EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32020Q0827(01)
Decision No 64 of the Management Board of the European Asylum Support Office of 6 July 2020 on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of the functioning of EASO
Sklep št. 64 upravnega odbora Evropskega azilnega podpornega urada z dne 6. julija 2020 o sprejetju notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja EASO
Sklep št. 64 upravnega odbora Evropskega azilnega podpornega urada z dne 6. julija 2020 o sprejetju notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja EASO
OJ L 279, 27.8.2020, p. 15–22
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
27.8.2020 |
SL |
Uradni list Evropske unije |
L 279/15 |
SKLEP št. 64 UPRAVNEGA ODBORA EVROPSKEGA AZILNEGA PODPORNEGA URADA
z dne 6. julija 2020
o sprejetju notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja EASO
UPRAVNI ODBOR EVROPSKEGA AZILNEGA PODPORNEGA URADA, v nadaljnjem besedilu EASO, JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) in zlasti člena 25 Uredbe,
ob upoštevanju Uredbe (EU) št. 439/2010 Evropskega parlamenta in Sveta z dne 19. maja 2010 o ustanovitvi Evropskega azilnega podpornega urada (2) in zlasti člena 29,
ob upoštevanju mnenja Evropskega nadzornika za varstvo podatkov (ENVP) z dne 20. maja 2020 in smernic ENVP o členu 25 nove uredbe in notranjih pravilih,
po posvetovanju z odborom osebja,
ob upoštevanju naslednjega:
(1) |
EASO svoje dejavnosti izvaja v skladu z Uredbo (EU) št. 439/2010. |
(2) |
V skladu s členom 25(1) Uredbe (EU) 2018/1725 bi morale omejitve pri uporabi členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe, če njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 21, temeljiti na notranjih pravilih, ki jih sprejme EASO, kadar ta ne temeljijo na pravnih aktih, sprejetih na podlagi Pogodb. |
(3) |
Ta notranja pravila, vključno z določbami o oceni potrebnosti in sorazmernosti omejitve, se ne bi smela uporabljati, kadar pravni akt, sprejet na podlagi Pogodb, določa omejitev pravic posameznikov, na katere se nanašajo osebni podatki. |
(4) |
Če EASO opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe. |
(5) |
EASO lahko v okviru svojega upravnega delovanja izvaja upravne poizvedbe, disciplinske postopke, predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdeluje primere prijavljanja nepravilnosti, izvaja (uradne in neuradne) postopke v zvezi z nadlegovanjem, obdeluje notranje in zunanje pritožbe, opravlja notranje revizije, izvaja preiskave po pooblaščeni osebi za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725 in preiskave v zvezi z notranjo (informacijsko-tehnološko) varnostjo ter obravnava zahteve uslužbencev za dostop do svojih zdravstvenih kartotek. EASO obdeluje več kategorij osebnih podatkov, vključno z zanesljivimi podatki („objektivnimi“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivimi podatki („subjektivnimi“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti). |
(6) |
EASO, ki ga zastopa izvršni direktor, ima vlogo upravljavca podatkov ne glede na nadaljnje prenose vloge upravljavca znotraj EASO, da se odrazijo operativne pristojnosti za posebne postopke obdelave osebnih podatkov. |
(7) |
Osebni podatki so varno shranjeni v elektronskem okolju ali na papirju, kar preprečuje njihovo zlorabo ali nezakonit dostop do njih ali prenos podatkov osebam, ki nimajo potrebe po seznanitvi z njimi. Osebni podatki, ki se obdelujejo, se hranijo le toliko časa, kolikor je potrebno in primerno za namene, za katere se podatki obdelujejo, za obdobje, določeno v obvestilih o varstvu podatkov ali evidencah EASOa. |
(8) |
Ta notranja pravila bi se morala uporabljati za vse postopke obdelave, ki jih EASO izvaja pri opravljanju upravnih preiskav, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, postopkov za prijavljanje nepravilnosti, (uradnih in neuradnih) postopkov v primerih nadlegovanja, obdelovanja notranjih in zunanjih pritožb, notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU), in pri obravnavanju zahtev uslužbencev za dostop do svojih zdravstvenih kartotek. |
(9) |
Ta notranja pravila bi se morala uporabljati za postopke obdelave, izvedene pred začetkom postopkov, navedenih zgoraj, med temi postopki in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh postopkov. Vključevati bi morala tudi pomoč in sodelovanje, ki ju EASO zagotavlja nacionalnim organom in mednarodnim organizacijam zunaj svojih upravnih preiskav. |
(10) |
Kadar se uporabljajo ta notranja pravila, bi EASO moral utemeljiti, zakaj so omejitve nujno potrebne in sorazmerne v demokratični družbi, ter spoštovati bistvo temeljnih pravic in svoboščin. |
(11) |
EASO mora v tem okviru v največji mogoči meri spoštovati temeljne pravice posameznikov, na katere se nanašajo osebni podatki, med zgoraj navedenimi postopki, zlasti tiste v zvezi s pravico do obveščenosti posameznika, na katerega se nanašajo osebni podatki, pravico do dostopa ter pravico do popravka, izbrisa in omejitve obdelave, pravico do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov in do zaupnosti elektronskih sporočil, kakor je določeno v Uredbi (EU) 2018/1725. |
(12) |
Vendar je lahko EASO dolžen omejiti pravico do obveščenosti posameznika, na katerega se nanašajo osebni podatki, in druge pravice posameznika, na katerega se nanašajo osebni podatki, da zaščiti zlasti lastne preiskave, preiskave in postopke drugih javnih organov ter pravice drugih oseb, ki so vključene v preiskave ali druge postopke. |
(13) |
EASO bi moral redno spremljati, ali so še vedno izpolnjeni pogoji, ki upravičujejo omejitev, in odpraviti omejitev takoj, ko pogoji niso več izpolnjeni. |
(14) |
Upravljavec bi moral pooblaščeno osebo za varstvo podatkov obvestiti v trenutku, ko se omejitev uporabi, in jo obveščati med poznejšimi pregledi ter jo vključevati med celotnim postopkom, dokler se omejitev ne odpravi – |
SPREJEL NASLEDNJI SKLEP:
Člen 1
Predmet urejanja in področje uporabe
1. Ta sklep določa pravila v zvezi s pogoji, pod katerimi lahko EASO na podlagi člena 25 Uredbe (EU) 2018/1725 v okviru postopkov iz drugega odstavka omeji uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe.
2. V okviru upravnega delovanja EASOa se ta sklep uporablja za postopke obdelave osebnih podatkov, ki jih EASO izvaja za namene opravljanja upravnih preiskav in disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov za prijavljanje nepravilnosti, izvajanja (uradnih in neuradnih) postopkov v primerih nadlegovanja, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU), in obravnavanja zahtev uslužbencev za dostop do svojih zdravstvenih kartotek.
3. Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki, povezani z učinkovitostjo in vodenjem, ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).
4. Če EASO opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.
5. Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: pravico do zagotavljanja informacij posamezniku, na katerega se nanašajo osebni podatki, pravico do dostopa, pravice do popravka, izbrisa in omejitve obdelave ter pravici do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov in zaupnosti elektronskih sporočil.
Člen 2
Opredelitev upravljavca in zaščitnih ukrepov
1. EASO vzpostavi naslednje zaščitne ukrepe, da prepreči zlorabo ali nezakonit dostop ali prenos:
(a) |
dokumenti v papirni obliki se hranijo v zavarovanih omaricah in so dostopni le pooblaščenemu osebju; |
(b) |
vsi elektronski podatki se hranijo v varni IT-aplikaciji v skladu z varnostnimi standardi EASOa in v posebnih elektronskih mapah, dostopnih samo pooblaščenemu osebju. Ustrezne ravni dostopa se odobrijo za vsak primer posebej; |
(c) |
EASOovo IT-okolje je dostopno prek sistema enotne prijave ter samodejno povezano z uporabniško identifikacijsko kodo in geslom. Elektronske evidence se hranijo varno, da se zaščitita zaupnost in zasebnost podatkov v njih; |
(d) |
vse osebe, ki imajo dostop do podatkov, zavezuje obveznost zaupnosti; |
2. Upravljavec postopkov obdelave je EASO, ki ga zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese. V primerih, ko je izvršni direktor predmet upravne preiskave, disciplinskega postopka ali notranje preiskave, upravni odbor zastopa EASO kot upravljavca podatkov (kot organ za imenovanje izvršnega direktorja). Osebe, na katere se nanašajo osebni podatki, so obveščene o pooblaščenem upravljavcu z obvestilom o varstvu podatkov ali evidencami, objavljenimi na spletnem mestu in intranetu EASOa.
3. Obdobje hrambe osebnih podatkov iz člena 1(3) tega sklepa ni daljše, kot je potrebno in primerno za namene, za katere se podatki obdelujejo. V nobenem primeru ne presega obdobja hrambe, določenega v obvestilih o varstvu podatkov ali evidencah iz člena 3(3) tega sklepa.
4. Če EASO razmišlja o uporabi omejitve, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem za ogrozitev uspešnosti preiskav ali postopkov EASOa, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar nanje niso omejena.
Člen 3
Omejitve
1. EASO omejitev uporabi le na podlagi enega ali več razlogov iz točk (a) do (i) člena 25(1) Uredbe (EU) 2018/1725. Zlasti lahko omejitve v okviru namenov obdelave osebnih podatkov, navedenih v členu 1(2) tega sklepa, temeljijo na naslednjih razlogih:
(a) |
pri izvedbi upravnih poizvedb in disciplinskega postopka lahko omejitve temeljijo na točkah (b), (c), (g) in (h) člena 25(1) Uredbe (EU) 2018/1725; |
(b) |
pri predhodnih dejavnostih v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, lahko omejitve temeljijo na točkah (b), (c), (f), (g) in (h) člena 25(1) Uredbe (EU) 2018/1725; |
(c) |
pri postopkih za prijavljanje nepravilnosti lahko omejitve temeljijo na točkah (b), (c), (f), (g) in (h) člena 25(1) Uredbe (EU) 2018/1725; |
(d) |
pri (uradnih in neuradnih) postopkih v primerih nadlegovanja lahko omejitve temeljijo na točkah (b), (f), (h) in (i) člena 25(1) Uredbe (EU) 2018/1725; |
(e) |
pri obdelovanju notranjih in zunanjih pritožb lahko omejitve temeljijo na točkah (c), (e), (g) in (h) člena 25(1) Uredbe (EU) 2018/1725; |
(f) |
pri notranjih revizijah lahko omejitve temeljijo na točkah (c), (g) in (h) člena 25(1) Uredbe (EU) 2018/1725; |
(g) |
pri preiskavah, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, lahko omejitve temeljijo na točkah (c), (g) in (h) člena 25(1) navedene uredbe; |
(h) |
pri preiskavah v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU), lahko omejitve temeljijo na točkah (c), (d), (g) in (h) člena 25(1) Uredbe (EU) 2018/1725; |
(i) |
pri obravnavanju zahtev uslužbencev za dostop do svojih zdravstvenih kartotek lahko omejitve temeljijo na točki (h) člena 25(1) Uredbe (EU) 2018/1725. |
2. EASO lahko kot posebno uporabo namenov iz odstavka 1 uporablja omejitve v zvezi s pravicami iz člena 1(5) tega sklepa v naslednjih okoliščinah:
(a) |
če je druga institucija, organ, agencija ali urad Unije upravičen do omejitve uresničevanja teh pravic na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali svojim ustanovitvenim aktom in bi bil namen take omejitve navedene druge institucije, organa, agencije ali urada Unije ogrožen, če EASO ne bi uporabil enakovredne omejitve glede istih osebnih podatkov; |
(b) |
če je pristojni organ države članice upravičen do omejitve uresničevanja teh pravic na podlagi aktov iz člena 23 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (3) ali v skladu z nacionalnimi ukrepi za prenos členov 13(3), 15(3) ali 16(3) Direktive (EU) 2016/680 Evropskega parlamenta in Sveta (4) ter bi bil namen take omejitve navedenega pristojnega organa države članice ogrožen, če EASO ne bi uporabil enakovredne omejitve glede istih osebnih podatkov; |
(c) |
če bi uresničevanje teh pravic ogrozilo sodelovanje EASOa s tretjimi državami ali mednarodnimi organizacijami pri izvajanju njegovih nalog. |
Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se EASO posvetuje z ustrezno institucijo, organom, uradom ali agencijo Unije ali pristojnim organom države članice, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.
3. EASO v obvestila o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljeni na njegovem spletnem mestu in intranetu ter z njimi posameznike, na katere se nanašajo osebni podatki, obvesti o njihovih pravicah v okviru določenega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. V informacijah se navedejo pravice, ki se lahko omejijo, razlogi in morebitno trajanje.
Kadar je sorazmerno, EASO brez poseganja v določbe člena 5(2) o pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva poseben postopek obdelave.
4. Vse omejitve morajo biti potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter bistvo temeljnih pravic in svoboščin v demokratični družbi.
5. Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus potrebnosti in sorazmernosti. Dokumentira se z notranjo oceno za namene odgovornosti za vsak primer posebej.
6. Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več, zlasti kjer se predvideva, da uresničevanje omejene pravice ne bi več izničilo učinka uvedene omejitve ali negativno vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.
Člen 4
Pregled s strani pooblaščene osebe za varstvo podatkov
1. Pooblaščena oseba EASOa za varstvo podatkov se brez nepotrebnega odlašanja obvesti vsakič, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev podaljša v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter v evidenci navede datum, ko je pooblaščeno osebo za varstvo podatkov o tem obvestil. Pooblaščena oseba za varstvo podatkov je vključena med celotnim postopkom, dokler se omejitev ne odpravi.
2. Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva pregled uporabe omejitev. Upravljavec pooblaščeno osebo za varstvo podatkov pisno obvesti o rezultatu zahtevanega pregleda.
3. Upravljavec pooblaščeno osebo za varstvo podatkov obvesti, ko se omejitev odpravi.
Člen 5
Omejitev pravice do obveščenosti posameznika, na katerega se nanašajo osebni podatki
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do obveščenosti posameznika, na katerega se nanašajo osebni podatki, v okviru naslednjih postopkov obdelave:
(a) |
izvedba upravnih preiskav in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavljanje nepravilnosti; |
(d) |
(uradni in neuradni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo notranje ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
2. Če EASO v celoti ali delno omeji pravico do obveščenosti posameznikov, na katere se nanašajo osebni podatki, iz členov 14 do 16 Uredbe (EU) 2018/1725, navede razloge za omejitev, pravne podlage v skladu s členom 3 tega sklepa, vključno z oceno potrebnosti in sorazmernosti omejitve.
Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.
3. Omejitev iz odstavka 2 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.
Kadar razlogi za omejitev ne veljajo več, EASO posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati obvesti posameznika, na katerega se nanašajo osebni podatki, o pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov kadar koli ali do uveljavljanja pravnega sredstva pri Sodišču Evropske unije (v nadaljnjem besedilu: Sodišče).
EASO pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. Upravljavec podatkov nato vsakih šest mesecev oceni potrebo po ohranitvi omejitve. Preskus potrebnosti in sorazmernosti iz člena 3(5) se opravi v okviru posameznega rednega pregleda po oceni, ali dejanski in pravni razlogi za omejitev še veljajo.
Člen 6
Omejitev pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec posamezniku, na katerega se nanašajo osebni podatki, omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavljanje nepravilnosti; |
(d) |
(uradni in neuradni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo notranje ali s sodelovanjem zunanjih strani (npr. CERT-EU); |
(i) |
obravnavanje zahtev uslužbencev za dostop do svojih zdravstvenih kartotek. |
Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več posebnih primerov ali posebnega postopka obdelave, EASO v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na te osebne podatke.
2. Če EASO v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:
(a) |
posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na zahtevo obvesti o uporabljeni omejitvi in glavnih razlogih zanjo ter možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov ali uveljavljanja pravnega sredstva pri Sodišču; |
(b) |
v notranji oceni navede razloge za omejitev, vključno z oceno potrebnosti in sorazmernosti omejitve ter njenega trajanja. |
Omejitve, uvedene glede pravice dostopa uslužbencev do svojih zdravstvenih kartotek, zadevajo le zahteve za neposreden dostop uslužbencev do zdravstvenih podatkov psihološke ali psihiatrične narave, kadar ocena za vsak primer posebej pokaže, da je neposreden dostop potreben zaradi varstva posameznika, na katerega se nanašajo osebni podatki. Dostop do takih podatkov se zagotovi s posredovanjem zdravnika, ki ga imenuje zadevni posameznik, na katerega se nanašajo osebni podatki. Zdravniku, ki ga izbere posameznik, na katerega se nanašajo osebni podatki, se zagotovi dostop do vseh informacij in podeli diskrecijska pravica, da odloči, kako naj se posamezniku, na katerega se nanašajo osebni podatki, zagotovi dostop in kakšen dostop naj se mu zagotovi.
Zagotavljanje informacij iz točke (a) se lahko preloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve, naložene v skladu s členom 25(8) Uredbe (EU) 2018/1725.
EASO pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. Upravljavec podatkov nato vsakih šest mesecev oceni potrebo po ohranitvi omejitve.
Preskus potrebnosti in sorazmernosti iz člena 3(5) se opravi v okviru posameznega rednega pregleda po oceni, ali dejanski in pravni razlogi za omejitev še veljajo.
3. Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se vpišejo v register. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.
Člen 7
Omejitev pravic posameznika, na katerega se nanašajo osebni podatki, do popravka, izbrisa in omejitve obdelave
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec posamezniku, na katerega se nanašajo osebni podatki, omeji pravice do popravka, izbrisa in omejitve obdelave v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavljanje nepravilnosti; |
(d) |
(uradni in neuradni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo notranje ali s sodelovanjem zunanjih strani (npr. CERT-EU), |
2. Če EASO v celoti ali delno omeji uporabo pravic posameznika, na katerega se nanašajo osebni podatki, do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) oziroma 20(1) Uredbe (EU) 2018/1725, sprejme ukrepe iz člena 6(2) tega sklepa in registrira evidenco v skladu s členom 6(3) tega sklepa.
Člen 8
Omejitev pravic posameznika, na katerega se nanašajo osebni podatki, do obveščanja o kršitvi varstva osebnih podatkov in do zaupnosti elektronskih sporočil
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico posameznika, na katerega se nanašajo osebni podatki, do obveščanja o kršitvi varstva osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavljanje nepravilnosti; |
(d) |
obdelava notranjih in zunanjih pritožb; |
(e) |
notranje revizije; |
(f) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(g) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo notranje ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
2. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do zaupnosti elektronskih sporočil v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavljanje nepravilnosti; |
(d) |
uradni postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo notranje ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
3. Če EASO omeji pravico posameznika, na katerega se nanašajo osebni podatki, do obveščanja o kršitvi varstva osebnih podatkov ali do zaupnosti elektronskih sporočil iz členov 35 oziroma 36 Uredbe (EU) 2018/1725, v skladu s členom 5(2) tega sklepa evidentira in registrira razloge za omejitev. Uporablja se tudi člen 5(3) tega sklepa.
Člen 9
Začetek veljavnosti
Ta sklep začne veljati dan po objavi v Uradnem listu Evropske unije.
V Valletta Harbour, 6. julija 2020
Za Evropski azilni podporni urad
David COSTELLO
Predsednik upravnega odbora
(1) UL L 295, 21.11.2018, str. 39.
(2) UL L 132, 29.5.2010, str. 11.
(3) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(4) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).