Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2019.272.154

Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EFSA

DECYZJA
EUROPEJSKIEGO URZĘDU DS. BEZPIECZEŃSTWA ŻYWNOŚCI
z dnia 19 czerwca 2019 r.

w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EFSA

(Dz.U.UE L z dnia 25 października 2019 r.)

ZARZĄD,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwane dalej "rozporządzeniem") oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności 2 , w szczególności art. 25, 26 i 48,

uwzględniając regulamin zarządu EFSA 3 , w szczególności jego art. 8,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 14 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i regulaminu,

po konsultacji z Komitetem Pracowniczym,

a także mając na uwadze, co następuje:

(1) EFSA prowadzi swoją działalność zgodnie z rozporządzeniem ustanawiającym (WE) nr 178/2002.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na regulaminie przyjętym przez EFSA.

(3) Regulamin ten, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.

(4) Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, EFSA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.

(5) EFSA może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać (formalne i nieformalne) procedury dotyczące zapobiegania molestowaniu, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz wewnętrzne postępowania sprawdzające (IT).

EFSA przetwarza szereg kategorii danych osobowych, w tym twardych danych (danych "podmiotowych", takich jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkich danych (danych "przedmiotowych" związanych ze sprawą, takich jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).

(6) EFSA, reprezentowany przez dyrektora wykonawczego, pełni rolę ogólnego administratora niezależnie od dalszego delegowania roli administratora w ramach urzędu dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnego przetwarzania danych osobowych.

(7) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się przez okres nie dłuższy, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach EFSA.

(8) Regulamin należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez EFSA w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

(9) Należy go stosować do procesów przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, podczas ich przeprowadzania oraz podczas monitorowania działań następczych podjętych na podstawie wyników tych procedur. Powinien on również obejmować swoim zakresem pomoc i współpracę ze strony EFSA na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.

(10) W przypadkach, w których zastosowanie ma regulamin, EFSA musi uzasadnić, dlaczego ograniczenia są absolutnie niezbędne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.

(11) W tym kontekście EFSA jest zobowiązany do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.

(12) EFSA może być jednak zobowiązany do ograniczenia informacji udzielanych osobom, których dane dotyczą, i innych praw osób, których dane dotyczą w celu ochrony, w szczególności własnych dochodzeń, dochodzeń i postępowań prowadzonych przez inne organy publiczne, jak również praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.

(13) EFSA może zatem ograniczyć informacje w celu ochrony dochodzenia oraz praw i wolności innych osób, których dane dotyczą.

(14) EFSA powinien okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(15) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres stosowania

1. 
Niniejsza decyzja ustanawia zasady dotyczące warunków, na jakich EFSA w ramach prowadzonych przez niego procedur określonych w ust. 2 może ograniczyć stosowanie art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
2. 
W ramach działalności administracyjnej EFSA, niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych prowadzonych przez Urząd na potrzeby przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania (formalnych i nieformalnych) procedur dotyczących zapobiegania molestowaniu, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania sprawdzającego (IT) prowadzonego wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
Kategorie danych osobowych obejmują twarde dane (dane "podmiotowe", takie jak dane identyfikacyjne, dane kontaktowe, dane o charakterze zawodowym, dane administracyjne, dane uzyskane z określonych źródeł, dane dotyczące łączności elektronicznej i ruchu) lub miękkie dane (dane "przedmiotowe" związane ze sprawą, takie jak uzasadnienie, dane behawioralne, oceny, dane dotyczące wyników i postępowania, dane związane z przedmiotem procedury lub działania lub przedstawione w związku z nimi).
4. 
Wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, EFSA uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki określone w tym rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą dotyczyć następujących praw: udzielania informacji osobom, których dane dotyczą, prawa do dostępu, sprostowania, usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji.
Artykuł  2

Określenie administratora danych i zabezpieczenia

1. 
Wprowadzone zabezpieczenia zapobiegające naruszeniom ochrony danych, wyciekom lub nieuprawnionym ujawnieniom obejmują:
a)
przechowywanie dokumentów w formie papierowej w zabezpieczonych szafkach i udostępnianie ich wyłącznie upoważnionemu personelowi;
b)
przechowywanie danych elektronicznych w bezpiecznej aplikacji informatycznej zgodnie ze standardami EFSA w zakresie bezpieczeństwa, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. Stosowny dostęp do różnych poziomów udzielany jest na zasadzie indywidualnej.
c)
ochronę bazy danych hasłem na podstawie systemu pojedynczego logowania i automatyczne łączenie z identyfikatorem i hasłem użytkownika wspierane przez bezpieczny system zarządzania dostępem do informacji. Rejestry elektroniczne są przechowywane w bezpieczny sposób z zachowaniem poufności i zgodności z przepisami i zasadami odnoszącymi się do ochrony danych;
d)
nałożenie na wszystkie osoby mając dostęp do danych obowiązku zachowania poufności.
2. 
Administratorem procesów przetwarzania jest EFSA, reprezentowany przez dyrektora wykonawczego, który może przekazywać funkcję administratora. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w zawiadomieniach o ochronie danych lub rejestrach publikowanych na stronie internetowej lub w intranecie EFSA.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, jest nie dłuższy, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane. W żadnym przypadku nie może on być dłuższy niż okres przechowywania określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach, o których mowa w art. 5 ust. 1.
4. 
W sytuacji gdy EFSA rozważa zastosowanie ograniczenia, waży ona zagrożenia dla praw i wolności osób, których dane dotyczą, w szczególności, względem zagrożenia dla praw i wolności pozostałych osób, których dane dotyczą oraz zagrożenia dla skuteczności dochodzeń lub procedur prowadzonych przez EFSA, np. poprzez niszczenie dowodów. Zagrożenia dla praw i wolności osób, których dane dotyczą, obejmują, między innymi, ryzyko utraty reputacji i zagrożenia dla prawa do obrony i prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
EFSA stosuje ograniczenia wyłącznie w celu służącym:
a)
zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
b)
realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;
c)
bezpieczeństwu wewnętrznemu instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
d)
zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
e)
funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a) i b);
f)
ochronie osoby, której dane dotyczą, lub praw i wolności innych osób.
2. 
Szczególnym zastosowaniem na potrzeby wskazane w ust. 1 jest zastosowanie przez EFSA ograniczenia w odniesieniu do danych osobowych wymienianych ze służbami Komisji lub innymi instytucjami, organami i jednostkami organizacyjnymi Unii, właściwymi organami państw członkowskich lub państw trzecich lub organizacji międzynarodowych, w następujących sytuacjach:
a)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii;
b)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 4 , lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 5 ;
c)
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy EFSA z państwami trzecimi lub organizacjami międzynarodowymi przy wypełnianiu jego zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapit pierwszy, EFSA konsultuje się z właściwymi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że EFSA nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.

3. 
Wszelkie ograniczenia muszą być konieczne i proporcjonalne oraz uwzględniać zagrożenia dla praw i wolności osób, których dane dotyczą, oraz być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5. 
Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie, w szczególności, w przypadku gdy uznaje się, że wykonanie takiego ograniczonego prawa nie unieważniałoby już skutku nałożonego ograniczenia ani praw lub wolności innych osób, których dane dotyczą. W takim przypadku ograniczenia zostaną możliwie szybko zniesione - co do zasady w ciągu pięciu dni roboczych od zmiany okoliczności faktycznych lub prawnych.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
EFSA bez zbędnej zwłoki informuje inspektora ochrony danych EFSA o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator danych udziela inspektorowi ochrony danych dostępu do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia i wpisuje do rejestru datę poinformowania inspektora ochrony danych.
2. 
Inspektor ochrony danych może zwrócić się do administratora danych na piśmie o dokonanie przeglądu stosowania ograniczeń. Administrator danych informuje inspektora ochrony danych na piśmie o wyniku żądanego przeglądu.
3. 
Administrator danych informuje inspektora ochrony danych o zniesieniu ograniczenia.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

EFSA zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących ich w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Bez uszczerbku dla przepisów ust. 3 EFSA, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.
3. 
Jeżeli EFSA ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w ust. 2, podaje w rejestrze powód ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, będzie obowiązywać tak długo, jak długo będą występować powody je uzasadniające i zostanie możliwie szybko zniesione - co do zasady w ciągu 5 dni roboczych od daty zmiany okoliczności prawnych lub faktycznych.

Jeżeli powody ograniczenia przestają występować, EFSA przedstawia osobie, której dane dotyczą, informację o podstawowych przyczynach stosowania ograniczenia. Jednocześnie EFSA informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej.

EFSA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji, administrator danych, jeżeli jest to konieczne i właściwe, może ograniczyć prawo do sprostowania, usunięcia i ograniczenia przetwarzania danych w kontekście następujących procesów przetwarzania:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).

Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 EFSA ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.

2. 
Jeżeli EFSA ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do EIOD i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

EFSA dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego śledztwa.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania (formalnych i nieformalnych) procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
2. 
Jeżeli EFSA ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji oraz dokonuje wpisu w rejestrze zgodnie z art. 6 ust. 3 decyzji.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
przeprowadzania audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
przeprowadzania procedur informowania o nieprawidłowościach;
d)
przeprowadzania formalnych procedur dotyczących przypadków molestowania;
e)
przetwarzania skarg wewnętrznych i zewnętrznych;
f)
prowadzenia postępowań sprawdzających (IT) wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
Jeżeli EFSA ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, rejestruje powody ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Przyjęto w Parmie dnia 19 czerwca 2019 r.

W imieniu zarządu EFSA

Jaana HUSU-KALLIO

Przewodniczący zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 31 z 1.2.2002, s. 1.
3 mb 27 06 13 - zmieniony regulamin zarządu - PRZYJĘTY.
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
5 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych
Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych

Mimo iż do 1 stycznia zostały trzy tygodnie, przedsiębiorcy wciąż nie mają pewności, które zmiany wejdą w życie w nowym roku. Brakuje m.in. rozporządzeń wykonawczych do KSeF i rozporządzenia w sprawie JPK VAT. Część ustaw nadal jest na etapie prac parlamentu lub czeka na podpis prezydenta. Wiadomo już jednak, że nie będzie dużej nowelizacji ustaw o PIT i CIT. W 2026 r. nadal będzie można korzystać na starych zasadach z ulgi mieszkaniowej i IP Box oraz sprzedać bez podatku poleasingowy samochód.

Monika Pogroszewska 10.12.2025
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany

Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.

Grażyna J. Leśniak 05.12.2025
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?

4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.

Grażyna J. Leśniak 05.12.2025
Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP
Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP

Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.

Grażyna J. Leśniak 04.12.2025
Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował
Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował

Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.

Krzysztof Koślicki 02.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2019.272.154
Rodzaj: Decyzja
Tytuł: Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w kontekście działania EFSA
Data aktu: 19/06/2019
Data ogłoszenia: 25/10/2019
Data wejścia w życie: 26/10/2019