This document is an excerpt from the EUR-Lex website
Document 32020Q0331(01)
Decision of the Management Board of the European Centre for Disease Prevention and Control of 9 September 2019 on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of the European Centre for Disease Prevention and Control
Eiropas Slimību profilakses un kontroles centra valdes Lēmums (2019. gada 9. septembris) par iekšējiem noteikumiem attiecībā uz datu subjektu konkrētu tiesību ierobežojumiem saistībā ar personas datu apstrādi Eiropas Slimību profilakses un kontroles centra darbībā
Eiropas Slimību profilakses un kontroles centra valdes Lēmums (2019. gada 9. septembris) par iekšējiem noteikumiem attiecībā uz datu subjektu konkrētu tiesību ierobežojumiem saistībā ar personas datu apstrādi Eiropas Slimību profilakses un kontroles centra darbībā
OV L 98, 31.3.2020, p. 38–44
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
31.3.2020 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 98/38 |
EIROPAS SLIMĪBU PROFILAKSES UN KONTROLES CENTRA VALDES LĒMUMS
(2019. gada 9. septembris)
par iekšējiem noteikumiem attiecībā uz datu subjektu konkrētu tiesību ierobežojumiem saistībā ar personas datu apstrādi Eiropas Slimību profilakses un kontroles centra darbībā
EIROPAS SLIMĪBU PROFILAKSES UN KONTROLES CENTRA VALDE (turpmāk “ECDC”),
ņemot vērā Līgumu par Eiropas Savienības darbību,
ņemot vērā Eiropas Parlamenta un Padomes 2018. gada 23. oktobra Regulu (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (1), un jo īpaši tās 25. pantu,
ņemot vērā Eiropas Parlamenta un Padomes 2004. gada 21. aprīļa Regulu (EK) Nr. 851/2004, ar ko izveido Eiropas Slimību profilakses un kontroles centru (2), un jo īpaši tās 20. panta 4. punktu,
ņemot vērā ECDC valdes reglamentu un jo īpaši tā 10. pantu,
ņemot vērā Eiropas Datu aizsardzības uzraudzītāja (“EDAU”) 2019. gada 22. jūlija atzinumu un EDAU pamatnostādnes par jaunās regulas 25. pantu un iekšējiem noteikumiem,
pēc apspriešanās ar Personāla komiteju, tā kā:
(1) |
ECDC veic darbības saskaņā ar Regulu (EK) Nr. 851/2004. |
(2) |
Saskaņā ar 25. panta 1. punktu Regulā (ES) 2018/1725 ierobežojumi šīs regulas 14.–22., 35. un 36. panta, kā arī 4. panta piemērošanai, ciktāl tā noteikumi atbilst tiesībām un pienākumiem, kas paredzēti 14.–22. pantā, ja minētie ierobežojumi nav balstīti uz tiesību aktiem, kas pieņemti, pamatojoties uz Līgumiem, ir jānosaka, pamatojoties uz ECDC pieņemtiem iekšējiem noteikumiem. |
(3) |
Minētie iekšējie noteikumi, tostarp noteikumi par ierobežojuma nepieciešamības un samērīguma novērtējumu, nav jāpiemēro, ja tiesību aktā, kas pieņemts, pamatojoties uz Līgumiem, ir paredzēts datu subjektu tiesību ierobežojums. |
(4) |
Kad ECDC pilda savus pienākumus saistībā ar datu subjekta tiesībām, kā noteikts Regulā (ES) 2018/1725, tas apsver, vai ir piemērojams kāds no minētajā regulā paredzētajiem izņēmumiem. |
(5) |
Savā administratīvajā darbībā ECDC var veikt administratīvas izmeklēšanas, izskatīt disciplinārlietas, veikt provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF, izskatīt trauksmes celšanas gadījumus, veikt (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai, izskatīt iekšējas un ārējas sūdzības, veikt iekšējas revīzijas, datu aizsardzības speciālistam veicot izmeklēšanu saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu, un veikt iekšējas (IT) drošības izmeklēšanas. |
(6) |
ECDC apstrādā vairākas personas datu kategorijas, tostarp ticamus datus (“objektīvos” datus, piemēram, identifikācijas datus, kontaktinformāciju, profesionālos datus, administratīvos datus, datus, kas saņemti no konkrētiem avotiem, elektronisko sakaru un datu plūsmas datus) un/vai nepārbaudītus datus (“subjektīvos” datus, kas būtiski lietai, piemēram, argumentāciju, uzvedības datus, novērtējumus, snieguma un rīcības datus un datus, kas saistīti vai izvirzīti saistībā ar procedūras vai darbības priekšmetu). |
(7) |
ECDC, ko pārstāv tā direktors, darbojas kā datu pārzinis neatkarīgi no tā, vai ECDC iekšienē pārziņa funkcijas ir tālāk deleģētas atbilstoši operatīvajai atbildībai par konkrētām personas datu apstrādes darbībām. |
(8) |
Personas dati tiek glabāti drošā elektroniskā vidē vai papīra formātā, tādējādi novēršot nelikumīgu piekļuvi datiem vai to nosūtīšanu personām, kurām nav piekļuves tiesību. Apstrādātie personas dati netiek glabāti ilgāk, kā tas ir nepieciešams, un tos glabā atbilstoši mērķiem, kādiem tie tiek apstrādāti, laika posmā, kas norādīts datu aizsardzības paziņojumos, privātuma paziņojumos vai ECDC dokumentos. |
(9) |
Iekšējie noteikumi ir jāpiemēro visās ECDC īstenotajās apstrādes darbībās, veicot administratīvas izmeklēšanas, izskatot disciplinārlietas, veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF, izskatot trauksmes celšanas gadījumus, veicot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai, izskatot iekšējas un ārējas sūdzības, veicot iekšējas revīzijas, datu aizsardzības speciālistam veicot izmeklēšanu saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu, veicot (IT) drošības izmeklēšanas iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU), kā arī saistībā ar darbinieku personīgo lietu apstrādi. |
(10) |
Tie ir jāpiemēro apstrādes darbībām, ko veic pirms iepriekš minēto procedūru uzsākšanas, šo procedūru laikā un šo procedūru rezultātu pārraudzības gaitā. Tas attiecas arī uz palīdzību un sadarbību, ko ECDC ārpus administratīvās izmeklēšanas sniedz valstu iestādēm un starptautiskajām organizācijām. |
(11) |
Gadījumos, kad piemēro minētos iekšējos noteikumus, ECDC ir pamatoti jāpaskaidro, kādēļ ierobežojumi ir obligāti nepieciešami un samērīgi demokrātiskā sabiedrībā, kā arī jāievēro pamattiesību un pamatbrīvību būtība. |
(12) |
Šajā saistībā ECDC, ciktāl iespējams, iepriekš minēto procedūru gaitā ir pienākums ievērot datu subjektu pamattiesības, jo īpaši tās, kas attiecas uz tiesībām sniegt informāciju, piekļūt datiem un labot tos, tiesībām uz dzēšanu, apstrādes ierobežošanu, datu subjekta tiesībām uz informēšanu par personas datu aizsardzības pārkāpumu un saziņas konfidencialitāti, kā noteikts Regulā (ES) 2018/1725. |
(13) |
Tomēr ECDC var būt pienākums ierobežot datu subjektam sniedzamo informāciju un citas datu subjekta tiesības, lai aizsargātu citu valsts iestāžu veiktās izmeklēšanas un procedūras, bet jo īpaši savas izmeklēšanas, kā arī citu ar izmeklēšanu vai citām procedūrām saistīto personu tiesības. |
(14) |
Tādējādi ECDC ir tiesīgs ierobežot informāciju nolūkā aizsargāt izmeklēšanu un citu datu subjektu pamattiesības un pamatbrīvības. |
(15) |
ECDC ir periodiski jāuzrauga, vai nosacījumi, kas pamato ierobežojumu, joprojām ir piemērojami, un jāatceļ ierobežojumi, ciktāl tie vairs nav piemērojami. |
(16) |
Pārzinim ir jāsniedz informācija datu aizsardzības speciālistam atlikšanas brīdī un pārskatīšanas laikā, |
IR PIEŅĒMUSI ŠO LĒMUMU.
1. pants
Priekšmets un darbības joma
1. Ar šo lēmumu paredz noteikumus, kas attiecas uz nosacījumiem, saskaņā ar kuriem ECDC atbilstoši 2. punktā izklāstītajām tā procedūrām var ierobežot regulas 14.–21., 35. un 36. pantā, kā arī 4. pantā noteikto tiesību piemērošanu, ievērojot 25. pantu Regulā (ES) 2018/1725.
2. ECDC administratīvajā darbībā šo lēmumu piemēro ECDC veiktajām personas datu apstrādes darbībām šādiem nolūkiem: veicot administratīvas izmeklēšanas, izskatot disciplinārlietas, veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par ko ziņots OLAF, izskatot trauksmes celšanas gadījumus, veicot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai, izskatot iekšējas un ārējas sūdzības, veicot iekšējas revīzijas, datu aizsardzības speciālistam veicot izmeklēšanas saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu, un (IT) drošības izmeklēšanas, ko veic iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU), kā arī saistībā ar darbinieku personīgo lietu apstrādi (ja tajās var būt ietverti psiholoģijas vai psihiatrijas dati).
3. Attiecīgās datu kategorijas ir ticamie dati (“objektīvie” dati, piemēram, identifikācijas dati, kontaktinformācija, profesionālie dati, administratīvie dati, dati, kas saņemti no konkrētiem avotiem, elektronisko sakaru un datu plūsmas dati) un/vai nepārbaudītie dati (“subjektīvie” dati, kas būtiski lietai, piemēram, argumentācija, uzvedības dati, novērtējumi, snieguma un rīcības dati un dati, kas saistīti vai izvirzīti saistībā ar procedūras vai darbības priekšmetu).
4. Kad ECDC pilda savus pienākumus saistībā ar datu subjekta tiesībām, kā noteikts Regulā (ES) 2018/1725, tas apsver, vai ir piemērojams kāds no minētajā regulā paredzētajiem izņēmumiem.
5. Ievērojot šajā lēmumā izklāstītos nosacījumus, ierobežojumus var piemērot šādām tiesībām: informācijas sniegšana datu subjektiem, piekļuves tiesības, labošana, dzēšana, apstrādes ierobežošana, datu subjekta informēšana par personas datu aizsardzības pārkāpumu un saziņas konfidencialitāte.
2. pants
Pārziņa un aizsardzības pasākumu specifikācija
1. Aizsardzības pasākumi, kas paredzēti, lai novērstu datu aizsardzības pārkāpumus, noplūdes vai neatļautu izpaušanu, ir šādi:
a) |
papīra dokumentus glabā drošos skapjos, un tiem var piekļūt tikai pilnvarots personāls; |
b) |
visus elektroniskos datus glabā drošās IT lietojumprogrammās atbilstoši ECDC drošības standartiem, kā arī īpašās elektroniskās mapēs, un tie ir pieejami tikai pilnvarotam personālam. Attiecīgus piekļuves līmeņus piešķir individuāli; |
c) |
datubāze ir aizsargāta ar paroli, un tā ir pieejama tikai pilnvarotiem lietotājiem. E-ierakstus glabā drošā vidē, lai nodrošinātu tajā esošo datu konfidencialitāti un privātumu; |
d) |
visām personām, kurām ir piekļuve datiem, ir pienākums ievērot konfidencialitāti. |
2. Apstrādes darbību pārzinis ir ECDC, ko pārstāv tā direktors, kurš var deleģēt pārziņa funkciju. Datu subjektus informē par deleģēto pārzini, izmantojot datu aizsardzības paziņojumus vai ierakstus, kas publicēti ECDC tīmekļa vietnē un/vai iekštīklā.
3. Personas datu glabāšanas periods, kas minēts 1. panta 3. punktā, nav ilgāks par nepieciešamo un ir atbilstošs mērķiem, kādiem datus apstrādā. Jebkurā gadījumā tas nedrīkst pārsniegt datu aizsardzības paziņojumos, privātuma paziņojumos vai 5. panta 1. punktā minētajos ierakstos noteikto glabāšanas laiku.
4. Ja ECDC uzskata, ka ir jāpiemēro ierobežojums, tai ir jāapsver datu subjekta tiesību un brīvību apdraudējuma risks, jo īpaši risks attiecībā uz citu datu subjektu tiesībām un brīvībām, kā arī risks, ka ECDC izmeklēšanas vai procedūru sekas tiek atceltas, piemēram, iznīcinot pierādījumus. Riski datu subjekta tiesībām un brīvībām cita starpā galvenokārt attiecas uz reputācijas riskiem un tiesību uz aizstāvību, kā arī tiesību tikt uzklausītam riskiem.
3. pants
Ierobežojumi
1. ECDC jebkādus ierobežojumus piemēro tikai, lai nodrošinātu:
a) |
noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu; |
b) |
Savienības iestāžu un struktūru (tostarp to elektronisko sakaru tīklu) iekšējo drošību; |
c) |
reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem; |
d) |
uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) apakšpunktā minētajos gadījumos; |
e) |
datu subjektu vai citu personu tiesību un brīvību aizsardzību. |
2. Konkrēti piemērojot 1. punktā aprakstītos mērķus, ECDC var piemērot ierobežojumus attiecībā uz personas datiem, ar kuriem apmainās ar Komisijas dienestiem vai citām Savienības iestādēm, struktūrām, aģentūrām un birojiem, dalībvalstu vai trešo valstu kompetentajām iestādēm vai starptautiskām organizācijām, jo īpaši šādos apstākļos:
a) |
ja Komisijas dienesti vai citas Savienības iestādes, struktūras, aģentūras un biroji varētu ierobežot minēto tiesību un pienākumu īstenošanu, pamatojoties uz citiem Regulas (ES) 2018/1725 25. pantā minētajiem tiesību aktiem, vai saskaņā ar minētās regulas IX nodaļu vai citu Savienības iestāžu, struktūru, aģentūru un biroju dibināšanas aktiem; |
b) |
ja dalībvalstu kompetentās iestādes varētu ierobežot minēto tiesību un pienākumu īstenošanu, pamatojoties uz aktiem, kas minēti Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (3) 23. pantā, vai saskaņā ar valsts noteikumiem, ar kuriem transponēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (4) 13. panta 3. punkts, 15. panta 3. punkts vai 16. panta 3. punkts; |
c) |
ja šo tiesību un pienākumu īstenošana varētu apdraudēt ar ECDC uzdevumiem saistīto sadarbību ar trešām valstīm vai starptautiskām organizācijām. |
Pirms ierobežojumu piemērošanas pirmās daļas a) un b) apakšpunktā minētajos gadījumos ECDC apspriežas ar attiecīgajiem Komisijas dienestiem, Savienības iestādēm, struktūrām, aģentūrām, birojiem vai dalībvalstu kompetentajām iestādēm, ja vien ECDC nav skaidrs, ka ierobežojuma piemērošana ir paredzēta kādā no šajos apakšpunktos minētajiem aktiem.
3. Jebkurš ierobežojums ir nepieciešams un samērīgs, ņemot vērā riskus, kas apdraud datu subjektu tiesības un brīvības, un ievērojot pamattiesību un pamatbrīvību būtību demokrātiskā sabiedrībā.
4. Ja tiek apsvērta ierobežojuma piemērošana, jāveic nepieciešamības un samērīguma tests, pamatojoties uz spēkā esošajiem noteikumiem. To katrā atsevišķā gadījumā dokumentē, izmantojot iekšēju novērtējuma ziņojumu pārskatatbildības nolūkos.
5. Ierobežojumus atceļ, tiklīdz vairs nepastāv apstākļi, kas tos pamato, jo īpaši ja tiek uzskatīts, ka ierobežoto tiesību īstenošana vairs neatcels piemērotā ierobežojuma sekas vai tam nebūs negatīvas ietekmes uz citu datu subjektu tiesībām vai brīvībām.
4. pants
Pārskatīšana, ko veic datu aizsardzības speciālists
1. ECDC bez nepamatotas kavēšanās informē ECDC datu aizsardzības speciālistu (“DAS”) ikreiz, kad pārzinis ierobežo datu subjektu tiesību piemērošanu vai pagarina ierobežojuma darbību saskaņā ar šo lēmumu. Pārzinis nodrošina DAS piekļuvi ierakstam, kas satur ierobežojuma nepieciešamības un samērīguma novērtējumu, un dokumentē datumu, kad DAS ticis informēts par ierakstu.
2. DAS var rakstveidā pieprasīt pārzinim pārskatīt ierobežojumu piemērošanu. Pārzinis rakstveidā informē DAS par pieprasītās pārskatīšanas iznākumu.
3. Pārzinis informē DAS, kad ierobežojums ir atcelts.
5. pants
Informācijas sniegšana datu subjektiem
1. Attiecīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz informāciju šādu apstrādes darbību kontekstā:
a) |
veicot administratīvu izmeklēšanu un izskatot disciplinārlietas; |
b) |
veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF; |
c) |
izskatot trauksmes celšanas procedūras; |
d) |
izskatot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai; |
e) |
izskatot iekšējas un ārējas sūdzības; |
f) |
veicot iekšējas revīzijas; |
g) |
datu aizsardzības speciālistam veicot izmeklēšanu saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu; |
h) |
veicot (IT) drošības izmeklēšanu iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU). |
ECDC datu aizsardzības paziņojumos, privātuma paziņojumos un ierakstos Regulas (ES) 2018/1725 31. panta nozīmē, kas publicēti tā tīmekļa vietnē un/vai iekštīklā, informējot datu subjektus par viņu tiesībām saistībā ar konkrētu procedūru, iekļauj informāciju par šo tiesību iespējamo ierobežošanu. Informācijā norāda tiesības, kas var tikt ierobežotas, iemeslus un iespējamo ierobežojuma ilgumu.
2. Neskarot 3. punkta noteikumus, ECDC, ja tas ir samērīgi, bez nepamatotas kavēšanās un rakstveidā arī informē individuāli visus datu subjektus, kurus uzskata par personām, ko skar konkrētās apstrādes darbības, par esošiem vai paredzamiem to tiesību ierobežojumiem.
3. Ja ECDC pilnīgi vai daļēji ierobežo informācijas sniegšanu 2. punktā minētajiem datu subjektiem, tas sagatavo ierakstu par ierobežojuma pamatojumu, juridisko pamatojumu saskaņā ar šā lēmuma 3. pantu, tostarp novērtējumu par ierobežojuma nepieciešamību un samērīgumu.
Ierakstu un attiecīgā gadījumā dokumentus, kuros ir fiksēti attiecīgie faktu un juridiskie elementi, reģistrē. Tos pēc pieprasījuma dara pieejamus Eiropas Datu aizsardzības uzraudzītājam.
4. Šā panta 3. punktā minēto ierobežojumu turpina piemērot tik ilgi, kamēr pastāv to pamatojošie iemesli.
Ja ierobežojumu pamatojošie iemesli vairs nepastāv, ECDC sniedz datu subjektam informāciju par galvenajiem iemesliem, ar kuriem pamatota ierobežojuma piemērošana. Vienlaikus ECDC informē datu subjektu par tiesībām jebkurā laikā iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam vai lūgt Eiropas Savienības Tiesu piemērot tiesiskās aizsardzības līdzekli.
ECDC pēc attiecīgā ierobežojuma pieņemšanas ik pēc sešiem mēnešiem pārskata tā piemērošanu un to dara arī attiecīgās lietas izpētes, procedūras vai izmeklēšanas noslēgumā. Pēc tam pārzinis reizi sešos mēnešos pārliecinās, vai ir nepieciešams attiecīgo ierobežojumu uzturēt spēkā.
6. pants
Datu subjekta piekļuves tiesības
1. Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz piekļuvi šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:
a) |
veicot administratīvu izmeklēšanu un izskatot disciplinārlietas; |
b) |
veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF; |
c) |
izskatot trauksmes celšanas procedūras; |
d) |
izskatot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai; |
e) |
izskatot iekšējas un ārējas sūdzības; |
f) |
veicot iekšējas revīzijas; |
g) |
datu aizsardzības speciālistam veicot izmeklēšanu saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu; |
h) |
veicot (IT) drošības izmeklēšanu iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU); |
i) |
saistībā ar tiešu piekļuvi dokumentiem, kas attiecas uz medicīniskiem psiholoģijas vai psihiatrijas datiem un ir iekļauti ECDC darbinieku personīgajās lietās. |
Ja datu subjekti saskaņā ar Regulas (ES) 2018/1725 17. pantu pieprasa piekļuvi saviem personas datiem, kas apstrādāti saistībā ar vienu vai vairākiem konkrētiem gadījumiem vai noteiktu apstrādes darbību, ECDC savu novērtējumu par šo pieprasījumu attiecina tikai uz šādiem personas datiem.
2. Ja ECDC pilnīgi vai daļēji ierobežo Regulas (ES) 2018/1725 17. pantā minētās piekļuves tiesības, tas veic šādus pasākumus:
a) |
savā atbildē uz pieprasījumu tas informē attiecīgo datu subjektu par piemēroto ierobežojumu un tā galvenajiem iemesliem, kā arī par iespēju iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam vai lūgt Eiropas Savienības Tiesu piemērot tiesiskās aizsardzības līdzekli; |
b) |
tas iekšējā novērtējumā dokumentē ierobežojuma iemeslus, tostarp novērtē ierobežojuma nepieciešamību, samērīgumu un tā piemērošanas ilgumu. |
Šā punkta a) apakšpunktā minēto informācijas sniegšanu var atlikt, izlaist vai atteikt, ja tādā veidā tiktu atceltas ierobežojuma sekas saskaņā ar Regulas (ES) 2018/1725 25. panta 8. punktu.
ECDC pēc attiecīgā ierobežojuma pieņemšanas ik pēc sešiem mēnešiem pārskata tā piemērošanu un to dara arī attiecīgās izmeklēšanas noslēgumā. Pēc tam pārzinis reizi sešos mēnešos pārliecinās, vai ir nepieciešams attiecīgo ierobežojumu uzturēt spēkā.
3. Ierakstu un attiecīgā gadījumā dokumentus, kuros ir fiksēti attiecīgie faktu un juridiskie elementi, reģistrē. Tos pēc pieprasījuma dara pieejamus Eiropas Datu aizsardzības uzraudzītājam.
7. pants
Tiesības uz labošanu, dzēšanu un apstrādes ierobežošanu
1. Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz labošanu, dzēšanu un ierobežošanu šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:
a) |
veicot administratīvu izmeklēšanu un izskatot disciplinārlietas; |
b) |
veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF; |
c) |
izskatot trauksmes celšanas procedūras; |
d) |
izskatot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai; |
e) |
izskatot iekšējas un ārējas sūdzības; |
f) |
veicot iekšējas revīzijas; |
g) |
datu aizsardzības speciālistam veicot izmeklēšanu saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu; |
h) |
veicot (IT) drošības izmeklēšanu iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU). |
2. Ja ECDC pilnīgi vai daļēji ierobežo Regulas (ES) 2018/1725 18. pantā, 19. panta 1. punktā un 20. panta 1. punktā minēto tiesību uz labošanu, dzēšanu un apstrādes ierobežošanu piemērošanu, tas veic šā lēmuma 6. panta 2. punktā minētos pasākumus un reģistrē ierakstu saskaņā ar tā 6. panta 3. punktu.
8. pants
Datu subjekta informēšana par personas datu aizsardzības pārkāpumu un elektroniskās saziņas konfidencialitāte
1. Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības tikt informētam par personas datu aizsardzības pārkāpumu šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:
a) |
veicot administratīvu izmeklēšanu un izskatot disciplinārlietas; |
b) |
veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF; |
c) |
izskatot trauksmes celšanas procedūras; |
d) |
izskatot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai; |
e) |
izskatot iekšējas un ārējas sūdzības; |
f) |
veicot iekšējas revīzijas; |
g) |
datu aizsardzības speciālistam veicot izmeklēšanu saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu; |
h) |
veicot (IT) drošības izmeklēšanu iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU). |
2. Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz elektroniskās saziņas konfidencialitāti šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:
a) |
veicot administratīvu izmeklēšanu un izskatot disciplinārlietas; |
b) |
veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par kuriem ziņots OLAF; |
c) |
izskatot trauksmes celšanas procedūras; |
d) |
izskatot oficiālas procedūras aizskaršanas novēršanai; |
e) |
izskatot iekšējas un ārējas sūdzības; |
f) |
veicot (IT) drošības izmeklēšanu iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU). |
3. Ja ECDC ierobežo Regulas (ES) 2018/1725 35. un 36. pantā minēto datu subjekta informēšanu par personas datu aizsardzības pārkāpumu vai elektroniskās saziņas konfidencialitāti, tas sagatavo ierakstu par ierobežojuma iemesliem un tos reģistrē saskaņā ar šā lēmuma 5. panta 3. punktu. Piemēro šā lēmuma 5. panta 4. punktu.
9. pants
Stāšanās spēkā
Šis lēmums stājas spēkā nākamajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Stokholmā, 2019. gada 9. septembrī
Eiropas Slimību profilakses un kontroles centra vārdā –
valdes priekšsēdētāja
Anni VIROLAINEN-JULKUNEN
(1) OV L 295, 21.11.2018., 39. lpp.
(2) OV L 142, 30.4.2004., 1. lpp.
(3) Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).
(4) Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Direktīva (ES) 2016/680 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV L 119, 4.5.2016., 89. lpp.)