Dz.U.UE.L.2018.320.40

| Akt obowiązujący
Wersja od: 17 grudnia 2018 r.

DECYZJA KOMISJI (UE) 2018/1996
z dnia 14 grudnia 2018 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw w kontekście przetwarzania danych osobowych do celów dochodzeń w sprawie ochrony handlu i w zakresie polityki handlowej

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,

a także mając na uwadze, co następuje:

(1) Komisja prowadzi politykę handlową Unii w ramach swoich uprawnień na podstawie rozporządzeń Parlamentu Europejskiego i Rady (UE) 2015/478 1 ), (UE) 2015/755 2 , (UE) 2016/1036 3 , (UE) 2016/1037 4 .

(2) W szczególności podczas dochodzeń w sprawie ochrony handlu nieuniknione jest przetwarzanie danych osobowych w rozumieniu art. 3 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 5 . Komisja gromadzi informacje mające znaczenie dla dochodzenia, w tym dane osobowe. Z zastrzeżeniem wymogu ochrony informacji poufnych, wszystkie informacje udostępnione przez którąkolwiek ze stron dochodzenia należy niezwłocznie udostępnić pozostałym zainteresowanym stronom uczestniczącym w dochodzeniu, zapewniając im dostęp do akt niepodlegających klauzuli poufności. Takie przekazywanie danych jest konieczne oraz wymagane przez prawo w celu obrony roszczeń prawnych zainteresowanych stron. Główna odpowiedzialność za wykonywanie zadań Komisji w dziedzinie polityki handlowej i ochrony handlu spoczywa na Dyrekcji Generalnej ds. Handlu ("DG ds. Handlu"), której jednostki organizacyjne pełnią funkcję administratora danych.

(3) Dane osobowe przetwarzane przez Komisję to na przykład: dane identyfikacyjne, dane kontaktowe, dane zawodowe i dane dotyczące przedmiotu dochodzenia lub związane z przedmiotem dochodzenia. Dane osobowe są przechowywane w zabezpieczonym środowisku elektronicznym w celu zapobieżenia bezprawnemu dostępowi do danych lub przekazaniu ich osobom spoza Komisji. Niektóre dane osobowe mogą zostać umieszczone w oddzielnym środowisku elektronicznym, do którego dostęp ma określona liczba stron zainteresowanych dochodzeniem. Dane osobowe są przechowywane przez służby Komisji odpowiedzialne za dochodzenie aż do zakończenia dochodzenia. Administracyjny okres przechowywania wynosi 5 lat i rozpoczyna się od zakończenia dochodzenia. Na koniec okresu przechowywania informacje dotyczące sprawy, w tym dane osobowe, są przekazywane do historycznych archiwów Komisji 6 .

(4) Przy wykonywaniu swoich zadań Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu, a także praw przewidzianych w rozporządzeniu (UE) 2018/1725. Komisja jest zobowiązana jednocześnie przestrzegać rygorystycznych zasad poufności ustanowionych w art. 19 rozporządzenia (UE) 2016/1036, art. 29 rozporządzenia (UE) 2016/1037, art. 8 rozporządzenia (UE) 2015/478 oraz art. 5 rozporządzenia (UE) 2015/755.

(5) W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725 z potrzebą zapewnienia skuteczności dochodzeń, jak również pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725 daje Komisji możliwość ograniczenia zastosowania art. 14-17, 19, 20 i 35, a także zasady przejrzystości ustanowionej w art. 4 ust. 1 lit. a), o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-17, 19, 20 i 35 tego rozporządzenia.

(6) Aby zapewnić skuteczność dochodzeń w sprawie ochrony handlu przy jednoczesnym poszanowaniu standardów ochrony danych osobowych na mocy rozporządzenia (UE) 2018/1725, które zastąpiło rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady 7 , niezbędne jest przyjęcie wewnętrznych przepisów, na podstawie których Komisja może ograniczyć prawa osób, których dane dotyczą, zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725.

(7) Należy zatem ustanowić przepisy wewnętrzne, aby uwzględnić wszystkie operacje przetwarzania, które Komisja przeprowadza w obszarze ochrony handlu w trakcie wykonywania zadań dochodzeniowych. Przepisy te powinny mieć zastosowanie do operacji przetwarzania, które przeprowadza się przed wszczęciem dochodzenia, w trakcie dochodzenia oraz w trakcie monitorowania działań następczych związanych z wynikami dochodzeń.

(8) W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Komisja powinna informować - w sposób przejrzysty i spójny, w drodze informacji o ochronie danych publikowanych na stronie internetowej Komisji - wszystkie osoby fizyczne o swoich działaniach obejmujących przetwarzanie ich danych osobowych oraz o ich prawach. W stosownych przypadkach Komisja powinna wprowadzić dodatkowe środki ochronne, aby zapewnić, że osoby, których dane dotyczą, zostaną indywidualnie poinformowane we właściwym formacie.

(9) Na podstawie art. 25 rozporządzenia (UE) 2018/1725 Komisja może, mając na uwadze ochronę własnych dochodzeń w sprawie ochrony handlu, a także ochronę praw innych osób zaangażowanych w prowadzone przez nią dochodzenia, ograniczyć przekazywanie informacji osobom, których dane dotyczą, oraz wykonywane innych praw tych osób.

(10) Aby utrzymać skuteczną współpracę, Komisja może być ponadto zmuszona ograniczyć stosowanie praw osób, których dane dotyczą, celem ochrony procesów przetwarzania dokonywanych przez inne instytucje, organy i jednostki organizacyjne Unii lub przez właściwe organy państw członkowskich. W związku z tym Komisja powinna skonsultować się z tymi instytucjami, organami i jednostkami organizacyjnymi w kwestii stosownych podstaw nałożenia ograniczeń oraz w kwestii konieczności i proporcjonalności ograniczeń.

(11) Komisja może również ograniczyć udzielanie informacji osobom, których dane dotyczą, i stosowanie innych praw tych osób w odniesieniu do danych osobowych otrzymywanych od państw trzecich lub organizacji międzynarodowych, aby wywiązać się z obowiązku współpracy z tymi państwami lub organizacjami, a tym samym chronić ważny cel leżący w ogólnym interesie publicznym Unii. W pewnych okolicznościach interes lub prawa podstawowe osoby, której dane dotyczą, mogą jednak przeważać nad interesem współpracy międzynarodowej.

(12) Komisja powinna rozpatrywać wszystkie ograniczenia w sposób przejrzysty i każde zastosowanie ograniczeń rejestrować w odpowiednim systemie rejestracji.

(13) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 administratorzy mogą wstrzymać przekazanie informacji o powodach zastosowania ograniczenia w stosunku do osoby, której dane dotyczą, pominąć je lub go odmówić, jeżeli przekazanie to w jakikolwiek sposób zagroziłoby celowi tego ograniczenia. Dotyczy to w szczególności ograniczeń praw przewidzianych w art. 16 i 35 rozporządzenia (UE) 2018/1725.

(14) Komisja powinna regularnie dokonywać przeglądu nałożonych ograniczeń w celu zapewnienia, aby prawa osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 były ograniczone tylko tak długo, jak długo takie ograniczenia są konieczne, aby umożliwić Komisji prowadzenie dochodzeń w sprawie ochrony handlu.

(15) W przypadku ograniczenia innych praw osoby, której dane dotyczą, administrator danych powinien w poszczególnych przypadkach ocenić, czy poinformowanie o ograniczeniu zagrażałoby jego celowi.

(16) Inspektor ochrony danych Komisji Europejskiej powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją.

(17) Rozporządzenie (UE) 2018/1725 zastępuje rozporządzenie (WE) nr 45/2001 bez okresu przejściowego od dnia jego wejścia w życie. W rozporządzeniu (WE) nr 45/2001 przewidziano możliwość stosowania ograniczeń w odniesieniu do niektórych praw osób, których dane dotyczą. Aby uniknąć zagrożeń dla polityki handlowej i prowadzenia dochodzeń w sprawie ochrony handlu, niniejsza decyzja powinna mieć zastosowanie od dnia wejścia w życie rozporządzenia (UE) 2018/1725.

(18) Europejski Inspektor Ochrony Danych wydał opinię w dniu 30 listopada 2018 r.,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1.  Niniejsza decyzja ustanawia zasady obowiązujące Komisję w zakresie informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 w ramach prowadzenia dochodzeń w sprawie ochrony handlu i w zakresie polityki handlowej.

Określa ona również warunki, na jakich Komisja może ograniczyć stosowanie art. 4, 14-17, 19, 20 i 35 rozporządzenia (UE) 2018/1725, zgodnie z art. 25 ust. 1 lit. c), g) i h) tego rozporządzenia.

2.  Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Komisję na potrzeby działań prowadzonych w celu wykonania przez Komisję jej zadań na podstawie rozporządzeń (UE) 2016/1036, (UE) 2016/1037, (UE) 2015/478 i (UE) 2015/755, lub w związku z takimi działaniami.
3.  Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez wszystkie służby Komisji w zakresie, w jakim przetwarzają one dane osobowe zawarte w informacjach, które są one zobowiązane przekazać Komisji, lub do danych osobowych już przetworzonych przez Komisję na potrzeby działań, o których mowa w ust. 2 niniejszego artykułu, lub w związku z takimi działaniami.
Artykuł  2

Mające zastosowanie wyjątki i ograniczenia

1.  Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, Komisja uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
2.  Komisja, z zastrzeżeniem art. 3-7 niniejszej decyzji, może ograniczyć stosowanie art. 14-17, 19, 20 i 35 rozporządzenia (UE) 2018/1725, a także stosowanie zasady przejrzystości określonej w art. 4 ust. 1 lit. a) tego rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-17, art. 19, 20 i 35 tego rozporządzenia, w przypadku gdy wykonywanie tych praw i obowiązków zagrażałoby celowi działań Komisji w zakresie polityki handlowej i ochrony handlu lub naruszałoby prawa i wolności innych osób, których dane dotyczą.
3.  Komisja, z zastrzeżeniem art. 3-7 niniejszej decyzji, może również ograniczyć prawa i obowiązki, o których mowa w ust. 2 niniejszego artykułu, w odniesieniu do danych osobowych uzyskanych od innych instytucji, organów i jednostek organizacyjnych Unii, właściwych organów państw członkowskich, państw trzecich lub organizacji międzynarodowych, jeżeli zachodzą następujące okoliczności:
a) gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794 8  lub rozporządzeniem Rady (UE) 2017/1939 9 ;
b) gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 10 , lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 11 ;
c) gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Komisji z państwami trzecimi lub organizacjami międzynarodowymi przy prowadzeniu dochodzeń w sprawie ochrony handlu.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w akapicie pierwszym lit. a) i b), Komisja konsultuje się z odpowiednimi instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, o ile nie jest jasne dla Komisji, że stosowanie ograniczenia jest przewidziane w jednym z aktów, o których mowa w tych literach.

Akapit pierwszy lit. c) nie stosuje się w przypadku, gdy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, przeważają nad interesem Komisji dotyczącym współpracy z państwami trzecimi lub organizacjami międzynarodowymi.

4.  Ust. 1, 2 i 3 pozostają bez uszczerbku dla stosowania innych decyzji Komisji ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych praw zgodnie z art. 25 rozporządzenia (UE) 2018/1725 i art. 23 regulaminu wewnętrznego Komisji.
Artykuł  3

Przekazywanie informacji osobom, których dane dotyczą

1.  Komisja publikuje na swojej stronie internetowej informacje o ochronie danych, w ramach których informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach dotyczących ochrony handlu obejmujących przetwarzanie ich danych osobowych. W stosownych przypadkach Komisja zapewnia, aby osoby, których dane dotyczą, zostały indywidualnie poinformowane we właściwym formacie.
2.  W przypadku gdy Komisja ogranicza, w całości lub w części, przekazywanie informacji osobom, których dane dotyczą i które to dane są przetwarzane do celów dochodzeń w sprawie ochrony handlu lub w zakresie polityki handlowej, zapisuje ona i rejestruje powody ograniczenia zgodnie z art. 6.
Artykuł  4

Prawo dostępu przysługujące osobom, których dane dotyczą, prawo do usunięcia danych oraz prawo do ograniczenia przetwarzania

1.  W przypadku ograniczenia, całkowitego lub częściowego, prawa osób, których dane dotyczą, do dostępu do danych osobowych, do usunięcia danych lub do ograniczenia przetwarzania, o których to prawach mowa odpowiednio w art. 17, 19 i 20 rozporządzenia (UE) 2018/1725, Komisja informuje zainteresowaną osobę, której dane dotyczą, w odpowiedzi na jej wniosek o dostęp, usunięcie lub ograniczenie przetwarzania, o zastosowanych ograniczeniach i o ich głównych przyczynach oraz o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych lub skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.
2.  Przekazanie informacji dotyczących przyczyn ograniczeń, o których mowa w ust. 1, można wstrzymać, pominąć lub można go odmawiać tak długo, jak długo takie przekazanie naruszałoby cel ograniczenia.
3.  Komisja zapisuje powody ograniczenia zgodnie z art. 6.
4.  W przypadku gdy prawo dostępu jest w całości lub w części ograniczone, osoba, której dane dotyczą, korzysta z prawa dostępu za pośrednictwem Europejskiego Inspektora Ochrony Danych zgodnie z art. 25 ust. 6, 7 i 8 rozporządzenia (UE) 2018/1725.
Artykuł  5

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

W przypadku gdy Komisja ogranicza zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jak określono w art. 35 rozporządzenia (UE) 2018/1725, zapisuje ona i rejestruje powody ograniczenia zgodnie z art. 6 niniejszej decyzji.

Artykuł  6

Zapisywanie i rejestrowanie ograniczeń

1.  Komisja zapisuje powody wszelkich ograniczeń stosowanych na podstawie niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia, z uwzględnieniem odpowiednich elementów wskazanych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.

W tym celu we wpisie określa się, w jaki sposób wykonywanie praw mogłoby zagrozić celowi dochodzeń w sprawie ochrony handlu i w zakresie polityki handlowej lub ograniczeń mających zastosowanie na podstawie art. 2 ust. 2 lub 3, lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.

2.  Wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne uwzględnia się w rejestrze. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
Artykuł  7

Okres obowiązywania ograniczeń

1.  Ograniczenia, o których mowa w art. 3, 4 i 5, stosuje się tak długo, jak długo mają zastosowanie powody uzasadniające ich stosowanie.
2.  W przypadku gdy przyczyny ograniczenia, o którym mowa w art. 3 lub 5, nie mają już zastosowania, Komisja znosi ograniczenie i podaje główne powody ograniczenia osobie, której dane dotyczą. Jednocześnie Komisja informuje osobę, której dane dotyczą, o możliwości wniesienia, w dowolnym momencie, skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości skorzystania ze środka ochrony przed Trybunałem Sprawiedliwości Unii Europejskiej.
3.  Komisja dokonuje przeglądu stosowania ograniczenia, o którym mowa w art. 3 i 5, co sześć miesięcy od jego przyjęcia i po zamknięciu dochodzenia. Następnie Komisja/administrator danych corocznie monitoruje potrzebę zachowania wszelkiego ograniczenia/wstrzymania przekazania informacji.
Artykuł  8

Przegląd przeprowadzany przez inspektora ochrony danych Komisji Europejskiej

1.  Inspektor ochrony danych jest niezwłocznie informowany, ilekroć prawa osób, których dane dotyczą, są ograniczane zgodnie z niniejszą decyzją. Inspektor ochrony danych otrzymuje, na żądanie, dostęp do wpisu oraz wszelkich leżących u jego podstaw dokumentów zawierających elementy stanu faktycznego oraz aspekty prawne.
2.  Inspektor ochrony danych może zwrócić się o przegląd ograniczeń. Inspektor ochrony danych jest informowany na piśmie o wynikach wnioskowanego przeglądu.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej. Niniejszą decyzję stosuje się od dnia 11 grudnia 2018 r.

Sporządzono w Brukseli dnia 14 grudnia 2018 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/478 z dnia 11 marca 2015 r. w sprawie wspólnych reguł przywozu (Dz.U. L 83 z 27.3.2015, s. 16).
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/755 z dnia 29 kwietnia 2015 r. w sprawie wspólnych reguł przywozu z niektórych państw trzecich (Dz.U. L 123 z 19.5.2015, s. 33).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/1036 z dnia 8 czerwca 2016 r. w sprawie ochrony przed przywozem produktów po cenach dumpingowych z krajów niebędących członkami Unii Europejskiej (Dz.U. L 176 z 30.6.2016, s. 21).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/1037 z dnia 8 czerwca 2016 r. w sprawie ochrony przed przywozem towarów subsydiowanych z krajów niebędących członkami Unii Europejskiej (Dz.U. L 176 z 30.6.2016, s. 55).
5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
6 Przechowywanie dokumentacji w Komisji reguluje wspólny wykaz przechowywanych danych, tj. dokument regulacyjny (ostatnia wersja: SEC(2012) 713) w formie harmonogramu przechowywania, w którym określono okresy przechowywania poszczególnych rodzajów akt Komisji.
7 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz.U. L 135 z 24.5.2016, s. 53).
9 Rozporządzenie Rady (UE) 2017/1939 z dnia 12 października 2017 r. wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej (Dz.U. L 283 z 31.10.2017, s. 1).
10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
11 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).