezésre jogosult hatóság és az RB munkaszerződéseinek megkötésére jogosult hatóság („a kinevezésre jogosult hatóság”) személyzeti ügyekkel kapcsolatban fegyelmi eljárásokat, igazgatási vizsgálatokat folytat, összhangban az Európai Unió tisztviselői személyzeti szabályzatának („a személyzeti szabályzat”) 86. cikkével és személyzeti szabályzatának IX. mellékletével, valamint az Európai Unió egyéb alkalmazottai alkalmazási feltételeinek (6) („alkalmazási feltételek”) az 50a. és 119. cikkével, és vizsgálatokat folytat a személyzeti szabályzat 24. cikke és az alkalmazási feltételek 11. és 81. cikke alapján benyújtott segítségnyújtás iránti kérelmek keretében, és a személyzeti szabályzat 12a. cikke szerinti állítólagos zaklatási ügyekkel kapcsolatosan; |
b) |
az EUDPR 25. cikke (1) bekezdésének b), c), f), és h) pontja alapján, ha a kinevezésre jogosult hatóság az RB tisztviselői és egyéb alkalmazottai („személyzet”) által benyújtott kéréseket és panaszokat vizsgálja a személyzeti szabályzat 90. cikkével és az alkalmazási feltételek 46. és 117. cikkével összhangban; |
c) |
az EUDPR 25. cikke (1) bekezdésének c) és h) pontja alapján, ha a kinevezésre jogosult hatóság kiválasztási (munkaerő-felvételi), értékelési és előléptetési eljárások lefolytatásával az RB személyzeti politikáját hajtja végre; |
d) |
az EUDPR 25. cikke (1) bekezdésének c), f), g) és h) pontja alapján, ha az RB engedélyezésre jogosult tisztviselője („engedélyezésre jogosult tisztviselő”) az Európai Unió általános költségvetéséből az RB-re vonatkozó szakaszt hajtja végre az Unió általános költségvetésére alkalmazandó pénzügyi szabályokkal (7) („a költségvetési rendelet”) összhangban; |
e) |
az EUDPR 25. cikke (1) bekezdésének b), c), f), g) és h) pontja alapján, ha az engedélyezésre jogosult tisztviselő ellenőrzést és vizsgálatokat folytat az RB által és azon belül végrehajtott pénzügyi tranzakciók jogszerűségére vonatkozóan, az RB tagjainak és póttagjainak („az RB tagjai”) a pénzügyi jogosultságaira (8) vonatkozóan, és az RB által szervezett vagy társszervezőként szervezett tevékenységek és rendezvények finanszírozására vonatkozóan, és a személyzet részéről elkövetett pénzügyi szabálytalanságokkal foglalkozik, a költségvetési rendelet 93. cikkével összhangban; |
f) |
az EUDPR 25. cikke (1) bekezdésének b), c), f), g) és h) pontja alapján, ha az RB információkat és dokumentumokat nyújt az Európai Csalás Elleni Hivatal („OLAF”) részére, vagy az OLAF kérésére vagy saját kezdeményezésre, esetekről értesíti az OLAF-ot, vagy az OLAF-tól kapott információkat és dokumentumokat dolgozza fel (9); |
g) |
az EUDPR 25. cikke (1) bekezdésének c), g) és h) pontja alapján, ha az RB belső ellenőrzéseket folytat a költségvetési rendelet 118. és 119. cikke céljából, és szervezeti egységeinek a tevékenységeivel és eljárásaival kapcsolatban; |
h) |
az EUDPR 25. cikke (1) bekezdésének c), d) és h) pontja alapján, ha az RB belső kockázatfelmérést, hozzáférés-ellenőrzéseket, köztük háttérellenőrzéseket, megelőző intézkedéseket és a biztonsággal és üzembiztonsággal kapcsolatos események, többek között az RB tagjait vagy a személyzetet érintő incidensek, valamint az RB infrastruktúráját és információs és kommunikációs technológiáit érintő incidensek vizsgálatát végzi, valamint üzembiztonsági vizsgálatokat és kisegítő vizsgálatokat végez, többek között elektronikus kommunikációs hálózatain is, saját kezdeményezésére vagy harmadik felek kérésére; |
i) |
az EUDPR 25. cikke (1) bekezdésének c), d) és h) pontja alapján, ha az adatvédelmi tisztviselő saját kezdeményezésre vagy harmadik felek kérésére vizsgálatokat folytat a feladatát közvetlenül érintő olyan témákkal és eseményekkel kapcsolatban, amelyek a tudomására jutottak, az EUDPR 45. cikkének (2) bekezdésével összhangban; |
j) |
az EUDPR 25. cikke (1) bekezdésének h) pontja alapján, ha az adatkezelők olyan személyes adatokat dolgoznak fel, amelyeket a személyzet valamely tagja által tett jóhiszemű, tényekre támaszkodó bejelentés keretében kapnak, ami az Unió érdekeit sértő, potenciálisan jogellenes tevékenységekre, többek között csalásra és korrupcióra („súlyos szabálytalanságok”) vagy a hivatali feladatok ellátásával kapcsolatos olyan magatartásra utal, amely kimerítheti az uniós tisztviselők súlyos kötelezettségszegésének esetét („súlyos kötelességszegés”); |
k) |
az EUDPR 25. cikke (1) bekezdésének h) pontja alapján, ha az adatkezelők az állítólagos zaklatás eseteiben nem hivatalos eljárás keretében, bizalmi személyektől kapott személyes adatokat dolgoznak fel; |
l) |
az EUDPR 25. cikke (1) bekezdésének h) pontja alapján, ha az adatkezelők az RB egyik tagjának vagy a személyzet egyik tagjának az egészséggel kapcsolatos személyes adatait („orvosi adatok”) dolgozzák fel, beleértve a pszichológiai vagy pszichiátriai természetű adatokat, amelyeket az RB az érintettel kapcsolatos orvosi aktában őriz; |
m) |
az EUDPR 25. cikke (1) bekezdésének e) pontja alapján, ha az adatkezelők az Európai Unió Bírósága („Európai Bíróság”) előtti eljárásokkal összefüggésben a felek vagy a beavatkozó felek által megszerzett dokumentumokban szereplő személyes adatokat kezel; |
n) |
az EUDPR 25. cikke (1) bekezdésének b, c), d), g) és h) pontja alapján, ha segítségnyújtás valósul meg az RB és más uniós intézmények, szervek, hivatalok és ügynökségek között, és az RB együttműködik velük az (1) bekezdés a)–m) pontjaiban említett tevékenységek vagy eljárások kontextusában, és az adott szolgáltatási szintre vonatkozó megállapodásokban, egyetértési megállapodásokban és együttműködési megállapodásokban foglaltak szerint; |
o) |
a rendelet 25. cikke (1) bekezdésének b), c), g) és h) pontja alapján, ha segítségnyújtás valósul meg az RB és a tagállamok hatóságai vagy harmadik országok hatóságai vagy nemzetközi szervezetek között, és az RB együttműködik az ilyen hatóságokkal és szervezetekkel, az utóbbiak kérésére vagy a saját kezdeményezésére; |
p) |
a rendelet 25. cikke (1) bekezdésének a), b), e) és f) pontja alapján, ha az RB a tagállamok hatóságai vagy harmadik országok hatóságai vagy nemzetközi szervezetek részére a vizsgálatok keretében általuk kért információkat és dokumentumokat megadja. |
(2) Az (1) bekezdésben említett korlátozások az objektív („tényszerű adatok”) és a szubjektív („véleményen alapuló adatok”) személyes adatokra egyaránt vonatkozhatnak, különösen, de nem kizárólag a következő kategóriák valamelyikéből:
a) |
azonosító adatok; |
b) |
kapcsolattartási adatok; |
c) |
szakmai adatok (10); |
d) |
pénzügyi adatok; |
e) |
felügyeleti adatok (11); |
f) |
forgalmi adatok (12); |
g) |
orvosi adatok (13); |
h) |
genetikai adatok (13); |
i) |
biometrikus adatok (13); |
j) |
egy természetes személy nemi életével vagy szexuális irányultságával kapcsolatos adatok (13); |
k) |
a faji vagy etnikai származást, vallást vagy filozófiai meggyőződést, politikai véleményt vagy hovatartozást, illetve szakszervezeti tagságot feltáró adatok (13); |
l) |
kiválasztási (munkaerő-felvételi), értékelési vagy előléptetési eljárásokban résztvevő természetes személyek teljesítményét vagy viselkedését feltáró adatok (14); |
m) |
természetes személyek jelenlétére vonatkozó adatok; |
n) |
természetes személyek külső tevékenységeire vonatkozó adatok; |
o) |
bűncselekmény gyanújára, bűncselekményekre, büntetőítéletekre vagy biztonsági intézkedésekre vonatkozó adatok; |
p) |
elektronikus közlések; |
q) |
Az adott tevékenység vagy eljárás tárgyára vonatkozó minden egyéb adat, amelyekhez adatfeldolgozás szükséges. |
(3) Minden korlátozásnak tiszteletben kell tartania az alapvető jogok és szabadságok lényegét, illetve egy demokratikus társadalomban feltétlenül szükséges és arányos intézkedésnek kell lennie, és arra kell korlátozódnia, ami célja eléréséhez szigorúan szükséges.
(4) Az EUDPR 36. cikkének az alkalmazását érintő bárminemű – teljes vagy részleges – korlátozásnak (az elektronikus hírközlés bizalmas jellege) az (1) bekezdéssel összhangban meg kell felelnie az elektronikus hírközlések bizalmas jellegére vonatkozóan érvényes uniós jogszabálynak (15).
(5) Az adatkezelők időszakonként felülvizsgálják az (1) bekezdésben említett korlátozások alkalmazását, azoknak az elfogadásától kezdve legalább félévente, de akkor is, ha az eset lényegi és meghatározó elemei megváltoznak, valamint azoknak a tevékenységnek vagy eljárásoknak a befejezésénél vagy megszűnésénél, amelyek a korlátozásokat előidézték. Ezt követően évente felülvizsgálják a korlátozás fenntartásának szükségességét.
(6) Az (1) bekezdésben említett korlátozások addig maradnak hatályban, amíg az alátámasztásukra szolgáló indokok fennállnak. Ha az (1) bekezdésben említett korlátozások indokai már nem állnak fenn, az adatkezelők megszüntetik őket.
(7) Az adatkezelőknek, amikor az RB feladatai keretében harmadik személyektől kapott személyes adatokat kezelnek, konzultálniuk kell ezekkel a harmadik felekkel a korlátozások megszabásának lehetséges jogalapjáról és az érintett korlátozások szükségszerűségéről és arányosságáról, kivéve, ha ez veszélyeztetné az RB tevékenységeit és eljárásait.
4. cikk
A szükségesség és arányosság értékelése
(1) Bármilyen korlátozások alkalmazása előtt az adatkezelőknek eseti alapon kell értékelniük, hogy a mérlegelt korlátozások szükségesek és arányosak-e.
(2) Amikor az adatkezelők értékelik egy korlátozás szükségességét és arányosságát, mérlegelik az érintettek jogait és szabadságait érintő lehetséges kockázatokat.
(3) Az érintettek jogait és szabadságait érintő, a korlátozások kiszabásából adódó lehetséges kockázatokra, nevezetesen arra a kockázatra vonatkozó értékeléseket, miszerint személyes adataikat a tudtuk nélkül esetleg továbbra is feldolgozzák, és jogaiknak a rendelettel összhangban történő gyakorlása esetleg akadályoztatást szenved, valamint a korlátozásoknak az alkalmazási idejével kapcsolatos adatokat nyilvántartásba kell venni az EUDPR 31. cikkének (1) bekezdése alapján az adatkezelők által vezetett feldolgozásitevékenység-nyilvántartásban. Ezeket az EUDPR 39. cikke alapján a korlátozásokkal kapcsolatban elvégzett adatvédelmi hatásvizsgálatokban is rögzíteni kell.
5. cikk
A korlátozások feljegyzése és nyilvántartásba vétele
(1) Amikor az adatkezelők korlátozásokat alkalmaznak, fel kell jegyezniük:
a) |
a korlátozások alkalmazásának az indokait; |
b) |
a korlátozások alkalmazásának jogalapját; |
c) |
az érintett jogainak gyakorlása hogyan befolyásolná hátrányosan az RB által végzett egy vagy több tevékenység vagy eljárás célját vagy eredményét; |
d) |
a 4. cikk (1) bekezdésében említett becslés eredményét. |
(2) Az (1) bekezdésben említett feljegyzések az EUDPR 31. cikkének (5) bekezdésében meghatározott központi nyilvántartás részét képezik, és kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani őket.
(3) Amikor az adatkezelők korlátozzák az EUDPR 35. cikkének alkalmazását (Az érintett tájékoztatása az adatvédelmi incidensről), az (1) bekezdésben említett feljegyzést bele kell foglalni az európai adatvédelmi biztos részére küldött értesítésbe, amiről az EUDPR 34. cikkének (1) bekezdése rendelkezik.
6. cikk
Garanciák és a megőrzés időtartama
(1) Az adatkezelők a 3. cikk (1) bekezdése alapján esetleges korlátozások alá eső személyes adatokkal való visszaélések, illetve a jogosulatlan hozzáférés vagy továbbítás megakadályozása érdekében garanciákat vezetnek be. Ilyen garanciák közé tartoznak a megfelelő technikai és szervezeti intézkedések, amelyeket szükség esetén az RB lényeges belső határozataiban, eljárásaiban és végrehajtási szabályaiban lehet részletesen meghatározni.
(2) Az (1) bekezdésben említett garanciák közé tartoznak a következők:
a) |
egyértelműen meghatározott szerepek, felelősségek és eljárási lépések; |
b) |
adott esetben egy olyan biztonságos elektronikus környezet, amely megakadályozza, hogy illetéktelen személyek jogosulatlanul vagy véletlenül hozzáférjenek az elektronikus adatokhoz, vagy azokat részükre továbbítsák; |
c) |
adott esetben a papíralapú dokumentumok biztonságos tárolása és kezelése; |
d) |
a korlátozások kellő figyelemmel kísérése és alkalmazásuk időszakos felülvizsgálata. |
(3) A személyes adatokat az RB érvényes adatmegőrzési szabályaival (16) összhangban kell megőrizni – ezeket a szabályokat az EUDPR 31. cikkének (1) bekezdése alapján az adatkezelők által vezetett nyilvántartásokban kell megállapítani. A megőrzési időszak végén a személyes adatokat adott esetben törlik, oly módon anonimizálják, hogy az érintett többé ne legyen azonosítható, vagy továbbítják azokat az RB archívumába, összhangban az EUDPR 13. cikkével.
7. cikk
Az érintettek tájékoztatása jogaik korlátozásáról
(1) Az RB nyilvános webhelyén és intranetes honlapján közzétett adatvédelmi értesítések magukban foglalnak egy olyan szakaszt, amely általános tájékoztatást nyújt az érintettek számára jogaiknak az RB olyan tevékenységeinek és eljárásainak keretében történő lehetséges korlátozásáról, amelyek magukban foglalják személyes adataik feldolgozását. Ez a szakasz meghatározza, hogy mely jogok korlátozhatók, hogy milyen jogalapon alkalmazhatók korlátozások, azoknak a korlátozásoknak a lehetséges időtartamát és az érintettek számára rendelkezésre álló közigazgatási és jogorvoslati lehetőségeket.
(2) Amikor az adatkezelők korlátozásokat alkalmaznak, indokolatlan késedelem nélkül és a legmegfelelőbb formában közvetlenül tájékoztatnak minden érintettet a következőkről:
a) |
jogaik bárminemű fennálló vagy következő korlátozása; |
b) |
azok a fő okok, amelyeken a korlátozás alkalmazása alapul; |
c) |
az a joguk, hogy a korlátozás vitatása céljából konzultáljanak az adatvédelmi tisztviselővel; |
d) |
az a joguk, hogy panaszt nyújtsanak be az európai adatvédelmi biztoshoz; |
e) |
az a joguk, hogy bírósági jogorvoslatért folyamodjanak a Bírósághoz. |
(3) A (2) bekezdéstől függetlenül, amikor az adatkezelők kivételes esetekben korlátozzák az EUDPR 35. cikkének alkalmazását (Az érintett tájékoztatása az adatvédelmi incidensről), közölniük kell az adatvédelmi incidenst az érintettel, és meg kell adniuk a (2) bekezdés b), d) és e) pontjaiban említett információt, amint az ilyen közlések korlátozásának az indokai már nem állnak fenn.
(4) A (2) bekezdéstől függetlenül, amikor az adatkezelők kivételes esetekben korlátozzák az EUDPR 36. cikkének alkalmazását (Az elektronikus hírközlés bizalmas jellege), az érintett kérésére adott válaszukban meg kell adniuk a (2) bekezdésben említett információt.
(5) Az adatkezelők mindaddig halaszthatják, kihagyhatják vagy megtagadhatják a (2) bekezdésben említett információ megadását („információ halasztása, kihagyása vagy megtagadása”), amíg az ellehetetlenítené a korlátozás hatását. Meg kell adniuk az érintett részére a (2) bekezdésben említett információt, amint ez többé már nem lehetetlenítené el a korlátozást.
(6) A 4. és az 5. cikk hasonlóképpen érvényes az információ halasztásának, kihagyásának vagy megtagadásának bármely esetére.
8. cikk
Az RB adatvédelmi tisztviselőjének a bevonása
(1) Az adatkezelők indokolatlan késedelem nélkül írásban tájékoztatják az adatvédelmi tisztviselőt, ha korlátozzák egy érintett jogait a 3. cikk (1) bekezdése alapján, elvégzik a 3. cikk (5) bekezdésében említett időszakonkénti felülvizsgálatot, megszüntetik a korlátozásokat, ahogyan arról a 3. cikk (6) bekezdése rendelkezik, vagy elhalasztják, kihagyják vagy megtagadják a 7. cikk (2) bekezdésében említett információ megadását a 7. cikk (5) bekezdése alapján. Kérésre hozzáférést kell biztosítani az adatvédelmi tisztviselő számára a kapcsolódó feljegyzésekhez és a szóban forgó ténybeli vagy jogi elemeket tartalmazó minden dokumentumhoz.
(2) Az adatvédelmi tisztviselő kérheti az adatkezelőket, hogy vizsgáljanak felül minden fennálló korlátozást, valamint információhalasztást, -kihagyást vagy -megtagadást, és ezek alkalmazását. Az adatvédelmi tisztviselő írásban tájékoztatást kap a felülvizsgálat eredményéről.
(3) Az adatvédelmi tisztviselő bevonását, amelyről az (1) és (2) bekezdés rendelkezik a korlátozások alkalmazásával, valamint az információk halasztásával, kihagyásával vagy megtagadásával kapcsolatosan, az adatkezelők megfelelő módon dokumentálják, beleértve az adatvédelmi tisztviselővel megosztott információkat is.
(4) Az adatvédelmi tisztviselő kérésre véleményt ad ki az adatkezelők részére felelősségeik meghatározásáról az EUDPR 28. cikkének (1) bekezdése alapján megvalósuló közös adatkezelési szabályozás keretében.
9. cikk
Közös szolgálatok
Az adatvédelmi tisztviselő együttműködik az EGSZB adatvédelmi tisztviselőjével a közös szolgálatok által végzett személyesadat-kezelés vonatkozásában, annak érdekében, hogy biztosítsa ennek a határozatnak a hatékony végrehajtását.
10. cikk
Záró rendelkezések
(1) A főtitkár szükség szerint utasításokat adhat vagy végrehajtási intézkedéseket fogadhat el e határozattal összhangban a határozat egyes rendelkezéseinek esetlegesen szükséges további pontosítása vagy érvényesítése érdekében.
(2) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Kelt Brüsszelben, 2022. január 25-én.
a Régiók Bizottsága Elnöksége részéről
Apostolos TZITZIKOSTAS
elnök
(1) HL C 202., 2016.6.7., 47. o.
(2) HL L 295, 2018.11.21., 39. o.
(3) HL L 472., 2021.12.30., 1. o.
(4) A Régiók Bizottsága elnökségének 19/2020. sz. határozata (2020. október 9.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról szóló (EU) 2018/1725 európai parlamenti és tanácsi rendelethez (2018. október 23.) kapcsolódó végrehajtási szabályok elfogadásáról („19/2020. sz. határozat”).
(5) Az Európai Unióról szóló szerződés („EUSZ”)(HL C 202., 2016.6.7., 13. o.) és az Európai Unió működéséről szóló szerződés („EUMSZ”).
(6) Az Európai Közösségek tisztviselőinek személyzeti szabályzatáról, egyéb alkalmazottainak alkalmazási feltételeiről, valamint a Bizottság tisztviselőire ideiglenesen alkalmazandó különleges intézkedések bevezetéséről szóló 1968. február 29-i 259/68/EGK, Euratom, ESZAK tanácsi rendelettel (HL L 56., 1968.3.4., 1. o.), valamint a későbbiekben tovább módosított, átdolgozott és kiegészített, az Európai Közösség és az Európai Atomenergia-közösség tisztviselőinek személyzeti szabályzatáról és egyéb alkalmazottainak alkalmazási feltételeiről szóló 31/EGK és 11/Euratom tanácsi rendelet (HL P 45., 1962.6.14., 1385. o.) melléklete.
(7) Az Európai Parlament és a Tanács (EU, Euratom) 2018/1046 rendelete (2018. július 18.) az Unió általános költségvetésére alkalmazandó pénzügyi szabályokról, az 1296/2013/EU, az 1301/2013/EU, az 1303/2013/EU, az 1304/2013/EU, az 1309/2013/EU, az 1316/2013/EU, a 223/2014/EU és a 283/2014/EU rendelet és az 541/2014/EU határozat módosításáról, valamint a 966/2012/EU, Euratom rendelet hatályon kívül helyezéséről (HL L 193., 2018.7.30., 1. o.).
(8) Ideértve, de nem kizárólag az általános költségtérítéseket, személyzeti juttatásokat, a berendezésekkel és felszerelésekkel kapcsolatos költségtérítéseket, az utazási ellátmányokat, a napidíjakat és a (táv)ülések idejére járó költségtérítéseket, valamint a költségvetési rendelet 238. cikke alapján fizetett egyéb költségtérítéseket.
(9) Ez a pont nem érvényes az olyan személyes adatok feldolgozására, amelyek vonatkozásában az OLAF az egyedüli adatkezelő, nevezetesen azokban az esetekben, ha az OLAF az RB helyiségeiben tárolt személyes adatokat dolgozza fel.
(10) Ideértve, de nem kizárólag a munkaszerződéseket, szolgáltatói szerződéseket és a kiküldetésekkel kapcsolatos adatokat.
(11) Ideértve, de nem kizárólag a hang- és videófelvételeket és a bejelentkezési és kijelentkezési nyilvántartásokat.
(12) Ideértve, de nem kizárólag a bejelentkezések és kijelentkezések pontos idejét, a hozzáférést a belső alkalmazásokhoz és a hálózatalapú erőforrásokhoz és az internethasználatot.
(13) Amennyiben az ilyen adatok feldolgozására az EUDPR 10. cikkének (2) bekezdése alapján kerül sor.
(14) Ideértve, de nem kizárólag az írásbeli teszteket, a hangfelvételeket, az értékelőlapokat és az értékelők értékeléseit, megjegyzéseit vagy véleményét.
(15) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).
(16) A Régiók Bizottsága főtitkárának 2003. június 17-i, a Régiók Bizottságának a dokumentumkezeléséről szóló 129/2003. sz. határozata.