Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania Europejskiej Agencji Chemikaliów

Dzienniki UE

Dz.U.UE.L.2019.196.10

Akt obowiązujący
Wersja od: 24 lipca 2019 r.

DECYZJA EUROPEJSKIEJ AGENCJI CHEMIKALIÓW
z dnia 20 czerwca 2019 r.
w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania Europejskiej Agencji Chemikaliów

ZARZĄD EUROPEJSKIEJ AGENCJI CHEMIKALIÓW (zwany dalej "Agencją"),

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie (WE) nr 1907/2006 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2006 r. w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (REACH) i utworzenia Europejskiej Agencji Chemikaliów, zmieniające dyrektywę 1999/45/WE oraz uchylające rozporządzenie Rady (EWG) nr 793/93 i rozporządzenie Komisji (WE) nr 1488/94, jak również dyrektywę Rady 76/769/EWG i dyrektywy Komisji 91/155/EWG, 93/67/EWG, 93/105/WE i 2000/21/WE 2 , w szczególności jego art. 78,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 14 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i przepisów wewnętrznych,

po konsultacji z Komitetem Pracowniczym,

a także mając na uwadze, co następuje:

(1) Agencja prowadzi swoją działalność zgodnie z rozporządzeniem (WE) nr 1907/2006.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725, w przypadku braku aktów prawnych przyjętych na podstawie Traktatów, stosowanie art. 14-22, 35 i 36, a także art. 4 tego rozporządzenia - o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - należy ograniczyć przepisami wewnętrznymi przyjętymi przez Agencję.

(3) Te przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.

(4) Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, ECHA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.

(5) Agencja może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać (formalne i nieformalne) procedury dotyczące zapobiegania molestowaniu, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania sprawdzające (IT).

(6) Agencja przetwarza szereg kategorii danych osobowych, w tym twardych danych (danych "podmiotowych", takich jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkich danych (danych "przedmiotowych" związanych ze sprawą, takich jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).

(7) Agencja, reprezentowana przez jej dyrektora wykonawczego, działa w charakterze administratora danych niezależnie od dalszego przekazywania roli administratora w ramach Agencji, aby odzwierciedlić odpowiedzialność operacyjną za określone operacje przetwarzania danych osobowych.

(8) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się przez okres nie dłuższy niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach Agencji.

(9) Przepisy wewnętrzne należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez Agencję w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

(10) Przepisy te należy stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony Agencji na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.

(11) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, Agencja musi uzasadnić dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.

(12) W tym kontekście Agencja jest zobowiązana do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.

(13) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobom, których dane dotyczą i innych praw osób, których dane dotyczą w celu ochrony, w szczególności własnych dochodzeń, dochodzeń i postępowań prowadzonych przez inne organy publiczne, jak również praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.

(14) Agencja może zatem ograniczyć informacje w celu ochrony dochodzenia oraz praw i wolności innych osób, których dane dotyczą.

(15) Agencja powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(16) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres stosowania

1. 
Niniejsza decyzja ustanawia zasady dotyczące warunków, na jakich Agencja w ramach prowadzonych przez nią procedur określonych w ust. 2 może ograniczyć stosowanie art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
2. 
W ramach działalności administracyjnej Agencji, niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych prowadzonych przez Urząd na potrzeby przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących zapobiegania molestowaniu, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego (IT) prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
Kategorie danych osobowych obejmują twarde dane (dane "podmiotowe", takie jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkie dane (dane "przedmiotowe" związane ze sprawą, takie jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).
4. 
Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, Agencja uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą dotyczyć następujących praw: udzielania informacji osobom, których dane dotyczą, prawa do dostępu, sprostowania, usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji.
Artykuł  2

Określenie administratora danych i zabezpieczenia

1. 
Wprowadzone zabezpieczenia zapobiegające naruszeniom ochrony danych, wyciekom lub nieuprawnionym ujawnieniom obejmują:
a)
przechowywanie dokumentów w formie papierowej w zabezpieczonych szafkach i udostępnianie ich wyłącznie upoważnionemu personelowi;
b)
przechowywanie danych elektronicznych w bezpiecznej aplikacji informatycznej zgodnie ze standardami Agencji w zakresie bezpieczeństwa, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. Stosowny dostęp do różnych poziomów udzielany jest na zasadzie indywidualnej;
c)
ochronę bazy danych hasłem na podstawie systemów pojedynczego logowania i automatycznie łączone z identyfikatorem i hasłem użytkownika. Zastępowanie użytkowników jest surowo zabronione. Rejestry elektroniczne są przechowywane w bezpieczny sposób w celu zachowania poufności i prywatności zawartych w nich danych;
d)
nałożenie na wszystkie osoby mając dostęp do danych obowiązku zachowania poufności.
2. 
Administratorem procesów przetwarzania jest Agencja, reprezentowana przez dyrektora wykonawczego, który może przekazywać funkcję administratora. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w zawiadomieniach o ochronie danych lub rejestrach publikowanych na stronie internetowej lub w intranecie Agencji.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, jest nie dłuższy niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane. W żadnym przypadku nie może on być dłuższy niż okres przechowywania określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach, o których mowa w art. 5 ust. 1.
4. 
W sytuacji gdy Agencja rozważa zastosowanie ograniczenia, waży ona zagrożenia dla praw i wolności osób, których dane dotyczą, w szczególności, względem zagrożenia dla praw i wolności pozostałych osób, których dane dotyczą oraz zagrożenia dla skuteczności dochodzeń lub procedur prowadzonych przez Agencję, np. poprzez niszczenie dowodów. Zagrożenia dla praw i wolności osób, których dane dotyczą, obejmują, między innymi, ryzyko utraty reputacji i zagrożenia dla prawa do obrony i prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Agencja stosuje ograniczenia wyłącznie w celu służącym:
a)
zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
b)
bezpieczeństwu wewnętrznemu instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
c)
funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a);
d)
ochronie osoby, której dane dotyczą, lub praw i wolności innych osób.
2. 
Szczególnym zastosowaniem na potrzeby wskazane w ust. 1 jest zastosowanie przez Agencję ograniczenia w odniesieniu do danych osobowych wymienianych ze służbami Komisji lub innymi instytucjami, organami i jednostkami organizacyjnymi Unii, właściwymi organami państw członkowskich lub państw trzecich lub organizacji międzynarodowych, w następujących sytuacjach:
a)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii;
b)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 3 , lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 4 ;
c)
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy wypełnianiu jego zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapit pierwszy, Agencja konsultuje się z właściwymi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że Agencja nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.

3. 
Wszelkie ograniczenia muszą być konieczne i proporcjonalne oraz uwzględniać zagrożenia dla praw i wolności osób, których dane dotyczą, oraz być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. 
Jeżeli rozważa się zastosowanie ograniczenia należy przeprowadzić analizę konieczności i proporcjonalności na podstawie aktualnych przepisów. Do celów rozliczalności wynik analizy należy w każdym przypadku udokumentować w postaci notatki z oceny wewnętrznej.
5. 
Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie. W szczególności, w przypadku gdy uznaje się, że wykonanie takiego ograniczonego prawa nie ma już negatywnego wpływu na skuteczność nałożonego ograniczenia ani na prawa lub wolności innych osób, których dane dotyczą.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Agencja bez zbędnej zwłoki informuje inspektora ochrony danych Agencji o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator danych udziela inspektorowi ochrony danych dostępu do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia i wpisuje do rejestru datę poinformowania inspektora ochrony danych.
2. 
Inspektor ochrony danych może zwrócić się do administratora danych na piśmie o dokonanie przeglądu stosowania ograniczeń. Administrator danych informuje inspektora ochrony danych na piśmie o wyniku żądanego przeglądu.
3. 
Administrator danych informuje inspektora ochrony danych o zniesieniu ograniczenia.
Artykuł  5

Ograniczenia prawa do informacji

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych może ograniczyć prawo do informacji w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

Agencja zamieszcza informacje dotyczące ograniczenia tych praw w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach w rozumieniu przepisów art. 31 rozporządzenia (UE) 2018/1725 publikowanych na jej stronie internetowej lub intranecie, za pośrednictwem których informuje osoby, których dane dotyczą, o ich prawach w ramach danej procedury. Informacje te obejmują informacje o tym, jakie prawa mogą podlegać ograniczeniu, przyczyny i potencjalny czas trwania ograniczenia.

2. 
Bez uszczerbku dla postanowień ust. 3 Agencja, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą, które uznaje się za zainteresowane w kontekście danego procesu przetwarzania, o obecnych lub przyszłych ograniczeniach ich praw bez zbędnej zwłoki i w formie pisemnej.
3. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.

W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, stosuje się tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, Agencja informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

Agencja dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego postępowania, procedury lub dochodzenia. Następnie administrator danych co sześć miesięcy monitoruje konieczność zachowania jakiegokolwiek ograniczenia.

Artykuł  6

Ograniczenia prawa dostępu

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych może ograniczyć prawo dostępu, jeżeli jest to konieczne i proporcjonalne, w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnego procesu przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Agencja ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.

2. 
W przypadku gdy Agencja ogranicza, całkowicie lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje ona następujące kroki:
a)
w odpowiedzi na wniosek informuje przedmiotową osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
tworzy notatkę z oceny wewnętrznej zawierająca przyczyny zastosowania ograniczenia, w tym ocenę konieczności, proporcjonalności ograniczenia oraz czas jego trwania.

Agencja może odroczyć, pominąć lub odmówić udzielenia informacji, o których mowa w lit. a), jeżeli unieważniłoby to skutek ograniczenia zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725.

Agencja dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia. Następnie administrator danych co sześć miesięcy monitoruje konieczność zachowania jakiegokolwiek ograniczenia.

3. 
W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  7

Ograniczenia prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do sprostowania, usunięcia i ograniczenia przetwarzania danych w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
2. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa do sprostowania danych, ich usunięcia lub ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje ona kroki określone w art. 6 ust. 2 niniejszej decyzji i dokonuje wpisu do rejestru zgodnie z art. 6 ust. 3 niniejszej decyzji.
Artykuł  8

Ograniczenia prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i poufności komunikacji elektronicznej

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
2. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do poufności komunikacji elektronicznej w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania formalnych procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
Jeżeli Agencja ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności łączności elektronicznej, o czym mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokonuje ona wpisu do rejestru, w którym zamieszcza przyczyny zastosowania ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Helsinkach dnia 20 czerwca 2019 r.
W imieniu Europejskiej Agencji Chemikaliów
Sharon McGUINNESS
Prezes zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 396 z 30.12.2006, s. 1.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .