Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EFSA
Dz.U.UE.L.2019.272.154
Akt obowiązującyDECYZJA
EUROPEJSKIEGO URZĘDU DS. BEZPIECZEŃSTWA ŻYWNOŚCI
z dnia 19 czerwca 2019 r.
(Dz.U.UE L z dnia 25 października 2019 r.)
ZARZĄD,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwane dalej "rozporządzeniem") oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,
uwzględniając rozporządzenie (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności 2 , w szczególności art. 25, 26 i 48,
uwzględniając regulamin zarządu EFSA 3 , w szczególności jego art. 8,
uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 14 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i regulaminu,
po konsultacji z Komitetem Pracowniczym,
a także mając na uwadze, co następuje:
(1) EFSA prowadzi swoją działalność zgodnie z rozporządzeniem ustanawiającym (WE) nr 178/2002.
(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na regulaminie przyjętym przez EFSA.
(3) Regulamin ten, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.
(4) Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, EFSA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
(5) EFSA może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać (formalne i nieformalne) procedury dotyczące zapobiegania molestowaniu, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania sprawdzające (IT).
EFSA przetwarza szereg kategorii danych osobowych, w tym twardych danych (danych "podmiotowych", takich jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkich danych (danych "przedmiotowych" związanych ze sprawą, takich jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).
(6) EFSA, reprezentowany przez dyrektora wykonawczego, pełni rolę ogólnego administratora niezależnie od dalszego delegowania roli administratora w ramach urzędu dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnego przetwarzania danych osobowych.
(7) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się przez okres nie dłuższy, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach EFSA.
(8) Regulamin należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez EFSA w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
(9) Należy go stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinien on również obejmować swoim zakresem pomoc i współpracę ze strony EFSA na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.
(10) W przypadkach, w których zastosowanie ma regulamin, EFSA musi uzasadnić, dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.
(11) W tym kontekście EFSA jest zobowiązany do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.
(12) EFSA może być jednak zobowiązany do ograniczenia informacji udzielanych osobom, których dane dotyczą, i innych praw osób, których dane dotyczą w celu ochrony, w szczególności własnych dochodzeń, dochodzeń i postępowań prowadzonych przez inne organy publiczne, jak również praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.
(13) EFSA może zatem ograniczyć informacje w celu ochrony dochodzenia oraz praw i wolności innych osób, których dane dotyczą.
(14) EFSA powinien okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.
(15) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: