11.11.2019   

SK

Úradný vestník Európskej únie

L 290/34


ROZHODNUTIE SPRÁVNEJ RADY AGENTÚRY EURÓPSKEJ ÚNIE PRE ODBORNÚ PRÍPRAVU V OBLASTI PRESADZOVANIA PRÁVA

z 5. augusta 2019

o vnútorných pravidlách týkajúcich sa obmedzení určitých práv dotknutých osôb v súvislosti so spracúvaním osobných údajov v rámci činnosti agentúry CEPOL

SPRÁVNA RADA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (1), a najmä na jeho článok 25,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2015/2219 z 25. novembra 2015 o Agentúre Európskej únie pre odbornú prípravu v oblasti presadzovania práva (CEPOL) a ktorým sa nahrádza a zrušuje rozhodnutie Rady 2005/681/SVV (2),

so zreteľom na stanovisko EDPS z 20. júna 2019 a na usmernenia EDPS k článku 25 nového nariadenia a k vnútorným pravidlám (3),

keďže:

(1)

Agentúra CEPOL vykonáva svoje činnosti v súlade s nariadením (EÚ) 2015/2219.

(2)

V súlade s článkom 25 ods. 1 nariadenia (EÚ) 2018/1725 obmedzenia uplatňovania článkov 14 až 22, 35 a 36, ako aj článku 4 uvedeného nariadenia, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam stanoveným v článkoch 14 až 22, by mali vychádzať z vnútorných pravidiel prijatých agentúrou, ak nie sú založené na právnych aktoch prijatých na základe zmlúv.

(3)

Tieto vnútorné pravidlá vrátane ustanovení o posúdení nutnosti a primeranosti obmedzenia by sa nemali uplatňovať v prípade, keď obmedzenie práv dotknutej osoby je stanovené právnym aktom prijatým na základe zmlúv.

(4)

Ak agentúra vykonáva svoje povinnosti v súvislosti s právami dotknutých osôb podľa nariadenia (EÚ) 2018/1725, zváži, či sa uplatňuje niektorá z výnimiek stanovených v uvedenom nariadení.

(5)

V rámci svojho administratívneho fungovania môže agentúra vykonávať administratívne vyšetrovania, disciplinárne konania, uskutočňovať predbežné činnosti týkajúce sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF, spracúvať prípady oznamovania protispoločenskej činnosti, vybavovať (formálne a neformálne) postupy v prípade obťažovania, spracúvať interné a externé sťažnosti, vykonávať vnútorné audity, vykonávať vyšetrovania zo strany zodpovednej osoby v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725 a interné vyšetrovania v oblasti bezpečnosti informačných technológií (IT). Agentúra môže okrem toho vybavovať žiadosti o prístup k zdravotnej dokumentácii zamestnancov.

Agentúra spracúva niekoľko kategórií osobných údajov vrátane tzv. tvrdých údajov (tzn. objektívnych údajov, ako sú identifikačné údaje, kontaktné údaje, služobné údaje, administratívne údaje, údaje získané z konkrétnych zdrojov, elektronické komunikácie a prevádzkové údaje) a/alebo tzv. mäkkých údajov (tzn. subjektívnych údajov týkajúcich sa konkrétneho prípadu, ako napríklad odôvodnenie, údaje o správaní, hodnotenia, údaje o výkonnosti a výkone povolania a údaje súvisiace s predmetom alebo predložené v súvislosti s predmetom postupu alebo činnosti).

(6)

Agentúra, zastúpená výkonným riaditeľom, vystupuje ako prevádzkovateľ, a to bez ohľadu na ďalšie delegovanie úlohy prevádzkovateľa v rámci agentúry s cieľom zohľadniť prevádzkovú zodpovednosť za konkrétne operácie spracúvania osobných údajov.

(7)

Osobné údaje sa bezpečne uchovávajú v elektronickom prostredí alebo na papieri, čím sa zabraňuje nezákonnému prístupu k nim alebo ich nezákonnému prenosu osobám, ktoré tieto údaje nepotrebujú poznať. Zdravotnú dokumentáciu uchováva externý poskytovateľ služieb, ktorého služby agentúra využíva. Spracúvané osobné údaje sa neuchovávajú dlhšie, než je potrebné a vhodné na účely, na ktoré sa údaje spracúvajú počas obdobia uvedeného v oznámeniach o ochrane údajov, vyhláseniach o ochrane osobných údajov alebo v záznamoch agentúry.

(8)

Tieto vnútorné pravidlá by sa mali vzťahovať na všetky spracovateľské operácie, ktoré agentúra uskutočňuje pri výkone administratívnych vyšetrovaní, pri disciplinárnych konaniach, pri predbežných činnostiach týkajúcich sa prípadov možných nezrovnalostí nahlasovaných úradu OLAF, pri postupoch oznamovania protispoločenskej činnosti, pri (formálnych a neformálnych) postupoch v prípade obťažovania, spracúvaní interných a externých sťažností, vnútorných auditoch, vyšetrovaniach, ktoré vykonáva zodpovedná osoba v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725, vyšetrovaniach v oblasti bezpečnosti informačných technológií realizovaných interne alebo so zapojením externých subjektov (napr. CERT-EU), ako aj pri vybavovaní žiadostí o prístup k vlastnej zdravotnej dokumentácii.

(9)

Tieto pravidlá by mali platiť pre spracovateľské operácie vykonané pred začatím vyššie uvedených postupov, počas týchto postupov a počas monitorovania opatrení nadväzujúcich na výsledky týchto postupov. Malo by to zahŕňať aj pomoc a spoluprácu, ktorú agentúra poskytuje vnútroštátnym orgánom a medzinárodným organizáciám mimo administratívnych vyšetrovaní.

(10)

V prípadoch, v ktorých sa tieto vnútorné pravidlá uplatňujú, agentúra musí odôvodniť, prečo sú obmedzenia v demokratickej spoločnosti potrebné a primerané, a dodržiavať podstatu základných práv a slobôd.

(11)

V tomto rámci je agentúra povinná v maximálnej možnej miere rešpektovať základné práva dotknutých osôb počas uvedených postupov, najmä tie, ktoré sa týkajú práva na poskytovanie informácií, práva na prístup k osobným údajom a práva na ich opravu, práva na ich vymazanie, práva na obmedzenie ich spracúvania, práva na nahlásenie prípadov porušenia ochrany osobných údajov dotknutej osobe alebo na dôvernosť komunikácie, ako je to zakotvené v nariadení (EÚ) 2018/1725.

(12)

Je však možné, že agentúra bude musieť obmedziť informácie pre dotknutú osobu a iné práva dotknutej osoby, a to najmä s cieľom chrániť svoje vlastné vyšetrovania, vyšetrovania a postupy iných orgánov verejnej moci, ako aj práva iných osôb, ktoré súvisia s jej vyšetrovaním alebo inými postupmi.

(13)

Agentúra preto môže tieto informácie obmedziť na účely ochrany vyšetrovania a základných práv a slobôd iných dotknutých osôb.

(14)

Agentúra by mala pravidelne monitorovať, či platia podmienky, ktorými sa toto obmedzenie odôvodňuje, a zrušiť obmedzenie, pokiaľ tieto podmienky už neplatia.

(15)

Prevádzkovateľ by mal informovať zodpovednú osobu v čase odkladu a počas revízií.

PRIJAL TOTO ROZHODNUTIE:

Článok 1

Predmet úpravy a rozsah pôsobnosti

1.   V tomto rozhodnutí sa stanovujú pravidlá týkajúce sa podmienok, za ktorých agentúra v rámci svojich postupov stanovených v odseku 2 môže podľa článku 25 nariadenia (EÚ) 2018/1725 obmedziť uplatňovanie práv zakotvených v článkoch 14 až 21, 35 a 36, ako aj v jeho článku 4.

2.   V rámci administratívneho fungovania agentúry sa toto rozhodnutie vzťahuje na operácie spracúvania osobných údajov, ktoré agentúra vykonáva na účely: vykonávania administratívnych vyšetrovaní, disciplinárnych konaní, predbežných činností týkajúcich sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF, spracúvania prípadov oznamovania protispoločenskej činnosti, vybavovania (formálnych a neformálnych) postupov v prípade obťažovania, spracúvania interných a externých sťažností, vykonávania vnútorných auditov, vyšetrovaní, ktoré uskutočňuje zodpovedná osoba v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725, interných vyšetrovaní v oblasti bezpečnosti informačných technológií (IT) alebo so zapojením externých subjektov (napr. CERT-EU), ako aj vybavovania žiadostí o prístup k vlastnej zdravotnej dokumentácii.

3.   Dotknutými kategóriami osobných údajov sú tzv. tvrdé údaje (tzn. objektívne údaje, ako sú identifikačné údaje, kontaktné údaje, služobné údaje, administratívne údaje, údaje získané z konkrétnych zdrojov, elektronické komunikácie a prevádzkové údaje) a/alebo tzv. mäkké údaje (tzn. subjektívne údaje týkajúce sa konkrétneho prípadu, ako napríklad odôvodnenie, údaje o správaní, hodnotenia, údaje o výkonnosti a výkone povolania a údaje súvisiace s predmetom alebo predložené v súvislosti s predmetom postupu alebo činnosti).

4.   Ak agentúra vykonáva svoje povinnosti v súvislosti s právami dotknutých osôb podľa nariadenia (EÚ) 2018/1725, zváži, či sa uplatňuje niektorá z výnimiek stanovených v uvedenom nariadení.

5.   Za podmienok stanovených v tomto rozhodnutí sa obmedzenia môžu vzťahovať na tieto práva: práva na poskytovanie informácií dotknutým osobám, práva na prístup k osobným údajom, práva na ich opravu, práva na ich vymazanie, práva na obmedzenie spracúvania, práva na nahlásenie prípadov porušenia ochrany osobných údajov dotknutej osobe alebo na dôvernosť komunikácie.

Článok 2

Špecifikácia prevádzkovateľa a záruky

1.   Záruky, ktoré sú zavedené na zabránenie prípadom porušenia ochrany údajov, únikom alebo neoprávnenému zverejneniu, sú tieto:

(a)

papierové dokumenty sa uchovávajú v zabezpečených skriniach a prístup k nim majú len oprávnení zamestnanci;

(b)

všetky elektronické údaje sa uchovávajú v súlade s postupmi agentúry, ako aj v špecifických elektronických zložkách, ku ktorým majú prístup len oprávnení zamestnanci. Príslušné úrovne prístupu sa udeľujú individuálne;

(c)

IT prostredie agentúry je prístupné prostredníctvom jednotného systému prihlasovania sa, ktorý je automaticky prepojený s používateľským menom a heslom daného používateľa. Nahrádzanie používateľov je prísne zakázané. Elektronické záznamy sa uchovávajú v bezpečí, aby sa zaistila dôvernosť a ochrana údajov, ktoré obsahujú;

(d)

externý poskytovateľ služieb, ktorý uchováva zdravotnú dokumentáciu, je viazaný osobitnými zmluvnými doložkami týkajúcimi sa dôvernosti a spracovania osobných údajov;

(e)

všetky osoby, ktoré majú prístup k údajom sú viazané povinnosťou zachovávať dôvernosť.

2.   Prevádzkovateľom spracovateľských operácií je agentúra, zastupovaná svojím výkonným riaditeľom, ktorý môže funkciu prevádzkovateľa delegovať. Dotknuté osoby sú o delegovanom prevádzkovateľovi informované prostredníctvom oznámení o ochrane údajov alebo záznamov uverejnených na webovej stránke a distribuovaných interne v rámci agentúry.

3.   Obdobie uchovávania osobných údajov uvedené v článku 1 ods. 3 nesmie byť dlhšie, ako je potrebné a vhodné na účely, na ktoré sa údaje spracúvajú. V žiadnom prípade však nesmie byť dlhšie, než je obdobie uchovávania údajov uvedené v oznámeniach o ochrane údajov, vyhláseniach o ochrane osobných údajov alebo v záznamoch uvedených v článku 5 ods. 1.

4.   Ak agentúra uvažuje o uplatnení obmedzenia, zváži riziko v súvislosti s právami a slobodami dotknutej osoby, najmä vo vzťahu k riziku pre práva a slobody iných dotknutých osôb a riziku, že sa oslabí účinok vyšetrovaní alebo postupov agentúry, napríklad tým, že sa zničia dôkazy. Riziká pre práva a slobody dotknutej osoby sa týkajú predovšetkým, ale nielen, rizík poškodenia dobrej povesti a rizík spojených s právom na obhajobu a právom na vypočutie.

Článok 3

Obmedzenia

1.   Akékoľvek obmedzenie agentúra uplatní len na zaručenie:

(a)

predchádzania trestným činom, ich vyšetrovania, ich odhaľovania a ich stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu;

(b)

vnútornej bezpečnosti inštitúcií a orgánov Únie vrátane ich elektronických komunikačných sietí;

(c)

ochrany nezávislosti súdnictva a súdnych konaní;

(d)

predchádzania porušeniam etiky v prípade regulovaných povolaní, ich vyšetrovanie, odhaľovanie a stíhanie;

(e)

ochrany dotknutej osoby alebo práv a slobôd iných;

(f)

vymáhania občianskoprávnych nárokov.

2.   Ako osobitné uplatňovanie účelov opísaných v odseku 1 môže agentúra použiť obmedzenia vo vzťahu k osobným údajom vymieňaným s útvarmi Komisie alebo inými inštitúciami, orgánmi, agentúrami a úradmi Únie, príslušnými orgánmi členských štátov alebo tretích krajín alebo medzinárodnými organizáciami za týchto okolností:

(a)

pokiaľ by uplatňovanie uvedených práv a povinností mohlo byť obmedzené útvarmi Komisie alebo inými inštitúciami, orgánmi, úradmi a agentúrami Únie na základe iných aktov, ako sa uvádza v článku 25 nariadenia (EÚ) 2018/1725, alebo v súlade s kapitolou IX uvedeného nariadenia, resp. so zakladajúcimi aktami iných inštitúcií, orgánov, úradov a agentúr Únie;

(b)

pokiaľ by uplatňovanie uvedených práv a povinností mohlo byť obmedzené príslušnými orgánmi členských štátov na základe aktov uvedených v článku 23 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (4) alebo na základe vnútroštátnych opatrení, ktorými sa transponuje článok 13 ods. 3, článok 15 ods. 3 alebo článok 16 ods. 3 smernice Európskeho parlamentu a Rady (EÚ) 2016/680 (5);

(c)

pokiaľ by uplatňovanie uvedených práv a povinností mohlo ohroziť spoluprácu agentúry s tretími krajinami alebo medzinárodnými organizáciami pri plnení jej úloh.

(d)

Pred uplatnením obmedzení za okolností uvedených v prvom pododseku písm. a) a b) sa agentúra poradí s príslušnými útvarmi Komisie, inštitúciami, orgánmi, úradmi a agentúrami Únie alebo príslušnými orgánmi členských štátov, pokiaľ nie je agentúre zrejmé, že uplatnenie obmedzenia sa stanovuje v niektorom z právnych aktov uvedených v týchto písmenách.

3.   Každé obmedzenie má byť potrebné a primerané vzhľadom na riziká vo vzťahu k právam a slobodám dotknutých osôb a má rešpektovať podstatu základných práv a slobôd v demokratickej spoločnosti.

4.   V prípade, že sa zvažuje uplatnenie obmedzenia, na základe týchto pravidiel sa vykoná test nutnosti a primeranosti. Individuálne podľa jednotlivých prípadov sa test zdokumentuje formou oznámenia o vnútornom posúdení na účely vyvodenia zodpovednosti.

5.   Obmedzenia sa zrušia, len čo prestanú existovať okolnosti, pre ktoré boli zavedené. Platí to najmä v prípade, ak sa predpokladá, že výkon obmedzeného práva by už neoslaboval účinok uloženého obmedzenia ani nepriaznivo neovplyvňoval práva alebo slobody iných dotknutých osôb.

Článok 4

Preskúmanie zodpovednou osobou

1.   Agentúra bez zbytočného odkladu informuje svoju zodpovednú osobu vždy, keď prevádzkovateľ obmedzí uplatňovanie práv dotknutých osôb alebo rozšíri obmedzenie, a to v súlade s týmto rozhodnutím. Prevádzkovateľ poskytne zodpovednej osobe prístup k záznamu, ktorý obsahuje posúdenie nevyhnutnosti a primeranosti obmedzenia, a v zázname uvedie dátum informovania zodpovednej osoby.

2.   Zodpovedná osoba môže písomne požiadať prevádzkovateľa o preskúmanie uplatňovania obmedzení. Prevádzkovateľ písomne informuje zodpovednú osobu o výsledku požadovaného preskúmania.

3.   Prevádzkovateľ informuje zodpovednú osobu o zrušení obmedzenia.

Článok 5

Poskytovanie informácií dotknutej osobe

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ obmedziť právo na informácie v súvislosti s týmito spracovateľskými operáciami:

(a)

vykonávanie administratívnych vyšetrovaní a disciplinárnych konaní;

(b)

uskutočňovanie predbežných činností týkajúcich sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF;

(c)

spracúvanie prípadov oznamovania protispoločenskej činnosti;

(d)

vybavovanie (formálnych a neformálnych) postupov v prípade obťažovania;

(e)

spracúvanie interných a externých sťažností;

(f)

vykonávanie vnútorných auditov;

(g)

vykonávanie vyšetrovaní zo strany zodpovednej osoby v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725;

(h)

vykonávanie vyšetrovaní v oblasti bezpečnosti informačných technológií, ktoré sa realizujú interne alebo so zapojením externých subjektov (napr. CERT-EU).

Agentúra zahrnie do oznámení o ochrane osobných údajov, vyhlásení o ochrane osobných údajov alebo záznamov v zmysle článku 31 nariadenia (EÚ) 2018/1725, ktoré sú uverejnené na jej webovej stránke a/alebo distribuované interne na účely informovania dotknutých osôb o ich právach v rámci príslušného postupu, informácie týkajúce sa možného obmedzenia týchto práv. Ide o informácie o tom, ktoré práva môžu byť obmedzené, dôvody a možné trvanie obmedzenia.

2.   Bez toho, aby boli dotknuté ustanovenia v odseku 3, agentúra, ak je to primerané, individuálne informuje všetky dotknuté osoby, ktorých sa týka konkrétna spracovateľská operácia, a to bez zbytočného odkladu a písomne, o ich právach v súvislosti so súčasnými alebo budúcimi obmedzeniami.

3.   Ak agentúra úplne alebo čiastočne obmedzí poskytovanie informácií dotknutým osobám uvedeným v odseku 2, zaznamená dôvody tohto obmedzenia, právny základ v súlade s článkom 3 tohto rozhodnutia vrátane posúdenia nutnosti a primeranosti obmedzenia.

Tento záznam a v náležitých prípadoch aj dokumenty obsahujúce súvisiace faktické a právne prvky sa zaregistrujú. Na požiadanie sa sprístupnia európskemu dozornému úradníkovi pre ochranu údajov.

4.   Obmedzenie uvedené v odseku 3 sa uplatňuje dovtedy, kým platia dôvody, ktoré ho opodstatňujú.

Ak dôvody na obmedzenie už neplatia, agentúra poskytne dotknutej osobe informácie o hlavných dôvodoch, na základe ktorých bolo obmedzenie uplatnené. Agentúra zároveň informuje dotknutú osobu o práve podať kedykoľvek sťažnosť európskemu dozornému úradníkovi pre ochranu údajov, alebo žiadať o súdne prostriedky nápravy na Súdnom dvore Európskej únie.

Agentúra preskúma uplatňovanie obmedzenia každých šesť mesiacov od jeho prijatia a pri ukončení príslušného zisťovania, postupu alebo vyšetrovania. Prevádzkovateľ následne každých šesť mesiacov monitoruje, či je potrebné dané obmedzenie zachovať.

Článok 6

Právo dotknutej osoby na prístup k osobným údajom

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a primerané, obmedziť právo na prístup k osobným údajom v súvislosti s týmito spracovateľskými operáciami:

(a)

vykonávanie administratívnych vyšetrovaní a disciplinárnych konaní;

(b)

uskutočňovanie predbežných činností týkajúcich sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF;

(c)

spracúvanie prípadov oznamovania protispoločenskej činnosti;

(d)

vybavovanie (formálnych a neformálnych) postupov v prípade obťažovania;

(e)

spracúvanie interných a externých sťažností;

(f)

vykonávanie vnútorných auditov;

(g)

vykonávanie vyšetrovaní zo strany zodpovednej osoby v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725;

(h)

vykonávanie vyšetrovaní v oblasti bezpečnosti informačných technológií, ktoré sa realizujú interne alebo so zapojením externých subjektov (napr. CERT-EU);

(i)

vybavovanie žiadostí o prístup k vlastnej zdravotnej dokumentácii.

Ak dotknuté osoby žiadajú o prístup k svojim osobným údajom spracúvaným v súvislosti s jedným alebo viacerými konkrétnymi prípadmi alebo konkrétnou spracovateľskou operáciou v súlade s článkom 17 nariadenia (EÚ) 2018/1725, agentúra obmedzí svoje posúdenie žiadosti len na takéto osobné údaje.

2.   Ak agentúra úplne alebo čiastočne obmedzí právo prístupu uvedené v článku 17 nariadenia (EÚ) 2018/1725, podnikne tieto kroky:

(a)

vo svojej odpovedi na príslušnú žiadosť informuje danú dotknutú osobu o uplatnenom obmedzení a o hlavných dôvodoch tohto obmedzenia, ako aj o možnosti podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov alebo požiadať o súdny prostriedok nápravy na Súdnom dvore Európskej únie;

(b)

v oznámení o vnútornom posúdení sa zdokumentujú dôvody obmedzenia vrátane posúdenia nutnosti a primeranosti obmedzenia a dĺžky jeho trvania.

Prístup k vlastnej zdravotnej dokumentácii sa obmedzuje len v prípade žiadostí o priamy prístup k osobným zdravotným údajom, ktoré majú psychologickú alebo psychiatrickú povahu, ak je pravdepodobné, že prístup k takýmto údajom bude predstavovať riziko pre zdravie dotknutej osoby. Obmedzenia sú primerané tomu, čo je nevyhnutné na ochranu dotknutej osoby. Prístup k takýmto informáciám sa poskytne lekárovi podľa výberu dotknutej osoby.

Poskytnutie informácií uvedených v písmene a) sa môže odložiť, môže sa od neho upustiť alebo sa môže zamietnuť, ak by sa ním zrušil účinok obmedzenia v súlade s článkom 25 ods. 8 nariadenia (EÚ) 2018/1725.

Agentúra preskúma uplatňovanie obmedzenia každých šesť mesiacov od jeho prijatia a pri ukončení príslušného vyšetrovania. Prevádzkovateľ následne každých šesť mesiacov monitoruje, či je potrebné dané obmedzenie zachovať.

3.   Tento záznam a v náležitých prípadoch aj dokumenty obsahujúce súvisiace faktické a právne prvky sa zaregistrujú. Na požiadanie sa sprístupnia európskemu dozornému úradníkovi pre ochranu údajov.

Článok 7

Právo na opravu, vymazanie a obmedzenie spracúvania údajov

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a primerané, obmedziť právo na opravu, vymazanie a obmedzenie spracúvania údajov v súvislosti s týmito spracovateľskými operáciami:

(a)

vykonávanie administratívnych vyšetrovaní a disciplinárnych konaní;

(b)

uskutočňovanie predbežných činností týkajúcich sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF;

(c)

spracúvanie prípadov oznamovania protispoločenskej činnosti;

(d)

vybavovanie (formálnych a neformálnych) postupov v prípade obťažovania;

(e)

spracúvanie interných a externých sťažností;

(f)

vykonávanie vnútorných auditov;

(g)

vykonávanie vyšetrovaní zo strany zodpovednej osoby v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725;

(h)

vykonávanie vyšetrovaní v oblasti bezpečnosti informačných technológií realizované interne alebo so zapojením externých subjektov (napr. CERT-EU).

2.   Ak agentúra úplne alebo čiastočne obmedzí uplatňovanie práva na opravu údajov, vymazanie a obmedzenie spracúvania údajov uvedené v článkoch 18, 19 ods. 1 a 20 ods. 1 nariadenia (EÚ) 2018/1725, podnikne kroky stanovené v článku 6 ods. 2 tohto rozhodnutia a záznam zaregistruje v súlade s článkom 6 ods. 3 tohto rozhodnutia.

Článok 8

Nahlásenie prípadov porušenia ochrany osobných údajov dotknutej osobe a dôvernosť elektronických komunikácií

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a vhodné, obmedziť právo na nahlásenie prípadov porušenia ochrany osobných údajov v súvislosti s týmito spracovateľskými operáciami:

(a)

vykonávanie administratívnych vyšetrovaní a disciplinárnych konaní;

(b)

uskutočňovanie predbežných činností týkajúcich sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF;

(c)

spracúvanie prípadov oznamovania protispoločenskej činnosti;

(d)

spracúvanie interných a externých sťažností;

(e)

vykonávanie vnútorných auditov;

(f)

vykonávanie vyšetrovaní zo strany zodpovednej osoby v súlade s článkom 45 ods. 2 nariadenia č. 2018/1725;

(g)

vykonávanie vyšetrovaní v oblasti bezpečnosti informačných technológií realizované interne alebo so zapojením externých subjektov (napr. CERT-EU).

2.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a primerané, obmedziť právo na dôvernosť elektronických komunikácií v súvislosti s týmito spracovateľskými operáciami:

(a)

vykonávanie administratívnych vyšetrovaní a disciplinárnych konaní;

(b)

uskutočňovanie predbežných činností týkajúcich sa prípadov potenciálnych nezrovnalostí nahlasovaných úradu OLAF;

(c)

spracúvanie prípadov oznamovania protispoločenskej činnosti;

(d)

Vybavovanie postupov v prípade obťažovania;

(e)

spracúvanie interných a externých sťažností;

(f)

vykonávanie vyšetrovaní v oblasti bezpečnosti informačných technológií realizované interne alebo so zapojením externých subjektov (napr. CERT-EU).

3.   Ak agentúra obmedzí nahlásenie prípadov porušenia ochrany osobných údajov dotknutej osobe alebo dôvernosť elektronických komunikácií uvedených v článkoch 35 a 36 nariadenia (EÚ) 2018/1725, zaznamená a zaregistruje dôvody obmedzenia v súlade s článkom 5 ods. 3 tohto rozhodnutia. Uplatňuje sa článok 5 ods. 4 tohto rozhodnutia.

Článok 9

Nadobudnutie účinnosti

Toto rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.

V Tampere 5. augusta 2019

Za správnu radu

Kimmo HIMBERG

predseda správnej rady


(1)  Ú. v. EÚ L 295, 21.11.2018, s. 39.

(2)  Ú. v. EÚ L 319, 4.12.2015, s. 1.

(3)  https://edps.europa.eu/sites/edp/files/publication/18-12-20_guidance_on_article_25_en.pdf

(4)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).

(5)  Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016, s. 89).