This document is an excerpt from the EUR-Lex website
Document 32018D1961
Commission Decision (EU) 2018/1961 of 11 December 2018 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of the processing of personal data for the purpose of internal audit activities
Decyzja Komisji (UE) 2018/1961 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów działań w zakresie audytu wewnętrznego
Decyzja Komisji (UE) 2018/1961 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów działań w zakresie audytu wewnętrznego
C/2018/8587
Dz.U. L 315 z 12.12.2018, p. 35–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
12.12.2018 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 315/35 |
DECYZJA KOMISJI (UE) 2018/1961
z dnia 11 grudnia 2018 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów działań w zakresie audytu wewnętrznego
KOMISJA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,
a także mając na uwadze, co następuje:
(1) |
Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (1) nakłada na każdą instytucję unijną wymóg ustanowienia funkcji audytu wewnętrznego, która będzie działać zgodnie z odpowiednimi normami międzynarodowymi. W Komisji audyt wewnętrzny prowadzi Służba Audytu Wewnętrznego („Służba”), która została utworzona w dniu 11 kwietnia 2000 r. Służba prowadzi również działania audytowe w zdecentralizowanych agencjach Unii i w innych autonomicznych organach otrzymujących wkłady z budżetu Unii. |
(2) |
Służba prowadzi audyt wewnętrzny zgodnie z art. 117 do 123 rozporządzenia (UE, Euratom) 2018/1046 oraz ze swoim statutem (2). Służba ma w związku z tym pełną niezależność oraz pełny i nieograniczony dostęp do wszystkich informacji niezbędnych do prowadzenia działalności w zakresie audytu wewnętrznego w odniesieniu do wszystkich działań i departamentów danej instytucji Unii. |
(3) |
Służba doradza innym departamentom Komisji, agencjom wykonawczym i unijnym agencjom zdecentralizowanym oraz innym niezależnym podmiotom, które otrzymują wkłady z budżetu Unii, w jaki sposób radzić sobie z sytuacjami ryzyka, tj. wszelkimi ewentualnymi wydarzeniami lub kwestiami, które mogłyby niekorzystnie wpłynąć na realizację politycznego, strategicznego i operacyjnego celu Komisji, poprzez wydawanie niezależnych opinii na temat jakości systemów zarządzania i kontroli oraz poprzez wydawanie zaleceń mających na celu poprawę warunków wdrażania działań i promowanie należytego zarządzania finansami zgodnie z art. 117–123 rozporządzenia (UE, Euratom) 2018/1046. W związku z tym działania Służby Audytu Wewnętrznego zazwyczaj nie są ukierunkowane na osoby fizyczne. Niemniej jednak, w trakcie swojej działalności Służba zmuszona jest przetwarzać dane osobowe w rozumieniu art. 3 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (3). Prowadzone przez Służbę działania w ramach audytu wewnętrznego obejmują ocenę przydatności i skuteczności wewnętrznych systemów zarządzania oraz działania różnych departamentów w zakresie realizacji polityk, programów i działań, a także wydajności i skuteczności systemów kontroli wewnętrznej i audytu wewnętrznego, mających zastosowanie do każdej operacji w ramach wykonywania budżetu. Dlatego też przyczyniają się one do ochrony ważnych interesów gospodarczych i finansowych Unii oraz państw członkowskich. Służba jest administratorem danych dotyczących operacji przetwarzania, które przeprowadza zgodnie z art. 118 i art. 119 ust. 2 rozporządzenia finansowego. |
(4) |
Działania w zakresie audytu wewnętrznego prowadzone w Komisji i jej agencjach wykonawczych oraz w agencjach zdecentralizowanych i w innych autonomicznych organach Unii różnią się od siebie pod względem formy i treści, od usług atestacyjnych (w tym oceny ryzyka) oraz zadań konsultacyjnych, do przeglądów o ograniczonym zakresie i z ograniczonymi działaniami następczymi. |
(5) |
Komitet ds. Audytu, zgodnie ze swoim statutem, uaktualnionym w dniu 21 listopada 2018 r. (C (2018) 7707), jest organem doradczym (4), który wspomaga Komisję w wypełnianiu jej obowiązków wynikających z traktatów i innych aktów prawnych [rozporządzenie (UE, Euratom) 2018/1046] poprzez zapewnienie niezależności Służby Audytu Wewnętrznego, poprzez monitorowanie jakości pracy w ramach audytu wewnętrznego, a także przez zapewnienie, aby służby Komisji należycie uwzględniały zalecenia z audytu wewnętrznego i zewnętrznego i aby towarzyszyły im odpowiednie działania następcze. W ten sposób Komitet ds. Audytu przyczynia się do ogólnej dalszej poprawy skuteczności i efektywności Komisji pod względem osiągania jej celów oraz ułatwia nadzór Kolegium nad stosowanymi przez Komisję praktykami zarządzania, zarządzania ryzykiem oraz kontroli wewnętrznej. Komitet ds. Audytu kontroluje operacje przetwarzania danych, które przeprowadza zgodnie z art. 123 rozporządzenia finansowego. |
(6) |
Do celów swojej działalności zgodnie z art. 118 i art. 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046, działając z własnej inicjatywy lub na podstawie otrzymanych informacji, Komisja przetwarza dane osobowe uzyskane lub otrzymane od osób prawnych, osób fizycznych, państw członkowskich oraz organów i organizacji międzynarodowych. Podczas takich działań w ramach audytu wewnętrznego Służba może również przetwarzać dane osobowe nabyte lub otrzymane z publicznie dostępnych źródeł, ze źródeł anonimowych lub ze zidentyfikowanych źródeł, które wymagają ochrony tożsamości. |
(7) |
Komisja może z kolei dokonywać wymiany danych osobowych z instytucjami, organami, biurami i agencjami Unii, z właściwymi organami państw członkowskich oraz, w ramach odpowiednich umów międzynarodowych lub umów o współpracy, z państwami trzecimi i organizacjami międzynarodowymi. |
(8) |
Działania w zakresie przetwarzania danych osobowych w rozumieniu art. 3 ust. 3 rozporządzenia (UE) 2018/1725, prowadzone w ramach działań w zakresie audytu wewnętrznego, mogą mieć miejsce nawet przed formalnym zainicjowaniem tych działań przez Komisję, przez cały czas trwania audytu wewnętrznego, i mogą być kontynuowane nawet po formalnym zamknięciu działań audytowych (na przykład do celów monitorowania wdrażania zaleceń, aby ocenić, czy konieczne jest wszczęcie nowych czynności audytowych). |
(9) |
Kategorie danych osobowych przetwarzanych przez Komisję obejmują dane identyfikacyjne, dane kontaktowe, dane zawodowe i dane dotyczące przedmiotu działalności. Takie kategorie danych osobowych przechowywane są w zabezpieczonym środowisku elektronicznym w celu zapobieżenia bezprawnemu dostępowi do danych lub przekazaniu ich osobom z naruszeniem zasady ograniczonego dostępu. Dane osobowe przechowywane są przez okres maksymalnie dziesięciu lat. Na koniec okresu przechowywania informacje dotyczące czynności w ramach audytu wewnętrznego, w tym dane osobowe, przekazywane są do historycznych archiwów Komisji (5) lub niszczone. |
(10) |
Przy wykonywaniu swoich czynności w ramach audytu wewnętrznego Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu, jak również praw określonych w rozporządzeniu (UE) 2018/1725. Jednocześnie Komisja musi przestrzegać ścisłych zasad poufności zawartych w międzynarodowych standardach audytu wewnętrznego, zgodnie z art. 117 rozporządzenia (UE, Euratom) 2018/1046. |
(11) |
W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, określonych w rozporządzeniu (UE) 2018/1725, z wymogami czynności w ramach audytu wewnętrznego i zasadą poufności wymiany informacji z osobami fizycznymi i prawnymi, jak również z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725 daje Służbie możliwość ograniczenia zastosowania art. 14–17, 19, 20 i 35, a także zasady przejrzystości, określonej w art. 4 ust. 1 lit. a), o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–17, 19, 20 i 35 tego rozporządzenia. |
(12) |
Aby zapewnić skuteczność działań w ramach audytu wewnętrznego, przy jednoczesnym przestrzeganiu standardów ochrony danych osobowych zgodnie z rozporządzeniem (UE) 2018/1725, które zastąpiło rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady (6), konieczne jest przyjęcie wewnętrznych zasad, na mocy których Komisja może ograniczyć prawa osób, których dane dotyczą, zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725. |
(13) |
Te przepisy wewnętrzne powinny obejmować wszystkie operacje przetwarzania przeprowadzone przez Komisję w ramach jej uprawnień w zakresie działań w ramach audytu wewnętrznego, niezależnie od tego, czy działa z własnej inicjatywy, czy też na podstawie otrzymanych informacji, jeżeli korzystanie z praw przysługujących osobom, których dane dotyczą, może zagrozić prowadzeniu działań w ramach audytu wewnętrznego. Przepisy te powinny mieć zastosowanie do operacji przetwarzania dokonywanych przed oficjalnym rozpoczęciem zadania, w trakcie jego realizacji, jak również w trakcie monitorowania działań następczych w związku z jego wynikiem. |
(14) |
W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Komisja powinna informować – w sposób przejrzysty i spójny, w formie oświadczenia o ochronie danych publikowanej na stronie internetowej Komisji – wszystkie osoby fizyczne o swoich działaniach obejmujących przetwarzanie ich danych osobowych oraz o ich prawach. W stosownych przypadkach Komisja powinna wprowadzić dodatkowe środki ochronne, aby zagwarantować, że osoby, których dane dotyczą, zostaną we właściwy sposób indywidualnie poinformowane. |
(15) |
Zgodnie z art. 25 rozporządzenia (UE) 2018/1725 Komisja może również ograniczyć udzielanie informacji osobom, których dane dotyczą, oraz stosowanie ich innych praw, w celu ochrony swoich własnych działań w ramach audytu wewnętrznego, audytu organów publicznych w państwach członkowskich, narzędzi i metod audytu, jak również praw innych osób związanych z działaniami w zakresie audytu wewnętrznego. |
(16) |
Aby utrzymać skuteczną współpracę Komisja może być ponadto zmuszona ograniczyć stosowanie praw osób, których dane dotyczą, celem ochrony procesów przetwarzania dokonywanych przez jej służby lub inne instytucje, organy i jednostki organizacyjne Unii lub organów państw członkowskich, organizacji międzynarodowych, jak również Komitetu ds. Audytu. W tym celu Komisja powinna skonsultować się z tymi służbami, instytucjami, organami, biurami, agencjami, władzami i organizacjami, jak również z Komitetem ds. Audytu, w kwestii stosownych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń. |
(17) |
Komisja może również ograniczyć udzielanie informacji osobom, których dane dotyczą, i stosowanie innych praw tych osób w odniesieniu do danych osobowych otrzymywanych od państw trzecich lub organizacji międzynarodowych celem współpracy z tymi państwami lub organizacjami, a tym samym służenia ważnemu celowi leżącemu w ogólnym interesie publicznym Unii. W pewnych okolicznościach interes lub prawa podstawowe osoby, której dane dotyczą, mogą jednak przeważać nad interesem współpracy międzynarodowej. |
(18) |
Komisja powinna rozpatrywać wszystkie ograniczenia w sposób przejrzysty i każde zastosowanie ograniczeń rejestrować w odpowiednim systemie rejestracji. |
(19) |
Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administratorzy mogą wstrzymać przekazanie informacji, pominąć je lub odmówić go z powodów zastosowania ograniczenia w stosunku do osoby, której dane dotyczą, jeżeli przekazanie tych informacji w jakikolwiek sposób zagroziłoby celowi tego ograniczenia. Dotyczy to w szczególności ograniczeń praw przewidzianych w art. 16 i 35 rozporządzenia (UE) 2018/1725. |
(20) |
W przypadku ograniczenia innych praw osób, których dane dotyczą, administrator danych służby audytu wewnętrznego powinien ocenić w odniesieniu do każdego przypadku, czy poinformowanie o ograniczeniu zagrażałoby celowi takiego ograniczenia. |
(21) |
Inspektor ochrony danych Komisji Europejskiej powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją, |
(22) |
Rozporządzenie (UE) 2018/1725 zastępuje rozporządzenie (WE) nr 45/2001, bez żadnego okresu przejściowego, od dnia jego wejścia w życie. Rozporządzenie (WE) nr 45/2001 przewiduje możliwość zastosowania ograniczeń w odniesieniu do niektórych praw. Aby uniknąć zagrożenia dla zgodności z prawem działań w ramach audytu wewnętrznego, niniejsza decyzja powinna mieć zastosowanie od dnia wejścia w życie rozporządzenia (UE) 2018/1725. |
(23) |
Europejski Inspektor Ochrony Danych wydał opinię w dniu 27 listopada 2018 r., |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres
1. Niniejsza decyzja ustanawia zasady obowiązujące Komisję w zakresie informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725, kiedy prowadzi ona działania w ramach audytu wewnętrznego zgodnie z art. 117–123 rozporządzenia (UE, Euratom) 2018/1046.
Określa ona również warunki, na jakich Komisja może ograniczyć stosowanie art. 4, 14–17, 19, 20 i 35 rozporządzenia (UE) 2018/1725, zgodnie z jego art. 25 ust. 1 lit. c), g) i h).
2. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Komisję do celów działań prowadzonych w celu wykonania jej zadań zgodnie z art. 118 i art. 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046.
3. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych w Komisji, o ile Komisja przetwarza dane osobowe zawarte w informacjach, które są wymagane do celów lub w związku z działaniami, o których mowa w niniejszym artykule.
Artykuł 2
Obowiązujące wyjątki i ograniczenia
1. Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, Komisja uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
2. Z zastrzeżeniem art. 3–7 niniejszej decyzji, Komisja może ograniczyć stosowanie art. 14–17, 19, 20 i 35 rozporządzenia (UE) 2018/1725, a także stosowanie zasady przejrzystości określonej w art. 4 ust. 1 lit. a) tego rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom określonym w art. 14–17, 19, 20 i 35 tego rozporządzenia, w przypadku gdy wykonywanie tych praw i obowiązków zagrażałoby celowi działań Komisji podlegających art. 118 i 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046, w tym przez ujawnienie jej narzędzi i metod audytowych, lub naruszałoby prawa i wolności innych osób, których dane dotyczą.
3. Z zastrzeżeniem art. 3–7 Komisja może ograniczyć prawa i obowiązki, o których mowa w ust. 2 niniejszego artykułu, w odniesieniu do danych osobowych uzyskanych od innych instytucji, organów i jednostek organizacyjnych Unii, właściwych organów państw członkowskich, państw trzecich lub organizacji międzynarodowych, jeżeli zachodzą następujące okoliczności:
a) |
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794 (7) lub rozporządzeniem Rady (UE) 2017/1939 (8); |
b) |
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (9), lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 (10); |
c) |
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Komisji z państwami trzecimi lub organizacjami międzynarodowymi przy wykonywaniu czynności w ramach audytu wewnętrznego. |
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w akapicie pierwszym lit. a) i b), Komisja konsultuje się z odpowiednimi instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, o ile nie jest jasne dla Komisji, że stosowanie ograniczenia jest przewidziane w jednym z aktów, o których mowa w tych literach, lub jeśli takie konsultacje zagrażałyby celowi jej działań podlegających art. 118 i art. 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046.
Lit. c) akapit pierwszy nie ma zastosowania, w przypadku gdy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, przeważają nad interesem Komisji dotyczącym współpracy z państwami trzecimi lub organizacjami międzynarodowymi.
4. Ust. 1, 2 i 3 pozostają bez uszczerbku dla stosowania innych decyzji Komisji ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych praw zgodnie z art. 25 rozporządzenia (UE) 2018/1725 i art. 23 regulaminu wewnętrznego Komisji.
Artykuł 3
Przekazywanie informacji osobom, których dane dotyczą
Komisja publikuje na swojej stronie internetowej informacje o ochronie danych, w ramach których informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych do celów prowadzonej przez nią działalności zgodnie z art. 118 i art. 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046. W stosownych przypadkach Komisja powinna zagwarantować, że osoby, których dane dotyczą, zostaną we właściwy sposób indywidualnie poinformowane.
W przypadku gdy Komisja ogranicza, w całości lub w części, przekazywanie informacji osobom, których dane są przetwarzane do celów działalności prowadzonej przez nią na mocy art. 118 i 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046, odnotowuje ona i rejestruje powody ograniczenia zgodnie z art. 6.
Artykuł 4
Prawo dostępu dla osób, których dane dotyczą, prawo do usunięcia danych oraz prawo do ograniczenia przetwarzania
1. W przypadku ograniczenia, całkowitego lub częściowego, prawa dostępu, prawa do usunięcia danych lub prawa do ograniczenia przetwarzania osób, których dane dotyczą, o których to prawach mowa odpowiednio w art. 17, 19 i 20 rozporządzenia (UE) 2018/1725, Komisja informuje zainteresowaną osobę, której dane dotyczą, w odpowiedzi na jej wniosek o dostęp, usunięcie lub ograniczenie przetwarzania, o zastosowanych ograniczeniach i o ich głównych przyczynach oraz o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych lub do wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
2. Przekazanie informacji dotyczących przyczyn ograniczeń, o których mowa w ust. 1 tego artykułu, może zostać wstrzymane, pominięte lub można go odmówić tak długo, jak długo takie przekazanie naruszałoby cel ograniczenia.
3. Zgodnie z art. 6 niniejszej decyzji Komisja rejestruje powody ograniczenia.
4. W przypadku gdy prawo dostępu jest w całości lub w części ograniczone, osoba, której dane dotyczą, korzysta z prawa dostępu za pośrednictwem Europejskiego Inspektora Ochrony Danych zgodnie z art. 25 ust. 6, 7 i 8 rozporządzenia (UE) 2018/1725.
Artykuł 5
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
W przypadku gdy Komisja ogranicza zawiadomienie o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, o którym mowa w art. 35 rozporządzenia (UE) 2018/1725, zapisuje ona i rejestruje powody ograniczenia zgodnie z art. 6 niniejszej decyzji.
Artykuł 6
Zapisywanie i rejestrowanie ograniczeń
Komisja zapisuje przyczyny wszelkich ograniczeń zastosowanych zgodnie z niniejszą decyzją, dodając przy tym ocenę ich konieczności i proporcjonalności, z uwzględnieniem odpowiednich elementów art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
W tym celu we wpisie określa się, w jaki sposób wykonywanie praw mogłoby zagrozić celowi działań w zakresie prowadzenia przez Komisję działań podlegających art. 118 i art. 119 ust. 2 rozporządzenia (UE, Euratom) 2018/1046, czy też ograniczeń mających zastosowanie zgodnie z art. 2 ust. 2 lub 3, lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.
W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł 7
Okres obowiązywania ograniczeń
1. Ograniczenia, o których mowa w art. 3, 4 i 5 niniejszej decyzji, mają zastosowanie tak długo, jak długo mają zastosowanie powody uzasadniające ich zastosowanie.
2. W przypadku gdy przyczyny ograniczenia, o którym mowa w art. 3 lub 5 niniejszej decyzji, nie mają już zastosowania, Komisja znosi ograniczenia i podaje ich główne powody osobie, której dane dotyczą. Jednocześnie Komisja informuje osobę, której dane dotyczą, o możliwości wniesienia, w dowolnym momencie, skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
3. Komisja dokonuje przeglądu stosowania ograniczenia, o którym mowa w art. 3 i 5 niniejszej decyzji, co sześć miesięcy począwszy od jego przyjęcia, a także przed zamknięciem danego audytu wewnętrznego oraz po jego zamknięciu. Następnie raz w roku Komisja monitoruje konieczność zachowania jakichkolwiek ograniczeń.
Artykuł 8
Przegląd dokonywany przez inspektora ochrony danych Komisji Europejskiej
Inspektor ochrony danych Komisji Europejskiej jest niezwłocznie informowany, ilekroć prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą decyzją. Inspektor ochrony danych otrzymuje, na żądanie, dostęp do wpisu oraz wszelkich leżących u jego podstaw dokumentów zawierających elementy stanu faktycznego oraz aspekty prawne.
Inspektor ochrony danych może zwrócić się o przegląd ograniczeń. Inspektora ochrony danych należy pisemnie poinformować o wynikach wnioskowanego przeglądu.
Artykuł 9
Wejście w życie
Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej.
Niniejszą decyzję stosuje się od dnia 11 grudnia 2018 r.
Sporządzono w Brukseli dnia 11 grudnia 2018 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
(1) Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
(2) C(2017) 4435 final.
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(4) Ustanowiony w październiku 2000 r., SEC (2000) 1808/3.
(5) Zatrzymywanie dokumentacji w Komisji reguluje wspólny wykaz zatrzymywanych danych, tj. dokument regulacyjny (ostatnia wersja: SEC(2012) 713) w formie harmonogramu zatrzymywania, w którym określono okresy zatrzymywania poszczególnych rodzajów akt Komisji.
(6) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz.U. L 135 z 24.5.2016, s. 53).
(8) Rozporządzenie Rady (UE) 2017/1939 z dnia 12 października 2017 r. wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej (Dz.U. L 283 z 31.10.2017, s. 1).
(9) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(10) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).