10.2.2020

Dziennik Urzędowy Unii Europejskiej

L 37/5

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2020/180

z dnia 7 lutego 2020 r.

dotyczące zezwolenia na stosowanie preparatu Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP jako dodatku paszowego dla wszystkich gatunków zwierząt

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie (WE) nr 1831/2003 Parlamentu Europejskiego i Rady z dnia 22 września 2003 r. w sprawie dodatków stosowanych w żywieniu zwierząt (1), w szczególności jego art. 9 ust. 2,

a także mając na uwadze, co następuje:

(1)	W rozporządzeniu (WE) nr 1831/2003 przewidziano udzielanie zezwoleń na stosowanie dodatków w żywieniu zwierząt oraz określono sposób uzasadniania i procedury udzielania takich zezwoleń.

(2)

Zgodnie z art. 7 rozporządzenia (WE) nr 1831/2003 złożony został wniosek o zezwolenie na stosowanie preparatu Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP jako dodatku paszowego dla wszystkich gatunków zwierząt. Do wniosku dołączone zostały dane szczegółowe oraz dokumenty wymagane na mocy art. 7 ust. 3 tego rozporządzenia.

(3)	Wniosek ten dotyczy zezwolenia na stosowanie preparatu Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP, który ma być dodawany do nasion soi, celem sklasyfikowania go w kategorii „dodatki technologiczne”.

(4)

W opiniach z dnia 8 września 2015 r. (2) i z dnia 18 września 2018 r. (3) Europejski Urząd ds. Bezpieczeństwa Żywności („Urząd”) stwierdził, że w proponowanych warunkach stosowania preparat Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP nie ma negatywnego wpływu na zdrowie zwierząt ani na środowisko. Urząd stwierdził jednak również, że dodatek ten uznaje się za substancję drażniącą dla skóry i oczu oraz działającą uczulająco na skórę i drogi oddechowe. W związku z tym Komisja uważa, że należy zastosować odpowiednie środki ochronne, aby zapobiec niekorzystnym skutkom dla zdrowia ludzi, w szczególności w przypadku użytkowników dodatku. Urząd uznał również, że przedmiotowy dodatek może skutecznie obniżać stężenie oligosacharydów z serii rafinozy i inhibitora trypsyny w nasionach soi. Zdaniem Urzędu nie ma potrzeby wprowadzania szczegółowych wymogów dotyczących monitorowania po wprowadzeniu do obrotu. Urząd zweryfikował również sprawozdanie dotyczące metody analizy dodatku paszowego w paszy, przedłożone przez laboratorium referencyjne ustanowione rozporządzeniem (WE) nr 1831/2003.

(5)

Ocena preparatu Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP dowodzi, że warunki udzielenia zezwolenia przewidziane w art. 5 rozporządzenia (WE) nr 1831/2003 są spełnione. W związku z tym należy zezwolić na stosowanie tego preparatu, jak określono w załączniku do niniejszego rozporządzenia.

(6)	Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Stałego Komitetu ds. Roślin, Zwierząt, Żywności i Pasz,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Preparat wyszczególniony w załączniku, należący do kategorii „dodatki technologiczne” i do grupy funkcjonalnej „inne dodatki technologiczne”, zostaje dopuszczony jako dodatek stosowany w żywieniu zwierząt zgodnie z warunkami określonymi w załączniku.

Artykuł 2

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 7 lutego 2020 r.

W imieniu Komisji

Przewodnicząca

Ursula VON DER LEYEN

(1) Dz.U. L 268 z 18.10.2003, s. 29.

(2) Dziennik EFSA 2015;13(9):4230.

(3) Dziennik EFSA 2018;16(5):5275.

ZAŁĄCZNIK

Numer identyfikacyjny dodatku

Dodatek

Skład, wzór chemiczny, opis, metoda analityczna

Gatunek lub kategoria zwierzęcia

Maksymalny wiek

Minimalna zawartość

Maksymalna zawartość

Pozostałe przepisy

Data ważności zezwolenia

jtk w dodatku/kg nasion soi

Kategoria: dodatki technologiczne. Grupa funkcjonalna: inne dodatki technologiczne (ograniczanie czynników antyodżywczych w nasionach soi)

1o01

Bacillus subtilis KCCM 10673P

Aspergillus oryzae KCTC 10258BP

Skład dodatku

Preparat Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP zawierający odpowiednio co najmniej 1,2 × 108 jtk/g dodatku i 2,0 × 108 jtk/g dodatku.

Wszystkie gatunki zwierząt

Bacillus subtilis

1,2 × 106

Aspergillus oryzae

2,0 × 106

1.	W informacjach na temat stosowania dodatku i premiksu należy podać warunki przechowywania.

2.	Dodatek można dodawać wyłącznie do nasion soi.

Podmioty działające na rynku pasz ustanawiają procedury postępowania i środki organizacyjne dla użytkowników dodatku i premiksów, tak aby ograniczyć ewentualne zagrożenia wynikające z ich stosowania. Jeżeli takich zagrożeń nie można wyeliminować lub ograniczyć do minimum za pomocą tych procedur i środków, dodatek i premiksy należy stosować przy użyciu środków ochrony indywidualnej, w tym środków ochrony skóry, oczu i dróg oddechowych.

1.3.2030

Charakterystyka substancji czynnej

Żywotne komórki Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP.

Metoda analityczna (1)

Oznaczenie liczby komórek Bacillus subtilis KCCM 10673P w dodatku paszowym, premiksach i materiałach paszowych: metoda posiewu powierzchniowego na tryptonowym agarze sojowym (EN 15784).

Analiza jakościowa Bacillus subtilis KCCM 10673P w dodatku paszowym:

elektroforeza pulsacyjna w zmiennym polu elektrycznym (PFGE).

Analiza jakościowa Aspergillus oryzae KCTC 10258BP w dodatku paszowym: typowanie metodą łańcuchowej reakcji polimerazy (PCR).

(1) Szczegóły dotyczące metod analitycznych można uzyskać pod następującym adresem laboratorium referencyjnego: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports.

10.2.2020

Dziennik Urzędowy Unii Europejskiej

L 37/11

DECYZJA ZARZĄDU AGENCJI UNII EUROPEJSKIEJ DS. CYBERBEZPIECZEŃSTWA (ENISA)

z dnia 21 listopada 2019 r.

w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania ENISA

ZARZĄD ENISA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1), w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (2), w szczególności jego art. 15 ust. 1,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 17 października 2019 r. oraz wytyczne EIOD w sprawie art. 25 rozporządzenia (UE) 2018/1725 i przepisów wewnętrznych,

a także mając na uwadze, co następuje:

(1)

Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14–22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14–22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na wewnętrznych zasadach przyjętych przez ENISA.

(2)	Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, której dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(3)	ENISA, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(4)

W ramach własnego funkcjonowania administracyjnego ENISA może prowadzić dochodzenia administracyjne, postępowania dyscyplinarne, wstępne czynności związane z przypadkami potencjalnych nieprawidłowości zgłaszanych do OLAF, procedury związane ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalne i nieformalne) procedury podejmowane w przypadkach nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić wewnętrzne audyty, dokonywać oceny incydentów związanych z naruszeniem cyberbezpieczeństwa zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również prowadzić dochodzenia dotyczące wewnętrznego (informatycznego) bezpieczeństwa.

ENISA przetwarza kilka kategorii danych osobowych, w tym „twarde dane” (dane „obiektywne”, takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane o ruchu) lub „miękkie dane” (dane „subiektywne” związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(5)	ENISA, reprezentowana przez dyrektora wykonawczego, pełni rolę administratora niezależnie od dalszego delegowania roli administratora w ramach ENISA dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(6)

Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych, oświadczeniach o ochronie prywatności lub rejestrach ENISA.

(7)

Wewnętrzne zasady powinny mieć zastosowanie do wszystkich operacji przetwarzania danych prowadzonych przez ENISA w toku prowadzenia postępowań administracyjnych i dyscyplinarnych, czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do OLAF, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, dokonywania oceny incydentów dotyczących naruszenia cyberbezpieczeństwa zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

(8)

Przepisy te powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować pomoc i współpracę ze strony ENISA udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(9)	W przypadkach, w których zastosowanie mają zasady wewnętrzne, ENISA musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(10)

W ramach powyższego ENISA podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczenia przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(11)

ENISA może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony – w szczególności – własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(12)	ENISA może zatem ograniczyć informacje dla celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

(13)	ENISA powinna okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, gdy nie można stwierdzić ich występowania.

(14)	Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu.

(15)	Z uwagi na znaczenie zasad wewnętrznych dotyczących ochrony praw osób, których dane dotyczą, niniejsza decyzja powinna wejść w życie w najkrótszym możliwym terminie po jej publikacji w Dzienniku Urzędowym Unii Europejskiej,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Przedmiot i zakres

1. Niniejsza decyzja określa zasady dotyczące warunków, na jakich ENISA w ramach prowadzonych przez nią procedur określonych w ust. 2 może ograniczyć stosowanie praw przewidzianych w art. 14–21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.

2. W ramach administracyjnego funkcjonowania ENISA niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez ENISA dla celów: prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do OLAF, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, audytów wewnętrznych, ocen incydentów dotyczących naruszania cyberbezpieczeństwa zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, dochodzeń prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

3. Przedmiotowe dane obejmują kategorię „twardych danych” (dane „obiektywne”, takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię „miękkie dane” (dane „subiektywne” związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

4. ENISA, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

5. Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.

Artykuł 2

Określenie administratora i zabezpieczeń

1. W celu uniknięcia naruszeń ochrony danych, wycieków danych lub nieuprawnionego ujawnienia informacji wprowadzono następujące zabezpieczenia:

a)	dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;

b)	wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa ENISA, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. Odpowiedni poziom dostępu jest przyznawany indywidualnie;

baza danych jest chroniona hasłem w ramach systemu pojedynczego logowania i łączy się automatycznie z identyfikatorem i hasłem użytkownika. Zastępowanie użytkowników jest surowo zabronione. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;

d)	wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.

2. Administratorem operacji przetwarzania danych jest ENISA, reprezentowana przez dyrektora wykonawczego, który może dokonać delegowania obowiązków administratora. Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie ENISA.

3. Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrze, o którym mowa w art. 5 ust. 1.

4. W sytuacji gdy ENISA rozważa zastosowanie ograniczenia, waży ona zagrożenia dla praw i wolności osób, których dane dotyczą, w szczególności, względem zagrożenia dla praw i wolności pozostałych osób, których dane dotyczą, oraz zagrożenia unieważnienia skutku śledztw lub procedur ENISA przykładowo poprzez niszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.

Artykuł 3

Ograniczenia

1. Wszelkie ograniczenia są stosowane przez ENISA wyłącznie w celu zapewnienia:

a)	zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;

realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;

c)	wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;

d)	zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;

e)	monitorowania funkcji kontrolującej lub regulacyjnej związanej choćby sporadycznie z realizacją zadań, o których mowa w lit. a) i b);

f)	ochrony osób, których dane dotyczą, bądź praw i wolności innych osób.

2. Ocena incydentów dotyczących naruszenia cyberbezpieczeństwa przeprowadzona przez ENISA zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881 (akt o cyberbezpieczeństwie) wchodzi w zakres ust. 1 lit. b) tego artykułu.

3. W ramach konkretnej realizacji celów określonych w ust. 1 ENISA może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom, agencjom lub urzędom Unii, organom właściwym państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym odpowiednio w następujących okolicznościach:

jeżeli wykonywanie tych praw i obowiązków mogłoby być objęte ograniczeniem przez służby Komisji lub inne instytucje, organy, urzędy lub agencje Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, lub zgodnie z aktami założycielskimi innych instytucji, organów, agencji i urzędów Unii;

jeżeli wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (3) lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu i Rady (UE) 2016/680 (4);

c)	jeżeli wykonywanie tych praw i obowiązków mogłoby zaszkodzić współpracy ENISA z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, ENISA konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami, agencjami lub urzędami Unii lub właściwymi organami państw członkowskich, chyba że dla ENISA jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

4. Wszelkie ograniczenia muszą być konieczne i proporcjonalne, uwzględniając zagrożenia dla praw i wolności osób, których dane dotyczą, oraz muszą być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.

5. Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.

6. Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że wykonywanie ograniczonego prawa nie unieważniałoby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.

Artykuł 4

Przegląd dokonywany przez inspektora ochrony danych

1. ENISA bez zbędnej zwłoki informuje inspektora ochrony danych (IOD) Agencji o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych. ENISA angażuje inspektora ochrony danych we wszystkie odpowiednie procedury, a jego zaangażowanie jest dokumentowane.

2. Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.

3. Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.

Artykuł 5

Udzielanie informacji osobom, których dane dotyczą

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	audytów wewnętrznych;

g)	prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

h)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);

i)	ocen incydentów dotyczących naruszenia cyberbezpieczeństwa przeprowadzonych przez ENISA zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, zgodnie z art. 3 ust. 2 niniejszej decyzji.

ENISA zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących ich w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. Bez uszczerbku dla postanowień ust. 3 niniejszego artykułu ENISA, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą, które uznaje się za zainteresowane w kontekście danego procesu przetwarzania, o obecnych lub przyszłych ograniczeniach ich prawach bez zbędnej zwłoki i w formie pisemnej.

3. Jeżeli ENISA ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w ust. 2 niniejszego artykułu, podaje w rejestrze powód ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.

Rejestr oraz – w stosownych przypadkach – dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. Ograniczenie, o którym mowa w ust. 3 niniejszego artykułu, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Jeżeli powody ograniczenia przestają występować, ENISA przedstawia osobie, której dane dotyczą, informację o podstawowych przyczynach stosowania ograniczenia. Jednocześnie ENISA informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

ENISA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa. Następnie administrator co sześć miesięcy monitoruje konieczność utrzymania ograniczenia.

Artykuł 6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	audytów wewnętrznych;

g)	prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

h)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);

i)	ocen incydentów dotyczących naruszenia cyberbezpieczeństwa przeprowadzonych przez ENISA zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, zgodnie z art. 3 ust. 2 niniejszej decyzji.

Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 ENISA ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.

2. Jeżeli ENISA ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:

a)	w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;

b)	w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

ENISA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

3. Wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne uwzględnia się w rejestrze. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

Artykuł 7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	audytów wewnętrznych;

g)	prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

h)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);

i)	ocen incydentów dotyczących naruszenia cyberbezpieczeństwa przeprowadzonych przez ENISA zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, zgodnie z art. 3 ust. 2 niniejszej decyzji.

2. Jeżeli ENISA ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji zgodnie z art. 6 ust. 3 decyzji.

Artykuł 8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	rozpatrywania wewnętrznych i zewnętrznych skarg;

e)	audytów wewnętrznych;

f)	prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

g)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);

h)	ocen incydentów dotyczących naruszenia cyberbezpieczeństwa przeprowadzonych przez ENISA zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, zgodnie z art. 3 ust. 2 niniejszej decyzji.

2. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	formalnych procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

g)	ocen incydentów dotyczących naruszenia cyberbezpieczeństwa przeprowadzonych przez ENISA zgodnie z art. 7 ust. 4 rozporządzenia (UE) 2019/881, zgodnie z art. 3 ust. 2.

3. Jeżeli ENISA ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, stosuje przepisy art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.

Artykuł 9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Atenach dnia 21 listopada 2019 r.

W imieniu ENISA

Jean Baptiste DEMAISON

Przewodniczący Zarządu

(1) Dz.U. L 295 z 21.11.2018, s. 39.

(2) Dz.U. L 151 z 7.6.2019, s. 15.

(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

(4) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

10.2.2020

Dziennik Urzędowy Unii Europejskiej

L 37/18

DECYZJA RADY ZARZĄDZAJĄCEJ EUROPEJSKIEGO WSPÓLNEGO PRZEDSIĘWZIĘCIA NA RZECZ REALIZACJI PROJEKTU ITER I ROZWOJU ENERGII TERMOJĄDROWEJ

z dnia 9 grudnia 2019 r.

w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Fusion for Energy

RADA ZARZĄDZAJĄCA

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając decyzję Rady 2007/198/Euratom z dnia 27 marca 2007 r. powołującą Europejskie Wspólne Przedsięwzięcie na rzecz Realizacji Projektu ITER i Rozwoju Energii Termojądrowej oraz przyznającą mu określone korzyści (2) (zwaną dalej „Fusion for Energy”), a w szczególności jej art. 6,

uwzględniając statut załączony do wyżej wymienionej decyzji, a w szczególności jej art. 10,

uwzględniając Regulamin pracowniczy urzędników i warunki zatrudnienia innych pracowników Unii Europejskiej (zwany dalej „regulaminem pracowniczym”), a w szczególności art. 2 ust. 3 i art. 30 załącznika IX do niniejszego regulaminu,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 z dnia 11 września 2013 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz uchylające rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady i rozporządzenie Rady (Euratom) nr 1074/1999 (3),

uwzględniając wytyczne Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 18 grudnia 2018 r. oraz jego opinię z dnia 26 lipca 2019 r. w następstwie powiadomienia do celów art. 41 ust. 2 rozporządzenia (UE) 2018/1725,

po konsultacji z Komitetem Pracowniczym,

a także mając na uwadze, co następuje:

(1)	Fusion for Energy prowadzi swoją działalność zgodnie ze statutem załączonym do decyzji 2007/198/Euratom.

(2)

(3)	Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, której dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4)	Fusion for Energy, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5)

W ramach swojej działalności administracyjnej Fusion for Energy może prowadzić dochodzenia administracyjne i postępowania dyscyplinarne zgodnie z zasadami określonymi w regulaminie pracowniczym.

Fusion for Energy może w szczególności prowadzić działania wstępne związane z przypadkami potencjalnych nieprawidłowości zgłoszonymi do OLAF, procedury związane ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalne i nieformalne) procedury podejmowane w przypadkach nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, przetwarzać dane medyczne, przeprowadzać audyty wewnętrzne, badania spraw prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 i dochodzenia dotyczące bezpieczeństwa (informatycznego), prowadzone wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

(6)

Fusion for Energy przetwarza kilka kategorii danych osobowych, w tym „twarde dane” (dane „obiektywne”, takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub „miękkie dane” (dane „subiektywne” związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(7)	Fusion for Energy, reprezentowane przez dyrektora, pełni rolę administratora danych niezależnie od dalszego delegowania roli administratora w ramach Fusion for Energy dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(8)

(9)

Wewnętrzne zasady powinny mieć również zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa w motywie 5, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować pomoc i współpracę ze strony Fusion for Energy udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

Te wewnętrzne zasady powinny mieć również zastosowanie do działań związanych ze współpracą z instytucjami i organami UE oraz do przekazywania im informacji dotyczących dochodzenia administracyjnego lub postępowania dyscyplinarnego. W tym celu Fusion for Energy powinno przeprowadzić konsultacje z tymi instytucjami, organami i jednostkami organizacyjnymi, władzami lub organizacjami w sprawie istotnych powodów nałożenia ograniczeń oraz w sprawie konieczności i proporcjonalności ograniczeń.

(10)	W przypadkach, w których zastosowanie mają zasady wewnętrzne, Fusion for Energy musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(11)

W ramach powyższego Fusion for Energy podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczenia przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(12)

Fusion for Energy może być jednak zobowiązany do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony – w szczególności – własnych dochodzeń i procedur, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(13)

Fusion for Energy może ograniczyć zatem te informacje dla celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

W szczególności Fusion for Energy może opóźnić udzielenie informacji w celu ochrony dochodzeń administracyjnych i postępowań dyscyplinarnych, dochodzeń i postępowań innych organów publicznych, a także w celu ochrony tożsamości informatorów i innych osób zaangażowanych w procedury, w tym sygnalistów i świadków, którzy nie powinni odczuwać negatywnych konsekwencji dotyczących ich współpracy.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administrator może odroczyć, pominąć lub odmówić udzielenia informacji na temat przyczyn zastosowania ograniczenia osobie, której dane dotyczą, jeżeli informacje te uchyliłyby skutek nałożonego ograniczenia.

(14)	Fusion for Energy powinno okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, gdy nie mają one dłużej zastosowania.

(15)	Administrator powinien informować inspektora ochrony danych (zwanego dalej „IOD”) w momencie odroczenia udzielenia informacji lub w przypadku zastosowania innych ograniczeń praw osób, których dane dotyczą, oraz w trakcie dokonywania przeglądów,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Przedmiot i zakres

1. Niniejsza decyzja określa zasady dotyczące warunków, w których Fusion for Energy w ramach własnych procedur określonych w ust. 2 zgodnie z art. 25 rozporządzenia (UE) 2018/1725 może ograniczyć stosowanie praw przewidzianych w art. 14–21, 35 i 36, jak również art. 4.

2. W ramach administracyjnego funkcjonowania Fusion for Energy niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez Fusion for Energy dla celów: prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych, jak również wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, przetwarzania danych medycznych, przeprowadzania audytów wewnętrznych, badania spraw prowadzonych przez IOD zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Niniejsza decyzja powinna mieć również zastosowanie do działań Fusion for Energy w zakresie pomocy i współpracy świadczonej przez Fusion for Energy poza jej dochodzeniami administracyjnymi na rzecz organów krajowych i organizacji międzynarodowych.

Ponadto niniejsza decyzja ma zastosowanie do działań związanych ze współpracą z instytucjami i organami UE oraz do przekazywania im informacji na temat dochodzenia administracyjnego lub postępowania dyscyplinarnego, jeżeli takie informacje są konieczne, aby odbiorca mógł ocenić przyczyny wszczęcia formalnego postępowania wyjaśniającego lub wszczęcia postępowania.

3. Przedmiotowe dane obejmują kategorię „twarde dane” (dane „obiektywne”, takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię „miękkie dane” (dane „subiektywne” związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

4. Fusion for Energy, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu,

5. Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: informowanie osób, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.

Artykuł 2

Określenie administratora i zabezpieczeń

1. W celu uniknięcia naruszeń ochrony danych, wycieków danych lub nieuprawnionego ujawnienia informacji wprowadzono następujące zabezpieczenia:

a)	dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;

b)	wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa Fusion for Energy, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. Odpowiedni poziom dostępu jest przyznawany indywidualnie;

baza danych jest chroniona hasłem w ramach systemu pojedynczego logowania i łączy się automatycznie z identyfikatorem i hasłem użytkownika. Bezwzględnie zakazane jest korzystanie z danych użytkownika przez inne osoby. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;

d)	Wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.

2. Administratorem operacji przetwarzania danych jest Fusion for Energy, reprezentowana przez dyrektora, który może dokonać delegowania obowiązków administratora. Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie Fusion for Energy.

4. W sytuacji, gdy Fusion for Energy rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem – w szczególności – dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku śledztw lub procedur Fusion for Energy przykładowo ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności innej osoby, której dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.

Artykuł 3

Ograniczenia

1. Wszelkie ograniczenia są stosowane przez Fusion for Energy wyłącznie w celu zapewnienia:

a)	zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;

c)	wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;

d)	ochrony niezależności sądów i postępowania sądowego;

e)	zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;

f)	monitorowania funkcji kontrolującej, inspekcyjnej lub regulacyjnej związanej choćby sporadycznie z realizacją zadań, o których mowa w lit. a)–c);

g)	ochrony osób, których dane dotyczą, bądź praw i wolności innych osób;

h)	egzekucji roszczeń cywilnoprawnych.

2. W ramach konkretnej realizacji celów określonych w ust. 1 Fusion for Energy może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom i jednostkom organizacyjnym Unii, organom właściwym państw członkowskich lub państw trzecich, lub organizacjom międzynarodowych w następujących okolicznościach:

jeżeli realizacja tych praw i obowiązków mogłaby być objęta ograniczeniem przez służby Komisji lub inne instytucje, organy, agencje lub urzędy Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, lub zgodnie z aktami założycielskimi innych instytucji, organów, agencji i urzędów Unii;

jeżeli realizacja tych praw i obowiązków mogłaby zostać ograniczona przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (4) lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 (5);

c)	jeżeli realizacja tych praw i obowiązków mogłaby zaszkodzić współpracy Fusion for Energy z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, Fusion for Energy konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że dla Fusion for Energy jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. Wszelkie ograniczenia są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą, a przy ich wprowadzaniu przestrzega się istoty praw podstawowych i wolności w społeczeństwie demokratycznym.

4. Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.

5. Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że realizacja ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.

Artykuł 4

Przegląd dokonywany przez inspektora ochrony danych

1. Fusion for Energy („administrator”) bez zbędnej zwłoki informuje własnego inspektora ochrony danych („IOD”), jeżeli administrator ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie, zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.

3. Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.

Artykuł 5

Udzielanie informacji osobom, których dane dotyczą

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	audytów wewnętrznych;

g)	badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

h)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Fusion for Energy zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących ich w ramach danej procedury. Informacje te dotyczą tego, które prawa mogą być ograniczone.

2. Nie naruszając postanowień zawartych w ust. 3, Fusion for Energy, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.

3. Jeżeli Fusion for Energy ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w ust. 2, podaje w rejestrze powód ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.

4. Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Fusion for Energy przedstawia osobie, której dane dotyczą, informację o podstawowych przyczynach stosowania ograniczenia. Jednocześnie Fusion for Energy informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

Fusion for Energy dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

Artykuł 6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	przetwarzania danych medycznych, jedynie w szczególnie uzasadnionych przypadkach (6);

g)	audytów wewnętrznych;

h)	badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

i)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 Fusion for Energy ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.

2. Jeżeli Fusion for Energy ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:

w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;

b)	w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

3. Rejestr oraz – w stosownych przypadkach – dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.

Artykuł 7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	przetwarzania danych medycznych, jedynie w szczególnie uzasadnionych przypadkach (7);

g)	audytów wewnętrznych;

h)	badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

i)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

2. Jeżeli Fusion for Energy ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, zastosowanie ma art. 6 ust. 2 i 3 niniejszej decyzji.

Artykuł 8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	audytów wewnętrznych;

g)	badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;

h)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

2. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)	realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;

b)	czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);

c)	procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;

d)	formalnych procedur podejmowanych w przypadkach nękania;

e)	rozpatrywania wewnętrznych i zewnętrznych skarg;

f)	dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

3. Jeżeli Fusion for Energy ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, zastosowanie ma art. 5 ust. 3 i 4 niniejszej decyzji.

Artykuł 9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Barcelonie dnia 9 grudnia 2019 r.

W imieniu Fusion for Energy

Joaquín SÁNCHEZ

Przewodniczący Rady Zarządzającej

(1) Dz.U. L 295 z 21.11.2018, s. 39.

(2) Dz.U. L 90 z 30.3.2007, s. 58.

(3) Dz.U. L 248 z 18.9.2013, s. 1

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

(5) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

(6) Sytuacje te zostały wyjaśnione w odpowiednim oświadczeniu o ochronie prywatności (np. dostęp do dokumentacji medycznej w obecności lekarza z F4E), ogólne ograniczenie dostępu do osobistych notatek lekarzy w ramach procedury unieważnienia zgodnie z ograniczeniem przewidzianym w art. 25 ust. 1 lit. h) nowego rozporządzenia (tzn. ochroną osób, których dane dotyczą, bądź praw i wolności innych osób).

(7) Sytuacje te zostały wyjaśnione w odpowiednim oświadczeniu o ochronie danych (np. sprostowanie ograniczone jest do danych administracyjnych).

		ISSN 1977-0766
Dziennik Urzędowy Unii Europejskiej		L 37

Wydanie polskie	Legislacja	Rocznik 63 10 lutego 2020

Spis treści		II Akty o charakterze nieustawodawczym	Strona
		ROZPORZĄDZENIA
	*	Rozporządzenie Wykonawcze Komisji (UE) 2020/178 z dnia 31 stycznia 2020 r. w sprawie przedstawiania pasażerom przybywającym z państw trzecich oraz klientom usług pocztowych i niektórych podmiotów profesjonalnych informacji dotyczących zakazów wprowadzania na terytorium Unii roślin, produktów roślinnych i innych przedmiotów zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/2031	1
	*	Rozporządzenie Wykonawcze Komisji (UE) 2020/179 z dnia 3 lutego 2020 r. zatwierdzające zmianę w specyfikacji oznaczenia geograficznego zarejestrowanego napoju spirytusowego (Berliner Kümmel)	4
	*	Rozporządzenie wykonawcze Komisji (UE) 2020/180 z dnia 7 lutego 2020 r. dotyczące zezwolenia na stosowanie preparatu Bacillus subtilis KCCM 10673P i Aspergillus oryzae KCTC 10258BP jako dodatku paszowego dla wszystkich gatunków zwierząt ( 1 )	5
		DECYZJE
	*	Decyzja Wykonawcza Komisji (UE) 2020/181 z dnia 7 lutego 2020 r. dotycząca niektórych tymczasowych środków ochronnych w odniesieniu do afrykańskiego pomoru świń w Grecji (notyfikowana jako dokument nr C(2020) 799) ( 1 )	8
		REGULAMINY WEWNĘTRZNE
	*	Decyzja Zarządu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (enisa) z dnia 21 listopada 2019 r. w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania ENISA	11
	*	Decyzja Rady Zarządzającej Europejskiego Wspólnego Przedsięwzięcia na rzecz Realizacji Projektu ITER i Rozwoju Energii Termojądrowej z dnia 9 grudnia 2019 r. w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Fusion for Energy	18