32021Q0209(01)

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 32021Q0209(01) - EN

Document 32021Q0209(01)

Help

INEA iniciatyvinio komiteto sprendimas SC (2020) 26 2020 m. spalio 14 d. dėl vidaus taisyklių, susijusių su duomenų subjektų tam tikrų teisių apribojimais dėl asmens duomenų tvarkymo Inovacijų ir tinklų programų vykdomajai įstaigai vykdant savo veiklą

PUB/2021/98

OJ L 45, 9.2.2021, p. 80–89 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/proc_rules/2021/209/oj

HTML

PDF

Official Journal

2021 2 9

Europos Sąjungos oficialusis leidinys

L 45/80

INEA INICIATYVINIO KOMITETO SPRENDIMAS SC (2020) 26

2020 m. spalio 14 d.

dėl vidaus taisyklių, susijusių su duomenų subjektų tam tikrų teisių apribojimais dėl asmens duomenų tvarkymo Inovacijų ir tinklų programų vykdomajai įstaigai vykdant savo veiklą

INOVACIJŲ IR TINKLŲ PROGRAMŲ VYKDOMOSIOS ĮSTAIGOS INICIATYVINIS KOMITETAS,

atsižvelgdamas į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 249 straipsnio 1 dalį,

atsižvelgdamas į 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (1) (toliau – Reglamentas), ypač į jo 25 straipsnį,

atsižvelgdamas į 2002 m. gruodžio 19 d. Tarybos reglamentą (EB) Nr. 58/2003, nustatantį vykdomųjų įstaigų, kurioms pavedamos tam tikros Bendrijos programų valdymo užduotys, įstatus (2),

atsižvelgdamas į 2013 m. gruodžio 23 d. Komisijos įgyvendinimo sprendimą 2013/801/ES, kuriuo įsteigiama Inovacijų ir tinklų programų vykdomoji įstaiga ir panaikinamas Sprendimas 2007/60/EB su pakeitimais, padarytais Sprendimu 2008/593/EB (3),

atsižvelgdamas į 2013 m. gruodžio 23 d. Komisijos sprendimą C(2013) 9235, kuriuo Inovacijų ir tinklų programų vykdomajai įstaigai suteikiami įgaliojimai atlikti užduotis, susijusias su Sąjungos programų transporto, energetikos ir telekomunikacijų infrastruktūros srityje bei transporto ir energetikos mokslinių tyrimų ir inovacijų srityse įgyvendinimu, įskaitant bendrojo Sąjungos biudžeto (4) asignavimų panaudojimą, su paskutiniais pakeitimais, padarytais 2018 m. vasario 27 d. Komisijos sprendimu C(2018) 1281 (5),

pasikonsultavęs su Europos duomenų apsaugos priežiūros pareigūnu,

kadangi:

(1)

Inovacijų ir tinklų programų vykdomoji įstaiga (INEA) (toliau – Įstaiga), įsteigta Komisijos įgyvendinimo sprendimu 2013/801/ES, užduotims, susijusioms su Sąjungos programų įgyvendinimu transporto, energetikos ir telekomunikacijų infrastruktūros bei transporto ir energetikos mokslinių tyrimų ir inovacijų srityse, atlikti (6),

(2)

administracinių ir veiklos funkcijų srityje Įstaiga gali vykdyti administracinius tyrimus, preliminarias drausmines, drausmines ir laikino nušalinimo procedūras, kaip nustatyta Europos Sąjungos pareigūnų tarnybos nuostatuose ir kitų tarnautojų įdarbinimo sąlygose, patvirtintose Tarybos reglamentu (EEB, Euratomas, EAPB) Nr. 259/68 (7) (toliau – Tarnybos nuostatai), ir įgyvendinimo nuostatomis dėl administracinių tyrimų ir drausminių procedūrų vykdymo. Prireikus Įstaiga gali vykdyti preliminarią veiklą, susijusią su galimo sukčiavimo ir pažeidimų atvejais, ir pranešti apie šiuos atvejus Europos kovos su sukčiavimu tarnybai (OLAF);

(3)

Įstaigos darbuotojai privalo pranešti apie galimą neteisėtą veiklą, įskaitant sukčiavimą ir korupciją, žalingą Sąjungos interesams. Darbuotojai taip pat privalo pranešti apie elgesį, susijusį su profesinių pareigų vykdymu, kuris gali būti prilyginamas rimtam Sąjungos pareigūno pareigų nevykdymui. Tai reglamentuojama vidaus taisyklėmis arba politika dėl informavimo apie pažeidimą;

(4)

Įstaiga parengė politiką, kuria siekiama užkirsti kelią faktiniams arba galimiems psichologinio ar seksualinio priekabiavimo darbo vietoje atvejams ir veiksmingai su jais kovoti, kaip numatyta įgyvendinimo priemonėse pagal Tarnybos nuostatus, kuriais nustatoma neoficiali procedūra, pagal kurią tariama priekabiavimo auka gali kreiptis į Įstaigos „konfidencialius“ patarėjus;

(5)	Įstaiga taip pat gali vykdyti vidaus (IT) patikimumo patikrinimus ir tyrimus dėl galimų ES įslaptintos informacijos (toliau – ESĮI) saugumo taisyklių pažeidimų;

(6)	Įstaigoje atliekami tiek jos veiklos vidaus, tiek išorės auditai, įskaitant Europos Komisijos ir Europos Audito Rūmų vidaus audito tarnybų atliekamus auditus;

(7)	Įstaiga gali nagrinėti Europos prokuratūros prašymus, prašymus susipažinti su Įstaigos darbuotojų medicinos dokumentais, atlikti duomenų apsaugos pareigūno tyrimus pagal Reglamento 45 straipsnio 2 dalį;

(8)	kai vykdomi tokie administraciniai tyrimai, auditai, kiti tyrimai ar prašymai, Įstaiga bendradarbiauja su kitomis Sąjungos institucijomis, organais, tarnybomis ir agentūromis;

(9)	Įstaiga gali bendradarbiauti su trečiųjų šalių nacionalinėmis valdžios institucijomis ir tarptautinėmis organizacijomis jų prašymu arba savo iniciatyva;

(10)	Įstaiga taip pat gali bendradarbiauti su ES valstybių narių valdžios institucijomis jų prašymu arba savo iniciatyva;

(11)	Įstaiga gali būti skundžiama, nagrinėjama arba tiriama per pranešėjus arba Europos ombudsmeną;

(12)

Įstaiga gali dalyvauti nagrinėjant bylas Europos Sąjungos Teisingumo Teisme, kai klausimą perduoda nagrinėti Teismui, gina Teismui apskųstą jos priimtą sprendimą, arba įstoja į bylas, susijusias su jos užduotimis. Tokiomis aplinkybėmis Įstaiga gali reikalauti išlaikyti asmens duomenų, esančių dokumentuose, kuriuos gavo bylos šalys arba į bylą įstojusios šalys, konfidencialumą;

(13)

vykdydama savo veiklą, Įstaiga tvarko kelių kategorijų asmens duomenis, įskaitant fizinių asmenų identifikavimo duomenis, kontaktinę informaciją, profesinius vaidmenis ir užduotis, informaciją apie asmeninį ir profesinį elgesį ir veiklos rezultatus, finansinius duomenis, taip pat kai kuriais konkrečiais atvejais neskelbtinus duomenis (pvz., sveikatos duomenis). Asmens duomenys apima faktinius ir kokybinius vertinimo duomenis.

a)	Faktiniai duomenys – objektyvūs faktiniai duomenys, kaip antai identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, su elektroniniais pranešimais susiję metaduomenys ir srauto duomenys.

Kokybiniai duomenys – subjektyvūs duomenys, visų pirma apimantys situacijų ir aplinkybių, nuomonių, pastabų, susijusių su duomenų subjektais, aprašymą ir vertinimą, duomenų subjektų elgesio ir veiklos rezultatų vertinimą ir argumentus, kuriais grindžiami individualūs sprendimai, susiję su Įstaigos vykdomos procedūros ar veiklos dalyku arba pagal jį pateikti, atsižvelgiant į taikytiną teisinę sistemą.

c)	Vertinimai, pastabos ir nuomonės laikomi asmens duomenimis, kaip apibrėžta Reglamento 3 straipsnio 1 dalyje;

(14)	todėl Reglamentu Įstaigai nustatyta pareiga teikti informaciją duomenų subjektams apie pirmiau nurodytą duomenų tvarkymo veiklą ir gerbti duomenų subjektų teises;

(15)

Įstaiga yra įsipareigojusi kiek galėdama gerbti duomenų subjektų pagrindines teises, visų pirma teisę į informacijos teikimą, teisę susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, teisę į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, arba teisę į pranešimų konfidencialumą, kaip įtvirtinta Reglamente. Tačiau Įstaiga taip pat gali būti įpareigota apriboti duomenų subjekto teises ir prievoles, kad apsaugotų savo veiklą ir kitų asmenų pagrindines teises ir laisves;

(16)

todėl Reglamento 25 straipsnio 1 ir 5 dalyse Įstaigai suteikiama galimybė tokiomis sąlygomis apriboti 14–22, 35 ir 36 straipsnių taikymą, taip pat Reglamento 4 straipsnio taikymą tiek, kiek jo nuostatos atitinka 14–20 straipsniuose numatytas teises ir prievoles. Apribojimas turi būti grindžiamas vidaus taisyklėmis, kurios turi būti priimtos aukščiausiu Įstaigos valdymo lygmeniu ir turi būti skelbiamos Europos Sąjungos oficialiajame leidinyje, jeigu jos nėra pagrįstos teisės aktais, priimtais remiantis Sutartimis;

(17)

apribojimai gali būti taikomi skirtingoms duomenų subjekto teisėms, įskaitant informacijos teikimą duomenų subjektams, teisę susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, taip pat pranešimą duomenų subjektui apie asmens duomenų saugumo pažeidimą arba pranešimų konfidencialumą, kaip įtvirtinta Reglamente;

(18)	gali būti reikalaujama, kad Įstaiga tas teises suderintų su administracinių tyrimų, auditų, kitų tyrimų ir teismo procesų tikslais. Taip pat gali būti reikalaujama, kad Įstaiga duomenų subjekto teises suderintų su kitų duomenų subjektų pagrindinėmis teisėmis ir laisvėmis;

(19)

Įstaiga gali, pavyzdžiui, riboti informaciją, duomenų subjektui teikiamą apie jo asmens duomenų tvarkymą administracinio tyrimo preliminaraus vertinimo etape arba per patį tyrimą, prieš galimą bylos nutraukimą arba preliminarios drausminės procedūros etape. Tam tikromis aplinkybėmis tokios informacijos pateikimas gali turėti labai didelės įtakos Įstaigos gebėjimui veiksmingai atlikti tyrimą, kai, pavyzdžiui, yra rizika, kad atitinkamas asmuo sunaikins įrodymus arba darys įtaką galimiems liudytojams prieš juos apklausiant. Įstaigai taip pat gali reikėti apsaugoti liudytojų teises ir laisves, taip pat kitų susijusių asmenų teises ir laisves;

(20)

Įstaigai gali reikėti apsaugoti liudytojo arba pranešėjo, kuris paprašė nenustatyti jo tapatybės, anonimiškumą. Tokiu atveju Įstaiga gali nuspręsti apriboti galimybę susipažinti su tokių asmenų arba įtariamojo tapatybe, pareiškimais ir kitais asmens duomenimis, kad būtų apsaugotos jų teisės ir laisvės;

(21)

Įstaigai gali reikėti apsaugoti darbuotojo, kuris dėl priekabiavimo procedūros kreipėsi į Įstaigos konfidencialius patarėjus, konfidencialią informaciją. Tokiu atveju Įstaigai gali reikėti apriboti prieigą prie įtariamos aukos, įtariamo priekabiautojo ir kitų susijusių asmenų tapatybės, pareiškimų ir kitų asmens duomenų, siekdama apsaugoti visų susijusių subjektų teises ir laisves;

(22)

atrankos ir įdarbinimo procedūrų, darbuotojų vertinimo ir viešųjų pirkimų procedūrų atveju teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti ir apriboti gali būti taikoma tik tam tikrais laiko momentais ir atitinkamose procedūrose numatytomis sąlygomis, kad būtų apsaugotos kitų duomenų subjektų teisės ir laikomasi vienodo požiūrio ir svarstymų slaptumo principų;

(23)

Įstaiga taip pat gali apriboti asmenų teisę susipažinti su jų medicininiais duomenimis, pavyzdžiui, psichologinio ar psichinio pobūdžio, dėl galimo šių duomenų slaptumo, o Komisijos medicinos tarnyba gali norėti suteikti duomenų subjektams tik netiesioginę prieigą per savo gydytoją. Duomenų subjektas gali pasinaudoti teise reikalauti ištaisyti Komisijos medicinos tarnybos vertinimus ar nuomones, pateikdamas savo pastabas arba pasirinkto gydytojo ataskaitą;

(24)	direktoriaus atstovaujama Įstaiga veikia kaip duomenų valdytoja, neatsižvelgiant į tai, kad duomenų valdytojo funkcijos Įstaigos viduje toliau perduodamos kompetentingiems „deleguotiesiems duomenų valdytojams“, kad būtų atspindėta atsakomybė už konkrečių asmens duomenų tvarkymo operacijas;

(25)

asmens duomenys saugiai saugomi elektroninėje aplinkoje, atitinkančioje Komisijos sprendimą (ES, Euratomas) 2017/46 (8) dėl Europos Komisijos ryšių ir informacinių sistemų saugumo, arba popieriuje, užkertant kelią neteisėtai prieigai prie duomenų ar jų perdavimui asmenims, kuriems nebūtina jų žinoti. Tvarkomi asmens duomenys yra laikomi ne ilgiau, negu reikia ir tikslinga tiems tikslams, kuriais jie tvarkomi, tai yra ne ilgiau, negu nurodyta duomenų apsaugos pranešimuose ir Įstaigos įrašuose;

(26)

Įstaiga apribojimus taiko tik tais atvejais, kai jais gerbiama pagrindinių teisių ir laisvių esmė ir kai demokratinėje visuomenėje jie yra griežtai būtina ir proporcinga priemonė. Įstaiga nurodo priežastis, kuriomis pagrindžiami šie apribojimai, ir atitinkamai informuoja duomenų subjektus apie šiuos motyvus ir jų teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui (EDAPP), kaip numatyta Reglamento 25 straipsnio 6 dalyje;

(27)	Įstaiga, laikydamasi atskaitomybės principo, registruoja apribojimų taikymą;

(28)	tvarkydama asmens duomenis, kuriais vykdydama savo užduotis keičiasi su kitomis organizacijomis, Įstaiga ir tos organizacijos konsultuojasi tarpusavyje dėl galimų apribojimų nustatymo pagrindų ir tų apribojimų reikalingumo bei proporcingumo, išskyrus atvejus, kai tai pakenktų Įstaigos veiklai;

(29)

taigi šios vidaus taisyklės taikomos visai Įstaigos vykdomai duomenų tvarkymo veiklai, susijusiai su asmens duomenimis, kai vykdomi administraciniai tyrimai, drausminės procedūros, preliminari veikla, susijusi su galimų pažeidimų atvejais, apie kuriuos pranešta OLAF, Europos prokuratūros tyrimai, informavimo apie pažeidimus procedūros, (oficialios ir neoficialios) procedūros priekabiavimo atvejais, nagrinėjami vidaus ir išorės skundai, prašymai susipažinti su savo medicinos dokumentais arba juos ištaisyti, vykdomi tyrimai, kuriuos atlieka duomenų apsaugos pareigūnas pagal Reglamento 45 straipsnio 2 dalį, (IT) patikimumo patikrinimai, atliekami viduje arba dalyvaujant išorės subjektams (pavyzdžiui, CERT-EU), auditai, Europos Sąjungos Teisingumo Teismo arba nacionalinių valdžios institucijų procesai, atrankos ir įdarbinimo procedūros, darbuotojų vertinimas ir viešieji pirkimai, kaip nurodyta pirmiau;

(30)

šios vidaus taisyklės taikomos duomenų tvarkymo veiklai, kuri vykdoma prieš pradedant pirmiau minėtas procedūras, per tas procedūras ir atliekant stebėseną, kaip buvo atsižvelgta į tų procedūrų rezultatus. Taisyklės taip pat turėtų būti taikomos, kai Įstaiga teikia su savo vykdomais administraciniais tyrimais nesusijusią pagalbą ES institucijoms, nacionalinėms valdžios institucijoms ir tarptautinėms organizacijoms ir bendradarbiauja su jomis;

(31)

remdamasi Reglamento 25 straipsnio 8 dalimi Įstaiga gali atidėti informacijos apie apribojimo taikymo priežastis pateikimą duomenų subjektui, jos nepateikti arba atsisakyti ją pateikti, jei dėl jos pateikimo būtų panaikintas apribojimo poveikis. Įstaiga kiekvienu konkrečiu atveju įvertina, ar pranešimu apie apribojimą būtų panaikintas jo poveikis;

(32)	Įstaiga panaikina apribojimą, kai nebetaikomos sąlygos, kuriomis pagrindžiamas apribojimas, ir šias sąlygas reguliariai vertina;

(33)	siekiant užtikrinti kuo didesnę duomenų subjektų teisių ir laisvių apsaugą ir vadovaujantis Reglamento 44 straipsnio 1 dalimi, prieš taikant ar persvarstant bet kokį apribojimą, laiku konsultuojamasi su Įstaigos duomenų apsaugos pareigūnu ir tikrinama, ar laikomasi šio sprendimo;

(34)	Reglamento 16 straipsnio 5 dalyje ir 17 straipsnio 4 dalyje nustatytos duomenų subjektų teisės į informaciją ir teisės susipažinti su duomenimis išimtys. Jeigu taikomos šios išimtys, Įstaigai nereikia taikyti apribojimo pagal šį sprendimą,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Dalykas ir taikymo sritis

1. Šiuo sprendimu nustatomos taisyklės, susijusios su sąlygomis, kuriomis Inovacijų ir tinklų programų vykdomoji įstaiga ir bet kuris jos teisių perėmėjas (toliau – Įstaiga) gali apriboti 4, 14–22, 35 ir 36 straipsnių taikymą pagal Reglamento 25 straipsnį.

2. Įstaigai, kaip duomenų valdytojai, atstovauja Įstaigos direktorius, kuris gali toliau perduoti duomenų valdytojo funkcijas.

2 straipsnis

Taikytini apribojimai

1. Įstaiga gali apriboti Reglamento 14–22, 35 ir 36 straipsnių taikymą, taip pat 4 straipsnio taikymą tiek, kiek jo nuostatos atitinka 14–20 straipsniuose numatytas teises ir prievoles.

2. Šis sprendimas taikomas Įstaigos vykdomam asmens duomenų tvarkymui, atsižvelgiant į jos administracines ir veiklos funkcijas:

pagal Reglamento 25 straipsnio 1 dalies b, c, f, g ir h punktus, kai atliekami vidaus tyrimai, įskaitant grindžiamus išorės skundais, administraciniai tyrimai, preliminarios drausminės, drausminės ir laikino nušalinimo procedūros pagal Tarnybos nuostatų 86 straipsnį ir IX priedą bei įgyvendinimo taisykles, patikimumo patikrinimai arba OLAF tyrimai;

b)	pagal Reglamento 25 straipsnio 1 dalies h punktą, kai užtikrinama, kad Įstaigos darbuotojai galėtų konfidencialiai pranešti apie faktus, kai, jų manymu, esama rimtų pažeidimų, kaip nustatyta vidaus taisyklėse arba politikoje, susijusioje su informavimu apie pažeidimą;

c)	pagal Reglamento 25 straipsnio 1 dalies h punktą, kai užtikrinama, kad Įstaigos darbuotojai galėtų kreiptis į konfidencialius patarėjus per priekabiavimo nagrinėjimo procedūrą, kaip apibrėžta vidaus taisyklėse;

d)	pagal Reglamento 25 straipsnio 1 dalies c, g ir h punktus, kai atliekami vidaus ar išorės auditai, susiję su Įstaigos veikla ar funkcijomis;

pagal Reglamento 25 straipsnio 1 dalies d ir h punktus, kai atliekamos saugumo analizės, įskaitant kibernetinio saugumo ir IT sistemos pažeidimus, sprendžiamus viduje arba dalyvaujant išorės subjektams (pavyzdžiui, CERT-EU), užtikrinamas vidaus saugumas pasitelkiant stebėjimą vaizdo kameromis, prieigos kontrolę, taip pat tyrimo tikslais, užtikrinamas ryšių ir informacinių sistemų saugumas ir įgyvendinamos techninės atsakomosios priemonės saugumo srityje;

f)	pagal Reglamento 25 straipsnio 1 dalies g ir h punktus, kai Įstaigos duomenų apsaugos pareigūnas tiria bylas, tiesiogiai susijusias su jo užduotimis;

g)	pagal Reglamento 25 straipsnio 1 dalies b, g ir h punktus, kai atliekami Europos prokuratūros tyrimai;

h)	pagal Reglamento 25 straipsnio 1 dalies h punktą, kai asmenys prašo susipažinti su savo medicininiais duomenimis arba juos ištaisyti, įskaitant atvejus, kai juos turi Komisijos medicinos tarnyba;

pagal Reglamento 25 straipsnio 1 dalies c, d, g ir h punktus, kai teikiama pagalba kitoms Sąjungos institucijoms, organams, tarnyboms ir agentūroms, iš jų gaunama pagalba ir su jomis bendradarbiaujama pagal šios dalies a–h punktus ir kaip nustatyta atitinkamuose susitarimuose dėl paslaugų lygio, susitarimo memorandume ir bendradarbiavimo susitarimuose, susijusiuose su jų atitinkamu steigimo aktu;

j)	pagal Reglamento 25 straipsnio 1 dalies c, g ir h punktus, kai teikiama pagalba trečiųjų šalių nacionalinėms valdžios institucijoms ir tarptautinėms organizacijoms, iš jų gaunama pagalba ir su jomis bendradarbiaujama joms paprašius arba savo iniciatyva;

k)	pagal Reglamento 25 straipsnio 1 dalies c, g ir h punktus, kai ES valstybių narių valdžios institucijoms teikia pagalbą, iš jų gaunama pagalba ir su jomis bendradarbiaujama joms paprašius arba savo iniciatyva;

l)	pagal Reglamento 25 straipsnio 1 dalies e punktą, kai tvarkomi asmens duomenys, susiję su bylos šalių arba į bylą įstojusių šalių dokumentais Europos Sąjungos Teisingumo Teismui nagrinėjant bylas.

Šiame sprendime pirmiau minėta veikla apima parengiamuosius ir tolesnius veiksmus, tiesiogiai susijusius su ta pačia veikla.

3. Įstaiga kiekvienu konkrečiu atveju taip pat gali taikyti apribojimus šiame sprendime nurodytoms duomenų subjektų teisėms tokiomis aplinkybėmis:

kai Komisijos tarnybos ar kitos Sąjungos institucijos, organai, agentūros ir tarnybos turi teisę apriboti naudojimąsi išvardytomis teisėmis ir tokio Komisijos tarnybos, Sąjungos institucijos, organo ar agentūros taikomo apribojimo tikslui kiltų pavojus, jei Įstaiga tų pačių asmens duomenų atžvilgiu netaikytų lygiaverčio apribojimo;

b)	kai valstybių narių kompetentingos institucijos turi teisę apriboti naudojimąsi išvardytomis teisėmis ir tokio valstybės narės institucijos taikomo apribojimo tikslui kiltų pavojus, jei Įstaiga tų pačių asmens duomenų atžvilgiu netaikytų lygiaverčio apribojimo;

c)	kai šių teisių ir prievolių įgyvendinimas keltų pavojų Įstaigos bendradarbiavimui su trečiosiomis šalimis ar tarptautinėmis organizacijomis Įstaigai vykdant savo užduotis, nebent šį poreikį bendradarbiauti viršytų duomenų subjekto interesai ar pagrindinės teisės ir laisvės;

prieš taikydama apribojimus pagal šią dalį, Įstaiga prireikus konsultuojasi su atitinkamomis Komisijos tarnybomis, kitomis Sąjungos institucijomis, organais, agentūromis, tarnybomis, tarptautinėmis organizacijomis arba valstybių narių kompetentingomis institucijomis, nebent būtų aišku, kad apribojimas numatytas viename iš pirmiau minėtų aktų, arba tokios konsultacijos keltų pavojų Įstaigos veiklai.

4. Su pirmiau minėta veikla susijusių tvarkomų asmens duomenų kategorijos gali apimti faktinius ir kokybinius vertinimo duomenis.

5. Taikant bet kokius apribojimus turi būti gerbiama pagrindinių teisių ir laisvių esmė, ir tie apribojimai demokratinėje visuomenėje turi būti griežtai būtina ir proporcinga priemonė.

3 straipsnis

Apribojimų įrašymas ir registravimas

1. Duomenų valdytojas parengia apribojimo įrašą, kuriame aprašoma:

a)	bet kokio apribojimo, taikomo pagal šį sprendimą, priežastys;

b)	kurie 2 straipsnyje išvardyti pagrindai taikomi;

c)	kaip pasinaudojus šia teise kiltų rizika duomenų subjektui ar Įstaigos užduočių tikslui arba būtų pakenkta kitų duomenų subjektų teisėms ir laisvėms;

d)	apribojimo būtinumo ir proporcingumo vertinimo rezultatai, atsižvelgiant į atitinkamus Reglamento 25 straipsnio 2 dalies elementus.

2. Prieš pradedant taikyti apribojimus, kiekvienu konkrečiu atveju atliekama apribojimo būtinumo ir proporcingumo patikra. Duomenų valdytojas apsvarsto galimą riziką duomenų subjekto teisėms ir laisvėms. Apribojimai taikomi tik tiek, kiek tikrai būtina jų tikslams pasiekti.

3. Apribojimo įrašas ir, jei taikytina, dokumentai, kuriuose išdėstyti pagrindiniai faktiniai ir teisiniai elementai, užregistruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

4 straipsnis

Rizika duomenų subjektų teisėms ir laisvėms

1. Rizikos duomenų subjektų, kurių asmens duomenims gali būti taikomi apribojimai, teisėms ir laisvėms vertinimai ir informacija apie tokių apribojimų taikymo trukmę registruojami duomenų tvarkymo veiklos įrašuose, kuriuos duomenų valdytojas tvarko pagal Reglamento 31 straipsnį. Kai taikytina, tai taip pat registruojama bet kuriuose duomenų apsaugos poveikio vertinimuose, susijusiuose su tais apribojimais ir atliekamuose pagal Reglamento 39 straipsnį.

2. Jeigu duomenų valdytojas svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms, ir riziką, kad gali būti padarytas neigiamas poveikis tyrimams arba procedūroms, pavyzdžiui, kad gali būti sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms visų pirma, be kita ko, yra rizika reputacijai, rizika teisei į gynybą ir rizika teisei būti išklausytam.

5 straipsnis

Apsaugos priemonės ir laikymo laikotarpiai

1. Įstaiga taiko konkrečias apsaugos priemones, kad užkirstų kelią piktnaudžiavimui arba neteisėtai prieigai prie asmens duomenų, kuriems taikomi arba gali būti taikomi apribojimai, arba jų perdavimui. Tokios apsaugos priemonės apima technines bei organizacines priemones ir prireikus išsamiai išdėstomos Įstaigos vidaus sprendimuose, procedūrose ir įgyvendinimo taisyklėse. Šios apsaugos priemonės apima:

a)	tinkamą funkcijų, pareigų ir procedūros etapų apibrėžimą;

b)	jei tinkama, saugią elektroninę aplinką, kurioje užkertamas kelias neteisėtai arba atsitiktinei prieigai prie elektroninių duomenų ar jų perdavimui neįgaliotiems asmenims;

c)	jei tinkama, saugų popierinių dokumentų laikymą ir tvarkymą;

d)	užtikrinimą, kad visi asmenys, turintys prieigą prie asmens duomenų, laikytųsi konfidencialumo įsipareigojimų.

2. Asmens duomenų saugojimo laikotarpis pagal apribojimą apibrėžiamas atitinkamame įraše pagal Reglamento 31 straipsnį, atsižvelgiant į tvarkymo tikslą, ir apima laikotarpį, būtiną administracinei ir teisminei peržiūrai. Saugojimo laikotarpio pabaigoje asmens duomenys ištrinami, nuasmeninami arba perduodami į archyvus pagal Reglamento 13 straipsnį.

6 straipsnis

Apribojimų taikymo trukmė

1. 2 straipsnyje nurodyti apribojimai taikomi tol, kol taikomos priežastys, kuriomis pagrindžiamas šių apribojimų taikymas.

2. Kai apribojimo priežastys nebetaikomos, duomenų valdytojas panaikina apribojimą, jei įgyvendinant apribotą teisę nebedaromas neigiamas poveikis atitinkamai taikytinai procedūrai ir kitų duomenų subjektų teisėms ar laisvėms.

3. Jei duomenų subjektas dar kartą paprašo leisti susipažinti su atitinkamais asmens duomenimis, duomenų valdytojas duomenų subjektui pateikia pagrindines apribojimo priežastis. Kartu Įstaiga informuoja duomenų subjektą apie galimybę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teisę apskųsti teismine tvarka Europos Sąjungos Teisingumo Teisme.

4. Įstaiga kas šešis mėnesius peržiūri 2 straipsnyje nurodytų apribojimų taikymą.

7 straipsnis

Duomenų apsaugos pareigūno dalyvavimas

1. Įstaigos duomenų valdytojas nepagrįstai nedelsdamas ir prieš bet kokį sprendimą apriboti duomenų subjekto teises pagal šį sprendimą arba pratęsti apribojimo taikymą informuoja Įstaigos duomenų apsaugos pareigūną. Duomenų valdytojas suteikia duomenų apsaugos pareigūnui galimybę susipažinti su visais įrašais ir visais dokumentais, kuriais grindžiami faktiniai arba teisiniai elementai.

2. Duomenų apsaugos pareigūnas gali prašyti duomenų valdytojo peržiūrėti taikomą apribojimą. Duomenų valdytojas raštu informuoja duomenų apsaugos pareigūną apie prašytos peržiūros rezultatus.

3. Duomenų valdytojas dokumentuoja duomenų apsaugos pareigūno dalyvavimą taikant apribojimą, įskaitant tai, kokia informacija dalijamasi. Dokumentai pagal šį straipsnį yra įrašo, susijusio su apribojimu, dalis ir paprašius pateikiami Europos duomenų apsaugos priežiūros pareigūnui (EDAPP).

8 straipsnis

Duomenų subjektams teikiama informacija apie jų teisių apribojimus

1. Duomenų valdytojas į duomenų apsaugos pranešimus ir įrašus pagal Reglamento 31 straipsnį, skelbiamus jo interneto svetainėje ir intranete, įtraukia bendrą informaciją apie galimus duomenų subjektų teisių apribojimus pagal šio sprendimo 2 straipsnio 2 dalį. Nurodoma, kokios teisės ir prievolės gali būti apribotos, dėl kokių priežasčių jos gali būti apribotos ir galima apribojimų taikymo trukmė.

2. Duomenų valdytojas duomenų subjektus apie esamus arba būsimus jų teisių apribojimus informuoja individualiai raštu ir nepagrįstai nedelsdamas. Duomenų valdytojas informuoja duomenų subjektą apie pagrindines tokio apribojimo taikymo priežastis ir apie duomenų subjekto teisę pasitarti su duomenų apsaugos pareigūnu siekiant EDAPP pateikti skundą dėl teisių apribojimo.

3. Duomenų valdytojas gali atidėti informacijos apie apribojimo priežastis ir apie teisę teikti skundą EDAPP pateikimą, jos nepateikti arba atsisakyti ją pateikti tol, kol dėl pranešimo apie apribojimą būtų panaikintas jo poveikis. Šio pagrindimo vertinimas atliekamas kiekvienu konkrečiu atveju, o duomenų valdytojas pateikia informaciją duomenų subjektui, kai tik tai nebepanaikina apribojimo poveikio.

9 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1. Tinkamai pagrįstais atvejais ir šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę susipažinti su duomenimis pagal Reglamento 17 straipsnį, jei tai būtina ir proporcinga atsižvelgiant į veiklą pagal šį sprendimą.

2. Kai duomenų subjektai prašo leisti susipažinti su jų asmens duomenimis, tvarkomais vykdant konkrečią tvarkymo veiklą, nurodytą šio sprendimo 2 straipsnio 2 dalyje, Įstaiga apriboja savo atsaką, susijusį su asmens duomenimis, tvarkomais tos veiklos tikslais.

3. Duomenų subjektų teisės tiesiogiai susipažinti su psichologinio ar psichiatrinio pobūdžio dokumentais gali būti apribotos. Šiomis vidaus taisyklėmis neribojama nei netiesioginė prieiga, nei teisė reikalauti ištaisyti duomenis ir pranešti apie asmens duomenų pažeidimą. Todėl tarpininkaujančiam gydytojui atitinkamo asmens prašymu turėtų būti suteikta galimybė susipažinti su visa susijusia informacija, taip pat diskrecija, kaip ir kokią prieigą suteikti duomenų subjektui.

4. Jeigu duomenų valdytojas visiškai arba iš dalies apriboja teisę susipažinti su asmens duomenimis, kaip nurodyta Reglamento 17 straipsnyje, atsakyme į prašymą leisti susipažinti su duomenimis jis raštu informuoja atitinkamą duomenų subjektą apie taikomą apribojimą ir pagrindines jo priežastis bei galimybę pateikti skundą EDAPP arba kreiptis į Europos Sąjungos Teisingumo Teismą dėl apskundimo teismine tvarka.

5. Pagal Reglamento 25 straipsnio 8 dalį informacijos dėl prieigos apribojimo pateikimas gali būti atidėtas, ji gali būti neteikiama arba gali būti atsisakyta ją pateikti, jei dėl jos pateikimo apribojimas netektų poveikio.

6. Apribojimas pagal šį straipsnį taikomas pagal šį sprendimą.

10 straipsnis

Teisė reikalauti ištaisyti, ištrinti duomenis ir apriboti duomenų tvarkymą

1. Tinkamai pagrįstais atvejais ir šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę reikalauti ištaisyti, ištrinti duomenis ir apriboti jų tvarkymą pagal Reglamento 18 straipsnį, 19 straipsnio 1 dalį ir 20 straipsnio 1 dalį, jei tai būtina ir tinkama atsižvelgiant į veiklą pagal šio sprendimo 2 straipsnio 2 dalį.

2. Kalbant apie medicininius duomenis, duomenų subjektai gali pasinaudoti teise reikalauti ištaisyti Komisijos medicinos tarnybos vertinimą ar nuomonę, pateikdami savo pastabas arba pasirinkto gydytojo ataskaitą, taip pat ir tiesiogiai Komisijos medicinos tarnybai.

3. Apribojimas pagal šį straipsnį taikomas pagal šį sprendimą.

11 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1. Kai duomenų valdytojui taikoma prievolė pranešti apie duomenų saugumo pažeidimą pagal Reglamento 35 straipsnio 1 dalį, jis gali išskirtinėmis aplinkybėmis visiškai arba iš dalies apriboti tokį pranešimą. Jis dokumente nurodo tokio apribojimo priežastis, teisinį pagrindą pagal 2 straipsnį ir reikalingumo bei proporcingumo vertinimą. Tas dokumentas pateikiamas EDAPP tuo metu, kai pranešama apie asmens duomenų saugumo pažeidimą.

2. Nebelikus apribojimo priežasčių, Įstaiga apie asmens duomenų saugumo pažeidimą praneša atitinkamam duomenų subjektui ir informuoja jį apie pagrindines apribojimo priežastis ir jo teisę pateikti skundą EDAPP.

12 straipsnis

Elektroninių pranešimų konfidencialumas

1. Išskirtinėmis aplinkybėmis Įstaiga gali apriboti teisę į elektroninių pranešimų konfidencialumą pagal Reglamento 36 straipsnį. Tokie apribojimai atitinka Europos Parlamento ir Tarybos direktyvą 2002/58/EB (9).

2. Nepaisant 8 straipsnio 3 dalies, apribojusi teisę į elektroninių pranešimų konfidencialumą Įstaiga, atsakydama į duomenų subjekto prašymą, informuoja atitinkamą duomenų subjektą apie pagrindines priežastis, dėl kurių taikomas apribojimas, ir jo teisę pateikti skundą EDAPP.

13 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priėmė Inovacijų ir tinklų programų vykdomosios įstaigos iniciatyvinis komitetas.

Priėmimo data 2020 m. spalio 14 d.

Patvirtino INEA vykdomasis direktorius

(1) OL L 295, 2018 11 21, p. 39.

(2) OL L 11, 2003 1 16, p. 1.

(3) OL L 352, 2013 12 24, p. 65.

(4) SEC(2009) 481/3.

(5) SEC(2018) 120/2.

(6) 2013 m. gruodžio 23 d. Komisijos sprendimas C (2013) 9235 su pakeitimais, padarytais 2018 m. vasario 27 d. Komisijos sprendimu C(2018)1281.

(7) 1968 m. vasario 29 d. Tarybos reglamentas (EEB, Euratomas, EAPB) Nr. 259/68, nustatantis Europos Bendrijų pareigūnų tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas bei Komisijos pareigūnams laikinai taikomas specialias priemones (OL L 56, 1968 3 4, p. 1).

(8) 2017 m. sausio 10 d. Komisijos sprendimas (ES, Euratomas) 2017/46 dėl Europos Komisijos ryšių ir informacinių sistemų saugumo (OL L 6, 2017 1 11, p. 40).

(9) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

Top