Decyzja ustanawiająca przepisy wewnętrzne dotyczące ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Urząd BEREC

Dzienniki UE

Dz.U.UE.L.2020.130.28

Akt obowiązujący
Wersja od: 24 kwietnia 2020 r.

DECYZJA ZARZĄDU AGENCJI WSPARCIA BEREC (URZĘDU BEREC)
z dnia 10 września 2019 r.
ustanawiająca przepisy wewnętrzne dotyczące ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Urząd BEREC

ZARZĄD,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1971 z dnia 11 grudnia 2018 r. ustanawiające Organ Europejskich Regulatorów Łączności Elektronicznej (BEREC) oraz Agencję Wsparcia BEREC (Urząd BEREC), zmieniające rozporządzenie (UE) 2015/2120 oraz uchylające rozporządzenie (WE) nr 1211/2009 1 , w szczególności jego art. 36 ust. 4,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 2  (zwane dalej "rozporządzeniem"), w szczególności jego art. 25,

a także mając na uwadze, co następuje:

(1) Urząd BEREC może, w kontekście swojego funkcjonowania, prowadzić dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne i postępowania w sprawie zawieszenia, na podstawie załącznika IX do regulaminu pracowniczego urzędników Unii Europejskiej i warunków zatrudnienia innych pracowników Unii Europejskiej 3  oraz zgodnie z decyzją MC/2012/3 Komitetu Zarządzającego Urzędu Organu Europejskich Regulatorów Łączności Elektronicznej (Urzędu BEREC) ustanawiającą ogólne przepisy wykonawcze dotyczące prowadzenia dochodzeń administracyjnych i procedur dyscyplinarnych, co oznacza przetwarzanie informacji, w tym danych osobowych.

(2) Pracownicy Urzędu BEREC mają obowiązek zgłaszania ewentualnych nielegalnych działań, w tym nadużyć finansowych lub przypadków korupcji, szkodliwych dla interesów Unii lub działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne niedopełnienie obowiązków pracowników Unii. Kwestię tę reguluje decyzja nr mC/2018/11 Komitetu Zarządzającego Urzędu Organu Europejskich Regulatorów Łączności Elektronicznej (Urzędu BEREC) ustanawiająca wytyczne dotyczące informowania o nieprawidłowościach przez Urząd BEREC.

(3) Urząd BEREC opracował politykę zapobiegania oraz skutecznego i efektywnego postępowania w przypadku faktycznego lub potencjalnego nękania psychicznego lub molestowania seksualnego w miejscu pracy, zgodnie z decyzją nr MC/2016/15 Komitetu Zarządzającego Urzędu Organu Europejskich Regulatorów Łączności Elektronicznej (Urzędu BEREC) w sprawie polityki ochrony godności osoby i zapobiegania nękaniu psychicznemu i molestowaniu seksualnemu.

(4) W kontekście wyżej wymienionych działań Urząd BEREC gromadzi i przetwarza istotne informacje oraz kilka kategorii danych osobowych, w tym dane identyfikacyjne osoby fizycznej, dane kontaktowe, role i zadania zawodowe, informacje na temat prywatnego i zawodowego zachowania oraz wyników, a także dane finansowe. Urząd BEREC działa jako administrator danych.

(5) Istnieją odpowiednie zabezpieczenia w celu ochrony danych osobowych i zapobiegania przypadkowemu lub bezprawnym dostępowi do takich danych lub ich przeniesieniu, zarówno jeżeli są one przechowywane w środowisku fizycznym, jak i elektronicznym. Po przetworzeniu dane te są zatrzymywane zgodnie z obowiązującymi przepisami Urzędu BEREC dotyczącymi zatrzymywania danych, określonymi w rejestrach ochrony danych na podstawie art. 31 rozporządzenia. Po zakończeniu okresu zatrzymywania dane dotyczące sprawy, w tym dane osobowe, zostają usunięte, zanonimizowane lub przekazane do archiwów historycznych.

(6) W tym kontekście Urząd BEREC jest zobowiązany do wypełnienia swojego obowiązku informowania osób, których dane dotyczą, w odniesieniu do powyższych działań związanych z przetwarzaniem i poszanowania praw osób, których dane dotyczą, określonych w rozporządzeniu.

(7) Może zaistnieć konieczność pogodzenia praw osób, których dane dotyczą, zgodnie z rozporządzeniem, z potrzebami wyżej wymienionych działań, przy pełnym poszanowaniu podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 rozporządzenia przewiduje, na ściśle określonych warunkach, możliwość ograniczenia stosowania art. 14-20, 35 i 36 oraz art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. W takim przypadku należy przyjąć wewnętrzne zasady, na mocy których Urząd BEREC może ograniczyć te prawa zgodnie z tym samym artykułem rozporządzenia.

(8) W szczególności może to mieć miejsce w przypadku przekazywania informacji na temat przetwarzania danych osobowych osobie, której dane dotyczą, na etapie wstępnej oceny dochodzenia administracyjnego lub w trakcie samego dochodzenia, przed ewentualnym oddaleniem sprawy lub etapem poprzedzającym postępowanie dyscyplinarne. W pewnych okolicznościach udzielenie takich informacji mogłoby poważnie wpłynąć na zdolność Urzędu BEREC do skutecznego prowadzenia dochodzenia, w każdym przypadku, gdy na przykład istnieje ryzyko, że dana osoba zniszczy dowody lub wpłynie na potencjalnych świadków przed przesłuchaniem. Ponadto Urząd BEREC może potrzebować ochrony swoich praw i wolności, a także praw i wolności innych zaangażowanych osób.

(9) Konieczna może być ochrona poufności świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Urząd BEREC może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych sygnalisty i innych zaangażowanych osób w celu ochrony ich praw i wolności.

(10) Konieczne może być zapewnienie ochrony poufności wobec członka personelu, który skontaktował się z zaufanymi doradcami Urzędu BEREC w ramach postępowania w sprawie molestowania. W takim przypadku Urząd BEREC może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy i innych osób zaangażowanych w celu ochrony ich praw i wolności.

(11) Urząd BEREC powinien stosować ograniczenia tylko wtedy, gdy są one zgodne z istotą podstawowych praw i wolności oraz są bezwzględnie konieczne i proporcjonalne w społeczeństwie demokratycznym. Urząd BEREC powinien przedstawić uzasadnienie wyjaśniające powody tych ograniczeń.

(12) W oparciu o zasadę rozliczalności Urząd BEREC powinien prowadzić rejestr stosowania ograniczeń.

(13) Artykuł 25 ust. 6 rozporządzenia zobowiązuje administratora danych do poinformowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD.

(14) Zgodnie z art. 25 ust. 8 rozporządzenia Urząd BEREC może wstrzymać przekazanie informacji na temat powodów zastosowania ograniczenia osobie, której dane dotyczą, pominąć je lub go odmówić, gdyby w jakikolwiek sposób mogło ono unieważnić skutek ograniczenia. Urząd BEREC powinien oceniać indywidualnie w każdym przypadku, czy powiadomienie o ograniczeniu mogłoby unieważnić jego skutek.

(15) Urząd BEREC powinien znieść ograniczenie, gdy tylko warunki uzasadniające ograniczenie przestaną obowiązywać, oraz regularnie oceniać te warunki.

(16) W celu zagwarantowania jak największej ochrony praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, inspektor ochrony danych powinien być informowany w odpowiednim czasie o wszelkich zastosowanych ograniczeniach i zweryfikować zgodność z niniejszą decyzją.

(17) Stosowanie wyżej wymienionych ograniczeń pozostaje bez uszczerbku dla ewentualnego zastosowania przepisów art. 16 ust. 5 i art. 17 ust. 4 rozporządzenia odnoszących się, odpowiednio, do prawa do informacji, gdy dane nie zostały uzyskane od osoby, której dane dotyczą, oraz do prawa dostępu przysługującego osobie, której dane dotyczą.

(18) W dniu 27 maja 2019 r. przeprowadzono konsultacje z Europejskim Inspektorem Ochrony Danych ("EIOD"),

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres stosowania

Niniejsza decyzja ustanawia przepisy dotyczące warunków, na jakich Urząd BEREC może ograniczyć stosowanie art. 14-20, 35 i 36 oraz art. 4 w oparciu o art. 25 rozporządzenia.

Artykuł  2

Ograniczenia

1. 
Zgodnie z art. 25 ust. 1 rozporządzenia Urząd BEREC może ograniczyć stosowanie art. 14-20, 35 i 36 oraz art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20 w przypadku:
a)
prowadzenia dochodzenia administracyjnego, postępowania przeddyscyplinarnego, dyscyplinarnego i postępowania w sprawie zawieszenia, na podstawie załącznika IX do regulaminu pracowniczego urzędników Unii Europejskiej i warunków zatrudnienia innych pracowników Unii Europejskiej oraz zgodnie z decyzją MC/2012/3 Komitetu Zarządzającego Urzędu Organu Europejskich Regulatorów Łączności Elektronicznej (Urzędu BEREC) ustanawiającą ogólne przepisy wykonawcze dotyczące prowadzenia dochodzeń administracyjnych i procedur dyscyplinarnych, co oznacza przetwarzanie informacji, w tym danych osobowych. Stosowne ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g), h) rozporządzenia;
b)
zapewnienia członkom personelu Urzędu BEREC możliwości poufnego zgłaszania faktów, jeżeli uważają oni, że występują poważne nieprawidłowości zgodnie z decyzją nr MC/2018/11 Komitetu Zarządzającego Urzędu Organu Europejskich Regulatorów Łączności Elektronicznej (Urzędu BEREC) ustanawiającą wytyczne dotyczące informowania o nieprawidłowościach przez Urząd BEREC. Stosowne ograniczenia mogą opierać się na art. 25 ust. 1 lit. h) rozporządzenia;
c)
zapewnienia członkom personelu Urzędu BEREC możliwości poufnego zgłaszania się do zaufanych doradców w kontekście procedury dotyczącej molestowania zgodnie z decyzją nr MC/2016/15 Komitetu Zarządzającego Urzędu Organu Europejskich Regulatorów Łączności Elektronicznej (Urzędu BEREC) w sprawie polityki ochrony godności osoby oraz zapobiegania nękaniu psychicznemu i molestowaniu seksualnemu. Stosowne ograniczenia mogą opierać się na art. 25 ust. 1 lit. h) rozporządzenia.
2. 
Kategorie danych obejmują dane identyfikacyjne osoby fizycznej, dane kontaktowe, role i zadania zawodowe, informacje na temat zachowań prywatnych i zawodowych oraz wyniki, a także dane finansowe.
3. 
Wszelkie ograniczenia respektują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym.
4. 
Badanie konieczności i analizę proporcjonalności przeprowadza się indywidualnie dla każdego przypadku przed wprowadzeniem ograniczeń. Zakres ograniczeń zawęża się do tego, co jest ściśle niezbędne do osiągnięcia wyznaczonych celów z uwzględnieniem zagrożeń dla praw i wolności osób, których dane dotyczą.
5. 
Urząd BEREC składa do celów związanych z rozliczalnością dokumentację opisującą powody zastosowanych ograniczeń, do których zastosowanie mają powody wymienione w ust. 1, oraz wyniki badania konieczności i analizy proporcjonalności. Dokumentacja ta stanowi część rejestru ad hoc, który jest udostępniany na wniosek EIOD. Sprawozdanie dotyczące stosowania art. 25 rozporządzenia jest okresowo udostępniane.
Artykuł  3

Zagrożenia dla praw i wolności osób, których dane dotyczą

Ocena zagrożeń dla praw i wolności osób, których dane osobowe mogą podlegać ograniczeniom, jak również okres ich zatrzymywania, znajdują się w rejestrze odpowiednich czynności przetwarzania danych zgodnie z art. 31 rozporządzenia oraz, w stosownych przypadkach, w odpowiednich ocenach skutków dla ochrony danych na podstawie art. 39 rozporządzenia.

Artykuł  4

Okresy przechowywania i zabezpieczenia

Urząd BEREC wdraża zabezpieczenia służące zapobieganiu nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu danych osobowych, które mogą podlegać ograniczeniom. Zabezpieczenia te obejmują środki techniczne i organizacyjne oraz są szczegółowo określane, w razie potrzeby, w wewnętrznych decyzjach Urzędu BEREC, procedurach i przepisach wykonawczych. Zabezpieczenia te obejmują:

a)
odpowiednią definicję ról, obowiązków i etapów proceduralnych;
b)
w stosownych przypadkach, bezpieczne środowisko elektroniczne, które uniemożliwia bezprawne lub przypadkowe uzyskanie dostępu lub przekazywanie danych elektronicznych osobom nieupoważnionym;
c)
w stosownych przypadkach, bezpieczne przechowywanie i przetwarzanie dokumentów w formie papierowej;
d)
należyte monitorowanie ograniczeń i okresowe przeglądy, przeprowadzane co najmniej raz na sześć miesięcy. Przegląd musi być przeprowadzony również w przypadku, gdy istotne elementy sprawy ulegają zmianie. Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie.
Artykuł  5

Informacje dla inspektora ochrony danych i ich przegląd

1. 
Inspektor ochrony danych Urzędu BEREC jest informowany bez zbędnej zwłoki, gdy prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą decyzją oraz udostępnia rejestr i wszelkie dokumenty dotyczące elementów stanu faktycznego i prawnego.
2. 
Inspektor ochrony danych Urzędu BEREC może zwrócić się z wnioskiem o dokonanie przeglądu stosowania ograniczeń. Urząd BEREC informuje swojego inspektora ochrony danych na piśmie o wyniku wnioskowanego przeglądu.
3. 
Udział inspektora ochrony danych Urzędu BEREC w procedurze wprowadzania ograniczeń, w tym w wymianie informacji, jest dokumentowany w odpowiedniej formie.
Artykuł  6

Informowanie osób, których dotyczą dane, o ograniczeniach dotyczących ich praw

1. 
Urząd BEREC włącza do opublikowanych na swojej stronie internetowej informacji o ochronie danych ogólne informacje dla osób, których dane dotyczą, na temat potencjalnych ograniczeń wszystkich praw osób, których dane dotyczą, opisanych w art. 2 ust. 1 niniejszej decyzji. Informacja ta zawiera wskazanie praw, które mogą podlegać ograniczeniu, powody ograniczenia oraz potencjalny okres obowiązywania ograniczenia.
2. 
Ponadto Urząd BEREC bez zbędnej zwłoki i w formie pisemnej informuje osoby, których dane dotyczą, indywidualnie o obecnych lub przyszłych ograniczeniach ich praw, zgodnie z dalszymi ustaleniami zawartymi w art. 7, 8 i 9 niniejszej decyzji.
Artykuł  7

Prawo do informacji przekazywanych osobom, których dane dotyczą, oraz przekazywanie informacji na temat naruszeń ochrony danych

1. 
Jeżeli w kontekście działań, o których mowa w niniejszej decyzji, Urząd BEREC ogranicza, w całości lub w części, prawa osób, których dane dotyczą, wymienione w art. 14-16 i 35 rozporządzenia, osoby, których dane dotyczą, są informowane o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD, a także o prawie do wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
2. 
Urząd BEREC może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia, o którym mowa w ust. 1, jeżeli spowodowałoby to anulowanie skutków ograniczenia. Ocena ta odbywa się indywidualnie dla każdego przypadku.
Artykuł  8

Prawo dostępu, sprostowania, usunięcia i ograniczenia przetwarzania przysługujące osobom, których dotyczą dane

1. 
Jeżeli w kontekście działań, o których mowa w niniejszej decyzji, Urząd BEREC ogranicza, w całości lub w części, prawo dostępu do danych osobowych, prawo do sprostowania, usunięcia i ograniczenia przetwarzania, o których mowa odpowiednio w art. 17-20 rozporządzenia, informuje o tym w swojej odpowiedzi na wniosek osoby, której dane dotyczą, o głównych powodach, na których opiera się stosowanie ograniczenia, oraz możliwości wniesienia skargi do EIOD lub wniesienia środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej.
2. 
Urząd BEREC może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia, o którym mowa w ust. 1, jeżeli spowodowałoby to anulowanie skutków ograniczenia. Ocena ta odbywa się indywidualnie dla każdego przypadku.
Artykuł  9

Poufność łączności elektronicznej

1. 
Urząd BEREC, w wyjątkowych okolicznościach i zgodnie z przepisami oraz z uzasadnieniem dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady 4 , może ograniczyć prawo do poufności łączności elektronicznej, o którym mowa w art. 36 rozporządzenia. W takim przypadku Urząd BEREC szczegółowo przedstawia okoliczności, powody, istotne ryzyka i powiązane zabezpieczenia w konkretnych przepisach wewnętrznych.
2. 
W przypadku gdy Urząd BEREC ogranicza prawo do poufności łączności elektronicznej, Urząd ten informuje zainteresowaną osobę, której dotyczą dane, w odpowiedzi na jej wniosek, o podstawowych powodach zastosowania ograniczenia oraz o możliwości wniesienia skargi do EIOD lub wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
3. 
Urząd BEREC może wstrzymać przekazanie informacji na temat powodów ograniczenia, o którym mowa w ust. 1 i 2, pominąć je lub go odmówić, gdyby mogło ono unieważnić skutek ograniczenia. Ocena ta odbywa się indywidualnie dla każdego przypadku.
Artykuł  10

Wejście w życie

Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Rydze dnia 10 września 2019 r.
W imieniu Agencji Wsparcia BEREC
Jeremy GODFREY
Przewodniczący Zarządu
1 Dz.U. L 321 z 17.12.2018, s. 1.
2 Dz.U. L 295 z 21.11.2018, s. 39.
3 Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
4 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .