Decyzja 4/2022 ustanawiająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działań i procedur prowadzonych przez Komitet Regionów
Dz.U.UE.L.2022.84.44
Akt obowiązującyDECYZJA PREZYDIUM KOMITETU REGIONÓW nr 4/2022
z dnia 25 stycznia 2022 r.
ustanawiająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działań i procedur prowadzonych przez Komitet Regionów
(Dz.U.UE L z dnia 11 marca 2022 r.)
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej 1 , w szczególności jego art. 306,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 2 (zwane dalej "rozporządzeniem" lub "EUDPR"), w szczególności jego art. 25,
uwzględniając regulamin wewnętrzny Europejskiego Komitetu Regionów 3 , w szczególności jego art. 37 lit. d),
uwzględniając opinię D(2021) 0894 (sprawa 2021-0345) Europejskiego Inspektora Ochrony Danych (zwanego dalej "EIOD") z dnia 20 kwietnia 2021 r., z którym skonsultowano się zgodnie z art. 41 ust. 2 EUDPR,
a także mając na uwadze, co następuje:
(1) Zgodnie z art. 3 pkt 1 EUDPR wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (zwanej dalej "osobą, które dane dotyczą") należy uznać za dane osobowe.
(2) Rozporządzenie ma zastosowanie do Komitetu Regionów (zwanego dalej "Komitetem"), tak samo jak do każdej instytucji Unii, w związku z przetwarzaniem danych osobowych w kontekście prowadzonych przez niego działań i procedur.
(3) Administratorem w rozumieniu art. 3 pkt 8 EUDPR jest Komitet, który może przekazywać odpowiedzialność za określanie celów i sposobów przetwarzania danych osobowych.
(4) Zgodnie z art. 45 ust. 3 EUDPR Prezydium Komitetu Regionów (zwane dalej "Prezydium") przyjęło przepisy wykonawcze 4 dotyczące rozporządzenia oraz inspektora ochrony danych Komitetu. Zgodnie z tymi przepisami jednostka organizacyjna (dyrekcja, dział lub sektor) Sekretariatu Generalnego Komitetu lub sekretariatu jednej z grup politycznych w Komitecie, samodzielnie lub łącznie z innymi określająca cele i sposoby przetwarzania danych osobowych, powinna, w odniesieniu do tych danych, działać w imieniu Komitetu jako administrator delegowany.
(5) Komitet i Europejski Komitet Ekonomiczno-Społeczny (zwany dalej "EKES-em") mają wspólne niektóre jednostki organizacyjne i zasoby (zwane dalej "Służbami Wspólnymi") w kontekście współpracy międzyinstytucjonalnej, a mające zastosowanie przepisy wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Służby Wspólne należy określić zgodnie z poczynionymi w tym celu ustaleniami między Komitetem a EKES-em.
(6) Aby wypełniać zadania Komitetu, administratorzy danych gromadzą i przetwarzają informacje oraz kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat prywatnych i zawodowych zachowania i wyników, a także dane finansowe. Na mocy rozporządzenia administratorzy danych są zatem zobowiązani do informowania osób, których dane dotyczą, o wykonywanych przez nich czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą.
(7) Administratorzy danych mogą być zobowiązani do pogodzenia tych praw z celami badań, dochodzeń, weryfikacji, działań, audytów i postępowań prowadzonych w ramach Komitetu. Może spoczywać na nich również wymóg zapewnienia równowagi między prawami danej osoby, której dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 ust. 1 EUDPR administratorzy danych mają możliwość ograniczenia stosowania art. 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 i 36 EUDPR, a także art. 4 EUDPR, o ile jego przepisy odpowiadają prawom i obowiązkom określonym w art. 14-22 EUDPR.
(8) Administratorzy danych powinni stosować ograniczenia tylko wtedy, gdy nie naruszają one istoty podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym.
(9) Administratorzy danych powinni przedstawić powody uzasadniające zastosowanie tych ograniczeń i prowadzić rejestr stosowania przez nich ograniczeń praw osób, których dane dotyczą.
(10) Administratorzy danych powinni znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających to ograniczenie. Powinni przeprowadzać regularne oceny tych warunków.
(11) Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, należy w odpowiednim czasie konsultować się w sprawie wszelkich ewentualnych ograniczeń z inspektorem ochrony danych, który powinien weryfikować ich zgodność z niniejszą decyzją.
(12) O ile w akcie prawnym przyjętym na podstawie Traktatów 5 nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których administratorzy danych są uprawnieni do ograniczania praw osób, których dane dotyczą.
(13) Niniejszej decyzji nie powinno stosować się w przypadku, gdy zastosowanie ma jeden z wyjątków, o których mowa w art. 15 ust. 4 i art. 16 ust. 5 EUDPR w odniesieniu do informacji podawanych osobie, której dane dotyczą,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
W imieniu Prezydium Komitetu Regionów | |
Przewodniczący | |
Apostolos TZITZIKOSTAS |