|
3.8.2020 |
SL |
Uradni list Evropske unije |
L 251/1 |
SKLEP št. 20-W-3 UPRAVNEGA ODBORA EVROPSKE AGENCIJE ZA NADZOR RIBIŠTVA
z dne 22. aprila 2020
o notranjih pravilih glede omejitve nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja Evropske agencije za nadzor ribištva
UPRAVNI ODBOR EVROPSKE AGENCIJE ZA NADZOR RIBIŠTVA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije;
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 (1) in Sklepa št. 1247/2002/ES in zlasti člena 25 Uredbe;
ob upoštevanju Uredbe (EU) 2019/473 Evropskega parlamenta in Sveta z dne 19. marca 2019 o Evropski agenciji za nadzor ribištva (2) (v nadaljnjem besedilu: Agencija) in zlasti člena 32(2)(h) Uredbe;
po posvetu z Evropskim nadzornikom za varstvo podatkov v skladu s členom 41(2) Uredbe (EU) 2018/1725;
ob upoštevanju naslednjega:
|
(1) |
Uredba (EU) 2019/473 vsebuje določbe o Evropski agenciji za nadzor ribištva, katere cilj je organizacija operativnega usklajevanja dejavnosti nadzora in inšpekcijskih pregledov ribištva s strani držav članic ter pomoč le-tem pri sodelovanju zaradi spoštovanja pravil skupne ribiške politike, da se zagotovi njeno učinkovito in enotno izvajanje. |
|
(2) |
V skladu s členom 25(1) Uredbe (EU) 2018/1725 morajo omejitve uporabe členov 14 do 22, 35 in 36, kot tudi člena 4 Uredbe, v kolikor se ta določila nanašajo na pravice in dolžnosti, ki so zajete v členih 14 do 22, temeljiti na notranjih pravilih, ki jih sprejme Agencija, kadar ne temeljijo na pravnih aktih, ki se sprejemajo na podlagi Pogodb. |
|
(3) |
Ta notranja pravila, vključno z določbami o oceni potrebnosti in sorazmernosti omejitve, se ne bi smela uporabljati, kadar pravni akt, sprejet na podlagi Pogodb, določa omejitev pravic posameznikov, na katere se nanašajo osebni podatki. |
|
(4) |
Če Agencija opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe. |
|
(5) |
V okviru svojega upravnega delovanja lahko Agencija izvaja upravne poizvedbe, disciplinske postopke, predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se sporočajo uradu OLAF, obdeluje primere prijavljanja nepravilnosti, izvaja uradne in neuradne postopke v zvezi z nadlegovanjem, postopke notranjih in zunanjih pritožb, notranje revizije, preglede s strani uradne osebe za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725 in notranje (IT) varnostne preiskave. |
|
(6) |
Agencija v okviru svojih operativnih dejavnosti prejema od inšpektorjev Unije poročila o inšpekcijskih pregledih, kot je določeno v členu 123 Izvedbene uredbe Komisije (EU) št. 404/2011 (3), členih 18, 19 in 20 Uredbe (EU) št. 1236/2010 Evropskega parlamenta in Sveta (4) in členih 30, 33 in 34 Uredbe (EU) 2019/833 Evropskega parlamenta in Sveta (5). Agencija prejme tudi informacije in podatke od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe Sveta (ES) št. 1005/2008 (6), kot je določeno v Sklepu Komisije 2009/988/EU (7). |
|
(7) |
Agencija obdeluje več kategorij osebnih podatkov, vključno z zanesljivimi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, poklicni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivimi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o uspešnosti in vedenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti). |
|
(8) |
Agencija, ki jo zastopa izvršni direktor, deluje kot upravljavec podatkov ne glede na nadaljnja pooblastila vloge upravljavca v Agenciji, da se izraža operativna odgovornost za določene postopke obdelave osebnih podatkov. |
|
(9) |
Osebni podatki so varno shranjeni v elektronskem okolju ali na papirju, kar preprečuje nezakonit dostop ali prenos podatkov osebam, ki nimajo potrebe po seznanitvi z njimi. Osebni podatki, ki se obdelujejo, so shranjeni samo za čas, ki je potreben in primeren za namene, za katere se obdelujejo, in za določeno obdobje, navedeno v obvestilih o varstvu podatkov, izjavah o varstvu podatkov ali v evidencah Agencije. |
|
(10) |
Notranja pravila morajo veljati za vse postopke obdelave podatkov, ki jih opravlja Agencija pri izvajanju upravnih poizvedb, disciplinske postopke, predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se sporočajo uradu OLAF, uradne in neuradne postopke v zvezi z nadlegovanjem, postopke notranjih in zunanjih pritožb, notranje revizije, preglede s strani uradne osebe za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, notranje (IT) varnostne preiskave, ki se izvajajo interno ali z zunanjo pomočjo (npr. CERT-EU), in operativne dejavnosti iz zgoraj navedene uvodne izjave 6. |
|
(11) |
Uporabljati bi se morala za postopke obdelave, izvedena pred začetkom zgoraj navedenih postopkov, med njimi in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh postopkov ter izvajanjem operativnih dejavnosti iz zgoraj navedene uvodne izjave 6. Prav tako bi morala vključevati pomoč in sodelovanje, ki ju Agencija zagotavlja nacionalnim organom in mednarodnim organizacijam zunaj svojih upravnih preiskav. |
|
(12) |
V primerih, ko se uporabljajo ta notranja pravila, mora agencija utemeljiti, zakaj so omejitve nujno potrebne in sorazmerne v demokratični družbi, ter spoštovati bistvo temeljnih pravic in svoboščin. |
|
(13) |
V tem okviru je Agencija v največji mogoči meri zavezana k spoštovanju temeljnih pravic posameznikov, na katere se nanašajo osebni podatki, med izvajanjem zgoraj omenjenih postopkov, še posebno tistih pravic, ki se nanašajo na pravico do zagotovitve informacij, dostopa in popravka, pravico do izbrisa, omejitve obdelave, pravico do obveščanja posameznikov, na katere se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov oziroma do zaupnosti komunikacije, kot je določeno v Uredbi (EU) 2018/1725. |
|
(14) |
Vendar mora Agencija morda omejiti informacije posamezniku, na katerega se nanašajo osebni podatki, in druge pravice posameznika, na katerega se nanašajo osebni podatki, da zaščiti zlasti lastne preiskave, preiskave in postopke drugih javnih organov ter pravice drugih oseb, ki so povezane s preiskavami ali drugimi postopki. |
|
(15) |
Agencija lahko tako informacije omeji z namenom zaščite preiskave ter temeljnih pravic in svoboščin drugih posameznikov, na katere se nanašajo osebni podatki. |
|
(16) |
Agencija mora občasno spremljati pogoje, ki upravičujejo omejitev, v primeru neupravičenosti le-teh pa omejitev odpraviti. |
|
(17) |
Upravljavec bi moral pooblaščeno osebo za varstvo podatkov obveščati ob odlogu in med revizijami – |
SPREJEL NASLEDNJI SKLEP:
Člen 1
Predmet urejanja in področje uporabe
1. Ta sklep določa pravila v zvezi s pogoji, pod katerimi sme Agencija v okviru svojih postopkov iz odstavka 2 omejiti uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 Uredbe, na podlagi člena 25 Uredbe (EU) 2018/1725.
2. V okviru upravnega delovanja Agencije se ta sklep uporablja za postopke obdelave osebnih podatkov, ki jih Agencija izvaja za namene opravljanja upravnih poizvedb, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov za prijavljanje nepravilnosti, uradnih in neuradnih postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali z zunanjim sodelovanjem (npr. CERT-EU).
3. okviru operativnih dejavnosti Agencije se ta sklep uporablja za obdelavo osebnih podatkov za namene izvajanja njenih pooblastil, zlasti prejemanje poročil o inšpekcijskem pregledu v skladu s členom 123 Izvedbene uredbe (EU) št. 404/2011, členi 18, 19 in 20 Uredbe (EU) št. 1236/2010 ter členi 30, 33 in 34 Uredbe (EU) 2019/833, in tudi informacij in podatkov, prejetih od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe (ES) št. 1005/2008, kot je določeno v Sklepu 2009/988/EU.
4. Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, poklicni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o uspešnosti in vedenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).
5. Če Agencija opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.
6. Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti elektronskega obveščanja.
Člen 2
Opredelitev upravljavca in zaščitnih ukrepov
1. Agencija sprejme naslednje zaščitne ukrepe za preprečitev zlorabe ali nezakonitega dostopa ali prenosa:
|
(a) |
dokumenti v papirni obliki se hranijo v zavarovanih omarah in so dostopni le pooblaščenemu osebju; |
|
(b) |
vsi elektronski podatki se hranijo v varni IT-aplikaciji v skladu z varnostnimi standardi Agencije in v posebnih elektronskih mapah, dostopnih samo pooblaščenemu osebju. Ustrezne ravni dostopa se odobrijo za vsak primer posebej; |
|
(c) |
sistemi IT in njihove podatkovne zbirke morajo imeti mehanizme za preveritev identitete uporabnika v sistemu enotne prijave ter morajo biti samodejno povezani z identifikacijsko kodo uporabnika in geslom. Računi končnih uporabnikov morajo biti edinstveni, osebni in neprenosljivi, souporaba uporabniških računov je strogo prepovedana. Elektronski evidence so varno shranjene, da se zavarujeta zaupnost in zasebnost podatkov, ki jih vsebujejo; |
|
(d) |
vse osebe, ki imajo dostop do podatkov, zavezuje obveznost zaupnosti. |
2. Upravljavec podatkov pri postopkih obdelave je Agencija, ki jo zastopa izvršni direktor, ki lahko delegira funkcijo upravljavca podatkov. Posamezniki, na katere se nanašajo osebni podatki, so obveščeni o pooblaščenem upravljavcu z obvestilom o varstvu podatkov ali evidencami, objavljenimi na spletnem mestu in/ali intranetu Agencije.
3. Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je potrebno in ustrezno za namene, za katere se podatki obdelujejo. V nobenem primeru ne presega obdobja hrambe, določenega v obvestilih o varstvu podatkov, izjavah o varstvu osebnih podatkov ali evidencah iz člena 5(1).
4. Če Agencija meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov Agencije, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar nanje niso omejena.
Člen 3
Omejitve
1. Agencija omejitev uporabi le na podlagi enega ali več razlogov iz točk (a) do (i) člena 25(1) Uredbe (EU) 2018/1725.
Agencija v obvestila o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljeni na njenem spletnem mestu in/ali intranetu ter z njimi posameznike, na katere se nanašajo osebni podatki, obvesti o njihovih pravicah v okviru določenega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.
2. Agencija lahko kot posebno uporabo namenov iz zgoraj navedenega odstavka 1 uporablja omejitve v naslednjih okoliščinah:
|
(a) |
če so službe Komisije ali druge institucije, organi, agencije ali uradi Unije upravičeni do omejitve uresničevanja teh pravic na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali svojim ustanovitvenim aktom in bi bil namen take omejitve druge institucije, organa, agencije ali urada Unije ogrožen, če Agencija ne bi uporabila enakovredne omejitve glede istih osebnih podatkov; |
|
(b) |
če je pristojni organ države članice upravičen do omejitve uresničevanja teh pravic na podlagi aktov iz člena 23 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (8) ali v skladu z nacionalnimi ukrepi za prenos členov 13(3), 15(3) ali 16(3) Direktive (EU) 2016/680 Evropskega parlamenta in Sveta (9); |
|
(c) |
če obstajajo jasni dokazi, da bi izvajanje navedenih pravic in obveznosti lahko ogrozilo sodelovanje Agencije s tretjimi državami ali mednarodnimi organizacijami pri izvajanju njenih nalog. |
Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se Agencija posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami ali uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.
3. Vse omejitve so potrebne in sorazmerne glede na tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter bistvo temeljnih pravic in svoboščin v demokratični družbi.
4. Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus potrebnosti in sorazmernosti. Dokumentira se z notranjo oceno za namene odgovornosti za vsak primer posebej.
Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se evidentirajo. Na zahtevo so na voljo Evropskemu nadzorniku za varstvo podatkov.
Agencija pregleda uporabo posamezne omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. V okviru tega rednega pregleda opravi preskus potrebnosti in sorazmernosti, da oceni, ali dejanski in pravni razlogi za omejitev še veljajo.
5. Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. Zlasti kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.
Člen 4
Pregled s strani pooblaščene osebe za varstvo podatkov
1. Pooblaščena oseba Agencije za varstvo podatkov se brez nepotrebnega odlašanja obvesti vsakič, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev podaljša v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter v evidenci navede datum, ko je pooblaščeno osebo za varstvo podatkov o tem obvestil.
2. Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, da pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.
3. Upravljavec pooblaščeno osebo za varstvo podatkov obvesti, ko se omejitev odpravi.
Člen 5
Zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki
1. Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:
|
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, prijavljenih uradu OLAF; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(c) |
postopki za prijavo nepravilnosti; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(d) |
uradni in neuradni postopki za obravnavanje nadlegovanja; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(e) |
obdelava notranjih in zunanjih pritožb; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(f) |
notranje revizije. Omejitve lahko temeljijo na členu 25(1)(b), (c), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; Omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe (EU) 2018/1725; |
|
(h) |
preiskave v zvezi z varnostjo (informacijske tehnologije), ki se izvajajo notranje ali z zunanjim sodelovanjem (npr. CERT-EU). Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725; |
|
(i) |
izmenjava informacij v okviru operativnih dejavnosti Agencije za izvajanje njenih pooblastil, zlasti prejemanja poročil o inšpekcijskem pregledu v skladu s členom 123 Izvedbene uredbe Komisije (EU) št. 404/2011, členi 18, 19 in 20 Uredbe (EU) št. 1236/2010 ter členi 30, 33 in 34 Uredbe (EU) 2019/833, pa tudi informacij in podatkov, prejetih od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe (ES) št. 1005/2008. Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725. |
2. Kadar je sorazmerno, Agencija brez poseganja v določbe odstavka 3 o pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva poseben postopek obdelave.
3. Če Agencija v celoti ali delno omeji posredovanje informacij posameznikom iz drugega odstavka, na katere se nanašajo osebni podatki, mora zabeležiti razloge za omejitev, pravno podlago v skladu s členom 3 tega sklepa ter oceno potrebe in sorazmernosti omejitve.
4. Omejitev iz odstavka 3 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.
Kadar razlogi za omejitev ne veljajo več, Agencija posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati obvesti posameznika, na katerega se nanašajo osebni podatki, o pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov kadar koli ali do uveljavljanja pravnega sredstva pri Sodišču Evropske unije.
Člen 6
Pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:
|
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, prijavljenih uradu OLAF; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(c) |
postopki za prijavo nepravilnosti; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(d) |
uradni in neuradni postopki za obravnavanje nadlegovanja; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(e) |
obravnava notranjih in zunanjih pritožb; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(f) |
notranje revizije. Omejitve lahko temeljijo na členu 25(1)(b), (c), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; Omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe (EU) 2018/1725; |
|
(h) |
preiskave v zvezi z varnostjo (informacijske tehnologije), ki se izvajajo notranje ali z zunanjim sodelovanjem (npr. CERT-EU). Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725; |
|
(i) |
izmenjava informacij v okviru operativnih dejavnosti Agencije za izvajanje njenih pooblastil, zlasti prejemanja poročil o inšpekcijskem pregledu v skladu s členom 123 Izvedbene uredbe (EU) št. 404/2011, členi 18, 19 in 20 Uredbe (EU) št. 1236/2010 ter členi 30, 33 in 34 Uredbe (EU) 2019/833, pa tudi informacij in podatkov, prejetih od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe (ES) št. 1005/2008. Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725. |
Če posameznik, na katerega se nanašajo osebni podatki, zahteva dostop do svojih osebnih podatkov, ki se obdelujejo v sklopu enega ali več specifičnih primerov oz. za določen postopek obdelave, Agencija v skladu s členom 17 Uredbe (EU) 2018/1725, svojo oceno zahteve omeji le na te osebne podatke.
2. Če Agencija v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:
|
(a) |
posameznika, na katerega se nanašajo osebni podatki, v odgovoru na zahtevo obvesti o uporabljeni omejitvi in glavnih razlogih zanjo ter možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov ali uveljavljanja pravnega sredstva na Sodišču Evropske unije; |
|
(b) |
v notranji oceni navede razloge za omejitev, vključno z oceno potrebnosti, sorazmernosti omejitve in njenega trajanja. |
Posredovanje informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.
Člen 7
Pravica do popravka, izbrisa in omejitve obdelave
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:
|
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, prijavljenih uradu OLAF; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(c) |
postopki za prijavo nepravilnosti; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(d) |
uradni in neuradni postopki za obravnavanje nadlegovanja; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(e) |
obravnava notranjih in zunanjih pritožb; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(f) |
notranje revizije. Omejitve lahko temeljijo na členu 25(1)(b), (c), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; Omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe (EU) 2018/1725; |
|
(h) |
preiskave v zvezi z varnostjo (informacijske tehnologije), ki se izvajajo notranje ali z zunanjim sodelovanjem (npr. CERT-EU). Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725; |
|
(i) |
izmenjava informacij v okviru operativnih dejavnosti Agencije za izvajanje njenih pooblastil, zlasti prejemanja poročil o inšpekcijskem pregledu v skladu s členom 123 Izvedbene uredbe (EU) št. 404/2011, členi 18, 19 in 20 Uredbe (EU) št. 1236/2010 ter členi 30, 33 in 34 Uredbe (EU) 2019/833, pa tudi informacij in podatkov, prejetih od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe (ES) št. 1005/2008. Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725. |
2. Če Agencija v celoti ali delno omeji pravico do popravka, izbrisa in obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, mora izvesti korake iz člena 6(2) tega sklepa ter zabeležiti dogodek v skladu s členom 6(3) tega sklepa.
Člen 8
Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov in zaupnost elektronskih sporočil
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:
|
(a) |
izvedba upravnih poizvedb in disciplinskih postopkov; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(b) |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, prijavljenih uradu OLAF; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(c) |
postopki za prijavo nepravilnosti; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(d) |
uradni in neuradni postopki za obravnavanje nadlegovanja; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
(e) |
obravnava notranjih in zunanjih pritožb; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(f) |
notranje revizije. Omejitve lahko temeljijo na členu 25(1)(b), (c), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
(g) |
preiskave, ki jih opravi pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725; Omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe (EU) 2018/1725; |
|
(h) |
preiskave v zvezi z varnostjo (informacijske tehnologije), ki se izvajajo notranje ali z zunanjim sodelovanjem (npr. CERT-EU). Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725; |
|
(i) |
izmenjava informacij v okviru operativnih dejavnosti Agencije za izvajanje njenih pooblastil, zlasti prejemanja poročil o inšpekcijskem pregledu v skladu s členom 123 Izvedbene uredbe (EU) št. 404/2011, členi 18, 19 in 20 Uredbe (EU) št. 1236/2010 ter členi 30, 33 in 34 Uredbe (EU) 2019/833, pa tudi informacij in podatkov, prejetih od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe (ES) št. 1005/2008. Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725. |
2. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:
|
a. |
izvedba upravnih poizvedb in disciplinskih postopkov; omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
b. |
predhodne dejavnosti, povezane s primeri morebitnih nepravilnosti, prijavljenih uradu OLAF; omejitve lahko temeljijo na členu 25(1)(b), (d), (f), in (h) Uredbe (EU) 2018/1725; |
|
c. |
postopki za prijavo nepravilnosti; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
d. |
formalni in neformalni postopki za primere nadlegovanja; Omejitve lahko temeljijo na členu 25(1)(b), (d), (f) in (h) Uredbe (EU) 2018/1725; |
|
e. |
obravnava notranjih in zunanjih pritožb; Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g) in (h) Uredbe (EU) 2018/1725; |
|
f. |
preiskave v zvezi z varnostjo (informacijske tehnologije), ki se izvajajo notranje ali z zunanjim sodelovanjem (npr. CERT-EU). Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725; |
|
g. |
izmenjava informacij v okviru operativnih dejavnosti Agencije za izvajanje njenih pooblastil, zlasti prejemanja poročil o inšpekcijskem pregledu v skladu s členom 123 Izvedbene uredbe (EU) št. 404/2011, in tudi informacij in podatkov, prejetih od držav članic v okviru analize, ki jo predloži Evropski komisiji za pripravo in izvedbo revizije na kraju samem v tretjih državah v skladu s členom 20(4)(c) Uredbe (ES) št. 1005/2008. Omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (g) in (h) Uredbe (EU) 2018/1725. |
3. Če Agencija omeji sporočanje posameznikom, na katere se nanašajo osebni podatki, o kršitvah varstva osebnih podatkov oz. zaupnosti elektronske komunikacije iz členov 35 in 36 Uredbe (EU) 2018/1725, mora zabeležiti in registrirati razloge za omejitev v skladu s členom 5(3) tega sklepa. Uporablja se člen 5(4) tega sklepa.
Člen 9
Začetek veljavnosti
Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
V Vigu, 22. aprila 2020
Predsednik upravnega odbora
Reinhard PRIEBE
(1) UL L 295, 21.11.2018, str. 39.
(2) UL L 83, 25.3.2019, str. 18.
(3) Izvedbena uredba Komisije (EU) št. 404/2011 z dne 8. aprila 2011 o določitvi podrobnih pravil za izvajanje Uredbe Sveta (ES) št. 1224/2009 o vzpostavitvi nadzornega sistema Skupnosti za zagotavljanje skladnosti s pravili skupne ribiške politike (UL L 112, 30.4.2011, str. 1).
(4) Uredba (EU) št. 1236/2010 Evropskega parlamenta in Sveta z dne 15. decembra 2010 o sistemu nadzora in izvrševanja, ki se uporablja na območju Konvencije o prihodnjem večstranskem sodelovanju v ribištvu severovzhodnega Atlantika in razveljavitvi Uredbe Sveta (ES) št. 2791/1999 (UL L 348, 31.12.2010, str. 17).
(5) Uredba (EU) 2019/833 Evropskega parlamenta in Sveta z dne 20. maja 2019 o določitvi ukrepov za ohranjanje in izvrševanje, ki se uporabljajo na upravnem območju Organizacije za ribištvo severozahodnega Atlantika, spremembi Uredbe (EU) 2016/1627 ter razveljavitvi uredb Sveta (ES) št. 2115/2005 in (ES) št. 1386/2007 (UL L 141, 28.5.2019, str. 1).
(6) Uredba Sveta (ES) št. 1005/2008 z dne 29. septembra 2008 o vzpostavitvi sistema Skupnosti za preprečevanje nezakonitega, neprijavljenega in nereguliranega ribolova, za odvračanje od njega ter za njegovo odpravljanje in o spremembi uredb (EGS) št. 2847/93, (ES) št. 1936/2001 in (ES) št. 601/2004 ter o razveljavitvi uredb (ES) št. 1093/94 in (ES) št. 1447/1999 (UL L 286, 29.10.2008, str. 1).
(7) Sklep Komisije 2009/988/EU z dne 18. decembra 2009 o imenovanju Agencije Skupnosti za nadzor ribištva kot organa za izvajanje nekaterih nalog iz Uredbe Sveta (ES) št. 1005/2008 (UL L 338, 19.12.2009, str. 104).
(8) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(9) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).