Valdes lēmums par iekšējiem noteikumiem attiecībā uz datu subjektu noteiktu tiesību ierobežojumiem saistībā ar personas datu apstrādi Eiropas Vides aģentūras veiktajās darbībās

EIROPAS VIDES AĢENTŪRAS VALDE

ŅEMOT VĒRĀ Līgumu par Eiropas Savienības darbību,

ŅEMOT VĒRĀ Eiropas Parlamenta un Padomes 2018. gada 23. oktobra Regulu (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (1), un jo īpaši tās 25. pantu,

ŅEMOT VĒRĀ Padomes 2009. gada 23. aprīļa Regulu (EK) Nr. 401/2009 par Eiropas Vides aģentūru un Eiropas Vides informācijas un novērojumu tīklu (kodificēta versija) (2), un jo īpaši tās 8. pantu,

ŅEMOT VĒRĀ Eiropas Datu aizsardzības uzraudzītāja (EDAU) 2020. gada 13. marta atzinumu un EDAU pamatnostādnes par regulas (ES) 2018/1725 25. pantu un iekšējiem noteikumiem,

pēc apspriešanās ar Personāla komiteju,

TĀ KĀ:

(1)

Eiropas Vides aģentūra (turpmāk “Aģentūra”) ir pilnvarota veikt administratīvas izmeklēšanas, īstenot pirmsdisciplināras, disciplināras un atstādināšanas procedūras saskaņā ar Eiropas Savienības Civildienesta noteikumiem un Eiropas Savienības pārējo darbinieku nodarbināšanas kārtību, kas noteikta Padomes Regulā (EEK, Euratom, EOTK) Nr. 259/68 (“Civildienesta noteikumi”) (3), un saskaņā ar EVA valdes 2013. gada 15. februāra lēmumu par administratīvo izmeklēšanu un disciplināro procedūru izpildi. Nepieciešamības gadījumā tā arī informē Eiropas Biroju krāpšanas apkarošanai (OLAF).

(2)

Aģentūras darbiniekiem ir pienākums ziņot par iespējami nelikumīgām darbībām, tostarp krāpšanu un korupciju, kas kaitē ES interesēm. Darbiniekiem ir arī pienākums ziņot par rīcību saistībā ar profesionālo pienākumu izpildi, ja tā var būt nopietna Savienības ierēdņu pienākumu neievērošana. To reglamentē EVA valdes 2018. gada 24. aprīļa lēmums par pamatnostādnēm attiecībā uz trauksmes celšanu (Lēmums EEA/MB/2018/011).

(3)

Aģentūra ir ieviesusi politiku, lai novērstu un efektīvi risinātu faktiskus vai iespējamus personas aizskaršanas vai seksuālas uzmākšanās gadījumus darbavietā, kā paredzēts Valdes 2017. gada 13. jūnija lēmumā par EVA politiku personas cieņas aizsardzībai un personas aizskaršanas un seksuālas uzmākšanās gadījumu novēršanai (Lēmums EEA/MB/2017/011). Lēmumā paredzēta neformāla procedūra, ar ko iespējamais aizskaršanas vai uzmākšanās gadījumā cietušais var sazināties ar Aģentūras konfidenciālajiem konsultantiem.

(4)	Aģentūras darbībām tiek veiktas gan iekšējas, gan ārējas revīzijas.

(5)	Saistībā ar šādām administratīvām izmeklēšanām, revīzijām un pārbaudēm EVA sadarbojas ar citām ES iestādēm, struktūrām, birojiem un aģentūrām.

(6)	Aģentūra var sadarboties ar trešo valstu iestādēm un starptautiskām organizācijām pēc to pieprasījuma vai pēc savas iniciatīvas.

(7)	Aģentūra var sadarboties arī ar ES dalībvalstu publiskajām iestādēm pēc to pieprasījuma vai pēc savas iniciatīvas.

(8)

Aģentūra ir iesaistīta lietās, ko izskata Eiropas Savienības Tiesa, kad nodot lietas izskatīšanai Tiesai, kad aizstāv pašas pieņemto lēmumu, kurš ir apstrīdēts Tiesā, un kad iesaistās lietās, kas attiecas uz tās uzdevumiem. Šajā kontekstā Aģentūrai var būt nepieciešams saglabāt to personas datu konfidencialitāti, kas ietverti dokumentos, kurus ieguvušas lietā iestājušās puses vai personas.

(9)

Lai pildītu savus uzdevumus, Aģentūra vāc un apstrādā informāciju un vairāku kategoriju personas datus, tostarp fizisko personu identifikācijas datus, kontaktinformāciju, profesionālos amatus un uzdevumus, informāciju par privāto un profesionālo rīcību un sniegumu, kā arī finanšu datus. Aģentūra darbojas kā datu pārzinis.

(10)	Saskaņā ar Regulu (ES) 2018/1725 (“regula”) Aģentūrai ir pienākums sniegt datu subjektiem informāciju par apstrādes darbībām un ievērot viņu kā datu subjektu tiesības.

(11)

Aģentūrai varētu nākties saskaņot šīs tiesības ar administratīvo pārbaužu, revīziju, izmeklēšanu un tiesvedības mērķiem. Varētu būt nepieciešams arī izsvērt datu subjekta tiesības un citu datu subjektu pamattiesības un brīvības. Šajā nolūkā regulas 25. pantā ar stingriem nosacījumiem ir paredzēta iespēja EVA ierobežot regulas 14.–22. panta, 35. un 36. panta piemērošanu, kā arī 4. panta piemērošanu, ciktāl tās noteikumi atbilst 14.–20. pantā noteiktajām tiesībām un pienākumiem. Ja vien tiesību aktā, kas pieņemts, pamatojoties uz Līgumiem, nav paredzēti ierobežojumi, ir jāpieņem iekšējie noteikumi, saskaņā ar kuriem Aģentūra ir tiesīga ierobežot minētās tiesības.

(12)

Piemēram, Aģentūrai varētu būt nepieciešams ierobežot informāciju, ko tā sniedz datu subjektam par viņa personas datu apstrādi administratīvās izmeklēšanas sākotnējās izvērtēšanas posmā vai izmeklēšanas laikā, pirms lietas iespējamas noraidīšanas vai pirmsdisciplināro procedūru posmā. Noteiktos gadījumos šādas informācijas sniegšana var būtiski ietekmēt Aģentūras spēju veikt efektīvu izmeklēšanu, ja, piemēram, pastāv risks, ka iesaistītā persona var iznīcināt pierādījumus vai sazināties ar iespējamiem lieciniekiem, pirms viņi ir nopratināti. Aģentūrai var būt arī nepieciešams aizsargāt liecinieku, kā arī citu iesaistīto personu tiesības un brīvības.

(13)	Tam var būt nepieciešams aizsargāt tāda liecinieka vai trauksmes cēlēja anonimitāti, kurš lūdzis nenorādīt viņa identitāti. Šādā gadījumā Aģentūra var nolemt ierobežot piekļuvi tādu personu identitātes datiem, paziņojumiem un citiem personas datiem, lai aizsargātu viņu tiesības un brīvības.

(14)

Var būt nepieciešams aizsargāt konfidenciālu informāciju par darbinieku, kurš ir sazinājies ar Aģentūras konfidenciālajiem konsultantiem aizskaršanas vai uzmākšanās procedūras kontekstā. Šādā gadījumā Aģentūrai var būt nepieciešams ierobežot piekļuvi iespējamā cietušā, iespējamā vainīgā un citu iesaistīto personu identitātes datiem, paziņojumiem un citiem personas datiem, lai aizsargātu visu iesaistīto personu tiesības un brīvības.

(15)	Aģentūra ierobežojumus piemēro tikai tad, ja ar tiem tiek ievērota pamattiesību un brīvību būtība un ja tie ir obligāti nepieciešami un samērīgi demokrātiskā sabiedrībā. Aģentūrai jānorāda iemesli, izskaidrojot ierobežojumu pamatojumu.

(16)	Piemērojot pārskatatbildības principu, Aģentūra reģistrē ierobežojumu piemērošanas gadījumus.

(17)

Apstrādājot personas datus, ar kuriem apmainās ar citām organizācijām saistībā ar tās uzdevumiem, Aģentūra un šīs organizācijas savstarpēji apspriežas par iespējamo pamatojumu ierobežojumu noteikšanai un par ierobežojumu nepieciešamību un samērīgumu, izņemot gadījumus, kad tas apdraudētu Aģentūras darbības.

(18)	Regulas 25. panta 6. punkts paredz pienākumu pārzinim informēt datu subjektus par galvenajiem iemesliem, kas ir ierobežojuma piemērošanas pamatā, un par viņu tiesībām iesniegt sūdzību EDAU.

(19)

Saskaņā ar regulas 25. panta 8. punktu Aģentūra var atlikt, izlaist vai atteikt informācijas sniegšanu par ierobežojuma piemērošanas iemesliem datu subjektam, ja tādējādi ierobežojums vairs nebūtu iedarbīgs. Aģentūra katrā atsevišķā gadījumā izvērtē, vai ierobežojuma paziņošanas gadījumā tas vairs nebūtu iedarbīgs.

(20)	Aģentūra atceļ ierobežojumu, tiklīdz vairs nepastāv ierobežojumu pamatojošie apstākļi, un šos apstākļus regulāri novērtē.

(21)	Lai nodrošinātu datu subjektu tiesību un brīvību maksimālu aizsardzību un saskaņā ar regulas 44. panta 1. punktu, ar datu aizsardzības speciālistu pienācīgi un laikus ir jāapspriežas par jebkādiem ierobežojumiem, kas var tikt piemēroti, un viņam ir jāpārbauda to atbilstība šim lēmumam.

(22)	Regulas 16. panta 5. punkts un 17. panta 4. punkts paredz izņēmumus datu subjektu tiesībām uz informāciju un piekļuves tiesībām. Ja šie izņēmumi ir piemērojami, Aģentūrai nav jāpiemēro ierobežojumi saskaņā ar šo lēmumu.

IR PIEŅĒMUSI ŠO LĒMUMU.

1. pants

Priekšmets un darbības joma

1. Šajā lēmumā paredzēti noteikumi par nosacījumiem, saskaņā ar kuriem Aģentūra var ierobežot regulas 4. panta, 14.–22. panta, kā arī 35. un 36. panta piemērošanu saskaņā ar regulas 25. pantu.

2. Aģentūru kā datu pārzini pārstāv tās izpilddirektors, kas var deleģēt pārziņa funkcijas Aģentūrā, lai atspoguļotu operatīvo atbildību par konkrētām personas datu apstrādes darbībām.

2. pants

Ierobežojumi

1. Aģentūra var ierobežot regulas 14.–22. panta, 35. un 36. panta piemērošanu, kā arī 4. panta piemērošanu, ciktāl tā noteikumi atbilst 14.–20. pantā paredzētajām tiesībām un pienākumiem:

saskaņā ar regulas 25. panta 1. punkta b), c), f), g) un h) apakšpunktu, īstenojot administratīvas izmeklēšanas, pirmsdisciplināras, disciplināras vai atstādināšanas procedūras saskaņā ar Civildienesta noteikumu 86. pantu un IX pielikumu un EVA valdes 2013. gada 15. februāra lēmumu par administratīvās izmeklēšanas un disciplinārās procedūras veikšanu un paziņojot par gadījumiem OLAF;

saskaņā ar regulas 25. panta 1. punkta h) apakšpunktu, nodrošinot, ka Aģentūras darbinieki var, ievērojot konfidencialitāti, ziņot par faktiem, ja viņi uzskata, ka pastāv nopietni pārkāpumi, kā noteikts EVA valdes 2018. gada 24. aprīļa lēmumā par pamatnostādnēm attiecībā uz trauksmes celšanu (Lēmums EEA/MB/2018/011);

saskaņā ar regulas 25. panta 1. punkta h) apakšpunktu, nodrošinot, ka Aģentūras darbinieki var ziņot konfidenciāliem konsultantiem aizskaršanas vai uzmākšanās (formālas vai neoficiālas) procedūras kontekstā, kā paredzēts Valdes 2017. gada 13. jūnija lēmumā par EVA politiku personas cieņas aizsardzībai un personas aizskaršanas un seksuālas uzmākšanās gadījumu novēršanai (Lēmums EEA/MB/2017/011);

saskaņā ar regulas 25. panta 1. punkta c), g) un h) apakšpunktu, veicot iekšējās revīzijas saistībā ar Aģentūras darbībām vai departamentiem, tostarp izmeklēšanu, ko veic datu aizsardzības speciālists saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu, un (IT) drošības izmeklēšanu, ko veic iekšēji vai iesaistot ārējus resursus (piemēram, CERT-EU);

saskaņā ar regulas 25. panta 1. punkta c), d), g) un h) apakšpunktu, sniedzot palīdzību citām ES iestādēm, struktūrām, birojiem un aģentūrām, saņemot palīdzību no tām, vai sadarbojoties ar tām šā punkta a) līdz d) apakšpunktā norādīto darbību kontekstā un saskaņā ar attiecīgajiem pakalpojumu līmeņa nolīgumiem, saprašanās memorandiem un sadarbības nolīgumiem;

f)	saskaņā ar regulas 25. panta 1. punkta c), g) un h) apakšpunktu, sniedzot palīdzību trešo valstu publiskajām iestādēm un starptautiskām organizācijām, saņemot palīdzību no tām vai sadarbojoties ar šādām iestādēm un organizācijām pēc to pieprasījuma vai pēc savas iniciatīvas;

g)	saskaņā ar regulas 25. panta 1. punkta c), g) un h) apakšpunktu, sniedzot palīdzību ES dalībvalstu publiskajām iestādēm, saņemot palīdzību no tām un sadarbojoties ar tām pēc to pieprasījuma vai pēc savas iniciatīvas;

h)	saskaņā ar regulas 25. panta 1. punkta e) apakšpunktu, apstrādājot personas datus dokumentos, ko puses vai personas, kas iestājušās lietā, ieguvušas saistībā ar tiesvedību Eiropas Savienības Tiesā.

i)	Jebkurā ierobežojumā ir ievērota pamattiesību un brīvību būtība, un tas ir nepieciešams un samērīgs demokrātiskā sabiedrībā.

2. Nepieciešamības un samērīguma pārbaudi veic katrā gadījumā atsevišķi un pirms ierobežojumu piemērošanas. Ierobežojumi drīkst būt tikai tādi, kas ir absolūti nepieciešami to mērķa sasniegšanai.

3. Pārskatatbildības nolūkos Aģentūra izveido protokolus, aprakstot piemēroto ierobežojumu iemeslus, pamatojumus, kas pilnībā uzskaitīti 1. punktā, un nepieciešamības un samērīguma pārbaudes rezultātus. Šie protokoli ir daļa no reģistra, ko dara pieejamu pēc EDAU pieprasījuma. Aģentūra sagatavo periodiskus ziņojumus par regulas 25. panta piemērošanu.

4. Apstrādājot personas datus, kuri saņemti no citām organizācijām saistībā ar tās uzdevumiem, Aģentūra apspriežas ar šīm organizācijām par iespējamo pamatojumu ierobežojumu noteikšanai un par ierobežojumu nepieciešamību un samērīgumu, izņemot gadījumus, kad tas apdraudētu Aģentūras darbības.

5. Attiecīgās datu kategorijas ir ticamie dati (“objektīvie” dati, piemēram, identifikācijas dati, kontaktinformācija, profesionālie dati, administratīvie dati, dati, kas saņemti no konkrētiem avotiem, elektronisko sakaru un datu plūsmas dati) un/vai nepārbaudītie dati (“subjektīvie” dati, kas būtiski lietai, piemēram, argumentācija, uzvedības dati, novērtējumi, snieguma un rīcības dati un dati, kas saistīti vai izvirzīti saistībā ar procedūras vai darbības priekšmetu).

3. pants

Riski datu subjektu tiesībām un brīvībām

1. Novērtējumus par riskiem attiecībā uz datu subjektu tiesībām un brīvībām, kas saistīti ar ierobežojumu piemērošanu, un sīku informāciju par šo ierobežojumu piemērošanas periodu reģistrē apstrādes darbību reģistrā, ko Aģentūra uztur saskaņā ar regulas 31. pantu. Tos reģistrē arī visos datu aizsardzības ietekmes novērtējumos attiecībā uz šiem ierobežojumiem, ko veic saskaņā ar regulas 39. pantu.

2. Kad Aģentūra veic ierobežojuma nepieciešamības un samērīguma novērtējumu, tā apsver iespējamos riskus datu subjekta tiesībām un brīvībām.

4. pants

Aizsardzības pasākumi un glabāšanas periodi

1. Aģentūra ievieš aizsardzības pasākumus, lai novērstu tādu personas datu ļaunprātīgu izmantošanu un nelikumīgu piekļuvi tiem vai to pārsūtīšanu, attiecībā uz kuriem tiek piemēroti vai varētu tikt piemēroti ierobežojumi. Šie aizsardzības pasākumi ietver tehniskus un organizatoriskus pasākumus, un vajadzības gadījumā tie ir sīkāk izklāstīti Aģentūras iekšējos lēmumos, procedūrās un īstenošanas noteikumos. Aizsardzības pasākumi ietver šādus:

a)	skaidri noteiktas lomas, pienākumi un procedūras posmi;

droša elektroniskā vide, kurā novērsts, ka nepilnvarotas personas nelikumīgi vai nejauši piekļūst elektroniskiem datiem vai tie viņām tiek pārsūtīti; visus elektroniskos datus glabā drošā IT lietojumprogrammā atbilstīgi Aģentūras drošības standartiem, kā arī īpašās elektroniskās mapēs, kas pieejamas tikai pilnvarotam personālam. attiecīgu piekļuves līmeni piešķir individuāli;

c)	droša papīra dokumentu glabāšana un apstrāde; tos glabā drošos skapjos, un tiem var piekļūt tikai pilnvarots personāls;

d)	ierobežojumu pienācīga uzraudzība un to piemērošanas periodiska pārskatīšana.

2. Vismaz reizi sešos mēnešos veic d) apakšpunktā minēto pārskatīšanu.

3. Ierobežojumus atceļ, tiklīdz vairs nepastāv apstākļi, kas tos attaisno.

4. Personas datus glabā saskaņā ar piemērojamiem Aģentūras saglabāšanas noteikumiem, kas definējami datu aizsardzības reģistrā, kuru uztur saskaņā ar regulas 31. pantu. Glabāšanas perioda beigās personas datus dzēš, anonimizē vai pārsūta uz arhīviem saskaņā ar regulas 13. pantu.

5. pants

Datu aizsardzības speciālista iesaiste

1. Aģentūra nekavējoties informē DAS par jebkuru datu subjekta tiesību ierobežojumu saskaņā ar šo lēmumu. Viņam vai viņai piešķir piekļuvi saistītajiem ierakstiem un visiem dokumentiem, kas attiecas uz faktiskajiem vai juridiskajiem apstākļiem.

2. Aģentūras DAS var pieprasīt pārskatīt ierobežojuma piemērošanu. Aģentūra rakstiski informē DAS par pārskatīšanas rezultātiem.

3. Aģentūra dokumentē DAS iesaisti ierobežojumu piemērošanā, tostarp to, kāda informācija tiek kopīgota ar DAS.

6. pants

Informācija datu subjektiem par viņu tiesību ierobežojumiem

1. Aģentūra savā tīmekļa vietnē/iekštīklā publicētajos datu aizsardzības paziņojumos iekļauj sadaļu, kurā sniedz vispārīgu informāciju datu subjektiem par iespējamiem datu subjektu tiesību ierobežojumiem saskaņā ar 2. panta 1. punktu. Informācijā norāda tiesības, kas var tikt ierobežotas, iemeslus, saskaņā ar kuriem ierobežojumi var tikt piemēroti, un to iespējamo ilgumu.

2. Aģentūra individuāli, rakstiski un bez nepamatotas kavēšanās informē datu subjektus par pašreizējiem vai nākotnes viņu tiesību ierobežojumiem. Aģentūra informē datu subjektu par galvenajiem iemesliem, kas ir ierobežojuma piemērošanas pamatā, par viņa tiesībām apspriesties ar DAS nolūkā apstrīdēt ierobežojumu, un par viņa tiesībām iesniegt sūdzību EDAU.

3. Aģentūra var atlikt, izlaist vai atteikt informācijas sniegšanu par ierobežojuma piemērošanas iemesliem un tiesībām iesniegt sūdzību EDAU, ja tā rezultātā ierobežojums vairs nebūtu iedarbīgs. Novērtējumu, vai tas ir attaisnojams, veic katrā gadījumā atsevišķi. Tiklīdz šāda rīcība vairs neietekmē ierobežojuma iedarbību, Aģentūra sniedz informāciju datu subjektam.

7. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1. Ja Aģentūrai ir pienākums paziņot par datu pārkāpumiem saskaņā ar Regulas 35. panta 1. punktu, izņēmuma gadījumos tā var pilnībā vai daļēji ierobežot šādu paziņošanu. Tā dokumentē piezīmē ierobežojuma iemeslus, juridisko pamatojumu saskaņā ar 2. pantu un tā nepieciešamības un samērīguma novērtējumu. Par piezīmi informē EDAU, paziņojot par personas datu pārkāpumu.

2. Ja ierobežojuma iemesli vairs nav spēkā, Aģentūra informē attiecīgo datu subjektu par personas datu aizsardzības pārkāpumu, kā arī par galvenajiem ierobežojuma iemesliem un par viņa tiesībām iesniegt sūdzību EDAU.

8. pants

Elektronisko sakaru konfidencialitāte

1. Izņēmuma gadījumos Aģentūra var ierobežot tiesības uz elektronisko sakaru konfidencialitāti saskaņā ar regulas 36. pantu. Šādiem ierobežojumiem jāatbilst Eiropas Parlamenta un Padomes Direktīvai 2002/58/EK (4).

2. Ja Aģentūra ierobežo tiesības uz elektronisko sakaru konfidencialitāti, tā atbildē uz jebkuru datu subjekta pieprasījumu informē attiecīgo datu subjektu par galvenajiem iemesliem ierobežojuma piemērošanas pamatā, un viņa tiesībām iesniegt sūdzību EDAU.

9. pants

Stāšanās spēkā

Šis lēmums stājas spēkā divdesmitajā dienā pēc publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

Apstiprināts ar Valdes rakstisko procedūru

2021. gada 19. aprīlis

Laura BURKE

EVA valdes priekšsēdētāja

(1) OV L 295, 21.11.2018., 39. lpp.

(2) OV L 126, 21.5.2009., 13. lpp.

(3) Padomes Regula (EEK, Euratom, EOTK) Nr. 259/68 (1968. gada 29. februāris), ar ko nosaka Eiropas Kopienu Civildienesta noteikumus un Pārējo darbinieku nodarbināšanas kārtību, kā arī paredz īpašus Komisijas ierēdņiem uz laiku piemērojamus pasākumus (OV L 56, 4.3.1968., 1. lpp.).

(4) Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37. lpp.).