SKLEP RAČUNSKEGA SODIŠČA št. 42-2021

z dne 20. maja 2021

o sprejetju notranjih pravil glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Evropsko računsko sodišče

EVROPSKO RAČUNSKO SODIŠČE JE –

ob upoštevanju Pogodbe o delovanju Evropske unije (v nadaljnjem besedilu: PDEU),

ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (v nadaljnjem besedilu: Uredba) in zlasti člena 25 in Poglavja VI Uredbe,

ob upoštevanju razprave Evropskega računskega sodišča na zasedanju 20. maja 2021,

po posvetovanju (v skladu s členom 41(2) Uredbe) o tem sklepu z Evropskim nadzornikom za varstvo podatkov, ki je svoje mnenje izdal 23. septembra 2019,

ker Evropsko računsko sodišče (v nadaljnjem besedilu: Sodišče) v okviru svojih dejavnosti obdeluje več vrst osebnih podatkov in mora spoštovati pravice fizičnih oseb v zvezi z obdelavo osebnih podatkov, določene v členu 8(1) Listine Evropske unije o temeljnih pravicah in členu 16(1) PDEU,

ker je v nekaterih okoliščinah treba uskladiti pravice, ki v skladu z Uredbo veljajo za posameznike, na katere se nanašajo osebni podatki, s potrebami zaradi nalog in dejavnosti Sodišča. Zato je v skladu s členom 25 Uredbe pod strogimi pogoji mogoče omejiti uporabo členov 14 do 20, 35 in 36 ter člena 4,

ker Sodišče omejitve uporablja le, kadar se z njimi spoštuje bistvo temeljnih pravic in svoboščin in kadar so potreben in sorazmeren ukrep v demokratični družbi. Sodišče vse omejitve obravnava transparentno in posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije o razlogih za uporabo omejitve,

ker Sodišče odpravi omejitev takoj, ko pogoji, ki jo upravičujejo, ne veljajo več, in te pogoje redno ocenjuje,

ker se pooblaščena oseba Sodišča za varstvo podatkov pravočasno obvesti o vseh omejitvah, ki se uporabljajo, in opravi neodvisen pregled uporabe omejitev, da se zagotovi skladnost s tem sklepom –

SKLENILO:

Člen 1

Predmet urejanja in področje uporabe

V tem sklepu so določena pravila v zvezi s pogoji, pod katerimi lahko Sodišče na podlagi člena 25 Uredbe omeji uporabo členov 14 do 20, 35 in 36 ter člena 4 Uredbe.

Člen 2

Omejitve

1. V skladu s členom 25(1) Uredbe lahko Sodišče za vsak primer posebej omeji uporabo členov 14 do 20, 35 in 36 ter člena 4 Uredbe, če njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 20, kadar Sodišče:

(a)	opravlja revizije na podlagi člena 287 PDEU. Ustrezne omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe;

(b)

opravlja upravne preiskave, preddisciplinske in disciplinske postopke ter postopke začasne odstranitve z delovnega mesta na podlagi člena 86 Kadrovskih predpisov za uradnike Evropske unije (1) (v nadaljnjem besedilu: kadrovski predpisi) in v skladu s Prilogo IX h kadrovskim predpisom. Ustrezne omejitve lahko temeljijo na členu 25(1)(b), (c), (d), (f), (g), (h) Uredbe;

(c)	obravnava notranje ali zunanje pritožbe zoper uslužbenca ali člana Sodišča. Ustrezne omejitve lahko temeljijo na členu 25(1)(h) Uredbe;

(d)	izvaja predhodne dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF. Ustrezne omejitve lahko temeljijo na členu 25(1)(b), (c), (h) Uredbe;

(e)

zagotavlja, da lahko uslužbenci Sodišča zaupno posredujejo informacije o resnih nepravilnostih, s katerimi se seznanijo pri opravljanju svojih nalog, v skladu s poslovnikom Sodišča zaradi zagotavljanja informacij v primeru resnih nepravilnosti (žvižgaštvo). Ustrezne omejitve lahko temeljijo na členu 25(1)(f),(h) Uredbe;

(f)

zagotavljanju, da lahko uslužbenci Sodišča, ki menijo, da so bili žrtve nadlegovanja, zaupno zaprosijo za svetovanje in podporo od vodstvenega delavca, kontaktne osebe, uradnega zdravnika ali mediatorja v skladu s Sklepom Sodišča št. 26-2017 o politiki za ohranjanje zadovoljivega delovnega okolja in o boju proti psihičnemu in spolnemu nadlegovanju. Ustrezne omejitve lahko temeljijo na členu 25(1)(f)(h) Uredbe;

(g)	opravlja notranje revizije v skladu s Sklepom Sodišča št. 38-2016 o določitvi izvedbenih pravil Poslovnika Računskega sodišča. Ustrezne omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe,

(h)

v skladu s členom 26a kadrovskih predpisov ter členoma 16 in 91 Pogojev za zaposlitev drugih uslužbencev zagotavlja dostop posameznikov, na katere se nanašajo osebni podatki, do zdravstvenih podatkov s področja psihologije ali psihiatrije v zvezi z njimi, kadar bi neposreden dostop do takih podatkov verjetno pomenil tveganje za zdravje posameznika, na katerega se nanašajo osebni podatki, ali do zdravstvenih podatkov, kadar bi uveljavljanje te pravice negativno vplivalo na pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ali drugih posameznikov. Ustrezne omejitve lahko temeljijo na členu 25(1)(h) Uredbe,

(i)

zagotavlja notranjo varnost na Sodišču, tj. varnost oseb, sredstev in informacij, vključno z opravljanjem notranjih varnostnih preiskav, tudi s sodelovanjem zunanjih izvajalcev (skupina CERT-EU, nacionalna policija itd.). Ustrezne omejitve lahko temeljijo na členu 25(1)(a), (b), (c), (d), (g), (h) Uredbe;

(j)	zagotavlja, da lahko pooblaščena oseba Sodišča za varstvo podatkov opravlja preiskave v skladu s členom 45(2) Uredbe. Ustrezne omejitve lahko temeljijo na členu 25(1)(d), (g), (h) Uredbe;

(k)	zagotavlja pomoč in sodelovanje drugim institucijam, organom, uradom in agencijam Unije ali ju od njih prejema. Ustrezne omejitve lahko temeljijo na členu 25(1)(c), (d), (g), (h) Uredbe,

(l)	zagotavlja pomoč in sodelovanje javnim organom držav članic EU, tretjim državam in mednarodnim organizacijam ali ju od njih prejema, in sicer na njihovo zahtevo ali na lastno pobudo. Ustrezne omejitve lahko temeljijo na členu 25(1)(c), (g), (h) Uredbe,

(m)	obdeluje osebne podatke v dokumentih, ki so jih stranke ali intervenienti pridobili v okviru sodnega postopka na Sodišču Evropske unije. Ustrezne omejitve lahko temeljijo na členu 25(1)(e) Uredbe.

2. Vrste podatkov zajemajo identifikacijske podatke fizičnih oseb, kontaktne informacije, poklicne vloge in naloge, informacije o zasebnem in poklicnem ravnanju in uspešnosti ter finančne podatke.

3. Vsaka omejitev spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi in je potrebna in sorazmerna.

4. Preden se omejitve uporabijo, upravljavec in pooblaščena oseba Sodišča za varstvo podatkov izvedeta preskus potrebnosti in sorazmernosti za vsak primer posebej. Omejitve so omejene na to, kar je nujno potrebno za dosego zastavljenih ciljev.

5. Sodišče evidentira razloge za uporabljene omejitve, pravno podlago, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki in katerih osebni podatki so lahko predmet omejitev, ter oceno potrebnosti in sorazmernosti omejitve. Evidenca in po potrebi dokumenti, ki vsebujejo relevantna dejstva in pravne elemente, tvorijo ad hoc register, ki se na zahtevo da na voljo Evropskemu nadzorniku za varstvo podatkov. Dokumentacija v zvezi z omejitvami za zdravstveno kartoteko se evidentira samo v ustrezni zdravstveni kartoteki.

6. Sodišče se pri obdelavi osebnih podatkov, ki si jih v okviru svojih nalog izmenja z drugimi organizacijami, s slednjimi posvetuje o morebitnih relevantnih razlogih za uvedbo omejitev ter potrebnosti in sorazmernosti omejitev, ali se te organizacije o tem posvetujejo s Sodiščem, razen kadar bi to ogrozilo dejavnosti Sodišča.

Člen 3

Spremljanje omejitev in pregled

1. Omejitve iz člena 2 se uporabljajo, dokler obstajajo okoliščine, ki jih upravičujejo.

2. Sodišče pregleda uporabo omejitev vsakih šest mesecev od njihovega sprejetja. Pregled se opravi tudi, kadar se spremenijo bistveni elementi primera.

Člen 4

Zaščitni ukrepi

1. Sodišče izvaja zaščitne ukrepe za preprečevanje zlorabe ali nezakonitega dostopa do osebnih podatkov, za katere lahko veljajo omejitve, ali njihovega prenosa. Ti zaščitni ukrepi zajemajo tehnične in organizacijske ukrepe ter so po potrebi podrobno opredeljeni v notranjih sklepih, postopkih in izvedbenih pravilih Sodišča. Zaščitni ukrepi zajemajo:

(a)	ustrezno opredelitev vlog, pristojnosti in postopkovnih korakov;

(b)	po potrebi varno elektronsko okolje, s katerim se nepooblaščenim osebam preprečuje nezakonit ali nenameren dostop do elektronskih podatkov ali njihov prenos;

(c)	po potrebi varno hrambo in obdelavo dokumentov na papirju.

Člen 5

Informacije, ki jih je treba sporočiti pooblaščeni osebi Sodišča za varstvo podatkov ali ki jih mora ta pregledati

1. Pooblaščena oseba Sodišča za varstvo podatkov se nemudoma obvesti, kadar se pravice posameznika, na katerega se nanašajo osebni podatki, omejijo v skladu s tem sklepom, in zagotovi se ji dostop do evidenc in vseh dokumentov, ki vsebujejo relevantna dejstva in pravne elemente.

2. Pooblaščena oseba Sodišča za varstvo podatkov lahko vloži zahtevek za pregled uporabe omejitev. Sodišče pooblaščeno osebo Sodišče za varstvo podatkov pisno obvesti o odgovoru na zahtevo.

3. Sodelovanje pooblaščene osebe Sodišča za varstvo podatkov v postopku v zvezi z omejitvami, vključno z izmenjavo informacij, se dokumentira v ustrezni obliki.

Člen 6

Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, o omejitvah njihovih pravic

1. Sodišče na svojem spletišču objavi splošne informacije o omejitvah pravic posameznikov, na katere se nanašajo osebni podatki, opisanih v členu 2. Pojasnijo se obseg omejitev, razlogi zanje in njihovo predvideno trajanje.

2. Kadar Sodišče uporabi člen 2 tega sklepa, posameznike, na katere se nanašajo osebni podatki, nemudoma pisno obvesti o glavnih razlogih, na katerih temelji uporaba omejitev, in o njihovi pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in uveljavljanja pravnega sredstva na Sodišču Evropske unije.

3. Sodišče lahko odloži, opusti ali zavrne predložitev informacij o razlogih za omejitve, navedene v odstavku 2, dokler bi se s tem izničil učinek omejitve. Ta ocena se opravi za vsak primer posebej.

Člen 7

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

Kadar Sodišče omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov, kot je navedeno v členu 35 Uredbe, razloge za omejitev zabeleži in evidentira v skladu s členom 2(5) tega sklepa.

Člen 8

Zaupnost elektronskih sporočil

1. Sodišče lahko v izjemnih okoliščinah in v skladu z določbami Direktive 2002/58/ES o zasebnosti in elektronskih komunikacijah omeji pravico do zaupnosti elektronskih komunikacij iz člena 36 Uredbe. V tem primeru Sodišče v posebnih notranjih pravilih podrobno opredeli okoliščine, razloge, relevantna tveganja in s tem povezane zaščitne ukrepe.

2. Kadar Sodišče omeji pravico do zaupnosti elektronskih komunikacij, zadevne posameznike, na katere se nanašajo osebni podatki, v odgovoru na njihovo zahtevo nemudoma pisno obvesti o glavnih razlogih, na katerih temelji uporaba omejitev, in o njihovi pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in uveljavljanja pravnega sredstva na Sodišču Evropske unije.

3. Sodišče lahko odloži, opusti ali zavrne predložitev informacij o razlogih za omejitve, navedene v odstavkih 1 in 2, dokler bi se s tem izničil učinek omejitve. Ta ocena se opravi za vsak primer posebej.

Člen 9

Začetek veljavnosti

Ta sklep začne veljati z dnem objave v Uradnem listu Evropske unije.

V Luxembourgu, 20. maja 2021

Za Evropsko računsko sodišče

Klaus-Heiner LEHNE

predsednik

(1) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o določitvi Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev Evropskih skupnosti ter uvedbi posebnih ukrepov, ki se začasno uporabljajo za uradnike Komisije (UL L 56, 4.3.1968, str. 1).