This document is an excerpt from the EUR-Lex website
Document 32020Q0331(01)
Decision of the Management Board of the European Centre for Disease Prevention and Control of 9 September 2019 on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of the European Centre for Disease Prevention and Control
Sklep upravnega odbora Evropskega centra za preprečevanje in obvladovanje bolezni z dne 9. septembra 2019 o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja Evropskega centra za preprečevanje in obvladovanje bolezni
Sklep upravnega odbora Evropskega centra za preprečevanje in obvladovanje bolezni z dne 9. septembra 2019 o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja Evropskega centra za preprečevanje in obvladovanje bolezni
UL L 98, 31.3.2020, p. 38–44
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
31.3.2020 |
SL |
Uradni list Evropske unije |
L 98/38 |
SKLEP UPRAVNEGA ODBORA EVROPSKEGA CENTRA ZA PREPREČEVANJE IN OBVLADOVANJE BOLEZNI
z dne 9. septembra 2019
o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja Evropskega centra za preprečevanje in obvladovanje bolezni
UPRAVNI ODBOR EVROPSKEGA CENTRA ZA PREPREČEVANJE IN OBVLADOVANJE BOLEZNI (v nadaljnjem besedilu: ECDC) JE
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) ter zlasti člena 25 Uredbe,
ob upoštevanju Uredbe (ES) št. 851/2004 Evropskega parlamenta in Sveta z dne 21. aprila 2004 o ustanovitvi Evropskega centra za preprečevanje in obvladovanje bolezni (2) ter zlasti člena 20(4) Uredbe,
ob upoštevanju poslovnika upravnega odbora centra ECDC in zlasti člena 10 poslovnika,
ob upoštevanju mnenja Evropskega nadzornika za varstvo podatkov z dne 22. julija 2019 in smernic Evropskega nadzornika za varstvo podatkov glede člena 25 nove uredbe in notranjih pravil,
po posvetovanju z odborom uslužbencev, ob upoštevanju naslednjega:
(1) |
ECDC izvaja svoje dejavnosti v skladu z Uredbo (ES) št. 851/2004. |
(2) |
V skladu s členom 25(1) Uredbe (EU) 2018/1725 bi morale omejitve pri uporabi členov 14 do 22, 35 in 36 ter člena 4 navedene uredbe, če njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22, temeljiti na notranjih pravilih, ki jih sprejme ECDC, kadar ta ne temeljijo na pravnih aktih, sprejetih na podlagi Pogodb. |
(3) |
Ta notranja pravila, vključno z določbami o oceni nujnosti in sorazmernosti omejitve, se ne bi smela uporabljati, kadar pravni akt, sprejet na podlagi Pogodb, določa omejitev pravic posameznikov, na katere se nanašajo osebni podatki. |
(4) |
Če ECDC opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe. |
(5) |
ECDC lahko v okviru svojega upravnega delovanja izvaja upravne preiskave, disciplinske postopke, predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdeluje primere prijavljenih nepravilnosti, (formalne in neformalne) postopke v zvezi z nadlegovanjem, notranje in zunanje pritožbe, opravlja notranje revizije, obdeluje zdravstvene podatke svojih uslužbencev, izvaja preiskave, ki jih opravlja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725 in preiskave v zvezi z notranjo (informacijsko-tehnološko) varnostjo. |
(6) |
ECDC obdeluje več kategorij osebnih podatkov, vključno z zanesljivimi podatki („objektivnimi“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivimi podatki („subjektivnimi“ podatki, povezanimi s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti). |
(7) |
ECDC, ki ga zastopa direktor, ima vlogo upravljavca podatkov ne glede na nadaljnje prenose vloge upravljavca znotraj centra ECDC, da se odrazijo operativne pristojnosti za posebne postopke obdelave osebnih podatkov. |
(8) |
Osebni podatki so varno shranjeni v elektronskem okolju ali na papirju, kar preprečuje nezakonit dostop ali prenos podatkov osebam, ki nimajo potrebe po seznanitvi z njimi. Osebni podatki, ki se obdelujejo, se hranijo le toliko časa, kolikor je potrebno in primerno za namene, za katere se podatki obdelujejo, za obdobje, določeno v obvestilih o varstvu podatkov, izjavah o varstvu osebnih podatkov ali evidencah centra ECDC. |
(9) |
Notranja pravila bi se morala uporabljati za vse postopke obdelave, ki jih center ECDC izvaja pri opravljanju upravnih preiskav, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, postopkov za prijavljanje nepravilnosti, (formalnih in neformalnih) postopkov za primere nadlegovanja, obdelovanja notranjih in zunanjih pritožb, notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU), ter v zvezi z upravljanjem osebnih spisov uslužbencev. |
(10) |
Uporabljati bi se morala za postopke obdelave, izvedene pred začetkom zgoraj navedenih postopkov, med temi postopki in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh postopkov. Vključevati bi morala tudi pomoč in sodelovanje, ki ju ECDC zagotavlja nacionalnim organom in mednarodnim organizacijam zunaj svojih upravnih preiskav. |
(11) |
Kadar se uporabljajo ta notranja pravila, mora ECDC utemeljiti, zakaj so omejitve nujno potrebne in sorazmerne v demokratični družbi, ter spoštovati bistvo temeljnih pravic in svoboščin. |
(12) |
V tem okviru mora ECDC med zgoraj navedenimi postopki čim bolj spoštovati temeljne pravice posameznikov, na katere se nanašajo osebni podatki, zlasti pravico do zagotavljanja informacij, dostopa in popravka, pravico do izbrisa, omejitve obdelave, pravico do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali do zaupnosti obveščanja, kot je določeno v Uredbi (EU) 2018/1725. |
(13) |
Vendar mora ECDC morda omejiti informacije posamezniku, na katerega se nanašajo osebni podatki, in druge pravice posameznika, na katerega se nanašajo osebni podatki, da zaščiti zlasti lastne preiskave, preiskave in postopke drugih javnih organov ter pravice drugih oseb, ki so povezane s preiskavami ali drugimi postopki. |
(14) |
ECDC lahko tako informacije omeji z namenom zaščite preiskave ter temeljnih pravic in svoboščin drugih posameznikov, na katere se nanašajo osebni podatki. |
(15) |
ECDC bi moral redno spremljati, ali se uporabljajo pogoji, ki upravičujejo omejitev, in odpraviti omejitev, če se ne uporabljajo več. |
(16) |
Upravljavec bi moral pooblaščeno osebo za varstvo podatkov obveščati ob odlogu in med revizijami |
SPREJEL NASLEDNJI SKLEP:
Člen 1
Predmet urejanja in področje uporabe
1. Ta sklep določa pravila v zvezi s pogoji, pod katerimi lahko ECDC v okviru svojih postopkov iz odstavka 2 omeji uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe, na podlagi člena 25 Uredbe (EU) 2018/1725.
2. V okviru upravnega delovanja centra ECDC se ta sklep uporablja za postopke obdelave osebnih podatkov, ki jih izvaja center ECDC za namene: opravljanja upravnih preiskav, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov za prijavljanje nepravilnosti, (formalnih in neformalnih) postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU), ter v zvezi z upravljanjem osebnih spisov uslužbencev (kadar ti morda vsebujejo podatke s področja psihologije ali psihiatrije).
3. Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).
4. Če ECDC opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.
5. Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti obveščanja.
Člen 2
Opredelitev upravljavca in zaščitnih ukrepov
1. Zaščitni ukrepi, ki so vzpostavljeni za preprečevanje kršitev varstva osebnih podatkov, uhajanj ali nedovoljenega razkritja podatkov, so naslednji:
(a) |
dokumenti v papirni obliki se hranijo v zavarovanih omaricah in so dostopni le pooblaščenemu osebju; |
(b) |
vsi elektronski podatki se hranijo v varni IT-aplikaciji v skladu z varnostnimi standardi centra ECDC in v posebnih elektronskih mapah, dostopnih samo pooblaščenemu osebju. Ustrezne ravni dostopa se odobrijo posamezno; |
(c) |
podatkovna zbirka je zaščitena z geslom in dostopna samo pooblaščenim uporabnikom. Elektronske evidence se hranijo varno, da se zaščiti zaupnost in zasebnost podatkov v njih; |
(d) |
vse osebe, ki imajo dostop do podatkov, zavezuje obveznost zaupnosti ali pa jih zavezujejo dogovori o zaupnosti. |
2. Upravljavec postopkov obdelave je ECDC, ki ga zastopa direktor, ki lahko funkcijo upravljavca prenese. Posameznike, na katere se nanašajo osebni podatki, se obvesti o pooblaščenem upravljavcu prek obvestil ali evidenc o varstvu podatkov, objavljenih na spletni strani in/ali intranetu centra ECDC.
3. Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je potrebno in primerno za namene, za katere se podatki obdelujejo. V nobenem primeru ne presega obdobja hrambe, določenega v obvestilih o varstvu podatkov, izjavah o varstvu podatkov ali evidencah iz člena 5(1).
4. Če ECDC meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov centra ECDC, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar nanje niso omejena.
Člen 3
Omejitve
1. Center ECDC lahko kakršno koli omejitev uporabi samo za zaščito:
(a) |
preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj, vključno z varovanjem pred grožnjami javne varnosti in njihovim preprečevanjem; |
(b) |
notranje varnosti institucij in organov Unije, vključno z varnostjo njihovih elektronskih komunikacijskih omrežij; |
(c) |
preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih; |
(d) |
spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) do (c); |
(e) |
varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih. |
2. ECDC lahko kot posebno uporabo namenov iz odstavka 1 uporablja omejitve v zvezi z osebnimi podatki, ki se izmenjujejo s službami Komisije ali drugimi institucijami Unije, organi, agencijami in uradi, pristojnimi organi držav članic ali tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:
(a) |
če bi izvajanje teh pravic in obveznosti lahko omejile službe Komisije ali druge institucije, organi, agencije in uradi Unije na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali ustanovitvenimi akti drugih institucij, organov, agencij in uradov Unije; |
(b) |
če bi izvajanje teh pravic in obveznosti lahko omejili pristojni organi držav članic na podlagi aktov iz člena 23 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (3) ali v skladu z nacionalnimi ukrepi za prenos členov 13(3), 15(3) ali 16(3) Direktive (EU) 2016/680 Evropskega parlamenta in Sveta (4); |
(c) |
če bi izvajanje teh pravic in obveznosti lahko ogrozilo sodelovanje centra ECDC s tretjimi državami ali mednarodnimi organizacijami pri izvajanju njegovih nalog. |
Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se ECDC posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami ali uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.
3. Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.
4. Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Dokumentira se v opombi notranje ocene za namene odgovornosti za vsak primer posebej.
5. Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. Zlasti to velja, kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.
Člen 4
Pregled s strani pooblaščene osebe za varstvo podatkov
1. ECDC svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev razširi v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter dokumentira datum, ko pooblaščeno osebo za varstvo podatkov obvesti o evidenci.
2. Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, naj pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.
3. Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko je omejitev odpravljena.
Člen 5
Zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do informacij v okviru naslednjih postopkov obdelave:
(a) |
izvedba upravnih preiskav in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavo nepravilnosti; |
(d) |
(formalni in neformalni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
ECDC v obvestila o varstvu podatkov, izjave o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljeni na njegovem spletnem mestu in/ali na intranetu in z njimi posameznike, na katere se nanašajo osebni podatki, obvesti o njihovih pravicah v okviru določenega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.
2. Kadar je sorazmerno, ECDC brez poseganja v določbe odstavka 3 o svojih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva poseben postopek obdelave.
3. Kadar ECDC v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 2, navede razloge za omejitev, pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve.
Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se zabeležijo. Na zahtevo so na voljo evropskemu nadzorniku za varstvo podatkov.
4. Omejitev iz odstavka 3 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.
Kadar razlogi za omejitev ne veljajo več, ECDC posamezniku, na katerega se nanašajo osebni podatki, posreduje informacije o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati ECDC posameznika, na katerega se nanašajo osebni podatki, obvesti o pravici do vložitve pritožbe pri evropskem nadzorniku za varstvo podatkov kadar koli ali do uveljavljanja pravnega sredstva na Sodišču Evropske unije.
ECDC pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. Nato upravljavec spremlja potrebo po ohranitvi kakršnih koli omejitev vsakih šest mesecev.
Člen 6
Pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:
(a) |
izvedba upravnih preiskav in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavo nepravilnosti; |
(d) |
(formalni in neformalni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU); |
(i) |
v zvezi z neposrednim dostopom do dokumentov, ki se nanašajo na zdravstvene podatke s področja psihologije ali psihiatrije iz osebnega spisa uslužbencev centra ECDC. |
Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več posebnih primerov ali posebnega postopka obdelave, ECDC v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na te osebne podatke.
2. Če ECDC v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:
(a) |
posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na zahtevo obvesti o uporabljeni omejitvi in o glavnih razlogih za to ter o možnosti vložitve pritožbe pri evropskem nadzorniku za varstvo podatkov ali uveljavljanja pravnega sredstva na Sodišču Evropske unije; |
(b) |
v opombi notranje ocene navede razloge za omejitev, vključno z oceno nujnosti, sorazmernosti omejitve in njenega trajanja. |
Posredovanje informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.
ECDC pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne preiskave. Nato upravljavec vsakih šest mesecev spremlja potrebo po ohranitvi kakršnih koli omejitev.
3. Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se zabeležijo. Na zahtevo so na voljo evropskemu nadzorniku za varstvo podatkov.
Člen 7
Pravica do popravka, izbrisa in omejitve obdelave
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:
(a) |
izvedba upravnih preiskav in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavo nepravilnosti; |
(d) |
(formalni in neformalni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
2. Če ECDC v celoti ali delno omeji uporabo pravice do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, sprejme ukrepe iz člena 6(2) tega sklepa in zabeleži evidenco v skladu s členom 6(3) tega sklepa.
Člen 8
Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov in zaupnost elektronskih komunikacij
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:
(a) |
izvedba upravnih preiskav in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavo nepravilnosti; |
(d) |
(formalni in neformalni) postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
notranje revizije; |
(g) |
preiskave, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; |
(h) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
2. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:
(a) |
izvedba upravnih preiskav in disciplinskih postopkov; |
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF; |
(c) |
postopki za prijavo nepravilnosti; |
(d) |
formalni postopki za primere nadlegovanja; |
(e) |
obdelava notranjih in zunanjih pritožb; |
(f) |
preiskave v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani (npr. CERT-EU). |
3. Če ECDC omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov, ali zaupnost elektronskih komunikacij iz členov 35 in 36 Uredbe (EU) 2018/1725, v skladu s členom 5(3) tega sklepa zabeleži in evidentira razloge za omejitev. Uporablja se člen 5(4) tega sklepa.
Člen 9
Začetek veljavnosti
Ta sklep začne veljati dan po objavi v Uradnem listu Evropske unije.
V Stockholmu, 9. septembra 2019
Za Evropski center za preprečevanje in obvladovanje bolezni
Anni VIROLAINEN-JULKUNEN
Predsednica upravnega odbora
(1) UL L 295, 21.11.2018, str. 39.
(2) UL L 142, 30.4.2004, str. 1.
(3) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(4) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).