SEKRETARZ GENERALNY RADY UNII EUROPEJSKIEJ,uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 235 ust. 4 i art. 240 ust. 2, uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności art. 25, uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 19 lipca 2021 r., z którym skonsultowano się zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725, a także mając na uwadze, co następuje:
(1) Rozporządzenie (UE) 2018/1725 ustanawia zasady i reguły mające zastosowanie do przetwarzania danych osobowych przez wszystkie instytucje i organy Unii, a także do praw osób, których dane dotyczą.
(2) W niektórych przypadkach Sekretariat Generalny Rady (SGR) może być zobowiązany do pogodzenia tych praw z celami dochodzeń administracyjnych, postępowania dyscyplinarnego i sądowego. Może być również wymagane zapewnienie równowagi między prawami osób, których dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu art. 25 ust. 1 rozporządzenia (UE) 2018/1725 daje każdej instytucji lub organowi Unii możliwość ograniczenia stosowania art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także art. 4, o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia. O ile w akcie prawnym przyjętym na podstawie Traktatów nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których SGR jest uprawniony do ograniczenia tych praw.
(3) Artykuł 86 regulaminu pracowniczego 2 przewiduje możliwość prowadzenia przez organ powołujący dochodzeń i postępowań dyscyplinarnych w przypadku naruszenia przez urzędnika lub byłego urzędnika obowiązków wynikających z regulaminu pracowniczego, a w załączniku IX do regulaminu pracowniczego wyszczególniono zasady, środki i procedury dotyczące dochodzeń administracyjnych i postępowania dyscyplinarnego.
(4) Zgodnie z art. 13 decyzji nr 1/2018 Sekretarza Generalnego Rady w sprawie zadań Dyrekcji Bezpieczeństwa i Ochrony w zakresie bezpieczeństwa i ciągłości działania, dyrekcja ta jest uprawniona do prowadzenia dochodzeń w sprawach związanych z bezpieczeństwem, w sprawach wszelkich strat, nieuprawnionego ujawnienia lub narażenia na szwank informacji niejawnych UE, które miały miejsce w miejscach, w których prowadzone są prace Rady Europejskiej lub Rady, w SGR lub za pośrednictwem systemów teleinformatycznych obsługiwanych przez SGR, a także w ramach swoich obowiązków w zakresie zwalczania szpiegostwa oraz zapewniania ochrony przed biernym i aktywnym podsłuchem skierowanym przeciwko interesom UE, w pomieszczeniach SGR lub w miejscach, w których prowadzone są prace Rady Europejskiej i Rady.
(5) Art. 6 decyzji nr 6/2021 Sekretarza Generalnego Rady Unii Europejskiej w sprawie przyjęcia ogólnych przepisów wykonawczych dotyczących dochodzeń administracyjnych i postępowania dyscyplinarnego stanowi, że wszystkie zgromadzone dane osobowe są traktowane zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 oraz że ograniczenia praw osób, których dane dotyczą, są rozpatrywane zgodnie z jego art. 25.
(6) Zgodnie z art. 13 decyzji nr 1/2018 Sekretarza Generalnego Rady w sprawie zadań Dyrekcji Bezpieczeństwa i Ochrony w zakresie bezpieczeństwa i ciągłości działania, dochodzenia prowadzone przez Dyrekcję Bezpieczeństwa i Ochrony są zgodne z przepisami wewnętrznymi określonymi w decyzji nr 6/2021 Sekretarza Generalnego Rady Unii Europejskiej w sprawie przyjęcia ogólnych przepisów wykonawczych dotyczących dochodzeń administracyjnych i postępowania dyscyplinarnego gdy tylko wyjdzie na jaw ewentualny udział urzędnika.
(7) Zgodnie z umową administracyjną z dnia 15 lutego 2017 r. zawartą między Europejskim Urzędem ds. Zwalczania Nadużyć Finansowych (OLAF) a SGR, SGR jest również zobowiązany do powiadamiania OLAF-u o przypadkach ewentualnego oszustwa, korupcji i o wszelkich innych nielegalnych działaniach szkodzących interesom Unii, na które zwróci uwagę, oraz do przekazywania informacji OLAF-owi w tych sprawach.
(8) Prowadząc dochodzenia administracyjne i postępowania dyscyplinarne, właściwe departamenty gromadzą i przetwarzają różne rodzaje danych osobowych, w tym dane identyfikacyjne, informacje kontaktowe, zakresy obowiązków służbowych i zadania służbowe, informacje na temat zachowań prywatnych i postępowania zgodnego z etyką zawodową, dane finansowe lub dane dotyczące łączności. Osoby prowadzące dochodzenie zapewniają, by gromadzone przez nie dane osobowe były adekwatne, istotne i nienadmierne w stosunku do celów dochodzenia. Osoby, których dotyczy dochodzenie, są niezwłocznie informowane na piśmie po jego wszczęciu. Powinny one być również informowane o rodzaju danych, które są lub będą gromadzone, o tym, w jaki sposób będą one przetwarzane i jakie są prawa tych osób w tym zakresie.
(9) W należycie uzasadnionych przypadkach, jeżeli istnieje poważne ryzyko, że poinformowanie danej osoby zaszkodzi ustaleniu faktów i dowodów, konieczne może być odroczenie powiadomienia o wszczęciu postępowania wyjaśniającego. W takich przypadkach istnieje potrzeba pogodzenia praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, z koniecznością ustalenia przez organ powołujący, czy urzędnicy naruszyli swoje obowiązki wynikające z regulaminu pracowniczego. Wszelkie ograniczenia praw osób, których dane dotyczą, wobec których prowadzone jest dochodzenie, powinny być stosowane wyłącznie w ograniczonych okolicznościach i rozpatrywane w sposób przejrzysty i proporcjonalny jeśli chodzi o zakres i czas trwania.
(10) Może być konieczna ochrona anonimowości świadka lub źródła. W takim przypadku prawo dostępu do tożsamości, zeznań i innych danych osobowych takich osób może zostać ograniczone w granicach prawa do obrony.
(11) Zgodnie z zasadą rozliczalności odpowiednie służby SGR powinny prowadzić rejestr stosowania wszelkich ograniczeń.
(12) Art. 25 ust. 6 rozporządzenia (UE) 2018/1725 zobowiązuje administratora do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz przysługującym im prawie do wniesienia skargi do EIOD.
(13) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725, SGR jest uprawniony do tego, by wstrzymać przekazanie informacji, pominąć je lub go odmówić, gdyby mogło ono w jakikolwiek sposób unieważnić skutek ograniczenia. SGR powinien w poszczególnych przypadkach ocenić, czy powiadomienie o ograniczeniu unieważniłoby jego skutek.
(14) Ograniczenia powinny zostać zniesione, gdy tylko uzasadniające je warunki przestaną mieć zastosowanie lub jeżeli ich utrzymanie naruszyłoby prawo do obrony. Potrzeba wprowadzenia środków ograniczających powinna być regularnie oceniana.
(15) Należy konsultować z inspektorem ochrony danych (IOD) w odpowiednim czasie wszelkie ograniczenia, które należy zastosować, i informować go o nich; powinien on też mieć możliwość zgłaszania uwag na temat ich zgodności z niniejszą decyzją.
(16) Niniejsza decyzja była przedmiotem konsultacji z Komitetem Pracowniczym,