Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EFSA

Dzienniki UE

Dz.U.UE.L.2019.272.154

Akt obowiązujący
Wersja od: 25 października 2019 r.

DECYZJA
EUROPEJSKIEGO URZĘDU DS. BEZPIECZEŃSTWA ŻYWNOŚCI
z dnia 19 czerwca 2019 r.

w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EFSA

(Dz.U.UE L z dnia 25 października 2019 r.)

ZARZĄD,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwane dalej "rozporządzeniem") oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności 2 , w szczególności art. 25, 26 i 48,

uwzględniając regulamin zarządu EFSA 3 , w szczególności jego art. 8,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 14 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i regulaminu,

po konsultacji z Komitetem Pracowniczym,

a także mając na uwadze, co następuje:

(1) EFSA prowadzi swoją działalność zgodnie z rozporządzeniem ustanawiającym (WE) nr 178/2002.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na regulaminie przyjętym przez EFSA.

(3) Regulamin ten, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.

(4) Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, EFSA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.

(5) EFSA może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać (formalne i nieformalne) procedury dotyczące zapobiegania molestowaniu, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania sprawdzające (IT).

EFSA przetwarza szereg kategorii danych osobowych, w tym twardych danych (danych "podmiotowych", takich jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkich danych (danych "przedmiotowych" związanych ze sprawą, takich jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).

(6) EFSA, reprezentowany przez dyrektora wykonawczego, pełni rolę ogólnego administratora niezależnie od dalszego delegowania roli administratora w ramach urzędu dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnego przetwarzania danych osobowych.

(7) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się przez okres nie dłuższy, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach EFSA.

(8) Regulamin należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez EFSA w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

(9) Należy go stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinien on również obejmować swoim zakresem pomoc i współpracę ze strony EFSA na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.

(10) W przypadkach, w których zastosowanie ma regulamin, EFSA musi uzasadnić, dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.

(11) W tym kontekście EFSA jest zobowiązany do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.

(12) EFSA może być jednak zobowiązany do ograniczenia informacji udzielanych osobom, których dane dotyczą, i innych praw osób, których dane dotyczą w celu ochrony, w szczególności własnych dochodzeń, dochodzeń i postępowań prowadzonych przez inne organy publiczne, jak również praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.

(13) EFSA może zatem ograniczyć informacje w celu ochrony dochodzenia oraz praw i wolności innych osób, których dane dotyczą.

(14) EFSA powinien okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(15) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres stosowania

1. 
Niniejsza decyzja ustanawia zasady dotyczące warunków, na jakich EFSA w ramach prowadzonych przez niego procedur określonych w ust. 2 może ograniczyć stosowanie art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
2. 
W ramach działalności administracyjnej EFSA, niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych prowadzonych przez Urząd na potrzeby przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących zapobiegania molestowaniu, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego (IT) prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
Kategorie danych osobowych obejmują twarde dane (dane "podmiotowe", takie jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkie dane (dane "przedmiotowe" związane ze sprawą, takie jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).
4. 
Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, EFSA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą dotyczyć następujących praw: udzielania informacji osobom, których dane dotyczą, prawa do dostępu, sprostowania, usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji.
Artykuł  2

Określenie administratora danych i zabezpieczenia

1. 
Wprowadzone zabezpieczenia zapobiegające naruszeniom ochrony danych, wyciekom lub nieuprawnionym ujawnieniom obejmują:
a)
przechowywanie dokumentów w formie papierowej w zabezpieczonych szafkach i udostępnianie ich wyłącznie upoważnionemu personelowi;
b)
przechowywanie danych elektronicznych w bezpiecznej aplikacji informatycznej zgodnie ze standardami EFSA w zakresie bezpieczeństwa, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. Stosowny dostęp do różnych poziomów udzielany jest na zasadzie indywidualnej.
c)
ochronę bazy danych hasłem na podstawie systemu pojedynczego logowania i automatyczne łączenie z identyfikatorem i hasłem użytkownika wspierane przez bezpieczny system zarządzania dostępem do informacji. Rejestry elektroniczne są przechowywane w bezpieczny sposób z zachowaniem poufności i zgodności z przepisami i zasadami odnoszącymi się do ochrony danych;
d)
nałożenie na wszystkie osoby mając dostęp do danych obowiązku zachowania poufności.
2. 
Administratorem procesów przetwarzania jest EFSA, reprezentowany przez dyrektora wykonawczego, który może przekazywać funkcję administratora. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w zawiadomieniach o ochronie danych lub rejestrach publikowanych na stronie internetowej lub w intranecie EFSA.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, jest nie dłuższy, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane. W żadnym przypadku nie może on być dłuższy niż okres przechowywania określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach, o których mowa w art. 5 ust. 1.
4. 
W sytuacji gdy EFSA rozważa zastosowanie ograniczenia, waży ona zagrożenia dla praw i wolności osób, których dane dotyczą, w szczególności, względem zagrożenia dla praw i wolności pozostałych osób, których dane dotyczą oraz zagrożenia dla skuteczności dochodzeń lub procedur prowadzonych przez EFSA, np. poprzez niszczenie dowodów. Zagrożenia dla praw i wolności osób, których dane dotyczą, obejmują, między innymi, ryzyko utraty reputacji i zagrożenia dla prawa do obrony i prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
EFSA stosuje ograniczenia wyłącznie w celu służącym:
a)
zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
b)
realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;
c)
bezpieczeństwu wewnętrznemu instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
d)
zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
e)
funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a) i b);
f)
ochronie osoby, której dane dotyczą, lub praw i wolności innych osób.
2. 
Szczególnym zastosowaniem na potrzeby wskazane w ust. 1 jest zastosowanie przez EFSA ograniczenia w odniesieniu do danych osobowych wymienianych ze służbami Komisji lub innymi instytucjami, organami i jednostkami organizacyjnymi Unii, właściwymi organami państw członkowskich lub państw trzecich lub organizacji międzynarodowych, w następujących sytuacjach:
a)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii;
b)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 4 , lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 5 ;
c)
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy EFSA z państwami trzecimi lub organizacjami międzynarodowymi przy wypełnianiu jego zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapit pierwszy, EFSA konsultuje się z właściwymi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że EFSA nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.

3. 
Wszelkie ograniczenia muszą być konieczne i proporcjonalne oraz uwzględniać zagrożenia dla praw i wolności osób, których dane dotyczą, oraz być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5. 
Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie, w szczególności, w przypadku gdy uznaje się, że wykonanie takiego ograniczonego prawa nie unieważniałoby już skutku nałożonego ograniczenia ani praw lub wolności innych osób, których dane dotyczą. W takim przypadku ograniczenia zostaną możliwie szybko zniesione - co do zasady w ciągu pięciu dni roboczych od zmiany okoliczności faktycznych lub prawnych.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
EFSA bez zbędnej zwłoki informuje inspektora ochrony danych EFSA o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator danych udziela inspektorowi ochrony danych dostępu do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia i wpisuje do rejestru datę poinformowania inspektora ochrony danych.
2. 
Inspektor ochrony danych może zwrócić się do administratora danych na piśmie o dokonanie przeglądu stosowania ograniczeń. Administrator danych informuje inspektora ochrony danych na piśmie o wyniku żądanego przeglądu.
3. 
Administrator danych informuje inspektora ochrony danych o zniesieniu ograniczenia.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

EFSA zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących ich w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Bez uszczerbku dla przepisów ust. 3 EFSA, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.
3. 
Jeżeli EFSA ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w ust. 2, podaje w rejestrze powód ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, będzie obowiązywać tak długo, jak długo będą występować powody je uzasadniające i zostanie możliwie szybko zniesione - co do zasady w ciągu 5 dni roboczych od daty zmiany okoliczności prawnych lub faktycznych.

Jeżeli powody ograniczenia przestają występować, EFSA przedstawia osobie, której dane dotyczą, informację o podstawowych przyczynach stosowania ograniczenia. Jednocześnie EFSA informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej.

EFSA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do sprostowania, usunięcia i ograniczenia przetwarzania danych w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 EFSA ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.

2. 
Jeżeli EFSA ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do EIOD i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

EFSA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego śledztwa.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
2. 
Jeżeli EFSA ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji oraz dokonuje wpisu w rejestrze zgodnie z art. 6 ust. 3 decyzji.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania formalnych procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
Jeżeli EFSA ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, rejestruje powody ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Przyjęto w Parmie dnia 19 czerwca 2019 r.

W imieniu zarządu EFSA

Jaana HUSU-KALLIO

Przewodniczący zarządu

1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 31 z 1.2.2002, s. 1.
3 mb 27 06 13 - zmieniony regulamin zarządu - PRZYJĘTY.
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
5 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .