2021 1 26   

LT

Europos Sąjungos oficialusis leidinys

L 26/116


MAŽŲJŲ IR VIDUTINIŲ ĮMONIŲ REIKALŲ VYKDOMOSIOS ĮSTAIGOS INICIATYVINIO KOMITETO SPRENDIMAS

dėl vidaus taisyklių, susijusių su duomenų subjektų tam tikrų teisių apribojimais dėl asmens duomenų tvarkymo Agentūrai vykdant savo veiklą

INICIATYVINIS KOMITETAS,

atsižvelgdamas į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 249 straipsnio 1 dalį,

atsižvelgdamas į 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (1) (toliau – Reglamentas), ypač į jo 25 straipsnį,

atsižvelgdamas į 2013 m. gruodžio 17 d. Komisijos įgyvendinimo sprendimą 2013/771/ES, kuriuo įsteigiama Mažųjų ir vidutinių įmonių reikalų vykdomoji įstaiga ir panaikinami sprendimai 2004/20/EB ir 2007/372/EB (2),

pasikonsultavęs su Europos duomenų apsaugos priežiūros pareigūnu,

kadangi:

(1)

Mažųjų ir vidutinių įmonių reikalų vykdomoji įstaiga (EASME) (toliau – Agentūra) buvo įsteigta Įgyvendinimo sprendimu 2013/771/ES, siekiant vykdyti užduotis, susijusias su Sąjungos programų įgyvendinimu energetikos, aplinkos, klimato politikos, konkurencingumo ir MVĮ, mokslinių tyrimų ir inovacijų bei IRT srityse (3);

(2)

administracinių ir veiklos funkcijų srityje Agentūra gali vykdyti administracinius tyrimus, preliminarias drausmines, drausmines ir laikino nušalinimo procedūras, kaip nustatyta Europos Sąjungos pareigūnų tarnybos nuostatuose ir kitų tarnautojų įdarbinimo sąlygose, patvirtintose Tarybos reglamentu (EEB, Euratomas, EAPB) Nr. 259/68 (toliau – Tarnybos nuostatai) (4), ir įgyvendinimo nuostatomis dėl administracinių tyrimų ir drausminių procedūrų vykdymo. Prireikus Agentūra gali vykdyti preliminarią veiklą, susijusią su galimo sukčiavimo ir pažeidimų atvejais, ir pranešti apie šiuos atvejus Europos kovos su sukčiavimu tarnybai (OLAF);

(3)

Agentūros darbuotojai privalo pranešti apie galimą neteisėtą veiklą, įskaitant sukčiavimą ir korupciją, žalingą Sąjungos interesams. Darbuotojai taip pat privalo pranešti apie elgesį, susijusį su profesinių pareigų vykdymu, kuris gali būti prilyginamas rimtam Sąjungos pareigūno pareigų nevykdymui. Tai reglamentuojama vidaus taisyklėmis arba politika dėl informavimo apie pažeidimą;

(4)

Agentūra parengė politiką, kuria siekiama užkirsti kelią faktiniams arba galimiems psichologinio ar seksualinio priekabiavimo darbo vietoje atvejams ir veiksmingai su jais kovoti, kaip numatyta įgyvendinimo priemonėse pagal Tarnybos nuostatus, kuriais nustatoma neoficiali procedūra, pagal kurią tariama priekabiavimo auka gali kreiptis į Agentūros „konfidencialius“ patarėjus;

(5)

Agentūra taip pat gali vykdyti vidaus (IT) patikimumo patikrinimus ir tyrimus dėl galimų ES įslaptintos informacijos (toliau – ESĮI) saugumo taisyklių pažeidimų;

(6)

Agentūroje atliekami tiek jos veiklos vidaus, tiek išorės auditai, įskaitant Europos Komisijos ir Europos Audito Rūmų vidaus audito tarnybų atliekamus auditus;

(7)

Agentūra gali nagrinėti Europos prokuratūros prašymus, prašymus susipažinti su Agentūros darbuotojų medicinos dokumentais, atlikti duomenų apsaugos pareigūno tyrimus pagal Reglamento 45 straipsnio 2 dalį;

(8)

kai vykdomi tokie administraciniai tyrimai, auditai, kiti tyrimai ar prašymai, Agentūra bendradarbiauja su kitomis Sąjungos institucijomis, organais, tarnybomis ir agentūromis;

(9)

Agentūra gali bendradarbiauti su trečiųjų šalių nacionalinėmis valdžios institucijomis ir tarptautinėmis organizacijomis jų prašymu arba savo iniciatyva;

(10)

Agentūra taip pat gali bendradarbiauti su ES valstybių narių valdžios institucijomis jų prašymu arba savo iniciatyva;

(11)

Agentūra gali būti skundžiama, nagrinėjama arba tiriama per pranešėjus arba Europos ombudsmeną;

(12)

Agentūra gali dalyvauti nagrinėjant bylas Europos Sąjungos Teisingumo Teisme, kai klausimą perduoda nagrinėti Teismui, gina Teismui apskųstą jos priimtą sprendimą, arba įstoja į bylas, susijusias su jos užduotimis. Tokiomis aplinkybėmis Agentūra gali reikalauti išlaikyti asmens duomenų, esančių dokumentuose, kuriuos gavo bylos šalys arba į bylą įstojusios šalys, konfidencialumą;

(13)

vykdydama savo veiklą, Agentūra tvarko kelių kategorijų asmens duomenis, įskaitant fizinių asmenų identifikavimo duomenis, kontaktinę informaciją, profesinius vaidmenis ir užduotis, informaciją apie asmeninį ir profesinį elgesį ir veiklos rezultatus, finansinius duomenis, taip pat kai kuriais konkrečiais atvejais neskelbtinus duomenis (pvz., sveikatos duomenis). Asmens duomenys apima faktinius ir kokybinius vertinimo duomenis.

Faktiniai duomenys – objektyvūs faktiniai duomenys, kaip antai identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, su elektroniniais pranešimais susiję metaduomenys ir srauto duomenys.

Kokybiniai duomenys – subjektyvūs duomenys, visų pirma apimantys situacijų ir aplinkybių, nuomonių, pastabų, susijusių su duomenų subjektais, aprašymą ir vertinimą, duomenų subjektų elgesio ir veiklos rezultatų vertinimą ir argumentus, kuriais grindžiami individualūs sprendimai, susiję su Agentūros vykdomos procedūros ar veiklos dalyku arba pagal jį pateikti, atsižvelgiant į taikytiną teisinę sistemą.

Vertinimai, pastabos ir nuomonės laikomi asmens duomenimis, kaip apibrėžta Reglamento 3 straipsnio 1 dalyje;

(14)

todėl Reglamentu Agentūrai nustatyta pareiga teikti informaciją duomenų subjektams apie pirmiau nurodytą duomenų tvarkymo veiklą ir gerbti duomenų subjektų teises;

(15)

Agentūra yra įsipareigojusi kiek galėdama gerbti duomenų subjektų pagrindines teises, visų pirma teisę į informacijos teikimą, teisę susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, teisę į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, arba teisę į pranešimų konfidencialumą, kaip įtvirtinta Reglamente. Tačiau Agentūra taip pat gali būti įpareigota apriboti duomenų subjekto teises ir prievoles, kad apsaugotų savo veiklą ir kitų asmenų pagrindines teises ir laisves;

(16)

todėl Reglamento 25 straipsnio 1 ir 5 dalyse Agentūrai suteikiama galimybė tokiomis sąlygomis apriboti 14–22, 35 ir 36 straipsnių taikymą, taip pat Reglamento 4 straipsnio taikymą tiek, kiek jo nuostatos atitinka 14–20 straipsniuose numatytas teises ir prievoles, grindžiamas vidaus taisyklėmis, kurios turi būti priimtos aukščiausiu Agentūros valdymo lygmeniu ir turi būti skelbiamos Europos Sąjungos oficialiajame leidinyje, jeigu jos nėra pagrįstos teisės aktais, priimtais remiantis Sutartimis;

(17)

apribojimai gali būti taikomi skirtingoms duomenų subjekto teisėms, įskaitant informacijos teikimą duomenų subjektams, teisę susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, taip pat pranešimą duomenų subjektui apie asmens duomenų saugumo pažeidimą arba pranešimų konfidencialumą, kaip įtvirtinta Reglamente;

(18)

gali būti reikalaujama, kad Agentūra tas teises suderintų su administracinių tyrimų, auditų, kitų tyrimų ir teismo procesų tikslais. Taip pat gali būti reikalaujama, kad Agentūra duomenų subjekto teises suderintų su kitų duomenų subjektų pagrindinėmis teisėmis ir laisvėmis;

(19)

Agentūra gali, pavyzdžiui, riboti informaciją, duomenų subjektui teikiamą apie jo asmens duomenų tvarkymą administracinio tyrimo preliminaraus vertinimo etape arba per patį tyrimą, prieš galimą bylos nutraukimą arba preliminarios drausminės procedūros etape. Tam tikromis aplinkybėmis tokios informacijos pateikimas gali turėti labai didelės įtakos Agentūros gebėjimui veiksmingai atlikti tyrimą, kai, pavyzdžiui, yra rizika, kad atitinkamas asmuo sunaikins įrodymus arba darys įtaką galimiems liudytojams prieš juos apklausiant. Agentūrai taip pat gali reikėti apsaugoti liudytojų teises ir laisves, taip pat kitų susijusių asmenų teises ir laisves;

(20)

Agentūrai gali reikėti apsaugoti liudytojo arba pranešėjo, kuris paprašė nenustatyti jo tapatybės, anonimiškumą. Tokiu atveju Agentūra gali nuspręsti apriboti galimybę susipažinti su tokių asmenų arba įtariamojo tapatybe, pareiškimais ir kitais asmens duomenimis, kad būtų apsaugotos jų teisės ir laisvės;

(21)

Agentūrai gali reikėti apsaugoti darbuotojo, kuris dėl priekabiavimo procedūros kreipėsi į Agentūros konfidencialius patarėjus, konfidencialią informaciją. Tokiu atveju Agentūrai gali reikėti apriboti prieigą prie įtariamos aukos, įtariamo priekabiautojo ir kitų susijusių asmenų tapatybės, pareiškimų ir kitų asmens duomenų, siekdama apsaugoti visų susijusių subjektų teises ir laisves;

(22)

atrankos ir įdarbinimo procedūrų, darbuotojų vertinimo ir viešųjų pirkimų procedūrų atveju teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti ir apriboti gali būti taikoma tik tam tikrais laiko momentais ir atitinkamose procedūrose numatytomis sąlygomis, kad būtų apsaugotos kitų duomenų subjektų teisės ir laikomasi vienodo požiūrio ir svarstymų slaptumo principų;

(23)

Agentūra taip pat gali apriboti asmenų teisę susipažinti su jų medicininiais duomenimis, pavyzdžiui, psichologinio ar psichinio pobūdžio, dėl galimo šių duomenų slaptumo, o Komisijos medicinos tarnyba gali norėti suteikti duomenų subjektams tik netiesioginę prieigą per savo gydytoją. Duomenų subjektas gali pasinaudoti teise reikalauti ištaisyti Komisijos medicinos tarnybos vertinimus ar nuomones, pateikdamas savo pastabas arba pasirinkto gydytojo ataskaitą;

(24)

direktoriaus atstovaujama Agentūra veikia kaip duomenų valdytoja, neatsižvelgiant į tai, kad duomenų valdytojo funkcijos Agentūros viduje toliau perduodamos kompetentingiems „deleguotiesiems duomenų valdytojams“, kad būtų atspindėta atsakomybė už konkrečių asmens duomenų tvarkymo operacijas;

(25)

asmens duomenys saugiai saugomi elektroninėje aplinkoje, atitinkančioje Komisijos sprendimą (ES, Euratomas) 2017/46 (5), arba popieriuje, užkertant kelią neteisėtai prieigai prie duomenų ar jų perdavimui asmenims, kuriems nebūtina jų žinoti. Tvarkomi asmens duomenys yra laikomi ne ilgiau, negu reikia ir tikslinga tiems tikslams, kuriais jie tvarkomi, tai yra ne ilgiau, negu nurodyta duomenų apsaugos pranešimuose ir Agentūros įrašuose;

(26)

Agentūra apribojimus taiko tik tais atvejais, kai jais gerbiama pagrindinių teisių ir laisvių esmė ir kai demokratinėje visuomenėje jie yra griežtai būtina ir proporcinga priemonė. Agentūra nurodo priežastis, kuriomis pagrindžiami šie apribojimai, ir atitinkamai informuoja duomenų subjektus apie šiuos motyvus ir jų teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui (EDAPP), kaip numatyta Reglamento 25 straipsnio 6 dalyje;

(27)

Agentūra, laikydamasi atskaitomybės principo, registruoja apribojimų taikymą;

(28)

tvarkydama asmens duomenis, kuriais vykdydama savo užduotis keičiasi su kitomis organizacijomis, Agentūra ir tos organizacijos konsultuojasi tarpusavyje dėl galimų apribojimų nustatymo pagrindų ir tų apribojimų reikalingumo bei proporcingumo, išskyrus atvejus, kai tai pakenktų Agentūros veiklai;

(29)

taigi šios vidaus taisyklės taikomos visai Agentūros vykdomai duomenų tvarkymo veiklai, susijusiai su asmens duomenimis, kai vykdomi administraciniai tyrimai, drausminės procedūros, preliminari veikla, susijusi su galimų pažeidimų atvejais, apie kuriuos pranešta OLAF, Europos prokuratūros tyrimai, informavimo apie pažeidimus procedūros, (oficialios ir neoficialios) procedūros priekabiavimo atvejais, nagrinėjami vidaus ir išorės skundai, prašymai susipažinti su savo medicinos dokumentais arba juos ištaisyti, vykdomi tyrimai, kuriuos atlieka duomenų apsaugos pareigūnas pagal Reglamento 45 straipsnio 2 dalį, (IT) patikimumo patikrinimai, atliekami viduje arba dalyvaujant išorės subjektams (pavyzdžiui, CERT-EU), auditai, Europos Sąjungos Teisingumo Teismo arba nacionalinių valdžios institucijų procesai, atrankos ir įdarbinimo procedūros, darbuotojų vertinimas ir viešieji pirkimai, kaip nurodyta pirmiau;

(30)

šios vidaus taisyklės taikomos duomenų tvarkymo veiklai, kuri vykdoma prieš pradedant pirmiau minėtas procedūras, per tas procedūras ir atliekant stebėseną, kaip buvo atsižvelgta į tų procedūrų rezultatus. Taisyklės taip pat turėtų būti taikomos, kai Agentūra teikia su savo vykdomais administraciniais tyrimais nesusijusią pagalbą ES institucijoms, nacionalinėms valdžios institucijoms ir tarptautinėms organizacijoms ir bendradarbiauja su jomis;

(31)

remdamasi Reglamento 25 straipsnio 8 dalimi Agentūra gali atidėti informacijos apie apribojimo taikymo priežastis pateikimą duomenų subjektui, jos nepateikti arba atsisakyti ją pateikti, jei dėl jos pateikimo būtų panaikintas apribojimo poveikis. Agentūra kiekvienu konkrečiu atveju įvertina, ar pranešimu apie apribojimą būtų panaikintas jo poveikis;

(32)

Agentūra panaikina apribojimą, kai nebetaikomos sąlygos, kuriomis pagrindžiamas apribojimas, ir šias sąlygas reguliariai vertina;

(33)

siekiant užtikrinti kuo didesnę duomenų subjektų teisių ir laisvių apsaugą ir vadovaujantis Reglamento 44 straipsnio 1 dalimi, prieš taikant ar persvarstant bet kokį apribojimą, laiku konsultuojamasi su Agentūros duomenų apsaugos pareigūnu ir tikrinama, ar laikomasi šio sprendimo;

(34)

Reglamento 16 straipsnio 5 dalyje ir 17 straipsnio 4 dalyje nustatytos duomenų subjektų teisės į informaciją ir teisės susipažinti su duomenimis išimtys. Jeigu taikomos šios išimtys, Agentūrai nereikia taikyti apribojimo pagal šį sprendimą,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Dalykas ir taikymo sritis

1.   Šiuo sprendimu nustatomos taisyklės, susijusios su sąlygomis, kuriomis Mažųjų ir vidutinių įmonių reikalų vykdomoji įstaiga (EASME) ir bet kuris jos teisių perėmėjas (toliau – Agentūra) gali apriboti 4, 14–22, 35 ir 36 straipsnių taikymą pagal Reglamento 25 straipsnį.

2.   Agentūrai, kaip duomenų valdytojai, atstovauja Agentūros direktorius, kuris gali toliau perduoti duomenų valdytojo funkcijas.

2 straipsnis

Taikytini apribojimai

1.   Agentūra gali apriboti Reglamento 14–22, 35 ir 36 straipsnių taikymą, taip pat 4 straipsnio taikymą tiek, kiek jo nuostatos atitinka 14–20 straipsniuose numatytas teises ir prievoles.

2.   Šis sprendimas taikomas Agentūros vykdomam asmens duomenų tvarkymui, atsižvelgiant į jos administracines ir veiklos funkcijas:

a)

pagal Reglamento 25 straipsnio 1 dalies b, c, f, g ir h punktus, kai atliekami vidaus tyrimai, įskaitant grindžiamus išorės skundais, administraciniai tyrimai, preliminarios drausminės, drausminės ir laikino nušalinimo procedūros pagal Tarnybos nuostatų 86 straipsnį ir IX priedą bei įgyvendinimo taisykles, patikimumo patikrinimai arba OLAF tyrimai;

b)

pagal Reglamento 25 straipsnio 1 dalies h punktą, kai užtikrinama, kad Agentūros darbuotojai galėtų konfidencialiai pranešti apie faktus, kai, jų manymu, esama rimtų pažeidimų, kaip nustatyta vidaus taisyklėse arba politikoje, susijusioje su informavimu apie pažeidimą;

c)

pagal Reglamento 25 straipsnio 1 dalies h punktą, kai užtikrinama, kad Agentūros darbuotojai galėtų kreiptis į konfidencialius patarėjus per priekabiavimo nagrinėjimo procedūrą, kaip apibrėžta vidaus taisyklėse;

d)

pagal Reglamento 25 straipsnio 1 dalies c, g ir h punktus, kai atliekami vidaus ar išorės auditai, susiję su Agentūros veikla ar funkcijomis;

e)

pagal Reglamento 25 straipsnio 1 dalies d ir h punktus, kai atliekamos saugumo analizės, įskaitant kibernetinio saugumo ir IT sistemos pažeidimus, sprendžiamus viduje arba dalyvaujant išorės subjektams (pavyzdžiui, CERT-ES), užtikrinamas vidaus saugumas pasitelkiant stebėjimą vaizdo kameromis, prieigos kontrolę, taip pat tyrimo tikslais, užtikrinamas ryšių ir informacinių sistemų saugumas ir įgyvendinamos techninės atsakomosios priemonės saugumo srityje;

f)

pagal Reglamento 25 straipsnio 1 dalies g ir h punktus, kai Agentūros duomenų apsaugos pareigūnas tiria bylas, tiesiogiai susijusias su jo užduotimis;

g)

pagal Reglamento 25 straipsnio 1 dalies b, g ir h punktus, kai atliekami Europos prokuratūros tyrimai;

h)

pagal Reglamento 25 straipsnio 1 dalies h punktą, kai asmenys prašo susipažinti su savo medicininiais duomenimis arba juos ištaisyti, įskaitant atvejus, kai juos turi Komisijos medicinos tarnyba;

i)

pagal Reglamento 25 straipsnio 1 dalies c, d, g ir h punktus, kai teikiama pagalba kitoms Sąjungos institucijoms, organams, tarnyboms ir agentūroms, iš jų gaunama pagalba ir su jomis bendradarbiaujama pagal šios dalies a–h punktus ir kaip nustatyta atitinkamuose susitarimuose dėl paslaugų lygio, susitarimo memorandume ir bendradarbiavimo susitarimuose, susijusiuose su jų atitinkamu steigimo aktu;

j)

pagal Reglamento 25 straipsnio 1 dalies c, g ir h punktus, kai teikiama pagalba trečiųjų šalių nacionalinėms valdžios institucijoms ir tarptautinėms organizacijoms, iš jų gaunama pagalba ir su jomis bendradarbiaujama joms paprašius arba savo iniciatyva;

k)

pagal Reglamento 25 straipsnio 1 dalies c, g ir h punktus, kai ES valstybių narių valdžios institucijoms teikia pagalbą, iš jų gaunama pagalba ir su jomis bendradarbiaujama joms paprašius arba savo iniciatyva;

l)

pagal Reglamento 25 straipsnio 1 dalies e punktą, kai tvarkomi asmens duomenys, susiję su bylos šalių arba į bylą įstojusių šalių dokumentais Europos Sąjungos Teisingumo Teismui nagrinėjant bylas.

Šiame sprendime pirmiau minėta veikla apima parengiamuosius ir tolesnius veiksmus, tiesiogiai susijusius su ta pačia veikla.

3.   Agentūra kiekvienu konkrečiu atveju taip pat gali taikyti apribojimus šiame sprendime nurodytoms duomenų subjektų teisėms tokiomis aplinkybėmis:

a)

kai Komisijos tarnybos ar kitos Sąjungos institucijos, organai, agentūros ir tarnybos turi teisę apriboti naudojimąsi išvardytomis teisėmis ir tokio Komisijos tarnybos, Sąjungos institucijos, organo ar agentūros taikomo apribojimo tikslui kiltų pavojus, jei Agentūra tų pačių asmens duomenų atžvilgiu netaikytų lygiaverčio apribojimo;

b)

kai valstybių narių kompetentingos institucijos turi teisę apriboti naudojimąsi išvardytomis teisėmis ir tokio valstybės narės institucijos taikomo apribojimo tikslui kiltų pavojus, jei Agentūra tų pačių asmens duomenų atžvilgiu netaikytų lygiaverčio apribojimo;

c)

kai šių teisių ir prievolių įgyvendinimas keltų pavojų Agentūros bendradarbiavimui su trečiosiomis šalimis ar tarptautinėmis organizacijomis Agentūrai vykdant savo užduotis, nebent šį poreikį bendradarbiauti viršytų duomenų subjekto interesai ar pagrindinės teisės ir laisvės;

d)

prieš taikydama apribojimus pagal šią dalį, Agentūra prireikus konsultuojasi su atitinkamomis Komisijos tarnybomis, kitomis Sąjungos institucijomis, organais, agentūromis, tarnybomis, tarptautinėmis organizacijomis arba valstybių narių kompetentingomis institucijomis, nebent būtų aišku, kad apribojimas numatytas viename iš pirmiau minėtų aktų, arba tokios konsultacijos keltų pavojų Agentūros veiklai.

4.   Su pirmiau minėta veikla susijusių tvarkomų asmens duomenų kategorijos gali apimti faktinius ir kokybinius vertinimo duomenis.

5.   Taikant bet kokius apribojimus turi būti gerbiama pagrindinių teisių ir laisvių esmė, ir tie apribojimai demokratinėje visuomenėje turi būti griežtai būtina ir proporcinga priemonė.

3 straipsnis

Apribojimų įrašymas ir registravimas

1.   Duomenų valdytojas parengia apribojimo įrašą, kuriame aprašoma:

a)

bet kokio apribojimo, taikomo pagal šį sprendimą, priežastys;

b)

kurie 2 straipsnyje išvardyti pagrindai taikomi;

c)

kaip pasinaudojus šia teise kiltų rizika duomenų subjektui ar Agentūros užduočių tikslui arba būtų pakenkta kitų duomenų subjektų teisėms ir laisvėms;

d)

apribojimo būtinumo ir proporcingumo vertinimo rezultatai, atsižvelgiant į atitinkamus Reglamento 25 straipsnio 2 dalies elementus.

2.   Prieš pradedant taikyti apribojimus, kiekvienu konkrečiu atveju atliekama apribojimo būtinumo ir proporcingumo patikra. Duomenų valdytojas apsvarsto galimą riziką duomenų subjekto teisėms ir laisvėms. Apribojimai taikomi tik tiek, kiek tikrai būtina jų tikslams pasiekti.

3.   Apribojimo įrašas ir, jei taikytina, dokumentai, kuriuose išdėstyti pagrindiniai faktiniai ir teisiniai elementai, užregistruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

4 straipsnis

Rizika duomenų subjektų teisėms ir laisvėms

1.   Rizikos duomenų subjektų, kurių asmens duomenims gali būti taikomi apribojimai, teisėms ir laisvėms vertinimai ir informacija apie tokių apribojimų taikymo trukmę registruojami duomenų tvarkymo veiklos įrašuose, kuriuos duomenų valdytojas tvarko pagal Reglamento 31 straipsnį. Kai taikytina, tai taip pat registruojama bet kuriuose duomenų apsaugos poveikio vertinimuose, susijusiuose su tais apribojimais ir atliekamuose pagal Reglamento 39 straipsnį.

2.   Jeigu duomenų valdytojas svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms, ir riziką, kad gali būti padarytas neigiamas poveikis tyrimams arba procedūroms, pavyzdžiui, kad gali būti sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms visų pirma, be kita ko, yra rizika reputacijai, rizika teisei į gynybą ir rizika teisei būti išklausytam.

5 straipsnis

Apsaugos priemonės ir laikymo laikotarpiai

1.   Agentūra taiko konkrečias apsaugos priemones, kad užkirstų kelią piktnaudžiavimui arba neteisėtai prieigai prie asmens duomenų, kuriems taikomi arba gali būti taikomi apribojimai, arba jų perdavimui. Tokios apsaugos priemonės apima technines bei organizacines priemones ir prireikus išsamiai išdėstomos Agentūros vidaus sprendimuose, procedūrose ir įgyvendinimo taisyklėse. Šios apsaugos priemonės apima:

a)

tinkamą funkcijų, pareigų ir procedūros etapų apibrėžimą;

b)

jei tinkama, saugią elektroninę aplinką, kurioje užkertamas kelias neteisėtai arba atsitiktinei prieigai prie elektroninių duomenų ar jų perdavimui neįgaliotiems asmenims;

c)

jei tinkama, saugų popierinių dokumentų laikymą ir tvarkymą;

d)

užtikrinimą, kad visi asmenys, turintys prieigą prie asmens duomenų, laikytųsi konfidencialumo įsipareigojimų.

2.   Asmens duomenų saugojimo laikotarpis pagal apribojimą apibrėžiamas atitinkamame įraše pagal Reglamento 31 straipsnį, atsižvelgiant į tvarkymo tikslą, ir apima laikotarpį, būtiną administracinei ir teisminei peržiūrai. Saugojimo laikotarpio pabaigoje asmens duomenys ištrinami, nuasmeninami arba perduodami į archyvus pagal Reglamento 13 straipsnį.

6 straipsnis

Apribojimų taikymo trukmė

1.   2 straipsnyje nurodyti apribojimai taikomi tol, kol taikomos priežastys, kuriomis pagrindžiamas šių apribojimų taikymas.

2.   Kai apribojimo priežastys nebetaikomos, duomenų valdytojas panaikina apribojimą, jei įgyvendinant apribotą teisę nebedaromas neigiamas poveikis atitinkamai taikytinai procedūrai ir kitų duomenų subjektų teisėms ar laisvėms.

3.   Jei duomenų subjektas dar kartą paprašo leisti susipažinti su atitinkamais asmens duomenimis, duomenų valdytojas duomenų subjektui pateikia pagrindines apribojimo priežastis. Kartu Agentūra informuoja duomenų subjektą apie galimybę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teisę apskųsti teismine tvarka Europos Sąjungos Teisingumo Teisme.

4.   Agentūra kas šešis mėnesius peržiūri 2 straipsnyje nurodytų apribojimų taikymą.

7 straipsnis

Duomenų apsaugos pareigūno dalyvavimas

1.   Agentūros duomenų valdytojas nepagrįstai nedelsdamas ir prieš bet kokį sprendimą apriboti duomenų subjekto teises pagal šį sprendimą arba pratęsti apribojimo taikymą informuoja Agentūros duomenų apsaugos pareigūną. Duomenų valdytojas suteikia duomenų apsaugos pareigūnui galimybę susipažinti su visais įrašais ir visais dokumentais, kuriais grindžiami faktiniai arba teisiniai elementai.

2.   Duomenų apsaugos pareigūnas gali prašyti duomenų valdytojo peržiūrėti taikomą apribojimą. Duomenų valdytojas raštu informuoja duomenų apsaugos pareigūną apie prašytos peržiūros rezultatus.

3.   Duomenų valdytojas dokumentuoja duomenų apsaugos pareigūno dalyvavimą taikant apribojimą, įskaitant tai, kokia informacija dalijamasi. Dokumentai pagal šį straipsnį yra įrašo, susijusio su apribojimu, dalis ir paprašius pateikiami Europos duomenų apsaugos priežiūros pareigūnui (EDAPP).

8 straipsnis

Duomenų subjektams teikiama informacija apie jų teisių apribojimus

1.   Duomenų valdytojas į duomenų apsaugos pranešimus ir įrašus pagal Reglamento 31 straipsnį, skelbiamus jo interneto svetainėje ir intranete, įtraukia bendrą informaciją apie galimus duomenų subjektų teisių apribojimus pagal šio sprendimo 2 straipsnio 2 dalį. Nurodoma, kokios teisės ir prievolės gali būti apribotos, dėl kokių priežasčių jos gali būti apribotos ir galima apribojimų taikymo trukmė.

2.   Duomenų valdytojas duomenų subjektus apie esamus arba būsimus jų teisių apribojimus informuoja individualiai raštu ir nepagrįstai nedelsdamas. Duomenų valdytojas informuoja duomenų subjektą apie pagrindines tokio apribojimo taikymo priežastis ir apie duomenų subjekto teisę pasitarti su duomenų apsaugos pareigūnu siekiant EDAPP pateikti skundą dėl teisių apribojimo.

3.   Duomenų valdytojas gali atidėti informacijos apie apribojimo priežastis ir apie teisę teikti skundą EDAPP pateikimą, jos nepateikti arba atsisakyti ją pateikti tol, kol dėl pranešimo apie apribojimą būtų panaikintas jo poveikis. Šio pagrindimo vertinimas atliekamas kiekvienu konkrečiu atveju, o duomenų valdytojas pateikia informaciją duomenų subjektui, kai tik tai nebepanaikina apribojimo poveikio.

9 straipsnis

Duomenų subjekto teisė susipažinti su duomenimis

1.   Tinkamai pagrįstais atvejais ir šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę susipažinti su duomenimis pagal Reglamento 17 straipsnį, jei tai būtina ir proporcinga atsižvelgiant į veiklą pagal šį sprendimą.

2.   Kai duomenų subjektai prašo leisti susipažinti su jų asmens duomenimis, tvarkomais vykdant konkrečią tvarkymo veiklą, nurodytą šio sprendimo 2 straipsnio 2 dalyje, Agentūra apriboja savo atsaką, susijusį su asmens duomenimis, tvarkomais tos veiklos tikslais.

3.   Duomenų subjektų teisės tiesiogiai susipažinti su psichologinio ar psichiatrinio pobūdžio dokumentais gali būti apribotos. Šiomis vidaus taisyklėmis neribojama nei netiesioginė prieiga, nei teisė reikalauti ištaisyti duomenis ir pranešti apie asmens duomenų pažeidimą. Todėl tarpininkaujančiam gydytojui atitinkamo asmens prašymu turėtų būti suteikta galimybė susipažinti su visa susijusia informacija, taip pat diskrecija, kaip ir kokią prieigą suteikti duomenų subjektui.

4.   Jeigu duomenų valdytojas visiškai arba iš dalies apriboja teisę susipažinti su asmens duomenimis, kaip nurodyta Reglamento 17 straipsnyje, atsakyme į prašymą leisti susipažinti su duomenimis jis raštu informuoja atitinkamą duomenų subjektą apie taikomą apribojimą ir pagrindines jo priežastis bei galimybę pateikti skundą EDAPP arba kreiptis į Europos Sąjungos Teisingumo Teismą dėl apskundimo teismine tvarka.

5.   Pagal Reglamento 25 straipsnio 8 dalį informacijos dėl prieigos apribojimo pateikimas gali būti atidėtas, ji gali būti neteikiama arba gali būti atsisakyta ją pateikti, jei dėl jos pateikimo apribojimas netektų poveikio.

6.   Apribojimas pagal šį straipsnį taikomas pagal šį sprendimą.

10 straipsnis

Teisė reikalauti ištaisyti, ištrinti duomenis ir apriboti duomenų tvarkymą

1.   Tinkamai pagrįstais atvejais ir šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę reikalauti ištaisyti, ištrinti duomenis ir apriboti jų tvarkymą pagal Reglamento 18 straipsnį, 19 straipsnio 1 dalį ir 20 straipsnio 1 dalį, jei tai būtina ir tinkama atsižvelgiant į veiklą pagal šio sprendimo 2 straipsnio 2 dalį.

2.   Kalbant apie medicininius duomenis, duomenų subjektai gali pasinaudoti teise reikalauti ištaisyti Komisijos medicinos tarnybos vertinimą ar nuomonę, pateikdami savo pastabas arba pasirinkto gydytojo ataskaitą, taip pat ir tiesiogiai Komisijos medicinos tarnybai.

3.   Apribojimas pagal šį straipsnį taikomas pagal šį sprendimą.

11 straipsnis

Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

1.   Kai duomenų valdytojui taikoma prievolė pranešti apie duomenų saugumo pažeidimą pagal Reglamento 35 straipsnio 1 dalį, jis gali išskirtinėmis aplinkybėmis visiškai arba iš dalies apriboti tokį pranešimą. Jis dokumente nurodo tokio apribojimo priežastis, teisinį pagrindą pagal 2 straipsnį ir reikalingumo bei proporcingumo vertinimą. Tas dokumentas pateikiamas EDAPP tuo metu, kai pranešama apie asmens duomenų saugumo pažeidimą.

2.   Nebelikus apribojimo priežasčių, Agentūra apie asmens duomenų saugumo pažeidimą praneša atitinkamam duomenų subjektui ir informuoja jį apie pagrindines apribojimo priežastis ir jo teisę pateikti skundą EDAPP.

12 straipsnis

Elektroninių pranešimų konfidencialumas

1.   Išskirtinėmis aplinkybėmis Agentūra gali apriboti teisę į elektroninių pranešimų konfidencialumą pagal Reglamento 36 straipsnį. Tokie apribojimai atitinka Europos Parlamento ir Tarybos direktyvą 2002/58/EB.

2.   Nepaisant 8 straipsnio 3 dalies, apribojusi teisę į elektroninių pranešimų konfidencialumą Agentūra, atsakydama į duomenų subjekto prašymą, informuoja atitinkamą duomenų subjektą apie pagrindines priežastis, dėl kurių taikomas apribojimas, ir jo teisę pateikti skundą EDAPP.

13 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Briuselyje 2020 m. lapkričio 9 d.

EASME iniciatyvinio komiteto vardu

(e. parašas)

Kristin SCHREIBER

Pirmininkė


(1)  OL L 295, 2018 11 21, p. 39.

(2)  2013 m. gruodžio 17 d.Komisijos įgyvendinimo sprendimas 2013/771/ES, kuriuo įsteigiama Mažųjų ir vidutinių įmonių reikalų vykdomoji įstaiga ir panaikinami sprendimai 2004/20/EB ir 2007/372/EB (OL L 341, 2013 12 18, p. 73), ir EASME finansinė ataskaita su pakeitimais, padarytais 2014 m. spalio 2 d. EASME finansine ataskaita.

(3)  2013 m. gruodžio 23 d.Komisijos sprendimas C(2013) 9414, kuriuo Mažųjų ir vidutinių įmonių reikalų vykdomajai įstaigai suteikiami įgaliojimai vykdyti užduotis, susijusias su Sąjungos programų įgyvendinimu energetikos, aplinkos, klimato politikos, konkurencingumo ir MVĮ, mokslinių tyrimų ir inovacijų bei IRT srityse, visų pirma apimančias į Sąjungos bendrąjį biudžetą įtrauktų asignavimų vykdymą, su paskutiniais pakeitimais, padarytais 2019 m. balandžio 30 d. Komisijos sprendimu C(2019) 3353 ir jo priedu.

(4)  1968 m. vasario 29 d. Tarybos reglamentas (EEB, Euratomas, EAPB) Nr. 259/68, nustatantis Europos Bendrijų pareigūnų tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas bei Komisijos pareigūnams laikinai taikomas specialias priemones (OL L 56, 1968 3 4, p. 1).

(5)  2017 m. sausio 10 d. Komisijos sprendimas (ES, Euratomas) 2017/46 dėl Europos Komisijos ryšių ir informacinių sistemų saugumo (OL L 6, 2017 1 11, p. 40).