EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32023Q02189

Visuotinės sveikatos EDCTP3 bendrosios įmonės valdybos sprendimas Nr. GB/18/2023, kuriuo nustatomos vidaus taisyklės dėl duomenų subjektų tam tikrų teisių apribojimų tais atvejais, kai Visuotinės sveikatos EDCTP3 bendroji įmonė, vykdydama savo veiklą, tvarko asmens duomenis [2023/2189]

PUB/2023/1182

OL L, 2023/2189, 16.10.2023, ELI: http://data.europa.eu/eli/dec/2023/2189/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2023/2189/oj

European flag

oficialusis leidinys
Europos Sąjungos

LT

Seriju L


2023/2189

2023 10 16

VISUOTINĖS SVEIKATOS EDCTP3 BENDROSIOS ĮMONĖS VALDYBOS SPRENDIMAS Nr. GB/18/2023

kuriuo nustatomos vidaus taisyklės dėl duomenų subjektų tam tikrų teisių apribojimų tais atvejais, kai „Visuotinės sveikatos EDCTP3“ bendroji įmonė, vykdydama savo veiklą, tvarko asmens duomenis [2023/2189]

„VISUOTINĖS SVEIKATOS EDCTP3“ BENDROSIOS ĮMONĖS VALDYBA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (toliau – Reglamentas (ES) 2018/1725) (1), ypač jo 25 straipsnį,

atsižvelgdama į 2021 m. lapkričio 19 d. Tarybos reglamentą (ES) 2021/2085, kuriuo pagal programą „Europos horizontas“ steigiamos bendrosios įmonės ir panaikinami reglamentai (EB) Nr. 219/2007, (ES) Nr. 557/2014, (ES) Nr. 558/2014, (ES) Nr. 559/2014, (ES) Nr. 560/2014, (ES) Nr. 561/2014 bei (ES) Nr. 642/2014 (Bendrąjį pagrindinį aktą) (2),

atsižvelgdama į 2020 m. birželio 24 d. Europos duomenų apsaugos priežiūros pareigūno (EDAPP) gaires dėl Reglamento (ES) 2018/1725 25 straipsnio ir vidaus taisyklių (3),

pagal Reglamento (ES) 2018/1725 41 straipsnio 2 dalį 2023 m. birželio 12 d. pasikonsultavusi su EDAPP,

atsižvelgdama į EDAPP 2023 m. birželio 19 d. rekomendacijas,

informavusi „Visuotinės sveikatos EDCTP3“ bendrosios įmonės darbuotojus,

kadangi:

1)

tik teisės aktuose, priimtuose remiantis Sutartimis, gali būti numatyta apriboti duomenų subjektų teises. Kai tie apribojimai negali būti grindžiami teisės aktais, priimtais pagal Sutartis, Reglamente (ES) 2018/1725 nustatyta, kad sprendžiant klausimus, susijusius su „Visuotinės sveikatos EDCTP3“ bendrosios įmonės veikimu, apribojimai gali būti nustatyti vidaus taisyklėmis, įvertinus, ar jie yra būtini ir proporcingi;

2)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalį, to reglamento 14–22, 35 bei 36 straipsnių taikymo ir 4 straipsnio taikymo tiek, kiek jo nuostatos atitinka 14–20 straipsniuose numatytas teises ir prievoles, apribojimai turėtų būti nustatomi pagal „Visuotinės sveikatos EDCTP3“ bendrosios įmonės priimtas vidaus taisykles;

3)

vykdydama savo administracines funkcijas „Visuotinės sveikatos EDCTP3“ bendroji įmonė gali vykdyti administracinius tyrimus, preliminarias drausmines, drausmines ir laikino nušalinimo procedūras, preliminarią veiklą, susijusią su galimų pažeidimų, apie kuriuos pranešta OLAF, nagrinėjimo bylomis, nagrinėti informavimo apie pažeidimus atvejus, vykdyti (oficialias ir neoficialias) procedūras priekabiavimo atveju, nagrinėti vidaus ir išorės skundus, vykdyti vidaus ir išorės auditus, pagal Reglamento (ES) 2018/1725 45 straipsnio 2 dalį duomenų apsaugos pareigūno (DAP) atliekamus tyrimus ir (IT) saugumo tyrimus, kurie atliekami organizacijos viduje arba dalyvaujant išorės subjektams (pvz., CERT-ES);

4)

„Visuotinės sveikatos EDCTP3“ bendroji įmonė taip pat gali atlikti Europos Sąjungos įslaptintos informacijos (ESĮI) saugumo taisyklių galimų pažeidimų tyrimus, remdamasi sprendimu dėl ESĮI apsaugai užtikrinti skirtų saugumo taisyklių, kurį ji ketina priimti;

5)

kai vykdomi tokie administraciniai tyrimai, auditai ir kiti tyrimai, „Visuotinės sveikatos EDCTP3“ bendroji įmonė bendradarbiauja su kitomis Sąjungos institucijomis, organais, tarnybomis ir agentūromis;

6)

„Visuotinės sveikatos EDCTP3“ bendroji įmonė gali bendradarbiauti su trečiųjų šalių nacionalinėmis institucijomis ir tarptautinėmis organizacijomis jų prašymu arba savo iniciatyva;

7)

„Visuotinės sveikatos EDCTP3“ bendroji įmonė taip pat gali bendradarbiauti su ES valstybių narių valdžios institucijomis jų prašymu arba savo iniciatyva;

8)

„Visuotinės sveikatos EDCTP3“ bendroji įmonė dalyvauja nagrinėjant bylas Europos Sąjungos Teisingumo Teisme, kai ji klausimą perduoda nagrinėti Teismui, gina Teismui apskųstą jos priimtą sprendimą arba įstoja į bylas, susijusias su jos užduotimis. Tokiomis aplinkybėmis „Visuotinės sveikatos EDCTP3“ bendroji įmonė gali reikalauti išlaikyti asmens duomenų, esančių dokumentuose, kuriuos gavo bylos šalys arba į bylą įstojusios šalys, konfidencialumą;

9)

vykdydama savo užduotis „Visuotinės sveikatos EDCTP3“ bendroji įmonė renka ir tvarko kelių kategorijų asmens duomenis, kaip antai identifikavimo duomenis, kontaktinius duomenis, profesinius duomenis, administracinius duomenis, iš konkrečių šaltinių gautus duomenis, elektroninius pranešimus bei srauto duomenis ir su bylomis susijusius duomenis (pavyzdžiui, teisinius motyvus, elgsenos duomenis, vertinimus, veiklos ir poelgių duomenis ir su procedūros arba veiklos dalyku susijusius arba dėl to pateiktus duomenis) (4);

10)

„Visuotinės sveikatos EDCTP3“ bendroji įmonė, atstovaujama jos vykdomojo direktoriaus, veikia kaip duomenų valdytoja;

11)

asmens duomenys saugiai saugomi elektroninėje aplinkoje arba popierine forma, užtikrinant, kad nebūtų įmanoma neteisėtai su jais susipažinti ar neteisėtai jų perduoti asmenims, neturintiems teisės susipažinti su tokiais asmens duomenimis. Tvarkomi asmens duomenys saugomi ne ilgiau, nei būtina ir derama siekiant tikslų, kuriais jie yra tvarkomi „Visuotinės sveikatos EDCTP3“ bendrosios įmonės duomenų apsaugos pranešimuose, pareiškimuose dėl privatumo arba įrašuose nurodytą laiką;

12)

todėl Reglamentu (ES) 2018/1725 „Visuotinės sveikatos EDCTP3“ bendrajai įmonei nustatyta pareiga teikti informaciją duomenų subjektams apie pirmiau nurodytą duomenų tvarkymo veiklą ir gerbti duomenų subjektų teises;

13)

gali būti reikalaujama, kad „Visuotinės sveikatos EDCTP3“ bendroji įmonė tas teises suderintų su administracinių tyrimų, auditų, kitų tyrimų ir teismo procesų tikslais. Taip pat gali būti reikalaujama, kad ji duomenų subjektų teises suderintų su kitų duomenų subjektų pagrindinėmis teisėmis ir laisvėmis. Šiuo tikslu Reglamento (ES) 2018/1725 25 straipsnyje nustatytomis griežtomis sąlygomis suteikiama galimybė „Visuotinės sveikatos EDCTP3“ bendrajai įmonei apriboti to reglamento 14–22, 35 bei 36 straipsnių taikymą ir 4 straipsnio, taikomo tiek, kiek jo nuostatos atitinka 14–20 straipsniuose nustatytas teises ir pareigas, taikymą;

14)

vidaus taisyklės turėtų būti taikomos tokioms atitinkamoms duomenų tvarkymo operacijoms, kurios atliekamos iki pradedant pirmiau nurodytas procedūras, tų procedūrų metu, vykdant tolesnių veiksmų, susijusių su tų procedūrų rezultatais, stebėseną ir visą laikotarpį, kuriuo toliau taikomas apribojimas. Vidaus taisyklės taip pat turėtų būti taikomos „Visuotinės sveikatos EDCTP3“ bendrosios įmonės teikiamos pagalbos nacionalinėms institucijoms ir tarptautinėms organizacijoms arba bendradarbiavimo su jomis atvejais, kai tai nėra susiję su jos pačios administraciniais tyrimais;

15)

tais atvejais, kai taikomos šios vidaus taisyklės, „Visuotinės sveikatos EDCTP3“ bendroji įmonė turi pagrįsti, kodėl apribojimai demokratinėje visuomenėje yra absoliučiai būtini ir proporcingi ir kaip jie atitinka pagrindinių teisių ir laisvių esmę;

16)

atsižvelgiant į tai, „Visuotinės sveikatos EDCTP3“ bendroji įmonė, atlikdama pirmiau nurodytas procedūras, visų pirma procedūras, susijusias su duomenų subjektų teise gauti informaciją, teise susipažinti su duomenimis, reikalauti juos ištaisyti ar ištrinti, teise apriboti jų tvarkymą, teise į tai, kad apie asmens duomenų saugumo pažeidimą būtų jiems pranešta, arba teise į pranešimų konfidencialumą, kaip įtvirtinta Reglamente (ES) 2018/1725, turi paisyti duomenų subjektų pagrindinių teisių visapusiškai laikydamasi atitinkamų teisės aktų ir gairių;

17)

tačiau „Visuotinės sveikatos EDCTP3“ bendrajai įmonei gali tekti apriboti informacijos teikimą duomenų subjektams ir kitas duomenų subjektų teises tam, kad užtikrintų visų pirma pačios atliekamų tyrimų, kitų valdžios institucijų atliekamų tyrimų ir procedūrų, taip pat su jos atliekamais tyrimais ir kitomis procedūromis susijusių kitų asmenų teisių apsaugą;

18)

svarstydama, ar taikyti apribojimą, „Visuotinės sveikatos EDCTP3“ bendroji įmonė įvertina riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms, ir riziką, kad bendrosios įmonės tyrimai arba procedūros neteks poveikio, pavyzdžiui, dėl to, kad bus sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms visų pirma yra rizika reputacijai, rizika teisei į gynybą ir rizika teisei būti išklausytam, bet tuo neapsiriboja;

19)

todėl „Visuotinės sveikatos EDCTP3“ bendroji įmonė gali apriboti informacijos teikimą, siekdama užtikrinti tyrimo ir kitų duomenų subjektų pagrindinių teisių ir laisvių apsaugą;

20)

siekiant užtikrinti kuo geresnę duomenų subjektų teisių ir laisvių apsaugą ir vadovaujantis Reglamento (ES) 2018/1725 44 straipsnio 1 dalimi, su DAP turėtų būti laiku konsultuojamasi dėl visų galimų taikyti apribojimų, o DAP turėtų patikrinti jų atitiktį šiam sprendimui;

21)

„Visuotinės sveikatos EDCTP3“ bendroji įmonė turėtų periodiškai stebėti, ar nėra išnykusios apribojimą pateisinančios sąlygos, o išnykus toms sąlygoms – panaikinti apribojimą;

22)

duomenų valdytojas turėtų informuoti DAP apie informacijos pateikimo atidėjimą ir atliekamas peržiūras;

23)

šis sprendimas priimamas taikant rašytinę procedūrą pagal „Visuotinės sveikatos EDCTP3“ bendrosios įmonės valdybos darbo tvarkos taisyklių 10 straipsnį,

NUSPRENDĖ:

1 straipsnis

Dalykas ir taikymo sritis

1.   Šiuo sprendimu nustatomos taisyklės, susijusios su sąlygomis, kuriomis „Visuotinės sveikatos EDCTP3“ bendroji įmonė, atlikdama šio sprendimo 3 straipsnyje nurodytas procedūras, gali pagal Reglamento (ES) 2018/1725 25 straipsnį apriboti to reglamento 14–22, 35 bei 36 straipsnių ir 4 straipsnio taikymą.

2.   Su šiomis procedūromis yra susiję šių kategorijų duomenys: identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, iš konkrečių šaltinių gauti duomenys, elektroniniai pranešimai bei srauto duomenys ir su bylomis susiję duomenys, pavyzdžiui, teisiniai motyvai, elgsenos duomenys, vertinimai, veiklos ir poelgių duomenys ir su procedūros arba veiklos dalyku susiję arba dėl to pateikti duomenys.

3.   Vykdydama su duomenų subjektų teisėmis susijusias savo pareigas pagal Reglamentą (ES) 2018/1725, „Visuotinės sveikatos EDCTP3“ bendroji įmonė įvertina, ar taikoma kuri nors iš tame reglamente nustatytų išimčių.

2 straipsnis

Duomenų valdytojo apibūdinimas

Duomenų tvarkymo operacijų duomenų valdytoja yra „Visuotinės sveikatos EDCTP3“ bendroji įmonė, atstovaujama jos vykdomojo direktoriaus.

3 straipsnis

Apribojimai

1.    „Visuotinės sveikatos EDCTP3“ bendroji įmonė gali apriboti Reglamento (ES) 2018/1725 14–22, 35 bei 36 straipsnių taikymą ir 4 straipsnio, taikomo tiek, kiek jo nuostatos atitinka 14–20 straipsniuose numatytas teises ir prievoles, taikymą:

a)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies b, c, f, g ir h punktus, kai vykdo administracinius tyrimus, preliminarias drausmines, drausmines arba laikino nušalinimo procedūras pagal Tarnybos nuostatų 86 straipsnį bei IX priedą ir pagal „Visuotinės sveikatos EDCTP3“ bendrosios įmonė valdybos sprendimą Nr. 17/2023 ir kai praneša apie bylas OLAF;

b)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies h punktą, kai siekia užtikrinti, kad „Visuotinės sveikatos EDCTP3“ bendrosios įmonės darbuotojai galėtų konfidencialiai pranešti apie faktus, jei, jų manymu, esama rimtų pažeidimų, kaip nustatyta „Visuotinės sveikatos EDCTP3“ bendrosios įmonės valdybos sprendime Nr. 12/2023 dėl vidaus taisyklių, susijusių su informavimu apie pažeidimą;

c)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies h punktą, kai siekia užtikrinti, kad „Visuotinės sveikatos EDCTP3“ bendrosios įmonės darbuotojai, vykstant priekabiavimo nagrinėjimo procedūroms, galėtų kreiptis į konfidencialius patarėjus, kaip nustatyta „Visuotinės sveikatos EDCTP3“ bendrosios įmonės valdybos sprendime Nr. 13/2023;

d)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, g ir h punktus, kai atlieka „Visuotinės sveikatos EDCTP3“ bendrosios įmonės veiklos ar padalinių vidaus ir išorės auditus;

e)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, d, g ir h punktus, kai teikia pagalbą kitoms Sąjungos institucijoms, organams, tarnyboms ir agentūroms, gauna iš jų pagalbą arba su jomis bendradarbiauja vykdydama veiklą pagal šios dalies a–d punktus ir kaip nustatyta atitinkamuose susitarimuose dėl paslaugų lygio, susitarimo memorandumuose ir bendradarbiavimo susitarimuose;

f)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, g ir h punktus, kai trečiųjų šalių nacionalinėms institucijoms ir tarptautinėms organizacijoms teikia ar iš jų gauna pagalbą arba su jomis bendradarbiauja joms paprašius ar savo iniciatyva;

g)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, g ir h punktus, kai ES valstybių narių valdžios institucijoms teikia ar iš jų gauna pagalbą arba su jomis bendradarbiauja joms paprašius ar savo iniciatyva;

h)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies e punktą, kai tvarko asmens duomenis, pateiktus bylos šalių arba į bylą įstojusių šalių dokumentuose Europos Sąjungos Teisingumo Teismui nagrinėjant bylas;

i)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c ir h punktus, kai tvarko asmens duomenis per DAP atliekamus tyrimus pagal to reglamento 45 straipsnio 2 dalį;

j)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, d, g ir h punktus, kai tvarko asmens duomenis per IT saugumo tyrimus, kurie atliekami organizacijos viduje arba kuriuose dalyvauja išorės subjektai (pvz., CERT-ES);

k)

pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, g ir h punktus, kai tvarko asmens duomenis per dotacijų valdymo arba viešųjų pirkimų procedūrą – po galutinės kvietimų teikti pasiūlymus arba paraiškų dalyvauti konkurse pateikimo dienos.

2.   Konkrečiu tikslu taikomus 1 dalyje nurodytus apribojimus „Visuotinės sveikatos EDCTP3“ bendroji įmonė gali taikyti šiomis aplinkybėmis:

a)

jei asmens duomenimis keičiamasi su Komisijos tarnybomis ar kitomis Sąjungos institucijomis, organais, agentūromis ir tarnybomis:

i.

tais atvejais, kai tokia Komisijos tarnyba, Sąjungos institucija, organas ar agentūra turi teisę apriboti naudojimąsi nurodytomis teisėmis remdamasis kitais Reglamento (ES) 2018/1725 25 straipsnyje nurodytais aktais, to reglamento IX skyriumi arba kitų Sąjungos institucijų, organų, agentūrų ir tarnybų steigimo aktais,

ii.

tais atvejais, kai tos Komisijos tarnybos, Sąjungos institucijos, organo ar agentūros taikomo tokio apribojimo tikslui kiltų grėsmė, jei „Visuotinės sveikatos EDCTP3“ bendroji įmonė netaikytų lygiaverčio su tais pačiais asmens duomenimis susijusio apribojimo;

b)

jei asmens duomenimis keičiamasi su valstybių narių kompetentingomis institucijomis:

i.

tais atvejais, kai tos valstybių narių kompetentingos institucijos turi teisę apriboti naudojimąsi nurodytomis teisėmis remdamosi Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (5) 23 straipsnyje nurodytais aktais arba nacionalinėmis priemonėmis, kuriomis į nacionalinę teisę perkeliama Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 (6) 13 straipsnio 3 dalis, 15 straipsnio 3 dalis arba 16 straipsnio 3 dalis,

ii.

tais atvejais, kai tos kompetentingos institucijos taikomo tokio apribojimo tikslui kiltų grėsmė, jei „Visuotinės sveikatos EDCTP3“ bendroji įmonė netaikytų lygiaverčio su tais pačiais asmens duomenimis susijusio apribojimo;

c)

jei asmens duomenimis keičiamasi su trečiosiomis valstybėmis arba tarptautinėmis organizacijomis, tais atvejais, kai yra aiškių įrodymų, kad naudojimasis tomis teisėmis ir tų pareigų vykdymas gali kelti grėsmę „Visuotinės sveikatos EDCTP3“ bendrosios įmonės bendradarbiavimui su trečiosiomis valstybėmis arba tarptautinėmis organizacijomis, jai vykdant savo užduotis.

Prieš pradėdama taikyti apribojimus pirmos pastraipos a ir b punktuose nurodytais atvejais, „Visuotinės sveikatos EDCTP3“ bendroji įmonė konsultuojasi su atitinkamomis Komisijos tarnybomis, Sąjungos institucijomis, organais, agentūromis, tarnybomis arba valstybių narių kompetentingomis institucijomis, išskyrus atvejus, kai „Visuotinės sveikatos EDCTP3“ bendrajai įmonei yra aišku, kad galimybė taikyti apribojimą yra numatyta viename iš tuose punktuose nurodytų aktų.

3.   Jei „Visuotinės sveikatos EDCTP3“ bendroji įmonė visiškai arba iš dalies apriboja 1 ir 2 dalyse nurodytų teisių taikymą, ji turi imtis šio sprendimo 5 ir 6 straipsniuose nustatytų veiksmų.

4.   Tais atvejais, kai duomenų subjektai prašo pagal Reglamento (ES) 2018/1725 17 straipsnį leisti susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje ar keliose konkrečiose bylose, arba su konkrečia duomenų tvarkymo operacija, „Visuotinės sveikatos EDCTP3“ bendroji įmonė vertina tik su tais asmens duomenimis susijusius prašymo aspektus.

4 straipsnis

Apsaugos priemonių apibūdinimas

1.    „Visuotinės sveikatos EDCTP3“ bendroji įmonė įgyvendina apsaugos priemones, kad užkirstų kelią piktnaudžiavimui asmens duomenimis, kuriems taikomi ar gali būti taikomi apribojimai, ir neteisėtai prieigai prie jų arba tokių duomenų perdavimui. Tokios apsaugos priemonės apima technines ir organizacines priemones ir prireikus išsamiai išdėstomos „Visuotinės sveikatos EDCTP3“ bendrosios įmonės vidaus sprendimuose, procedūrose ir įgyvendinimo taisyklėse. Apsaugos priemonės apima:

a)

aiškų funkcijų, pareigų ir procedūrinių veiksmų apibrėžimą;

b)

popierinių dokumentų laikymą saugiose spintose ir prieigos prie jų suteikiamą tik įgaliotiems darbuotojams;

c)

visų elektroninių duomenų saugojimą, laikantis „Visuotinės sveikatos EDCTP3“ bendrosios įmonės saugumo standartų, saugioje IT taikomojoje programoje ir specialiuose elektroniniuose aplankuose, prie kurių prieigą turi tik įgalioti darbuotojai. Reikiamo lygmens prieiga suteikiama asmeniškai;

d)

įpareigojimą visiems asmenims, turintiems prieigą prie duomenų, saugoti konfidencialumą;

e)

deramą apribojimų stebėseną ir periodinę jų taikymo peržiūrą.

2.   Pagal šio sprendimo 5 straipsnio 3 dalį, 1 dalyje nurodytos apsaugos priemonės turėtų būti periodiškai peržiūrimos.

3.   Asmens duomenys saugomi laikantis taikytinų „Visuotinės sveikatos EDCTP3“ bendrosios įmonės duomenų saugojimo taisyklių, kurios turi būti nustatytos duomenų apsaugos įrašuose, tvarkomuose pagal Reglamento (ES) 2018/1725 31 straipsnį. Duomenų saugojimo laikotarpis bet kuriuo atveju neturi būti ilgesnis, nei būtina ir derama siekiant tikslų, kuriais jie yra tvarkomi.

5 straipsnis

Apribojimų būtinumas ir proporcingumas

1.   Bet kuris apribojimas, pagrįstas šio sprendimo 3 straipsniu, turi būti būtinas ir proporcingas, atsižvelgiant į riziką duomenų subjektų teisėms bei laisvėms, ir atitikti demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmę.

2.   Jei svarstoma galimybė taikyti apribojimą, remiantis šiomis taisyklėmis įvertinama, ar jis yra būtinas ir proporcingas. Šis vertinimas taip pat atliekamas per periodinę peržiūrą, įvertinus, ar dar neišnyko faktinės ir teisinės apribojimo taikymo priežastys. Atskaitomybės tikslais tai kiekvienu konkrečiu atveju yra dokumentuojama vidaus vertinimo rašte.

„Visuotinės sveikatos EDCTP3“ bendroji įmonė rengia periodines Reglamento (ES) 2018/1725 25 straipsnio taikymo ataskaitas.

3.   Apribojimai turi būti laikini. Apribojimai taikomi tol, kol neišnyksta juos pagrindžiančios priežastys, visų pirma, kai manoma, kad dėl naudojimosi apribota teise nebeišnyks nustatyto apribojimo poveikis arba nebus pakenkta kitų duomenų subjektų teisėms arba laisvėms.

„Visuotinės sveikatos EDCTP3“ bendroji įmonė apribojimo taikymą peržiūri kas šešis mėnesius nuo jo nustatymo dienos ir užbaigus atitinkamą tyrimą arba procedūrą. Vėliau duomenų valdytojas kas šešis mėnesius įvertina, ar apribojimą reikia taikyti toliau.

4.   Jei „Visuotinės sveikatos EDCTP3“ bendroji įmonė visiškai arba iš dalies taiko šio sprendimo 3 straipsniu grindžiamus apribojimus, ji pagal šio sprendimo 3 straipsnį užregistruoja apribojimo priežastis ir teisinį pagrindą, įskaitant apribojimo būtinumo ir proporcingumo įvertinimą.

Užregistruojamas įrašas ir, kai taikytina, dokumentai, kuriuose išdėstytos pagrindinės faktinės ir teisinės aplinkybės. Tas įrašas ir dokumentai, gavus prašymą, pateikiami EDAPP.

6 straipsnis

Pareiga informuoti

1.   Duomenų apsaugos pranešimuose, pareiškimuose dėl privatumo arba Reglamento (ES) 2018/1725 31 straipsniu nustatytuose įrašuose, kurie skelbiami „Visuotinės sveikatos EDCTP3“ bendrosios įmonės interneto svetainėje ir (arba) intranete ir kuriais duomenų subjektai informuojami apie jų teises tam tikros procedūros atveju, „Visuotinės sveikatos EDCTP3“ bendroji įmonė pateikia informaciją apie galimą tų teisių apribojimą. Informuojama apie teises, kurios gali būti apribotos, apribojimo priežastis ir galimą trukmę.

Nedarant poveikio šio sprendimo 5 straipsnio 4 dalies nuostatoms, tais atvejais, kai tai proporcinga, „Visuotinės sveikatos EDCTP3“ bendroji įmonė nepagrįstai nedelsdama raštu informuoja kiekvieną duomenų subjektą, kuris laikomas konkrečios duomenų tvarkymo operacijos suinteresuotuoju subjektu, ir apie jo teises, susijusias su esamais arba būsimais apribojimais.

2.   Tais atvejais, kai „Visuotinės sveikatos EDCTP3“ bendroji įmonė visiškai arba iš dalies apriboja šio sprendimo 3 straipsnyje nurodytas teises, ji atitinkamą duomenų subjektą informuoja apie taikomą apribojimą ir pagrindines jo taikymo priežastis, galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Europos Sąjungos Teisingumo Teismui.

Remiantis Reglamento (ES) 2018/1725 25 straipsnio 8 dalimi, 2 dalyje nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba gali būti atsisakyta ją pateikti, jei pateikus informaciją išnyktų nustatyto apribojimo poveikis.

7 straipsnis

Duomenų apsaugos pareigūno dalyvavimas

1.   „Visuotinės sveikatos EDCTP3“ bendroji įmonė nepagrįstai nedelsdama konsultuojasi su savo duomenų apsaugos pareigūnu (DAP) prieš tai, kai duomenų valdytojas, vadovaudamasis šiuo sprendimu, apriboja duomenų subjektų teisių taikymą, tokio apribojimo taikymo metu arba kai jis šį apribojimo taikymą pratęsia. Duomenų valdytojas leidžia DAP susipažinti su įrašu, kuriame užfiksuoti apribojimo būtinumo ir proporcingumo vertinimo rezultatai, ir visais dokumentais, kuriais grindžiamos faktinės ar teisinės aplinkybės.

2.   DAP gali raštu prašyti, kad duomenų valdytojas peržiūrėtų apribojimų taikymą. Duomenų valdytojas raštu informuoja DAP apie prašytos peržiūros rezultatus.

3.   DAP dalyvauja visuose procedūros etapuose. Duomenų valdytojas informuoja DAP apie apribojimo panaikinimą.

4.   „Visuotinės sveikatos EDCTP3“ bendroji įmonė dokumentuose užregistruoja DAP dalyvavimą taikant apribojimus, įskaitant tai, kokia informacija su juo buvo dalytasi.

8 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1.   Kai „Visuotinės sveikatos EDCTP3“ bendrajai įmonei taikoma prievolė pagal Reglamento (ES) 2018/1725 35 straipsnio 1 dalį pranešti apie duomenų saugumo pažeidimą, ji išskirtinėmis aplinkybėmis gali visiškai arba iš dalies apriboti tokį pranešimą. Ji dokumente nurodo tokio apribojimo priežastis, teisinį pagrindą pagal šio sprendimo 3 straipsnį ir būtinumo ir proporcingumo vertinimo rezultatus. Tas dokumentas pateikiamas EDAPP tuo metu, kai pranešama apie asmens duomenų saugumo pažeidimą.

2.   Išnykus apribojimo priežastims, „Visuotinės sveikatos EDCTP3“ bendroji įmonė apie asmens duomenų saugumo pažeidimą praneša atitinkamam duomenų subjektui ir informuoja jį apie pagrindines apribojimo priežastis ir jo teisę pateikti skundą EDAPP.

9 straipsnis

Elektroninių pranešimų konfidencialumas

1.   „Visuotinės sveikatos EDCTP3“ bendroji įmonė išskirtinėmis aplinkybėmis gali apriboti teisę į elektroninių pranešimų konfidencialumą pagal Reglamento (ES) 2018/1725 36 straipsnį. Tokie apribojimai turi atitikti Europos Parlamento ir Tarybos direktyvą 2002/58/EB.

2.   Apribojusi teisę į elektroninių pranešimų konfidencialumą, „Visuotinės sveikatos EDCTP3“ bendroji įmonė, atsakydama į bet kokį duomenų subjekto prašymą, jį informuoja apie pagrindines priežastis, dėl kurių taikomas apribojimas, ir jo teisę pateikti skundą EDAPP.

3.   „Visuotinės sveikatos EDCTP3“ bendroji įmonė gali atidėti informacijos apie apribojimo priežastis ir teisę pateikti skundą EDAPP pateikimą, jos nepateikti arba atsisakyti ją pateikti tol, kol dėl to galėtų išnykti apribojimo poveikis. Vertinimas, ar tai būtų pagrįsta, atliekamas kiekvienu konkrečiu atveju.

10 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Briuselyje 2023 m. rugpjūčio 3 d.

„Visuotinės sveikatos EDCTP3“ bendrosios įmonės valdybos vardu

dr. Henning GÄDEKE

Valdybos pirmininkas


(1)   OL L 295, 2018 11 21, p. 39.

(2)   OL L 427, 2021 11 30, p. 17.

(3)  Gairės dėl Reglamento (ES) 2018/1725 25 straipsnio pateikiamos EDAPP svetainėje Europos duomenų apsaugos priežiūros pareigūnas (europa.eu).

(4)  Tais atvejais, kai vykdomas bendras duomenų valdymas, duomenys turi būti tvarkomi atsižvelgiant į priemones ir tikslus, nustatytus atitinkamame bendrų duomenų valdytojų susitarime, kaip nurodyta Reglamento (ES) 2018/1725 28 straipsnyje.

(5)   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL L 119, 2016 5 4, p. 1).

(6)   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).


ELI: http://data.europa.eu/eli/dec/2023/2189/oj

ISSN 1977-0723 (electronic edition)


Top