Decyzja w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Europejskiego Centrum ds. Zapobiegania i Kontroli Chorób

Dzienniki UE

Dz.U.UE.L.2020.98.38

Akt obowiązujący
Wersja od: 31 marca 2020 r.

DECYZJA ZARZĄDU EUROPEJSKIEGO CENTRUM DS. ZAPOBIEGANIA I KONTROLI CHORÓB
z dnia 9 września 2019 r.
w sprawie wewnętrznych zasad dotyczących ograniczenia pewnych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Europejskiego Centrum ds. Zapobiegania i Kontroli Chorób

ZARZĄD EUROPEJSKIEGO CENTRUM DS. ZAPOBIEGANIA I KONTROLI CHORÓB (zwanego dalej "ECDC"),

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie (WE) nr 851/2004 Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. ustanawiające Europejskie Centrum ds. Zapobiegania i Kontroli Chorób 2 , w szczególności jego art. 20 ust. 4,

uwzględniając regulamin wewnętrzny zarządu ECDC, a w szczególności jego art. 10,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 22 lipca 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i przepisów wewnętrznych,

po konsultacji z Komitetem Pracowniczym, a także mając na uwadze, co następuje:

(1) ECDC prowadzi swoją działalność zgodnie z rozporządzeniem (WE) nr 851/2004.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, powinny opierać się na przepisach wewnętrznych, które mają zostać przyjęte przez ECDC, jeżeli nie opierają się na aktach prawnych przyjętych na podstawie Traktatów.

(3) Te zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, której dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, ECDC uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.

(5) ECDC może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać (formalne i nieformalne) procedury dotyczące zapobiegania nękaniu, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, przetwarzać dane dotyczące zdrowia pracowników ECDC, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania sprawdzające (IT).

(6) ECDC przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(7) ECDC, reprezentowane przez swojego dyrektora, działa jako administrator danych niezależnie od dalszego delegowania roli administratora danych w ECDC dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(8) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych, oświadczeniach o ochronie prywatności lub rejestrach ECDC.

(9) Przepisy wewnętrzne powinny mieć zastosowanie do wszystkich procesów przetwarzania prowadzonych przez ECDC w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, procedur dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1225, oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE) i w związku z prowadzeniem akt osobowych członków personelu.

(10) Należy go stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinny one również obejmować pomoc i współpracę ze strony ECDC udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(11) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, ECDC musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(12) W ramach powyższego ECDC podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności komunikacji, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(13) ECDC może być jednak zobowiązane do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(14) ECDC może zatem ograniczyć informacje dla celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

(15) ECDC powinno okresowo monitorować, czy warunki uzasadniające ograniczenie mają zastosowanie i znieść ograniczenie w zakresie, w jakim nie mają już zastosowania.

(16) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące warunków, w których ECDC w ramach własnych procedur określonych w ust. 2, może zgodnie z art. 25 rozporządzenia (UE) 2018/1725 ograniczyć stosowanie praw przewidzianych w art. 14-21, 35 i 36, jak również w art. 4.
2. 
W ramach administracyjnego funkcjonowania ECDC niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez ECDC dla celów: prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do OLAF, procedur dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE) i w związku z prowadzeniem akt osobowych członków personelu (jeżeli mogą one zawierać dane o charakterze psychologicznym lub psychiatrycznym).
3. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
W przypadku gdy ECDC wykonuje swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w tym rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
W celu uniknięcia naruszeń ochrony danych, wycieków danych lub nieuprawnionego ujawnienia informacji wprowadzono następujące zabezpieczenia:
a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpieczny sposób w aplikacjach informatycznych zgodnie z normami bezpieczeństwa ECDC, jak również w określonych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
baza danych jest chroniona hasłem i dostęp do niej mają jedynie upoważnieni użytkownicy. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia poufności i prywatności zawartych w nich danych;
d)
Wszystkie osoby mające dostęp do danych są związane obowiązkiem zachowania poufności lub umowami poufności.
2. 
Administratorem operacji przetwarzania danych jest ECDC, reprezentowane przez swojego dyrektora, który może dokonać delegowania obowiązków administratora. Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie ECDC.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrze, o którym mowa w art. 5 ust. 1.
4. 
W sytuacji, gdy ECDC rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku śledztw lub procedur ECDC przykładowo ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Wszelkie ograniczenia są stosowane przez ECDC wyłącznie w celu zapewnienia:
a)
zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
b)
wewnętrznego bezpieczeństw instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
c)
zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
d)
funkcji monitorowania, kontroli lub funkcji regulacyjnej związanej choćby sporadycznie z realizacją zadań, o których mowa w lit. a);
e)
ochrony osób, których dane dotyczą, bądź praw i wolności innych osób.
2. 
W ramach konkretnej realizacji celów określonych w ust. 1 powyżej ECDC może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom i jednostkom organizacyjnym Unii, organom właściwym państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym w następujących okolicznościach:
a)
jeżeli realizacja tych praw i obowiązków mogłaby być objęta ograniczeniem przez służby Komisji lub inne instytucje, organy, agencje lub urzędy Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, lub zgodnie z aktami założycielskimi innych instytucji, organów, agencji i urzędów Unii;
b)
jeżeli realizacja tych praw i obowiązków mogłaby zostać ograniczona przez właściwe organy państw członkowskich na podstawie aktów prawnych, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 3  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 4 ;
c)
jeżeli realizacja tych praw i obowiązków mogłaby zaszkodzić współpracy ECDC z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, ECDC konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że dla ECDC jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. 
Wszelkie ograniczenia są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą, a przy ich wprowadzaniu przestrzega się istoty praw podstawowych i wolności w społeczeństwie demokratycznym.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczal- ności, osobno dla każdego przypadku.
5. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że realizacja ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
ECDC bez zbędnej zwłoki informuje własnego inspektora ochrony danych (IOD), jeżeli administrator ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie, zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

ECDC zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących im w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Bez uszczerbku dla przepisów ust. 3 ECDC, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.
3. 
Jeżeli ECDC ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w ust. 2, podaje w rejestrze powód ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Jeżeli powody ograniczenia przestają występować, ECDC przedstawia osobie, której dane dotyczą, informacje o podstawowych przyczynach stosowania ograniczenia. Jednocześnie ECDC informuje osobę, której dane dotyczą, o prawie do wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.

ECDC dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, procedury lub śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);
i)
w odniesieniu do bezpośredniego dostępu do dokumentów dotyczących danych medycznych o charakterze psychologicznym lub psychiatrycznym zawartych w aktach osobowych personelu ECDC.

Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 ECDC ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.

2. 
Jeżeli ECDC ogranicza, w całości lub w części, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej notatce z oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

ECDC dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
Jeżeli ECDC ogranicza, w całości lub w części, stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji oraz dokonuje wpisu w rejestrze zgodnie z art. 6 ust. 3 decyzji.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. cErT-EU).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
formalnych procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. 
Jeżeli ECDC ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo o poufności komunikacji elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokumentuje powody ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Sztokholmie dnia 9 września 2019 r.
W imieniu Europejskiego Centrum ds. Zapobiegania i Kontroli Chorób
Anni VIROLAINEN-JULKUNEN
Przewodnicząca Zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 142 z 30.4.2004, s. 1.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .