Decyzja określająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EDA

Dzienniki UE

Dz.U.UE.L.2020.109.28

Akt obowiązujący
Wersja od: 7 kwietnia 2020 r.

DECYZJA RADY STERUJĄCEJ EUROPEJSKIEJ AGENCJI OBRONY
z dnia 24 lutego 2020 r.
określająca przepisy wewnętrzne dotyczące ograniczeń określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EDA

RADA STERUJĄCA:

uwzględniając Traktat o Unii Europejskiej, w szczególności jego art. 42 i 45,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając decyzję Rady (WPZiB) 2015/1835 z dnia 12 października 2015 r. określającą statut, siedzibę i zasady funkcjonowania Europejskiej Agencji Obrony 2  (zwaną dalej "EDA"), w szczególności jej art. 31,

uwzględniając decyzję Rady Sterującej 2017/25 przyjmującą zmieniony regulamin wewnętrzny Rady Sterującej EDA, w szczególności jej art. 8,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 15 stycznia 2020 r. oraz wytyczne EIOD w sprawie art. 25 rozporządzenia (UE) 2018/1725 i przepisów wewnętrznych, oraz

po konsultacji z Komitetem Pracowniczym,

a także, mając na uwadze, co następuje:

(1) Europejska Agencja Obrony (EDA) prowadzi działalność zgodnie z decyzją (WPZiB) 2015/1835.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na przepisach wewnętrznych przyjętych przez EDA.

(3) Takie przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, których dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) EDA, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) W ramach swojej działalności administracyjnej EDA może prowadzić dochodzenia administracyjne i postępowania dyscyplinarne; prowadzić wstępne czynności związane z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF); nakładać ograniczenia w odniesieniu do niejawnych elementów działań ad hoc w kontekście decyzji 2015/1835; rozpatrywać sprawy związane ze zgłaszaniem przypadków naruszeń przez sygnalistów; przeprowadzać procedury podejmowane w przypadku nękania, rozpatrywać wewnętrzne i zewnętrzne skargi; prowadzić dochodzenia przez inspektora ochrony danych (IOD) zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725; prowadzić dochodzenia dotyczące wewnętrznego (informatycznego) bezpieczeństwa; prowadzić działania w celu ochrony innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii.

(6) EDA przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane o ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(7) EDA, reprezentowana przez dyrektora naczelnego, pełni rolę administratora danych niezależnie od dalszego delegowania roli administratora w ramach EDA dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(8) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacjach o ochronie danych lub rejestrach EDA.

(9) Przepisy wewnętrzne powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować pomoc i współpracę ze strony EDA udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(10) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, EDA przedstawia uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępuje z poszanowaniem istoty podstawowych praw i wolności.

(11) W ramach powyższego EDA podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania, prawem do usunięcia danych, prawem do ograniczenia przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1728.

(12) EDA może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(13) EDA może zatem ograniczyć informacje dla celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

(14) EDA powinna okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, jeśli nie można stwierdzić ich występowania.

(15) Administrator danych powinien poinformować inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące warunków, w których EDA w ramach własnych procedur określonych w ust. 2, może zgodnie z art. 25 rozporządzenia (UE) 2018/1725 ograniczyć stosowanie praw przewidzianych w art. 14- 21, 35 i 36, jak również art. 4;
2. 
W ramach działalności administracyjnej EDA, niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych prowadzonych przez EDA na potrzeby: przeprowadzania dochodzeń administracyjnych, postępowań dyscyplinarnych, prowadzenia czynności wstępnych dotyczących przypadków potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, przeprowadzania procedur podejmowanych w przypadku nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego.
3. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane o ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
EDA, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: udzielania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.
Artykuł  2

Zabezpieczenia

1. 
Zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu są następujące:
a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa EDA, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. Odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
bazy danych 3  są chronione hasłem w ramach systemu indywidualnego logowania i łączy się automatycznie z identyfikatorem i hasłem użytkownika. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;
d)
wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
2. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych lub rejestrach, o których mowa w art. 5 ust. 1.
3. 
W przypadku gdy EDA rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku śledztw lub procedur EDA przykładowo ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Określenie administratora

1. 
Administratorem operacji przetwarzania danych jest EDA, reprezentowana przez dyrektora naczelnego, który może dokonać delegowania obowiązków administratora.
2. 
Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora za pośrednictwem rejestrów dotyczących ochrony danych publikowanych na stronie internetowej EDA.
Artykuł  4

Ograniczenia

1. 
EDA, w rejestrach dotyczących ochrony danych opublikowanych na swojej stronie internetowej, informujących osobę, której dane dotyczą, o przysługujących jej prawach w ramach danej procedury w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, zawiera informacje dotyczące potencjalnego ograniczenia tych praw. Informacja zawiera wskazanie praw, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.
2. 
Wszelkie ograniczenia są stosowane przez EDA wyłącznie w celu zapewnienia:
a)
bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obrony państw członkowskich;
b)
zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
c)
realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii;
d)
wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
e)
ochrony niezależności sądów i postępowania sądowego;
f)
monitorowania funkcji kontrolującej lub regulacyjnej związanej choćby sporadycznie z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a) do c);
g)
ochrony osób, których dane dotyczą, lub praw i wolności innych osób;
h)
egzekwowania roszczeń cywilnoprawnych.
3. 
W ramach konkretnej realizacji celów określonych w ust. 1 EDA może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom i jednostkom organizacyjnym Unii, organom właściwym państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym w następujących okolicznościach:
a)
jeżeli wykonywanie tych praw i obowiązków mogłoby być objęte ograniczeniem przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, bądź zgodnie z aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii;
b)
jeżeli wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 4  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 5 ;
c)
jeżeli wykonywanie tych praw i obowiązków mogłoby zaszkodzić współpracy EDA z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b), EDA konsultuje się z właściwymi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że EDA nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.

4. 
Wszelkie ograniczenia są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą, a przy ich wprowadzaniu przestrzega się istoty praw podstawowych i wolności w społeczeństwie demokratycznym.
5. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczal- ności, osobno dla każdego przypadku.
6. 
EDA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy. Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
7. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że wykonywanie ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dane dotyczą.
8. 
Bez uszczerbku dla przepisów ust. 10 EDA, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.
9. 
Jeżeli EDA ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w ust. 9, podaje w rejestrze powód ograniczenia, podstawę prawną zgodnie z tym artykułem, w tym ocenę konieczności i proporcjonalności ograniczenia. Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
10. 
Ograniczenie, o którym mowa w ust. 10, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.
11. 
Jeżeli powody ograniczenia przestają występować, EDA przedstawia osobie, której dane dotyczą, informacje o podstawowych przyczynach stosowania ograniczenia. Jednocześnie EDA informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
Artykuł  5

Przegląd dokonywany przez inspektora ochrony danych

1. 
EDA bez zbędnej zwłoki angażuje inspektora ochrony danych EDA (zwanego dalej "IOD") w każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.
4. 
Udział inspektora ochrony danych w czasie całej procedury jest należycie udokumentowany.
Artykuł  6

Udzielanie informacji osobom, których dane dotyczą

W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:

a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
badania spraw prowadzonego przez IOD zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych;
h)
prowadzenia działań mających na celu realizację innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii zgodnie z decyzją (WPZiB) 2015/1835.
Artykuł  7

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych;
h)
prowadzenia działań mających na celu realizację innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii zgodnie z decyzją (WPZiB) 2015/1835.
2. 
Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 EDA ogranicza się w ocenie wniosku do takich danych osobowych.
3. 
Jeżeli EDA ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej nocie oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

Artykuł  8

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych;
h)
prowadzenia działań mających na celu realizację innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii zgodnie z decyzją (WPZiB) 2015/1835.
2. 
Jeżeli EDA ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji oraz dokonuje wpisu w rejestrze zgodnie z art. 6 ust. 3 decyzji.
Artykuł  9

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych;
h)
prowadzenia działań mających na celu realizację innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii zgodnie z decyzją (WPZiB) 2015/1835.
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych;
g)
prowadzenia działań mających na celu realizację innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii zgodnie z decyzją (WPZiB) 2015/1835.
3. 
Jeżeli EDA ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, rejestruje powody ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  10

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 24 lutego 2020 r.
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 266 z 13.10.2015, s. 55.
3 "Baza danych" oznacza, w kontekście niniejszej decyzji, usystematyzowany zestaw danych przechowywanych w formie elektronicznej, m.in. za pośrednictwem narzędzi i aplikacji informatycznych oraz programu SharePoint.
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
5 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.