Decyzja określająca wewnętrzne zasady dotyczące ograniczenia określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania CEPOL

DECYZJA ZARZĄDU AGENCJI UNII EUROPEJSKIEJ DS. SZKOLENIA W DZIEDZINIE ŚCIGANIA
z dnia 5 sierpnia 2019 r.
określająca wewnętrzne zasady dotyczące ograniczenia określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania CEPOL

ZARZĄD,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/2219 z dnia 25 listopada 2015 r. w sprawie Agencji Unii Europejskiej ds. Szkolenia w Dziedzinie Ścigania (CEPOL) oraz zastępujące i uchylające decyzję Rady 2005/681/WSiSW 2 ,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 20 czerwca 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i przepisów wewnętrznych 3 ,

a także mając na uwadze, co następuje:

(1) CEPOL prowadzi swoją działalność zgodnie z rozporządzeniem (UE) 2015/2219.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na wewnętrznych zasadach przyjętych przez Agencję.

(3) Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, których dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) W ramach własnego funkcjonowania administracyjnego Agencja może prowadzić dochodzenia administracyjne, postępowania dyscyplinarne, wstępne czynności związane z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedury związane ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalne i nieformalne) procedury podejmowane w przypadkach nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić wewnętrzne audyty, prowadzić dochodzenia przez inspektora ochrony danych ("IOD") zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również prowadzić dochodzenia dotyczące wewnętrznego (informatycznego) bezpieczeństwa. Ponadto Agencja może rozpatrywać wnioski o dostęp to dokumentacji medycznej pracowników.

Agencja przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(6) Agencja, reprezentowana przez dyrektora wykonawczego, pełni rolę administratora niezależnie od dalszego delegowania roli administratora w ramach Agencji dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(7) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Dokumentacja medyczna jest przechowywana przez usługodawcę zewnętrznego zaangażowanego przez Agencję. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych, oświadczeniach o ochronie prywatności lub rejestrach Agencji.

(8) Wewnętrzne zasady powinny mieć zastosowanie do wszystkich operacji przetwarzania danych prowadzonych przez Agencję w toku realizacji dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE), a także do rozpatrywania wniosków o dostęp do własnej dokumentacji medycznej.

(9) Przepisy te powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony Agencji udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(10) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, Agencja musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(11) W ramach powyższego EIOPA podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(12) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(13) Agencja może zatem ograniczyć informacje w celu ochrony dochodzenia oraz podstawowych praw i wolności innych osób, których dane dotyczą.

(14) Agencja powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(15) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące warunków, na jakich Agencja w ramach prowadzonych przez nią procedur określonych w ust. 2 może ograniczyć stosowanie art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
2. 
W ramach działalności administracyjnej Agencji niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych prowadzonych przez Urząd na potrzeby prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, audytów wewnętrznych, badania spraw prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE), a także do rozpatrywania wniosków o dostęp do własnej dokumentacji medycznej.
3. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
W celu uniknięcia naruszeń ochrony danych, wycieków danych lub nieuprawnionego ujawnienia informacji wprowadzono następujące zabezpieczenia:
a)
Dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
Wszystkie dane elektroniczne przechowywane są zgodnie z praktyką Agencji, a także w specjalnych folderach elektronicznych, do których dostęp ma wyłącznie upoważniony personel. odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
Dostęp do środowiska informatycznego Agencji jest chroniony systemem pojedynczego logowania, automatycznie łączonego z identyfikatorem i hasłem użytkownika. Bezwzględnie zakazane jest korzystanie z danych użytkownika przez inne osoby. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;
d)
Zewnętrzny usługodawca przechowujący dokumentację medyczną zobowiązany jest szczegółowymi klauzulami umownymi do zachowania poufności i przetwarzania danych osobowych;
e)
Wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
2. 
Administratorem procesów przetwarzania danych jest Agencja, reprezentowana przez dyrektora wykonawczego, który może przekazywać funkcję administratora. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w zawiadomieniach o ochronie danych lub rejestrach publikowanych na stronie internetowej lub rozpowszechnianych wewnętrznie w Agencji.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrze, o którym mowa w art. 5 ust. 1.
4. 
W sytuacji gdy Agencja rozważa zastosowanie ograniczenia, waży ona zagrożenia dla praw i wolności osób, których dane dotyczą, w szczególności, względem zagrożenia dla praw i wolności pozostałych osób, których dane dotyczą oraz zagrożenia unieważnienia skutku śledztw lub procedur Agencji przykładowo poprzez niszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Agencja stosuje wszelkie ograniczenia wyłącznie w celu zapewnienia:
a)
zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
b)
wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
c)
ochrony niezależności sądu i postępowania sądowego;
d)
zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
e)
ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób;
f)
egzekwowania roszczeń cywilnoprawnych.
2. 
W ramach konkretnej realizacji celów określonych w ust. 1 powyżej Agencja może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom i jednostkom organizacyjnym Unii Europejskiej, właściwym organom państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym w następujących okolicznościach:
a)
jeżeli realizacja tych praw i obowiązków mogłaby być objęta ograniczeniem przez służby Komisji lub inne instytucje, organy, agencje lub urzędy Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, lub zgodnie z aktami założycielskimi innych instytucji, organów, agencji i urzędów Unii;
b)
jeżeli realizacja tych praw i obowiązków mogłaby zostać ograniczona przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 4  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu i Rady (UE) 2016/680 5 ;
c)
jeżeli realizacja tych praw i obowiązków mogłaby zaszkodzić współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jej zadań;
d)
przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, Agencja konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dla Agencji jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).
3. 
Wszelkie ograniczenia muszą być konieczne i proporcjonalne, uwzględniając zagrożenia dla praw i wolności osób, których dane dotyczą, oraz muszą być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że realizacja ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Agencja bez zbędnej zwłoki informuje inspektora ochrony danych Agencji o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Agencja zamieszcza informacje dotyczące ograniczenia tych praw w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach w rozumieniu przepisów art. 31 rozporządzenia (UE) 2018/1725 publikowanych na jej stronie internetowej lub rozpowszechnianych wewnętrznie, za pośrednictwem których informuje osoby, których dane dotyczą, o ich prawach w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Bez uszczerbku dla postanowień ust. 3 Agencja, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą, które uznaje się za zainteresowane w kontekście danego procesu przetwarzania, o obecnych lub przyszłych ograniczeniach ich praw bez zbędnej zwłoki i w formie pisemnej.
3. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, Agencja informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

Agencja dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego postępowania, procedury lub dochodzenia. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);
i)
rozpatrywania wniosków o dostęp do własnej dokumentacji medycznej.

Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do swoich danych osobowych przetwarzanych w ramach jednego lub kilku określonych przypadków lub konkretnego procesu przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Agencja ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.

2. 
Jeżeli Agencja ogranicza, w całości lub w części, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
tworzy notatkę z oceny wewnętrznej zawierającą przyczyny zastosowania ograniczenia, w tym ocenę konieczności, proporcjonalności ograniczenia oraz czas jego trwania.

Ograniczenia w dostępie do własnej dokumentacji medycznej dotyczą wyłącznie wniosków o bezpośredni dostęp w odniesieniu do medycznych danych osobowych o charakterze psychologicznym lub psychiatrycznym, w przypadku których dostęp do takich danych może stanowić zagrożenie dla zdrowia osoby, której dane dotyczą. Ograniczenie to jest proporcjonalne do tego, co jest ściśle niezbędne do ochrony osoby, której dane dotyczą. Dostęp do takich informacji przysługuje lekarzowi, którego wskazuje osoba, której dane dotyczą.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

Agencja dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa do sprostowania danych, ich usunięcia lub ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje ona kroki określone w art. 6 ust. 2 niniejszej decyzji i dokonuje wpisu do rejestru zgodnie z art. 6 ust. 3 niniejszej decyzji.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
rozpatrywania wewnętrznych i zewnętrznych skarg;
e)
audytów wewnętrznych;
f)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
formalnych procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. 
Jeżeli Agencja ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności łączności elektronicznej, o czym mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokonuje ona wpisu do rejestru, w którym zamieszcza przyczyny zastosowania ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Tampere dnia 5 sierpnia 2019 r.
W imieniu Zarządu
Kimmo HIMBERG
Przewodniczący Zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 319, z 4.12.2015, s. 1.
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
5 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Ratownik medyczny wykona USG i zrobi test na COVID

Mimo krytycznych uwag Naczelnej Rady Lekarskiej, Ministerstwo Zdrowia zmieniło rozporządzenie regulujące uprawnienia ratowników medycznych. Już wkrótce, po ukończeniu odpowiedniego kursu będą mogli wykonywać USG, przywrócono im też możliwość wykonywania testów na obecność wirusów, którą mieli w pandemii, a do listy leków, które mogą zaordynować, dodano trzy nowe preparaty. Większość zmian wejdzie w życie pod koniec marca.

Agnieszka Matłacz 12.03.2024
Jak zgłosić zamiar głosowania korespondencyjnego w wyborach samorządowych

Nie wszyscy wyborcy będą mogli udać się osobiście 7 kwietnia, aby oddać głos w obwodowych komisjach wyborczych. Dla nich ustawodawca wprowadził instytucję głosowania korespondencyjnego jako jednej z tzw. alternatywnych procedur głosowania. Przypominamy zasady, terminy i procedurę tego udogodnienia dla wyborców z niepełnosprawnością, seniorów i osób w obowiązkowej kwarantannie.

Artur Pytel 09.03.2024
Tabletka "dzień po" bez recepty - Sejm uchwalił nowelizację

Bez recepty dostępny będzie jeden z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - zakłada uchwalona w czwartek nowelizacja prawa farmaceutycznego. Wiek, od którego tabletka będzie dostępna bez recepty ma być określony w rozporządzeniu. Ministerstwo Zdrowia stoi na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 22.02.2024
Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 21.02.2024
Standardy ochrony dzieci. Placówki medyczne mają pół roku

Lekarz czy pielęgniarka nie będą mogli się tłumaczyć, że nie wiedzieli komu zgłosić podejrzenie przemocy wobec dziecka. Placówki medyczne obowiązkowo muszą opracować standardy postępowania w takich sytuacjach. Przepisy, które je do tego obligują wchodzą właśnie w życie, choć dają jeszcze pół roku na przygotowania. Brak standardów będzie zagrożony grzywną. Kar nie przewidziano natomiast za ich nieprzestrzeganie.

Katarzyna Nocuń 14.02.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2019.290.34

Rodzaj: Decyzja
Tytuł: Decyzja określająca wewnętrzne zasady dotyczące ograniczenia określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania CEPOL
Data aktu: 05/08/2019
Data ogłoszenia: 11/11/2019
Data wejścia w życie: 12/11/2019