Akt prawny
obowiązujący
Wersja aktualna od 2020-09-01
Wersja aktualna od 2020-09-01
obowiązujący
Alerty
DECYZJA 2019/15 ZARZĄDU EUROPEJSKIEJ AGENCJI BEZPIECZEŃSTWA I ZDROWIA W PRACY
z dnia 11 grudnia 2019 r.
w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działania EU-OSHA
ZARZĄD EUROPEJSKIEJ AGENCJI BEZPIECZEŃSTWA I ZDROWIA W PRACY,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725z dnia 2 3 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1), w szczególności jego art. 25,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/126 z dnia 16 stycznia 2019 r. ustanawiające Europejską Agencję Bezpieczeństwa i Zdrowia w Pracy (EU-OSHA) i uchylające rozporządzenie Rady (WE) nr 2062/94 (2),
uwzględniając regulamin wewnętrzny zarządu EU-OSHA,
uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 17 października 2019 r. oraz wytyczne EIOD dotyczące art. 2 5 nowego rozporządzenia i przepisów wewnętrznych,
a także mając na uwadze, co następuje:
(1) EU-OSHA prowadzi działalność zgodnie z rozporządzeniem (UE) 2019/126.
(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-21, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-21, powinny opierać się na przepisach wewnętrznych, które mają zostać przyjęte przez Agencję, jeżeli nie opierają się na aktach prawnych przyjętych na podstawie Traktatów.
(3) Te przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, której dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.
(4) Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
(5) Agencja może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), rozpatrywać sprawy związane ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzać (formalne i nieformalne) procedury dotyczące nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia właściwe dla inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzenia dotyczące bezpieczeństwa (informatycznego). Ponadto Agencja może rozpatrywać wnioski o dostęp do dokumentacji medycznej pracowników.
Agencja przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
(6) Agencja, reprezentowana przez jej dyrektora wykonawczego, działa w charakterze administratora danych niezależnie od dalszego przekazywania roli administratora w ramach Agencji, aby odzwierciedlić odpowiedzialność operacyjną za określone operacje przetwarzania danych osobowych.
(7) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Dokumentacja medyczna przechowywana jest przez lekarza usługodawcy zewnętrznego zaangażowanego przez Agencję. Przetwarzane dane osobowe przechowywane są przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w oświadczeniach o ochronie danych osobowych lub rejestrach Agencji.
(8) Przepisy wewnętrzne powinny mieć zastosowanie do wszystkich procesów przetwarzania prowadzonych przez Agencję w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, zgłaszania przypadków naruszeń przez sygnalistów, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE), a także do rozpatrywania wniosków o dostęp do własnej dokumentacji medycznej.
(9) Należy je stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony Agencji na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.
(10) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, Agencja musi uzasadnić dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.
(11) W ramach powyższego Agencja podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.
(12) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.
(13) Agencja może zatem ograniczyć informacje do celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.
(14) Agencja powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.
(15) Administrator powinien poinformować inspektora ochrony danych w momencie odroczenia i podczas przeglądów.
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres
1. W niniejszej decyzji ustanawia się przepisy dotyczące warunków, na jakich Agencja w ramach prowadzonych przez nią procedur określonych w ust. 2 może ograniczyć stosowanie art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
2. W ramach działalności administracyjnej Agencji niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych prowadzonych przez Agencję na potrzeby postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, zgłaszania przypadków naruszeń przez sygnalistów, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU),egzekwowania roszczeń cywilnoprawnych, a także do rozpatrywania wniosków o dostęp do własnej dokumentacji medycznej.
3. Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub poufności łączności.
Artykuł 2
Określenie administratora danych i zabezpieczenia
1. Wprowadzone zabezpieczenia zapobiegające naruszeniom ochrony danych, wyciekom lub nieuprawnionym ujawnieniom obejmują:
a) przechowywanie dokumentów w formie papierowej w zabezpieczonych szafkach i udostępnianie ich wyłącznie upoważnionemu personelowi;
b) przechowywanie danych elektronicznych w bezpiecznej aplikacji informatycznej zgodnie ze standardami Agencji w zakresie bezpieczeństwa, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. Stosowny dostęp do różnych poziomów udzielany jest na zasadzie indywidualnej;
c) baza danych jest chroniona hasłem w ramach systemu pojedynczego logowania i łączy się automatycznie z identyfikatorem i hasłem użytkownika. Bezwzględnie zakazane jest korzystanie z danych użytkownika przez inne osoby. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;
d) lekarz zewnętrznego usługodawcy przechowujący dokumentację medyczną związany jest szczegółowymi klauzulami umownymi dotyczącymi zachowania poufności i przetwarzania danych osobowych;
e) nałożenie na wszystkie osoby posiadające dostęp do danych obowiązku zachowania poufności.
2. Administratorem procesów przetwarzania jest Agencja, reprezentowana przez dyrektora wykonawczego, który może przekazywać funkcję administratora. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w oświadczeniach o ochronie danych osobowych lub rejestrach publikowanych na stronie internetowej lub w intra-necie Agencji.
3. Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, jest nie dłuższy, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane. W żadnym przypadku nie może on być dłuższy niż okres przechowywania określony w oświadczeniach o ochronie danych osobowych lub rejestrach, o których mowa w art. 5 ust. 1.
4. W sytuacji, gdy Agencja rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku dochodzeń lub procedur prowadzonych przez Agencję, na przykład ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, obejmują, między innymi, ryzyko utraty reputacji i zagrożenia dla prawa do obrony i prawa do bycia wysłuchanym.
Artykuł 3
Ograniczenia
1. Wszelkie ograniczenia są stosowane przez Agencję wyłącznie w celu zapewnienia:
a) bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności państw członkowskich;
b) zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
c) realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;
d) wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
e) zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia postępowań w sprawie takich naruszeń, wykrywania ich oraz ścigania;
f) funkcji monitorowania, funkcji kontrolnej lub regulacyjnej związanej, choćby sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a)-c);
g) ochrony osób, których dane dotyczą, bądź praw i wolności innych osób;
h) egzekwowania roszczeń cywilnoprawnych.
2. W ramach konkretnej realizacji celów określonych w ust. 1 powyżej Agencja może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom i jednostkom organizacyjnym Unii Europejskiej, właściwym organom państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym w następujących okolicznościach:
a) gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii;
b) gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (3), lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 (4);
c) gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy wypełnianiu jego zadań.
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, Agencja konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dla Agencji jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).
3. Wszelkie ograniczenia muszą być konieczne i proporcjonalne oraz uwzględniać zagrożenia dla praw i wolności osób, których dane dotyczą, oraz być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5. Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie. W szczególności, jeżeli uznaje się, że wykonanie ograniczonego prawa nie unieważniałoby już skutku ograniczenia lub nie wpływałoby już negatywnie na prawa lub swobody innych osób, których dane dotyczą.
Artykuł 4
Przegląd dokonywany przez inspektora ochrony danych
1. Agencja bez zbędnej zwłoki informuje inspektora ochrony danych Agencji o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator danych udziela inspektorowi ochrony danych dostępu do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia i wpisuje do rejestru datę poinformowania inspektora ochrony danych.
2. Inspektor ochrony danych może zwrócić się do administratora danych na piśmie o dokonanie przeglądu stosowania ograniczeń. Administrator danych informuje inspektora ochrony danych na piśmie o wyniku żądanego przeglądu.
3. Administrator danych informuje inspektora ochrony danych o zniesieniu ograniczenia.
Artykuł 5
Udzielanie informacji osobom, których dane dotyczą
1. W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych może ograniczyć prawo do informacji w kontekście następujących procesów przetwarzania:
a) prowadzenia postępowań administracyjnych i dyscyplinarnych;
b) prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c) przeprowadzania procedur informowania o nieprawidłowościach;
d) (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e) rozpatrywania wewnętrznych i zewnętrznych skarg;
f) audytów wewnętrznych;
g) prowadzenia postępowań przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h) postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
Agencja zamieszcza informacje dotyczące ograniczenia tych praw w oświadczeniach o ochronie danych osobowych lub rejestrach w rozumieniu przepisów art. 31 rozporządzenia (UE) 2018/1725 publikowanych na jej stronie internetowej lub intranecie, za pośrednictwem których informuje osoby, których dane dotyczą, o ich prawach w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.
2. Nie naruszając postanowień zawartych w ust. 3, Agencja, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.
3. Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru, opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.
W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
4. Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.
Gdy przyczyny stosowania ograniczenia przestają obowiązywać, Agencja informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
Agencja dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego postępowania, procedury lub dochodzenia. Następnie administrator co sześć miesięcy monitoruje konieczność utrzymania ograniczenia.
Artykuł 6
Prawo dostępu do danych przez osobę, której dane dotyczą
1. W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a) prowadzenia postępowań administracyjnych i dyscyplinarnych;
b) prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c) przeprowadzania procedur informowania o nieprawidłowościach;
d) (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e) rozpatrywania wewnętrznych i zewnętrznych skarg;
f) audytów wewnętrznych;
g) prowadzenia postępowań przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h) postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);
i) rozpatrywania wniosków o dostęp do własnej dokumentacji medycznej.
Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnego procesu przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Agencja ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.
2. Jeżeli Agencja ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a) w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b) w wewnętrznej notatce z oceny dokumentuje powody ograniczenia, tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.
Ograniczenia w dostępie do własnej dokumentacji medycznej dotyczą wyłącznie wniosków o bezpośredni dostęp w odniesieniu do medycznych danych osobowych o charakterze psychologicznym lub psychiatrycznym, w przypadku których dostęp do takich danych może stanowić zagrożenie dla zdrowia osoby, której dane dotyczą. Ograniczenie to jest proporcjonalne do tego, co jest ściśle niezbędne do ochrony osoby, której dane dotyczą. Dostęp do takich informacji przysługuje lekarzowi, którego wskazuje osoba, której dane dotyczą. Lekarz ten powinien mieć dostęp do wszelkich informacji i uprawnień dyskrecjonalnych w zakresie decydowania o tym, jaki dostęp należy zapewnić osobie, której dane dotyczą, i w jaki sposób należy to zrobić.
Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.
Agencja dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego postępowania. Następnie administrator co sześć miesięcy monitoruje konieczność utrzymania ograniczenia.
3. W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
Artykuł 7
Prawo do sprostowania, usunięcia i ograniczenia przetwarzania
1. W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do sprostowania, usunięcia i ograniczenia przetwarzania danych w kontekście następujących procesów przetwarzania:
a) prowadzenia postępowań administracyjnych i dyscyplinarnych;
b) prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c) przeprowadzania procedur informowania o nieprawidłowościach;
d) (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e) rozpatrywania wewnętrznych i zewnętrznych skarg;
f) audytów wewnętrznych;
g) prowadzenia postępowań przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h) postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa do sprostowania danych, ich usunięcia lub ograniczenia ich przetwarzania, o czym mowa wart. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje ona kroki określone w art. 6 ust. 2 niniejszej decyzji i dokonuje wpisu do rejestru zgodnie z art. 6 ust. 3 niniejszej decyzji.
Artykuł 8
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej
1. W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w kontekście następujących procesów przetwarzania:
a) prowadzenia postępowań administracyjnych i dyscyplinarnych;
b) prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c) przeprowadzania procedur informowania o nieprawidłowościach;
d) (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e) rozpatrywania wewnętrznych i zewnętrznych skarg;
f) audytów wewnętrznych;
g) prowadzenia postępowań przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h) postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do poufności komunikacji elektronicznej w kontekście następujących procesów przetwarzania:
a) prowadzenia postępowań administracyjnych i dyscyplinarnych;
b) prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c) przeprowadzania procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów;
d) formalnych procedur podejmowanych w przypadkach nękania;
e) rozpatrywania wewnętrznych i zewnętrznych skarg;
f) postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. Jeżeli Agencja ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności łączności elektronicznej, o czym mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokonuje ona wpisu do rejestru, w którym zamieszcza przyczyny zastosowania ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł 9
Wejście w życie
Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Bilbao dnia 11 grudnia 2019 r.
W imieniu Europejskiej Agencji Bezpieczeństwa i Zdrowia |
Christa SCHWENG |
Przewodniczący Zarządu |
|
(1) Dz.U. L 295 z 21.11.2018, s. 39.
(2) Dz.U. L 30 z 31.1.2019, s. 58.
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(4) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89)