This document is an excerpt from the EUR-Lex website
Document 32022Q0311(01)
Decision No 4/2022 of the Bureau of the Committee of the Regions of 25 January 2022 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the context of activities and procedures carried out by the Committee of the Regions
Sklep št. 4/2022 predsedstva Odbora regij z dne 25. januarja 2022 o določitvi notranjih pravil glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti in postopkov, ki jih izvaja Odbor regij
Sklep št. 4/2022 predsedstva Odbora regij z dne 25. januarja 2022 o določitvi notranjih pravil glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti in postopkov, ki jih izvaja Odbor regij
UL L 84, 11.3.2022, p. 44–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
11.3.2022 |
SL |
Uradni list Evropske unije |
L 84/44 |
SKLEP št. 4/2022 PREDSEDSTVA ODBORA REGIJ
z dne 25. januarja 2022
o določitvi notranjih pravil glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti in postopkov, ki jih izvaja Odbor regij
PREDSEDSTVO ODBORA REGIJ JE –
ob upoštevanju Pogodbe o delovanju Evropske unije (1) in zlasti člena 306 Pogodbe,
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (2) (v nadaljnjem besedilu: Uredba ali EUDPR) in zlasti člena 25 te uredbe,
ob upoštevanju Poslovnika Evropskega odbora regij (3) in zlasti člena 37(d) Poslovnika,
ob upoštevanju mnenja D(2021) 0894 (zadeva 2021-0345) Evropskega nadzornika za varstvo podatkov (v nadaljnjem besedilu: ENVP), z dne 20. aprila 2021, ki je bil zaprošen za mnenje v skladu s členom 41(2) EUDPR,
ob upoštevanju naslednjega:
|
(1) |
V skladu z opredelitvijo iz člena 3(1) EUDPR se „osebni podatki“ nanašajo na vsakršno informacijo v zvezi z določenim ali določljivim posameznikom („posameznik, na katerega se nanašajo osebni podatki“). |
|
(2) |
Uredba se tako kot za vse institucije Unije uporablja tudi za Odbor regij (v nadaljnjem besedilu: Odbor), kar zadeva obdelavo osebnih podatkov v okviru dejavnosti in postopkov, ki jih izvaja. |
|
(3) |
Upravljavec v smislu člena 3(8) EUDPR je Odbor, ki lahko prenese pristojnost za določitev namenov in sredstev obdelave osebnih podatkov. |
|
(4) |
V skladu s členom 45(3) EUDPR je predsedstvo Odbora regij (v nadaljnjem besedilu: predsedstvo) sprejelo izvedbena pravila (4) v zvezi z Uredbo in pooblaščeno osebo za varstvo podatkov v Odboru (v nadaljnjem besedilu: pooblaščena oseba za varstvo podatkov). V skladu s temi pravili bi moral oddelek (direkcija, enota ali sektor) generalnega sekretariata Odbora ali tajništvo ene od političnih skupin Odbora, ki sam ali skupaj z drugimi določa namene in način obdelave osebnih podatkov, v zvezi s temi podatki delovati v imenu Odbora kot pooblaščeni upravljavec. |
|
(5) |
Odbor in Evropski ekonomsko-socialni odbor (v nadaljnjem besedilu: EESO) si v okviru medinstitucionalnega sodelovanja delita nekatere oddelke in vire (v nadaljnjem besedilu: skupne službe), zato je treba veljavna notranja pravila o omejitvah pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v skupnih službah določiti v skladu z dogovori, ki sta jih v ta namen sprejela Odbor in EESO. |
|
(6) |
Za opravljanje nalog Odbora upravljavci podatkov zbirajo in obdelujejo informacije in več kategorij osebnih podatkov, vključno z identifikacijskimi podatki posameznikov, kontaktnimi podatki, poklicnimi vlogami in nalogami, informacijami o ravnanju v zasebnem in poklicnem življenju in uspešnosti ter finančnimi podatki. Upravljavci podatkov morajo zato v skladu z Uredbo posameznikom, na katere se nanašajo osebni podatki, zagotavljati informacije o dejavnostih obdelave, ki jih izvajajo, ter spoštovati njihove pravice, ki jih imajo kot posamezniki, na katere se nanašajo osebni podatki. |
|
(7) |
Upravljavci podatkov morajo te pravice po potrebi uskladiti s cilji poizvedb, preiskav, preverjanj, dejavnosti, revizij in postopkov, ki se izvajajo v Odboru. Po potrebi morajo tudi uravnotežiti pravice posameznikov, na katere se nanašajo osebni podatki, s temeljnimi pravicami in svoboščinami drugih posameznikov, na katere se nanašajo osebni podatki. V ta namen člen 25(1) EUDPR upravljavcem podatkov omogoča, da omejijo uporabo členov 14 do 22 ter 35 in 36 EUDPR, kot tudi člena 4 EUDPR, v kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22 EUDPR. |
|
(8) |
Upravljavci podatkov uporabljajo omejitve samo, če se z njimi upošteva bistvo temeljnih pravic in svoboščin ter so nujno potreben in sorazmeren ukrep v demokratični družbi. |
|
(9) |
Upravljavci podatkov morajo navesti razloge za utemeljitev teh omejitev in voditi evidenco o uporabi omejitev pravic posameznikov, na katere se nanašajo osebni podatki. |
|
(10) |
Upravljavci podatkov morajo omejitev odpraviti takoj, ko pogoji, ki so omejitev upravičevali, ne obstajajo več. Te pogoje morajo redno preverjati. |
|
(11) |
Za zagotovitev čim večje zaščite pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, bi se bilo treba pravočasno posvetovati s pooblaščeno osebo za varstvo podatkov o vsaki omejitvi, ki bi se lahko uporabila, in preveriti njeno skladnost s tem sklepom. |
|
(12) |
Če omejitve niso določene v pravnem aktu, sprejetem na podlagi Pogodb (5), je treba sprejeti notranja pravila, v skladu s katerimi lahko upravljavci podatkov omejijo pravice posameznikov, na katere se nanašajo osebni podatki. |
|
(13) |
Ta sklep se ne sme uporabljati v primerih, ko se uporablja ena od izjem iz člena 15(4) in člena 16(5) EUDPR v zvezi z informacijami, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki – |
SPREJELO NASLEDNJI SKLEP:
Člen 1
Predmet urejanja, področje uporabe in opredelitev pojmov
1. Ta sklep določa splošna pravila v zvezi s pogoji, pod katerimi lahko upravljavci podatkov v skladu s členom 25(1) EUDPR po potrebi omejijo uporabo členov 14 do 22 ter 35 in 36 EUDPR, kot tudi člena 4 EUDPR, v kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22 EUDPR.
2. V tem sklepu se uporabljajo naslednje opredelitve pojmov:
|
(a) |
„osebni podatki“ pomenijo vsakršno informacijo v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ki se obdeluje pri izvajanju dejavnosti ali postopkov, ki ne spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela Pogodbe o delovanju Evropske unije, v nasprotju z operativnimi osebnimi podatki v smislu člena 3(2) EUDPR, |
|
(b) |
„upravljavec podatkov“ pomeni subjekt, ki sam ali skupaj z drugimi dejansko določa namene in način obdelave osebnih podatkov v okviru dejavnosti in postopkov, ki jih izvaja Odbor, ne glede na to, ali je bila pristojnost za tako določitev prenesena. |
3. Ta sklep se uporablja za obdelavo osebnih podatkov za namene dejavnosti in postopkov, ki jih izvaja Odbor. Ne uporablja se, kadar pravni akt, sprejet na podlagi Pogodb, določa omejitev pravic posameznika, na katerega se nanašajo osebni podatki.
4. Upravljavec v smislu člena 3(8) EUDPR je Odbor, ki lahko prenese pristojnost za določitev namenov in sredstev obdelave osebnih podatkov.
5. Za namene vsake obdelave informacij, omejitve in odloga, izpustitve ali zavrnitve posredovanja informacij se pristojni upravljavec podatkov določi v skladu z ustreznimi notranjimi sklepi, postopki in izvedbenimi pravili Odbora.
Člen 2
Izjeme in odstopanja
1. Upravljavci podatkov pred uvedbo kakršnihkoli omejitev v skladu s členom 3(1) preučijo, ali velja katera od izjem ali odstopanj iz Uredbe, zlasti izjema ali odstopanje iz člena 15(4), člena 16(5), člena 19(3), člena 25(3) in (4) ter člena 35(3) EUDPR.
2. Odstopanje je mogoče uveljaviti le z uporabo ustreznih zaščitnih ukrepov v skladu s členom 13 EUDPR in členom 6 tega sklepa.
Člen 3
Omejitve
1. Upravljavci podatkov lahko po potrebi omejijo uporabo členov 14 do 22, 35 in 36 EUDPR, kot tudi člena 4 EUDPR, v kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22 EUDPR, in sicer kadar bi uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, škodljivo vplivalo na namen ali izid ene ali več dejavnosti ali postopkov, ki jih izvaja Odbor, zlasti:
|
(a) |
v skladu s členom 25(1)(b), (c), (f), (g) in (h) EUDPR, ko organ za imenovanja in organ za sklepanje pogodb o zaposlitvi v okviru Odbora (v nadaljnjem besedilu: organ za imenovanja) izvaja disciplinske postopke, upravne poizvedbe in preiskave v zvezi s kadrovskimi zadevami na podlagi člena 86 Kadrovskih predpisov za uradnike Evropske unije (v nadaljnjem besedilu: Kadrovski predpisi) in Priloge IX h Kadrovskim predpisom ter členov 50a in 119 Pogojev za zaposlitev drugih uslužbencev Evropske unije (6) (v nadaljnjem besedilu: Pogoji za zaposlitev) ter preiskave v zvezi s prošnjami za pomoč, vloženimi na podlagi člena 24 Kadrovskih predpisov ter členov 11 in 81 Pogojev za zaposlitev, ter glede domnevnih primerov nadlegovanja v smislu člena 12a Kadrovskih predpisov, |
|
(b) |
v skladu s členom 25(1)(b), (c), (f) in (h) EUDPR, kadar organ za imenovanja pregleda zahteve in pritožbe, ki jih vložijo uradniki in drugi uslužbenci Odbora (v nadaljnjem besedilu: uslužbenci) v skladu s členom 90 Kadrovskih predpisov ter členoma 46 in 117 Pogojev za zaposlitev, |
|
(c) |
v skladu s členom 25(1)(c) in (h) EUDPR, kadar organ za imenovanja izvaja kadrovsko politiko Odbora z izvajanjem postopkov izbora (zaposlovanje), ocenjevanja in napredovanja, |
|
(d) |
v skladu s členom 25(1)(c), (f), (g) in (h) EUDPR, kadar odredbodajalec Odbora (v nadaljnjem besedilu: odredbodajalec) izvršuje oddelek splošnega proračuna Evropske unije za Odbor z vodenjem postopkov dodeljevanja v skladu s finančnimi pravili, ki se uporabljajo za splošni proračun Unije (7) (v nadaljnjem besedilu: Finančna uredba), |
|
(e) |
v skladu s členom 25(1)(b), (c), (f), (g) in (h) EUDPR, kadar odredbodajalec spremlja in preiskuje zakonitost finančnih transakcij, ki jih izvaja Odbor ali se izvajajo znotraj Odbora, ustreznost finančnih pravic (8) članov in nadomestnih članov Odbora (v nadaljnjem besedilu: člani Odbora) ter financiranje dejavnosti in dogodkov, ki jih Odbor organizira ali soorganizira, ter obravnava finančne nepravilnosti uslužbenca v skladu s členom 93 Finančne uredbe, |
|
(f) |
v skladu s členom 25(1)(b), (c), (f), (g) in (h) EUDPR, kadar Odbor Evropskemu uradu za boj proti goljufijam (v nadaljevanju: OLAF) bodisi na njegovo zahtevo bodisi na lastno pobudo predloži informacije in dokumente, uradno obvesti OLAF o zadevah ali obdeluje informacije in dokumente, ki jih je prejel od OLAF (9), |
|
(g) |
v skladu s členom 25(1)(c), (g) in (h) EUDPR, kadar Odbor izvaja notranje revizije na podlagi členov 118 in 119 Finančne uredbe ter v zvezi z dejavnostmi in postopki svojih oddelkov, |
|
(h) |
v skladu s členom 25(1)(c), (d) in (h) EUDPR, kadar Odbor izvaja notranje ocene tveganja, nadzor dostopa, vključno s preverjanjem preteklosti, ukrepe za preprečevanje in preiskovanje incidentov v zvezi z varnostjo in zaščito, vključno z incidenti, v katere so vpleteni člani Odbora ali uslužbenci, ter incidenti v zvezi z infrastrukturo Odbora ter informacijskimi in komunikacijskimi tehnologijami, pa tudi varnostne poizvedbe in pomožne preiskave, vključno z njegovimi elektronskimi komunikacijskimi omrežji, na lastno pobudo ali na zahtevo tretje strani, |
|
(i) |
v skladu s členom 25(1)(c), (d) in (h) EUDPR, kadar pooblaščena oseba za varstvo podatkov na lastno pobudo ali na zahtevo tretjih oseb v skladu s členom 45(2) EUDPR preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge in za katere izve, |
|
(j) |
v skladu s členom 25(1)(h) EUDPR, kadar upravljavci podatkov obdelujejo osebne podatke, pridobljene v primeru, ko uslužbenec v dobri veri prijavi dejstva, ki kažejo na obstoj morebitnih nezakonitih dejanj, vključno z goljufijo in korupcijo, ki škodijo interesom Unije (v nadaljnjem besedilu: resne nepravilnosti), ali ravnanja v zvezi z opravljanjem poklicnih nalog, ki lahko pomeni hujše neizpolnjevanje obveznosti uslužbencev (v nadaljnjem besedilu: hujša kršitev), |
|
(k) |
v skladu s členom 25(1)(h) EUDPR, kadar upravljavci podatkov obdelujejo osebne podatke, ki jih pridobijo zaupni svetovalci v okviru neformalnega postopka v primerih domnevnega nadlegovanja, |
|
(l) |
v skladu s členom 25(1)(h) EUDPR, kadar upravljavci podatkov obdelujejo osebne podatke v zvezi z zdravjem (v nadaljnjem besedilu: zdravstveni podatki) člana ali uslužbenca Odbora, tudi psihološke ali psihiatrične podatke, ki so vsebovani v zdravstveni kartoteki o posamezniku, na katerega se nanašajo osebni podatki, ki jo hrani Odbor, |
|
(m) |
v skladu s členom 25(1)(e) EUDPR, kadar upravljavci podatkov obdelujejo osebne podatke iz dokumentov, ki jih pripravijo ali pridobijo stranke ali intervenienti v okviru postopkov pred Sodiščem Evropske unije (v nadaljnjem besedilu: Sodišče), |
|
(n) |
v skladu s členom 25(1)(b), (c), (d), (g) in (h) EUDPR, kadar Odbor zagotavlja pomoč drugim institucijam, organom, uradom in agencijam Unije, pomoč od njih prejema ali z njimi sodeluje v okviru dejavnosti ali postopkov iz točk (a) do (m) odstavka 1 ter v skladu z veljavnimi sporazumi o ravni storitev, memorandumi o soglasju in sporazumi o sodelovanju, |
|
(o) |
v skladu s členom 25(1)(b), (c), (g) in (h) EUDPR, kadar Odbor zagotavlja pomoč organom držav članic ali tretjih držav in mednarodnim organizacijam, pomoč od njih prejema ali s takimi organi in organizacijami sodeluje bodisi na njihovo zahtevo bodisi na lastno pobudo, |
|
(p) |
v skladu s členom 25(1)(a), (b), (e) in (f) EUDPR, kadar Odbor organom držav članic ali tretjih držav in mednarodnim organizacijam zagotavlja informacije in dokumente, ki jih zahtevajo v okviru preiskav. |
2. Omejitve iz odstavka 1 se lahko nanašajo na objektivne in subjektivne osebne podatke, ki sodijo zlasti, vendar ne izključno, v eno ali več naslednjih kategorij:
|
(a) |
identifikacijski podatki, |
|
(b) |
kontaktni podatki, |
|
(c) |
podatki o poklicni dejavnosti (10), |
|
(d) |
finančni podatki, |
|
(e) |
podatki o nadzoru (11), |
|
(f) |
podatki o prometu (12), |
|
(g) |
zdravstveni podatki (13), |
|
(h) |
genski podatki (13), |
|
(i) |
biometrični podatki (13), |
|
(j) |
podatki o spolnem življenju fizične osebe ali njeni spolni usmerjenosti (13), |
|
(k) |
podatki, ki razkrivajo rasno ali etnično poreklo, versko ali filozofsko prepričanje, politična stališča ali pripadnost ali članstvo v sindikatu (13), |
|
(l) |
podatki, ki razkrivajo uspešnost ali ravnanje fizičnih oseb, ki sodelujejo v postopkih izbora (zaposlovanje), ocenjevanja ali napredovanja (14), |
|
(m) |
podatki o prisotnosti fizičnih oseb, |
|
(n) |
podatki o zunanjih dejavnostih fizičnih oseb, |
|
(o) |
podatki v zvezi z domnevnimi kaznivimi dejanji, kaznivimi dejanji, obsodbami ali varnostnimi ukrepi, |
|
(p) |
elektronske komunikacije, |
|
(q) |
vsi drugi podatki, povezani z vsebino zadevne dejavnosti ali postopka, ki zahteva obdelavo teh podatkov. |
3. Pri vseh omejitvah se spoštuje bistvo temeljnih pravic in svoboščin, omejitve pa morajo biti potreben in sorazmeren ukrep v demokratični družbi. Ne smejo presegati tega, kar je nujno potrebno za dosego zastavljenega cilja.
4. Vse – celotne ali delne – omejitve uporabe člena 36 EUDPR (Zaupnost elektronskih sporočil) v skladu z odstavkom 1 morajo biti skladne z veljavno zakonodajo Unije o zasebnosti na področju elektronskih komunikacij (15).
5. Upravljavci podatkov redno pregledujejo uporabo omejitev iz odstavka 1 vsaj vsakih šest mesecev od njihovega sprejetja, pa tudi kadar se spremenijo bistveni in odločilni elementi primera ter ob zaključku ali koncu dejavnosti ali postopka, zaradi katerega so bile omejitve uvedene. Enkrat na leto nato preučijo potrebo po ohranitvi kakršnihkoli omejitev.
6. Omejitve iz odstavka 1 se uporabljajo, dokler obstajajo razlogi, ki jih upravičujejo. Če razlogi za omejitev iz odstavka 1 ne obstajajo več, upravljavci podatkov to omejitev odpravijo.
7. Upravljavci podatkov se pri obdelavi osebnih podatkov, prejetih od tretjih strani v okviru nalog Odbora, s temi tretjimi stranmi posvetujejo o morebitnih razlogih za uvedbo omejitev ter o potrebnosti in sorazmernosti zadevnih omejitev, razen če bi to škodilo dejavnostim ali postopkom Odbora.
Člen 4
Ocena potrebnosti in sorazmernosti
1. Upravljavci podatkov pred uvedbo kakršnihkoli omejitev za vsak primer posebej ocenijo, ali so predvidene omejitve potrebne in sorazmerne.
2. Pri presoji potrebnosti in sorazmernosti omejitve upravljavci podatkov upoštevajo morebitna tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.
3. Ocene tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki izhajajo iz uvedbe omejitev, zlasti tveganje, da bi se njihovi osebni podatki lahko nadalje obdelovali brez njihove vednosti in da bi se jim lahko preprečilo uveljavljanje njihovih pravic v skladu z Uredbo, ter podrobnosti o obdobju uporabe teh omejitev se zabeležijo v evidenci dejavnosti obdelave, ki jo vodijo upravljavci podatkov v skladu s členom 31(1) EUDPR. Zabeležijo se tudi v vsaki oceni učinka v zvezi z varstvom podatkov, opravljeni v zvezi z navedenimi omejitvami v skladu s členom 39 EUDPR.
Člen 5
Evidentiranje omejitev in njihov vpis v register
1. Kadar upravljavci podatkov uvedejo omejitve, evidentirajo:
|
(a) |
razloge za uvedbo omejitev, |
|
(b) |
podlago za uvedbo omejitev, |
|
(c) |
kako bi izvajanje pravic posameznika, na katerega se nanašajo osebni podatki, ogrozilo namen ali izid ene ali več dejavnosti ali postopkov, ki jih izvaja Odbor, |
|
(d) |
rezultat ocene iz člena 4(1). |
2. Evidence iz odstavka 1 so del centralnega registra v skladu s členom 31(5) EUDPR. Evropskemu nadzorniku za varstvo podatkov se na zahtevo omogoči dostop do teh evidenc.
3. Kadar upravljavci podatkov omejijo uporabo člena 35 EUDPR (Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov), se evidenca iz odstavka 1 vključi v obvestilo Evropskemu nadzorniku za varstvo podatkov v skladu s členom 34(1) EUDPR.
Člen 6
Zaščitni ukrepi in obdobje hrambe
1. Upravljavci podatkov uvedejo zaščitne ukrepe za preprečevanje zlorabe osebnih podatkov, za katere bi se lahko uporabljale omejitve v skladu s členom 3(1), nezakonitega dostopa do teh podatkov ali njihovega nezakonitega prenosa. Taki zaščitni ukrepi vključujejo ustrezne tehnične in organizacijske ukrepe ter so po potrebi podrobno opisani v notranjih sklepih, postopkih in izvedbenih pravilih Odbora.
2. Zaščitni ukrepi iz odstavka 1 vključujejo:
|
(a) |
jasno opredelitev vlog, odgovornosti in postopkov, |
|
(b) |
po potrebi varno elektronsko okolje, ki nepooblaščenim osebam preprečuje nezakonit in naključen dostop do elektronskih podatkov in njihov prenos, |
|
(c) |
po potrebi varno hrambo in obdelavo dokumentov v papirni obliki, |
|
(d) |
ustrezno spremljanje omejitev in redni pregled njihove uporabe. |
3. Osebni podatki se hranijo v skladu z veljavnimi pravili Odbora o hrambi (16), ki se določijo v evidencah, ki jih vodijo upravljavci podatkov v skladu s členom 31(1) EUDPR. Ob koncu obdobja hrambe se osebni podatki izbrišejo, anonimizirajo tako, da identifikacija posameznika, na katerega se nanašajo osebni podatki, ni (več) mogoča, ali prenesejo v arhiv Odbora v skladu s členom 13 EUDRP.
Člen 7
Obveščanje posameznika, na katerega se nanašajo osebni podatki, o omejitvi njegovih pravic
1. Obvestila o varstvu podatkov, objavljena na javnem spletišču Odbora ali na njegovem intranetu vključujejo razdelek, ki posameznikom, na katere se nanašajo osebni podatki, nudi splošne informacije o morebitni omejitvi njihovih pravic v okviru dejavnosti in postopkov Odbora, ki vključujejo obdelavo njihovih osebnih podatkov. V tem razdelku se navedejo pravice, ki se lahko omejijo, podlaga za morebitno uvedbo omejitev, morebitno trajanje teh omejitev ter upravna in pravna sredstva, ki so na voljo posameznikom, na katere se nanašajo osebni podatki.
2. Kadar upravljavci podatkov uvedejo omejitve, vsakega posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja in v najustreznejši obliki neposredno obvestijo o:
|
(a) |
vseh obstoječih ali prihodnjih omejitvah njihovih pravic, |
|
(b) |
glavnih razlogih, na katerih temelji uporaba omejitve, |
|
(c) |
njihovi pravici, da se posvetujejo s pooblaščeno osebo za varstvo podatkov, če želijo izpodbijati omejitev, |
|
(d) |
njihovi pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov, |
|
(e) |
njihovi pravici do uporabe pravnega sredstva pred Sodiščem. |
3. Kadar upravljavci podatkov, ne glede na odstavek 2, v izjemnih primerih omejijo uporabo člena 35 EUDPR (Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov), obvestijo posameznika, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov, in mu posredujejo informacije iz točk (b), (d) in (e) odstavka 2, takoj ko razlogi za omejitev takšnega sporočila ne obstajajo več.
4. Kadar upravljavci podatkov, ne glede na odstavek 2, v izjemnih primerih omejijo uporabo člena 36 EUDPR (Zaupnost elektronskih sporočil), informacije iz odstavka 2 posredujejo posamezniku, na katerega se nanašajo osebni podatki, v odgovoru na njegovo morebitno zahtevo.
5. Upravljavci podatkov lahko odložijo, izpustijo ali zavrnejo posredovanje informacij iz odstavka 2 (v nadaljnjem besedilu: odlog, izpustitev ali zavrnitev posredovanja informacij) tako dolgo, kolikor je potrebno, da se s tem ohrani učinek omejitve. Posamezniku, na katerega se nanašajo osebni podatki, informacije iz odstavka 2 posredujejo takoj, ko to ne bi več vplivalo na učinek omejitve.
6. Člen 4 in člen 5 se smiselno uporabljata za vsak primer odloga, izpustitve ali zavrnitve posredovanja informacij.
Člen 8
Vključitev pooblaščene osebe za varstvo podatkov v Odboru
1. Upravljavci podatkov brez nepotrebnega odlašanja pisno obvestijo pooblaščeno osebo za varstvo podatkov vsakič, ko omejijo pravice posameznika, na katerega se nanašajo osebni podatki, v skladu s členom 3(1), izvajajo redne preglede iz člena 3(5), odpravljajo omejitve v skladu s členom 3(6) ali odložijo, izpustijo ali zavrnejo posredovanje informacij iz člena 7(2) v skladu s členom 7(5). Pooblaščeni osebi za varstvo podatkov se na zahtevo omogoči dostop do povezanih evidenc in vseh dokumentov z dejstvi in pravnimi elementi, na katerih zadeva temelji.
2. Pooblaščena oseba za varstvo podatkov lahko od upravljavcev podatkov zahteva, da pregledajo vse obstoječe omejitve ter odloge, izpustitve ali zavrnitve posredovanja informacij ter njihovo uporabo. Pooblaščeno osebo za varstvo podatkov se pisno obvesti o rezultatih zahtevanega pregleda.
3. Upravljavci podatkov ustrezno dokumentirajo vključitev pooblaščene osebe za varstvo podatkov, kot to določata odstavka 1 in 2 v zvezi z uvedbo omejitev ter odloga, izpustitve ali zavrnitve posredovanja informacij, pri čemer navedejo tudi informacije, ki so ji bile dane na voljo.
4. Pooblaščena oseba za varstvo podatkov upravljavcem podatkov na zahtevo posreduje svoje mnenje o določitvi njihovih obveznosti v okviru dogovora skupnih upravljavcev v skladu s členom 28(1) EUDPR.
Člen 9
Skupne službe
Pooblaščena oseba za varstvo podatkov pri obdelavi osebnih podatkov v skupnih službah sodeluje s pooblaščeno osebo za varstvo podatkov v EESO, da se zagotovi učinkovito izvajanje tega sklepa.
Člen 10
Končne določbe
1. Generalni sekretar lahko da navodila ali sprejme izvedbene ukrepe, s katerimi po potrebi podrobneje opredeli in uveljavi določbe tega sklepa v skladu s tem sklepom.
2. Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
V Bruslju, 25. januarja 2022
Za predsedstvo Odbora regij
Apostolos TZITZIKOSTAS
predsednik
(1) UL C 202, 7.6.2016, str. 47.
(2) UL L 295, 21.11.2018, str. 39.
(3) UL L 472, 30.12.2021, str. 1.
(4) Sklep št. 19/2020 predsedstva Odbora regij z dne 9. oktobra 2020 o sprejetju izvedbenih pravil v zvezi z Uredbo (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov (v nadaljnjem besedilu: Sklep št. 19/2020).
(5) Pogodba o Evropski uniji (PEU) (UL C 202, 7.6.2016 str. 13) in Pogodba o delovanju Evropske unije (PDEU).
(6) Priloga k Uredbi Sveta št. 31 (EGS), 11 (ESAE) o določitvi Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev Evropske gospodarske skupnosti in Evropske skupnosti za atomsko energijo (UL P 45, 14.6.1962, str. 1385), kakor je bila spremenjena z Uredbo Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o določitvi Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev Evropskih skupnosti in določitvi posebnih začasnih ukrepov za uradnike Komisije (UL L 56, 4.3.1968, str. 1), kakor je bila nadalje spremenjena in dopolnjena.
(7) Uredba (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta z dne 18. julija 2018 o finančnih pravilih, ki se uporabljajo za splošni proračun Unije, spremembi uredb (EU) št. 1296/2013, (EU) št. 1301/2013, (EU) št. 1303/2013, (EU) št. 1304/2013, (EU) št. 1309/2013, (EU) št. 1316/2013, (EU) št. 223/2014, (EU) št. 283/2014 in Sklepa št. 541/2014/EU ter razveljavitvi Uredbe (EU, Euratom) št. 966/2012 (UL L 193, 30.7.2018, str. 1).
(8) Te med drugim vključujejo nadomestila za splošne stroške, nadomestila za zaposlene, nadomestila za opremo in prostore, nadomestila za potne stroške, stroške bivanja in seje (na daljavo) ter druga nadomestila, ki se lahko plačajo na podlagi člena 238 Finančne uredbe.
(9) Ta določba se ne uporablja za obdelavo osebnih podatkov, za katere je OLAF edini upravljavec, zlasti v primerih, ko OLAF obdeluje osebne podatke, ki se hranijo v prostorih Odbora.
(10) Ti med drugim vključujejo pogodbe o zaposlitvi, pogodbe o ponudnikih storitev in podatke v zvezi s službenimi potovanji.
(11) Ti med drugim vključujejo avdio- in videoposnetke ter registre prijave in odjave.
(12) Ti med drugim vključujejo čas prijave in odjave, dostop do notranjih aplikacij in omrežnih virov ter uporabo interneta.
(13) Če se taki podatki obdelujejo v skladu s členom 10(2) EUDPR.
(14) Ti med drugim vključujejo pisno preverjanje, posnete govore, ocenjevalne liste ter ocene, opažanja ali mnenja ocenjevalcev.
(15) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
(16) Sklep št. 129/2003 generalnega sekretarja Odbora regij z dne 17. junija 2003 o upravljanju dokumentarnega gradiva Odbora regij.