Decyzja 2021-096 REV 1 w sprawie wewnętrznych zasad dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości
Dz.U.UE.L.2021.161.9
Akt obowiązującyDECYZJA nr 2021-096 REV 1 ZARZĄDU AGENCJI UNII EUROPEJSKIEJ DS. ZARZĄDZANIA OPERACYJNEGO WIELKOSKALOWYMI SYSTEMAMI INFORMATYCZNYMI W PRZESTRZENI WOLNOŚCI, BEZPIECZEŃSTWA I SPRAWIEDLIWOŚCI
z dnia 16 kwietnia 2021 r.
w sprawie wewnętrznych zasad dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25 (zwane dalej "rozporządzeniem (UE) 2018/1725"),
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1726 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), zmiany rozporządzenia (WE) nr 1987/2006 i decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia (UE) nr 1077/2011 2 , w szczególności jego art. 35 (zwane dalej "rozporządzeniem (UE) 2018/1726"),
uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 11 marca 2021 r. oraz jego wytyczne dotyczące art. 25 rozporządzenia (UE) 2018/1725 i przepisów wewnętrznych ograniczających prawa osób, których dane dotyczą 3 ,
po konsultacji z Komitetem Pracowniczym,
(1) eu-LISA prowadzi działalność zgodnie z rozporządzeniem (UE) 2018/1726.
(2) eu-LISA jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań w sprawie zawieszenia zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej, określonymi w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 ("regulamin pracowniczy") 4 oraz zgodnie z decyzją zarządu eu-LISA nr 2014-080 z dnia 28 stycznia 2015 r. w sprawie przyjęcia przepisów wykonawczych do regulaminu pracowniczego, w których przyjęto przepisy wykonawcze dotyczące prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych. Jeśli występuje taka konieczność, zgłasza również sprawy do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF).
(3) Pracownicy eu-LISA są zobowiązani do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, które są szkodliwe dla interesów Unii. Pracownicy mają również obowiązek zgłaszać zachowania związane ze zwolnieniem z obowiązków zawodowych, które mogą stanowić poważne niedopełnienie obowiązków urzędników Unii. Kwestię tę reguluje decyzja eu-LISA w sprawie wewnętrznych zasad dotyczących informowania o nieprawidłowościach z dnia 26 czerwca 2018 r.
(4) eu-LISA wdrożyła politykę zapobiegania faktycznym lub potencjalnym przypadkom mobbingu lub molestowania seksualnego w miejscu pracy oraz skutecznego postępowania w takich przypadkach, jak przewidziano w decyzji zarządu nr 2018-174 z dnia 6 grudnia 2018 r. dotyczącej polityki eu-LISA w zakresie ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu, przyjmując środki wykonawcze zgodnie z regulaminem pracowniczym. W decyzji ustanowiono nieformalną procedurę, zgodnie z którą osoba będąca domniemaną ofiarą mobbingu lub molestowania seksualnego może skontaktować się z zaufanymi doradcami eu-LISA.
(5) EU-LISA może również prowadzić dochodzenia w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących informacji niejawnych Unii Europejskiej ("EUCI") na podstawie decyzji nr 2019-273 z dnia 20 listopada 2019 r. zmieniającej jej przepisy bezpieczeństwa dotyczące ochrony EUCI.
(6) Agencja eu-LISA podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań.
(7) W kontekście takich dochodzeń administracyjnych, audytów i postępowań eu-LISA współpracuje z innymi instytucjami, organami i jednostkami organizacyjnymi Unii.
(8) eu-LISA może realizować współpracę z organami krajowymi państw trzecich i organizacjami międzynarodowymi zgodnie z przepisami określonymi w art. 43 rozporządzenia (UE) 2018/1726.
(9) eu-LISA może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy.
(10) Agencja uczestniczy w sprawach toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej, gdy kieruje sprawę do Trybunału, broni swojej decyzji, która została zaskarżona do Trybunału, albo interweniuje w sprawach związanych z jej zadaniami. W tym kontekście eu-LISA może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów.
(11) W celu realizacji swoich zadań eu-LISA gromadzi i przetwarza informacje oraz kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat prywatnego i zawodowego postępowania i wyników oraz dane finansowe. eu-LISA pełni rolę administratora danych.
(12) Na mocy rozporządzenia (UE) 2018/1725 eu-LISA jest zatem zobowiązana do udzielania osobom, których dane dotyczą, informacji na temat tych czynności przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą.
(13) eu-LISA może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zrównoważenie praw osoby, której dane dotyczą, z podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu w art. 25 rozporządzenia (UE) 2018/1725 przyznano eu-LISie, na ściśle określonych warunkach, możliwość ograniczenia zastosowania art. 14- 22, 35 i 36 rozporządzenia (UE) 2018/1725, a także art. 4, w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. O ile w akcie prawnym przyjętym na podstawie Traktatów nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których eu-LISA będzie uprawniona do ograniczania tych praw.
(14) eu-LISA może być, na przykład, zmuszona do ograniczenia przekazywanych przez siebie informacji na temat przetwarzania posiadanych danych osobowych do osoby, której dane dotyczą, na etapie wstępnej oceny dochodzenia administracyjnego lub w trakcie samego dochodzenia, przed ewentualnym umorzeniem sprawy lub na etapie przed- dyscyplinarnym. W pewnych okolicznościach udzielenie takich informacji mogłoby poważnie wpłynąć na zdolność eu-LISA do prowadzenia dochodzenia w skuteczny sposób, gdy na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub wpłynąć na potencjalnych świadków przed ich przesłuchaniem. Agencja może też stanąć przed koniecznością ochrony praw i wolności świadków, jak również innych zaangażowanych osób.
(15) Konieczna może być ochrona anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku eu-LISA może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności.
(16) Niezbędna może okazać się ochrona informacji poufnych dotyczących pracownika, który skontaktował się z zaufanymi doradcami eu-LISA w kontekście procedury dotyczącej mobbingu lub molestowania seksualnego. W takich przypadkach eu-LISA może być zmuszona do ograniczenia dostępu do tożsamości, oświadczeń i innych danych osobowych osoby będącej domniemaną ofiarą, domniemanym sprawcą mobbingu lub molestowania seksualnego i innych zaangażowanych osób, aby chronić prawa i wolności wszystkich zainteresowanych stron.
(17) eu-LISA powinna stosować ograniczenia wyłącznie wtedy, gdy są one zgodne z istotą podstawowych praw i wolności, są absolutnie konieczne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. eu-LISA powinna przedstawić uzasadnienie tych ograniczeń.
(18) Zgodnie z zasadą rozliczalności eu-LISA powinna prowadzić rejestr stosowania ograniczeń.
(19) Przetwarzając dane osobowe wymieniane z innymi organizacjami w ramach swoich zadań, eu-LISA i wspomniane organizacje powinny konsultować się wzajemnie na temat potencjalnych powodów nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, o ile nie zagroziłoby to działalności eu-LISA.
(20) Art. 25 ust. 6 rozporządzenia (UE) 2018/1725 zobowiązuje administratora danych do poinformowania osób, których dane dotyczą, o głównych powodach zastosowania ograniczenia oraz o ich prawie do wniesienia skargi do EIOD.
(21) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 eu-LISA jest uprawniona do odroczenia, zaniechania lub odmowy udzielenia informacji o powodach zastosowania ograniczenia wobec osoby, której dane dotyczą, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja powinna w poszczególnych przypadkach ocenić, czy powiadomienie o ograniczeniu anuluje jego skutek.
(22) eu-LISA powinna znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie oceniać te warunki.
(23) W celu zagwarantowania jak największej ochrony praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia (UE) 2018/1725 należy w odpowiednim czasie konsultować się z inspektorem ochrony danych eu-LISA w sprawie wszelkich ograniczeń, które mogą zostać zastosowane, oraz zweryfikować ich zgodność z niniejszą decyzją.
(24) Art. 16 ust. 5 i art. 17 ust. 4 rozporządzenia (UE) 2018/1725 przewidują wyjątki od prawa osób, których dane dotyczą, do informacji i prawa dostępu. Jeżeli wyjątki te mają zastosowanie, eu-LISA nie musi stosować ograniczenia na mocy niniejszej decyzji.
(25) Zgodnie z art. 35 ust. 2 rozporządzenia (UE) 2018/1726 zarząd przyjmuje środki dotyczące stosowania przez Agencję rozporządzenia (UE) 2018/1725, w tym przepisy wewnętrzne, o których mowa w art. 25 ust. 1, 3 i 4 rozporządzenia 2018/1725, po konsultacji z EIOD,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
W imieniu Zarządu | |
Zsolt SZOLNOKI | |
Przewodniczący Zarządu |