Decyzja 2021/2243 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów bezpieczeństwa systemów teleinformatycznych Komisji
Dz.U.UE.L.2021.450.149
Akt obowiązującyDECYZJA KOMISJI (UE) 2021/2243
z dnia 15 grudnia 2021 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów bezpieczeństwa systemów teleinformatycznych Komisji
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,
(1) Przy wykonywaniu swoich zadań Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej. Komisja musi również przestrzegać praw przewidzianych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 1 . Jednocześnie Komisja musi zajmować się incydentami związanymi z bezpieczeństwem IT zgodnie z zasadami określonymi w art. 15 decyzji (UE, Euratom) 2017/46 2 .
(2) W celu zapewnienia bezpieczeństwa IT, tj. zachowania poufności, integralności i dostępności systemów teleinformatycznych oraz zbiorów danych, które są w nich przetwarzane, w odniesieniu do osób, mienia i informacji, Komisja, w szczególności za pośrednictwem Dyrekcji Generalnej ds. Informatyki, wprowadziła środki przewidziane w decyzji (UE, Euratom) 2017/46 i w decyzji C(2017) 8841 final 3 . Środki te obejmują monitorowanie ryzyka związanego z bezpieczeństwem IT i wdrożonych środków bezpieczeństwa IT, zwracanie się do właścicieli systemów o wprowadzenie konkretnych środków bezpieczeństwa IT w celu ograniczenia ryzyka dla bezpieczeństwa IT dla systemów teleinformatycznych Komisji, a także zarządzanie incydentami związanymi z bezpieczeństwem IT.
(3) Dyrekcja Generalna ds. Informatyki realizuje działania i usługi w zakresie bezpieczeństwa IT Komisji i musi przetwarzać kilka kategorii danych osobowych w celu:
- przekazywania alarmów i ostrzeżeń dotyczących zdarzeń i incydentów związanych z bezpieczeństwem IT,
- reagowania na zdarzenia i incydenty związane z bezpieczeństwem IT oraz ich opanowania,
- ułatwiania dostępu do narzędzi i działań poprzez audyty bezpieczeństwa, oceny bezpieczeństwa i zarządzanie lukami w zabezpieczeniach,
- zwiększania świadomości pracowników Komisji w dziedzinie cyberbezpieczeństwa,
- monitorowania i wykrywania zdarzeń i incydentów związanych z bezpieczeństwem IT oraz zapobiegania im,
- dokonywania przeglądu kont użytkowników uprzywilejowanych.
(4) W każdej operacji przetwarzania danych prowadzonej przez Komisję mogą wystąpić incydenty związane z bezpieczeństwem IT, które mogłyby zagrozić bezpieczeństwu systemów teleinformatycznych Komisji. Mogą one dotyczyć dowolnej kategorii danych osobowych przetwarzanych przez Komisję.
(5) W określonych sytuacjach może okazać się konieczne pogodzenie praw osób, których dane dotyczą, na podstawie rozporządzenia (UE) 2018/1725 z potrzebą skutecznego wykonywania przez Komisję jej zadań w zakresie zapewnienia bezpieczeństwa IT osób, mienia i informacji w Komisji na podstawie decyzji (UE, Euratom) 2017/46, a także z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 ust. 1 rozporządzenia (UE) 2018/1725 uprawnia Komisję do ograniczenia zastosowania art. 14-17, 19, 20 i 35 tego rozporządzenia, a także zasady przejrzystości określonej w jego art. 4 ust. 1 lit. a), o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-17, 19 i 20 tego rozporządzenia.
(6) Niniejsza decyzja powinna mieć zastosowanie do wszystkich operacji przetwarzania danych przeprowadzanych przez Komisję jako administratora danych w ramach wykonywania jej zadań polegających na zapewnieniu bezpieczeństwa IT osób, mienia i informacji w Komisji zgodnie z decyzją (UE, Euratom) 2017/46. W związku z tym powinna ona dotyczyć osób, których dotyczą dane należące do kategorii danych osobowych objętych wszystkimi tymi operacjami przetwarzania, tj. osób, które wchodzą w interakcję z dowolnymi systemami teleinformatycznymi Komisji.
(7) Dane osobowe są przechowywane w zabezpieczonym środowisku elektronicznym w celu zapobieżenia bezprawnemu dostępowi do danych osobom spoza Komisji. Do różnych operacji przetwarzania mają zastosowanie różne okresy zatrzymywania danych, w zależności od rodzaju danych osobowych. Kwestię zatrzymywania dokumentacji w Komisji reguluje wspólny wykaz zatrzymywanych danych na poziomie Komisji (SEC(2019) 900), dokument regulacyjny w formie harmonogramu, w którym określono okresy zatrzymywania różnych rodzajów dokumentacji Komisji w celu ograniczenia zatrzymywania danych do tego, co jest konieczne.
(8) Komisja może być zmuszona do ograniczenia stosowania praw osób, których dane dotyczą, w celu ochrony swojego bezpieczeństwa wewnętrznego zgodnie z art. 25 ust. 1 lit. d) rozporządzenia (UE) 2018/1725 (tj. w celu zachowania poufności, integralności i dostępności swoich systemów teleinformatycznych oraz zbiorów danych, które są w nich przetwarzane, swojego mienia i informacji). W szczególności Komisja może być zmuszona do uczynienia tego podczas:
- przekazywania alarmów i ostrzeżeń dotyczących zdarzeń i incydentów związanych z bezpieczeństwem IT,
- reagowania na zdarzenia i incydenty związane z bezpieczeństwem IT oraz ich opanowania; ułatwiania dostępu do narzędzi i działań poprzez audyty bezpieczeństwa, oceny bezpieczeństwa i zarządzanie lukami w zabezpieczeniach,
- zwiększania świadomości pracowników Komisji w dziedzinie cyberbezpieczeństwa,
- monitorowania i wykrywania zdarzeń i incydentów związanych z bezpieczeństwem IT oraz zapobiegania im,
- dokonywania przeglądu kont użytkowników uprzywilejowanych.
(9) Do celów postępowania w przypadku incydentów związanych z bezpieczeństwem IT, o których mowa w art. 15 decyzji (UE, Euratom) 2017/46, Dyrekcja Generalna ds. Informatyki może wymieniać informacje z zespołem reagowania na cyberataki Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa.
(10) Aby zapewnić zgodność z art. 14-16 rozporządzenia (UE) 2018/1725, Komisja powinna informować wszystkie osoby fizyczne o działaniach, które wiążą się z przetwarzaniem ich danych osobowych i które mają wpływ na ich prawa. Powinna to uczynić w sposób przejrzysty i spójny, publikując na stronie internetowej Komisji notę o ochronie danych. W stosownych przypadkach Komisja powinna wprowadzić dodatkowe środki ochronne, aby indywidualnie i w odpowiedni sposób poinformować osoby, których dane dotyczą.
(11) Zastosowanie się do art. 14-16 rozporządzenia (UE) 2018/1725 ustanowionych na podstawie art. 15 decyzji (UE, Euratom) 2017/46 mogłoby ujawnić istnienie środków bezpieczeństwa IT, luk w zabezpieczeniach lub incydentów. Ujawnienie tych środków bezpieczeństwa IT, luk w zabezpieczeniach i incydentów zwiększa ryzyko obejścia ujawnionego środka bezpieczeństwa IT, wykorzystania ujawnionej luki oraz możliwości podważenia trwającej analizy incydentów związanych z bezpieczeństwem IT, ponieważ użytkownik lub podmiot działający w złych zamiarach mógłby przypadkowo lub celowo manipulować artefaktami. Mogłoby to poważnie zaszkodzić zdolności Komisji do zapewnienia bezpieczeństwa swoich systemów IT, a w szczególności do skutecznego reagowania w przyszłości na incydenty związane z bezpieczeństwem IT.
(12) Na podstawie art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725 Komisja jest również uprawniona do ograniczenia stosowania praw osób, których dane dotyczą, w celu ochrony praw i wolności innych osób w związku ze zdarzeniami związanymi z bezpieczeństwem IT, które mogłyby zagrozić działaniom w zakresie bezpieczeństwa IT.
(13) Komisja może również być zmuszona do ograniczenia udzielania informacji osobom, których dane dotyczą, i ograniczenia stosowania innych praw tych osób w odniesieniu do danych osobowych otrzymywanych od państw niebę- dącymi członkiem UE lub organizacji międzynarodowych, aby wywiązać się z obowiązku współpracy z tymi państwami lub organizacjami. Stanowi to część spoczywającego na Komisji obowiązku ochrony ważnego celu leżącego w ogólnym interesie publicznym UE, o którym mowa w art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. W pewnych okolicznościach konieczność ochrony praw podstawowych osoby, której dane dotyczą, może jednak przeważać nad interesem współpracy międzynarodowej.
(14) W związku z tym Komisja określiła powody wymienione w art. 25 ust. 1 lit. c), d) i h) rozporządzenia (UE) 2018/1725 jako podstawę ograniczeń, których zastosowanie może być konieczne do operacji przetwarzania danych przeprowadzanych przez Dyrekcję Generalną ds. Informatyki w związku z realizacją działań i usług związanych z bezpieczeństwem IT na rzecz Komisji.
(15) Wszelkie ograniczenia, stosowane na podstawie niniejszej decyzji, powinny być konieczne i proporcjonalne, biorąc pod uwagę zagrożenia dla praw i wolności osób, których dane dotyczą.
(16) Komisja powinna rozpatrywać wszystkie ograniczenia w sposób przejrzysty i każde zastosowanie ograniczeń odnotować w odpowiednim systemie rejestracji.
(17) Na podstawie art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administratorzy danych mogą wstrzymać przekazanie informacji, pominąć je lub go odmówić w oparciu o powody zastosowania ograniczenia w stosunku do osoby, której dane dotyczą, jeżeli przekazanie tych informacji mogłoby w jakikolwiek sposób podważyć skutek tego ograniczenia. Dotyczy to w szczególności ograniczeń obowiązków przewidzianych w art. 16 i 35 rozporządzenia (UE) 2018/1725. Komisja powinna regularnie dokonywać przeglądu nałożonych ograniczeń w celu zapewnienia, aby prawa osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 były ograniczone tylko tak długo, jak długo takie ograniczenia są konieczne, aby umożliwić Komisji zapewnienie swojego bezpieczeństwa systemów IT i w szczególności zajęcie się incydentami związanymi z bezpieczeństwem IT.
(18) W przypadku gdy Komisja ogranicza stosowanie praw osób, których dane dotyczą, innych niż te, o których mowa w art. 16 i 35 rozporządzenia (UE) 2018/1725, administrator danych powinien ocenić w poszczególnych przypadkach, czy powiadomienie o ograniczeniu naruszyłoby cel ograniczenia.
(19) Inspektor ochrony danych Komisji powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją.
(20) Aby umożliwić Komisji natychmiastowe ograniczenie stosowania niektórych praw i obowiązków zgodnie z art. 25 rozporządzenia (UE) 2018/1725, niniejsza decyzja powinna wejść w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
(21) Europejski Inspektor Ochrony Danych wydał opinię w dniu 16 września 2021 r.,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
W imieniu Komisji | |
Ursula VON DER LEYEN | |
Przewodnicząca |