Uwagę osób, których dane dotyczą, zwraca się na następujące informacje zgodnie z art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (1).

Podstawami prawnymi przedmiotowej operacji przetwarzania są: decyzja Rady (WPZiB) 2019/797 (2), w wersji zmienionej decyzją Rady (WPZiB) 2026/1079 (3), i rozporządzenie Rady (UE) 2019/796 (4), wykonywane rozporządzeniem wykonawczym Rady (UE) 2026/1078 (5), w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim.

Administratorem przedmiotowej operacji przetwarzania jest Rada Unii Europejskiej reprezentowana przez dyrektora generalnego Dyrekcji Generalnej ds. Stosunków Zewnętrznych (RELEX) Sekretariatu Generalnego Rady, a działem odpowiedzialnym za operację przetwarzania danych jest RELEX.1, którego dane kontaktowe są następujące:

Dane kontaktowe inspektora ochrony danych w Radzie są następujące:

Data Protection Officer

data.protection@consilium.europa.eu

Celem operacji przetwarzania jest ustanowienie i aktualizacja wykazu osób objętych środkami ograniczającymi zgodnie z decyzją (WPZiB) 2019/797, zmienioną decyzją (WPZiB) 2026/1079, i z rozporządzeniem (UE) 2019/796, wykonywanym rozporządzeniem wykonawczym (UE) 2026/1078.

Osoby, których dane dotyczą, są osobami fizycznymi, które spełniają kryteria umieszczenia w wykazie, określone w decyzji (WPZiB) 2019/797 i w rozporządzeniu (UE) 2019/796.

Przetwarzane dane osobowe obejmują: dane niezbędne do prawidłowej identyfikacji danej osoby, uzasadnienie oraz wszelkie inne dane dotyczące przyczyn umieszczenia danej osoby w wykazie.

Podstawę prawną postępowania z danymi osobowymi stanowią decyzje Rady przyjęte zgodnie z art. 29 TUE i rozporządzenia Rady przyjęte zgodnie z art. 215 TFUE, określające osoby fizyczne (osoby, których dane dotyczą) i pozwalające zamrozić aktywa i wprowadzić ograniczenia podróży.

Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym zgodnie z art. 5 ust. 1 lit. a) i do wypełnienia obowiązków prawnych określonych w wyżej wymienionych aktach prawnych i ciążących na administratorze zgodnie z art. 5 ust. 1 lit.b) rozporządzenia (UE) 2018/1725.

Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym zgodnie z art. 10 ust. 2 lit. g) rozporządzenia (UE) 2018/1725.

Rada może uzyskiwać dane osobowe osób, których dane dotyczą, od państw członkowskich lub Europejskiej Służby Działań Zewnętrznych. Odbiorcami danych osobowych są państwa członkowskie, Komisja Europejska i Europejska Służba Działań Zewnętrznych.

Wszystkie dane osobowe przetwarzane przez Radę w związku z autonomicznymi sankcjami Unii będą zatrzymywane przez pięć lat od momentu, gdy osoba, której dane dotyczą, zostanie usunięta z wykazu osób objętych zamrożeniem aktywów lub gdy ważność danego środka wygaśnie, lub jeśli wniesiona zostanie sprawa do Trybunału Sprawiedliwości – do chwili wydania prawomocnego wyroku. Dane osobowe zawarte w dokumentach zarejestrowanych przez Radę są przechowywane przez Radę do celów archiwalnych w interesie publicznym w rozumieniu art. 4 ust. 1 lit. e) rozporządzenia (UE) 2018/1725.

Może zaistnieć konieczność, by Rada dokonała wymiany danych osobowych dotyczących osób, których dane dotyczą, z państwem trzecim lub organizacją międzynarodową w związku z transponowaniem przez Radę wykazów oenzetowskich lub w kontekście współpracy międzynarodowej dotyczącej unijnej polityki w zakresie środków ograniczających.

W razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń przekazanie danych państwu trzeciemu lub organizacji międzynarodowej następuje pod następującymi warunkami, zgodnie z art. 50 rozporządzenia (UE) 2018/1725:

W przetwarzaniu danych osobowych osoby, której dane dotyczą, nie stosuje się zautomatyzowanego podejmowania decyzji.

Osoby, których dane dotyczą, mają prawo do informacji i prawo dostępu do swoich danych osobowych. Mają też prawo do ich sprostowania i uzupełnienia. W pewnych przypadkach może im przysługiwać prawo do ich usunięcia oraz prawo do sprzeciwu wobec ich przetwarzania lub do wystąpienia o ograniczenie ich przetwarzania.

Zastosowanie ma decyzja nr 2/2026 Sekretarza Generalnego Rady Unii Europejskiej ustanawiająca przepisy wykonawcze dotyczące stosowania rozporządzenia (UE) 2018/1725 oraz ograniczenia praw osób, których dane dotyczą, do celów środków ograniczających.

Osoby, których dane dotyczą, mogą skorzystać z tych praw, wysyłając wiadomość e-mail do administratora z kopią do inspektora ochrony danych, jak zaznaczono wyżej.

Do swojego wniosku osoby, których dane dotyczą, muszą dołączyć kopię dokumentu tożsamości (dowodu osobistego lub paszportu) w celu potwierdzenia tożsamości. Dokument ten powinien zawierać numer identyfikacyjny, nazwę państwa wydającego, okres ważności, imię i nazwisko, adres i datę urodzenia. Wszelkie inne dane zawarte w kopii dokumentu tożsamości, takie jak zdjęcie lub wszelkie inne cechy osobowe, mogą zostać zaczernione.

Osoby, których dane dotyczą, mają prawo wnieść skargę do Europejskiego Inspektora Ochrony Danych zgodnie z rozporządzeniem (UE) 2018/1725 (edps@edps.europa.eu).

Zanim jednak to zrobią, zaleca się, by najpierw starały się dochodzić swoich praw, kontaktując się z administratorem danych osobowych lub z inspektorem ochrony danych w Radzie.

(1)   Dz.U. L 295 z 21.11.2018, s. 39.

(2)   Dz.U. L 129 I z 17.5.2019, s. 13.

(3)   Dz.U. L, 2026/1079, 12.5.2026, ELI: http://data.europa.eu/eli/dec/2026/1079/oj.

(4)   Dz.U. L 129 I z 17.05.2019, s. 1.

(5)   Dz.U. L, 2026/1078, 12.5.2026, ELI: http://data.europa.eu/eli/reg_impl/2026/1078/oj.