Decyzja w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EMCDDA
Dz.U.UE.L.2020.12.29
Akt obowiązującyDECYZJA ZARZĄDU EUROPEJSKIEGO CENTRUM MONITOROWANIA NARKOTYKÓW I NARKOMANII
z dnia 28 czerwca 2019 r.
w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EMCDDA
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,
uwzględniając rozporządzenie (WE) nr 1920/2006 Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. Europejskiego Centrum Monitorowania Narkotyków i Narkomanii 2 , w szczególności art. 6 i 9,
uwzględniając opinię EIOD z dnia 29 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i wewnętrznych zasad,
(1) EMCDDA prowadzi działalność zgodnie z przywołanym powyżej rozporządzeniem Rady (WE) nr 1920/2006.
(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na wewnętrznych zasadach przyjętych przez EMCDDA.
(3) Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.
(4) EMCDDA, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
(5) EMCDDA może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy związane ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzać (formalne i nieformalne) procedury dotyczące nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia właściwe dla inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzenia dotyczące bezpieczeństwa (informatycznego).
(6) EMCDDA przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
(7) EMCDDA, reprezentowane przez dyrektora, pełni rolę administratora danych niezależnie od dalszego delegowania roli administratora w ramach centrum dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.
(8) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych, oświadczeniach o ochronie prywatności lub rejestrach EMCDDA.
(9) Wewnętrzne zasady należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez EMCDDA w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
(10) Należy je stosować w odniesieniu do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinny one również obejmować pomoc i współpracę ze strony EMCDDA udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.
(11) W przypadkach, w których zastosowanie mają wewnętrzne zasady, EMCDDA musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.
(12) W ramach powyższego EMCDDA podczas prowadzenia wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczonego przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.
(13) EMCDDA może być jednak zobowiązane do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.
(14) EMCDDA może zatem ograniczyć informacje dla celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.
(15) EMCDDA powinno okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, gdy nie można stwierdzić ich występowania.
(16) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
W imieniu Zarządu | |
Laura D'ARRIGO | |
Prezes |