This document is an excerpt from the EUR-Lex website
Document 32022D0121
Commission Decision (EU) 2022/121 of 27 January 2022 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of processing of personal data for the purposes of handling requests and complaints under the Staff Regulations
Decyzja Komisji (UE) 2022/121 z dnia 27 stycznia 2022 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów rozpatrywania wniosków i zażaleń na mocy regulaminu pracowniczego
Decyzja Komisji (UE) 2022/121 z dnia 27 stycznia 2022 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów rozpatrywania wniosków i zażaleń na mocy regulaminu pracowniczego
C/2022/386
Dz.U. L 19 z 28.1.2022, p. 77–83
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
28.1.2022 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 19/77 |
DECYZJA KOMISJI (UE) 2022/121
z dnia 27 stycznia 2022 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów rozpatrywania wniosków i zażaleń na mocy regulaminu pracowniczego
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,
a także mając na uwadze, co następuje:
(1) |
Regulamin pracowniczy urzędników Unii Europejskiej i warunki zatrudnienia innych pracowników Unii Europejskiej, ustanowione w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 (1) („regulamin pracowniczy”) nakładają na Komisję obowiązek odpowiadania na niektóre wnioski i zażalenia. Zadania te wykonuje głównie dział „Skargi i Odwołania oraz Monitorowanie Spraw” w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa (DG HR), który ustala istotne fakty i ocenia je z prawnego punktu widzenia, aby pomóc organowi powołującemu lub organowi odpowiedzialnemu za zawieranie umów o pracę (zwanemu dalej „organem”) w podjęciu decyzji. |
(2) |
Art. 22c regulaminu pracowniczego zobowiązuje Komisję, aby – zgodnie z art. 24 i 90 regulaminu pracowniczego – ustanowiła procedurę rozpatrywania skarg urzędników dotyczących sposobu, w jaki są traktowani po zgłoszeniu lub w następstwie zgłoszenia przez nich poważnych naruszeń zgodnie z art. 22a i 22b regulaminu pracowniczego (2). |
(3) |
Art. 24 regulaminu pracowniczego zobowiązuje Komisję do wspomagania urzędników w postępowaniach przeciwko osobom dopuszczającym się gróźb, zniewag, zniesławień lub ataków na osobę lub mienie, na jakie on lub członkowie jego rodziny są narażeni ze względu na zajmowane przez niego stanowisko lub pełnione obowiązki. |
(4) |
Zgodnie z art. 90 ust. 1 i 2 regulaminu pracowniczego każda osoba, wobec której ma zastosowanie regulamin pracowniczy, może przedłożyć organowi wniosek o wydanie decyzji w jej sprawie lub zażalenie przeciwko aktowi, z którym wiążą się niekorzystne dla niej skutki. |
(5) |
W kontekście tych działań Komisja gromadzi i przetwarza odpowiednie informacje. Informacje te obejmują dane osobowe, w szczególności dane dotyczące tożsamości i zachowania oraz dane kontaktowe. Właściwe służby Komisji przekazują dane osobowe innym służbom Komisji zgodnie z zasadą ograniczonego dostępu. |
(6) |
Dane osobowe przechowuje się w zabezpieczonych środowiskach fizycznych i elektronicznych, aby uniemożliwić bezprawny dostęp do tych danych oraz przekazywanie ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Po zakończeniu przetwarzania dane są zatrzymywane zgodnie z obowiązującymi przepisami Komisji (3). |
(7) |
Podczas wykonywania swoich zadań na mocy regulaminu pracowniczego Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu, jak również praw określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 (4). Jednocześnie Komisja musi przestrzegać ścisłych zasad poufności i tajemnicy zawodowej. |
(8) |
W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, przewidzianych w rozporządzeniu (UE) 2018/1725, z potrzebą zapewnienia zapobiegania czynom zabronionym, prowadzenia postępowań przygotowawczych w sprawie czynów zabronionych, wykrywania i ścigania czynów zabronionych oraz zapewnienia skuteczności reakcji Komisji na zarzuty molestowania i innych niewłaściwych zachowań lub ataków, a także z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725 daje Komisji możliwość ograniczenia zastosowania art. 14–17, 19, 20 i 35, a także zasady przejrzystości, określonej w art. 4 ust. 1 lit. a), o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–17, 19 i 20 tego rozporządzenia. |
(9) |
Może się tak zdarzyć szczególnie w przypadku udzielania informacji o przetwarzaniu danych osobowych osobie, która jest przedmiotem wniosku lub zażalenia (zwanej dalej „daną osobą”), przede wszystkim gdy postępowanie jest skutkiem wniosku o pomoc dotyczącego molestowania, złożonego na podstawie art. 24 regulaminu pracowniczego. Komisja może podjąć decyzję o ograniczeniu udzielania takich informacji danej osobie w celu ochrony praw i swobód wnioskodawcy, skarżącego lub świadka zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może podjąć taką decyzję przede wszystkim w celu ochrony tych osób przed ewentualnymi działaniami odwetowymi ze strony danych osób, wobec których w dobrej wierze wysunięto zarzuty, które jednak nie doprowadziły do podjęcia działań przez administrację. W niektórych sytuacjach konieczne może być ograniczenie udzielania takich informacji, aby zapobiec molestowaniu lub innym nieodpowiednim zachowaniom lub atakom w Komisji (szczególnie w jednostce organizacyjnej, w której dana osoba pracuje wspólnie z wnioskodawcą, skarżącym lub świadkiem). |
(10) |
Konieczne może być również ograniczenie innych praw danej osoby w przypadku, gdy taki dostęp spowodowałby ujawnienie informacji o wnioskodawcy, skarżącym lub świadku, którzy zwrócili się o nieujawnianie ich tożsamości. W takim przypadku Komisja może podjąć decyzję o ograniczeniu prawa dostępu do oświadczenia dotyczącego danej osoby lub o ograniczeniu innych praw tej osoby w celu ochrony praw i wolności wnioskodawcy, skarżącego lub świadka z przyczyn określonych w motywie 9. Komisja może podjąć taką decyzję zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. |
(11) |
Ograniczenie praw danej osoby może być również konieczne w celu zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych z wykonywaniem władzy publicznej w przypadku, gdy zagrożony jest ważny cel leżący w ogólnym interesie publicznym Unii, a mianowicie zapewnienie skutecznej reakcji Komisji na zarzuty molestowania i wszelkich innych niewłaściwych zachowań lub ataków. Zwalczanie molestowania i wszelkich innych niewłaściwych zachowań lub ataków stanowi ważny cel leżący w ogólnym interesie publicznym Unii, w tym Komisji. Ponadto Komisja ma obowiązek wspomagania swoich pracowników zgodnie z art. 24 regulaminu pracowniczego. Aby nie zniechęcać pracowników do zgłaszania zauważonych przypadków molestowania i innych niewłaściwych zachowań lub ataków oraz do zwracania się o pomoc w tym zakresie, co leży w interesie publicznym Unii, należy dopilnować, aby informacje o wnioskach o pomoc dotyczących danych osób nie docierały do tych osób. Może to mieć szczególne znaczenie w przypadkach, w których organ stwierdzi, że nie doszło do molestowania w rozumieniu regulaminu pracowniczego. W takiej sytuacji interes publiczny Unii wymagałby, aby informacje o wniosku o pomoc nie dotarły do danej osoby, aby zachować możliwość skorzystania przez pracowników z procedury przewidzianej w art. 24 regulaminu pracowniczego i zapobiec nowym konfliktom. W tym względzie Komisja może podjąć decyzję o ograniczeniu praw danej osoby zgodnie z art. 25 ust. 1 lit. c) i g) rozporządzenia (UE) 2018/1725. |
(12) |
Może być również konieczne ograniczenie praw danej osoby w celu zapewnienia zapobiegania czynom zabronionym, prowadzenia postępowań przygotowawczych w sprawie czynów zabronionych, wykrywania i ścigania czynów zabronionych zgłaszanych Komisji przez osoby wnioskujące, skarżących lub świadków w odniesieniu do danej osoby. Na przykład wnioskodawcy, skarżący i świadkowie mogą zgłaszać niewłaściwe zachowanie oraz molestowanie psychiczne i seksualne. W takich przypadkach Komisja może podjąć decyzję o ograniczeniu praw danej osoby zgodnie z art. 25 ust. 1 lit. b) rozporządzenia (UE) 2018/1725. |
(13) |
Regulamin pracowniczy zobowiązuje Komisję do zapewnienia poufnego rozpatrywania wniosków i zażaleń na mocy tych rozporządzeń. Aby zapewnić tę poufność i jednocześnie przestrzegać standardów ochrony danych osobowych na mocy rozporządzenia (UE) 2018/1725, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których Komisja może ograniczyć prawa osób, których dane dotyczą, zgodnie z art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725. |
(14) |
Przepisy wewnętrzne powinny mieć zastosowanie do wszystkich operacji przetwarzania danych przeprowadzanych przez Komisję w ramach wykonywania przez nią zadań związanych z rozpatrywaniem wniosków i zażaleń na mocy regulaminu pracowniczego. |
(15) |
W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Komisja powinna informować – w sposób przejrzysty i spójny, w formie oświadczenia o ochronie danych publikowanego na stronie internetowej Komisji – wszystkie osoby fizyczne o swoich działaniach obejmujących przetwarzanie ich danych osobowych oraz o ich prawach. W stosownych przypadkach Komisja powinna indywidualnie informować, za pomocą odpowiednich środków, osoby, których dane są przetwarzane w związku z wnioskiem lub zażaleniem, tj. wnioskodawców i skarżących, dane osoby oraz świadków. |
(16) |
Komisja powinna rozpatrywać wszystkie ograniczenia w sposób przejrzysty i każde zastosowanie ograniczeń rejestrować w odpowiednim systemie rejestracji. |
(17) |
Jeżeli chodzi o ograniczenia w stosowaniu art. 16 rozporządzenia (UE) 2018/1725, który stanowi, że jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, osoba ta musi zostać poinformowana najpóźniej w terminie jednego miesiąca, Komisja powinna w terminie jednego miesiąca sporządzić wpis opisujący przyczyny wszelkich zastosowanych ograniczeń. Taki wpis powinien zawierać indywidualną ocenę konieczności i proporcjonalności ograniczenia. |
(18) |
Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administratorzy mogą wstrzymać przekazanie informacji dotyczących głównych przyczyn zastosowania ograniczenia w stosunku do osoby, której dane dotyczą, pominąć takie przekazanie lub go odmówić, gdyby przekazanie tych informacji mogło unieważnić skutek ograniczenia. Dotyczy to w szczególności ograniczeń w stosowaniu art. 16 i 35 tego rozporządzenia. |
(19) |
Komisja powinna regularnie dokonywać przeglądu nałożonych ograniczeń w celu zapewnienia, aby prawa osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 były ograniczone tylko tak długo, jak długo takie ograniczenia są konieczne z przyczyn wymienionych w motywie 8. |
(20) |
Stosowanie ograniczeń powinno zostać poddane przeglądowi przy okazji odpowiadania na wnioski złożone na podstawie art. 22c i 24 oraz art. 90 ust. 1 regulaminu pracowniczego oraz na zażalenia złożone na podstawie art. 22c i art. 90 ust. 2 regulaminu pracowniczego lub przy zamykaniu takich wniosków i zażaleń, w zależności od tego, co nastąpi wcześniej. Następnie raz w roku Komisja powinna monitorować konieczność podtrzymania któregokolwiek z ograniczeń. |
(21) |
W niektórych przypadkach konieczne może okazać się utrzymanie stosowania ograniczenia, szczególnie ograniczenia stosowania art. 16 rozporządzenia (UE) 2018/1725, tak długo jak przedmiotowe dane osobowe są zatrzymywane przez Komisję. W takim przypadku osoba, której dane dotyczą, nie powinna być informowana o przetwarzaniu jej danych osobowych. Taka sytuacja może mieć miejsce szczególnie wtedy, gdy istnieje wysokie ryzyko, że przekazanie danej osobie informacji o przetwarzaniu danych osobowych naruszyłoby prawa i wolności innych osób. Może się tak zdarzyć w przypadku, gdy organ odrzuci wniosek o pomoc złożony w dobrej wierze w związku z domniemanym niewłaściwym zachowaniem danej osoby oraz gdy dana osoba i wnioskodawca pracują w tej samej jednostce organizacyjnej. W takiej sytuacji istnieje ryzyko działań odwetowych wobec wnioskodawcy oraz pogorszenia atmosfery w danej jednostce organizacyjnej. W takim przypadku dane osobowe danej osoby nie powinny być zatrzymywane dłużej niż jest to konieczne do rozpatrzenia wniosku lub zażalenia i nie dłużej niż okres, w którym zażalenie może być przedmiotem sporu. |
(22) |
Inspektor ochrony danych Komisji Europejskiej powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją. |
(23) |
Skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 23 września 2021 r., |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres
1. Niniejsza decyzja ustanawia zasady obowiązujące Komisję w zakresie informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 podczas rozpatrywania wniosków i zażaleń na mocy regulaminu pracowniczego.
Określa ona również warunki, na jakich Komisja może ograniczyć stosowanie art. 4, 14–17, 19, 20 i 35 rozporządzenia (UE) 2018/1725, zgodnie z jego art. 25 ust. 1 lit. b), c), g) i h).
2. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Komisję do celów rozpatrywania wniosków i zażaleń zgodnie z art. 22c i 24 oraz art. 90 ust. 1 i 2 regulaminu pracowniczego.
3. Kategorie danych osobowych objętych niniejszą decyzją obejmują dane dotyczące tożsamości i zachowania oraz dane kontaktowe, a także szczególne kategorie danych osobowych w rozumieniu art. 10 ust. 1 rozporządzenia (UE) 2018/1725.
Artykuł 2
Obowiązujące wyjątki i ograniczenia
1. Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, Komisja uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
2. Z zastrzeżeniem art. 3–7, jeżeli wykonywanie praw i obowiązków przewidzianych w art. 14–17, 19, 20 i 35 rozporządzenia (UE) 2018/1725 w odniesieniu do danych osobowych przetwarzanych przez Komisję podważałoby założenia wymienione w art. 25 ust. 1 lit. b), c), g) lub h) tego rozporządzenia, Komisja może ograniczyć stosowanie:
a) |
art. 14–17, 19, 20 i 35 rozporządzenia (UE) 2018/1725; oraz |
b) |
zasady przejrzystości określonej w art. 4 ust. 1 lit. a) rozporządzenia (UE) 2018/1725, o ile jej przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–17, 19 i 20 tego rozporządzenia, w celu zapewnienia zapobiegania czynom zabronionym, prowadzenia postępowań przygotowawczych w sprawie czynów zabronionych, wykrywania i ścigania czynów zabronionych zgłaszanych przez wnioskującego, skarżącego lub świadka właściwym służbom Komisji, w odniesieniu do osoby, której dotyczą zarzuty molestowania lub innych niewłaściwych zachowań lub ataków. |
3. Ust. 1 i 2 nie naruszają stosowania innych decyzji Komisji ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw wynikających z art. 25 rozporządzenia (UE) 2018/1725.
4. Wszelkie ograniczenia praw i obowiązków, o których mowa w ust. 2, muszą być konieczne i proporcjonalne oraz uwzględniać zagrożenia dla praw i wolności osób, których dane dotyczą.
5. Przed zastosowaniem ograniczeń Komisja powinna indywidualnie ocenić ich konieczność i proporcjonalność. Ograniczenia nie mogą wykraczać poza to, co niezbędne do osiągnięcia wyznaczonych celów.
Artykuł 3
Przekazywanie informacji osobom, których dane dotyczą
1. Komisja publikuje na swojej stronie internetowej oświadczenie o ochronie danych, w ramach którego informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych do celów rozpatrywania wniosków i zażaleń na mocy regulaminu pracowniczego.
2. Komisja, za pomocą odpowiednich środków, indywidualnie informuje wnioskodawców i skarżących, dane osoby, jak również świadków, do których skierowano wniosek o udzielenie informacji w związku z takimi wnioskami lub zażaleniami, o przetwarzaniu ich danych osobowych.
3. W przypadku gdy zgodnie z art. 2 Komisja ogranicza w całości lub w części udzielanie informacji, o których mowa w ust. 2, danym osobom, których dane osobowe są przetwarzane do celów rozpatrywania wniosków i zażaleń zgodnie z regulaminem pracowniczym, Komisja zapisuje i rejestruje przyczyny ograniczenia zgodnie z art. 6.
Artykuł 4
Prawo dostępu dla osób, których dane dotyczą, prawo do usunięcia danych oraz prawo do ograniczenia przetwarzania
1. W przypadku gdy Komisja ogranicza, w całości lub w części, prawo dostępu do danych osobowych osób, których dane dotyczą, prawo do usunięcia danych lub prawo do ograniczenia przetwarzania, o których to prawach mowa odpowiednio w art. 17, 19 i 20 rozporządzenia (UE) 2018/1725, informuje ona daną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, usunięcie lub ograniczenie przetwarzania:
a) |
o zastosowanym ograniczeniu i jego głównych przyczynach; |
b) |
o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej. |
2. Przekazanie informacji dotyczących przyczyn ograniczenia, o którym mowa w ust. 1, może zostać wstrzymane, pominięte lub można go odmówić, jeżeli takie przekazanie unieważniłoby skutek ograniczenia.
3. Komisja zapisuje przyczyny ograniczenia zgodnie z art. 6.
4. W przypadku gdy prawo dostępu jest w całości lub w części ograniczone, osoba, której dane dotyczą, może skorzystać z prawa dostępu za pośrednictwem Europejskiego Inspektora Ochrony Danych zgodnie z art. 25 ust. 6, 7 i 8 rozporządzenia (UE) 2018/1725.
Artykuł 5
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
W przypadku gdy Komisja ogranicza zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, określone w art. 35 rozporządzenia (UE) 2018/1725, zapisuje ona i rejestruje przyczyny takiego ograniczenia zgodnie z art. 6. Komisja przekazuje taki wpis Europejskiemu Inspektorowi Ochrony Danych w momencie zgłoszenia naruszenia ochrony danych osobowych.
Artykuł 6
Zapisywanie i rejestrowanie ograniczeń
1. Komisja zapisuje przyczyny wszelkich ograniczeń zastosowanych na podstawie niniejszej decyzji, dodając przy tym ocenę ich konieczności i proporcjonalności, z uwzględnieniem odpowiednich elementów określonych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
2. We wpisie określa się, w jaki sposób wykonywanie prawa przez daną osobę, której dane dotyczą, naruszyłoby co najmniej jedną z mających zastosowanie podstaw wymienionych w art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725.
3. W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne będące jego podstawą. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł 7
Okres obowiązywania ograniczeń
1. Ograniczenia, o których mowa w art. 3, 4 i 5, mają zastosowanie tak długo, jak długo mają zastosowanie przyczyny uzasadniające ich zastosowanie.
2. Jeżeli przyczyny ograniczenia, o którym mowa w art. 3, 4 lub 5, przestają mieć zastosowanie, Komisja znosi to ograniczenie.
3. Komisja przekazuje również główne przyczyny zastosowania tego ograniczenia osobie, której dane dotyczą, oraz informuje ją o możliwości wniesienia, w dowolnym momencie, skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
4. Komisja dokonuje przeglądu stosowania ograniczeń, o których mowa w art. 3, 4 i 5, gdy odpowiada na wnioski złożone na mocy art. 22c i 24 oraz art. 90 ust. 1 regulaminu pracowniczego oraz na zażalenia złożone na mocy art. 22c i art. 90 ust. 2 regulaminu pracowniczego lub przy zamykaniu takich wniosków lub zażaleń, w zależności od tego, co nastąpi wcześniej. Następnie raz w roku Komisja monitoruje konieczność podtrzymania któregokolwiek z ograniczeń. Przegląd obejmuje ocenę konieczności i proporcjonalności ograniczenia, z uwzględnieniem odpowiednich elementów określonych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
Artykuł 8
Zabezpieczenia i okresy przechowywania
1. Komisja, a mianowicie dział „Skargi i Odwołania oraz Monitorowanie Spraw” w DG HR, wdraża zabezpieczenia w celu zapobiegania nadużyciom i bezprawnemu dostępowi do danych osobowych lub przekazywaniu danych, w odniesieniu do których są lub mogą być stosowane ograniczenia. Takie zabezpieczenia obejmują środki techniczne i organizacyjne, takie jak:
a) |
jasne określenie ról, obowiązków, praw dostępu i etapów procedury; |
b) |
bezpieczne środowisko elektroniczne w celu zapobieżenia bezprawnemu i przypadkowemu dostępowi lub przekazywaniu danych elektronicznych osobom nieupoważnionym; |
c) |
bezpieczne przechowywanie i przetwarzanie dokumentów papierowych ograniczone do absolutnego minimum niezbędnego do osiągnięcia celu przetwarzania; |
d) |
należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. Przeglądy, o których mowa w lit. d), prowadzone są co najmniej raz na sześć miesięcy. |
2. Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie.
3. Dane osobowe są zatrzymywane zgodnie z obowiązującymi przepisami Komisji dotyczącymi zatrzymywania danych, które zostaną określone we wpisach prowadzonych na mocy art. 31 rozporządzenia (UE) 2018/1725. Na koniec okresu zatrzymania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia (UE) 2018/1725.
Artykuł 9
Przegląd dokonywany przez inspektora ochrony danych Komisji
1. Inspektor ochrony danych Komisji jest niezwłocznie informowany, ilekroć prawa osób, których dane dotyczą, są ograniczane zgodnie z niniejszą decyzją. Inspektor ochrony danych otrzymuje, na żądanie, dostęp do wpisu oraz wszelkich leżących u jego podstaw dokumentów zawierających elementy stanu faktycznego oraz aspekty prawne.
2. Inspektor ochrony danych może zwrócić się o przegląd ograniczeń. Inspektora ochrony danych należy pisemnie poinformować o wynikach wnioskowanego przeglądu.
3. Komisja dokumentuje udział inspektora ochrony danych w każdym przypadku, w którym prawa i obowiązki, o których mowa w art. 2 ust. 2, są ograniczane.
Artykuł 10
Wejście w życie
Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 27 stycznia 2022 r.
W imieniu Komisji
Ursula VON DER LEYEN
Przewodnicząca
(1) Dz.U. L 56 z 4.3.1968, s. 1.
(2) Zawiadomienie administracyjne nr 79-2013 z dnia 19 grudnia 2013 r. „ Aktualizacja ustaleń dotyczących składania wniosków i zażaleń (art. 90 ust. 1 i ust. 2 regulaminu pracowniczego) oraz wniosków o pomoc (art. 24 regulaminu pracowniczego) ”.
(3) Kwestię zatrzymywania dokumentacji w Komisji reguluje wspólny wykaz zatrzymywanych danych na poziomie Komisji, dokument regulacyjny w formie harmonogramu, w którym określa się okresy zatrzymywania różnych rodzajów dokumentacji Komisji (SEC(2019)900). Okresy zatrzymywania danych osobowych są wskazane w oświadczeniu o ochronie prywatności dotyczącym rozpatrywania wniosków i zażaleń na mocy regulaminu pracowniczego.
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).