1.   S poslovnikom o obdelavi in varstvu osebnih podatkov v Eurojustu (v nadaljnjem besedilu: poslovnik) se izvajajo določbe o varstvu podatkov iz uredbe o Eurojustu in Uredbe 2018/1725.

2.   Poslovnik se uporablja za popolnoma ali deloma avtomatizirano obdelavo osebnih podatkov in neavtomatizirano obdelavo osebnih podatkov, ki sestavljajo ali naj bi sestavljali zbirko.

3.   Poslovnik se uporablja za vse osebne podatke, ki jih obdeluje Eurojust, vključno z osebnimi podatki, vsebovanimi v informacijah, ki jih je sam pripravil ali prejel in so v njegovi lasti ter se nanašajo na zadeve, povezane s politikami, dejavnostmi in odločitvami, ki so v njegovi pristojnosti.

1.   Ta poslovnik se uporablja za operativne in upravne osebne podatke, ki jih obdeluje Eurojust.

2.   Operativni podatki se obdelujejo v skladu z naslovom II.

3.   Upravni podatki se obdelujejo v skladu z naslovom III.

1.   Zahtevke za uveljavitev pravic posameznikov, na katere se nanašajo osebni podatki, obravnava(jo) nacionalni član(i), ki jih zahtevek zadeva; ti kopijo zahtevka zaradi registracije posredujejo pooblaščeni osebi za varstvo podatkov.

2.   Zadevni nacionalni član(i) se glede odločitve, ki jo sprejmejo kot odgovor na zahtevek, posvetuje(jo) s pristojnimi organi držav članic.

3.   Pooblaščena oseba za varstvo podatkov po potrebi opravi dodatna preverjanja v sistemu vodenja zadev in zadevne(ga) nacionalne(ga) člane(-a) obvesti o vseh morebitnih relevantnih dodatnih informacijah, pridobljenih s takšnimi preverjanji. Zadevni nacionalni član(i) lahko na podlagi informacij, ki jih je (so) prejel(i) od pooblaščene osebe za varstvo podatkov, po potrebi ponovno pretehta(jo) prvotno odločitev.

4.   Pravni in dejanski razlogi, na podlagi katerih nacionalni član(i) sprejme(jo) odločitev, se dokumentirajo v zadevni začasni delovni datoteki, ki se nanaša na zahtevek, v sistemu vodenja zadev in so na zahtevo na voljo Evropskemu nadzorniku za varstvo podatkov.

5.   Pooblaščena oseba za varstvo podatkov odločitev, ki jo (so) je v imenu Eurojusta sprejel(i) nacionalni član(i), sporoči posamezniku, na katerega se nanašajo osebni podatki, in ga tudi obvesti o možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov, če ni zadovoljen z odločitvijo, in možnosti uveljavljanja pravnih sredstev pred Sodiščem.

6.   Kadar je zahtevek posredoval nacionalni nadzorni organ, Eurojust ta organ obvesti o odločitvi, ki jo pooblaščena oseba za varstvo podatkov sporoči posamezniku, na katerega se nanašajo osebni podatki.

1.   Sistem vodenja zadev vsaki na novo odprti začasni delovni datoteki samodejno dodeli edinstveno sklicno številko (identifikator).

2.   Kadar nacionalni član, ki je v skladu s členom 24(1) Uredbe o Eurojustu odgovoren za upravljanje začasne delovne datoteke, enemu ali več udeleženim nacionalnim članom omogoči dostop do začasne delovne datoteke ali dela te datoteke, sistem vodenja zadev zagotovi, da imajo pooblaščeni uporabniki v profilu nacionalnega urada, za katerega je odgovoren nacionalni član, dostop do ustreznih delov datoteke, vendar ne morejo spreminjati podatkov, ki jih je vnesel prvotni avtor. Pooblaščeni uporabniki lahko relevantne informacije dodajo v nove dele začasnih delovnih datotek. Podobno imajo vsi pooblaščeni uporabniki sistema vpogled v informacije s seznama, spreminja pa jih lahko samo avtor.

3.   Sistem vodenja zadev pooblaščeni osebi za varstvo podatkov samodejno pošlje obvestilo vsakič, ko se ustvari nova delovna datoteka, ki vsebuje osebne podatke.

4.   Sistem vodenja zadev zagotavlja, da lahko zadevni nacionalni član, ki je odprl začasno delovno datoteko, v skladu s členoma 23(4) in 24(3) Uredbe o Eurojustu evidentira le operativne osebne podatke iz odstavka 1(a) do (i), (k) in (m) ter odstavka 2 Priloge II k Uredbi o Eurojustu.

5.   Kadar želijo nacionalni člani v skladu s členom 23(6) Uredbe o Eurojustu začasno shraniti in analizirati osebne podatke, da bi ugotovili, ali so takšni podatki pomembni za naloge Eurojusta, ustvarijo osnutek začasne delovne datoteke, ki je dostopna samo njim in osebam, ki so jih pooblastili v profilu urada. Po treh mesecih se osnutek začasne delovne datoteke bodisi pretvori v začasno delovno datoteko v sistemu vodenja zadev bodisi ga sistem samodejno izbriše. Pred iztekom tega časa sistem zadevnemu nacionalnemu članu pošlje opozorilo, ki ga opomni, da mora sprejeti odločitev v zvezi z osnutkom datoteke.

6.   Zadevni nacionalni član(i) zagotovi(jo), da informacije s seznama zadostujejo za izpolnjevanje nalog Eurojusta iz člena 2 Uredbe o Eurojustu.

1.   Eurojust sprejme ustrezne tehnične ukrepe, s katerimi zagotovi, da je pooblaščena oseba za varstvo podatkov samodejno obveščena o izjemnih primerih, v katerih se uporablja člen 27(4) Uredbe o Eurojustu. Sistem vodenja zadev zagotavlja, da takšni podatki ne morejo biti uvrščeni na seznam iz člena 23(1) in (4) Uredbe o Eurojustu.

2.   Kadar se ti podatki nanašajo na priče ali žrtve iz člena 27(2) Uredbe o Eurojustu, sistem vodenja zadev ne evidentira teh informacij, razen če se zadevni nacionalni člani odločijo drugače. Odločitev o obdelavi takih podatkov se dokumentira.

1.   Eurojust sprejme ustrezne tehnične ukrepe, s katerimi zagotovi, da je pooblaščena oseba za varstvo podatkov samodejno obveščena o izjemnih primerih, v katerih se za določen čas uporablja člen 27(3) Uredbe o Eurojustu. Sistem vodenja zadev označi takšne podatke tako, da osebo, ki je vnesla podatke v sistem, opomni na obveznost hrambe teh podatkov za določen čas.

2.   Kadar se ti podatki nanašajo na priče ali žrtve iz člena 27(2) Uredbe o Eurojustu, sistem vodenja zadev ne evidentira teh informacij, razen če se zadevni nacionalni člani odločijo drugače. Odločitev o obdelavi takih podatkov se dokumentira.

1.   Vsak nacionalni član Eurojusta dokumentira politiko dostopa v zvezi z operativnimi osebnimi podatki, ki jo je v skladu s členom 34 Uredbe o Eurojustu odobril za svoj nacionalni urad, in o tem obvesti pooblaščeno osebo za varstvo podatkov.

2.   Nacionalni člani se lahko v vsakem posameznem primeru odločijo, da dajo posebno dovoljenje za dostop do začasne delovne datoteke ali njenih delov osebi, ki ni članica osebja Eurojusta, vendar dela za Eurojust in spada v posebno kategorijo uslužbencev, ki jim je upravni direktor Eurojusta v skladu s členom 24(2) Uredbe o Eurojustu že odobril dostop do sistema vodenja zadev.

3.   Nacionalni člani zagotovijo, da se v njihovih uradih sprejmejo in upoštevajo ustrezne organizacijske ureditve ter da se izkoristijo tehnični in organizacijski ukrepi, ki jim jih je dal na razpolago Eurojust, vključno z obveznim usposabljanjem.

4.   V skladu s členom 34 Uredbe o Eurojustu lahko kolegij za dostop do operativnih osebnih podatkov pooblasti drugo osebje Eurojusta, kadar je to potrebno za opravljanje nalog Eurojusta.

1.   Eurojustov sistem vodenja zadev, kot je opredeljen v členu 23 Uredbe o Eurojustu, se uporablja kot evidenca vseh dejavnosti obdelave iz člena 35 Uredbe o Eurojustu v zvezi z operativnimi osebnimi podatki.

2.   Eurojustov sistem vodenja zadev vsebuje popolno evidenco prenosov in prejemov operativnih osebnih podatkov, zaradi česar je mogoče dokazati vsak prenos operativnih osebnih podatkov in identificirati nacionalni organ, organizacijo, tretjo državo ali mednarodno organizacijo, ki je te informacije poslala Eurojustu ali jih prejela od njega.

1.   Odločitev o prenosu osebnih podatkov v tretje države ali mednarodne organizacije v skladu s členom 58(1) Uredbe o Eurojustu sprejme kolegij Eurojusta na zahtevo zadevnih nacionalnih članov, in to na podlagi ocene, ki jo opravi pooblaščena oseba za varstvo podatkov.

2.   Oceno iz odstavka 1 pooblaščena oseba za varstvo podatkov zagotovi v desetih delovnih dneh. Kadar je to potrebno iz nujnih razlogov, ki jih navede(jo) zadevni nacionalni član(i), se ocena zagotovi v najkrajšem možnem času. V posebej zapletenih primerih se lahko pooblaščena oseba za varstvo podatkov z zadevnim(i) nacionalnim(i) članom(-i) dogovori za daljši rok za dokončanje ocene.

3.   Pooblaščena oseba za varstvo podatkov v oceni obravnava zlasti vprašanja iz uvodnih izjav 51 in 52 Uredbe o Eurojustu. Kadar ima pooblaščena oseba za varstvo podatkov pri ocenjevanju ustreznosti zaščitnih ukrepov v specifičnem primeru pomisleke, se lahko pred izdajo ocene o določenem prenosu posvetuje z Evropskim nadzornikom za varstvo podatkov.

1.   Eurojust sprejme ustrezne tehnične ukrepe, s katerimi zagotovi, da se upoštevajo roki hrambe operativnih osebnih podatkov, opredeljeni v členu 29 Uredbe o Eurojustu, in da se, če v času preverjanja o nadaljnji hrambi operativnih osebnih podatkov ni sprejeta nobena odločitev, ti podatki samodejno izbrišejo.

2.   Sistem vodenja zadev predvsem zagotavlja, da se vsaka tri leta po vnosu podatkov v začasne delovne datoteke preveri, ali je hramba teh podatkov še potrebna. Takšno preverjanje mora biti v sistemu ustrezno dokumentirano, vključno z razlogom za odločitev o nadaljnji hrambi operativnih osebnih podatkov, in o njem je samodejno obveščena pooblaščena oseba za varstvo podatkov. Rezultati take odločitve ali nesprejetja takšne odločitve veljajo za celotno zadevo, kot je opredeljeno v členu 29(2) Uredbe o Eurojustu.

3.   V sistemu vodenja zadev so podatki, ki se v skladu s členom 27(3) evidentirajo za določen čas, in podatki iz člena 27(4) Uredbe o Eurojustu posebej označeni. Če se vsi operativni osebni podatki iz člena 27(4) hranijo več kot pet let, sistem vodenja zadev pošlje opozorilo, s katerim se zagotovi, da se te informacije samodejno pošljejo Evropskemu nadzorniku za varstvo podatkov.

4.   V izjemnih primerih, kadar nacionalni član meni, da so operativni osebni podatki še potrebni za namene arhiviranja v javnem interesu ali za statistične namene, kot je navedeno v členu 29(7)(e) Uredbe o Eurojustu, kolegij po posvetovanju s pooblaščeno osebo za varstvo podatkov odloči, ali je treba podatke v tem konkretnem primeru hraniti za ta namen. Evropski nadzornik za varstvo podatkov je obveščen o uporabi tega postopka.

1.   Zahtevki za uveljavljanje pravic se naslovijo neposredno na upravnega direktorja Eurojusta ali pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov v vsakem primeu prejme kopijo zahtevka zaradi registracije.

2.   Po potrebi pooblaščena oseba za varstvo podatkov pomaga posamezniku, na katerega se nanašajo osebni podatki, in da na razpolago posebne obrazce, ki jih posamezniki lahko uporabijo za vložitev svojih zahtevkov.

3.   Upravni direktor na podlagi informacij, ki jih zagotovi upravni subjekt, ki je neposredno udeležen pri obdelavi osebnih podatkov, in nasvetov pooblaščene osebe za varstvo podatkov sprejme odločitev v zvezi s specifičnim primerom.

4.   Pooblaščena oseba za varstvo podatkov sporoči odločitev, ki jo je sprejel upravni direktor, posamezniku, na katerega se nanašajo osebni podatki, in ga obvesti, da lahko, če ni zadovoljen z odločitvijo Eurojusta, vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov.

5.   Obravnava zahtevka je končana v enem mesecu po prejemu. Ob upoštevanju števila in kompleksnosti zahtevkov se lahko ta rok po potrebi podaljša še za dva meseca. V enem mesecu po prejemu zahteve za podaljšanje upravni direktor obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju in o razlogih za zamudo. Posameznik, na katerega se nanašajo osebni podatki, lahko pri Evropskem nadzorniku za varstvo podatkov vloži pritožbo, če Eurojust v tem roku ne sprejme odločitve na podlagi njegovega zahtevka.

1.   Vsak posamezen postopek obdelave upravnih osebnih podatkov, ki se izvaja pri Eurojustu, ima glede na svoj opredeljeni namen in ob doslednem upoštevanju člena 4(1)(d) in člena 31(1)(f) Uredbe 2018/1725 jasno določen rok za hrambo, da se zagotovi, da se podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se upravni osebni podatki obdelujejo. Ta rok se določi za vsako kategorijo podatkov, ki so bili obdelani in dokumentirani v evidenci dejavnosti obdelave.

2.   Eurojust hrani upravne osebne podatke v skladu z odstavkom 1, dokler je to potrebno in v vsakem primeru največ za obdobja, ki so za vsako kategorijo dejavnosti obdelave navedena v razpredelnici, ki je priložena temu poslovniku.

3.   Izvršni odbor lahko na predlog upravnega direktorja določi krajša obdobja hrambe od tistih, ki so določena v prilogi k temu poslovniku.

1.   Ta poslovnik se redno pregleduje, da se ugotovi, ali so potrebne spremembe. Spreminjanje poslovnika poteka v skladu s postopkom, določenim za njegovo odobritev v Uredbi o Eurojustu.

2.   Evropski nadzornik za varstvo podatkov posreduje kolegiju predloge ali priporočila glede sprememb poslovnika.