Ograniczenia praw osób, których dotyczą dane – przepisy wewnętrzne Komisji

STRESZCZENIE DOKUMENTÓW:

Decyzja Komisji (UE) 2018/1927 – przepisy wewnętrzne dotyczące przetwarzania przez Komisję danych osobowych w dziedzinie konkurencji w odniesieniu do udzielania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych praw

Decyzja Komisji (UE) 2018/1961 – przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów działań w zakresie audytu wewnętrznego

Decyzja Komisji (UE) 2018/1962 – przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw

Decyzja Komisji (UE) 2018/1996 – przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów dochodzeń w sprawie ochrony handlu i w zakresie polityki handlowej

Decyzja Komisji (UE) 2019/154 – przepisy wewnętrzne dotyczące ograniczenia prawa dostępu osób, których dane dotyczą, do ich dokumentacji medycznej

Decyzja Komisji (UE) 2019/165 – przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia przez Komisję niektórych ich praw w zakresie ochrony danych w kontekście dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań w sprawie zawieszenia

Decyzja Komisji (UE) 2019/236 – przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych przez Komisję do celów bezpieczeństwa wewnętrznego instytucji UE

JAKIE SĄ CELE DECYZJI?

W decyzjach ustanowiono przepisy wewnętrzne, w oparciu o które Komisja Europejska może ograniczać prawa przysługujące jednostkom i wykonywane przez nie na podstawie rozporządzenia (UE) 2018/1725. Przepisy wewnętrzne mają zastosowanie do przetwarzania danych osobowych w konkretnych dziedzinach i do konkretnych celów.

KLUCZOWE ZAGADNIENIA

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora (takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy) lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W skład nowych ram prawnych UE dotyczących ochrony i swobodnego przepływu danych osobowych wchodzą w szczególności:

• ogólne rozporządzenie o ochronie danych (RODO), które określa prawa przysługujące jednostkom w odniesieniu do ich danych osobowych, chroni je w związku z przetwarzaniem ich danych osobowych w państwach UE oraz zapewnia swobodny przepływ takich danych;
• rozporządzenie (UE) 2018/1725, które określa prawa przysługujące jednostkom w odniesieniu do ich danych osobowych, chroni je w związku z przetwarzaniem ich danych osobowych przez instytucje, organy i jednostki organizacyjne UE oraz zapewnia swobodny przepływ takich danych.

Te rozporządzenia uznaje się za równoważne i poddaje identycznej wykładni.

Artykuł 25 rozporządzenia (UE) 2018/1725 przewiduje, że w niektórych przypadkach instytucje i organy UE mogą ograniczyć prawa jednostek, pod warunkiem że takie ograniczenia są przewidziane w prawie UE. W związku z tym Komisja przyjęła siedem decyzji Komisji, które umożliwiają wprowadzanie ograniczeń w celu zapewnienia osiągnięcia ważnych celów leżących w ogólnym interesie publicznym UE.

W oparciu o te decyzje i po przeprowadzeniu oceny dotyczącej poszczególnych przypadków oraz proporcjonalności ograniczeń Komisja Europejska decyduje, czy w danej sprawie prawa jednostki powinny być ograniczone.

Możliwe jest ograniczenie następujących praw jednostek:

• prawa do informacji na temat:
  • przetwarzania ich danych osobowych; oraz
  • naruszeń ochrony ich danych osobowych, które mogą poważnie zagrozić ich prawom i wolnościom;
• prawa dostępu do ich danych osobowych, prawa do usunięcia ich danych osobowych lub do ograniczenia przetwarzania ich danych osobowych.

Struktura siedmiu decyzji Komisji jest podobna, a każda z nich zawiera wszystkie poniższe elementy lub niektóre z tych elementów:

• Przedmiot i zakres
  • Wymóg przeprowadzenia indywidualnej oceny każdego wniosku złożonego przez osobę, której dane dotyczą.
• Mające zastosowanie wyjątki lub ograniczenia
  • Przed zastosowaniem ograniczenia Komisja rozważa, czy mają zastosowanie jakiekolwiek określone w rozporządzeniu (UE) 2018/1725 wyjątki dotyczące praw osób, których dane dotyczą.
• Przekazywanie informacji osobom, których dane dotyczą
  • Komisja publikuje na swojej stronie internetowej informacje o ochronie danych, w ramach których informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie w danej dziedzinie działaniach obejmujących przetwarzanie ich danych osobowych.
  • Komisja informuje indywidualnie i we właściwy sposób każdą osobę, której dotyczy dochodzenie przeprowadzane w jednej z odnośnych dziedzin lub wobec której podjęto określony środek.
• Prawo dostępu przez osoby, których dane dotyczą, do ich danych osobowych, prawo do usunięcia takich danych oraz prawo do ograniczenia przetwarzania
  • Jeżeli Komisja ogranicza dostęp do danych osobowych, prawo do usunięcia lub prawo do ograniczenia przetwarzania, informuje osobę, której dane dotyczą, o zastosowanym ograniczeniu, głównych przyczynach jego zastosowania, a także o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych lub wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
• Zapisywanie i rejestrowanie ograniczeń
  • Komisja zapisuje przyczyny wszelkich zastosowanych ograniczeń, dodając przy tym ocenę ich konieczności i proporcjonalności.
• Okres obowiązywania ograniczeń
  • Ograniczenia mają zastosowanie tak długo, jak długo mają zastosowanie powody uzasadniające ich zastosowanie.
• Przegląd dokonywany przez inspektora ochrony danych w Komisji Europejskiej
  • Inspektor ochrony danych jest niezwłocznie informowany, ilekroć prawa osób, których dane dotyczą, są ograniczane.
  • Inspektor ochrony danych otrzymuje, na żądanie, dostęp do wpisu oraz wszelkich leżących u jego podstaw dokumentów zawierających elementy stanu faktycznego oraz aspekty prawne.
  • Inspektor ochrony danych może zwrócić się o przegląd ograniczenia i jest informowany o wynikach wnioskowanego przeglądu.

Siedem decyzji Komisji dotyczy ograniczeń praw osób, których dane dotyczą, w następujących dziedzinach:

• Bezpieczeństwo wewnętrzne instytucji UE
  • Decyzja ma zastosowanie do przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa osób, mienia i informacji Komisji.
  • Komisja indywidualnie informuje świadków i osoby zaangażowane w dochodzenie w sprawie bezpieczeństwa o przetwarzaniu ich danych osobowych.
  • Ponadto Komisja indywidualnie informuje osoby, których dane są przetwarzane w przypadku kontroli przeszłości osób zgodnie z art. 7 ust. 5 decyzji Komisji (UE, Euratom) 2015/443.
  • Dodatkowo indywidualnie informuje ona osoby, których dane są przetwarzane w kontekście przeszukiwania pomieszczeń Komisji oraz systemów i urządzeń komunikacyjnych i informacyjnych.
• Dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne i postępowania w sprawie zawieszenia
  • Prawa i obowiązki wynikające z rozporządzenia (UE) 2018/1725 mogą zostać ograniczone, jeżeli zagrażają one celowi dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych, postępowań w sprawie zawieszenia lub naruszają prawa i wolności innych osób, których dane dotyczą.
• Dane osobowe medyczne
  • Komisja może w indywidualnych przypadkach ograniczyć prawo osób, których dane dotyczą, do bezpośredniego dostępu do dotyczących ich danych medycznych o charakterze psychologicznym lub psychiatrycznym, jeżeli dostęp do takich danych może stanowić zagrożenie dla zdrowia tych osób.
  • Takie ograniczenie ma być proporcjonalne do tego, co jest ściśle niezbędne do ochrony osoby, której dane dotyczą.
• Dochodzenia w sprawie ochrony handlu i w zakresie polityki handlowej
  • Prawa i obowiązki wynikające z rozporządzenia (UE) 2018/1725 mogą zostać ograniczone, jeżeli zagrażają one celowi działań Komisji w zakresie polityki handlowej i ochrony handlu lub naruszają prawa i wolności innych osób, których dane dotyczą.
• Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF)
  • Decyzja ma zastosowanie do przetwarzania danych osobowych przez OLAF (a także do przetwarzania przez służby Komisji i agencje wykonawcze danych osobowych, które muszą zostać przekazane OLAF-owi) w celu wykonywania jego zadań.
  • OLAF prowadzi dochodzenia w sposób całkowicie niezależny od Komisji.
  • OLAF decyduje, czy mają zastosowanie jakiekolwiek wyjątki dotyczące praw osób, których dane dotyczą.
  • OLAF publikuje na swojej stronie internetowej informacje o ochronie danych, w ramach których informuje osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych.
  • Inspektor ochrony danych w OLAF-ie dokonuje przeglądu ograniczeń praw osób, których dane dotyczą.
• Działania w zakresie audytu wewnętrznego
  • Prawa i obowiązki wynikające z rozporządzenia (UE) 2018/1725 mogą zostać ograniczone w ramach operacji przetwarzania przeprowadzanych przez Komisję w toku wykonywania przez nią działalności w zakresie audytu wewnętrznego, jeżeli korzystanie z praw przysługujących osobom, których dane dotyczą, może zagrozić prowadzeniu działań w ramach audytu wewnętrznego, w tym przez ujawnienie jej narzędzi i metod audytowych, lub narusza prawa i wolności innych osób, których dane dotyczą.
  • Ponadto może zajść konieczność ograniczenia przez Komisję stosowania praw osób, których dane dotyczą, celem ochrony procesów przetwarzania dokonywanych przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii lub organy państw członkowskich, organizacje międzynarodowe, jak również Komitet ds. Audytu.
  • Komisja informuje jednostki – w formie oświadczenia o ochronie danych publikowanego na stronie internetowej Komisji – o prowadzonych przez nią działaniach w ramach audytu wewnętrznego, które obejmują przetwarzanie ich danych osobowych, a także o przysługujących im prawach. W stosownych przypadkach Komisja gwarantuje, że osoby, których dane dotyczą, zostaną we właściwy sposób indywidualnie poinformowane.
• Konkurencja
  • Prawa i obowiązki wynikające z rozporządzenia (UE) 2018/1725 mogą zostać ograniczone, jeżeli zagrażają one celowi działań Komisji w zakresie prowadzenia postępowań i egzekwowania przepisów, w tym przez ujawnienie jej narzędzi i metod prowadzenia postępowań, lub naruszają prawa i wolności innych osób, których dane dotyczą.

OD KIEDY DECYZJE MAJĄ ZASTOSOWANIE?

• Decyzje (UE) 2018/1927, (UE) 2018/1961, (UE) 2018/1962, (UE) 2018/1996 i (UE) 2019/154 mają zastosowanie od dnia 11 grudnia 2018 r.
• Decyzja (UE) 2019/165 ma zastosowanie od dnia 7 lutego 2019 r.
• Decyzja (UE) 2019/236 ma zastosowanie od dnia 11 lutego 2019 r.

KONTEKST

Więcej informacji:

• Reforma unijnych przepisów o ochronie danych w 2018 roku (Komisja Europejska).

GŁÓWNE DOKUMENTY

Decyzja Komisji (UE) 2018/1927 z dnia 5 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przetwarzania przez Komisję Europejską danych osobowych w dziedzinie konkurencji w odniesieniu do udzielania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych praw (Dz.U. L 313 z 10.12.2018, s. 39–44)

Decyzja Komisji (UE) 2018/1961 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów działań w zakresie audytu wewnętrznego (Dz.U. L 315 z 12.12.2018, s. 35–40)

Decyzja Komisji (UE) 2018/1962 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw zgodnie z art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (Dz.U. L 315 z 12.12.2018, s. 41–46)

Decyzja Komisji (UE) 2018/1996 z dnia 14 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów dochodzeń w sprawie ochrony handlu i w zakresie polityki handlowej (Dz.U. L 320 z 17.12.2018, s. 40–44)

Decyzja Komisji (UE) 2019/154 z dnia 30 stycznia 2019 r. ustanawiająca przepisy wewnętrzne dotyczące ograniczenia prawa dostępu osób, których dane dotyczą, do ich dokumentacji medycznej (Dz.U. L 27 z 31.1.2019, s. 33–35)

Decyzja Komisji (UE) 2019/165 z dnia 1 lutego 2019 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dotyczą dane, oraz ograniczenia przez Komisję niektórych ich praw w zakresie ochrony danych w kontekście dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań w sprawie zawieszenia (Dz.U. L 32 z 4.2.2019, s. 9–13)

Decyzja Komisji (UE) 2019/236 z dnia 7 lutego 2019 r. ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych przez Komisję Europejską do celów bezpieczeństwa wewnętrznego instytucji Unii (Dz.U. L 37 z 8.2.2019, s. 144–149)

DOKUMENTY POWIĄZANE

Mające zastosowanie do Komisji Europejskiej:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39–98)

Decyzja Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej (Dz.U. L 6 z 11.1.2017, s. 40–51)

Kolejne zmiany do decyzji (UE, Euratom) 2017/46 zostały włączone do tekstu podstawowego. Wersja skonsolidowana ma wyłącznie wartość dokumentalną.

Decyzja Komisji (UE, Euratom) 2015/443 z dnia 13 marca 2015 r. w sprawie bezpieczeństwa w Komisji (Dz.U. L 72 z 17.3.2015, s. 41–52)

Mające zastosowanie w państwach UE:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88)

Zobacz tekst skonsolidowany.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89–131)

Zobacz tekst skonsolidowany.

Ostatnia aktualizacja: 03.04.2019