This document is an excerpt from the EUR-Lex website
Document 32018D1962
Commission Decision (EU) 2018/1962 of 11 December 2018 laying down internal rules concerning the processing of personal data by the European Anti-Fraud Office (OLAF) in relation to the provision of information to data subjects and the restriction of certain of their rights in accordance with Article 25 of Regulation (EU) 2018/1725 of the European Parliament and of the Council
Decyzja Komisji (UE) 2018/1962 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw zgodnie z art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725
Decyzja Komisji (UE) 2018/1962 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw zgodnie z art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725
C/2018/8654
Dz.U. L 315 z 12.12.2018, p. 41–46
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
12.12.2018 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 315/41 |
DECYZJA KOMISJI (UE) 2018/1962
z dnia 11 grudnia 2018 r.
ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw zgodnie z art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,
a także mając na uwadze, co następuje:
(1) |
Europejski Urząd ds. Zwalczania Nadużyć Finansowych („Urząd”) ustanowiono decyzją Komisji 1999/352/WE, EWWiS, Euratom (1) jako służbę Komisji. Urząd prowadzi dochodzenia w sposób w pełni niezależny. |
(2) |
Urząd prowadzi dochodzenia administracyjne w celu zwalczania nadużyć finansowych, korupcji i wszelkiej innej nielegalnej działalności na szkodę interesów finansowych Unii zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 (2). W tym celu Urząd wykonuje uprawnienia w zakresie prowadzenia dochodzeń przyznane Komisji na mocy odpowiednich unijnych aktów prawnych w państwach członkowskich, a zgodnie z obowiązującymi porozumieniami w sprawie współpracy i wzajemnej pomocy i innymi instrumentami prawnymi – w państwach trzecich i w pomieszczeniach organizacji międzynarodowych. |
(3) |
Urząd prowadzi również dochodzenia administracyjne w instytucjach, organach i jednostkach administracyjnych ustanowionych traktatami lub na ich podstawie. W ramach swojego mandatu dochodzeniowego Urząd gromadzi informacje na potrzeby dochodzeń, m.in. dane osobowe, z różnych źródeł – organów publicznych, podmiotów prywatnych i osób fizycznych – oraz wymienia je z instytucjami, organami i jednostkami organizacyjnymi Unii, z właściwymi organami państw członkowskich i państw trzecich, jak również z organizacjami międzynarodowymi przed dochodzeniem lub działaniami koordynacyjnymi, w ich trakcie lub po ich zakończeniu. |
(4) |
W ramach swojej działalności Urząd przetwarza kilka kategorii danych osobowych, w szczególności dane identyfikacyjne, dane kontaktowe, dane zawodowe i dane dotyczące udziału w sprawie. Urząd, reprezentowany przez dyrektora generalnego, działa jako administrator danych. Dane osobowe przechowywane są w zabezpieczonym środowisku elektronicznym, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowywane są przez piętnaście lat od umorzenia sprawy lub zakończenia dochodzenia, lub zamknięcia sprawy dotyczącej koordynacji na mocy decyzji dyrektora generalnego. Po upływie okresu przechowywania informacje dotyczące sprawy, w tym dane osobowe, przekazywane są do archiwów historycznych. |
(5) |
W trakcie wykonywania swoich zadań Urząd zobowiązany jest przestrzegać praw osób fizycznych w odniesieniu do przetwarzania danych osobowych uznanych w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i w art. 16 ust. 1 Traktatu, jak również w aktach prawnych opartych na tych przepisach. Jednocześnie Urząd zobowiązany jest do przestrzegania ścisłych zasad poufności i tajemnicy zawodowej, o których mowa w art. 10 rozporządzenia (UE, Euratom) nr 883/2013, oraz poszanowania praw procesowych osób objętych dochodzeniem i świadków, o których to prawach jest mowa w art. 9 tego rozporządzenia, w szczególności prawa osób, których dotyczy zasada domniemania niewinności. |
(6) |
Zabezpieczone środowisko elektroniczne, w którym przechowywane są dane osobowe, jak również gwarancje proceduralne i ścisłe zasady poufności i tajemnicy zawodowej, o których mowa odpowiednio w art. 9 i 10 rozporządzenia (UE, Euratom) nr 883/2013, zapewniają wysoki poziom ochrony przed związanym z przetwarzaniem ryzykiem naruszenia praw i wolności osób, których dane dotyczą. |
(7) |
W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 (3), z wymogami dochodzeń i zasadą poufności wymiany informacji z innymi właściwymi organami publicznymi, jak również z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 wspomnianego rozporządzenia stanowi, że Urząd może ograniczyć stosowanie art. 14–22, 35 i 36, a także art. 4 w zakresie, w jakim przepisy tego rozporządzenia odpowiadają prawom i obowiązkom przewidzianym w art. 14–22. |
(8) |
Urząd wyznaczył, na mocy art. 10 ust. 4 rozporządzenia (UE, Euratom) nr 883/2013, inspektora ochrony danych zgodnie z art. 24 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady (4). |
(9) |
Aby zapewnić poufność i skuteczność prowadzonych przez Urząd dochodzeń i innych czynności operacyjnych i jednocześnie przestrzegać norm w zakresie ochrony danych osobowych na mocy rozporządzenia (UE) 2018/1725, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których OLAF może ograniczyć prawa osób, których dane dotyczą, zgodnie z art. 25 tego rozporządzenia. |
(10) |
Zakres niniejszego aktu prawnego powinien obejmować wszystkie operacje przetwarzania przeprowadzane przez Urząd w trakcie sprawowania przez niego niezależnej funkcji dochodzeniowej. Przepisy wewnętrzne powinny mieć zastosowanie do operacji przetwarzania dokonanych przed wszczęciem dochodzenia, zarówno podczas dochodzeń wewnętrznych, jak i zewnętrznych, o których mowa w art. 3 i 4 rozporządzenia (UE, Euratom) nr 883/2013, oraz w trakcie monitorowania działań następczych w odniesieniu do wyników dochodzeń. Powinny one mieć również zastosowanie do operacji przetwarzania, które należą do czynności związanych z funkcją dochodzeniową, takich jak system zgłaszania nadużyć finansowych, analizy operacyjne, bazy danych współpracy międzynarodowej, a także operacje, które mogą zawierać dane jak w przypadku dochodzeń, np. dochodzeń podejmowanych przez inspektora ochrony danych, lub innych procesów składania skarg prowadzonych przez Urząd. Niniejszy akt prawny powinien obejmować swoim zakresem również pomoc i współpracę ze strony Urzędu na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez niego dochodzenia administracyjne. |
(11) |
W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Urząd powinien informować wszystkie osoby fizyczne o swoich działaniach związanych z przetwarzaniem ich danych osobowych i o ich prawach w sposób przejrzysty i spójny w formie informacji o ochronie danych publikowanych na stronie internetowej Urzędu, jak również powinien – indywidualnie i w odpowiednim formacie – informować osoby, których dane dotyczą i które mają związek z dochodzeniem, tj. osoby zainteresowane, świadków i informatorów. |
(12) |
Bez uszczerbku dla stosowania wyjątków określonych w rozporządzeniu (UE) 2018/1725 Urząd może musieć ograniczyć przekazywanie informacji do osób, których dane dotyczą, oraz ograniczyć stosowanie innych praw osób, których dane dotyczą, w celu ochrony własnych dochodzeń, dochodzeń i postępowań prowadzonych przez organy publiczne państw członkowskich, narzędzi i metod dochodzeniowych, jak również praw innych osób związanych z jego dochodzeniami. |
(13) |
W niektórych przypadkach dostarczenie konkretnych informacji osobom, których dane dotyczą, lub ujawnienie istnienia dochodzenia może uniemożliwić lub poważnie zakłócić osiągnięcie celu operacji przetwarzania i zdolność Urzędu lub właściwych organów krajowych i instytucji, organów i jednostek organizacyjnych Unii do prowadzenia skutecznych dochodzeń w przyszłości. |
(14) |
Ponadto Urząd jest zobowiązany do ochrony tożsamości informatorów, w tym sygnalistów, oraz świadków, którzy nie powinni odczuwać negatywnych konsekwencji w związku z ich współpracą z Urzędem. |
(15) |
Z tych względów Urząd może być zmuszony do zastosowania ograniczeń z powodu przesłanek, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, w odniesieniu do operacji przetwarzania danych prowadzonych w ramach zadań Urzędu określonych w art. 2 decyzji 1999/352/WE, EWWiS, Euratom. |
(16) |
W celu utrzymania skutecznej współpracy Urząd może być zmuszony także do stosowania ograniczeń w odniesieniu do praw osób, których dane dotyczą, do ochrony informacji zawierających dane osobowe pochodzących od służb Komisji lub innych instytucji, organów i jednostek organizacyjnych Unii, właściwych organów państw członkowskich i państw trzecich, a także od organizacji międzynarodowych. W tym celu Urząd powinien konsultować z tymi służbami, instytucjami, organami i jednostkami organizacyjnymi Unii, a także agencjami, organami państw i organizacjami międzynarodowymi istotne przesłanki zastosowania ograniczeń, konieczność ich zastosowania oraz ich proporcjonalność. |
(17) |
W ramach swojej funkcji dochodzeniowej Urząd często wymienia się informacjami, w tym danymi osobowymi, m.in. ze służbami Komisji i agencjami wykonawczymi wspierającymi te służby we wdrażaniu ich programów. Zgodnie z art. 25 ust. 5 rozporządzenia (UE) 2018/1725, który wymaga przyjęcia wewnętrznych przepisów na najwyższym szczeblu kierownictwa instytucji, organów, agencji i urzędów Unii, niniejsza decyzja obejmuje przetwarzanie danych osobowych zawartych w informacjach, które instytucje, organy, agencje i urzędy Unii są zobowiązane przekazywać Urzędowi. W związku z tym wszystkie służby Komisji i agencje wykonawcze, które przetwarzają dane osobowe, podlegają obowiązkowi powiadamiania Urzędu zgodnie z art. 8 ust. 1 rozporządzenia (UE, Euratom) nr 883/2013, a w przypadku gdy takie dane osobowe przetwarza Urząd w ramach wykonywania swoich zadań, zastosowanie powinny mieć przepisy określone w niniejszej decyzji w celu ochrony operacji przetwarzania przeprowadzanych przez Urząd. W takich okolicznościach zainteresowane służby Komisji i agencje wykonawcze powinny zatem skonsultować z Urzędem istotne przesłanki zastosowania ograniczeń, konieczność ich zastosowania oraz ich proporcjonalność w celu zapewnienia ich spójnego stosowania. |
(18) |
Urząd, a w stosownych przypadkach służby Komisji i agencje wykonawcze, powinny rozpatrywać wszystkie ograniczenia w przejrzysty sposób i rejestrować każde zastosowanie ograniczeń w odpowiednim systemie rejestracji. |
(19) |
Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administratorzy danych mogą wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia lub odmówić przekazania takich informacji, jeżeli mogłoby to w jakikolwiek sposób zagrozić celowi ograniczenia. W szczególności gdy stosuje się ograniczenie praw przewidzianych w art. 16 i 35, zgłoszenie takiego ograniczenia zagrażałoby celowi ograniczenia. Urząd powinien regularnie weryfikować swoje stanowisko, aby zapewnić, że prawo osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 38 rozporządzenia (UE) 2018/1725 jest ograniczone wyłącznie tak długo, jak długo zachodzą przesłanki opóźnienia przekazania tych informacji. |
(20) |
W przypadku ograniczenia innych praw osób, których dane dotyczą, administrator danych powinien ocenić w poszczególnych przypadkach, czy poinformowanie o ograniczeniu zagrażałoby celowi takiego ograniczenia. |
(21) |
Inspektor ochrony danych w Urzędzie, a w stosownych przypadkach inspektor ochrony danych w Komisji lub danej agencji wykonawczej, powinien również przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją, |
(22) |
Rozporządzenie (UE) 2018/1725 zastępuje rozporządzenie (WE) nr 45/2001, bez żadnego okresu przejściowego, od dnia jego wejścia w życie. Rozporządzenie (WE) nr 45/2001 przewiduje możliwość zastosowania ograniczeń w odniesieniu do niektórych praw. Aby nie stwarzać zagrożenia dla realizacji celu dochodzeń leżących w zakresie kompetencji Urzędu i aby uniknąć negatywnego wpływu na prawa i wolności innych osób, niniejsza decyzja powinna mieć zastosowanie od dnia wejścia w życie rozporządzenia (UE) 2018/1725. |
(23) |
W dniu 23 listopada 2018 r. skonsultowano się z Europejskim Inspektorem Ochrony Danych, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Cel, przedmiot i zakres stosowania
1. Niniejsza decyzja ustanawia przepisy, których Europejski Urząd ds. Zwalczania Nadużyć Finansowych („Urząd”) zobowiązany jest przestrzegać, dotyczące informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725.
Ustanawia ona także warunki, na jakich Urząd może ograniczyć stosowanie art. 4, 14–20 i 35 rozporządzenia (UE) 2018/1725, zgodnie z art. 25 tego rozporządzenia.
2. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Urząd na potrzeby działań prowadzonych w celu wykonania przez Urząd jego zadań, o których mowa w art. 2 decyzji 1999/352/WE, EWWiS, Euratom i w rozporządzeniu (UE, Euratom) nr 883/2013, lub w związku z takimi działaniami.
3. Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez służby Komisji i agencje wykonawcze w zakresie, w jakim przetwarzają one dane osobowe zawarte w informacjach, które są zobowiązane przekazać Urzędowi zgodnie z art. 8 ust. 1 rozporządzenia (UE, Euratom) nr 883/2013, lub do danych osobowych już przetworzonych przez Urząd na potrzeby działań, o których mowa w ust. 2 niniejszego artykułu, lub w związku z takimi działaniami.
Artykuł 2
Obowiązujące wyjątki i ograniczenia
1. Urząd, wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki przewidziane w tym rozporządzeniu.
2. Z zastrzeżeniem art. 3–6 niniejszej decyzji Urząd może ograniczyć stosowanie art. 14–20 i 35 rozporządzenia (UE) 2018/1725, a także jego art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–20 i art. 35 rozporządzenia (UE) 2018/1725, w przypadku gdy wykonywanie tych praw i obowiązków zagrażałoby celowi dochodzeń prowadzonych przez Urząd, m.in. przez ujawnienie jego narzędzi i metod dochodzeniowych, lub naruszałoby prawa i wolności innych osób, których dane dotyczą.
3. Z zastrzeżeniem art. 3–6 niniejszej decyzji Urząd może również ograniczyć prawa i obowiązki, o których mowa w ust. 2 niniejszego artykułu, w odniesieniu do danych osobowych uzyskanych od służb Komisji lub innych instytucji, organów i jednostek organizacyjnych Unii, właściwych organów państw członkowskich, państw trzecich lub organizacji międzynarodowych, jeżeli zachodzą następujące okoliczności:
a) |
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii; |
b) |
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (5), lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 (6); |
c) |
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Urzędu z państwami trzecimi lub organizacjami międzynarodowymi przy wypełnianiu jego zadań. |
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapit pierwszy, Urząd konsultuje się z właściwymi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że Urząd nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.
Litera c) akapit pierwszy nie ma zastosowania, w przypadku gdy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, przeważają nad interesem Unii dotyczącym współpracy z państwami trzecimi lub organizacjami międzynarodowymi.
4. Gdy służby Komisji i agencje wykonawcze przetwarzają dane osobowe w przypadkach, o których mowa w art. 1 ust. 3, zgodnie z niniejszą decyzją mogą one, jeżeli uznają to za stosowne, zastosować ograniczenia. W tym celu konsultują się one z Urzędem, chyba że dana służba Komisji lub agencja wykonawcza nie ma wątpliwości, że zastosowanie ograniczenia jest uzasadnione na mocy niniejszej decyzji.
Artykuł 3
Przekazywanie informacji osobom, których dane dotyczą
1. Urząd publikuje na swojej stronie internetowej informacje o ochronie danych, w ramach których informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych.
2. Urząd indywidualnie informuje wszystkie osoby, których dane dotyczą i które uznaje za osoby zainteresowane, świadków lub informatorów w rozumieniu rozporządzenia (UE, Euratom) nr 883/2013.
3. W przypadku całkowitego lub częściowego ograniczenia przez Urząd przekazywania informacji osobom, których dane dotyczą i o których mowa w art. 2, Urząd zapisuje przyczyny zastosowania takiego ograniczenia, w tym ocenę jego konieczności i proporcjonalności.
W tym celu we wpisie określa się, w jaki sposób przekazanie takich informacji zagroziłoby celowi działań dochodzeniowych prowadzonych przez Urząd lub celowi ograniczeń mających zastosowanie zgodnie z art. 2 ust. 3 lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.
W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
4. Ograniczenie, o którym mowa w ust. 3, stosuje się tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.
Gdy przyczyny stosowania ograniczenia przestają obowiązywać, Urząd przekazuje stosowne informacje osobie, której dane dotyczą, oraz podaje jej przyczyny ograniczenia. Jednocześnie Urząd informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
Urząd dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia. Następnie administrator danych raz w roku monitoruje konieczność zachowania jakichkolwiek ograniczeń.
Artykuł 4
Prawo dostępu przysługujące osobie, której dane dotyczą
1. Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnej operacji przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Urząd ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.
2. W przypadku gdy Urząd ogranicza, całkowicie lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje on następujące kroki:
a) |
w odpowiedzi na wniosek informuje przedmiotową osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej; |
b) |
rejestruje przyczyny stosowania ograniczenia, m.in. oceniając, czy jest ono konieczne i proporcjonalne; w tym celu we wpisie określa się, w jaki sposób przyznanie dostępu zagroziłoby celowi działań dochodzeniowych prowadzonych przez Urząd lub celowi ograniczeń mających zastosowanie zgodnie z art. 2 ust. 3, lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą. |
Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub go odmówić.
3. W rejestrze uwzględnia się wpis, o którym mowa w ust. 2 lit. b), oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych. Zastosowanie ma art. 25 ust. 7 rozporządzenia (UE) 2018/1725.
Artykuł 5
Prawo do poprawiania danych, ich usunięcia i ograniczenia przetwarzania
Jeżeli Urząd ogranicza, całkowicie lub częściowo, stosowanie prawa do poprawiania danych, ich usunięcia lub ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje on kroki określone w art. 4 ust. 2 niniejszej decyzji i rejestruje wpis zgodnie z art. 4 ust. 3 niniejszej decyzji.
Artykuł 6
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Jeżeli Urząd ogranicza zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, o czym mowa w art. 35 rozporządzenia (UE) 2018/1725, zapisuje on i rejestruje powody takiego ograniczenia zgodnie z art. 3 ust. 3 niniejszej decyzji. Zastosowanie ma art. 3 ust. 4 niniejszej decyzji.
Artykuł 7
Przegląd prowadzony przez inspektora ochrony danych
1. Inspektor ochrony danych w Urzędzie jest informowany bez zbędnej zwłoki, ilekroć prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą decyzją. Uzyskuje on dostęp do rejestru oraz wszelkich leżących u jego podstaw dokumentów zawierających elementy stanu faktycznego oraz aspekty prawne.
Inspektor ochrony danych w Urzędzie może wystąpić z wnioskiem o ponowny przegląd tych ograniczeń. Jest on informowany na piśmie o wynikach wnioskowanego przeglądu.
2. Jeżeli służby Komisji i agencje wykonawcze przetwarzają dane osobowe w przypadkach, o których mowa w art. 1 ust. 3, należy poinformować, bez zbędnej zwłoki, inspektora ochrony danych w Komisji lub, w stosownych przypadkach, inspektora ochrony danych w zainteresowanej agencji wykonawczej, ilekroć prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą decyzją. Inspektor ochrony danych w Komisji lub, w stosownych przypadkach, inspektor ochrony danych w zainteresowanej agencji wykonawczej uzyskuje na wniosek dostęp do rejestru oraz wszelkich leżących u jego podstaw dokumentów zawierających elementy stanu faktycznego oraz aspekty prawne.
Inspektor ochrony danych w Komisji lub, w stosownych przypadkach, inspektor ochrony danych w agencji wykonawczej może wystąpić z wnioskiem o przegląd wspomnianych ograniczeń. Inspektor ochrony danych w Komisji lub inspektor ochrony danych w agencji wykonawczej jest informowany na piśmie o wynikach wnioskowanego przeglądu.
3. Wszelka wymiana informacji z inspektorem ochrony danych przez cały czas trwania procedury jest odnotowywana w odpowiedniej formie.
Artykuł 8
Wejście w życie
Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia 11 grudnia 2018 r.
Sporządzono w Brukseli dnia 11 grudnia 2018 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
(1) Decyzja Komisji 1999/352/WE, EWWiS, Euratom z dnia 28 kwietnia 1999 r. ustanawiająca Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) (Dz.U. L 136 z 31.5.1999, s. 20).
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 z dnia 11 września 2013 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz uchylające rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady i rozporządzenie Rady (Euratom) nr 1074/1999 (Dz.U. L 248 z 18.9.2013, s. 1).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(4) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(6) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).