Decyzja 28/2022 w sprawie wewnętrznych zasad dotyczących ograniczania niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Europejską Agencję Straży Granicznej i Przybrzeżnej

Dzienniki UE

Dz.U.UE.L.2022.138.45

Akt obowiązujący
Wersja od: 17 maja 2022 r.

DECYZJA ZARZĄDU nr 28/2022
z dnia 4 kwietnia 2022 r.
w sprawie wewnętrznych zasad dotyczących ograniczania niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Europejską Agencję Straży Granicznej i Przybrzeżnej

ZARZĄD,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1  (zwane dalej "rozporządzeniem"), w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1896 z dnia 13 listopada 2019 r. w sprawie Europejskiej Straży Granicznej i Przybrzeżnej oraz uchylenia rozporządzeń (UE) nr 1052/2013 i (UE) 2016/1624 2  (zwane dalej "rozporządzeniem w sprawie Europejskiej Straży Granicznej i Przybrzeżnej"), w szczególności jego art. 86 ust. 2,

po konsultacji z Europejskim Inspektorem Ochrony Danych 16 listopada 2021 r.,

a także mając na uwadze, co następuje:

(1) Europejska Agencja Straży Granicznej i Przybrzeżnej ("Agencja") jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań dotyczących zawieszania, zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej, ustanowionymi rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 3  ("regulamin pracowniczy"), i z decyzją zarządu nr 26/2018 z dnia 25 października 2018 r. ustanawiającą przepisy wykonawcze w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych. Jeżeli jest to wymagane, powiadamia ona również OLAF.

(2) Pracownicy Agencji zobowiązani są do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne niedopełnienie obowiązków urzędników Unii. Kwestię tę reguluje decyzja zarządu nr 17/2019 z dnia 18 lipca 2019 r. ustanawiająca wytyczne Fronteksu w sprawie informowania o nieprawidłowościach.

(3) Agencja opracowała politykę zapobiegania i skutecznego postępowania w przypadku faktycznego lub potencjalnego mobbingu lub molestowania seksualnego w miejscu pracy, zgodnie z decyzją zarządu nr 16/2019 z dnia 18 lipca 2019 r. ustanawiającą środki wykonawcze stosownie do regulaminu pracowniczego. W decyzji tej ustanowiono nieformalną procedurę, w ramach której osoba będąca domniemaną ofiarą nękania może skontaktować się z zaufanymi doradcami Agencji.

(4) Agencja może również prowadzić dochodzenia w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE ("EUCI") na podstawie przepisów bezpieczeństwa dotyczących ochrony EUCI.

(5) Agencja podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań, w tym audytom przeprowadzanym przez Europejski Trybunał Obrachunkowy. Audyty wewnętrzne przeprowadza jednostka audytu wewnętrznego Agencji utworzona decyzją zarządu nr 43/2020 z dnia 9 grudnia 2020 r. ustanawiającą zmienioną strukturę organizacyjną Agencji oraz odpowiednią decyzją dyrektora wykonawczego zgodnie z art. 80 decyzji zarządu nr 19/2019 z dnia 23 lipca 2019 r. ustanawiającą rozporządzenie finansowe Fronteksu.

(6) Agencja rozpatruje skargi zewnętrzne, zwłaszcza skargi otrzymane w kontekście mechanizmu skargowego utworzonego zgodnie z art. 111 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej w celu monitorowania i zapewnienia poszanowania praw podstawowych we wszystkich działaniach Agencji.

(7) Uczestnicy działań Fronteksu mają obowiązek zgłaszania poważnych zdarzeń zgodnie z art. 38 ust. 3 lit. h) rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej i decyzją dyrektora wykonawczego z dnia 19 kwietnia 2021 r. w sprawie obowiązującej procedury działania (SOP) - zgłoszenia dotyczące poważnych zdarzeń 4 . Agencja ustanowiła również odpowiedni mechanizm nadzorczy w celu monitorowania stosowania zasad rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej dotyczących użycia siły przez personel statutowy, w tym przepisów dotyczących sprawozdawczości i środków szczególnych, w tym środków o charakterze dyscyplinarnym, w odniesieniu do użycia siły podczas rozmieszczeń. Kwestię tę reguluje decyzja zarządu nr 7/2021 z dnia 20 stycznia 2021 r. ustanawiająca mechanizm nadzorczy w celu monitorowania stosowania zasad dotyczących użycia siły przez personel statutowy w stałej służbie Europejskiej Straży Granicznej i Przybrzeżnej. Agencja monitoruje również użycie siły przez personel oddelegowany do Agencji przez państwa członkowskie na długi okres, personel zapewniany przez państwa członkowskie na potrzeby krótkoterminowych rozmieszczeń oraz personel wchodzący w skład rezerwy szybkiego reagowania do celów szybkich interwencji na granicy, w ramach stosowania siły w działaniach operacyjnych Fronteksu zgodnie z odpowiednią decyzją dyrektora wykonawczego.

(8) W kontekście takich dochodzeń administracyjnych, audytów, rozpatrywania skarg i prowadzenia postępowań, zgłaszania poważnych zdarzeń i prowadzenia działań w zakresie monitorowania Agencja współpracuje z właściwymi organami państw członkowskich 5  oraz innymi instytucjami, organami i jednostkami organizacyjnymi Unii.

(9) Agencja może współpracować z właściwymi organami państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy.

(10) Agencja angażuje się w sprawy przed Trybunałem Sprawiedliwości Unii Europejskiej i sądami krajowymi, w przypadku gdy kieruje kwestię do Trybunału, broni podjętej przez siebie decyzji, którą zaskarżono przed Trybunałem, albo interweniuje w sprawach istotnych dla jej zadań. W tym kontekście Agencja może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów.

(11) Aby wywiązać się ze swoich zadań, Agencja gromadzi i przetwarza informacje i kilka kategorii danych osobowych, w tym dane dotyczące tożsamości osób fizycznych, informacje kontaktowe, służbowe role i zadania, informacje na temat prywatnego i zawodowego zachowania oraz prywatnych i zawodowych wyników, a także dane finansowe. Agencja działa zatem w charakterze administratora danych.

(12) Na mocy rozporządzenia Agencja jest zatem zobowiązana do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą.

(13) Agencja może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń, zgłaszania poważnych zdarzeń i monitorowania stosowania przepisów rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej dotyczących użycia siły oraz postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osób, których dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 rozporządzenia i art. 86 ust. 2 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej Agencja ma możliwość ograniczenia na określonych warunkach stosowania art. 14-22, 35 i 36 rozporządzenia, a także jego art. 4, o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. O ile w akcie prawnym przyjętym na podstawie Traktatów nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których Agencja jest uprawniona do ograniczania tych praw.

(14) Agencja może np. potrzebować ograniczyć informacje, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych podczas etapu wstępnej oceny dochodzenia administracyjnego lub podczas samego dochodzenia, przed możliwym umorzeniem sprawy lub na etapie postępowania przeddyscyplinarnego, lub też w sytuacji, w której osoba, której dane dotyczą, może potencjalnie podlegać środkom szczególnym, w tym środkom o charakterze dyscyplinarnym, w odniesieniu do użycia siły podczas rozmieszczeń. W pewnych okolicznościach udzielenie takich informacji może poważnie wpłynąć na zdolność Agencji do skutecznego prowadzenia dochodzenia lub skutecznej realizacji funkcji monitorowania użycia siły zawsze, gdy na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub wpływać na potencjalnych świadków przed ich przesłuchaniem.

(15) Agencja może być również zobowiązana do ochrony praw i wolności świadków, a także innych zaangażowanych osób. Podobnie Agencja może potrzebować ograniczyć informacje, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych, jeżeli udzielenie tych informacji może mieć poważny wpływ na etap oceny i walidacji procesu zgłaszania poważnych zdarzeń zgodnie z art. 38 ust. 3 lit. h) rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej.

(16) Konieczna może być ochrona anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Agencja może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności. W szczególności Agencja może być zobowiązana do ochrony anonimowości świadków lub innych osób zgłaszających zdarzenia z użyciem siły zgodnie z mechanizmem nadzorczym służącym do monitorowania stosowania przepisów rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej dotyczących użycia siły. Podobnie w kontekście zgłaszania poważnych zdarzeń zgodnie z art. 38 ust. 3 lit. h) rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej Agencja może być zobowiązana do ochrony anonimowości uczestników działania Fronteksu, którzy zgłosili takie zdarzenie.

(17) Może zaistnieć konieczność ochrony poufnych informacji dotyczących pracownika, który skontaktował się z zaufanymi doradcami Agencji. W takich przypadkach Agencja może potrzebować ograniczyć dostęp do danych dotyczących tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy i innych zaangażowanych osób w celu ochrony praw i wolności wszystkich osób, których ta sprawa dotyczy.

(18) Agencja przetwarza dane osobowe personelu statutowego dotyczące sprawności fizycznej i psychicznej, w tym w razie potrzeby do celów upoważnienia do noszenia i używania broni zgodnie z art. 82 ust. 7 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej i decyzji zarządu nr 3/2021 z dnia 15 stycznia 2021 r. 6 . Zważywszy, że dane medyczne stanowią dane wrażliwe oraz aby chronić osobę, której dane dotyczą, przed bezpośrednim dostępem do dokumentacji, który może być szkodliwy dla stanu jej zdrowia fizycznego i psychicznego, Agencja udziela pośredniego dostępu do odpowiednich informacji medycznych za pośrednictwem doradcy medycznego Agencji lub zewnętrznego świadczeniodawcy w zakresie stosowanych informacji i porad medycznych.

(19) Agencja powinna stosować ograniczenia tylko wtedy, gdy szanują istotę podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. Agencja powinna przedstawić przyczyny stanowiące uzasadnienie tych ograniczeń.

(20) Zgodnie z zasadą rozliczalności Agencja powinna prowadzić rejestr stosowania ograniczeń.

(21) Przy przetwarzaniu danych osobowych wymienianych z innymi organizacjami w ramach wykonywania swoich zadań Agencja i te organizacje powinny konsultować się ze sobą w sprawie możliwych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności Agencji.

(22) Art. 25 ust. 6 rozporządzenia zobowiązuje administratora danych do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD.

(23) Zgodnie z art. 25 ust. 8 rozporządzenia Agencja ma prawo wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia, pominąć je lub go odmówić, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja powinna ocenić indywidualnie, czy powiadomienie o ograniczeniu anulowałoby jego skutek.

(24) Agencja powinna znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie oceniać te warunki.

(25) W celu zagwarantowania jak największej ochrony praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, należy skonsultować z inspektorem ochrony danych Agencji w odpowiednim czasie wszelkie ograniczenia, które mogą być zastosowane, i zweryfikować ich zgodność z niniejszą decyzją.

(26) Agencja określiła odrębne zasady dotyczące przetwarzania operacyjnych danych osobowych, zgodnie z art. 90 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej, w tym szczególne zasady wewnętrzne dotyczące zatrzymywania operacyjnych danych osobowych i zasady dotyczące ograniczeń mających zastosowanie do stosownych praw osób, których dane dotyczą 7 ,

STANOWI, CO NASTĘPUJE:

Artykuł  1

Przedmiot, zakres stosowania i administracja

1. 
W niniejszej decyzji ustanawia się zasady dotyczące warunków, na jakich Agencja może ograniczyć stosowanie art. 4, 14-22, 35 i 36 rozporządzenia na podstawie art. 25 tego rozporządzenia i art. 86 ust. 2 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej.

Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Agencję do celów zadań administracyjnych zgodnie z art. 87 ust. 1 lit. h) rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej.

2. 
Zgodnie z ust. 1 i z zastrzeżeniem warunków określonych w niniejszej decyzji ograniczenia można stosować w odniesieniu do następujących praw: prawa do udzielania informacji osobom, których dane dotyczą, praw osoby, której dane dotyczą, do dostępu, sprostowania, usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawa do poufności łączności elektronicznej.
3. 
Kategorie danych osobowych, których dotyczy niniejsza decyzja, obejmują kategorię "obiektywnych/twardych danych" (np. dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane o ruchu) oraz kategorię "subiektywnych/miękkich danych" (np. dane związane z tokiem rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu oraz dane dotyczące przedmiotu danej procedury lub czynności lub przedstawione w związku z przedmiotem danej procedury lub czynności).
4. 
Agencję jako administratora reprezentuje dyrektor wykonawczy. Zastosowanie mają przepisy Agencji w sprawie wykonania rozporządzenia w odniesieniu do administracji danych 8 .
5. 
Osobom, których dane dotyczą, przekazuje się informacje na temat wyznaczonych administratorów za pomocą informacji lub wpisów publikowanych na stronie internetowej lub w intranecie Agencji.
Artykuł  2

Ograniczenia

1. 
Agencja może ograniczyć stosowanie art. 14-22, 35 i 36 rozporządzenia, a także jego art. 4 - o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - w kontekście celu przetwarzania danych osobowych wskazanego w art. 1 ust. 1 niniejszej decyzji:
a)
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia, gdy prowadzi dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne lub postępowania dotyczące zawieszenia na podstawie art. 86 regulaminu pracowniczego i załącznika IX do regulaminu pracowniczego oraz decyzji zarządu nr 26/2018 z dnia 25 października 2018 r. ustanawiającej ogólne przepisy wykonawcze w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych, gdy zgłasza sprawy do OLAF, oraz zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, gdy inspektor ochrony danych rozpatruje sprawy bezpośrednio związane z jego zadaniami, w szczególności gdy prowadzi dochodzenia dotyczące działań w zakresie przetwarzania danych realizowanych przez Agencję zgodnie z art. 5 ust. 11 decyzji zarządu nr 56/2021 z dnia 15 października 2021 r. 9 . Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące pracownikowi, danej osobie fizycznej lub osobie trzeciej w odniesieniu do wszelkich informacji, które mogą mieć poważny wpływ na przyszłe lub trwające dochodzenia, postępowania przed- dyscyplinarne, dyscyplinarne i postępowania dotyczące zawieszenia, w tym oświadczeń świadków i innych dokumentów;
b)
zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, gdy zapewnia, aby pracownicy Agencji mogli zgłaszać fakty z zachowaniem poufności, gdy uważają, że występują poważne nieprawidłowości, jak określono w decyzji zarządu nr 17/2019 z dnia 18 lipca 2019 r. ustanawiającej wytyczne Fronteksu dotyczące informowania o nieprawidłowościach. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące osobom, których dane dotyczą i które potencjalnie mogą być zamieszane w domniemane nadużycia, w odniesieniu do wszelkich informacji, które mogą naruszyć anonimowość osoby zgłaszającej poważną nieprawidłowość;
c)
zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, gdy zapewnia, aby pracownicy Agencji mogli korzystać ze wsparcia zaufanych doradców, jak określono w decyzji zarządu nr 16/2019 z dnia 18 lipca 2019 r. w sprawie polityki Fronteksu dotyczącej ochrony godności osoby i zapobiegania mobbingowi i molestowaniu seksualnemu. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące domniemanym sprawcom, w stosownych przypadkach, aby chronić anonimowość potencjalnej ofiary nękania i anonimowość świadków;
d)
zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, gdy prowadzi audyty wewnętrzne i zewnętrzne w związku z działaniami lub służbami Agencji, w szczególności jeżeli audyty wewnętrzne przeprowadza jednostka audytu wewnętrznego Agencji. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2, przysługujące osobom, których dane dotyczą, w odniesieniu do informacji, które mogą naruszyć poufność informacji gromadzonych w ramach audytu lub naruszać przebieg trwającego audytu;
e)
zgodnie z art. 25 ust. 1 lit. b),e), g) i h) rozporządzenia, w kontekście dochodzeń prowadzonych przez Prokuraturę Europejską (EPPO). Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące osobom, których dane dotyczą, w odniesieniu do informacji niezbędnych do zapewnienia prawidłowego przebiegu i poufności dochodzeń prowadzonych przez EPPO;
f)
zgodnie z art. 25 ust. 1 lit. c), e), g) i h) rozporządzenia, gdy rozpatruje skargi, w tym skargi otrzymane przez Agencję w kontekście mechanizmu skargowego utworzonego zgodnie z art. 111 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej w celu monitorowania i zapewnienia poszanowania praw podstawowych we wszystkich działaniach Agencji oraz odpowiednią decyzją dyrektora wykonawczego. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące pracownikowi uczestniczącemu w danym działaniu Agencji 10 , którego to pracownika dotyczy skarga, w odniesieniu do wszelkich informacji, które mogą mieć poważny wpływ na weryfikację i rozpatrzenie skargi;
g)
zgodnie z art. 25 ust. 1 lit. c), e), g) i h) rozporządzenia, gdy rozpatruje zgłoszenia dotyczące poważnych zdarzeń zgodnie z art. 38 ust. 3 lit. h) rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej i decyzją dyrektora wykonawczego z dnia 19 kwietnia 2021 r. w sprawie obowiązującej procedury działania (SOP) - zgłoszenia dotyczące poważnych zdarzeń. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące osobom, których dane dotyczą, wymienionym w zgłoszeniu dotyczącym poważnego zdarzenia w odniesieniu do wszelkich informacji, które mogą mieć poważny wpływ na walidację i ocenę danego zgłoszenia dotyczącego poważnego zdarzenia, a także na działania następcze i anonimowość świadków lub innych osób zgłaszających zdarzenia, w tym migrantów i osób powracających;
h)
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia, gdy monitoruje stosowanie zasad dotyczących użycia siły przez personel statutowy w stałej służbie Europejskiej Straży Granicznej i Przybrzeżnej na podstawie art. 55 ust. 5 lit. a) rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej i decyzji zarządu nr 7/2021 z dnia 20 stycznia 2021 r. oraz gdy monitoruje użycie siły przez personel oddelegowany do Agencji przez państwa członkowskie na długi okres, personel zapewniany przez państwa członkowskie na potrzeby krótkoterminowych rozmieszczeń oraz personel wchodzący w skład rezerwy szybkiego reagowania do celów szybkich interwencji na granicy, w ramach stosowania siły w działaniach operacyjnych Fronteksu zgodnie z odpowiednią decyzją dyrektora wykonawczego. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące osobom, których dane dotyczą, wymienionym w zgłoszeniu dotyczącym użycia siły w odniesieniu do informacji (w tym oświadczeń świadków i innych dokumentów), które mogą mieć poważny wpływ na weryfikację zgłoszenia oraz wszelkie przyszłe lub trwające działania następcze, w tym dochodzenia, postępowania przeddyscyplinarne, dyscyplinarne i postępowania dotyczące zawieszenia;
i)
zgodnie z art. 25 ust. 1 lit. b), c), d), g) i h) rozporządzenia, gdy udziela pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymuje od nich pomoc, lub współpracuje z nimi w kontekście działań prowadzonych na podstawie lit. a)-h) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i uzgodnieniami roboczymi;
j)
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia, gdy udziela pomocy właściwym organom krajowym państw członkowskich lub otrzymuje od nich pomoc, lub współpracuje z nimi, na ich wniosek albo z własnej inicjatywy, zwłaszcza w kontekście działań przewidzianych w lit. f)-h) tego ustępu i na podstawie przepisów rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej i decyzji zarządu;
k)
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia, gdy udziela pomocy właściwym organom krajowym państw trzecich i organizacjom międzynarodowym lub otrzymuje od nich pomoc, lub współpracuje z takimi organami i organizacjami, zwłaszcza na podstawie odpowiednich protokołów ustaleń i porozumień roboczych;
l)
zgodnie z art. 25 ust. 1 lit. e) rozporządzenia, gdy przetwarza dane osobowe w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej lub krajowymi sądami lub trybunałami;
m)
zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, gdy przetwarza wnioski pracowników o dostęp do ich dokumentacji medycznej dotyczącej ich sprawności fizycznej i psychicznej, jeżeli bezpośredni dostęp do tej dokumentacji może być szkodliwy dla danej osoby, której dane dotyczą, mając na uwadze jej zdrowie fizyczne lub psychiczne. W takich przypadkach Agencja udziela pośredniego dostępu do odpowiednich informacji medycznych za pośrednictwem doradcy medycznego Agencji lub zewnętrznego świadczeniodawcy;
n)
zgodnie z art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia, gdy przeprowadza analizy bezpieczeństwa, które mogą skutkować dochodzeniami wewnętrznymi dotyczącymi cyberincydentów lub nadużyć systemów informatycznych, w tym z udziałem CERT-EU, gdy zapewnia bezpieczeństwo wewnętrzne za pomocą monitoringu wizyjnego, kontroli dostępu i dochodzeń, zabezpiecza systemy teleinformatyczne oraz stosuje techniczne środki zaradcze dotyczące bezpieczeństwa. Agencja może ograniczyć niektóre prawa, o których mowa w art. 1 ust. 2 niniejszej decyzji, przysługujące osobom, których dane dotyczą, w odniesieniu do informacji, które mogą mieć poważny wpływ na takie analizy bezpieczeństwa, środki zapewnienia bezpieczeństwa wewnętrznego, w tym kontrolę dostępu, postępowania sprawdzające oraz techniczne środki zaradcze dotyczące bezpieczeństwa.
2. 
Wszelkie ograniczenia respektują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym.
3. 
Badanie konieczności i analizę proporcjonalności przeprowadza się indywidualnie dla każdego przypadku przed wprowadzeniem ograniczeń. Ograniczenia nie mogą wykraczać poza to, co jest ściśle niezbędne do osiągnięcia ich celu.
4. 
Do celów rozliczalności Agencja prowadzi rejestr opisujący przyczyny zastosowanych ograniczeń, mające zastosowanie przesłanki z ust. 1, jak również wynik testu konieczności i proporcjonalności. Dokumentacja ta stanowi część rejestru, który jest udostępniany na wniosek EIOD. Agencja przygotowuje i podaje do wiadomości publicznej sprawozdania okresowe dotyczące stosowania art. 25 rozporządzenia.
5. 
Przetwarzając dane osobowe otrzymane od innych organizacji w ramach wykonywania swoich zadań, Agencja konsultuje się z tymi organizacjami w sprawie możliwych powodów nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagrażałoby to działalności Agencji.
Artykuł  3

Zagrożenia dla praw i wolności osób, których dane dotyczą

1. 
Oceny ryzyka dla praw i wolności osób, których dane dotyczą, wynikające z nałożenia ograniczeń oraz szczegóły dotyczące okresu stosowania tych ograniczeń są zamieszczane w rejestrze czynności przetwarzania prowadzonym przez Agencję na podstawie art. 31 rozporządzenia. Należy je również zamieszczać we wszelkich ocenach skutków dla ochrony danych dotyczących tych ograniczeń, prowadzonych na podstawie art. 39 rozporządzenia.
2. 
Ilekroć Agencja ocenia konieczność i proporcjonalność ograniczenia, uwzględnia potencjalne zagrożenia dla praw i wolności osoby, której dane dotyczą.
3. 
Ograniczeń nie stosuje się, gdy wykonanie ograniczonego prawa skutkowałoby brakiem celowości tego ograniczenia lub miałoby negatywny wpływ na prawa lub wolności innych osób, których dane dotyczą.
Artykuł  4

Zabezpieczenia i okresy przechowywania

1. 
Agencja wdraża zabezpieczenia, aby zapobiegać nadużyciom i niezgodnemu z prawem dostępowi do danych osobowych, względem których stosuje się lub można zastosować ograniczenia, lub niezgodnemu z prawem przekazywaniu takich danych. Takie zabezpieczenia obejmują środki techniczne i organizacyjne oraz są w razie potrzeby wyszczególnione w decyzjach zarządu Agencji, decyzjach dyrektora wykonawczego, planach operacyjnych sporządzanych zgodnie z art. 38 rozporządzenia w sprawie Europejskiej Straży Granicznej i Przybrzeżnej, wewnętrznych decyzjach, procedurach i informacjach administracyjnych. Zabezpieczenia te obejmują:
a)
wyraźną definicję ról, obowiązków i etapów proceduralnych;
b)
w stosownych przypadkach bezpieczne środowisko elektroniczne, które zapobiega niezgodnemu z prawem i przypadkowemu dostępowi nieupoważnionych osób do danych elektronicznych lub ich przesyłowi do takich osób;
c)
w stosownych przypadkach bezpieczne przechowywanie i przetwarzanie dokumentów papierowych;
d)
należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania.

Przeglądy, o których mowa w lit. d), prowadzone są co najmniej raz na sześć miesięcy i mogą skutkować zniesieniem ograniczeń zgodnie z ust. 2. Do celów rozliczalności przeglądy dokumentuje wyznaczony administrator.

2. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie.
3. 
Dane osobowe są przechowywane zgodnie z mającymi zastosowanie przepisami dotyczącymi przechowywania Agencji, które mają być określone w rejestrach ochrony danych prowadzonych na podstawie art. 31 rozporządzenia. Na koniec okresu przechowywania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia.
Artykuł  5

Zaangażowanie inspektora ochrony danych

1. 
Inspektor ochrony danych jest niezwłocznie informowany za każdym razem, gdy ogranicza się prawa osoby, której dane dotyczą, zgodnie z niniejszą decyzją. Należy przyznać tej osobie dostęp do powiązanych rejestrów i wszelkich dokumentów dotyczących merytorycznego lub prawnego kontekstu.
2. 
Inspektor ochrony danych może złożyć wniosek o dokonanie przeglądu stosowania ograniczenia. Agencja informuje inspektora ochrony danych na piśmie o wyniku przeglądu.
3. 
Agencja dokumentuje zaangażowanie inspektora ochrony danych w stosowanie ograniczeń, w tym przekazane mu informacje.
4. 
Wyznaczeni administratorzy informują inspektora ochrony danych w przypadku zniesienia ograniczenia.
Artykuł  6

Informowanie osób, których dane dotyczą, o ograniczeniach dotyczących ich praw

1. 
Agencja włącza do not na temat ochrony danych, publikowanych na swojej stronie internetowej i w swoim intranecie sekcję, w której przedstawia osobom, których dane dotyczą, ogólne informacje na temat możliwości ograniczenia praw osób, których dane dotyczą, zgodnie z art. 2 ust. 1. W informacjach tych uwzględnia się, które prawa mogą być ograniczane, podstawy możliwego stosowania ograniczeń i ich możliwy okres obowiązywania.
2. 
Agencja informuje osoby, których dane dotyczą, indywidualnie, na piśmie i bez zbędnej zwłoki o trwających lub przyszłych ograniczeniach ich praw. Agencja informuje osobę, której dane dotyczą, o głównych powodach stanowiących podstawę zastosowania ograniczenia, o jej prawie do skonsultowania się z inspektorem ochrony danych w celu podważenia ograniczenia oraz o jej prawie do wniesienia skargi do EIOD.
3. 
Agencja może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny zasadności takiej decyzji dokonuje się indywidualnie dla każdego przypadku. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, Agencja przekazuje te informacje osobie, której dane dotyczą.
Artykuł  7

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

1. 
Jeżeli Agencja jest zobowiązana do zawiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia, może ona w wyjątkowych okolicznościach ograniczyć takie powiadomienia w całości lub w części. W zgłoszeniu dokumentuje powody takiego ograniczenia, podstawę prawną, na mocy art. 2, i ocenę jego konieczności i proporcjonalności. Zgłoszenie to przekazuje się EIOD w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. 
Jeżeli przyczyny ograniczenia przestają mieć zastosowanie, Agencja informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł  8

Poufność łączności elektronicznej

1. 
W wyjątkowych okolicznościach Agencja może ograniczyć prawo do poufności łączności elektronicznej na podstawie art. 36 rozporządzenia. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady 11 .
2. 
Jeżeli Agencja ogranicza prawo do poufności łączności elektronicznej, informuje daną osobę, której dane dotyczą, w odpowiedzi na jakikolwiek wniosek ze strony osoby, której dane dotyczą, o głównych powodach, na których opiera się zastosowanie ograniczenia, i o jej prawie do wniesienia skargi do EIOD.
3. 
Agencja może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny zasadności takiej decyzji dokonuje się indywidualnie dla każdego przypadku.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w drodze procedury pisemnej w dniu 4 kwietnia 2022 r.
W imieniu zarządu
Marko GAŠPERLIN
Przewodniczący
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 295 z 14.11.2019, s. 1.
3 Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
4 Decyzja dyrektora wykonawczego nr R-ED-2021-51 z dnia 19 kwietnia 2021 r. w sprawie obowiązującej procedury działania (SOP) - zgłoszenia dotyczące poważnych zdarzeń.
5 Do celów niniejszej decyzji termin "państwa członkowskie" obejmuje również państwa uczestniczące w odpowiednim rozwoju dorobku Schengen w rozumieniu Traktatu o funkcjonowaniu Unii Europejskiej i jego Protokołu (nr 19) w sprawie dorobku Schengen włączonego w ramy Unii Europejskiej.
6 Decyzja zarządu nr 3/2021 z dnia 15 stycznia 2021 r. ustanawiająca zasady dotyczące udzielania przez dyrektora wykonawczego upoważnienia personelowi statutowemu do noszenia i używania broni, w tym w zakresie obowiązkowej współpracy z właściwymi organami krajowymi, oraz zapewniająca dalsze przestrzeganie przez personel statutowy warunków wydawania takich upoważnień.
7 Decyzja zarządu nr 69/2021 z dnia 21 grudnia 2021 r. ustanawiająca zasady dotyczące przetwarzania operacyjnych danych osobowych przez Agencję.
8 Decyzja zarządu nr 56/2021 w dniu 15 października 2021 r. ustanawiająca zasady wykonawcze w sprawie stosowania rozporządzenia (UE) 2018/1725 dotyczące zadań, obowiązków i uprawnień inspektora ochrony danych, a także zasady dotyczące wyznaczonych administratorów w Fronteksie.
9 Decyzja zarządu nr 56/2021 z dnia 15 października 2021 r. ustanawiająca zasady wykonawcze w sprawie stosowania rozporządzenia (UE) 2018/1725 dotyczące zadań, obowiązków i uprawnień inspektora ochrony danych, a także zasady dotyczące wyznaczonych administratorów w Fronteksie.
10 "Personel uczestniczący w danym działaniu Agencji" oznacza członków zespołu, w tym własnych pracowników Agencji lub pracowników kategorii 2, 3 i 4 w stałej służbie.
11 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .