EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021Q0317(01)
Decision of the Steering Committee on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the Education, Audiovisual and Culture Executive Agency
Sklep usmerjevalnega odbora o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Izvajalska agencija za izobraževanje, avdiovizualno področje in kulturo
Sklep usmerjevalnega odbora o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Izvajalska agencija za izobraževanje, avdiovizualno področje in kulturo
PUB/2021/218
UL L 92, 17/03/2021, p. 6–14
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
ELI: http://data.europa.eu/eli/proc_rules/2021/317/oj
|
17.3.2021 |
SL |
Uradni list Evropske unije |
L 92/6 |
SKLEP USMERJEVALNEGA ODBORA
o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Izvajalska agencija za izobraževanje, avdiovizualno področje in kulturo
USMERJEVALNI ODBOR JE –
ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 249(1) Pogodbe,
ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) (v nadaljnjem besedilu: Uredba) ter zlasti člena 25 Uredbe,
ob upoštevanju Izvedbenega sklepa Komisije 2013/776/EU z dne 18. decembra 2013 o ustanovitvi Izvajalske agencije za izobraževanje, avdiovizualno področje in kulturo ter razveljavitvi Sklepa 2009/336/ES (2),
po posvetovanju z Evropskim nadzornikom za varstvo podatkov,
ob upoštevanju naslednjega:
|
(1) |
Izvajalska agencija za izobraževanje, avdiovizualno področje in kulturo (v nadaljnjem besedilu: Agencija) je bila ustanovljena z Izvedbenim sklepom 2013/776/EU za opravljanje nalog, povezanih z izvajanjem programov Unije na področjih izobraževanja, avdiovizualnih medijev in kulture (3). |
|
(2) |
Agencija lahko v okviru svojega upravnega in operativnega delovanja izvaja upravne preiskave, preddisciplinske in disciplinske postopke ter postopke začasne odstranitve z delovnega mesta v skladu s Kadrovskimi predpisi za uradnike Evropske unije in Pogoji za zaposlitev drugih uslužbencev Evropske unije, kakor so določeni z Uredbo Sveta (EGS, Euratom, ESPJ) št. 259/68 (4) (v nadaljnjem besedilu: Kadrovski predpisi) ter izvedbenimi določbami o izvajanju upravnih preiskav in disciplinskih postopkov. Po potrebi lahko izvede predhodne dejavnosti, povezane s primeri morebitnih goljufij in nepravilnosti, ter o takih primerih obvesti urad OLAF. |
|
(3) |
Uslužbenci Agencije morajo prijaviti morebitne nezakonite dejavnosti, vključno z goljufijami in korupcijo, ki škodijo interesom Unije. Prijaviti morajo tudi ravnanje v zvezi z opravljanjem poklicnih nalog, ki lahko pomeni hudo kršenje obveznosti uradnikov Unije. To področje urejajo notranja pravila ali politike v zvezi s prijavljanjem nepravilnosti. |
|
(4) |
Agencija je vzpostavila politiko učinkovitega preprečevanja in obravnave dejanskih ali morebitnih primerov psihološkega ali spolnega nadlegovanja na delovnem mestu, kot je določena z izvedbenimi ukrepi v skladu s Kadrovskimi predpisi, s katerimi je vzpostavljen neformalni postopek, po katerem se lahko domnevna žrtev nadlegovanja obrne na zaupne svetovalce Agencije. |
|
(5) |
Agencija lahko izvaja tudi preiskave v zvezi z notranjo (informacijsko-tehnološko) varnostjo in morebitnimi kršitvami varnostnih predpisov za varovanje tajnih podatkov Evropske unije (tajni podatki EU). |
|
(6) |
Dejavnosti Agencije so predmet notranjih in zunanjih revizij, ki jih med drugim izvajajo službe za notranjo revizijo Evropske komisije in Evropsko računsko sodišče. |
|
(7) |
Agencija lahko obravnava zahteve Evropskega javnega tožilstva in zahteve za dostop do zdravstvenih kartotek uslužbencev Agencije ter opravlja preiskave, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe. |
|
(8) |
Agencija v okviru takih upravnih preiskav, revizij in drugih preiskav ali zahtev sodeluje z drugimi institucijami, organi, uradi in agencijami Unije. |
|
(9) |
Agencija lahko sodeluje z nacionalnimi organi tretjih držav in mednarodnimi organizacijami bodisi na njihovo zahtevo bodisi na lastno pobudo. |
|
(10) |
Agencija lahko sodeluje tudi z javnimi organi držav članic EU bodisi na njihovo zahtevo bodisi na lastno pobudo. |
|
(11) |
Agencija je lahko predmet pritožb, postopkov ali preiskav prek prijaviteljev nepravilnosti ali evropskega varuha človekovih pravic. |
|
(12) |
Agencija je lahko vključena v postopke pred Sodiščem Evropske unije, kadar zadevo predloži Sodišču, zagovarja odločitev, ki jo je sprejela in je bila izpodbijana pred Sodiščem, ali intervenira v postopku, ki zadeva njene naloge. V zvezi s tem mora morda ohraniti zaupnost osebnih podatkov iz dokumentov, ki jih pridobijo stranke ali intervenienti. |
|
(13) |
Agencija v okviru svojih dejavnosti obdeluje več kategorij osebnih podatkov, vključno z identifikacijskimi podatki posameznikov, kontaktnimi podatki, poklicnimi vlogami in nalogami, informacijami o zasebnem in poklicnem ravnanju in uspešnosti ter finančnimi podatki, v nekaterih posebnih primerih pa tudi občutljive podatke (npr. zdravstvene podatke). Osebni podatki vključujejo dejanske „zanesljive“ podatke in „nezanesljive“ podatke na podlagi ocene. „Zanesljivi podatki“ so objektivni dejanski podatki, kot so identifikacijski podatki, kontaktni podatki, podatki o poklicnih dejavnostih, upravne podrobnosti, metapodatki, ki se nanašajo na elektronske komunikacije, in podatki o prometu. „Nezanesljivi podatki“ so subjektivni podatki, ki vključujejo predvsem opis ter oceno razmer in okoliščin, mnenja, ugotovitve v zvezi s posamezniki, na katere se nanašajo osebni podatki, oceno ravnanja in uspešnosti posameznikov, na katere se nanašajo osebni podatki, ter utemeljitev posameznih odločitev, povezanih s predmetom postopka ali dejavnosti, ki jo izvaja Agencija v skladu z veljavnim pravnim okvirom, oziroma omenjenih v zvezi z njo. Ocene, ugotovitve in mnenja se štejejo za osebne podatke v smislu člena 3(1) Uredbe. |
|
(14) |
Agencija mora zato v skladu z Uredbo posameznikom, na katere se nanašajo osebni podatki, zagotavljati informacije o navedenih dejavnostih obdelave ter spoštovati njihove pravice, ki jih imajo kot posamezniki, na katere se nanašajo osebni podatki. |
|
(15) |
Agencija je zavezana, da v čim večji meri spoštuje temeljne pravice posameznikov, na katere se nanašajo osebni podatki, predvsem pravico do zagotavljanja informacij, dostopa in popravka, pravico do izbrisa, omejitve obdelave, pravico do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali do zaupnosti komunikacije, kot je določeno v Uredbi. Od Agencije pa se lahko tudi zahteva, naj omeji pravice in obveznosti posameznikov, na katere se nanašajo osebni podatki, zaradi zaščite svojih dejavnosti ter temeljnih pravic in svoboščin drugih. |
|
(16) |
Agencija zato lahko v skladu s členom 25(1) in (5) Uredbe pod določenimi pogoji omeji uporabo členov 14 do 22, 35 in 36 ter člena 4 Uredbe, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 20. Ta omejitev mora temeljiti na notranjih pravilih, ki se sprejmejo na najvišji ravni vodstva Agencije in objavijo v Uradnem listu Evropske unije, če ne temeljijo na pravnih aktih, sprejetih na podlagi Pogodb. |
|
(17) |
Omejitve se lahko uporabljajo za različne pravice posameznikov, na katere se nanašajo osebni podatki, vključno s pravico do zagotavljanja informacij posameznikom, na katere se nanašajo osebni podatki, in pravico do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali do zaupnosti komunikacije, kot je določeno v Uredbi. |
|
(18) |
Agencija mora navedene pravice morda uskladiti s cilji upravnih preiskav, revizij, drugih preiskav in sodnih postopkov. Prav tako mora morda uravnotežiti pravice posameznikov, na katere se nanašajo osebni podatki, s temeljnimi pravicami in svoboščinami drugih posameznikov, na katere se nanašajo osebni podatki. |
|
(19) |
Agencija mora morda na primer omejiti informacije, ki jih zagotavlja posamezniku, na katerega se nanašajo osebni podatki, o obdelavi njegovih osebnih podatkov v fazi predhodne ocene upravne preiskave ali med preiskavo samo, pred morebitno zavrnitvijo zadeve ali v fazi preddisciplinskega postopka. V nekaterih okoliščinah lahko zagotavljanje takih informacij resno vpliva na sposobnost Agencije za učinkovito izvedbo preiskave, kadar na primer obstaja tveganje, da bi lahko zadevna oseba uničila dokaze ali vplivala na morebitne priče pred njihovim zaslišanjem. Agencija mora morda tudi zaščititi pravice in svoboščine prič in drugih vpletenih oseb. |
|
(20) |
Agencija mora morda zaščititi anonimnost priče ali prijavitelja nepravilnosti, ki je zahteval, naj se njegova identiteta ne razkrije. V tem primeru se lahko odloči za omejitev dostopa do identitete, izjav in drugih osebnih podatkov takih oseb ali osumljenca, da zaščiti njihove pravice in svoboščine. |
|
(21) |
Agencija mora morda zaščititi zaupne informacije o uslužbencu, ki se je obrnil na njene zaupne svetovalce v postopku prijave nadlegovanja. V takih primerih mora morda omejiti dostop do identitete, izjav in drugih osebnih podatkov domnevne žrtve, domnevnega nadlegovalca in drugih vpletenih, da zaščiti pravice in svoboščine vseh zadevnih posameznikov. |
|
(22) |
Pri postopkih za izbor in zaposlitev, ocenjevanje osebja in oddajo javnega naročila se lahko pravica do dostopa, popravka, izbrisa in omejitve obdelave uveljavlja le v določenih trenutkih in pod pogoji, določenimi v zadevnih postopkih, da se zavarujejo pravice drugih posameznikov, na katere se nanašajo osebni podatki, ter spoštujeta načeli enakega obravnavanja in tajnosti posvetovanj. |
|
(23) |
Agencija lahko tudi omeji dostop posameznikov do njihovih zdravstvenih podatkov, na primer s področja psihologije ali psihiatrije, zaradi morebitne občutljivosti teh podatkov, zdravstvena služba Komisije pa bo morda želela omogočiti posameznikom, na katere se nanašajo osebni podatki, samo posreden dostop prek njihovega osebnega zdravnika. Posameznik, na katerega se nanašajo osebni podatki, lahko uveljavlja pravico do popravka ocen ali mnenj zdravstvene službe Komisije s predložitvijo svojih pripomb ali poročila zdravnika po lastni izbiri. |
|
(24) |
Agencija, ki jo zastopa direktor, ima vlogo upravljavca podatkov ne glede na nadaljnje prenose vloge upravljavca znotraj Agencije, da se upoštevajo operativne pristojnosti za posebne dejavnosti obdelave osebnih podatkov, na pristojne „delegirane upravljavce podatkov“. |
|
(25) |
Osebni podatki so varno shranjeni v elektronskem okolju v skladu s Sklepom Komisije (EU, Euratom) 2017/46 (5) o varnosti komunikacijskih in informacijskih sistemov v Evropski komisiji ali na papirju, kar preprečuje nezakonit dostop do podatkov ali njihov prenos osebam, ki nimajo potrebe po seznanitvi z njimi. Osebni podatki, ki se obdelujejo, se hranijo le toliko časa, kolikor je nujno in primerno za namene, za katere se podatki obdelujejo, za obdobje, določeno v obvestilih o varstvu podatkov in evidencah Agencije. |
|
(26) |
Agencija uporablja omejitve samo, če se z njimi upošteva bistvo temeljnih pravic in svoboščin ter so nujno potreben in sorazmeren ukrep v demokratični družbi. Agencija navede razloge, ki utemeljujejo navedene omejitve, posameznike, na katere se nanašajo osebni podatki, pa ustrezno obvesti o navedenih razlogih in njihovi pravici do vložitve pritožbe pri ENVP, kot določa člen 25(6) Uredbe. |
|
(27) |
Agencija na podlagi načela odgovornosti vodi evidenco o svoji uporabi omejitev. |
|
(28) |
Pri obdelavi osebnih podatkov, ki jih Agencija v okviru svojih nalog izmenja z drugimi organizacijami, se Agencija in navedene organizacije medsebojno posvetujejo o morebitnih razlogih za uvedbo omejitev ter o nujnosti in sorazmernosti navedenih omejitev, razen če bi to ogrozilo dejavnosti Agencije. |
|
(29) |
Ta notranja pravila se zato uporabljajo za vse postopke obdelave, ki vključujejo osebne podatke in jih Agencija izvaja pri opravljanju upravnih preiskav, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, prijavljenih uradu OLAF, preiskav Evropskega javnega tožilstva, postopkov za prijavljanje nepravilnosti, (uradnih in neuradnih) postopkov za primere nadlegovanja, obdelave notranjih in zunanjih pritožb, zahtev za dostop do lastnih zdravstvenih kartotek ali njihov popravek, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe, preiskav v zvezi z (informacijskotehnološko) varnostjo, ki se izvajajo notranje ali z zunanjo pomočjo (npr. CERT-EU), revizij, postopkov pred Sodiščem Evropske unije ali nacionalnimi javnimi organi, postopkov za izbor in zaposlitev, ocenjevanje osebja in oddajo javnega naročila, kot je navedeno zgoraj. |
|
(30) |
Ta notranja pravila se uporabljajo za dejavnosti obdelave, izvedene pred začetkom zgoraj navedenih postopkov, med temi postopki in med spremljanjem nadaljnjih ukrepov na podlagi izida teh postopkov. Vključevati bi morala tudi pomoč in sodelovanje, ki ju Agencija zagotavlja drugim institucijam EU, nacionalnim organom in mednarodnim organizacijam zunaj svojih upravnih preiskav. |
|
(31) |
Agencija lahko v skladu s členom 25(8) Uredbe preloži, opusti ali zavrne zagotavljanje informacij o razlogih za uporabo omejitve posamezniku, na katerega se nanašajo osebni podatki, če bi se s tem kakor koli izničil učinek omejitve. Agencija za vsak primer posebej oceni, ali bi sporočanje omejitve izničilo njen učinek. |
|
(32) |
Agencija odpravi omejitev takoj, ko pogoji, ki jo upravičujejo, ne veljajo več, in navedene pogoje redno ocenjuje. |
|
(33) |
Za zagotovitev čim večje zaščite pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter v skladu s členom 44(1) Uredbe, se je treba pred morebitno uporabo ali proučitvijo vsake omejitve pravočasno posvetovati z osebo, ki je v Agenciji pooblaščena za varstvo podatkov, in preveriti skladnost omejitve s tem sklepom. |
|
(34) |
Člena 16(5) in 17(4) Uredbe določata izjeme od pravic posameznikov, na katere se nanašajo osebni podatki, do obveščenosti in dostopa. Če veljajo te izjeme, Agenciji ni treba uporabiti omejitve v skladu s tem sklepom – |
SPREJEL NASLEDNJI SKLEP:
Člen 1
Predmet urejanja in področje uporabe
1. Ta sklep določa pravila v zvezi s pogoji, pod katerimi lahko Izvajalska agencija za izobraževanje, avdiovizualno področje in kulturo ter kateri koli njen pravni naslednik (v nadaljnjem besedilu: Agencija) omeji uporabo členov 4, 14 do 22, 35 in 36 v skladu s členom 25 Uredbe.
2. Agencijo kot upravljavca podatkov zastopa njen direktor, ki lahko funkcijo upravljavca podatkov prenese.
Člen 2
Omejitve, ki se uporabljajo
1. Agencija lahko omeji uporabo členov 14 do 22, 35 in 36 ter člena 4 Uredbe, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 20.
2. Sklep se uporablja za obdelavo osebnih podatkov v Agenciji v okviru njenega upravnega in operativnega delovanja:
|
(a) |
v skladu s členom 25(1)(b), (c), (f), (g) in (h) Uredbe pri izvajanju notranjih preiskav, vključno na podlagi zunanjih pritožb, upravnih preiskav, preddisciplinskih in disciplinskih postopkov ter postopkov začasne odstranitve z delovnega mesta v skladu s členom 86 in Prilogo IX h Kadrovskim predpisom ter njihovimi izvedbenimi pravili, varnostnih preiskav ali preiskav urada OLAF; |
|
(b) |
v skladu s členom 25(1)(h) Uredbe pri zagotavljanju, da lahko njeni uslužbenci prijavijo dejstva zaupno, kadar menijo, da obstajajo hude nepravilnosti, kot je določeno v notranjih pravilih ali politikah v zvezi s prijavljanjem nepravilnosti; |
|
(c) |
v skladu s členom 25(1)(h) Uredbe pri zagotavljanju, da lahko njeni uslužbenci poročajo zaupnim svetovalcem v okviru postopka prijave nadlegovanja, kot je opredeljen z notranjimi pravili; |
|
(d) |
v skladu s členom 25(1)(c), (g) in (h) Uredbe pri izvajanju notranjih ali zunanjih revizij v zvezi z dejavnostmi ali delovanjem Agencije; |
|
(e) |
v skladu s členom 25(1)(d) in (h) Uredbe pri zagotavljanju varnostnih analiz, vključno s kibernetsko varnostjo in zlorabami sistemov IT, ki se izvajajo notranje ali z zunanjo pomočjo (npr. CERT-EU), zagotavljanju notranje varnosti z videonadzorom, nadzorom dostopa in preiskovalnimi dejavnostmi, zagotavljanju varnosti komunikacijskih in informacijskih sistemov ter izvajanju tehnično-varnostnih protiukrepov; |
|
(f) |
v skladu s členom 25(1)(g) in (h) Uredbe, kadar oseba, ki je v Agenciji pooblaščena za varstvo podatkov, zadeve preiskuje neposredno v povezavi s svojimi nalogami; |
|
(g) |
v skladu s členom 25(1)(b), (g) in (h) Uredbe v okviru preiskav Evropskega javnega tožilstva; |
|
(h) |
v skladu s členom 25(1)(h) Uredbe, kadar posamezniki zahtevajo dostop do svojih zdravstvenih podatkov ali njihov popravek, tudi če jih hrani zdravstvena služba Komisije; |
|
(i) |
v skladu s členom 25(1)(c), (d), (g) in (h) Uredbe pri zagotavljanju pomoči drugim institucijam, organom, uradom in agencijam Unije ali prejemanju pomoči od njih ali pri sodelovanju z njimi v okviru dejavnosti iz točk (a) do (h) tega odstavka ter v skladu z zadevnimi sporazumi o ravni storitev, memorandumi o soglasju in sporazumi o sodelovanju iz njihovega zadevnega akta o ustanovitvi; |
|
(j) |
v skladu s členom 25(1)(c), (g) in (h) Uredbe pri zagotavljanju pomoči nacionalnim organom tretjih držav in mednarodnim organizacijam ali prejemanju pomoči od njih ali pri sodelovanju s takimi organi in organizacijami bodisi na njihovo zahtevo bodisi na lastno pobudo; |
|
(k) |
v skladu s členom 25(1)(c), (g) in (h) Uredbe pri zagotavljanju pomoči javnim organom držav članic EU ali prejemanju pomoči od njih ali pri sodelovanju z njimi bodisi na njihovo zahtevo bodisi na lastno pobudo; |
|
(l) |
v skladu s členom 25(1)(e) Uredbe pri obdelovanju osebnih podatkov iz dokumentov, ki jih pridobijo stranke ali intervenienti v okviru postopkov pred Sodiščem Evropske unije; |
Za namen tega sklepa zgornje dejavnosti vključujejo pripravljalne in nadaljnje ukrepe, neposredno povezane z isto dejavnostjo.
3. Agencija lahko uporablja omejitve pravic posameznikov, na katere se nanašajo osebni podatki, iz tega sklepa tudi v naslednjih okoliščinah, o čemer odloča za vsak primer posebej:
|
(a) |
kadar lahko službe Komisije ali druge institucije, organi, agencije in uradi Unije omejijo uveljavljanje navedenih pravic in bi bil namen take omejitve s strani zadevne službe Komisije, institucije, organa, urada ali agencije Unije ogrožen, če Agencija ne bi uporabila enakovredne omejitve glede istih osebnih podatkov; |
|
(b) |
kadar lahko pristojni organi držav članic omejijo uveljavljanje navedenih pravic in bi bil namen take omejitve s strani zadevnega organa države članice ogrožen, če Agencija ne bi uporabila enakovredne omejitve glede istih osebnih podatkov; |
|
(c) |
če bi uveljavljanje navedenih pravic in obveznosti lahko ogrozilo sodelovanje Agencije s tretjimi državami ali mednarodnimi organizacijami pri izvajanju njenih nalog, razen če nad tako potrebo po sodelovanju prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. |
|
(d) |
Agencija se pred uporabo omejitev na podlagi tega odstavka po potrebi posvetuje z ustreznimi službami Komisije, drugimi institucijami, organi, agencijami ali uradi Unije, mednarodnimi organizacijami ali pristojnimi organi držav članic, razen če je jasno, da je omejitev določena z enim od zgoraj navedenih aktov ali če bi tako posvetovanje ogrozilo dejavnosti Agencije. |
4. Kategorije osebnih podatkov, ki se obdelujejo v zvezi z zgornjimi dejavnostmi, lahko vsebujejo dejanske „zanesljive“ podatke in „nezanesljive“ podatke na podlagi ocene.
5. Pri vseh omejitvah se spoštuje bistvo temeljnih pravic in svoboščin, omejitve pa morajo biti nujen in sorazmeren ukrep v demokratični družbi.
Člen 3
Evidentiranje omejitev in njihov vpis v register
1. Upravljavec podatkov evidentira omejitev, pri čemer opiše:
|
(a) |
razloge za vsako omejitev, ki se uporablja v skladu s tem sklepom; |
|
(b) |
kateri razlogi od navedenih v členu 2 veljajo; |
|
(c) |
kako bi uveljavljanje pravice pomenilo tveganje za posameznika, na katerega se nanašajo osebni podatki, ogrozilo namen nalog Agencije ali škodljivo vplivalo na pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki; |
|
(d) |
rezultate ocene nujnosti in sorazmernosti omejitve ob upoštevanju ustreznih elementov iz člena 25(2) Uredbe. |
2. Pred uporabo omejitev se za vsak primer posebej izvede preskus nujnosti in sorazmernosti omejitve. Upravljavec podatkov upošteva morebitna tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Omejitve morajo biti omejene na to, kar je nujno potrebno za doseganje njihovih ciljev.
3. Evidenca omejitve ter po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se vpišejo v register. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.
Člen 4
Tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki
1. Ocene tveganj uvedbe omejitev za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in podrobnosti o obdobju uporabe teh omejitev se zabeležijo v evidenci dejavnosti obdelave, ki jo upravljavec podatkov vodi v skladu s členom 31 Uredbe. Zabeležijo se tudi v vsaki oceni učinka v zvezi z varstvom podatkov, po potrebi opravljeni v zvezi z navedenimi omejitvami v skladu s členom 39 Uredbe.
2. Upravljavec podatkov pri preučitvi uporabe omejitve pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem negativnega vpliva na preiskave ali postopke, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar niso omejena nanje.
Člen 5
Zaščitni ukrepi in obdobja hrambe
1. Agencija uvede posebne zaščitne ukrepe za preprečevanje zlorabe osebnih podatkov, za katere se uporabljajo ali bi se lahko uporabljale omejitve, nezakonitega dostopa do teh podatkov ali njihovega nezakonitega prenosa. Taki zaščitni ukrepi vključujejo tehnične in organizacijske ukrepe ter so po potrebi podrobno opisani v notranjih sklepih, postopkih in izvedbenih pravilih Agencije. Ti zaščitni ukrepi vključujejo:
|
(a) |
jasno opredelitev vlog, odgovornosti in postopkovnih korakov; |
|
(b) |
po potrebi varno elektronsko okolje, ki nepooblaščenim osebam preprečuje nezakonit in naključen dostop do elektronskih podatkov ali njihov prenos; |
|
(c) |
po potrebi varno hrambo in obdelavo papirnih dokumentov; |
|
(d) |
zagotovitev izpolnjevanja obveznosti glede zaupnosti za vse osebe, ki imajo dostop do osebnih podatkov. |
2. Obdobje hrambe osebnih podatkov, za katere velja omejitev, se ob upoštevanju namena obdelave opredeli v povezani evidenci v skladu s členom 31 Uredbe ter vključuje časovni okvir, potreben za upravno in sodno revizijo. Ob koncu obdobja hrambe se osebni podatki izbrišejo, anonimizirajo ali prenesejo v arhive v skladu s členom 13 Uredbe.
Člen 6
Trajanje omejitev
1. Omejitve iz člena 2 se še naprej uporabljajo, dokler veljajo razlogi, ki jih upravičujejo.
2. Ko razlogi za omejitev ne veljajo več, upravljavec podatkov prekliče omejitev, če uveljavljanje omejene pravice ne bi več negativno vplivalo na zadevni postopek ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.
3. Če posameznik, na katerega se nanašajo osebni podatki, ponovno zaprosi za dostop do zadevnih osebnih podatkov, mu upravljavec podatkov sporoči glavne razloge za omejitev. Hkrati Agencija obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko kadar koli vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov ali uveljavlja pravno sredstvo na Sodišču Evropske unije.
4. Agencija pregleda uporabo omejitev iz člena 2 vsakih šest mesecev.
Člen 7
Vključitev pooblaščene osebe za varstvo podatkov
1. Upravljavec podatkov v Agenciji pred vsako odločitvijo o omejitvi pravic posameznika, na katerega se nanašajo osebni podatki, v skladu s tem sklepom ali podaljšanju uporabe omejitve nemudoma obvesti osebo, ki je v Agenciji pooblaščena za varstvo podatkov. Upravljavec podatkov zagotovi pooblaščeni osebi za varstvo podatkov dostop do povezanih evidenc in dokumentov, ki se nanašajo na dejansko stanje ali pravni okvir.
2. Pooblaščena oseba za varstvo podatkov lahko zahteva, naj upravljavec podatkov pregleda uporabo omejitve. Upravljavec podatkov o rezultatih zahtevanega pregleda pisno obvesti pooblaščeno osebo za varstvo podatkov.
3. Upravljavec podatkov dokumentira vključitev pooblaščene osebe za varstvo podatkov v uporabo omejitve, med drugim tudi, katere informacije so ji dane na voljo. Dokumenti iz tega člena so del evidence v zvezi z omejitvijo in se na zahtevo dajo na voljo ENVP.
Člen 8
Obveščanje posameznika, na katerega se nanašajo osebni podatki, o omejitvah njegovih pravic
1. Upravljavec podatkov v obvestila o varstvu podatkov in evidence v skladu s členom 31 Uredbe, objavljene na njegovem spletnem mestu in intranetu, vključi splošne informacije o morebitnih omejitvah pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s členom 2(2) tega sklepa. Informacije zajemajo navedbo pravic in obveznosti, ki se lahko omejijo, razloge za morebitno uporabo omejitev in njihovo morebitno trajanje.
2. Upravljavec podatkov posameznike, na katere se nanašajo osebni podatki, posamično pisno in brez nepotrebnega odlašanja obvesti o omejitvah njihovih pravic, ki se uporabljajo ali se bodo uporabljale. Upravljavec podatkov obvesti posameznika, na katerega se nanašajo osebni podatki, o glavnih razlogih, na katerih temelji uporaba omejitve, njegovi pravici do posvetovanja s pooblaščeno osebo za varstvo podatkov glede izpodbijanja omejitve in njegovi pravici do vložitve pritožbe pri ENVP.
3. Upravljavec podatkov lahko preloži, opusti ali zavrne zagotavljanje informacij o razlogih za omejitev in pravici do vložitve pritožbe pri ENVP, vse dokler bi se s tem izničil učinek omejitve. Ocena te utemeljitve se opravi za vsak primer posebej, upravljavec podatkov pa posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije takoj, ko se s tem ne bi več izničil učinek omejitve.
Člen 9
Pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec podatkov omeji pravico do dostopa iz člena 17 Uredbe, kadar je to nujno in sorazmerno glede na dejavnosti v skladu s tem sklepom.
2. Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru posebne dejavnosti obdelave iz člena 2(2) tega sklepa, Agencija svoj odziv omeji na osebne podatke, ki se obdelujejo za navedeno dejavnost.
3. Pravice posameznikov, na katere se nanašajo osebni podatki, do neposrednega dostopa do dokumentov s področja psihologije ali psihiatrije, se lahko omejijo. S temi notranjimi pravili se ne omejijo pravice do posrednega dostopa, popravka in obveščanja o kršitvi varnosti osebnih podatkov. Zdravniku posredniku bi bilo zato treba na zahtevo zadevnega posameznika zagotoviti dostop do vseh povezanih informacij in podeliti diskrecijsko pravico, da odloči, kako naj se posamezniku, na katerega se nanašajo osebni podatki, zagotovi dostop in kakšen dostop naj se mu zagotovi.
4. Če upravljavec podatkov v celoti ali delno omeji pravico do dostopa do osebnih podatkov iz člena 17 Uredbe, zadevnega posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na zahtevo za dostop pisno obvesti o uporabljeni omejitvi in glavnih razlogih zanjo ter o možnosti vložitve pritožbe pri ENVP ali možnosti uveljavljanja pravnega sredstva na Sodišču Evropske unije.
5. V skladu s členom 25(8) Uredbe se zagotavljanje informacij o omejitvi dostopa lahko preloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve.
6. Omejitev iz tega člena se uporablja v skladu s tem sklepom.
Člen 10
Pravica do popravka, izbrisa in omejitve obdelave
1. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec podatkov omeji pravico do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe, kadar je to nujno in primerno glede na dejavnosti iz člena 2(2) tega sklepa.
2. V zvezi z zdravstvenimi podatki lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo pravico do popravka ocene ali mnenja zdravstvene službe Komisije s predložitvijo svojih pripomb ali poročila zdravnika, ki ga izberejo sami, neposredno zdravstveni službi Komisije.
3. Omejitev iz tega člena se uporablja v skladu s tem sklepom.
Člen 11
Sporočanje kršitve varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki
1. Kadar za upravljavca podatkov velja obveznost sporočanja kršitev varnosti osebnih podatkov v skladu s členom 35(1) Uredbe, ta lahko v izjemnih okoliščinah v celoti ali delno omeji tako sporočilo. V zaznamku dokumentira razloge za omejitev, njeno pravno podlago v skladu s členom 2 ter oceno njene nujnosti in sorazmernosti. Zaznamek se sporoči ENVP ob priglasitvi kršitve varnosti osebnih podatkov.
2. Kadar razlogi za omejitev ne veljajo več, Agencija sporoči kršitev varnosti osebnih podatkov zadevnemu posamezniku, na katerega se nanašajo osebni podatki, ter ga obvesti o glavnih razlogih za omejitev in njegovi pravici, da vloži pritožbo pri ENVP.
Člen 12
Zaupnost elektronskih sporočil
1. Agencija lahko v izjemnih okoliščinah omeji pravico do zaupnosti elektronskih sporočil iz člena 36 Uredbe. Take omejitve morajo biti v skladu z Direktivo 2002/58/ES Evropskega parlamenta in Sveta (6).
2. Ne glede na člen 8(3) mora Agencija, kadar omeji pravico do zaupnosti elektronskih sporočil, zadevnega posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na njegovo zahtevo obvestiti o glavnih razlogih, na katerih temelji uporaba omejitve, in o njegovi pravici do vložitve pritožbe pri ENVP.
Člen 13
Začetek veljavnosti
Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
V Bruslju, 22. oktobra 2020
Za usmerjevalni odbor
Predsednica
Themis CHRISTOPHIDOU
(1) UL L 295, 21.11.2018, str. 39.
(2) Izvedbeni sklep Komisije 2013/776/EU z dne 18. decembra 2013 o ustanovitvi Izvajalske agencije za izobraževanje, avdiovizualno področje in kulturo ter razveljavitvi Sklepa 2009/336/ES (UL L 343, 19.12.2013, str. 46); ponovno spremenjen z izvedbenima sklepoma (EU) 2018/1716 (UL L 286, 14.11.2018, str. 33) in (EU) 2019/1855 (UL L 285, 6.11.2019, str. 14).
(3) Sklep Komisije C(2013) 9189 z dne 18. decembra 2013 o prenosu pooblastil na agencijo EACEA za opravljanje nalog, povezanih z izvajanjem programov Unije na področjih izobraževanja, avdiovizualnih medijev in kulture, ki zajemajo zlasti izvrševanje odobritev, vključenih v splošni proračun Unije, in dodeljevanje sredstev iz ERS. Navedeni sklep je bil ponovno spremenjen s Sklepom Komisije C(2014) 4084 z dne 26. junija 2014, Sklepom Komisije C(2015) 658 z dne 12. februarja 2015, Sklepom Komisije C(2016) 401 z dne 1. februarja 2016, Sklepom Komisije C(2016) 1851 z dne 31. marca 2016, Sklepom Komisije C(2017) 3049 z dne 12. maja 2017, Sklepom Komisije C(2018) 5011 z dne 1. avgusta 2018, Sklepom Komisije C(2018) 7435 z dne 13. novembra 2018, Sklepom Komisije C(2019) 1299 z dne 19. februarja 2019 in Sklepom Komisije C(2019) 7856 z dne 6. novembra 2019.
(4) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o določitvi Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev Evropskih skupnosti ter uvedbi posebnih ukrepov, začasno veljavnih za uradnike Komisije (UL L 56, 4.3.1968, str. 1).
(5) Sklep Komisije (EU, Euratom) 2017/46 z dne 10. januarja 2017 o varnosti komunikacijskih in informacijskih sistemov v Evropski komisiji (UL L 6, 11.1.2017, str. 40).
(6) Direktiva 2002/58/ES evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (UL L 201, 31.7.2002, str. 37).