10.2.2020

Az Európai Unió Hivatalos Lapja

L 37/5

A BIZOTTSÁG (EU) 2020/180 VÉGREHAJTÁSI RENDELETE

(2020. február 7.)

a Bacillus subtilis KCCM 10673P-t és az Aspergillus oryzae KCTC 10258BP-t tartalmazó készítmény valamennyi állatfaj takarmány-adalékanyagaként történő engedélyezéséről

(EGT-vonatkozású szöveg)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a takarmányozási célra felhasznált adalékanyagokról szóló, 2003. szeptember 22-i 1831/2003/EK európai parlamenti és tanácsi rendeletre (1) és különösen annak 9. cikke (2) bekezdésére,

mivel:

(1)	Az 1831/2003/EK rendelet rendelkezik a takarmányozási célra felhasznált adalékanyagok engedélyezéséről, az engedély megadásának feltételeiről és az engedélyezési eljárásokról.

(2)

Az 1831/2003/EK rendelet 7. cikkével összhangban kérelmet nyújtottak be a Bacillus subtilis KCCM 10673P-t és az Aspergillus oryzae KCTC 10258BP-t tartalmazó készítmény valamennyi állatfaj takarmány-adalékanyagaként történő felhasználásának engedélyezésére vonatkozóan. A kérelemhez csatolták az említett rendelet 7. cikkének (3) bekezdésében előírt adatokat és dokumentumokat.

(3)	A kérelem a „technológiai adalékanyagok” adalékanyag-kategóriába sorolandó, Bacillus subtilis KCCM 10673P-t és Aspergillus oryzae KCTC 10258BP-t tartalmazó készítmény szójababban való felhasználásának engedélyezésére vonatkozik.

(4)

Az Európai Élelmiszerbiztonsági Hatóság (a továbbiakban: Hatóság) 2015. szeptember 8-i (2) és 2018. szeptember 18-i (3) véleményében megállapította, hogy a Bacillus subtilis KCCM 10673P-t és az Aspergillus oryzae KCTC 10258BP-t tartalmazó készítmény a javasolt felhasználási feltételek mellett nincs káros hatással sem az állati egészségre, sem a környezetre. Azt is megállapította azonban, hogy az adalékanyag bőr- és szemirritálónak, valamint bőr- és légzőszervi szenzibilizálónak minősül. A Bizottság ezért úgy véli, hogy megfelelő óvintézkedéseket kell hozni az emberi egészségre, különösen az adalékanyag felhasználóira gyakorolt káros hatások megelőzése érdekében. A Hatóság továbbá arra a következtetésre jutott, hogy az adalékanyag hatékonyan csökkentheti a raffinóz sorozatok oligoszacharidjainak és a tripszin-inhibitornak a szójababban való koncentrációját. A Hatóság úgy ítélte meg, hogy nem szükséges a forgalomba hozatalt követő egyedi nyomonkövetési előírásokat elrendelni. A Hatóság ellenőrizte továbbá az 1831/2003/EK rendelettel létrehozott referencialaboratórium által benyújtott, a takarmányban található takarmány-adalékanyagra vonatkozó analitikai módszerről szóló jelentést.

(5)

A Bacillus subtilis KCCM 10673P-t és az Aspergillus oryzae KCTC 10258BP-t tartalmazó készítmény értékelése azt mutatja, hogy az 1831/2003/EK rendelet 5. cikkében előírt engedélyezési feltételek teljesülnek. Ennek megfelelően a szóban forgó készítmény használatát az e rendelet mellékletében meghatározottak szerint engedélyezni kell.

(6)	Az e rendeletben előírt intézkedések összhangban vannak a Növények, Állatok, Élelmiszerek és Takarmányok Állandó Bizottságának véleményével,

ELFOGADTA EZT A RENDELETET:

1. cikk

A mellékletben meghatározott, a „technológiai adalékanyagok” kategóriába és az „egyéb technológiai adalékanyagok” funkcionális csoportba tartozó készítmény takarmányozásra történő felhasználása a mellékletben meghatározott feltételek mellett engedélyezett.

2. cikk

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2020. február 7-én.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1) HL L 268., 2003.10.18., 29. o.

(2) EFSA Journal 2015;13(9):4230.

(3) EFSA Journal 2018;16(5):5275.

Melléklet

Az adalékanyag azonosító száma

Adalékanyag

Összetétel, kémiai képlet, leírás, analitikai módszer

Állatfaj vagy -kategória

Maximális életkor

Legkisebb tartalom

Legnagyobb tartalom

Egyéb rendelkezések

Az engedély lejárta

CFU adalékanyag/kg szójabab

Kategória: technológiai adalékanyagok. Funkcionális csoport: egyéb technológiai adalékanyagok (a szójabab antinutritív faktorainak csökkentése)

1o01

Bacillus subtilis KCCM 10673P

Aspergillus oryzae KCTC 10258BP

Az adalékanyag összetétele:

Bacillus subtilis KCCM 10673P és Aspergillus oryzae KCTC 10258BP készítmény, legalább 1,2 × 108 CFU/g, illetve 2,0 × 108 CFU/g adalékanyag-tartalommal.

Valamennyi állatfaj

–

Bacillus subtilis

1,2 × 106

Aspergillus oryzae

2,0 × 106

–

1.	Az adalékanyag és az előkeverék használati utasításában fel kell tüntetni a tárolási feltételeket.

2.	Az adalékanyag csak szójababban használható.

Az adalékanyag és az előkeverékek felhasználóira vonatkozóan a takarmányipari vállalkozóknak munkafolyamatokat és szervezeti intézkedéseket kell meghatározniuk a használatból fakadó lehetséges kockázatok kezelésére. Ha a kockázatokat e folyamatokkal vagy intézkedésekkel nem lehet kiküszöbölni vagy minimálisra csökkenteni, akkor az adalékanyagot és az előkeverékeket egyéni védőeszközökkel, többek között légzésvédő maszkkal, szemvédővel és bőrvédő eszközökkel kell használni.

2030. március 1.

A hatóanyag jellemzése

Életképes Bacillus subtilis KCCM 10673P és Aspergillus oryzae KCTC 10258BP sejtek.

Analitikai módszer (1)

A takarmány-adalékanyagban, az előkeverékekben és a takarmányokban található Bacillus subtilis KCCM 10673P számlálására: Tripton-szója agart alkalmazó lemezkenéses számlálási módszer (EN 15784).

A takarmány-adalékanyagban található Bacillus subtilis KCCM 10673P azonosítására:

Pulzáló erőterű gél-elektroforézis (PFGE).

A takarmány-adalékanyagban található Aspergillus oryzae KCCM 10258BP azonosítására: polimeráz láncreakción (PCR) alapuló tipizálás.

(1) Az analitikai módszerek részletes leírása a referencialaboratórium honlapján található: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports

10.2.2020

Az Európai Unió Hivatalos Lapja

L 37/11

EURÓPAI UNIÓS KIBERBIZTONSÁGI ÜGYNÖKSÉG (ENISA) IGAZGATÓTANÁCSÁNAK MB/2019/10. SZ. HATÁROZATA

(2019. november 21.)

az ENISA működésének keretében a személyes adatok kezelésével kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról

AZ ENISA IGAZGATÓTANÁCSA

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (1) és különösen annak 25. cikkére,

tekintettel az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendeletre (2) (kiberbiztonsági jogszabály) és különösen annak 15. cikke (1) bekezdésére,

tekintettel az európai adatvédelmi biztos 2019. október 17-i véleményére, valamint az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet 25. cikkével és a belső szabályokkal kapcsolatos útmutatására,

mivel:

(1)

Az (EU) 2018/1725 rendelet 25. cikkének (1) bekezdésével összhangban, az e rendelet 14–22., 35. és 36., valamint – a 14–22. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – a 4. cikk alkalmazására vonatkozó korlátozásoknak az ENISA által elfogadásra kerülő belső szabályokon kell alapulniuk, amennyiben ezek nem a Szerződések alapján elfogadott jogi aktusokon alapulnak.

(2)	Ezek a belső szabályok – köztük a korlátozás szükségességének és arányosságának megítélésére vonatkozó rendelkezések – nem alkalmazhatók, ha valamely, a Szerződések alapján elfogadott jogi aktus előírja az érintett jogainak korlátozását.

(3)	Amennyiben az ENISA a feladatait az érintett (EU) 2018/1725 rendelet szerinti jogaira figyelemmel látja el, meg kell vizsgálnia, hogy az említett rendeletben rögzített mentességek valamelyike nem alkalmazandó-e.

(4)

Az ENISA adminisztratív működésének keretében igazgatási vizsgálatokat végezhet, fegyelmi eljárásokat folytathat, az OLAF-nak jelentett esetleges szabálytalanságokkal kapcsolatban előkészítő tevékenységeket végezhet, a visszaélések bejelentésével kapcsolatos ügyekben járhat el, a zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárásokban járhat el, belső és külső panaszokat bírálhat el, belső ellenőrzéseket végezhet, az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján biztonsági eseményekre vonatkozó értékelést végezhet, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban vizsgálatokat és belső (informatikai) biztonsági vizsgálatokat végezhet.

Az ENISA a személyes adatok számos kategóriáját kezeli, köztük tényszerű adatokat („objektív” adatokat, mint például a személyazonosító adatok, az elérhetőségi adatok, a szakmai adatok, a részletes igazgatási adatok, a meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és a forgalmi adatok) és/vagy véleményeken alapuló adatokat (az üggyel kapcsolatos „szubjektív” adatokat, mint például az indokolás, a viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok).

(5)	Az ENISA, amelyet ügyvezető igazgatója képvisel, jár el adatkezelőként függetlenül attól, hogy az adatkezelői feladatkört átruházza-e az ENISA-n belül annak érdekében, hogy az tükrözze az egyes konkrét személyesadat-kezelési műveletekért való felelősséget.

(6)

A személyes adatokat biztonságosan, elektronikus környezetben vagy papír alapon tárolják, amivel elkerülhető a jogosulatlan hozzáférés, illetve az, hogy az adatokat illetéktelen személyeknek továbbítsák. A kezelt személyes adatokat legfeljebb az adatkezelés céljából szükséges és megfelelő ideig – az ENISA adatvédelmi értesítéseiben, adatvédelmi nyilatkozataiban vagy nyilvántartásaiban meghatározott ideig – őrzik meg.

(7)

A belső szabályokat az ENISA által igazgatási vizsgálatok, fegyelmi eljárások, az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek, visszaélés bejelentésével kapcsolatos ügyek, zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárások, belső és külső panaszok kezelése, belső ellenőrzések, az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján biztonsági események értékelése, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok és az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok céljából végzett valamennyi adatkezelési műveletre alkalmazni kell.

(8)

Ezeket a belső szabályokat a fent említett eljárások megindítása előtt, ezen eljárások ideje alatt, valamint az eljárások eredményeinek nyomon követése során végzett adatkezelési műveletekre egyaránt alkalmazni kell. A belső szabályok alkalmazásának ki kell terjednie az ENISA által a nemzeti hatóságoknak és a nemzetközi szervezeteknek a saját igazgatási vizsgálatain kívül nyújtott támogatásra és együttműködésre is.

(9)	Azokban az esetekben, amelyekben ezek a belső szabályok alkalmazandók, az ENISA-nak meg kell indokolnia, hogy a korlátozások miért feltétlenül szükségesek és arányosak egy demokratikus társadalomban, és mennyiben tartják tiszteletben az alapvető jogok és szabadságok lényeges tartalmát.

(10)

E kereten belül az ENISA köteles a lehető legnagyobb mértékben tiszteletben tartani a fenti eljárások során az érintettek alapvető jogait, különösen az (EU) 2018/1725 rendeletben meghatározott tájékoztatáshoz, hozzáféréshez és helyesbítéshez, valamint törléshez való jogot, az adatkezelés korlátozásához való jogot, az adatvédelmi incidens érintettel való közléséhez fűződő jogot és a hírközlés bizalmas jellegét.

(11)

Az ENISA ugyanakkor kötelezhető arra, hogy különösen a saját vizsgálatainak, valamint más hatóságok vizsgálatainak és eljárásainak védelme, valamint a vizsgálataival vagy más eljárásaival összefüggésben más személyek jogainak védelme érdekében korlátozza az érintett tájékoztatását és más érintettek jogait.

(12)	Ebből következően az ENISA a vizsgálat és más érintettek alapvető jogainak és szabadságainak védelme céljából korlátozhatja a tájékoztatást.

(13)	Az ENISA-nak rendszeresen figyelemmel kell kísérnie, hogy a korlátozást indokló feltételek fennállnak-e, és ha már nem, akkor fel kell oldania a korlátozást.

(14)	Az adatkezelőnek a halasztáskor és a felülvizsgálatok idején is tájékoztatnia kell az adatvédelmi tisztviselőt.

(15)	Tekintettel az érintettek jogainak védelmére vonatkozó belső szabályok fontosságára, e határozatnak az Európai Unió Hivatalos Lapjában való kihirdetését követően a lehető leghamarabb hatályba kell lépnie,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

Tárgy és hatály

(1) E határozat megállapítja azokra a feltételekre vonatkozó szabályokat, amelyek alapján az ENISA a (2) bekezdésben meghatározott eljárások keretei között az (EU) 2018/1725 rendelet 25. cikkével összhangban korlátozhatja az említett rendelet 14–21., 35. és 36. cikkében foglalt jogok, valamint a 4. cikk alkalmazását.

(2) Az ENISA adminisztratív működésének keretében ez a határozat az ENISA által a következő célokból végzett személyesadat-kezelési műveletekre alkalmazandó: igazgatási vizsgálatok, fegyelmi eljárások lefolytatása, az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése, visszaélés bejelentésével kapcsolatos ügyek, zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárások, belső és külső panaszok kezelése, belső ellenőrzések végzése, az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján biztonsági események értékelése, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok és az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

(3) Az érintett adatkategóriák a tényszerű adatok („objektív” adatok, mint a személyazonosító adatok, az elérhetőségi adatok, a szakmai adatok, a részletes igazgatási adatok, a meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és a forgalmi adatok) és/vagy véleményeken alapuló adatok (az üggyel kapcsolatos „szubjektív” adatok, mint például az indokolás, a viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok).

(4) Amennyiben az ENISA a feladatait az érintettek (EU) 2018/1725 rendelet szerinti jogaira figyelemmel látja el, meg kell vizsgálnia, hogy az említett rendeletben rögzített mentességek valamelyike nem alkalmazandó-e.

(5) Az e határozatban meghatározott feltételek alapján a korlátozások az alábbi jogokra vonatkozhatnak: az érintettek tájékoztatása, a hozzáféréshez, helyesbítéshez, a törléshez való jog, az adatkezelés korlátozásához, az adatvédelmi incidens érintettel való közléséhez fűződő jog és a hírközlés bizalmas jellege.

2. cikk

Az adatkezelőre vonatkozó előírások és biztosítékok

(1) Az adatvédelmi incidensek, az adatvesztések vagy az adatok jogosulatlan közzétételének elkerülését szolgáló biztosítékok a következők:

a)	a papíralapú dokumentumokat biztonságos szekrényekben kell tárolni, és azokhoz kizárólag az erre felhatalmazott személyzet férhet hozzá.

b)	valamennyi elektronikus adatot biztonságos informatikai alkalmazáson kell tárolni az ENISA biztonsági előírásainak megfelelően, valamint egyedi elektronikus mappákban, amelyekhez kizárólag az erre felhatalmazott személyzet férhet hozzá. A megfelelő hozzáférési szinteket egyedileg kell meghatározni;

az adatbázisnak jelszóval védett, egyetlen egységes belépési eljárással működő rendszernek kell lennie, amely automatikusan kapcsolódik a felhasználó azonosítójához és jelszavához. A felhasználók felcserélése szigorúan tilos. Az elektronikus nyilvántartásokat biztonságosan kell kezelni, hogy megvédjék a bennük tárolt adatok bizalmasságát és titkosságát;

d)	az adatokhoz hozzáférő valamennyi személyt titoktartási kötelezettség terhel.

(2) Az adatkezelési műveletek adatkezelője az ENISA, amelyet ügyvezető igazgatója képvisel, aki az adatkezelői feladatkört átruházhatja. Az érintetteket az ENISA honlapján és/vagy intranetes felületén közzétett adatvédelmi értesítések vagy nyilvántartások útján tájékoztatni kell az átruházott hatáskörben eljáró adatkezelőről.

(3) Az 1. cikk (3) bekezdésében hivatkozott személyes adatok megőrzési ideje nem lehet hosszabb, mint amennyi idő az adatkezelés céljához mérten szükséges és megfelelő. A megőrzési idő semmiképpen sem lehet hosszabb az 5. cikk (1) bekezdésében hivatkozott adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban meghatározott megőrzési időszaknál.

(4) Amikor az ENISA korlátozás alkalmazását mérlegeli, számba kell vennie az érintett jogaira és szabadságaira nézve fennálló kockázatot, különösen a többi érintett jogaira és szabadságaira nézve fennálló kockázattal, valamint az ENISA által folytatott vizsgálatok vagy eljárások sikerességének – például bizonyítékok megsemmisítésével történő – veszélyeztetésével szemben. Az érintett jogaira és szabadságaira nézve fennálló kockázatok elsősorban, de nem kizárólag a jó hírnévvel, valamint a védelemhez és a meghallgatáshoz való joggal kapcsolatos kockázatokat jelentik.

3. cikk

Korlátozások

(1) Az ENISA korlátozást kizárólag a következők védelme érdekében alkalmazhat:

a)	bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió közös kül- és biztonságpolitikai célkitűzései vagy az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

c)	az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlési hálózatokat is;

d)	a szabályozott szakmák esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

e)	az a) és b) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

f)	az érintett védelme vagy mások jogainak és szabadságainak védelme.

(2) A kiberbiztonsági eseményeknek az ENISA által az (EU) 2019/881 rendelet (kiberbiztonsági jogszabály) 7. cikkének (4) bekezdése alapján végzett értékelése az e cikk (1) bekezdésének b) pontja alá tartozik.

(3) A fenti (1) bekezdésben ismertetett célok egyedi alkalmazásaként az ENISA az alábbi körülmények fennállása esetén alkalmazhat korlátozásokat a bizottsági szolgálatokkal vagy más uniós intézményekkel, szervekkel, ügynökségekkel és hivatalokkal, a tagállamok vagy harmadik országok illetékes hatóságaival vagy nemzetközi szervezetekkel kicserélt személyes adatok tekintetében:

ha a szóban forgó jogok és kötelezettségek gyakorlását a bizottsági szolgálatok vagy más uniós intézmények, szervek, ügynökségek és hivatalok az (EU) 2018/1725 rendelet 25. cikkében foglalt egyéb jogi aktusok alapján, vagy e rendelet IX. fejezete vagy más uniós intézmények, szervek, ügynökségek és hivatalok alapító aktusai szerint korlátozhatják;

ha a szóban forgó jogok és kötelezettségek gyakorlását a tagállamok illetékes hatóságai az (EU) 2016/679 európai parlamenti és tanácsi rendelet (3) 23. cikkében említett jogi aktusok, vagy az (EU) 2016/680 európai parlamenti és tanácsi irányelv (4) 13. cikkének (3) bekezdését, 15. cikkének (3) bekezdését vagy 16. cikkének (3) bekezdését átültető nemzeti intézkedések alapján korlátozhatják;

c)	ha a szóban forgó jogok és kötelezettségek gyakorlása veszélyeztethetné az ENISA – feladatainak végzése során – harmadik országokkal vagy nemzetközi szervezetekkel folytatott együttműködését.

Mielőtt az első albekezdés a) és b) pontjában említett korlátozások alkalmazására sor kerül, az ENISA konzultál az érintett bizottsági szolgálatokkal, uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy a tagállamok illetékes hatóságaival, kivéve, ha egyértelmű az ENISA számára, hogy a korlátozás alkalmazásáról a nevezett pontokban említett valamelyik jogi aktus rendelkezik.

(4) Minden korlátozásnak szükségesnek és arányosnak kell lennie, figyelembe véve az érintettek jogaira és szabadságaira nézve fennálló kockázatokat, és tiszteletben kell tartania a demokratikus társadalomra jellemző alapvető jogok és szabadságok lényeges tartalmát.

(5) Ha korlátozás alkalmazását mérlegelik, szükségességi és arányossági vizsgálatot kell végezni a jelenlegi szabályok alapján. Elszámoltathatósági okokból a vizsgálatot – eseti alapon – belső értékelő feljegyzés útján dokumentálni kell.

(6) A korlátozásokat fel kell oldani, ha az azokat indokoló körülmények már nem állnak fenn. Különösen akkor, ha úgy ítélik meg, hogy a korlátozott jog gyakorlása már nem lehetetlenítené el a megállapított korlátozás hatását, vagy nem érintené hátrányosan más érintettek jogait vagy szabadságait.

4. cikk

Az adatvédelmi tisztviselő által végzett felülvizsgálat

(1) Az ENISA indokolatlan késedelem nélkül tájékoztatja az Ügynökség adatvédelmi tisztviselőjét, amikor az adatkezelő a jelen határozat szerint korlátozza az érintettek jogainak alkalmazását, vagy kiterjeszti a korlátozást. Az adatkezelő hozzáférést biztosít az adatvédelmi tisztviselő számára a korlátozás szükségességére és arányosságára vonatkozó értékelést tartalmazó feljegyzéshez, és a feljegyzésben rögzíti az adatvédelmi tisztviselő tájékoztatásának időpontját. Az ENISA valamennyi releváns eljárásba bevonja az adatvédelmi tisztviselőt, és az adatvédelmi tisztviselő bevonását dokumentálni kell.

(2) Az adatvédelmi tisztviselő írásban felkérheti az adatkezelőt, hogy vizsgálja felül a korlátozások alkalmazását. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.

3. Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt a korlátozás feloldásáról.

5. cikk

Információszolgáltatás az érintett részére

(1) Kellően indokolt esetekben és a jelen határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a tájékoztatáshoz való jogot:

a)	igazgatási vizsgálatok és fegyelmi eljárások folytatása;

b)	az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése;

c)	a visszaélések bejelentésével kapcsolatos eljárások;

d)	a zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	belső ellenőrzések;

g)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

h)	az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok;

i)	a kiberbiztonsági eseményeknek az ENISA által – az e határozat 3. cikkének (2) bekezdésével összhangban – az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján végzett értékelése.

Az ENISA az (EU) 2018/1725 rendelet 31. cikkének értelmében a honlapján és/vagy az intraneten közzétett, az érintetteket egy adott eljárásban megillető jogaikról tájékoztató adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban tájékoztatást ad a szóban forgó jogok esetleges korlátozásáról. A tájékoztatás kiterjed arra, hogy a korlátozás adott esetben mely jogokra vonatkozik, valamint a korlátozás okaira és lehetséges időtartamára.

(2) A jelen cikk (3) bekezdése rendelkezéseinek sérelme nélkül, az ENISA – amennyiben arányos – indokolatlan késedelem nélkül, írásban egyenként is tájékoztat minden olyan érintettet a jelenlegi vagy jövőbeli korlátozásokkal kapcsolatos jogairól, akit megítélése szerint a konkrét adatkezelési művelet érint.

(3) Amennyiben az ENISA teljes egészében vagy részben korlátozza az érintettek részére történő, a jelen cikk (2) bekezdésében említett információszolgáltatást, feljegyzésben dokumentálja a korlátozás okait, a jogalapot e határozat 3. cikkével összhangban, a korlátozás szükségességének és arányosságának értékelését is beleértve.

A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére kell bocsátani.

(4) A jelen cikk (3) bekezdésében említett korlátozás mindaddig hatályban marad, amíg az alátámasztására szolgáló indokok fennállnak.

Ha a korlátozás okai már nem állnak fenn, az ENISA tájékoztatja az érintettet a korlátozás alkalmazásának fő indokairól. Ezzel egyidejűleg az ENISA tájékoztatja az érintettet arról a jogáról, hogy bármikor panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat az Európai Unió Bíróságához.

Az ENISA a korlátozás elfogadásától számított hathavonként, valamint a vonatkozó megkeresés, eljárás vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását. Ezt követően az adatkezelő hathavonként ellenőrzi a korlátozás fenntartásának szükségességét.

6. cikk

Az érintett hozzáféréshez való joga

(1) Kellően indokolt esetekben és a jelen határozatban meghatározott feltételek mellett az adatkezelő – amennyiben szükséges és arányos – a következő adatkezelési műveletekkel összefüggésben korlátozhatja a hozzáféréshez való jogot:

a)	igazgatási vizsgálatok és fegyelmi eljárások folytatása;

b)	az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése;

c)	a visszaélések bejelentésével kapcsolatos eljárások;

d)	a zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	belső ellenőrzések;

g)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

h)	az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok;

i)	a kiberbiztonsági eseményeknek az ENISA által – az e határozat 3. cikkének (2) bekezdésével összhangban – az (EU) 2019/881 rendelet (kiberbiztonsági jogszabály) 7. cikkének (4) bekezdése alapján végzett értékelése.

Ha az érintett egy vagy több konkrét esettel vagy egy konkrét adatkezelési művelettel összefüggésben kezelt személyes adataihoz kér hozzáférést az (EU) 2018/1725 rendelet 17. cikkével összhangban, az ENISA a kérelem értékelését kizárólag a szóban forgó személyes adatokra korlátozza.

(2) Ha az ENISA teljes egészében vagy részben korlátozza az (EU) 2018/1725 rendelet 17. cikkében említett hozzáférési jogot, megteszi a következő lépéseket:

a)	a kérésre adott válaszában tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól, valamint arról a lehetőségről, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat az Európai Unió Bíróságához;

b)	belső értékelő feljegyzésben rögzíti a korlátozás okait, a korlátozás szükségességének, arányosságának értékelésével és időtartamával együtt.

Az a) pontban említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében elrendelt korlátozás hatását.

Az ENISA a korlátozás elfogadásától számított hathavonként, valamint a vonatkozó vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását. Ezt követően az adatkezelő hathavonként ellenőrzi a korlátozás fenntartásának szükségességét.

(3) A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére kell bocsátani.

7. cikk

A helyesbítéshez, törléshez és az adatkezelés korlátozásához való jog

a)	igazgatási vizsgálatok és fegyelmi eljárások folytatása;

b)	az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése;

c)	a visszaélések bejelentésével kapcsolatos eljárások;

d)	a zaklatási ügyekben indult (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	belső ellenőrzések;

g)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

h)	az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok;

i)	a kiberbiztonsági eseményeknek az ENISA által – az e határozat 3. cikkének (2) bekezdésével összhangban – az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján végzett értékelése.

(2) Ha az ENISA teljes egészében vagy részben korlátozza az (EU) 2018/1725 rendelet 18. cikkében, 19. cikke (1) bekezdésében, illetve 20. cikke (1) bekezdésében említett helyesbítési, törlési jogot, illetve az adatkezelés korlátozásához való jogot, meg kell tennie az e határozat 6. cikkének (2) bekezdésében meghatározott lépéseket a 6. cikkének (3) bekezdésével összhangban.

8. cikk

Az adatvédelmi incidens közlése az érintettel és az elektronikus hírközlés bizalmas jellege

a)	igazgatási vizsgálatok és fegyelmi eljárások folytatása;

b)	az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése;

c)	a visszaélések bejelentésével kapcsolatos eljárások;

d)	belső és külső panaszok kezelése;

e)	belső ellenőrzések;

f)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

g)	az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok;

h)	a kiberbiztonsági eseményeknek az ENISA által – az e határozat 3. cikkének (2) bekezdésével összhangban – az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján végzett értékelése.

(2) Kellően indokolt esetekben és a jelen határozatban meghatározott feltételek mellett az adatkezelő – amennyiben szükséges és arányos – a következő adatkezelési műveletekkel összefüggésben korlátozhatja az elektronikus hírközlés bizalmas jellegéhez fűződő jogot:

a)	igazgatási vizsgálatok és fegyelmi eljárások folytatása;

b)	az OLAF-nak jelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése;

c)	a visszaélések bejelentésével kapcsolatos eljárások;

d)	a zaklatási ügyekben indult hivatalos eljárások;

e)	belső és külső panaszok kezelése;

f)	az ENISA-n belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok;

g)	a kiberbiztonsági eseményeknek az ENISA által – az e határozat 3. cikkének (2) bekezdésével összhangban – az (EU) 2019/881 rendelet 7. cikkének (4) bekezdése alapján végzett értékelése.

(3) Amennyiben az ENISA korlátozza az érintettek – az (EU) 2018/1725 rendelet 35. és 36. cikkében hivatkozott – adatvédelmi incidensről való tájékoztatását vagy az elektronikus hírközlés bizalmas jellegét, az e határozat 5. cikkének (3) bekezdésében foglaltakat alkalmazza. A jelen határozat 5. cikkének (4) bekezdése alkalmazandó.

9. cikk

Hatálybalépés

E határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.

Kelt Athénban, 2019. november 21-én.

az ENISA részéről

Jean Baptiste DEMAISON

az igazgatótanács elnöke

(1) HL L 295., 2018.11.21., 39. o.

(2) HL L 151., 2019.6.7., 15. o.

(3) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)(HL L 119., 2016.5.4., 1. o.).

(4) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. .).

10.2.2020

Az Európai Unió Hivatalos Lapja

L 37/18

A FUSION FOR ENERGY KÖZÖS VÁLLALKOZÁS IGAZGATÓTANÁCSÁNAK HATÁROZATA

(2019. december 9.)

a személyes adatoknak a Fusion For Energy Közös Vállalkozás működése keretében történő kezelésével kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról

AZ IGAZGATÓTANÁCS,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a legutóbb a a Fúziósenergia-fejlesztési és ITER Európai Közös Vállalkozás létrehozásáról és részére kedvezmények nyújtásáról szóló, 2007. március 27-i 2007/198/Euratom tanácsi határozatra (2) (a továbbiakban: Fusion for Energy közös vállalkozás) és különösen annak 6. cikkére,

tekintettel a fent említett határozathoz mellékelt alapszabályra és különösen annak 6. cikke (10) bekezdésére,

tekintettel a tisztviselők személyzeti szabályzatára és az Európai Unió egyéb alkalmazottaira vonatkozó alkalmazási feltételekre (a továbbiakban: személyzeti szabályzat) és különösen annak IX. melléklete 2. cikke (3) bekezdésére és 30. cikkére,

tekintettel az Európai Csalás Elleni Hivatal (OLAF) által lefolytatott vizsgálatokról az Európai Csalás Elleni Hivatal (OLAF) által lefolytatott vizsgálatokról, valamint az 1073/1999/EK európai parlamenti és tanácsi rendelet és az 1074/1999/Euratom tanácsi rendelet hatályon kívül helyezéséről szóló, 2013. szeptember 11-i 883/2013/EU, Euratom európai parlamenti és tanácsi rendeletre (3),

tekintettel az európai adatvédelmi biztos 2018. december 18-i útmutatására, valamint az (EU) 2018/1725 rendelet 41. cikkének (2) bekezdése szerinti bejelentést követő 2019. július 26-i véleményére,

a személyzeti bizottsággal folytatott egyeztetést követően,

mivel:

(1)	A Fusion for Energy közös vállalkozás a 2007/198/Euratom határozathoz mellékelt alapszabálynak megfelelően folytatja tevékenységét.

(2)

Az (EU) 2018/1725 rendelet 25. cikkének (1) bekezdésével összhangban az e rendelet 14–22., 35. és 36. cikke alkalmazására, továbbá – a 14–22. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – 4. cikkének alkalmazására vonatkozó korlátozásoknak a Fusion for Energy közös vállalkozás által elfogadásra kerülő belső szabályokon kell alapulniuk, amennyiben nem a Szerződések alapján elfogadott jogi aktusokon alapulnak.

(3)	Ezek a belső szabályok – köztük a korlátozás szükségességének és arányosságának értékelésére vonatkozó rendelkezések – nem alkalmazhatók, amennyiben a Szerződések alapján elfogadott valamely jogi aktus korlátozza az érintett jogait.

(4)	Amennyiben a Fusion for Energy közös vállalkozás a feladatait az érintett (EU) 2018/1725 rendelet szerinti jogaira figyelemmel látja el, meg kell vizsgálnia, hogy az említett rendeletben rögzített mentességek valamelyike nem alkalmazandó-e.

(5)

A Fusion for Energy közös vállalkozás adminisztratív működése keretében igazgatási vizsgálatokat és a személyzeti szabályzatban rögzített szabályoknak megfelelően fegyelmi eljárásokat folytathat.

A Fusion for Energy közös vállalkozás továbbá az OLAF-nak jelentett esetleges szabálytalanságokkal kapcsolatban előzetes tevékenységeket végezhet, a visszaélések bejelentésével kapcsolatos ügyekben járhat el, zaklatással kapcsolatos (hivatalos és nem hivatalos) eljárásokban járhat el, belső és külső panaszokat bírálhat el, egészségügyi adatokat kezelhet, belső ellenőrzéseket végezhet, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban folytatott vizsgálatokat és a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatokat végezhet.

(6)

A Fusion for Energy közös vállalkozás különféle kategóriákba tartozó személyes adatokat kezel, többek között tényszerű adatokat („objektív” adatokat, például: személyazonosító adatok, elérhetőségi adatok, szakmai adatok, részletes igazgatási adatok, meghatározott forrásokból származó adatok, elektronikus hírközlési és forgalmi adatok) és/vagy véleményeken alapuló adatokat (az üggyel kapcsolatos „szubjektív” adatokat, például: indokolás, viselkedési adatok, az értékelésre, a teljesítményre és a magatartásra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok).

(7)	Az igazgató által képviselt Fusion for Energy közös vállalkozás jár el adatkezelőként függetlenül attól, hogy a Fusion for Energy közös vállalkozáson belül az adatkezelői feladatkört átruházzák-e annak érdekében, hogy tükrözze az egyes személyesadat-kezelési műveletekért való operatív felelősséget.

(8)

A személyes adatokat biztonságos elektronikus környezetben vagy nyomtatott formában kell tárolni, megakadályozva az adatokhoz való jogosulatlan hozzáférést és az adatok illetéktelenek számára történő továbbítását. A kezelt személyes adatokat addig őrzik, ameddig szükséges és megfelelő azon célokból, amelyek alapján a Fusion for Energy közös vállalkozás adatvédelmi tájékoztatóiban, adatvédelmi nyilatkozataiban vagy feljegyzéseiben meghatározott ideig kezelik az adatokat.

(9)

Ezeket a belső szabályokat a fenti 5) preambulumbekezdésben említett eljárások megindítása előtt, ezen eljárások ideje alatt és az eljárások kimenetelének nyomon követése során végzett adatkezelési műveletekre egyaránt alkalmazni kell. A Fusion for Energy közös vállalkozás által a saját igazgatási vizsgálatain kívül a nemzeti hatóságoknak és nemzetközi szervezeteknek nyújtott segítség és együttműködés is ennek körébe tartozik.

E belső szabályokat az uniós intézményekkel és szervekkel való együttműködéssel összefüggő tevékenységekre, valamint az igazgatási vizsgálatra vagy fegyelmi eljárásra vonatkozó információk uniós intézményekhez és szervekhez történő továbbítására is alkalmazni kell. Ennek érdekében a Fusion for Energy közös vállalkozásnak konzultálnia kell ezen intézményekkel, szervekkel, hivatalokkal, ügynökségekkel, hatóságokkal és szervezetekkel a korlátozások bevezetésének releváns okairól, valamint a korlátozások szükségességéről és arányosságáról.

(10)

Azokban az esetekben, amelyekben ezek a belső szabályok alkalmazandók, a Fusion for Energy közös vállalkozásnak meg kell indokolnia, hogy a korlátozások miért feltétlenül szükségesek és arányosak egy demokratikus társadalomban, és mennyiben tartják tiszteletben az alapvető jogok és szabadságok lényeges tartalmát.

(11)

A Fusion for Energy közös vállalkozás az említett kereteken belül a fenti eljárások során köteles a lehető legnagyobb mértékben tiszteletben tartani az érintettek alapvető jogait, különösen a tájékoztatáshoz, hozzáféréshez és helyesbítéshez való joggal, törléshez való joggal, az adatkezelés korlátozásához való joggal, az érintett adatvédelmi incidensről való tájékoztatásának jogával, illetve a tájékoztatás bizalmas kezelésével kapcsolatos, az (EU) 2018/1725 rendeletben foglalt jogokat.

(12)

A Fusion for Energy közös vállalkozás mindazonáltal kötelezhető arra, hogy különösen a saját vizsgálatainak és eljárásainak, valamint más hatóságok vizsgálatainak és eljárásainak védelme, valamint a vizsgálataival vagy más eljárásaival összefüggésben más személyek jogainak védelme érdekében korlátozza az érintett tájékoztatását és más érintettek jogait.

(13)

A Fusion for Energy közös vállalkozás ebből következően a vizsgálat és más érintettek alapvető jogainak és szabadságainak védelme céljából korlátozhatja a tájékoztatást.

A Fusion for Energy közös vállalkozás elhalaszthatja a tájékoztatást különösen a igazgatási vizsgálatainak és fegyelmi eljárásainak, más hatóságok vizsgálatainak és eljárásainak védelme érdekében, valamint az informátorok és az eljárásokban érintett más személyek személyazonosságának védelme érdekében, beleértve a visszaélést bejelentő személyeket és a tanúkat is, akiknek az együttműködése nem járhat számukra negatív következményekkel.

Az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében az adatkezelő az érintett számára a korlátozás alkalmazásának okairól nyújtott tájékoztatást elhalaszthatja, elhagyhatja vagy megtagadhatja, ha a tájékoztatás ellehetetlenítené az elrendelt korlátozás hatását.

(14)	A Fusion for Energy közös vállalkozásnak rendszeresen figyelemmel kell kísérnie, hogy a korlátozást indokló feltételek még fennállnak-e, és ha e feltételek már nem állnak fenn, akkor fel kell oldania a korlátozást.

(15)	Az adatkezelőnek tájékoztatnia kell az adatvédelmi tisztviselőt a tájékoztatás elhalasztásakor vagy az érintettek jogaira vonatkozó egyéb korlátozások alkalmazásakor, valamint a felülvizsgálatok során,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

Tárgy és hatály

1. Ez a határozat az azokra a feltételekre vonatkozó szabályokat állapítja meg, amelyek mellett a Fusion for Energy közös vállalkozás a (2) bekezdésben meghatározott eljárásai keretében korlátozhatja az (EU) 2018/1725 rendelet 14–21., 35. és 36. cikkében említett jogok, továbbá – a 25. cikket követve – a 4. cikk alkalmazását.

2. A Fusion for Energy közös vállalkozás adminisztratív működésének keretében ez a határozat a Fusion for Energy közös vállalkozás által személyes adatokon a következő célokból végzett adatkezelési műveletekre alkalmazandó: igazgatási vizsgálatok és fegyelmi eljárások lefolytatása, valamint az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése, visszaélés bejelentésével kapcsolatos ügyek, zaklatással kapcsolatos (hivatalos és nem hivatalos) eljárások lefolytatása, belső és külső panaszok kezelése, egészségügyi adatok kezelése, belső ellenőrzések végzése, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok és a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

E határozatot alkalmazni kell továbbá a Fusion for Energy közös vállalkozás által az igazgatási vizsgálatain kívül a nemzeti hatóságok és nemzetközi szervezetek részére nyújtott segítségnyújtási és együttműködési tevékenységekre.

E határozat alkalmazandó ezenkívül az uniós intézményekkel és szervekkel való együttműködéssel összefüggő tevékenységekre, valamint az igazgatási vizsgálatra vagy fegyelmi eljárásra vonatkozó információk uniós intézményekhez és szervekhez történő továbbítására is, amennyiben az ilyen információk a címzett számára a hivatalos vizsgálat vagy eljárás megindítása okainak értékeléséhez szükségesek.

3. Az érintett adatkategóriák: tényszerű adatok („objektív” adatok, mint a személyazonosító adatok, az elérhetőségi adatok, a szakmai adatok, a részletes igazgatási adatok, a meghatározott forrásokból származó adatok, az elektronikus hírközlési és a forgalmi adatok) és/vagy a véleményeken alapuló adatok (az üggyel kapcsolatos „szubjektív” adatok, mint például az indokolás, a viselkedési adatok, az értékelésre, a teljesítményre és a magatartásra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok).

4. Amennyiben a Fusion for Energy közös vállalkozás a feladatait az érintett (EU) 2018/1725 rendelet szerinti jogaira figyelemmel látja el, meg kell vizsgálnia, hogy az említett rendeletben rögzített mentességek valamelyike nem alkalmazandó-e.

5. Az e határozatban meghatározott feltételek mellett a korlátozások a következő jogokra vonatkozhatnak: az érintettek tájékoztatása, hozzáféréshez, helyesbítéshez, törléshez való jog, az adatkezelés korlátozásához való jog, az érintett tájékoztatása az adatvédelmi incidensről, illetve a tájékoztatás bizalmas kezelése.

2. cikk

Az adatkezelő meghatározása és biztosítékok

1. Az adatvédelmi incidensek, az adatok kiszivárgása és a jogosulatlan közlés elkerülését szolgáló biztosítékok a következők:

a)	A papíralapú dokumentumokat biztonságos szekrényekben kell tárolni, és azokhoz kizárólag az erre felhatalmazott személyzet férhet hozzá.

Valamennyi elektronikus adatot biztonságos informatikai alkalmazásban kell tárolni a Fusion for Energy közös vállalkozás biztonsági előírásainak megfelelően, valamint egyedi elektronikus mappákban, amelyekhez kizárólag az erre felhatalmazott személyzet férhet hozzá. A megfelelő hozzáférési szinteket egyedileg kell meghatározni.

Az adatbázisnak jelszóval védett, egységes belépési eljárással működő rendszernek kell lennie, amely automatikusan kapcsolódik a felhasználó azonosítójához és jelszavához. A felhasználók helyettesítése szigorúan tilos. Az elektronikus nyilvántartásokat biztonságosan kell kezelni a bennük tárolt adatok bizalmasságának és titkosságának védelme érdekében.

d)	Valamennyi személyt, aki hozzáféréssel rendelkezik az adatokhoz, titoktartási kötelezettség terhel.

2. Az adatkezelési műveletek során az igazgatója által képviselt Fusion for Energy közös vállalkozás jár el adatkezelőként; az igazgató az adatkezelői feladatkört átruházhatja. Az érintetteket a Fusion for Energy közös vállalkozás honlapján és/vagy az intraneten közzétett adatvédelmi értesítések vagy nyilvántartások útján tájékoztatni kell az átruházott hatáskörben eljáró adatkezelő személyéről.

3. Az 1. cikk (3) bekezdésében említett személyes adatok megőrzési ideje nem lehet hosszabb, mint amennyi az adatkezelés céljához mérten szükséges és megfelelő. A megőrzési idő semmiképpen sem lehet hosszabb az 5. cikk (1) bekezdésében említett adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban meghatározott megőrzési időszaknál.

4. Amennyiben a Fusion for Energy közös vállalkozás korlátozás alkalmazásáról dönt, az érintett jogait és szabadságait érintő kockázatot mérlegeli többek között a többi érintett jogait és szabadságait érintő kockázattal, valamint a Fusion for Energy közös vállalkozás vizsgálatai vagy eljárásai – például a bizonyítékok megsemmisítése révén történő – ellehetetlenítésének kockázatával szemben. Az érintett jogait és szabadságait érintő kockázatok elsősorban, de nem kizárólag a jó hírnévvel kapcsolatos kockázatokat, valamint a védelemhez és a meghallgatáshoz való joggal kapcsolatos kockázatokat jelentik.

3. cikk

Korlátozások

1. A Fusion for Energy közös vállalkozás kizárólag a következők védelme érdekében alkalmazhat korlátozást:

a)	bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió közös kül- és biztonságpolitikai célkitűzései vagy az Unió, illetve valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

c)	az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlési hálózatokat is;

d)	a bírói függetlenség és a bírósági eljárások védelme;

e)	a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

f)	az a)–c) pontokban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

g)	az érintett védelme vagy mások jogainak és szabadságainak védelme;

h)	polgári jogi követelések érvényesítése.

2. A fenti (1) bekezdésben ismertetett célok egyedi alkalmazásaként a Fusion for Energy közös vállalkozás az alábbi körülmények fennállása esetén alkalmazhat korlátozásokat a bizottsági szolgálatokkal vagy más uniós intézményekkel, szervekkel, ügynökségekkel és hivatalokkal, a tagállamok vagy harmadik országok illetékes hatóságaival vagy nemzetközi szervezetekkel kicserélt személyes adatok tekintetében:

ha a szóban forgó jogok és kötelezettségek gyakorlását a bizottsági szolgálatok vagy más uniós intézmények, szervek, ügynökségek és hivatalok az (EU) 2018/1725 rendelet 25. cikkében említett egyéb jogi aktusok alapján, vagy ez utóbbi rendelet IX. fejezete vagy más uniós intézmények, szervek, ügynökségek és hivatalok alapító aktusai szerint korlátozhatják;

ha a szóban forgó jogok és kötelezettségek gyakorlását a tagállamok illetékes hatóságai az (EU) 2016/679 európai parlamenti és tanácsi rendelet (4) 23. cikkében említett jogi aktusok, vagy az (EU) 2016/680 európai parlamenti és tanácsi irányelv (5) 13. cikkének (3) bekezdését, 15. cikkének (3) bekezdését vagy 16. cikkének (3) bekezdését átültető nemzeti intézkedések alapján korlátozhatják;

c)	ha a szóban forgó jogok és kötelezettségek gyakorlása veszélyeztethetné a Fusion for Energy közös vállalkozás – feladatainak végzése során – harmadik országokkal vagy nemzetközi szervezetekkel folytatott együttműködését.

Mielőtt az első albekezdés a) és b) pontjában említett körülmények között a korlátozások alkalmazására sor kerül, a Fusion for Energy közös vállalkozás konzultál az érintett bizottsági szolgálatokkal, uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy a tagállamok illetékes hatóságaival, kivéve, ha egyértelmű a Fusion for Energy közös vállalkozás számára, hogy a korlátozás alkalmazásáról a nevezett pontokban említett valamelyik jogi aktus rendelkezik.

3. A korlátozásoknak minden esetben szükségesnek és arányosnak kell lenniük, figyelembe véve az érintettek jogait és szabadságait érintő kockázatokat, és tiszteletben kell tartaniuk az alapvető jogok és szabadságok lényeges tartalmát egy demokratikus társadalomban.

4. Ha korlátozás alkalmazásáról döntenek, a jelen szabályok alapján szükségességi és arányossági vizsgálatot kell végezni. Elszámoltathatósági okokból a vizsgálatot – eseti alapon – belső értékelő feljegyzés útján dokumentálják.

5. A korlátozásokat fel kell oldani, amint az azokat indokoló körülmények már nem állnak fenn, különösen abban az esetben, ha úgy ítélik meg, hogy a korlátozott jog gyakorlása már nem lehetetlenítené el a megállapított korlátozás hatását, vagy nem érintené hátrányosan más érintettek jogait vagy szabadságait.

4. cikk

Az adatvédelmi tisztviselő általi felülvizsgálat

1. A Fusion for Energy közös vállalkozás (adatkezelő) haladéktalanul tájékoztatja a Fusion for Energy közös vállalkozás adatvédelmi tisztviselőjét, ha az adatkezelő e határozatnak megfelelően korlátozza az érintettek jogainak alkalmazását, vagy kiterjeszti a korlátozást. Az adatkezelő hozzáférést biztosít az adatvédelmi tisztviselőnek a korlátozás szükségességére és arányosságára vonatkozó értékelést tartalmazó feljegyzéshez, és a feljegyzésben dokumentálja az adatvédelmi tisztviselő tájékoztatásának időpontját.

2. Az adatvédelmi tisztviselő írásban kérheti az adatkezelőt, hogy vizsgálja felül a korlátozások alkalmazását. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.

3. Az adatkezelő tájékoztatja a korlátozás feloldásáról az adatvédelmi tisztviselőt.

5. cikk

Az érintett tájékoztatása

1. Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a tájékoztatáshoz való jogot:

a)	igazgatási vizsgálatok és fegyelmi eljárások lefolytatása;

b)	az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek;

c)	visszaélés bejelentésével kapcsolatos eljárások;

d)	zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	belső ellenőrzések;

g)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

h)	a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

A Fusion for Energy közös vállalkozás az (EU) 2018/1725 rendelet 31. cikk szerinti, a honlapján és/vagy az intraneten közzétett, az érintetteket egy adott eljárásban megillető jogaikról tájékoztató adatvédelmi tájékoztatókban, adatvédelmi nyilatkozatokban vagy feljegyzésekben tájékoztatást nyújt e jogok esetleges korlátozásáról. E tájékoztatás kiterjed arra, hogy mely jogok korlátozhatók.

2. A (3) bekezdés rendelkezéseinek sérelme nélkül a Fusion for Energy közös vállalkozás – amennyiben ez arányos – indokolatlan késedelem nélkül, írásban egyenként is tájékoztat az adott adatkezelési művelet tekintetében érintettnek minősülő valamennyi személyt a jelenlegi vagy jövőbeli korlátozásokkal kapcsolatos jogairól.

3. Amennyiben a Fusion for Energy közös vállalkozás teljes egészében vagy részlegesen korlátozza az érintettek részére történő, a (2) bekezdésben említett tájékoztatást, feljegyzésben dokumentálja a korlátozás okait, a jogalapot e határozat 3. cikkével összhangban, a korlátozás szükségességének és arányosságának értékelését is beleértve.

A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Ezeket kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

4. A (3) bekezdésben említett korlátozás mindaddig alkalmazandó, amíg az azt indokoló okok fennállnak.

A Fusion for Energy közös vállalkozás tájékoztatja az érintettet a korlátozás alkalmazásának fő indokairól. Ezzel egyidejűleg a Fusion for Energy közös vállalkozás tájékoztatja az érintettet arról a jogáról, hogy bármikor panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságánál.

A Fusion for Energy közös vállalkozás a korlátozás elfogadását követően hathavonta, valamint az adott megkeresés, eljárás vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását. Ezt követően az adatkezelő hathavonta ellenőrzi a korlátozás fenntartásának szükségességét.

6. cikk

Az érintett hozzáféréshez való joga

a)	igazgatási vizsgálatok és fegyelmi eljárások lefolytatása;

b)	az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek;

c)	visszaélés bejelentésével kapcsolatos eljárások;

d)	zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	egészségügyi adatok kezelése, csak meghatározott, indokolt esetekben (6);

g)	belső ellenőrzések;

h)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

i)	a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

Ha az érintett egy vagy több konkrét esettel vagy egy konkrét adatkezelési művelettel összefüggésben kezelt személyes adataihoz kér hozzáférést az (EU) 2018/1725 rendelet 17. cikkével összhangban, a Fusion for Energy közös vállalkozás a kérelem értékelését kizárólag a szóban forgó személyes adatokra korlátozza.

2. Amennyiben a Fusion for Energy közös vállalkozás teljes egészében vagy részlegesen korlátozza az (EU) 2018/1725 rendelet 17. cikkében említett hozzáféréshez való jogot, megteszi a következő lépéseket:

a)	a kérelemre adott válaszában tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól, valamint arról a lehetőségről, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságánál;

b)	belső értékelő feljegyzésben dokumentálja a korlátozás okait, a korlátozás szükségességének és arányosságának értékelésével, valamint időtartamával együtt.

Az a) pontban említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében ellehetetlenítené az elrendelt korlátozás hatását.

3. A feljegyzést és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat nyilvántartásba kell venni. Ezeket kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

7. cikk

Helyesbítéshez, törléshez és az adatkezelés korlátozásához való jog

a)	igazgatási vizsgálatok és fegyelmi eljárások lefolytatása;

b)	az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek;

c)	visszaélés bejelentésével kapcsolatos eljárások;

d)	zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	egészségügyi adatok kezelése, csak meghatározott, indokolt esetekben (7);

g)	belső ellenőrzések;

h)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

i)	a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

2. Amennyiben a Fusion for Energy közös vállalkozás teljes egészében vagy részlegesen korlátozza az (EU) 2018/1725 rendelet 18. cikkében, 19. cikke (1) bekezdésében, illetve 20. cikke (1) bekezdésében említett helyesbítéshez, törléshez, illetve az adatkezelés korlátozásához való jogot, e határozat 6. cikkének (2) és (3) bekezdése alkalmazandó.

8. cikk

Az érintett tájékoztatása az adatvédelmi incidensről és az elektronikus hírközlés bizalmas jellege

a)	igazgatási vizsgálatok és fegyelmi eljárások lefolytatása;

b)	az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek;

c)	visszaélés bejelentésével kapcsolatos eljárások;

d)	zaklatási ügyekkel kapcsolatos (hivatalos és nem hivatalos) eljárások;

e)	belső és külső panaszok kezelése;

f)	belső ellenőrzések;

g)	az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok;

h)	a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

2. Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja az elektronikus hírközlés bizalmas jellegéhez fűződő jogot, ha szükséges és helyénvaló:

a)	igazgatási vizsgálatok és fegyelmi eljárások lefolytatása;

b)	az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek;

c)	visszaélés bejelentésével kapcsolatos eljárások;

d)	zaklatási ügyekkel kapcsolatos hivatalos eljárások;

e)	belső és külső panaszok kezelése;

f)	a Fusion for Energy közös vállalkozáson belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

3. Amennyiben a Fusion for Energy közös vállalkozás korlátozza az (EU) 2018/1725 rendelet 35., illetve 36. cikkében említett, az érintettnek az adatvédelmi incidensről való tájékoztatását vagy az elektronikus hírközlés bizalmas jellegét, a jelen határozat 5. cikkének (3) és (4) bekezdése alkalmazandó.

9. cikk

Hatálybalépés

E határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.

Kelt Barcelonában, 2019. december 9-én.

a Fusion for Energy közös vállalkozás nevében

Joaquín SÁNCHEZ

az igazgatótanács elnöke

(1) HL L 295., 2018.11.21., 39. o.

(2) HL L 90., 2007.3.30., 58. o.

(3) HL L 248., 2013.9.18., 1. o.

(4) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)(HL L 119., 2016.5.4., 1. o.).

(5) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).

(6) E helyzeteket a vonatkozó adatvédelmi feljegyzés határozza meg (például: az egészségügyi aktához F4E orvos jelenlétében való hozzáférés); a rokkantsági eljárás keretében az orvosok személyes feljegyzéseihez való hozzáférésre vonatkozó általános korlátozás, az új rendelet 25. cikke (1) bekezdésének h) pontjában foglalt korlátozáshoz (vagyis az érintett védelme vagy mások jogainak és szabadságainak védelme) hasonlóan.

(7) E helyzeteket a vonatkozó adatvédelmi feljegyzés határozza meg (például: a helyesbítés az igazgatási adatokra korlátozódik).

		ISSN 1977-0731
Az Európai Unió Hivatalos Lapja		L 37

Magyar nyelvű kiadás	Jogszabályok	63. évfolyam 2020. február 10.

Tartalom		II Nem jogalkotási aktusok	Oldal
		RENDELETEK
	*	A Bizottság (EU) 2020/178 Végrehajtási Rendelete (2020. január 31.) a harmadik országokból érkező utasok, a postai szolgáltatásokat igénybe vevő ügyfelek és egyes vállalkozók számára a növényeknek, növényi termékeknek és egyéb anyagoknak az Unió területére való behozatalára vonatkozó, az (EU) 2016/2031 európai parlamenti és tanácsi rendelet szerinti tilalmakkal kapcsolatban nyújtandó információk bemutatásáról	1
	*	A Bizottság (EU) 2020/179 Végrehajtási Rendelete (2020. február 3.) egy szeszes ital bejegyzett földrajzi árujelzőjéhez kapcsolódó termékleírást érintő módosítás jóváhagyásáról (Berliner Kümmel)	4
	*	A Bizottság (EU) 2020/180 végrehajtási rendelete (2020. február 7.) a Bacillus subtilis KCCM 10673P-t és az Aspergillus oryzae KCTC 10258BP-t tartalmazó készítmény valamennyi állatfaj takarmány-adalékanyagaként történő engedélyezéséről ( 1 )	5
		HATÁROZATOK
	*	A Bizottság (EU) 2020/181 Végrehajtási Határozata (2020. február 7.) az afrikai sertéspestis görögországi előfordulásával összefüggő egyes átmeneti védekezési intézkedésekről (az értesítés a C(2020) 799. számú dokumentummal történt) ( 1 )	8
		BELSŐ SZABÁLYZATOK ÉS ELJÁRÁSI SZABÁLYZATOK
	*	Európai Uniós Kiberbiztonsági Ügynökség (ENISA) igazgatótanácsának MB/2019/10. sz. határozata (2019. november 21.) az ENISA működésének keretében a személyes adatok kezelésével kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról	11
	*	A Fusion For Energy Közös Vállalkozás Igazgatótanácsának határozata (2019. december 9.) a személyes adatoknak a Fusion For Energy Közös Vállalkozás működése keretében történő kezelésével kapcsolatban az érintetteket megillető egyes jogok korlátozására vonatkozó belső szabályokról	18


	(1) EGT-vonatkozású szöveg.