Hivatalos Lapja
Az Európai Unió
HU
Sorozat L
|
|
Hivatalos Lapja |
HU Sorozat L |
|
2023/2189 |
2023.10.16. |
A GLOBÁLIS EGÉSZSÉGÜGYI EDCTP3 KÖZÖS VÁLLALKOZÁS IRÁNYÍTÓ TESTÜLETÉNEK GB/18/2023. SZ. HATÁROZATA
a személyes adatoknak a Globális Egészségügyi EDCTP3 Közös Vállalkozás működése keretében történő kezelésével kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról [2023/2189]
A GLOBÁLIS EGÉSZSÉGÜGYI EDCTP3 KÖZÖS VÁLLALKOZÁS IRÁNYÍTÓ TESTÜLETE,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (1), (a továbbiakban: (EU) 2018/1725 rendelet) és különösen annak 25. cikkére,
tekintettel a közös vállalkozásoknak a Horizont Európa keretében történő létrehozásáról, valamint a 219/2007/EK, az 557/2014/EU, az 558/2014/EU, az 559/2014/EU, az 560/2014/EU, az 561/2014/EU és a 642/2014/EU rendelet hatályon kívül helyezéséről szóló, 2021. november 19-i (EU) 2021/2085 tanácsi rendeletre (2) (a továbbiakban: egységes alap-jogiaktus),
tekintettel az európai adatvédelmi biztosnak (EDPS) az (EU) 2018/1725 rendelet 25. cikkével és a belső szabályokkal kapcsolatos, 2020. június 24-i útmutatására (3),
az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 41. cikkének (2) bekezdésével összhangban 2023. június 12-én folytatott konzultációt követően,
tekintettel az európai adatvédelmi biztos 2023. június 19-i ajánlásaira,
a Globális Egészségügyi EDCTP3 Közös Vállalkozás személyzetének tájékoztatását követően,
mivel:
|
1. |
Kizárólag a Szerződések alapján elfogadott jogi aktusok korlátozhatják az érintettek jogait. Amennyiben ezek a korlátozások nem alapozhatók a Szerződések alapján elfogadott jogi aktusokra, az (EU) 2018/1725 rendelet értelmében a Globális Egészségügyi EDCTP3 Közös Vállalkozás működéséhez kapcsolódó ügyekben belső szabályok írhatnak elő korlátozásokat az ilyen korlátozások szükségességének és arányosságának értékelését követően. |
|
2. |
Az (EU) 2018/1725 rendelet 25. cikkének (1) bekezdésével összhangban az említett rendelet 14–22., 35. és 36. cikkének alkalmazására, továbbá – a 14–20. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – az említett rendelet 4. cikkének alkalmazására vonatkozó korlátozásoknak a Globális Egészségügyi EDCTP3 Közös Vállalkozás által elfogadásra kerülő belső szabályokon kell alapulniuk. |
|
3. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás adminisztratív működésének keretében igazgatási vizsgálatokat végezhet, fegyelmi előeljárásokat, valamint fegyelmi és felfüggesztési eljárásokat folytathat, az OLAF-nak bejelentett esetleges szabálytalanságokkal kapcsolatban előkészítő tevékenységeket végezhet, visszaélések bejelentésével kapcsolatos ügyekben vizsgálódhat, zaklatási ügyekben (hivatalos és nem hivatalos) eljárásokat folytathat, belső és külső panaszokat kezelhet, belső és külső ellenőrzéseket végezhet, továbbá az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban folytatott vizsgálatokat, valamint a közös vállalkozáson belül vagy külső felek (pl. a CERT-EU) bevonásával folytatott (informatikai) biztonsági vizsgálatokat végezhet. |
|
4. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás ezenkívül az EU-minősített adatokra vonatkozó biztonsági szabályok potenciális megsértésének eseteit is kivizsgálhatja azon határozat alapján, amelyet az említett adatok védelmét szolgáló biztonsági szabályokra vonatkozóan kíván elfogadni. |
|
5. |
A szóban forgó igazgatási vizsgálatok és ellenőrzések keretében a Globális Egészségügyi EDCTP3 Közös Vállalkozás együttműködik más uniós intézményekkel, szervekkel, hivatalokkal és ügynökségekkel. |
|
6. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás – kérésükre vagy saját kezdeményezésére – együttműködhet harmadik országok nemzeti hatóságaival és a nemzetközi szervezetekkel. |
|
7. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás – kérésükre vagy saját kezdeményezésére – az uniós tagállamok hatóságaival is együttműködhet. |
|
8. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás részt vesz az Európai Unió Bírósága előtt folyó ügyekben, amikor egy ügyet a Bíróság elé utal, megvédi az általa hozott és a Bíróság előtt megtámadott határozatokat, vagy a feladataival összefüggő ügyekben avatkozik be. Ezzel összefüggésben szükség lehet arra, hogy a Globális Egészségügyi EDCTP3 Közös Vállalkozás bizalmasan kezelje a felek vagy a beavatkozó felek által megszerzett dokumentumokban szereplő személyes adatokat. |
|
9. |
Feladatainak végrehajtása érdekében a Globális Egészségügyi EDCTP3 Közös Vállalkozás személyes adatok számos kategóriáját kezeli, mint például személyazonosító adatokat, elérhetőségi adatokat, szakmai adatokat, részletes igazgatási adatokat, meghatározott forrásokból származó adatokat, az elektronikus kommunikáció adatait és forgalmi adatokat, valamint az üggyel kapcsolatos adatokat (mint például az indokolás, a viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok) (4). |
|
10. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás, amelyet ügyvezető igazgatója képvisel, adatkezelőként jár el. |
|
11. |
A személyes adatokat biztonságosan, elektronikus környezetben vagy nyomtatott formában tárolják, ami megakadályozza a jogosulatlan hozzáférést és azt, hogy az adatokat olyan személyeknek továbbítsák, akiknek nincs törvényes joguk az ilyen személyes adatokhoz való hozzáférésre. A kezelt személyes adatokat legfeljebb az adatkezelés céljából szükséges és helyénvaló ideig – a Globális Egészségügyi EDCTP3 Közös Vállalkozás adatvédelmi értesítéseiben, adatvédelmi nyilatkozataiban vagy nyilvántartásaiban meghatározott ideig – őrzik meg. |
|
12. |
Az (EU) 2018/1725 rendelet alapján a Globális Egészségügyi EDCTP3 Közös Vállalkozásnak ezért tájékoztatnia kell az érintetteket ezekről az adatkezelési tevékenységekről, és tiszteletben kell tartania az érintettként őket megillető jogokat. |
|
13. |
Előfordulhat, hogy a Globális Egészségügyi EDCTP3 Közös Vállalkozásnak össze kell egyeztetnie ezeket a jogokat az igazgatási vizsgálatok, ellenőrzések és bírósági eljárások célkitűzéseivel. Arra is szükség lehet, hogy egyensúlyt teremtsen az érintettek jogai és más érintettek alapvető jogai és szabadságai között. Ennek érdekében az (EU) 2018/1725 rendelet 25. cikke lehetővé teszi a Globális Egészségügyi EDCTP3 Közös Vállalkozás számára, hogy szigorú feltételek mellett korlátozza az (EU) 2018/1725 rendelet 14–22., 35. és 36. cikkének alkalmazását, továbbá – a 14–20. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – az említett rendelet 4. cikkének alkalmazását. |
|
14. |
A belső szabályokat a fent említett eljárások megindítása előtt, ezen eljárások ideje alatt, az eljárások kimenetelének nyomon követése során, valamint a korlátozás fennállásának teljes időtartama alatt végzett adatkezelési műveletekre egyaránt alkalmazni kell. E szabályok alkalmazandók a Globális Egészségügyi EDCTP3 Közös Vállalkozás által a saját igazgatási vizsgálatain kívül a nemzeti hatóságoknak és nemzetközi szervezeteknek nyújtott segítség és együttműködés eseteire is. |
|
15. |
A belső szabályok alkalmazása esetén a Globális Egészségügyi EDCTP3 Közös Vállalkozásnak dokumentumokkal kell igazolnia, hogy a korlátozások miért feltétlenül szükségesek és arányosak egy demokratikus társadalomban, és miként tartják tiszteletben az alapvető jogok és szabadságok lényeges tartalmát. |
|
16. |
Ezeken a kereteken belül a Globális Egészségügyi EDCTP3 Közös Vállalkozás köteles a vonatkozó jogszabályokkal és iránymutatásokkal teljes összhangban tiszteletben tartani a fenti eljárások során az érintettek alapvető jogait, különös tekintettel az (EU) 2018/1725 rendeletben foglaltak szerint a tájékoztatáshoz, hozzáféréshez, helyesbítéshez és törléshez való jogra, az adatkezelés korlátozásához való jogra, az érintettnek az adatvédelmi incidensről szóló tájékoztatásához való jogára, illetve a hírközlés bizalmas jellegéhez való jogra. |
|
17. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozás ugyanakkor kötelezhető arra, hogy különösen a saját vizsgálatainak, valamint más hatóságok vizsgálatainak és eljárásainak védelme, valamint a vizsgálataival vagy más eljárásaival összefüggésben más személyek jogainak védelme érdekében korlátozza az érintett tájékoztatását és más érintettek jogait. |
|
18. |
Amikor a Globális Egészségügyi EDCTP3 Közös Vállalkozás mérlegeli, hogy korlátozást alkalmazzon-e, számba kell vennie az érintett jogaira és szabadságaira nézve fennálló kockázatokat, különösen a többi érintett jogaira és szabadságaira nézve fennálló kockázat, valamint azon kockázat szempontjából, hogy például a bizonyítékok megsemmisítésével a Globális Egészségügyi EDCTP3 Közös Vállalkozás vizsgálatai vagy eljárásai hatástalanná válnak. Az érintett jogait és szabadságát érintő kockázatok elsősorban, de nem kizárólag a jó hírnévvel kapcsolatos kockázatokat, valamint a védekezéshez és a meghallgatáshoz való joggal kapcsolatos kockázatokat jelentik. |
|
19. |
Ebből következően a Globális Egészségügyi EDCTP3 Közös Vállalkozás a vizsgálat és más érintettek alapvető jogainak és szabadságainak védelme céljából korlátozhatja a tájékoztatást. |
|
20. |
Az érintetteket megillető jogok és szabadságok legmagasabb szintű védelmének garantálása érdekében, továbbá az (EU) 2018/1725 rendelet 44. cikkének (1) bekezdésével összhangban megfelelő időben konzultálni kell az adatvédelmi tisztviselővel az esetlegesen alkalmazott korlátozásokról, továbbá ellenőrizni kell, hogy azok megfelelnek-e ennek a határozatnak. |
|
21. |
A Globális Egészségügyi EDCTP3 Közös Vállalkozásnak rendszeresen ellenőriznie kell, hogy fennállnak-e a korlátozást indokló feltételek, és ha már nem, akkor fel kell oldania a korlátozást. |
|
22. |
Az adatkezelőnek a halasztáskor és a felülvizsgálatok idején is tájékoztatnia kell az adatvédelmi tisztviselőt. |
|
23. |
Ezt a határozatot a Globális Egészségügyi EDCTP3 Közös Vállalkozás irányító testülete eljárási szabályzatának 10. cikkével összhangban írásbeli eljárással kell elfogadni, |
A KÖVETKEZŐKÉPPEN HATÁROZOTT:
1. cikk
Tárgy és hatály
(1) E határozat az azokra a feltételekre vonatkozó szabályokat állapítja meg, amelyekkel a Globális Egészségügyi EDCTP3 Közös Vállalkozás az ezen határozat 3. cikkében meghatározott eljárások keretében korlátozhatja az (EU) 2018/1725 rendelet 14–22., 35. és 36. cikkében említett jogok, továbbá – az (EU) No 2018/1725 rendelet 25. cikkét követve – a 4. cikk alkalmazását.
(2) Az említett eljárásokkal kapcsolatos adatkategóriák: személyazonosító adatok, elérhetőségi adatok, szakmai adatok, részletes igazgatási adatok, meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és forgalmi adatok, valamint az üggyel kapcsolatos adatok, mint például az indokolás, a viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok.
(3) Amennyiben a Globális Egészségügyi EDCTP3 Közös Vállalkozás a feladatait az érintettnek az (EU) 2018/1725 rendelet szerinti jogaira figyelemmel látja el, meg kell vizsgálnia, hogy az említett rendeletben megállapított mentességek valamelyike nem alkalmazandó-e.
2. cikk
Az adatkezelő meghatározása
Az adatkezelési műveletek tekintetében az adatkezelő a Globális Egészségügyi EDCTP3 Közös Vállalkozás, amelyet ügyvezető igazgatója képvisel.
3. cikk
Korlátozások
(1) A Globális Egészségügyi EDCTP3 Közös Vállalkozás korlátozhatja az (EU) 2018/1725 rendelet 14–22., 35. és 36. cikkének alkalmazását, továbbá – a 14–20. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – az említett rendelet 4. cikkének alkalmazását:
|
a) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének b), c), f), g) és h) pontja alapján, ha igazgatási vizsgálatokat, fegyelmi előeljárásokat, fegyelmi vagy felfüggesztési eljárásokat folytat a személyzeti szabályzat 86. cikke és IX. melléklete, valamint a Globális Egészségügyi EDCTP3 Közös Vállalkozás irányító testületének 17/2023. sz. határozata alapján, valamint ha ügyekről értesíti az OLAF-ot; |
|
b) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének h) pontja alapján, ha azt biztosítja, hogy a Globális Egészségügyi EDCTP3 Közös Vállalkozás személyzetének tagjai bizalmasan bejelenthessék a tényeket, ha a véleményük szerint a Globális Egészségügyi EDCTP3 Közös Vállalkozás irányító testületének a visszaélések bejelentésére vonatkozó belső szabályokról szóló 12/2023. sz. határozatában meghatározott súlyos szabálytalanságok állnak fenn; |
|
c) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének h) pontja alapján, ha azt biztosítja, hogy a Globális Egészségügyi EDCTP3 Közös Vállalkozás személyzetének tagjai a Globális Egészségügyi EDCTP3 Közös Vállalkozás irányító testületének 13/2023. sz. határozatában meghatározott zaklatási ügyekben indult eljárással összefüggésben bizalmas tanácsadóknál tehessenek bejelentést; |
|
d) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), g) és h) pontja alapján, ha a Globális Egészségügyi EDCTP3 Közös Vállalkozás tevékenységeivel vagy szervezeti egységeivel kapcsolatos belső és külső ellenőrzéseket végez; |
|
e) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), d), g) és h) pontja alapján, ha a jelen bekezdés a)–d) pontja szerinti tevékenységekkel kapcsolatban kölcsönös támogatás vagy együttműködés valósul meg közte és más uniós intézmények, szervek, hivatalok és ügynökségek között az adott szolgáltatási szintre vonatkozó megállapodásokban, egyetértési megállapodásokban és együttműködési megállapodásokban foglaltak szerint; |
|
f) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), g) és h) pontja alapján, ha kölcsönös támogatás vagy együttműködés valósul meg közte és harmadik országok nemzeti hatóságai és nemzetközi szervezetek között, akár az utóbbiak kérésére, akár a saját kezdeményezésére; |
|
g) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), g) és h) pontja alapján, ha kölcsönös támogatás és együttműködés valósul meg közte és az uniós tagállamok hatóságai között, akár az utóbbiak kérésére, akár a saját kezdeményezésére; |
|
h) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének e) pontja alapján, ha az Európai Unió Bírósága előtti eljárásokkal összefüggésben a felek vagy a beavatkozó felek által megszerzett dokumentumokban szereplő személyes adatokat kezel; |
|
i) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c) és h) pontja alapján, ha az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok során személyes adatokat kezel; |
|
j) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), d), g) és h) pontja alapján, ha a közös vállalkozáson belül vagy külső felek (pl. a CERT-EU) bevonásával folytatott informatikai biztonsági vizsgálatok során személyes adatokat kezel; |
|
k) |
az (EU) 2018/1725 rendelet 25. cikke (1) bekezdésének c), g) és h) pontja alapján, ha a támogatáskezelési vagy közbeszerzési eljárás keretében, a pályázati felhívások benyújtásának vagy az ajánlatok benyújtásának határidejét követően személyes adatokat kezel. |
(2) A fenti (1) bekezdésben ismertetett korlátozások konkrét alkalmazásaként a Globális Egészségügyi EDCTP3 Közös Vállalkozás az alábbi körülmények között alkalmazhat korlátozásokat:
|
a) |
a bizottsági szolgálatokkal vagy más uniós intézményekkel, szervekkel, ügynökségekkel és hivatalokkal kicserélt személyes adatok tekintetében:
|
|
b) |
a tagállamok illetékes hatóságaival kicserélt személyes adatok tekintetében:
|
|
c) |
a harmadik országokkal vagy nemzetközi szervezetekkel kicserélt személyes adatok tekintetében, amennyiben egyértelmű bizonyíték van arra, hogy e jogok és kötelezettségek gyakorlása veszélyeztetheti a Globális Egészségügyi EDCTP3 Közös Vállalkozás harmadik országokkal vagy nemzetközi szervezetekkel folytatott együttműködését feladatai ellátása során. |
Mielőtt az első albekezdés a) és b) pontjában említett korlátozások alkalmazására sor kerülne, a Globális Egészségügyi EDCTP3 Közös Vállalkozás konzultál az érintett bizottsági szolgálatokkal, uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy a tagállamok illetékes hatóságaival, kivéve, ha egyértelmű a Globális Egészségügyi EDCTP3 Közös Vállalkozás számára, hogy a korlátozás alkalmazásáról a nevezett pontokban említett valamelyik jogi aktus rendelkezik.
(3) Ha a Globális Egészségügyi EDCTP3 Közös Vállalkozás részben vagy egészben korlátozza a fenti (1) és (2) bekezdésben említett jogok alkalmazását, megteszi az e határozat 5. és 6. cikkében meghatározott lépéseket.
(4) Amennyiben az érintett az (EU) 2018/1725 rendelet 17. cikkével összhangban hozzáférést kér egy vagy több ügyben kezelt személyes adataihoz vagy egy meghatározott adatkezelési művelethez, a Globális Egészségügyi EDCTP3 Közös Vállalkozás kizárólag az említett személyes adatok tekintetében vizsgálja a kérelmet.
4. cikk
A biztosítékok meghatározása
(1) A Globális Egészségügyi EDCTP3 Közös Vállalkozás a korlátozások vagy esetleges korlátozások alá eső személyes adatokkal való visszaélések, illetve a jogosulatlan hozzáférés vagy továbbítás megakadályozása érdekében biztosítékokat vezet be. Az ilyen biztosítékok közé tartoznak a technikai és szervezeti intézkedések, amelyeket szükség esetén a Globális Egészségügyi EDCTP3 Közös Vállalkozás belső határozataiban, eljárásaiban és végrehajtási szabályaiban lehet részletesen ismertetni. A biztosítékok közé tartoznak a következők:
|
a) |
a feladatok, kötelezettségek és eljárási lépések egyértelmű meghatározása; |
|
b) |
a nyomtatott dokumentumokat biztonságos szekrényekben kell tárolni, és azokhoz kizárólag az arra jogosult személyzet férhet hozzá; |
|
c) |
valamennyi elektronikus adatot biztonságos informatikai alkalmazáson kell tárolni a Globális Egészségügyi EDCTP3 Közös Vállalkozás biztonsági előírásainak megfelelően, valamint egyedi elektronikus mappákban, amelyekhez kizárólag az erre felhatalmazott személyzet férhet hozzá. A megfelelő hozzáférési szintet mindenki számára egyénileg kell biztosítani; |
|
d) |
az adatokhoz hozzáféréssel rendelkező valamennyi személyt titoktartási kötelezettség terhel; |
|
e) |
a korlátozások kellő figyelemmel kísérése és alkalmazásuk időszakos felülvizsgálata. |
(2) E határozat 5. cikkének (3) bekezdésével összhangban az (1) bekezdésben említett biztosítékokat rendszeresen felül kell vizsgálni.
(3) A személyes adatokat a Globális Egészségügyi EDCTP3 Közös Vállalkozás megőrzési szabályainak megfelelően kell megőrizni, amelyeket az (EU) 2018/1725 rendelet 31. cikke alapján vezetett adatvédelmi nyilvántartásokban kell meghatározni. A megőrzési idő semmiképpen sem lehet hosszabb, mint amennyi az adatkezelés céljához mérten szükséges és megfelelő.
5. cikk
A korlátozások szükségessége és arányossága
(1) Az e határozat 3. cikkén alapuló valamennyi korlátozásnak szükségesnek és arányosnak kell lennie, figyelembe véve az érintettek jogaira és szabadságaira nézve fennálló kockázatokat, és tiszteletben kell tartania a demokratikus társadalomra jellemző alapvető jogok és szabadságok lényeges tartalmát.
(2) Korlátozás alkalmazásának mérlegelése esetén szükségességi és arányossági vizsgálatot kell végezni a jelen szabályok alapján. A vizsgálatot a rendszeres felülvizsgálat keretében is el kell végezni annak értékelését követően, hogy a korlátozás ténybeli és jogi indokai továbbra is fennállnak-e. Elszámoltathatósági okokból a vizsgálatot – eseti alapon – belső értékelő feljegyzés útján kell dokumentálni.
A Globális Egészségügyi EDCTP3 Közös Vállalkozás időszakos jelentéseket készít az (EU) 2018/1725 rendelet 25. cikkének alkalmazásáról.
(3) A korlátozások ideiglenesek. A korlátozások csak addig alkalmazandók, ameddig az azokat szükségessé tévő körülmények fennállnak, különösen abban az esetben, ha úgy ítélik meg, hogy a korlátozott jog gyakorlása már nem oltaná ki a megállapított korlátozás hatását, vagy nem érintené hátrányosan más érintettek jogait vagy szabadságait.
A Globális Egészségügyi EDCTP3 Közös Vállalkozás a korlátozás elfogadásától számított hathavonként, valamint a vonatkozó megkeresés, eljárás vagy vizsgálat lezárásakor felülvizsgálja annak alkalmazását. Ezt követően az adatkezelő hathavonta ellenőrzi a korlátozás fenntartásának szükségességét.
(4) Ha a Globális Egészségügyi EDCTP3 Közös Vállalkozás teljes egészükben vagy részben alkalmazza az e határozat 3. cikkén alapuló korlátozásokat, feljegyzésben dokumentálnia kell a korlátozás okát vagy okait, valamint az e határozat 3. cikke szerinti jogalapot, a korlátozás szükségességének és arányosságának vizsgálatát is beleértve.
A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére kell bocsátani.
6. cikk
Tájékoztatási kötelezettség
(1) A Globális Egészségügyi EDCTP3 Közös Vállalkozás az adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy az (EU) 2018/1725 rendelet 31. cikkének értelmében vett nyilvántartásokban, amelyeket a weboldalán és/vagy az intranetén tesz közzé, és amelyekben tájékoztatja az érintetteket a konkrét eljárásban rendelkezésükre álló jogokról, tájékoztatást ad a szóban forgó jogok esetleges korlátozásáról. A tájékoztatás kiterjed arra, hogy mely jogok korlátozhatók, valamint a korlátozás okaira és lehetséges időtartamára.
Az e határozat 5. cikkének (4) bekezdésében foglalt rendelkezések sérelme nélkül, a Globális Egészségügyi EDCTP3 Közös Vállalkozás – amennyiben arányos – haladéktalanul írásban egyenként is tájékoztat a jelenlegi vagy jövőbeli korlátozásokkal kapcsolatos jogairól minden olyan érintettet, akit megítélése szerint a konkrét adatkezelési művelet érint.
(2) Az e határozat 3. cikkében foglalt jogok teljes vagy részleges korlátozása esetén a Globális Egészségügyi EDCTP3 Közös Vállalkozás tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól, valamint arról a lehetőségről, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán.
A fenti (2) bekezdésben említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében elrendelt korlátozás hatását.
7. cikk
Az adatvédelmi tisztviselő bevonása
(1) A Globális Egészségügyi EDCTP3 Közös Vállalkozás indokolatlan késedelem nélkül konzultál a Globális Egészségügyi EDCTP3 Közös Vállalkozás adatvédelmi tisztviselőjével (a továbbiakban: adatvédelmi tisztviselő), mielőtt és mialatt az adatkezelő korlátozza az érintettek jogainak érvényesítését, vagy e határozattal összhangban meghosszabbítja a korlátozást. Az adatkezelő hozzáférést biztosít az adatvédelmi tisztviselő részére a korlátozás szükségességére és arányosságára vonatkozó értékelést tartalmazó feljegyzésekhez, valamint a ténybeli vagy jogi háttérrel kapcsolatos valamennyi dokumentumhoz.
(2) Az adatvédelmi tisztviselő írásban kérheti az adatkezelőt, hogy vizsgálja felül a korlátozások alkalmazását. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.
(3) Az adatvédelmi tisztviselőt az eljárás teljes időtartama alatt be kell vonni az eljárásba. Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt a korlátozás feloldásáról.
(4) A Globális Egészségügyi EDCTP3 Közös Vállalkozás írásban dokumentálja az adatvédelmi tisztviselőnek a korlátozások alkalmazásában történő részvételét, beleértve azt is, hogy milyen információkat osztanak meg vele.
8. cikk
Az érintett értesítése a személyes adatok megsértéséről
(1) Amennyiben a Globális Egészségügyi EDCTP3 Közös Vállalkozás az (EU) 2018/1725 rendelet 35. cikkének (1) bekezdése alapján köteles tájékoztatást nyújtani az adatvédelmi incidensről, kivételes körülmények között részben vagy egészben korlátozhatja az említett tájékoztatást. Feljegyzésben dokumentálja a korlátozás okait, az e határozat 3. cikke szerinti jogalapját, valamint a korlátozás szükségességének és arányosságának értékelését. A feljegyzést az adatvédelmi incidensről szóló értesítéssel egyidejűleg meg kell küldeni az európai adatvédelmi biztosnak.
(2) Amennyiben a korlátozás okai már nem állnak fenn, a Globális Egészségügyi EDCTP3 Közös Vállalkozásnak tájékoztatnia kell az érintettet az adatvédelmi incidensről, a korlátozás fő okairól, valamint arról, hogy joga van panaszt benyújtani az európai adatvédelmi biztoshoz.
9. cikk
Az elektronikus hírközlés bizalmas jellege
(1) Kivételes körülmények között a Globális Egészségügyi EDCTP3 Közös Vállalkozás korlátozhatja az (EU) 2018/1725 rendelet 36. cikke szerinti, az elektronikus hírközlés bizalmas jellegéhez való jogot. Az ilyen korlátozásoknak meg kell felelniük a 2002/58/EK európai parlamenti és tanácsi irányelvnek.
(2) Ha a Globális Egészségügyi EDCTP3 Közös Vállalkozás korlátozza az elektronikus hírközlés bizalmas jellegéhez való jogot, az érintett kérésére adott válaszában tájékoztatja őt a korlátozás alkalmazásának fő okairól és arról, hogy joga van panaszt benyújtani az európai adatvédelmi biztoshoz.
(3) A Globális Egészségügyi EDCTP3 Közös Vállalkozás a korlátozás okaira és a panasz európai adatvédelmi biztoshoz történő benyújtásához való jogra vonatkozó tájékoztatást elhalaszthatja, elhagyhatja vagy megtagadhatja mindaddig, ameddig a tájékoztatás ellehetetlenítené a korlátozás hatását. Ennek indokoltságát eseti alapon kell értékelni.
10. cikk
Hatálybalépés
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Kelt Brüsszelben, 2023. augusztus 3-án.
a Globális Egészségügyi EDCTP3 Közös Vállalkozás irányító testülete részéről
Dr. Henning GÄDEKE
az irányító testület elnöke
(1) HL L 295., 2018.11.21., 39. o.
(2) HL L 427., 2021.11.30., 17. o.
(3) Lásd: Az (EU) 2018/1725 rendelet 25. cikkével kapcsolatos iránymutatás | az európai adatvédelmi biztos honlapja (europa.eu).
(4) Közös adatkezelés esetén az adatokat az (EU) 2018/1725 rendelet 28. cikkében foglaltaknak megfelelően a közös adatkezelők között létrejött vonatkozó megállapodásban meghatározott eszközökkel és célokkal összhangban kell kezelni.
(5) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)(HL L 119., 2016.5.4., 1. o.).
(6) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).
ELI: http://data.europa.eu/eli/dec/2023/2189/oj
ISSN 1977-0731 (electronic edition)