EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020Q0210(01)

Sklep upravnega odbora Agencije Evropske unije za kibernetsko varnost z dne 21. novembra 2019 o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja agencije ENISA

PUB/2020/96

OJ L 37, 10.2.2020, p. 11–17 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec/2020/210(1)/oj

10.2.2020   

SL

Uradni list Evropske unije

L 37/11


SKLEP UPRAVNEGA ODBORA AGENCIJE EVROPSKE UNIJE ZA KIBERNETSKO VARNOST

z dne 21. novembra 2019

o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja agencije ENISA

UPRAVNI ODBOR AGENCIJE ENISA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) ter zlasti člena 25 navedene uredbe,

ob upoštevanju Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (2) in zlasti člena 15(1) navedene uredbe,

ob upoštevanju mnenja ENVP z dne 17. oktobra 2019 ter njegovih smernic glede člena 25 Uredbe (EU) 2018/1725 in notranjih pravil,

ob upoštevanju naslednjega:

(1)

V skladu s členom 25(1) Uredbe (EU) 2018/1725 bi morale omejitve pri uporabi členov 14 do 22, 35 in 36 ter člena 4 navedene uredbe, če njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22, temeljiti na notranjih pravilih, ki jih sprejme agencija ENISA, kadar te ne temeljijo na pravnih aktih, sprejetih na podlagi Pogodb.

(2)

Ta notranja pravila, vključno z določbami o oceni nujnosti in sorazmernosti omejitve, se ne bi smela uporabljati, kadar pravni akt, sprejet na podlagi Pogodb, določa omejitev pravic posameznikov, na katere se nanašajo osebni podatki.

(3)

Kadar agencija ENISA opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

(4)

Agencija ENISA lahko v okviru svojega upravnega delovanja izvaja upravne poizvedbe, disciplinske postopke, predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdeluje primere prijavljenih nepravilnosti, (formalne in neformalne) postopke v zvezi z nadlegovanjem, notranje in zunanje pritožbe, opravlja notranje revizije, pripravlja ocene incidentov, povezanih s kibernetsko varnostjo, na podlagi člena 7(4) Uredbe (EU) 2019/881, izvaja preiskave po pooblaščeni osebi za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725 in preiskave v zvezi z notranjo varnostjo (na področju informacijske tehnologije).

Agencija ENISA obdeluje več vrst osebnih podatkov, vključno z zanesljivimi podatki (to so tako imenovani objektivni podatki, kot so identifikacijski podatki, kontaktni podatki, podatki o poklicni dejavnosti, upravni podatki, podatki, prejeti iz posebnih virov, elektronska komunikacija in podatki o prometu) in/ali nezanesljivimi podatki (to so tako imenovani subjektivni podatki, ki se nanašajo na zadevo, kot so utemeljitev, podatki o vedenju, ocene, podatki o učinkovitosti in ravnanju ter podatki, povezani s predmetom postopka ali dejavnosti oziroma pridobljeni v zvezi z njim).

(5)

Agencija ENISA, ki jo zastopa izvršni direktor, ima vlogo upravljavca podatkov, ne glede na nadaljnje prenose vloge upravljavca znotraj agencije ENISA v skladu z operativnimi pristojnostmi za posebna dejanja obdelave osebnih podatkov.

(6)

Osebni podatki se varno hranijo v elektronskem okolju ali v tiskani obliki, tako da se prepreči nezakonit dostop ali prenos podatkov osebam, ki nimajo potrebe po seznanitvi z njimi. Osebni podatki, ki se obdelujejo, se hranijo le toliko časa, kolikor je nujno in ustrezno za namene, za katere se podatki obdelujejo, za obdobje, določeno v obvestilih o varstvu podatkov, izjavah o varstvu osebnih podatkov ali evidencah agencije ENISA.

(7)

Notranja pravila bi se morala uporabljati za vsa dejanja obdelave, ki jih agencija ENISA izvede pri opravljanju upravnih poizvedb, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelavi primerov prijavljenih nepravilnosti, (formalnih in neformalnih) postopkov v zvezi z nadlegovanjem, obravnavi notranjih in zunanjih pritožb, opravljanju notranjih revizij, pripravi ocen incidentov, povezanih s kibernetsko varnostjo, na podlagi člena 7(4) Uredbe (EU) 2019/881, izvajanju preiskav po pooblaščeni osebi za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725 in preiskav v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. skupine CERT-EU).

(8)

Uporabljati bi se morala za dejanja obdelave, izvedena pred začetkom zgoraj navedenih postopkov, med njimi in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh postopkov. Vključevati bi morala tudi pomoč in sodelovanje, ki ju agencija ENISA zagotavlja nacionalnim organom in mednarodnim organizacijam zunaj okvira svojih upravnih preiskav.

(9)

Kadar se uporabljajo ta notranja pravila, mora agencija ENISA utemeljiti, zakaj so omejitve nujno potrebne in sorazmerne v demokratični družbi, ter upoštevati bistvo temeljnih pravic in svoboščin.

(10)

Agencija ENISA mora v tem okviru med zgoraj navedenimi postopki v kar največji meri upoštevati temeljne pravice posameznikov, na katere se nanašajo osebni podatki, zlasti v zvezi s pravico do zagotavljanja informacij, dostopa in popravka, pravico do izbrisa, omejitve obdelave, pravico do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali pravico do zaupnosti komunikacij, kot je določeno v Uredbi (EU) 2018/1725.

(11)

Vendar se lahko zgodi, da mora agencija ENISA omejiti zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, in druge pravice takega posameznika, da zaščiti zlasti svoje preiskave, preiskave in postopke drugih javnih organov ter pravice drugih oseb, ki so povezane z njenimi preiskavami ali drugimi postopki.

(12)

Agencija ENISA lahko torej omeji zagotavljanje informacij zaradi zaščite preiskave ter temeljnih pravic in svoboščin drugih posameznikov, na katere se nanašajo osebni podatki.

(13)

Agencija ENISA bi morala redno spremljati, ali še veljajo pogoji, ki upravičujejo omejitev, in tako omejitev odpraviti, če navedeni pogoji ne veljajo več.

(14)

Upravljavec bi moral pooblaščeno osebo za varstvo podatkov obvestiti ob odlogu in med pregledi.

(15)

Zaradi pomembnosti notranjih pravil za varstvo pravic posameznika, na katerega se nanašajo osebni podatki, bi moral ta sklep začeti veljati takoj, ko je to mogoče po objavi v Uradnem listu Evropske unije

SPREJEL NASLEDNJI SKLEP:

Člen 1

Predmet urejanja in področje uporabe

1.   Ta sklep določa pravila v zvezi s pogoji, na podlagi katerih sme agencija ENISA v okviru svojih postopkov iz odstavka 2 na podlagi člena 25 Uredbe (EU) 2018/1725 omejiti uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe.

2.   V okviru upravnega delovanja agencije ENISA se ta sklep uporablja za dejanja obdelave osebnih podatkov, ki jih izvaja agencija ENISA za namene: izvajanja upravnih poizvedb, disciplinskih postopkov, predhodnih dejavnosti, povezanih s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja primerov prijavljenih nepravilnosti, (formalnih in neformalnih) postopkov v zvezi z nadlegovanjem, obravnavanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, priprave ocen incidentov, povezanih s kibernetsko varnostjo, na podlagi člena 7(4) Uredbe (EU) 2019/881, izvajanja preiskav po pooblaščeni osebi za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725 in preiskav v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. prek skupine CERT-EU).

3.   Vrste zadevnih podatkov so zanesljivi podatki (to so tako imenovani objektivni podatki, kot so identifikacijski podatki, kontaktni podatki, podatki o poklicni dejavnosti, upravni podatki, podatki, prejeti iz posebnih virov, elektronska komunikacija in podatki o prometu) in/ali nezanesljivi podatki (to so tako imenovani subjektivni podatki, povezani z zadevo, kot so utemeljitev, podatki o vedenju, ocene, podatki o učinkovitosti in ravnanju ter podatki, povezani s predmetom postopka ali dejavnosti oziroma pridobljeni v zvezi z njim).

4.   Kadar agencija ENISA opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa se lahko omejitve uporabljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali do zaupnosti komunikacij.

Člen 2

Opredelitev upravljavca in zaščitnih ukrepov

1.   Zaščitni ukrepi, ki so sprejeti za preprečevanje kršitev varstva podatkov, uhajanja ali nedovoljenega razkritja, so:

(a)

dokumenti v tiskani obliki se hranijo v zavarovanih omaricah in so dostopni le pooblaščenemu osebju;

(b)

vsi elektronski podatki se hranijo v varni aplikaciji IT, v skladu z varnostnimi standardi agencije ENISA, in v posebnih elektronskih mapah, ki so dostopne samo pooblaščenemu osebju. Ustrezne ravni dostopa se odobrijo za vsak primer posebej;

(c)

podatkovna zbirka je v sistemu enotne prijave zaščitena z geslom ter samodejno povezana z uporabniškim imenom in geslom uporabnika. Menjava uporabnikov je strogo prepovedana. Elektronski zapisi se varno hranijo, da se zagotovi zaupnost in zasebnost podatkov, ki jih vsebujejo;

(d)

vse osebe, ki imajo dostop do podatkov, zavezuje obveznost varovanja zaupnosti.

2.   Upravljavec dejanj obdelave je agencija ENISA, to pa zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese. Posamezniki, na katere se nanašajo osebni podatki, se obvestijo o pooblaščenem upravljavcu z obvestili ali evidencami o varstvu podatkov, objavljenimi na spletišču in/ali intranetu agencije ENISA.

3.   Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je nujno in ustrezno za namene, za katere se podatki obdelujejo. V nobenem primeru ne sme biti daljše od obdobja hrambe, določenega v obvestilih o varstvu podatkov, izjavah o varstvu podatkov ali evidencah iz člena 5(1).

4.   Kadar agencija ENISA meni, da je treba uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem izničenja učinka preiskav ali postopkov agencije ENISA, na primer zaradi uničenja dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, se med drugim nanašajo predvsem na tveganje izgube ugleda ter tveganje v zvezi s pravico do obrambe in pravico do izjave.

Člen 3

Omejitve

1.   Agencija ENISA lahko omejitve uporabi le za zaščito:

(a)

preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in preprečevanjem takih groženj;

(b)

drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti ciljev skupne zunanje in varnostne politike Unije ali pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

(c)

notranje varnosti institucij in organov Unije, vključno z varnostjo njihovih elektronskih komunikacijskih omrežij;

(d)

preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v reguliranih poklicih;

(e)

funkcije spremljanja, pregledovanja ali regulativne funkcije, povezane (lahko samo občasno) z izvajanjem javne oblasti v primerih iz točk (a) in (b);

(f)

varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

2.   Za oceno incidentov, povezanih s kibernetsko varnostjo, ki jih izvaja agencija ENISA na podlagi člena 7(4) Uredbe (EU) 2019/881 (Akt o kibernetski varnosti), se uporablja odstavek 1(b) tega člena.

3.   Agencija ENISA lahko kot poseben primer uporabe namenov iz odstavka 1 zgoraj uporablja omejitve v zvezi z osebnimi podatki, ki si jih izmenjuje s službami Komisije ali drugimi institucijami, organi, agencijami in uradi Unije, pristojnimi organi držav članic, tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:

(a)

če bi uveljavljanje teh pravic in obveznosti lahko omejile službe Komisije ali druge institucije, organi, agencije in uradi Unije na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali na podlagi ustanovitvenih aktov drugih institucij, organov, agencij in uradov Unije;

(b)

če bi uveljavljanje teh pravic in obveznosti lahko omejili pristojni organi držav članic na podlagi aktov iz člena 23 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (3) ali v skladu z nacionalnimi ukrepi za prenos členov 13(3), 15(3) ali 16(3) Direktive (EU) 2016/680 Evropskega parlamenta in Sveta (4);

(c)

če bi izvrševanje navedenih pravic in obveznosti lahko ogrozilo sodelovanje agencije ENISA s tretjimi državami ali mednarodnimi organizacijami pri izvajanju njenih nalog.

Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se agencija ENISA posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami ali uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.

4.   Vse omejitve morajo biti nujne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter bistvo temeljnih pravic in svoboščin v demokratični družbi.

5.   Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Ta se zaradi ugotavljanja odgovornosti dokumentira z zaznamkom o notranji oceni v vsakem primeru posebej.

6.   Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. To velja zlasti, kadar se šteje, da uveljavljanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

Člen 4

Pregled pooblaščene osebe za varstvo podatkov

1.   Agencija ENISA svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev podaljša v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno nujnosti in sorazmernosti omejitve, ter v evidenci navede datum, ko je pooblaščeno osebo za varstvo podatkov o tem obvestil. Agencija ENISA zagotovi sodelovanje pooblaščene osebe za varstvo podatkov ves čas izvajanja vseh zadevnih postopkov, njeno sodelovanje pa se dokumentira.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva pregled uporabe omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.

3.   Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko se omejitev odpravi.

Člen 5

Zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do informacij v okviru naslednjih dejanj obdelave:

(a)

izvedba upravnih poizvedb in disciplinskih postopkov;

(b)

predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF;

(c)

obravnava prijavljenih nepravilnosti;

(d)

(formalni in neformalni) postopki v primeru nadlegovanja;

(e)

obravnava notranjih in zunanjih pritožb;

(f)

notranje revizije;

(g)

preiskave pooblaščene osebe za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725;

(h)

preiskave v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. prek skupine CERT-EU);

(i)

ocene incidentov, povezanih s kibernetsko varnostjo, ki jih izvaja agencija ENISA na podlagi člena 7(4) Uredbe (EU) 2019/881, v skladu s členom 3(2) tega sklepa.

Agencija ENISA v obvestila o varstvu podatkov, izjave o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki se objavijo na njenem spletišču in/ali na intranetu in s katerimi posameznike, na katere se nanašajo osebni podatki, obvesti o njihovih pravicah v okviru posameznega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije vključujejo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   Agencija ENISA brez poseganja v določbe odstavka 3 tega člena, in če je to sorazmerno, brez nepotrebnega odlašanja v pisni obliki posamično obvesti tudi vse posameznike, na katere se nanašajo osebni podatki in ki se v posameznem dejanju obdelave obravnavajo kot zadevne osebe, o njihovih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami.

3.   Če agencija ENISA v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 2 tega člena, evidentira razloge za omejitev in pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve.

Evidenca in morebitni dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

4.   Omejitev iz odstavka 3 tega člena se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

Kadar razlogi za omejitev ne obstajajo več, agencija ENISA posamezniku, na katerega se nanašajo osebni podatki, predloži informacije o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati agencija ENISA posameznika, na katerega se nanašajo osebni podatki, obvesti o tem, da ima pravico kadar koli vložiti pritožbo pri Evropskem nadzorniku za varstvo podatkov ali uveljaviti pravno sredstvo pri Sodišču Evropske unije.

Agencija ENISA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. Upravljavec podatkov mora nato vsakih šest mesecev oceniti potrebo po ohranitvi omejitve.

Člen 6

Pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa

1.   V ustrezno utemeljenih primerih in pod pogoji iz tega sklepa lahko upravljavec omeji pravico do dostopa v okviru naslednjih dejanj obdelave, kadar je to nujno in sorazmerno:

(a)

izvedba upravnih poizvedb in disciplinskih postopkov;

(b)

predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF;

(c)

obravnava prijavljenih nepravilnosti;

(d)

(formalni in neformalni) postopki v primeru nadlegovanja;

(e)

obravnava notranjih in zunanjih pritožb;

(f)

notranje revizije;

(g)

preiskave pooblaščene osebe za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725;

(h)

preiskave v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. prek skupine CERT-EU);

(i)

ocene incidentov, povezanih s kibernetsko varnostjo, ki jih izvaja agencija ENISA na podlagi člena 7(4) Uredbe (EU) 2019/881, v skladu s členom 3(2) tega sklepa.

Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več posameznih primerov ali posameznega dejanja obdelave, agencija ENISA v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na take osebne podatke.

2.   Če agencija ENISA v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:

(a)

zadevnega posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na zahtevo obvesti o uporabljeni omejitvi in glavnih razlogih zanjo ter o tem, da lahko vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov ali uveljavlja pravna sredstva pri Sodišču Evropske unije;

(b)

v notranji oceni navede razloge za omejitev, vključno z oceno nujnosti in sorazmernosti omejitve ter njenega trajanja.

Zagotavljanje informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.

Agencija ENISA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne preiskave. Upravljavec podatkov mora nato vsakih šest mesecev oceniti potrebo po ohranitvi omejitve.

3.   Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

Člen 7

Pravica do popravka, izbrisa in omejitve obdelave

1.   V ustrezno utemeljenih primerih in pod pogoji iz tega sklepa lahko upravljavec omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih dejanj obdelave, kadar je to nujno in ustrezno:

(a)

izvedba upravnih poizvedb in disciplinskih postopkov;

(b)

predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF;

(c)

obravnava prijavljenih nepravilnosti;

(d)

(formalni in neformalni) postopki v primeru nadlegovanja;

(e)

obravnava notranjih in zunanjih pritožb;

(f)

notranje revizije;

(g)

preiskave pooblaščene osebe za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725;

(h)

preiskave v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. prek skupine CERT-EU);

(i)

ocene incidentov, povezanih s kibernetsko varnostjo, ki jih izvaja agencija ENISA na podlagi člena 7(4) Uredbe (EU) 2019/881, v skladu s členom 3(2) tega sklepa.

2.   Če agencija ENISA v celoti ali delno omeji uporabo pravice do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, sprejme ukrepe iz člena 6(2) tega sklepa in v skladu s členom 6(3) tega sklepa.

Člen 8

Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov in zaupnost elektronskih komunikacij

1.   V ustrezno utemeljenih primerih in pod pogoji iz tega sklepa lahko upravljavec omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih dejanj obdelave, kadar je to nujno in ustrezno:

(a)

izvedba upravnih poizvedb in disciplinskih postopkov;

(b)

predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF;

(c)

obravnava prijavljenih nepravilnosti;

(d)

obravnava notranjih in zunanjih pritožb;

(e)

notranje revizije;

(f)

preiskave pooblaščene osebe za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725;

(g)

preiskave v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. prek skupine CERT-EU);

(h)

ocene incidentov, povezanih s kibernetsko varnostjo, ki jih izvaja agencija ENISA na podlagi člena 7(4) Uredbe (EU) 2019/881, v skladu s členom 3(2) tega sklepa.

2.   V ustrezno utemeljenih primerih in pod pogoji iz tega sklepa lahko upravljavec omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih dejanj obdelave, kadar je to nujno in ustrezno:

(a)

izvedba upravnih poizvedb in disciplinskih postopkov;

(b)

predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF;

(c)

obravnava prijavljenih nepravilnosti;

(d)

formalni postopki v primeru nadlegovanja;

(e)

obravnava notranjih in zunanjih pritožb;

(f)

preiskave v zvezi z varnostjo (na področju informacijske tehnologije), ki se vodijo interno ali z zunanjo pomočjo (npr. prek skupine CERT-EU);

(g)

ocene incidentov, povezanih s kibernetsko varnostjo, ki jih izvaja agencija ENISA na podlagi člena 7(4) Uredbe (EU) 2019/881, v skladu s členom 3(2).

3.   Kadar agencija ENISA omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ali omeji zaupnost elektronskih komunikacij iz členov 35 in 36 Uredbe (EU) 2018/1725, uporabi določbe člena 5(3) tega sklepa. Uporablja se člen 5(4) tega sklepa.

Člen 9

Začetek veljavnosti

Ta sklep začne veljati dan po objavi v Uradnem listu Evropske unije.

V Atenah, 21. novembra 2019

Za Agencijo Evropske unije za kibernetsko varnost

Jean Baptiste DEMAISON

Predsednik upravnega odbora


(1)  UL L 295, 21.11.2018, str. 39.

(2)  UL L 151, 7.6.2019, str. 15.

(3)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP) (UL L 119, 4.5.2016, str. 1).

(4)  Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).


Top