This document is an excerpt from the EUR-Lex website
Document 32022Q0311(01)
Decision No 4/2022 of the Bureau of the Committee of the Regions of 25 January 2022 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the context of activities and procedures carried out by the Committee of the Regions
Decyzja Prezydium Komitetu Regionów nr 4/2022 z dnia 25 stycznia 2022 r. ustanawiająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działań i procedur prowadzonych przez Komitet Regionów
Decyzja Prezydium Komitetu Regionów nr 4/2022 z dnia 25 stycznia 2022 r. ustanawiająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działań i procedur prowadzonych przez Komitet Regionów
Dz.U. L 84 z 11.3.2022, p. 44–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
11.3.2022 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 84/44 |
DECYZJA PREZYDIUM KOMITETU REGIONÓW nr 4/2022
z dnia 25 stycznia 2022 r.
ustanawiająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działań i procedur prowadzonych przez Komitet Regionów
PREZYDIUM KOMITETU REGIONÓW,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej (1), w szczególności jego art. 306,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (2) (zwane dalej „rozporządzeniem” lub „EUDPR”), w szczególności jego art. 25,
uwzględniając regulamin wewnętrzny Europejskiego Komitetu Regionów (3), w szczególności jego art. 37 lit. d),
uwzględniając opinię D(2021) 0894 (sprawa 2021-0345) Europejskiego Inspektora Ochrony Danych (zwanego dalej „EIOD”) z dnia 20 kwietnia 2021 r., z którym skonsultowano się zgodnie z art. 41 ust. 2 EUDPR,
a także mając na uwadze, co następuje:
(1) |
Zgodnie z art. 3 pkt 1 EUDPR wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (zwanej dalej „osobą, które dane dotyczą”) należy uznać za dane osobowe. |
(2) |
Rozporządzenie ma zastosowanie do Komitetu Regionów (zwanego dalej „Komitetem”), tak samo jak do każdej instytucji Unii, w związku z przetwarzaniem danych osobowych w kontekście prowadzonych przez niego działań i procedur. |
(3) |
Administratorem w rozumieniu art. 3 pkt 8 EUDPR jest Komitet, który może przekazywać odpowiedzialność za określanie celów i sposobów przetwarzania danych osobowych. |
(4) |
Zgodnie z art. 45 ust. 3 EUDPR Prezydium Komitetu Regionów (zwane dalej „Prezydium”) przyjęło przepisy wykonawcze (4) dotyczące rozporządzenia oraz inspektora ochrony danych Komitetu. Zgodnie z tymi przepisami jednostka organizacyjna (dyrekcja, dział lub sektor) Sekretariatu Generalnego Komitetu lub sekretariatu jednej z grup politycznych w Komitecie, samodzielnie lub łącznie z innymi określająca cele i sposoby przetwarzania danych osobowych, powinna, w odniesieniu do tych danych, działać w imieniu Komitetu jako administrator delegowany. |
(5) |
Komitet i Europejski Komitet Ekonomiczno-Społeczny (zwany dalej „EKES-em”) mają wspólne niektóre jednostki organizacyjne i zasoby (zwane dalej „Służbami Wspólnymi”) w kontekście współpracy międzyinstytucjonalnej, a mające zastosowanie przepisy wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Służby Wspólne należy określić zgodnie z poczynionymi w tym celu ustaleniami między Komitetem a EKES-em. |
(6) |
Aby wypełniać zadania Komitetu, administratorzy danych gromadzą i przetwarzają informacje oraz kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat prywatnych i zawodowych zachowania i wyników, a także dane finansowe. Na mocy rozporządzenia administratorzy danych są zatem zobowiązani do informowania osób, których dane dotyczą, o wykonywanych przez nich czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą. |
(7) |
Administratorzy danych mogą być zobowiązani do pogodzenia tych praw z celami badań, dochodzeń, weryfikacji, działań, audytów i postępowań prowadzonych w ramach Komitetu. Może spoczywać na nich również wymóg zapewnienia równowagi między prawami danej osoby, której dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 ust. 1 EUDPR administratorzy danych mają możliwość ograniczenia stosowania art. 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 i 36 EUDPR, a także art. 4 EUDPR, o ile jego przepisy odpowiadają prawom i obowiązkom określonym w art. 14–22 EUDPR. |
(8) |
Administratorzy danych powinni stosować ograniczenia tylko wtedy, gdy nie naruszają one istoty podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. |
(9) |
Administratorzy danych powinni przedstawić powody uzasadniające zastosowanie tych ograniczeń i prowadzić rejestr stosowania przez nich ograniczeń praw osób, których dane dotyczą. |
(10) |
Administratorzy danych powinni znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających to ograniczenie. Powinni przeprowadzać regularne oceny tych warunków. |
(11) |
Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, należy w odpowiednim czasie konsultować się w sprawie wszelkich ewentualnych ograniczeń z inspektorem ochrony danych, który powinien weryfikować ich zgodność z niniejszą decyzją. |
(12) |
O ile w akcie prawnym przyjętym na podstawie Traktatów (5) nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których administratorzy danych są uprawnieni do ograniczania praw osób, których dane dotyczą. |
(13) |
Niniejszej decyzji nie powinno stosować się w przypadku, gdy zastosowanie ma jeden z wyjątków, o których mowa w art. 15 ust. 4 i art. 16 ust. 5 EUDPR w odniesieniu do informacji podawanych osobie, której dane dotyczą, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot, zakres stosowania i definicje
1. Niniejsza decyzja ustanawia ogólne przepisy dotyczące warunków, na jakich zgodnie z art. 25 ust. 1 EUDPR administratorzy danych mogą ograniczyć stosowanie, zależnie od przypadku, art. 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 i 36 EUDPR, a także art. 4 EUDPR, o ile jego przepisy odpowiadają prawom i obowiązkom określonym w art. 14–22 EUDPR.
2. Na potrzeby niniejszej decyzji stosuje się następujące definicje:
a) |
„dane osobowe” oznaczają wszelkie informacje o osobie, której dane dotyczą, przetwarzane podczas prowadzenia działań i procedur, które nie wchodzą w zakres stosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 Traktatu o Funkcjonowaniu Unii Europejskiej – w przeciwieństwie do operacyjnych danych osobowych w rozumieniu art. 3 pkt 2 EUDPR; |
b) |
„administrator danych” oznacza podmiot, który samodzielnie lub łącznie z innymi faktycznie określa cele i sposoby przetwarzania danych osobowych w kontekście działań i procedur prowadzonych przez Komitet, niezależnie od tego, czy nastąpiło przekazanie odpowiedzialności za określanie tych kwestii. |
3. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych na potrzeby działań i procedur prowadzonych przez Komitet. Nie stosuje się jej w przypadku, gdy ograniczenie praw osób, których dane dotyczą, przewidziano w akcie prawnym przyjętym na podstawie Traktatów.
4. Administratorem w rozumieniu art. 3 pkt 8 EUDPR jest Komitet, który może przekazywać odpowiedzialność za określanie celów i sposobów przetwarzania danych osobowych.
5. Do celów każdego przypadku przetwarzania, ograniczania i wstrzymywania, pomijania lub odmowy informacji wyznacza się właściwego administratora danych zgodnie z odpowiednimi wewnętrznymi decyzjami, procedurami i przepisami wykonawczymi Komitetu.
Artykuł 2
Wyjątki i odstępstwa
1. Zanim administratorzy danych zastosują jakiekolwiek ograniczenia zgodnie z Artykuł 3 ust. 1, rozpatrują oni, czy zastosowanie mają jakiekolwiek wyjątki lub odstępstwa przewidziane w rozporządzeniu, w szczególności wyjątki i odstępstwa, o których mowa w art. 15 ust. 4, art. 16 ust. 5, art. 19 ust. 3, art. 25 ust. 3 i 4 i art. 35 ust. 3 EUDPR.
2. Stosowanie odstępstw podlega odpowiednim zabezpieczeniom zgodnie z art. 13 EUDPR i Artykuł 6 niniejszej decyzji.
Artykuł 3
Ograniczenia
1. Administratorzy danych mogą ograniczyć stosowanie, zależnie od przypadku, art. 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 i 36 EUDPR, a także art. 4 EUDPR, o ile jego przepisy odpowiadają prawom i obowiązkom określonym w art. 14–22 EUDPR, w przypadku gdy korzystanie przez osoby, których dotyczą dane, z ich praw miałoby niekorzystny wpływ na cel lub rezultat co najmniej jednego z działań lub co najmniej jednej z procedur prowadzonych przez Komitet, w szczególności:
a) |
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) EUDPR, gdy organ powołujący i organ upoważniony do zawierania umów o pracę Komitetu (zwane dalej „organem powołującym”) prowadzą postępowania dyscyplinarne, dochodzenia administracyjne i postępowania dotyczące spraw pracowniczych zgodnie z art. 86 regulaminu pracowniczego urzędników Unii Europejskiej (zwanego dalej „regulaminem pracowniczym”) i załącznikiem IX do regulaminu pracowniczego oraz z art. 50a i 119 warunków zatrudnienia innych pracowników Unii Europejskiej (6) (zwanych dalej „warunkami zatrudnienia innych pracowników”), a także dochodzenia w kontekście wniosków o udzielenie wsparcia złożonych zgodnie z art. 24 regulaminu pracowniczego oraz art. 11 i 81 warunków zatrudnienia innych pracowników oraz w odniesieniu do przypadków domniemanego molestowania w rozumieniu art. 12a regulaminu pracowniczego; |
b) |
zgodnie z art. 25 ust. 1 lit. b), c), f) i h) EUDPR, gdy organ powołujący dokonuje przeglądu wniosków i zażaleń złożonych przez urzędników i innych pracowników Komitetu (zwanych dalej „pracownikami”) zgodnie z art. 90 regulaminu pracowniczego oraz art. 46 i 117 warunków zatrudnienia innych pracowników; |
c) |
zgodnie z art. 25 ust. 1 lit. c) i h) EUDPR, gdy organ powołujący realizuje politykę kadrową Komitetu, przeprowadzając procedury selekcji (rekrutacji), ewaluacji (oceny) i awansowania; |
d) |
zgodnie z art. 25 ust. 1 lit. c), f), g) i h) EUDPR, gdy urzędnik zatwierdzający Komitetu (zwany dalej „urzędnikiem zatwierdzającym”) wykonuje sekcję budżetu ogólnego Unii Europejskiej odnoszącą się do Komitetu poprzez przeprowadzanie postępowań o udzielenie zamówienia zgodnie z zasadami finansowymi mającymi zastosowanie do budżetu ogólnego Unii (7) (zwanymi dalej „rozporządzeniem finansowym”); |
e) |
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) EUDPR, gdy urzędnik zatwierdzający prowadzi działania monitorujące i dochodzenia dotyczące legalności transakcji finansowych dokonywanych przez Komitet i w jego ramach, dotyczące uprawnień finansowych (8) członków i zastępców członków Komitetu (zwanych dalej „członkami Komitetu”) oraz finansowania działań i wydarzeń organizowanych lub współorganizowanych przez Komitet, a także zajmuje się nieprawidłowościami finansowymi ze strony pracowników zgodnie z art. 93 rozporządzenia finansowego; |
f) |
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) EUDPR, gdy Komitet przekazuje informacje i dokumenty Europejskiemu Urzędowi ds. Zwalczania Nadużyć Finansowych (zwanemu dalej „OLAF-em”) zarówno na wniosek OLAF-u, jak i z własnej inicjatywy, zgłasza sprawy do OLAF-u lub przetwarza informacje i dokumenty otrzymane z OLAF-u (9); |
g) |
zgodnie z art. 25 ust. 1 lit. c), g) i h) EUDPR, gdy Komitet przeprowadza audyty wewnętrzne do celów art. 118 i 119 rozporządzenia finansowego oraz dotyczące działań i procedur jego służb; |
h) |
zgodnie z art. 25 ust. 1 lit. c), d) i h) EUDPR, gdy Komitet przeprowadza wewnętrzne oceny ryzyka, kontrole dostępu, w tym sprawdzanie przeszłości, działania służące zapobieganiu incydentom związanym z ochroną i bezpieczeństwem oraz badaniu takich incydentów, m.in. incydentów z udziałem członków lub pracowników Komitetu, a także incydentów związanych z infrastrukturą i technologiami informacyjno-komunikacyjnymi Komitetu, jak również dochodzenia w zakresie bezpieczeństwa i dochodzenia pomocnicze, w tym dotyczące jego sieci łączności elektronicznej, z własnej inicjatywy lub na wniosek osób trzecich; |
(i) |
zgodnie z art. 25 ust. 1 lit. c), d) i h) EUDPR, gdy inspektor ochrony danych, z własnej inicjatywy lub na wniosek osób trzecich, bada odnoszące się bezpośrednio do ich zadań sprawy i zdarzenia, które zwróciły ich uwagę, zgodnie z art. 45 ust. 2 EUDPR; |
(j) |
zgodnie z art. 25 ust. 1 lit. h) EUDPR, gdy administratorzy danych przetwarzają dane osobowe uzyskane w związku ze zgłoszeniem przez pracownika w dobrej wierze faktów, które wskazują na występowanie albo potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii (zwanych dalej „poważnymi nieprawidłowościami”), albo działań związanych z wykonywaniem obowiązków służbowych, które to działania mogą stanowić poważne uchybienie obowiązkom pracowników (zwanych dalej „poważnym uchybieniem”); |
(k) |
zgodnie z art. 25 ust. 1 lit. h) EUDPR, gdy administratorzy danych przetwarzają dane osobowe uzyskane przez zaufanych doradców w kontekście nieformalnej procedury stosowanej w przypadkach domniemanego molestowania; |
(l) |
zgodnie z art. 25 ust. 1 lit. h) EUDPR, gdy administratorzy danych przetwarzają dane osobowe dotyczące zdrowia (zwane dalej „danymi medycznymi”) członka lub pracownika Komitetu, w tym dane odnoszące się do kwestii psychologicznych i psychiatrycznych, zawarte w przechowywanej przez Komitet dokumentacji medycznej danej osoby, której dane dotyczą; |
(m) |
zgodnie z art. 25 ust. 1 lit. e) EUDPR, gdy administratorzy danych przetwarzają dane osobowe znajdujące się w dokumentach przygotowanych lub otrzymanych przez strony lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej; |
(n) |
zgodnie z art. 25 ust. 1 lit. b), c), d), g) i h) EUDPR, gdy Komitet udziela pomocy innym instytucjom, organom, urzędom i agencjom Unii lub otrzymuje od nich pomoc, a także gdy współpracuje z nimi w kontekście działań lub procedur, o których mowa w ust. 1 lit. (a)–(m), i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy; |
(o) |
zgodnie z art. 25 ust. 1 lit. b), c), g) i h) EUDPR, gdy Komitet udziela pomocy organom państw członkowskich lub państw trzecich lub organizacjom międzynarodowym bądź otrzymuje od nich pomoc, a także gdy współpracuje z takimi organami i organizacjami, na ich wniosek lub z własnej inicjatywy; |
(p) |
zgodnie z art. 25 ust. 1 lit. a), b), e) i f) EUDPR, gdy Komitet przekazuje organom państw członkowskich lub państw trzecich lub organizacjom międzynarodowym informacje i dokumenty, o które wnioskują one w kontekście prowadzonych dochodzeń. |
2. Ograniczenia, o których mowa w ust. 1, mogą dotyczyć zarówno obiektywnych (zwanych dalej „twardymi danymi”), jak i subiektywnych (zwanych dalej „miękkimi danymi”) danych osobowych, w szczególności, lecz nie wyłącznie, co najmniej jednej z następujących kategorii:
a) |
dane identyfikacyjne; |
b) |
dane kontaktowe; |
c) |
dane zawodowe (10); |
d) |
dane finansowe; |
e) |
dane z monitorowania (11); |
f) |
dane o ruchu (12); |
g) |
dane medyczne (13); |
h) |
dane genetyczne (13); |
i) |
dane biometryczne (13); |
j) |
dane dotyczące seksualności osoby fizycznej lub jej orientacji seksualnej (13); |
k) |
dane ujawniające pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, poglądy polityczne lub przynależność polityczną bądź przynależność do związków zawodowych (13); |
l) |
dane ujawniające wyniki lub zachowanie osób fizycznych uczestniczących w procedurach selekcji (rekrutacji), ewaluacji (oceny) lub awansowania (14); |
m) |
dane dotyczące obecności osób fizycznych; |
n) |
dane dotyczące działań zewnętrznych osób fizycznych; |
o) |
dane odnoszące się do podejrzeń o popełnienie przestępstwa, do przestępstw, wyroków skazujących lub środków bezpieczeństwa; |
p) |
łączność elektroniczna; |
q) |
wszystkie inne dane związane z przedmiotem odpowiednich działań lub procedur wymagających przetwarzania tych danych. |
3. Wszelkie ograniczenia nie naruszają istoty podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym, a także nie wykraczają poza to, co jest ściśle niezbędne do osiągnięcia ich celu.
4. Wszelkie ograniczenia stosowania art. 36 EUDPR (Poufność łączności elektronicznej), zarówno w całości, jak i w części, zgodnie z ust. 1 są zgodne z właściwymi przepisami Unii dotyczącymi prywatności w sektorze łączności elektronicznej (15).
5. Administratorzy danych dokonują okresowych przeglądów stosowania ograniczeń, o których mowa w ust. 1, co najmniej raz na sześć miesięcy od ich wprowadzenia, a także w przypadku zmiany istotnych i decydujących elementów danej sprawy oraz po zakończeniu lub przerwaniu działań lub procedur, które spowodowały wprowadzenie tych ograniczeń. Następnie raz w roku monitorują konieczność utrzymania ograniczeń.
6. Ograniczenia, o których mowa w ust. 1, mają zastosowanie tak długo, jak długo występują przyczyny uzasadniające te ograniczenia. Gdy przestają występować przyczyny stosowania ograniczenia, o którym mowa w ust. 1, administratorzy danych znoszą to ograniczenie.
7. Przetwarzając dane osobowe otrzymane od osób trzecich w kontekście wykonywanych przez Komitet zadań, administratorzy danych konsultują się z tymi osobami trzecimi w sprawie potencjalnych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że miałoby to szkodliwy wpływ na działania lub procedury Komitetu.
Artykuł 4
Ocena konieczności i proporcjonalności
1. Przed zastosowaniem ograniczeń administratorzy danych oceniają, indywidualnie dla każdego przypadku, czy rozpatrywane ograniczenia są konieczne i proporcjonalne.
2. Ilekroć administratorzy danych oceniają konieczność i proporcjonalność ograniczenia, biorą pod uwagę potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą.
3. Oceny wynikającego z nałożenia ograniczeń ryzyka naruszenia praw i wolności osób, których dane dotyczą, w szczególności ryzyka możliwego dalszego przetwarzania ich danych osobowych bez ich wiedzy oraz pozbawienia ich możliwości korzystania z przysługujących im praw zgodnie z rozporządzeniem, a także szczegóły dotyczące okresu stosowania tych ograniczeń są rejestrowane w rejestrze czynności przetwarzania prowadzonym przez administratorów danych na podstawie art. 31 ust. 1 EUDPR. Są one również rejestrowane we wszelkich dotyczących tych ograniczeń ocenach skutków dla ochrony danych, dokonywanych na podstawie art. 39 EUDPR.
Artykuł 5
Zapisywanie i rejestrowanie ograniczeń
1. Ilekroć administratorzy danych stosują ograniczenia, rejestrują oni:
a) |
powody stosowania tych ograniczeń; |
b) |
podstawy, na jakich stosuje się te ograniczenia; |
c) |
w jaki sposób korzystanie przez osoby, których dane dotyczą, z ich praw miałoby niekorzystny wpływ na cel lub rezultat co najmniej jednego z działań lub co najmniej jednej z procedur prowadzonych przez Komitet; |
d) |
wyniki oceny, o której mowa w Artykuł 4 ust. 1. |
2. Rejestry, o których mowa w ust. 1, wchodzą w skład centralnego rejestru określonego w art. 31 ust. 5 EUDPR i są udostępniane na żądanie EIOD.
3. W przypadku gdy administratorzy danych ograniczają stosowanie art. 35 EUDPR (Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych), rejestr określony w ust. 1 jest dołączany do przekazywanego do EIOD zgłoszenia, o którym mowa w art. 34 ust. 1 EUDPR.
Artykuł 6
Zabezpieczenia i okres przechowywania
1. Administratorzy danych wdrażają zabezpieczenia w celu zapobiegania nadużyciom i bezprawnemu dostępowi lub przekazywaniu, jeśli chodzi o dane osobowe, które mogą podlegać ograniczeniom zgodnie z Artykuł 3 ust. 1. Takie zabezpieczenia obejmują odpowiednie środki techniczne i organizacyjne oraz są w razie potrzeby wyszczególnione we właściwych wewnętrznych decyzjach, procedurach i przepisach wykonawczych Komitetu.
2. Zabezpieczenia, o których mowa w ust. 1, obejmują:
a) |
jasno określone role, obowiązki i kroki proceduralne; |
b) |
w stosownych przypadkach bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu i przypadkowemu dostępowi osób nieupoważnionych do danych elektronicznych lub bezprawnemu i przypadkowemu przekazywaniu takich danych osobom nieupoważnionym; |
c) |
w stosownych przypadkach bezpieczne przechowywanie i przetwarzanie dokumentów w formie papierowej; |
d) |
należyte monitorowanie ograniczeń i okresowy przegląd ich stosowania. |
3. Dane osobowe są przechowywane zgodnie z obowiązującymi przepisami Komitetu dotyczącymi zatrzymywania danych (16), które to przepisy są określone w rejestrach prowadzonych przez administratorów danych na podstawie art. 31 ust. 1 EUDPR. Na koniec okresu zatrzymania dane osobowe są, zależnie od przypadku, usuwane, anonimizowane w taki sposób, że danej osoby, której dane dotyczą, nie można zidentyfikować lub już nie można zidentyfikować, lub przekazywane do archiwów Komitetu zgodnie z art. 13 EUDPR.
Artykuł 7
Informowanie osób, których dane dotyczą, o ograniczeniu ich praw
1. Informacje o ochronie danych publikowane na stronie internetowej i intranetowej Komitetu zawierają sekcję zapewniającą osobom, których dane dotyczą, ogólne informacje na temat potencjalnego ograniczenia ich praw w kontekście działań i procedur Komitetu wymagających przetwarzania ich danych osobowych. W sekcji tej wyszczególnia się, które prawa mogą być ograniczone, podstawy, na jakich mogą być stosowane ograniczenia, potencjalny okres obowiązywania tych ograniczeń oraz dostępne dla osób, których dane dotyczą, administracyjne środki odwoławcze i środki ochrony prawnej.
2. Ilekroć administratorzy danych stosują ograniczenia, informują bezpośrednio każdą zainteresowaną osobę, której dane dotyczą, bez zbędnej zwłoki i w najwłaściwszej formie, o:
a) |
jakichkolwiek stosowanych obecnie lub wkrótce ograniczeniach jej praw; |
b) |
głównych powodach zastosowania danego ograniczenia; |
c) |
przysługującym jej prawie do konsultacji z inspektorem ochrony danych w celu zakwestionowania danego ograniczenia; |
d) |
przysługującym jej prawie do złożenia skargi do EIOD; |
e) |
przysługującym jej prawie do skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej. |
3. Niezależnie od ust. 2 w przypadku gdy administratorzy danych ograniczają w wyjątkowych okolicznościach stosowanie art. 35 EUDPR (Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych), zawiadamiają oni zainteresowaną osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i przekazują informacje, o których mowa w ust. 2 lit. (b), (d) i (e), gdy tylko przestają występować przyczyny ograniczenia takiego zawiadamiania.
4. Niezależnie od ust. 2 w przypadku gdy administratorzy danych ograniczają w wyjątkowych okolicznościach stosowanie art. 36 EUDPR (Poufność łączności elektronicznej), przekazują oni informacje, o których mowa w ust. 2, w odpowiedzi na wszelkie wnioski od zainteresowanej osoby, której dane dotyczą.
5. Administratorzy danych mogą wstrzymywać lub pomijać przekazanie informacji, o których mowa w ust. 2, lub też odmawiać przekazania tych informacji („wstrzymanie, pominięcie lub odmowa informacji”) tak długo, jak długo unieważniłoby to skutek ograniczenia. Przekazują oni zainteresowanej osobie, której dane dotyczą, informacje, o których mowa w ust. 2, gdy tylko takie przekazanie nie będzie już powodowało nieskuteczności ograniczenia.
6. Artykuły 4 i 5 stosuje się odpowiednio w odniesieniu do każdego przypadku wstrzymania, pominięcia lub odmowy informacji.
Artykuł 8
Zaangażowanie inspektora ochrony danych Komitetu
1. Administratorzy danych informują inspektora ochrony danych pisemnie i bez zbędnej zwłoki, ilekroć ograniczają prawa osoby, której dane dotyczą, zgodnie z Artykuł 3 ust. 1, dokonują okresowych przeglądów, o których mowa w Artykuł 3 ust. 5, znoszą ograniczenia zgodnie z Artykuł 3 ust. 6 bądź wstrzymują i pomijają przekazanie lub odmawiają przekazania informacji, o których mowa w Artykuł 7 ust. 2, zgodnie z Artykuł 7 ust. 5. Na wniosek inspektor ochrony danych otrzymuje dostęp do związanych z tym rejestrów i wszelkich dokumentów zawierających leżące u podstaw elementy stanu faktycznego i prawnego.
2. Inspektor ochrony danych może zwrócić się do administratorów danych o przegląd wszelkich istniejących ograniczeń oraz wstrzymań, pominięć lub odmów informacji, a także ich stosowania. Inspektora ochrony danych informuje się na piśmie o wyniku takiego przeglądu.
3. Administratorzy danych dokumentują należycie zaangażowanie inspektora ochrony danych określone w ust. 1 i 2 w odniesieniu do stosowania ograniczeń oraz wstrzymania, pominięcia lub odmowy informacji, w tym informacje przekazywane inspektorowi ochrony danych.
4. Inspektor ochrony danych przedstawia administratorom danych, na wniosek, swoją opinię w sprawie określenia ich zakresów odpowiedzialności w kontekście uzgodnień dotyczących współadministrowania zgodnie z art. 28 ust. 1 EUDPR.
Artykuł 9
Służby Wspólne
Inspektor ochrony danych współpracuje z inspektorem ochrony danych EKES-u, jeśli chodzi o przetwarzanie danych osobowych przez Służby Wspólne, w celu zapewnienia skutecznego wykonania niniejszej decyzji.
Artykuł 10
Przepisy końcowe
1. Sekretarz generalny może w stosownych przypadkach wydawać instrukcje lub przyjmować środki wykonawcze w celu, w razie potrzeby, dalszego doprecyzowania i wprowadzenia w życie wszelkich przepisów niniejszej decyzji, zgodnie z tą ostatnią.
2. Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 25 stycznia 2022 r.
W imieniu Prezydium Komitetu Regionów
Przewodniczący
Apostolos TZITZIKOSTAS
(1) Dz.U. C 202 z 7.6.2016, s. 47.
(2) Dz.U. L 295 z 21.11.2018, s. 39.
(3) Dz.U. L 472 z 30.12.2021, s. 1.
(4) Decyzja nr 19/2020 Prezydium Komitetu Regionów z dnia 9 października 2020 r. w sprawie przyjęcia przepisów wykonawczych dotyczących rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwana dalej „decyzją nr 19/2020”).
(5) Traktat o Unii Europejskiej (TUE) (Dz.U. C 202 z 7.6.2016, s. 13) i Traktat o funkcjonowaniu Unii Europejskiej (TFUE).
(6) Załącznik do rozporządzenia Rady nr 31 (EWG), 11 (EWEA) ustanawiającego regulamin pracowniczy urzędników i warunki zatrudnienia innych pracowników Europejskiej Wspólnoty Gospodarczej i Europejskiej Wspólnoty Energii Atomowej (Dz.U. P 45 z 14.6.1962, s. 1385), zmienionego rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiającym regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiającym specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1) oraz dalej zmienionego, przekształconego, uzupełnionego lub w inny sposób zmodyfikowanego.
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
(8) Obejmujących między innymi dodatki z tytułu kosztów ogólnych, dodatki na zatrudnienie pracowników, dodatki na sprzęt i pomieszczenia biurowe, diety za czas podróży, diety dzienne i diety za udział w posiedzeniach (zdalnych), a także inne rekompensaty wypłacane zgodnie z art. 238 rozporządzenia finansowego.
(9) Litera ta nie ma zastosowania do przetwarzania danych osobowych, w odniesieniu do których OLAF jest wyłącznym administratorem, zwłaszcza w sytuacjach, gdy OLAF przetwarza dane osobowe przechowywane w siedzibie Komitetu.
(10) Obejmujące między innymi umowy o pracę, umowy o świadczenie usług i dane dotyczące wyjazdów służbowych.
(11) Obejmujące między innymi zapisy audio i wideo oraz rejestry logowania i wylogowania.
(12) Obejmujące między innymi czasy logowania i wylogowania, dostęp do wewnętrznych aplikacji i zasobów sieciowych oraz korzystanie z internetu.
(13) O ile dane te są przetwarzane zgodnie z art. 10 ust. 2 EUDPR.
(14) Obejmujące między innymi testy pisemne, nagrane wypowiedzi ustne, arkusze ocen, a także oceny, spostrzeżenia i opinie oceniających.
(15) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
(16) Decyzja nr 129/2003 sekretarza generalnego Komitetu Regionów z dnia 17 czerwca 2003 r. w sprawie zarządzania dokumentami w Komitecie Regionów.