ZARZĄD EUROPEJSKIEJ AGENCJI CHEMIKALIÓW (zwany dalej "Agencją"),uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,
uwzględniając rozporządzenie (WE) nr 1907/2006 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2006 r. w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (REACH) i utworzenia Europejskiej Agencji Chemikaliów, zmieniające dyrektywę 1999/45/WE oraz uchylające rozporządzenie Rady (EWG) nr 793/93 i rozporządzenie Komisji (WE) nr 1488/94, jak również dyrektywę Rady 76/769/EWG i dyrektywy Komisji 91/155/EWG, 93/67/EWG, 93/105/WE i 2000/21/WE 2 , w szczególności jego art. 78,
uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 14 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i przepisów wewnętrznych,
po konsultacji z Komitetem Pracowniczym,
a także mając na uwadze, co następuje:(1) Agencja prowadzi swoją działalność zgodnie z rozporządzeniem (WE) nr 1907/2006.
(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725, w przypadku braku aktów prawnych przyjętych na podstawie Traktatów, stosowanie art. 14-22, 35 i 36, a także art. 4 tego rozporządzenia - o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - należy ograniczyć przepisami wewnętrznymi przyjętymi przez Agencję.
(3) Te przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.
(4) Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, ECHA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
(5) Agencja może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać (formalne i nieformalne) procedury dotyczące zapobiegania molestowaniu, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania sprawdzające (IT).
(6) Agencja przetwarza szereg kategorii danych osobowych, w tym twardych danych (danych "podmiotowych", takich jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkich danych (danych "przedmiotowych" związanych ze sprawą, takich jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).
(7) Agencja, reprezentowana przez jej dyrektora wykonawczego, działa w charakterze administratora danych niezależnie od dalszego przekazywania roli administratora w ramach Agencji, aby odzwierciedlić odpowiedzialność operacyjną za określone operacje przetwarzania danych osobowych.
(8) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się przez okres nie dłuższy niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach Agencji.
(9) Przepisy wewnętrzne należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez Agencję w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
(10) Przepisy te należy stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony Agencji na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.
(11) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, Agencja musi uzasadnić dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.
(12) W tym kontekście Agencja jest zobowiązana do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.
(13) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobom, których dane dotyczą i innych praw osób, których dane dotyczą w celu ochrony, w szczególności własnych dochodzeń, dochodzeń i postępowań prowadzonych przez inne organy publiczne, jak również praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.
(14) Agencja może zatem ograniczyć informacje w celu ochrony dochodzenia oraz praw i wolności innych osób, których dane dotyczą.
(15) Agencja powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.
(16) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: