Akt prawny
obowiązujący
Wersja aktualna od 2023-12-04
Wersja aktualna od 2023-12-04
obowiązujący
Alerty
DECYZJA RADY ZARZĄDZAJĄCEJ WSPÓLNEGO PRZEDSIĘWZIĘCIA NA RZECZ INTELIGENTNYCH SIECI I USŁUG nr 18/2023
z dnia 11 października 2023 r.
ustanawiająca przepisy wewnętrzne dotyczące ograniczenia pewnych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Wspólnego Przedsięwzięcia na rzecz Inteligentnych Sieci i Usług [2023/2511]
RADA ZARZĄDZAJĄCA
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (1) („rozporządzenie (UE) 2018/1725”), w szczególności jego art. 25,
uwzględniając Rozporządzenie Rady (UE) 2021/2085 z dnia 19 listopada 2021 r. ustanawiające wspólne przedsięwzięcia w ramach programu „Horyzont Europa” oraz uchylające rozporządzenia (WE) nr 219/2007, (UE) nr 557/2014, (UE) nr 558/2014, (UE) nr 559/2014, (UE) nr 560/2014, (UE) nr 561/2014 i (UE) nr 642/2014 (2) (zwane dalej „rozporządzeniem ustanawiającym”), w szczególności Wspólne Przedsięwzięcie na rzecz Inteligentnych Sieci i Usług (zwane dalej „Wspólnym Przedsięwzięciem SNS”),
uwzględniając wytyczne Europejskiego Inspektora Ochrony Danych (EIOD) dotyczące art. 25 rozporządzenia (UE) 2018/1725 i przepisów wewnętrznych z dnia 24 czerwca 2020 r. (3),
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych w dniu 13 czerwca 2023 r., zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725,
uwzględniając zalecenia Europejskiego Inspektora Ochrony Danych z dnia 19 czerwca 2023 r.,
po poinformowaniu pracowników Wspólnego Przedsięwzięcia SNS,
a także mając na uwadze, co następuje:
| 1) | Jedynie akty prawne przyjęte na podstawie traktatów przewidują ograniczenie praw osób, których dane dotyczą. Jeżeli ograniczenia te nie mogą opierać się na aktach prawnych przyjętych na podstawie traktatów, rozporządzenie (UE) 2018/1725 stanowi, że w sprawach dotyczących działalności Wspólnego Przedsięwzięcia SNS ograniczenia mogą być przewidziane w wewnętrznych zasadach, w następstwie oceny konieczności i proporcjonalności takich ograniczeń. |
| 2) | Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-20, powinny być oparte na wewnętrznych zasadach przyjętych przez Wspólne Przedsięwzięcie SNS. |
| 3) | Wspólne Przedsięwzięcie SNS może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne i czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), rozpatrywać sprawy związane ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzać (formalne i nieformalne) procedury dotyczące nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić postępowania wyjaśniające właściwe dla europejskiego inspektora ochrony danych („EIOD”) zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania wyjaśniające dotyczące bezpieczeństwa (informatycznego) prowadzone wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE). |
| 4) | Wspólne Przedsięwzięcie SNS może również prowadzić dochodzenia w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących informacji niejawnych Unii Europejskiej („EUCI”) na podstawie decyzji określającej przepisy bezpieczeństwa dotyczące ochrony EUCI, którą zamierza przyjąć. |
| 5) | W kontekście takich dochodzeń administracyjnych, audytów i postępowań Wspólne Przedsięwzięcie SNS współpracuje z innymi instytucjami, organami i jednostkami organizacyjnymi Unii. |
| 6) | Wspólne Przedsięwzięcie SNS może współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy. |
| 7) | Wspólne Przedsięwzięcie SNS może również podejmować współpracę z organami publicznymi państw członkowskich UE, na ich wniosek lub z własnej inicjatywy. |
| 8) | Wspólne Przedsięwzięcie SNS angażuje się w sprawy przed Trybunałem Sprawiedliwości Unii Europejskiej, w przypadku gdy kieruje kwestię do Trybunału, broni podjętej przez siebie decyzji, którą zaskarżono przed Trybunałem, albo interweniuje w sprawach istotnych dla jego zadań. W tym kontekście Wspólne Przedsięwzięcie SNS może być zmuszone do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów. |
| 9) | Na potrzeby realizacji swoich zadań Wspólne Przedsięwzięcie SNS gromadzi i przetwarza różne kategorie danych osobowych, takich jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej i dane dotyczące ruchu oraz dane związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane lub przekazane w związku z przedmiotem procedury lub czynności (4). |
| 10) | Wspólne Przedsięwzięcie SNS, reprezentowane przez dyrektora wykonawczego, pełni funkcję administratora danych. |
| 11) | Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które zgodnie z przepisami nie mają dostępu do tych danych. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach Wspólnego Przedsięwzięcia SNS. |
| 12) | Na mocy rozporządzenia (UE) 2018/1725 Wspólne Przedsięwzięcie SNS jest zatem zobowiązane do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą. |
| 13) | Wspólne Przedsięwzięcie SNS może zostać zobowiązane do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osób, których dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 rozporządzenia (UE) 2018/1725 Wspólne Przedsięwzięcie SNS ma możliwość ograniczenia, na ściśle określonych warunkach, stosowania art. 14-22, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4, w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20. |
| 14) | Wewnętrzne zasady powinny mieć zastosowanie do odnośnych operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur oraz przez cały okres, w którym ograniczenie obowiązuje. Powinny one również mieć zastosowanie do wszelkiej pomocy i współpracy ze strony Wspólnego Przedsięwzięcia SNS na rzecz organów krajowych i organizacji międzynarodowych, wykraczających poza prowadzone przez nie dochodzenia administracyjne. |
| 15) | W przypadkach, w których zastosowanie mają wewnętrzne zasady, Wspólne Przedsięwzięcie SNS przedstawia uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępuje z poszanowaniem istoty podstawowych praw i wolności. |
| 16) | W tym kontekście Wspólne Przedsięwzięcie SNS jest zobowiązane do przestrzegania - w sposób w pełni zgodny z odpowiednimi przepisami i wytycznymi - praw podstawowych osób, których dane dotyczą, podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia o naruszeniu ochrony danych osobowych przysługującego osobie, której dane dotyczą, lub poufności łączności elektronicznej, zawartych w rozporządzeniu (UE) 2018/1725. |
| 17) | Wspólne Przedsięwzięcie SNS może być jednak zobowiązane do ograniczenia informacji udzielanych osobom, których dane dotyczą, i innych praw takich osób w celu zapewnienia ochrony - w szczególności - własnych postępowań wyjaśniających, postępowań wyjaśniających i postępowań innych organów publicznych, jak również praw innych osób w związku z postępowaniami wyjaśniającymi lub innymi procedurami. |
| 18) | Przy rozważaniu zastosowania ograniczenia Wspólne Przedsięwzięcie SNS porównuje zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku dochodzeń lub procedur Wspólnego Przedsięwzięcia SNS, np. ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem utraty reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym. |
| 19) | Wspólne Przedsięwzięcie SNS może zatem ograniczyć informacje dla celów ochrony postępowania wyjaśniającego oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą. |
| 20) | W celu zagwarantowania jak największej ochrony praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia (UE) 2018/1725 należy w odpowiednim czasie skonsultować z inspektorem ochrony danych wszelkie ograniczenia, które mogą być zastosowane i zweryfikować ich zgodność z niniejszą decyzją. |
| 21) | Wspólne Przedsięwzięcie SNS powinno okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują, i znieść ograniczenie, gdy nie można stwierdzić ich występowania. |
| 22) | Administrator powinien poinformować inspektora ochrony danych w momencie odroczenia i podczas przeglądów. |
| 23) | Niniejszą decyzję przyjmuje się w drodze procedury pisemnej zgodnie z art. 10 regulaminu wewnętrznego Rady Zarządzającej Wspólnego Przedsięwzięcia SNS, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Przedmiot i zakres stosowania
1. Niniejsza decyzja określa zasady dotyczące warunków, na jakich Wspólne Przedsięwzięcie SNS w ramach prowadzonych przez nie procedur określonych w ust. 2 może - zgodnie z art. 25 rozporządzenia (UE) 2018/1725 - ograniczyć stosowanie praw przewidzianych w art. 14-22, 35 i 36, jak również art. 4 rozporządzenia (UE) 2018/1725.
2. Kategorie danych na potrzeby tych procedur obejmują dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej i dane dotyczące ruchu oraz dane związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności.
3. Wspólne Przedsięwzięcie SNS, wykonując swoje obowiązki dotyczące ustanowionych w rozporządzeniu (UE) 2018/1725 praw osób, których dane dotyczą, rozważa, czy zastosowanie ma którekolwiek z odstępstw przewidzianych w tym rozporządzeniu.
Artykuł 2
Określenie administratora
Administratorem operacji przetwarzania danych jest Wspólne Przedsięwzięcie SNS reprezentowane przez dyrektora wykonawczego.
Artykuł 3
Ograniczenia
1. Wspólne Przedsięwzięcie SNS może ograniczyć stosowanie art. 14-22, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4, w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20:
| a) | na podstawie art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia (UE) 2018/1725 podczas prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i postępowań dotyczących zawieszenia na mocy art. 86 i załącznika IX do regulaminu pracowniczego, a także przy zgłaszaniu spraw OLAF-owi; |
| b) | na podstawie art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725 podczas zapewniania, aby pracownicy Wspólnego Przedsięwzięcia SNS mogli zgłaszać fakty z zachowaniem poufności, jeżeli uważają, że występują poważne nieprawidłowości, zgodnie z decyzją nr GB/09/2023 Wspólnego Przedsięwzięcia SNS w sprawie wewnętrznych zasad dotyczących sygnalizowania nieprawidłowości; |
| c) | na podstawie art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725 podczas zapewniania, aby pracownicy Wspólnego Przedsięwzięcia SNS mogli zgłaszać się do zaufanych doradców w kontekście procedury nękania, zgodnie z definicją zawartą w decyzji nr GB/13/2023 Wspólnego Przedsięwzięcia SNS; |
| d) | na podstawie art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725 podczas przeprowadzania wewnętrznych i zewnętrznych audytów w odniesieniu do działań lub działów Wspólnego Przedsięwzięcia SNS; |
| e) | na podstawie art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia (UE) 2018/1725 podczas udzielania pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymywania od nich pomocy, lub współpracy z nimi w kontekście działań prowadzonych na podstawie lit. a)-d) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy; |
| f) | na podstawie art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725 podczas udzielania pomocy organom krajowym państw trzecich i organizacjom międzynarodowym lub otrzymywania od nich pomocy, lub współpracy z nimi, na ich wniosek lub z własnej inicjatywy; |
| g) | na podstawie art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725 podczas udzielania pomocy organom publicznym państw członkowskich lub otrzymywania od nich pomocy, lub współpracy z nimi, na ich wniosek lub z własnej inicjatywy; |
| h) | na podstawie art. 25 ust. 1 lit. e) rozporządzenia (UE) 2018/1725 podczas przetwarzania danych osobowych znajdujących się w dokumentach otrzymanych od stron lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej; |
| i) | na podstawie art. 25 ust. 1 lit. c) i h) rozporządzenia (UE) 2018/1725 podczas przetwarzania danych osobowych podczas dochodzeń prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725; |
| j) | na podstawie art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia (UE) 2018/1725 podczas przetwarzania danych osobowych podczas postępowań wyjaśniających dotyczących bezpieczeństwa informatycznego prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE); |
| k) | na podstawie art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725 podczas przetwarzania danych osobowych w ramach zarządzania dotacjami lub procedury udzielania zamówień po upływie terminu składania zaproszeń do składania wniosków lub składania ofert. |
2. Jako szczególne zastosowanie ograniczeń opisanych w ust. 1 powyżej Wspólne Przedsięwzięcie SNS może zastosować ograniczenia w następujących okolicznościach:
| a) | w odniesieniu do danych osobowych wymienianych ze służbami Komisji lub z innymi instytucjami, organami i jednostkami organizacyjnymi Unii;
|
| b) | w odniesieniu do danych osobowych wymienianych z właściwymi organami państw członkowskich;
|
| c) | w odniesieniu do danych osobowych wymienianych z państwami trzecimi lub organizacjami międzynarodowymi, w przypadku gdy istnieją wyraźne dowody na to, że wykonywanie tych praw i obowiązków może zagrozić współpracy Wspólnego Przedsięwzięcia SNS z państwami trzecimi lub organizacjami międzynarodowymi w wykonywaniu jego zadań. Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w akapicie pierwszym w lit. a) i b), Wspólne Przedsięwzięcie SNS konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, o ile nie jest jasne dla Wspólnego Przedsięwzięcia SNS, że stosowanie ograniczenia jest przewidziane w jednym z aktów, o których mowa w tych literach. |
3. Jeżeli Wspólne Przedsięwzięcie SNS ogranicza, w całości lub w części, stosowanie praw, o których mowa w ust. 1 i 2 powyżej, podejmuje kroki określone w art. 5 i 6 niniejszej decyzji.
4. Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Wspólne Przedsięwzięcie SNS ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.
Artykuł 4
Określenie zabezpieczeń
1. Wspólne Przedsięwzięcie SNS wdraża zabezpieczenia, aby zapobiegać nadużyciom i niezgodnemu z prawem dostępowi do danych osobowych, względem których stosuje się lub można zastosować ograniczenia, lub niezgodnemu z prawem przekazywaniu takich danych. Takie zabezpieczenia obejmują środki techniczne i organizacyjne oraz są w razie potrzeby wyszczególnione w wewnętrznych decyzjach, procedurach i przepisach wykonawczych Wspólnego Przedsięwzięcia SNS. Zabezpieczenia te obejmują:
| a) | jasne określenie ról, obowiązków i etapów proceduralnych; |
| b) | dokumenty w formie papierowej są przechowywane w zabezpieczonych szafkach, do których dostęp ma wyłącznie upoważniony personel; |
| c) | wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa Wspólnego Przedsięwzięcia SNS, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. Odpowiedni poziom dostępu jest przyznawany indywidualnie; |
| d) | wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność; |
| e) | należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. |
2. Zgodnie z art. 5 ust. 3 zabezpieczenia, o których mowa w ust. 1, powinny podlegać okresowemu przeglądowi.
3. Dane osobowe są przechowywane zgodnie z mającymi zastosowanie przepisami Wspólnego Przedsięwzięcia SNS dotyczącymi przechowywania, które mają być określone w rejestrach ochrony danych prowadzonych na podstawie art. 31 rozporządzenia (UE) 2018/1725. Okres przechowywania w żadnym wypadku nie jest dłuższy niż to konieczne i właściwe dla celów, dla których dane są przetwarzane.
Artykuł 5
Konieczność i proporcjonalność ograniczeń
1. Wszelkie ograniczenia wynikające z art. 3 niniejszej decyzji są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą oraz przestrzeganie istoty praw podstawowych i wolności w społeczeństwie demokratycznym.
2. Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Badanie przeprowadza się również w ramach przeglądu okresowego, po dokonaniu oceny, czy nadal występują faktyczne i prawne powody ograniczenia. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
Wspólne Przedsięwzięcie SNS przygotowuje okresowe sprawozdania ze stosowania art. 25 rozporządzenia (UE) 2018/1725.
3. Ograniczenia mają charakter tymczasowy. Ograniczenia stosuje się dopóki zastosowanie mają przyczyny uzasadniające ich stosowanie; w szczególności jeżeli uznaje się, że wykonywanie ograniczonego prawa nie unieważniałoby już skutku ograniczenia lub nie wpływałoby już negatywnie na prawa lub wolności innych osób, których dotyczą dane.
Wspólne Przedsięwzięcie SNS dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego postępowania, danej procedury lub danego postępowania wyjaśniającego. Następnie administrator co sześć miesięcy monitoruje konieczność zachowania jakiegokolwiek ograniczenia.
4. Jeżeli Wspólne Przedsięwzięcie SNS stosuje - całkowicie lub częściowo - ograniczenia na podstawie art. 3 niniejszej decyzji, odnotowuje powody ograniczenia i podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je Europejskiemu Inspektorowi Ochrony Danych na żądanie.
Artykuł 6
Obowiązek informowania
1. Wspólne Przedsięwzięcie SNS zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących im w ramach danej procedury. W informacjach tych podaje się prawa, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.
Bez uszczerbku dla przepisów art. 5 ust. 4 niniejszej decyzji, Wspólne Przedsięwzięcie SNS - w sytuacji gdy jest to proporcjonalne - bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.
2. W przypadku gdy Wspólne Przedsięwzięcie SNS ogranicza - całkowicie lub częściowo - prawa określone w art. 3 niniejszej decyzji, informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania z sądowego środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.
Wspólne Przedsięwzięcie SNS może zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 wstrzymać przekazanie informacji, o których mowa w ust. 2, pominąć je lub go odmówić, gdyby mogło ono unieważnić skutek ograniczenia.
Artykuł 7
Zaangażowanie inspektora ochrony danych
1. Wspólne Przedsięwzięcie SNS bez zbędnej zwłoki konsultuje się z inspektorem ochrony danych tego przedsięwzięcia przed planowanym ograniczeniem przez administratora stosowania praw osób, których dane dotyczą, lub planowanym rozszerzeniem ograniczenia oraz podczas stosowania takiego ograniczenia lub jego rozszerzeniu, zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz wszelkich dokumentów dotyczących kontekstu faktycznego lub prawnego.
2. Inspektor ochrony danych może zwrócić się do administratora na piśmie o dokonanie przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. Inspektor ochrony danych uczestniczy w procedurze przez cały czas jej trwania. Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia.
4. Wspólne Przedsięwzięcie SNS dokumentuje na piśmie zaangażowanie inspektora ochrony danych w stosowanie ograniczeń, a także informacje, które są mu udostępniane.
Artykuł 8
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
1. Jeżeli Wspólne Przedsięwzięcie SNS jest zobowiązane do powiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia (UE) 2018/1725, może ono w wyjątkowych okolicznościach ograniczyć takie powiadomienie w całości lub w części. W zgłoszeniu dokumentuje powody takiego ograniczenia, podstawę prawną na mocy art. 3 niniejszej decyzji, i ocenę jego konieczności i proporcjonalności. Zgłoszenie to przekazuje się Europejskiemu Inspektorowi Ochrony Danych w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. Jeżeli powody ograniczenia przestają mieć zastosowanie, Wspólne Przedsięwzięcie SNS informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
Artykuł 9
Poufność łączności elektronicznej
1. W wyjątkowych okolicznościach Wspólne Przedsięwzięcie SNS może ograniczyć prawo do poufności łączności elektronicznej na podstawie art. 36 rozporządzenia (UE) 2018/1725. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady (7).
2. Jeżeli Wspólne Przedsięwzięcie SNS ogranicza prawo do poufności łączności elektronicznej, informuje daną osobę, której dane dotyczą, w odpowiedzi na jakikolwiek wniosek ze strony osoby, której dane dotyczą, o głównych powodach, na których opiera się zastosowanie ograniczenia, i o jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
3. Wspólne Przedsięwzięcie SNS może wstrzymać, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do Europejskiego Inspektora Ochrony Danych tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny zasadności takiej decyzji dokonuje się indywidualnie dla każdego przypadku.
Artykuł 10
Wejście w życie
Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 11 października 2023 r.
W imieniu Rady Zarządzającej
Colin WILLCOCK
Przewodniczący
(1) Dz.U. L 295 z 21.11.2018, s. 39.
(2) Dz.U. L 427 z 30.11.2021, s. 17.
(3) Dostępne na stronie Wytyczne dotyczące art. 25 rozporządzenia (UE) 2018/1725 |Europejski Inspektor Ochrony Danych (europa.eu).
(4) W przypadku współadministracji dane przetwarzane są zgodnie ze środkami i celami ustanowionymi w odpowiednim uzgodnieniu między współadministratorami określonym w art. 28 rozporządzenia (UE) 2018/1725.
(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(6) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, oraz w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
(7) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
