Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania Urzędu Unii Europejskiej ds. Własności Intelektualnej

Dzienniki UE

Dz.U.UE.L.2020.94.46

Akt obowiązujący
Wersja od: 27 marca 2020 r.

DECYZJA ZARZĄDU URZĘDU UNII EUROPEJSKIEJ DS. WŁASNOŚCI INTELEKTUALNEJ
z dnia 26 marca 2020 r.
w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania Urzędu Unii Europejskiej ds. Własności Intelektualnej

ZARZĄD,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/1001 z dnia 14 czerwca 2017 r. w sprawie znaku towarowego 2  Unii Europejskiej, w szczególności jego art. 153,

uwzględniając regulamin wewnętrzny Zarządu Urzędu Unii Europejskiej ds. Własności Intelektualnej, w szczególności jego art. 9,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (zwanego dalej "EIOD") z dnia 18 grudnia 2019 r.,

a także mając na uwadze, co następuje:

(1) Urząd Unii Europejskiej ds. Własności Intelektualnej ("Urząd") prowadzi swoją działalność na podstawie rozporządzenia (UE) 2017/1001.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725, w przypadku braku aktów prawnych przyjętych na podstawie Traktatów, stosowanie art. 14-22, 35 i 36, a także art. 4 tego rozporządzenia - o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - należy ograniczyć przepisami wewnętrznymi przyjętymi przez Urząd.

(3) Takie przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności nałożonego ograniczenia, nie mają zastosowania, gdy ograniczenie praw osób, których dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) Wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, Urząd powinien rozważyć, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) W ramach swoich funkcji administracyjnych Urząd może być zobowiązany do ograniczenia praw osób, których dane dotyczą, w oparciu o art. 25 rozporządzenia (UE) 2018/1725.

(6) Urząd reprezentowany przez dyrektora wykonawczego działa w charakterze administratora danych niezależnie od dalszego delegowania roli administratora danych w ramach Urzędu celem wypełnienia szczególnych obowiązków operacyjnych zakresie określonych operacji przetwarzania danych osobowych.

(7) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie ich osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są zatrzymywane w sposób opisany w informacjach o ochronie danych, oświadczeniach o polityce ochrony prywatności lub rejestrach prowadzonych przez Urząd.

(8) Niniejsze przepisy wewnętrzne stosować należy w odniesieniu do wszystkich operacji przetwarzania przeprowadzanych przez Urząd w kontekście prowadzonych postępowań administracyjnych, dyscyplinarnych, procedur zgłaszania nieprawidłowości, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania skarg, przetwarzania danych medycznych, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

(9) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, Urząd musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności nałożonych ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(10) W tym kontekście Urząd jest zobowiązany do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą, podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.

(11) Urząd Unii Europejskiej ds. Własności Intelektualnej powinien okresowo monitorować, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, gdy nie można stwierdzić jego występowanie.

(12) Administrator danych powinien poinformować Europejskiego Inspektora Danych o każdym ograniczeniu praw osób, których dane dotyczą, o zniesieniu ograniczenia lub o jego zmianie,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres stosowania

1. 
Niniejsza decyzja określa zasady dotyczące warunków, w których Urząd w ramach własnych operacji przetwarzania, określonych w ust. 2, może zgodnie z art. 25 rozporządzenia (UE) 2018/1725 ograniczyć stosowanie praw przewidzianych w art. 4, 14-21, art. 35 i 36.
2. 
W ramach funkcji administracyjnych Urzędu, niniejszą decyzję stosuje się w odniesieniu do przetwarzania danych osobowych prowadzonego przez Urząd w ramach prowadzenia: postępowań administracyjnych, postępowań dyscyplinarnych, rozpatrywania spraw związanych ze zgłaszaniem nieprawidłowości, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania skarg, przetwarzania danych medycznych lub dokumentacji medycznej, przeprowadzania audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Niniejszą decyzję stosuje się do operacji przetwarzania przeprowadzanych przez Urząd przed wszczęciem wyżej wymienionych postępowań, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych w wyniku tych procedur. Niniejsza decyzja dotyczy także świadczonej przez Urząd pomocy i podjętej przezeń współpracy poza swoimi procedurami administracyjnymi Europejskiemu Urzędowi ds. Zwalczania Nadużyć Finansowych, właściwym organom państw członkowskich lub innym właściwym organom.

3. 
Kategorie danych osobowych obejmują twarde dane (dane "podmiotowe", takie jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkie dane (dane "przedmiotowe" związane ze sprawą, takie jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).
4. 
Urząd, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia można zastosować do następujących praw: prawa do przekazywania informacji osobom, których dane dotyczą, prawa dostępu do danych, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania danych, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności komunikacji elektronicznej.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
Urząd określa następujące zabezpieczenia celem zapobieżenia występowania nadużyć oraz bezprawnego dostępu lub przekazywania danych.
a)
Dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel.
b)
Przechowywanie danych elektronicznych w bezpiecznej aplikacji informatycznej zgodnie ze standardami Urzędu w zakresie bezpieczeństwa, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. Stosowny dostęp do różnych poziomów udzielany jest na zasadzie indywidualnej.
c)
Systemy informatyczne oraz ich bazy danych muszą posiadać mechanizmy służące do weryfikacji tożsamości użytkownika poprzez system jednorazowego logowania oraz łączyć automatycznie z dowodem tożsamości użytkownika i jego hasłem. Konta odbiorców końcowych muszą być unikalne, indywidualne oraz nieprzenaszalne, a dzielenie kont użytkowników jest surowo zabronione. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych.
d)
Wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
2. 
Administratorem danych operacji przetwarzania jest Urząd, reprezentowany przez dyrektora wykonawczego, który może delegować funkcję administratora danych. Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora danych, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie Urzędu.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie przekracza okresu przewidzianego w informacjach o ochronie danych, oświadczeniach o polityce ochrony prywatności oraz prowadzonych rejestrach o których mowa w art. 3 ust. 1. Po zakończeniu okresu zatrzymywania dane dotyczące sprawy, w tym dane osobowe, zostają usunięte, zanonimizowane lub przekazane do archiwów historycznych.
4. 
W sytuacji gdy Urząd rozważa zastosowanie ograniczenia, powinien rozważyć potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak i z zagrożeniem utrudnienia osiągnięcia celu operacji przetwarzania. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Urząd udostępnia na swojej stronie internetowej lub w intranecie informacje o ochronie danych, oświadczenia o polityce ochrony prywatności w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, informując wszystkie osoby, których dane dotyczą, o prowadzonej działalności obejmującej przetwarzanie ich danych osobowych oraz o przysługujących im prawach w ramach danej procedury, w tym informacje o potencjalnym ograniczeniu nałożonym na te prawa. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.
2. 
Z zastrzeżeniem przepisu ust. 3 w istotnych przypadkach Urząd zapewnia, że osoba, której dane dotyczą, zostaje osobiście poinformowana w odpowiedniej formie. Urząd może także osobiście poinformować te osoby o przysługujących im prawach w odniesieniu do obecnych i przyszłych ograniczeń.
3. 
Wszelkie ograniczenia nałożone przez Urząd stosuje się jedynie do zabezpieczenia celów wymienionych w art. 25 ust. 1 rozporządzenia (UE) 2018/1725:
a)
bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności państw członkowskich;
b)
zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
c)
realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;
d)
wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
e)
ochrony niezależności sądów i postępowań sądowych;
f)
zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
g)
funkcji monitorowania, funkcji kontrolnej lub regulacyjnej związanej, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a)-c);
h)
ochrony osób, których dane dotyczą, bądź praw i wolności innych osób;
i)
egzekucji roszczeń cywilnoprawnych.
4. 
W szczególności gdy Urząd nakłada ograniczenia w kontekście:
a)
postępowań administracyjnych i dyscyplinarnych, ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), e), g) oraz h) rozporządzenia (UE) 2018/1725;
b)
postępowań dotyczących sygnalizowania nieprawidłowości, ograniczenia mogą opierać się na art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
c)
(formalnych i nieformalnych) postępowań w sprawach nękania, ograniczenia mogą opierać się na art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
d)
rozpatrywania skarg, ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), e), g) oraz h) rozporządzenia (UE) 2018/1725;
e)
postępowań dotyczących przetwarzania danych medycznych, ograniczenia mogą opierać się na art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
f)
wewnętrznych audytów, ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g), h) rozporządzenia (UE) 2018/1725;
g)
postępowań prowadzonych przez Inspektora Ochrony Danych na podstawie art. 45 ust. 2 rozporządzenia (UE) 2018/1725, ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g), h) rozporządzenia (UE) 2018/1725;
h)
postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów z zewnętrznych (np. CERT-EU), ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), d), g), h) rozporządzenia (UE) 2018/1725.
5. 
Wszelkie ograniczenia są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą, a przy ich nakładaniu przestrzegana jest istota praw podstawowych i wolności w społeczeństwie demokratycznym.

Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku. Test przeprowadza się także w kontekście dokonania przeglądu stosowania ograniczenia.

Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że wykonanie ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dane dotyczą.

6. 
Dodatkowo można zażądać aby Urząd wymienił dane osobowe osób, których dane dotyczą ze służbami Komisji lub innymi instytucjami, organami, agencjami, urzędami UE, właściwymi organami państw członkowskich lub innymi właściwymi organami państw trzecich lub organizacji międzynarodowych, w tym:
a)
jeżeli służby Komisji lub inne instytucje, organy, agencje i urzędy UE ograniczą swoje zobowiązania i wykonywanie praw tych osób, których dane dotyczą, na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725 lub na podstawie Rozdziału IX tego rozporządzenia lub na podstawie aktów założycielskich innych instytucji, organów, agencji i urzędów UE;
b)
jeżeli realizacja tych praw i obowiązków mogłaby zostać ograniczona przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 3  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu i Rady (UE) 2016/680 4 .

Jeżeli wymiana danych osobowych jest zainicjowana przez inny organ nie ma zastosowania żadne ograniczenie nałożone przez Urząd, a powiązane informacje, w tym dane osobowe, Urząd usuwa lub anonimizuje po przesłaniu żądanych danych do tego organu.

7. 
Rejestry dotyczące nakładanych ograniczeń oraz, w stosownych przypadkach, dokumenty zawierające podkreślenie aspektów faktycznych i prawnych udostępniane są Europejskiemu Inspektorowi Ochrony Danych na żądanie.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Urząd bez zbędnej zwłoki informuje inspektora ochrony danych o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator danych zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Udział inspektora ochrony danych Urzędu w procedurze nakładania ograniczeń, w tym w wymianie informacji, jest dokumentowany w odpowiedniej formie.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, dostarczanie informacji może być ograniczone przez administratora danych w kontekście operacji przetwarzania danych, o których mowa w art. 1 ust. 2 niniejszej decyzji. W szczególności można wstrzymać przekazanie informacji, pominąć je lub odmówić ich przekazania, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.
2. 
Jeżeli Urząd nakłada ograniczenie w całości lub w części, przekazanie informacji o którym mowa w ust. 1, w notatce oceny wewnętrznej dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.
3. 
Ograniczenie, o którym mowa w ust. 1, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające jego stosowanie.

Jeżeli powody ograniczenia przestają występować, Urząd przekazuje osobie, której dane dotyczą, informacje o podstawowych przyczynach stosowania ograniczenia. Jednocześnie Urząd informuje osobę, której dane dotyczą, o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

4. 
Urząd dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia. Następnie administrator danych raz w roku monitoruje konieczność zachowania jakichkolwiek ograniczeń.
Artykuł  6

Prawo dostępu, sprostowania, usunięcia i ograniczenia przetwarzania przysługujące osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście operacji przetwarzania danych o których mowa w art. 1 ust. 2 niniejszej decyzji. Przepisy zawarte w niniejszym art. 6 nie mają zastosowania do prawa dostępu do danych medycznych lub dokumentacji medycznej, co do których szczególne zasady wyraźnie przewidziano w art. 7 poniżej.
2. 
Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, Urząd ogranicza się przy ocenie wniosku wyłącznie do takich danych osobowych.
3. 
Jeżeli Urząd ogranicza, w całości lub w części, prawo dostępu, prawo do sprostowania, usunięcia i ograniczenia przetwarzania, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w notatce oceny wewnętrznej dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić ich, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

4. 
Urząd dokonuje przeglądu stosowania ograniczenia co najmniej raz w roku oraz w chwili zamknięcia danej procedury. Następnie na żądanie osoby, której dane dotyczą, administrator danych dokonuje oceny konieczności utrzymania tego ograniczenia.
Artykuł  7

Prawo dostępu do danych medycznych lub dokumentacji medycznej

1. 
Nałożenie ograniczenia na prawo dostępu osób, których dane dotyczą, do własnych danych medycznych lub dokumentacji medycznej wymaga odwołania się do przepisów szczegółowych, które określono w niniejszym artykule.
2. 
Z zastrzeżeniem ustępów niniejszego artykułu zamieszczonych poniżej Urząd może nałożyć ograniczenie na prawo osób, których dane dotyczą, do bezpośredniego dostępu do medycznych danych osobowych lub dokumentacji medycznej o charakterze psychologicznym lub psychiatrycznym dotyczących tych osób, a które są przetwarzane przez Urząd, jeżeli dostęp do tego typu danych z dużym prawdopodobieństwem może stanowić zagrożenie dla zdrowia osoby, której dane dotyczą. Ograniczenie to jest proporcjonalne do tego, co jest ściśle niezbędne do ochrony osoby, której dane dotyczą.
3. 
Dostęp do informacji, o których mowa w ust. 2, przyznaje się lekarzowi wskazanemu przez osobę, której dane dotyczą.
4. 
W takich przypadkach osoba, której dane dotyczą, otrzymuje od Służby Medycznej zwrot tej części kosztów konsultacji medycznych - z lekarzem, który otrzymał dostęp do danych medycznych lub dokumentacji medycznej - które nie zostały zwrócone przez wspólny system ubezpieczenia chorobowego (JSIS). Zwrot nie przekracza różnicy między pułapem określonym w ogólnych przepisach wykonawczych dotyczących zwrotów kosztów medycznych 5  oraz kwotą przyznaną osobie, której dane dotyczą, w ramach wspólnego systemu ubezpieczenia zdrowotnego zgodnie z tymi normami.
5. 
Taki zwrot ze strony Służby Medycznej uwarunkowany jest brakiem uprzedniego udzielenia dostępu do tych samych danych lub dokumentacji.
6. 
Z zastrzeżeniem poniższych ustępów niniejszego artykułu, Urząd może nałożyć ograniczenie, na podstawie indywidualnych przypadków, na prawo dostępu osoby, której dane dotyczą, do danych medycznych lub będącej w ich posiadaniu dokumentacji medycznej, w szczególności jeżeli wykonywanie tego prawa miałoby negatywny wpływ na prawa i wolności osoby, której dane dotyczą, lub innych osób, których dane dotyczą.
7. 
Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, Urząd ogranicza się przy ocenie wniosku wyłącznie do takich danych osobowych.
8. 
Jeżeli Urząd ogranicza, w całości lub w części, prawo dostępu osób, których dane dotyczą, do medycznych danych osobowych lub dokumentacji medycznej, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w notatce oceny wewnętrznej dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania, szczególnie przez stwierdzenie jak wykonywanie prawa mogłoby stanowić zagrożenie dla zdrowia osoby, której dane dotyczą, lub jak negatywny wpływ miałoby ono na prawa i wolności osób, których dane dotyczą, lub innych osób, których dane dotyczą.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

9. 
Ograniczenie, o którym mowa w ust. 2 i 6, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie. W przypadku gdy powody ograniczenia nie mają dłużej zastosowania, na żądanie osoby, który dane dotyczą, administrator danych dokonuje oceny potrzeby dalszego stosowania tego ograniczenia.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora danych w kontekście operacji przetwarzania danych, o których mowa w art. 1 ust. 2 niniejszej decyzji. To prawo nie podlega jednak ograniczeniu w kontekście procedur dotyczących nękania.
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora danych w kontekście operacji przetwarzania danych o których mowa w art. 1 ust. 2 niniejszej decyzji.
3. 
Artykuły 5 ust. 2, 3 i 4 niniejszej decyzji stosuje się w przypadku, gdy Urząd ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawa do poufności komunikacji elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie trzeciego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Alicante dnia 26 marca 2020 r.
W imieniu Urzędu Unii Europejskiej ds. Własności Intelektualnej
Jorma HANSKI
Przewodniczący Zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 154 z 16.6.2017, s. 1.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
5 Decyzja Komisji C(2007) 3195 z dnia 2 lipca 2007 r. ustalająca ogólne przepisy wykonawcze dotyczące zwrotu kosztów opieki medycznej.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .