8.2.2019   

HU

Az Európai Unió Hivatalos Lapja

L 37/144


A BIZOTTSÁG (EU) 2019/236 HATÁROZATA

(2019. február 7.)

az uniós intézmények belső biztonsága érdekében az érintettek személyes adatainak Európai Bizottság általi kezelésével kapcsolatos tájékoztatására és egyes adatvédelmi jogainak korlátozására vonatkozó belső szabályok megállapításáról

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 249. cikke (1) bekezdésére,

mivel:

(1)

Elengedhetetlen, hogy a Bizottság biztonságos és védett környezetben működjön. Ennek megvalósításához a Bizottságnak a biztonságára vonatkozó integrált megközelítésre van szüksége, amely biztosítja a személyek, eszközök és adatok megfelelő szintű, az azonosított kockázatokkal arányban álló védelmét, valamint garantálja a biztonság hatékony és pontos érvényesülését. A Bizottság jelentős biztonsági fenyegetésekkel és kihívásokkal néz szembe, különösen a terrorizmus, az informatikai támadások, valamint a politikai és kereskedelmi kémkedés tekintetében.

(2)

A személyek, eszközök és információk biztonságának garantálása érdekében a Bizottság főleg a Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatósága révén az (EU, Euratom) 2015/443 bizottsági határozatban (1) előírt intézkedéseket hoz, amelyek a személyes adatok számos kategóriájának kezelésével járnak. Ezen intézkedések közé tartoznak az (EU, Euratom) 2015/443 határozat 7. cikkének (5) bekezdése szerinti háttérellenőrzések, a 12. cikk szerinti fenyegetésértékelések, valamint a 13. cikk szerinti biztonsági vizsgálatok. Nyomozati hatásköre keretében a Bizottság a nyomozás szempontjából jelentős, több forrásból – hatóságoktól és természetes személyektől – származó adatokat, például személyes adatokat gyűjt, amelyeket más uniós intézményekkel, szervekkel, irodákkal és ügynökségekkel, a tagállamok és harmadik országok illetékes hatóságaival és nemzetközi szervezetekkel oszt meg a vizsgálati vagy koordinációs tevékenységei előtt, közben és azokat követően.

(3)

A Bizottság által kezelt személyes adatok lehetnek például azonosító, kapcsolattartási és szakmai adatok, valamint a háttérellenőrzésekkel, fenyegetésértékelésekkel vagy biztonsági vizsgálatokkal kapcsolatos vagy azokkal összefüggésbe hozott adatok. A személyes adatokat biztonságos elektronikus környezetben tárolják, hogy megakadályozzák az adatokhoz való jogosulatlan hozzáférést vagy az adatok továbbítását a Bizottságon kívüli személyek számára. A személyes adatokat a Bizottság vizsgálatért felelős szolgálata őrzi meg a vizsgálat végéig. A különböző adatkezelési tevékenységekre különböző megőrzési időszakok vonatkoznak a vizsgálatok kategóriájától, nevezetesen attól függően hogy azok a gyanított bűncselekmények, a kémelhárítás és a terrorizmus elleni küzdelem terén folynak-e. A megőrzési időszak végén törlik az üggyel kapcsolatos adatokat, ezen belül a személyes adatokat (2).

(4)

Feladatainak ellátása során a Bizottságnak tiszteletben kell tartania a természetes személyeknek az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és a Szerződés 16. cikkének (1) bekezdése által elismert, személyesadat-kezeléssel kapcsolatos jogait, valamint az (EU) 2018/1725 európai parlamenti és tanácsi rendeletben (3) előírt jogokat. Ezzel egyidejűleg a Bizottság köteles – az (EU, Euratom) 2015/443 határozat 9. cikkében lefektetett – szigorú, titoktartási szabályoknak megfelelni.

(5)

Bizonyos körülmények esetén össze kell egyeztetni az érintettek (EU) 2018/1725 rendelet szerinti jogait annak szükségességével, hogy a Bizottság hatékonyan végezze a bizottsági személyek, eszközök és adatok biztonságának védelmével kapcsolatos, (EU, Euratom) 2015/443 határozat szerinti feladatait, különösen a biztonsági vizsgálatokat, ugyanakkor a többi érintett alapvető jogainak és szabadságainak teljes körű tiszteletben tartásával. E célból az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), d) és h) pontja lehetőséget biztosít arra, hogy a Bizottság korlátozza a 14–17., 19., 20. és 35. cikk alkalmazását, továbbá a 4. cikk (1) bekezdésének a) pontjában meghatározott átláthatóság elvének alkalmazását, amennyiben annak rendelkezései megfelelnek az említett rendelet 14–17., 19., és 20. cikkében meghatározott jogoknak és kötelezettségeknek.

(6)

Annak érdekében, hogy a Bizottság hatékonyan végezze a bizottsági személyek, eszközök és adatok biztonságának az (EU, Euratom) 2015/443 határozat szerinti védelmével kapcsolatos feladatait, különösen a biztonsági vizsgálatait, a személyes adatok védelmére vonatkozó (EU) 2018/1725 rendelet szerinti előírások tiszteletben tartása mellett belső szabályokat kell elfogadni, amelyek alapján a Bizottság korlátozhatja az érintettek jogait az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), d) és h) pontjával összhangban.

(7)

Ezen belső szabályoknak ki kell terjedniük a Bizottság valamennyi adatkezelési műveletére, amelyeket a Bizottság a bizottsági személyek, eszközök és adatok biztonságának védelmét célzó – különösen a biztonsági területen folytatott vizsgálati – feladatainak az (EU, Euratom) 2015/443 határozat szerinti végrehajtása során végez. E szabályok alkalmazandók a vizsgálat megkezdése előtti, a vizsgálat közbeni és a vizsgálatok eredményét nyomon követő ellenőrzés során végzett adatkezelési műveletekre.

(8)

Az (EU) 2018/1725 rendelet 14., 15. és 16. cikkének való megfelelés érdekében a Bizottságnak a saját honlapján közzétett adatvédelmi értesítés formájában átlátható és következetes módon tájékoztatnia kell minden magánszemélyt a személyes adatainak kezelését magában foglaló bizottsági tevékenységekről, valamint a jogaikról.

(9)

A Bizottság emellett köteles megfelelő formában, egyénileg tájékoztatni a biztonsági vizsgálatban részt vevő érintetteket azaz az érintett személyeket és tanúkat. A Bizottság továbbá köteles egyénileg tájékoztatni azon személyeket, akiknek adatait az (EU, Euratom) 2015/443 határozat 7. cikkének (5) bekezdése és a 12. cikke (1) bekezdésének d) és e) pontja szerinti biztonsági intézkedések összefüggésében kezelik, nevezetesen a Bizottság helyiségeinek, kommunikációs és információs rendszereinek és berendezéseinek átkutatása során.

(10)

Az (EU) 2018/1725 rendelet 25. cikke alapján szükségessé válhat, hogy a Bizottság korlátozza az érintettek tájékoztatását és egyéb jogainak gyakorlását különösen egy biztonsági vizsgálat, annak vizsgálati eszközei és módszerei védelme, más hatóság biztonsági vizsgálatainak és eljárásainak védelme érdekében, valamint a szóban forgó biztonsági vizsgálattal, nyomozással és/vagy eljárással kapcsolatosan más személyek jogainak védelme érdekében.

(11)

Bizonyos esetekben az érintettek tájékoztatása egy konkrét információról, vagy az (EU, Euratom) 2015/443 határozat 12. cikke (1) bekezdésének d) és e) pontja szerinti vizsgálat vagy biztonsági intézkedések meglétének, konkrétan annak felfedése, hogy átkutatták a Bizottság létesítményeit és a kommunikációs és információs rendszereit, valamint a felszerelését, ellehetetlenítené vagy komolyan veszélyeztethetné a vizsgálat célját és a Bizottság biztonságának védelmére szolgáló kapacitását, és mindenekelőtt a biztonsági vizsgálatok jövőbeli hatékonyságát.

(12)

Emellett az (EU, Euratom) 2015/443 határozat 17. cikkének (2) és (3) bekezdésében említett hatékony együttműködés fenntartása érdekében szükségessé válhat, hogy a Bizottság más uniós intézmények, szervek, hivatalok és ügynökségek vagy az illetékes tagállami hatóságok és adatkezelési műveleteinek védelme érdekében korlátozza az érintettek jogainak alkalmazását. Ennek érdekében a Bizottságnak konzultálnia kell ezen intézményekkel, szervekkel, hivatalokkal, ügynökségekkel és hatóságokkal a korlátozások bevezetésének releváns okairól, valamint a korlátozások szükségességéről és arányosságáról.

(13)

Előfordulhat az is, hogy a Bizottságnak harmadik országoktól vagy nemzetközi szervezetektől kapott személyes adatokkal kapcsolatban kell korlátoznia az érintettek tájékoztatását és egyéb jogainak alkalmazását az érintett országokkal vagy szervezetekkel való együttműködési kötelezettségének teljesítése és ezáltal az Unió egy fontos közérdekű céljának védelme érdekében. Bizonyos körülmények között azonban az érintett érdeke vagy alapvető jogai fontosabbnak minősülhetnek a nemzetközi együttműködés érdekeinél.

(14)

A Bizottságnak átlátható módon kell kezelnie az összes korlátozást, és a megfelelő nyilvántartási rendszerben nyilvántartásba kell vennie a korlátozások minden egyes alkalmazását.

(15)

Az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében az adatkezelők az érintettre vonatkozó korlátozás alkalmazásának okaira vonatkozó tájékoztatást elhalaszthatják, elhagyhatják vagy megtagadhatják, ha a tájékoztatás bármilyen módon veszélyeztetné a korlátozás célját. Ez különösen az (EU) 2018/1725 rendelet 16. és 35. cikkében meghatározott jogok korlátozásának az esetében áll fenn.

(16)

A Bizottságnak rendszeresen felül kell vizsgálnia az alkalmazott korlátozásokat, hogy az érintetteknek az (EU) 2018/1725 rendelet 16. és 35. cikke szerinti, tájékoztatáshoz való jogai csak addig legyenek korlátozva, ameddig ilyen korlátozások szükségesek ahhoz, hogy a Bizottság védhesse biztonságát és mindenekelőtt lefolytathassa biztonsági vizsgálatait.

(17)

Amennyiben az érintettek egyéb jogait korlátozzák, az adatkezelőnek eseti alapon kell értékelnie, hogy a korlátozásról szóló értesítés veszélyeztetné-e a korlátozás célját.

(18)

Az e határozatnak való megfelelés érdekében a Bizottság adatvédelmi tisztviselőjének el kell végeznie a korlátozások alkalmazásának független felülvizsgálatát.

(19)

Az európai adatvédelmi biztos 2018. december 10-én nyilvánított véleményt.

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

Tárgy és hatály

(1)   Ez a határozat meghatározza azokat a szabályokat, amelyeket a Bizottságnak az (EU, Euratom) 2015/443 határozat szerinti feladatai ellátásakor az érintettek adatkezelésről való tájékoztatása tekintetében az (EU) 2018/1725 rendelet 14., 15. és 16. cikkének megfelelően követnie kell.

E határozat megállapítja továbbá azokat a feltételeket, amelyek mellett a Bizottság korlátozhatja az (EU) 2018/1725 rendelet 4., 14–17., 19., 20. és 35. cikkének alkalmazását ugyanezen rendelet 25. cikke (1) bekezdésének c), d) és h) pontjával összhangban.

(2)   Ez a határozat a Bizottság által végzett azon személyesadat-kezelésre vonatkozik, amelynek célja a bizottsági személyek, eszközök és adatok védelmének az (EU, Euratom) 2015/443 határozat szerinti biztosítására irányuló tevékenység vagy azzal áll kapcsolatban.

2. cikk

Alkalmazandó kivételek és korlátozások

(1)   Amennyiben a Bizottság az (EU) 2018/1725 rendelet alapján az érintetteket megillető jogok tekintetében látja el a feladatait, mérlegelnie kell, hogy alkalmazandó-e az említett rendeletben megállapított kivételek valamelyike.

(2)   E határozat 3–7. cikkére is figyelemmel, a Bizottság korlátozhatja az (EU) 2018/1725 rendelet 14–17., 19., 20. és 35. cikkének alkalmazását, továbbá az említett rendelet 4. cikke (1) bekezdésének a) pontjában meghatározott átláthatóság elvének alkalmazását, ha annak rendelkezései megfelelnek az (EU) 2018/1725 rendelet 14–17., 19., 20. cikkében foglalt jogoknak és kötelezettségeknek, amennyiben e jogok és kötelezettségek gyakorlása veszélyeztetné az uniós intézmények, szervek, hivatalok vagy ügynökségek belső biztonságát, így az elektronikus hírközlési hálózataik biztonságát egyebek mellett azáltal, hogy ezzel felfedné a biztonsági vizsgálat során használt vizsgálati eszközöket és módszereket vagy hátrányosan érintené más érintettek jogait és szabadságait.

(3)   A 3–7. cikkre is figyelemmel, a Bizottság az alábbi körülmények fennállása esetén korlátozhatja az e cikk (2) bekezdésében említett jogokat és kötelezettségeket más uniós intézményektől, szervektől, ügynökségektől és hivataloktól, illetékes tagállami vagy harmadik országbeli hatóságoktól vagy nemzetközi szervezetektől kapott személyes adatok vonatkozásában:

a)

amennyiben más uniós intézmények, szervek, ügynökségek és hivatalok korlátozhatják e jogok gyakorlását és kötelezettségek teljesítését az (EU) 2018/1725 rendelet 25. cikkében meghatározott vagy az említett rendelet IX. fejezetével, az (EU) 2016/794 európai parlamenti és tanácsi rendelettel (4) vagy az (EU) 2017/1939 tanácsi rendelettel (5) összhangban meghatározott egyéb jogi aktusok alapján;

b)

ha a tagállamok illetékes hatóságai korlátozhatják e jogok és kötelezettségek gyakorlását az (EU) 2016/679 európai parlamenti és tanácsi rendelet (6) 23. cikkében említett jogi aktusok vagy az (EU) 2016/680 európai parlamenti és tanácsi irányelv (7) 13. cikkének (3) bekezdését, 15. cikkének (3) bekezdését vagy 16. cikkének (3) bekezdését átültető nemzeti intézkedések alapján;

c)

amennyiben e jogok gyakorlása és kötelezettségek teljesítése veszélyeztetheti a Bizottság harmadik országokkal vagy nemzetközi szervezetekkel folytatott információcserével kapcsolatos együttműködését a kémelhárítás és a terrorizmus elleni küzdelem és a biztonsági vizsgálatok lefolytatása terén;

Az első albekezdés a) és b) pontjában említett körülmények fennállása esetén a Bizottság a korlátozások alkalmazását megelőzően konzultál az érintett uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy illetékes tagállami hatóságokkal kivéve, ha a Bizottság számára egyértelmű, hogy az említett pontokban hivatkozott jogi aktusok valamelyike előírja a korlátozás alkalmazását, vagy az ilyen konzultáció veszélyeztetné a Bizottság (EU/Euratom) 2015/443 határozat szerinti tevékenységeinek célját.

E bekezdés első albekezdésének c) pontja nem alkalmazandó abban az esetben, ha az érintettek érdekei vagy alapvető jogai és szabadságai nagyobb súlyt képviselnek a harmadik országokkal vagy nemzetközi szervezetekkel való együttműködésre vonatkozó bizottsági érdeknél.

(4)   Az (1), (2) és (3) bekezdés nem érinti az (EU) 2018/1725 rendelet 25. cikke szerinti és a Bizottság eljárási szabályzatának 23. cikke szerinti, az érintettek tájékoztatására és egyes adatvédelmi jogainak korlátozására vonatkozó belső szabályok megállapításáról szóló többi bizottsági határozat alkalmazását.

3. cikk

Az érintettek tájékoztatása

(1)   A Bizottság adatvédelmi értesítéseket tesz közzé a weboldalán, hogy tájékoztasson minden érintettet a személyes adatok kezelésével járó tevékenységéről, amelyet az (EU, Euratom) 2015/443 határozat szerinti feladatainak teljesítése érdekében végez.

(2)   A Bizottság megfelelő formában, egyénileg tájékoztatja személyes adataik kezeléséről a tanúkat és a biztonsági vizsgálatban érintett személyeket. Szintén egyénileg tájékoztatja azon személyeket, akiknek adatait az (EU, Euratom) 2015/443 határozat 7. cikkének (5) bekezdése és a 12. cikke (1) bekezdésének d) és e) pontja szerinti biztonsági intézkedések összefüggésében kezelik, nevezetesen a Bizottság helyiségeinek, kommunikációs és információs rendszereinek és berendezéseinek átkutatása során.

(3)   Amennyiben a Bizottság részben vagy egészben korlátozza az érintettnek az e cikk (2) bekezdése szerinti tájékoztatását, e határozat 6. cikkével összhangban feljegyzi és nyilvántartásba veszi a korlátozás okait.

4. cikk

Az érintettek hozzáféréshez, törléshez és az adatkezelés korlátozásához való joga

(1)   Amennyiben a Bizottság részben vagy egészben korlátozza az érintetteknek az (EU) 2018/1725 rendelet 17., 19. és 20. cikkében említett hozzáférési, törlési vagy adatkezelés-korlátozási jogát, a hozzáférés, törlés vagy adatkezelés-korlátozás iránti kérelemre adott válaszában tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól, valamint arról, hogy panasszal élhet az európai adatvédelmi biztosnál, vagy bírósági jogorvoslatért folyamodhat az Európai Unió Bírósághoz.

(2)   Az e cikk (1) bekezdésében említett korlátozás okairól szóló tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, amennyiben az meghiúsítaná a korlátozás célját.

(3)   A Bizottság e határozat 6. cikkével összhangban feljegyzi és nyilvántartásba veszi a korlátozás okait.

(4)   Amennyiben a hozzáférés jogát részben vagy egészben korlátozták, az érintett az európai adatvédelmi biztos közvetítésével gyakorolja hozzáférési jogát az (EU) 2018/1725 rendelet 25. cikkének (6), (7) és (8) bekezdésével összhangban.

5. cikk

Az érintett tájékoztatása az adatvédelmi incidensről

Amennyiben a Bizottság korlátozza az érintettnek az adatvédelmi incidensről való, az (EU) 2018/1725 rendelet 35. cikke szerinti tájékoztatását, e határozat 6. cikkével összhangban feljegyzi és nyilvántartásba veszi a korlátozás okait.

6. cikk

A korlátozások feljegyzése és nyilvántartásba vétele

(1)   A Bizottság feljegyzi az e határozat alapján alkalmazott korlátozások okait, beleértve a korlátozás szükségességének és arányosságának értékelését, figyelembe véve az (EU) 2018/1725 rendelet 25. cikkének (2) bekezdésében szereplő vonatkozó elemeket.

Ebből a célból a feljegyzésben szerepeltetni kell, hogy a jog gyakorlása milyen módon veszélyeztetné az (EU, Euratom) 2015/443 határozat szerinti bizottsági feladatok célját vagy a 2. cikk (2) vagy (3) bekezdése alapján alkalmazott korlátozások célját, vagy miként érintené hátrányosan más érintettek jogait és szabadságait.

(2)   A feljegyzést és – adott esetben – az alapul szolgáló ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Ezeket kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

7. cikk

A korlátozások időtartama

(1)   Az e határozat 3., 4. és 5. cikkében említett korlátozások mindaddig alkalmazandók, amíg azok okai fennállnak.

(2)   Amennyiben e határozat 3. vagy 5. cikkében említett korlátozás okai már nem állnak fenn, a Bizottság feloldja a korlátozást, és az érintettet tájékoztatja a korlátozás okairól. Ezzel egyidejűleg a Bizottság tájékoztatja az érintettet arról, hogy panasszal élhet az európai adatvédelmi biztosnál, vagy bírósági jogorvoslatért folyamodhat az Európai Unió Bíróságához.

(3)   A Bizottság a 4. és a 6. cikkben említett korlátozások alkalmazását annak kezdetétől fogva hathavonta, és a szóban forgó vizsgálat lezárultakor felülvizsgálja. Ezt követően a Bizottság évente felülvizsgálja az esetleges korlátozás/halasztás fenntartásának szükségességét.

8. cikk

Az adatvédelmi tisztviselő által végzett felülvizsgálat

(1)   A Bizottság adatvédelmi tisztviselőjét minden olyan esetben indokolatlan késedelem nélkül tájékoztatni kell, amikor az érintettek jogait e határozattal összhangban korlátozzák. Kérésre az adatvédelmi tisztviselő számára hozzáférést kell biztosítani az alapul szolgáló ténybeli és jogi elemeket tartalmazó nyilvántartáshoz és dokumentumokhoz.

(2)   A Bizottság adatvédelmi tisztviselője kérheti a korlátozás felülvizsgálatát. Az adatvédelmi tisztviselő tájékoztatást kap a kért felülvizsgálat eredményéről.

(3)   Az eljárás során az adatvédelmi tisztviselővel folytatott minden információcserét a megfelelő formában rögzíteni kell.

9. cikk

Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő harmadik napon lép hatályba.

Kelt Brüsszelben, 2019. február 7-én.

a Bizottság részéről

az elnök

Jean-Claude JUNCKER


(1)  A Bizottság (EU, Euratom) 2015/443 határozata (2015. március 13.) a Bizottságon belüli biztonságról (HL L 72., 2015.3.17., 41.o.).

(2)  Az iratoknak a Bizottságon belüli megőrzését a közös dokumentummegőrzési lista szabályozza (ennek legfrissebb verziója a SEC (2012) 713 dokumentum), amely egy olyan megőrzési ütemtervet tartalmaz, amely megállapítja a különböző típusú bizottsági dokumentumok megőrzési idejét.

(3)  Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.).

(4)  Az Európai Parlament és a Tanács (EU) 2016/794 rendelete (2016. május 11.) a Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol), valamint a 2009/371/IB, a 2009/934/IB, a 2009/935/IB, a 2009/936/IB és a 2009/968/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről (HL L 135., 2016.5.24., 53. o.).

(5)  A Tanács (EU) 2017/1939 rendelete (2017. október 12.) az Európai Ügyészség létrehozására vonatkozó megerősített együttműködés bevezetéséről (HL L 283., 2017.10.31., 1. o.).

(6)  Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

(7)  Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).