Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2019.65I.1

Decyzja ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Wydział dochodzeń ds. nadużyć finansowych Inspektoratu Generalnego i Biuro dyrektora ds. zgodności Europejskiego Banku Inwestycyjnego w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw

DECYZJA EUROPEJSKIEGO BANKU INWESTYCYJNEGO
z dnia 6 lutego 2019 r.
ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Wydział dochodzeń ds. nadużyć finansowych Inspektoratu Generalnego i Biuro dyrektora ds. zgodności Europejskiego Banku Inwestycyjnego w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw

EUROPEJSKI BANK INWESTYCYJNY ("EBI"),

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 309,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 ,

mając na uwadze opinie Europejskiego Inspektora Ochrony Danych 2 ,

a także mając na uwadze, co następuje:

(1) Zgodnie z Polityką zwalczania nadużyć finansowych EBI 3  i Kartą wydziału dochodzeń ds. nadużyć finansowych EBI 4  Wydział dochodzeń ds. nadużyć finansowych Inspektoratu Generalnego EBI ("IG/IN") jest uprawniony do prowadzenia dochodzeń w sprawie zarzutów oszustwa, korupcji, zmowy, przymusu, utrudniania, prania pieniędzy i finansowania terroryzmu ("Niedozwolone postępowanie") obejmujących wszystkie działania EBI. IG/IN jest uprawniony do prowadzenia dochodzeń dotyczących i) członków organów zarządzających, pracowników i konsultantów EBI,; ii) stron związanych z projektami EBI, iii) stron związanych z zamówieniami korporacyjnymi EBI oraz iv) stron związanych z operacjami zaciągania kredytów i skarbcowymi EBI. Uprawnienia IG/IN obejmują również prowadzenie proaktywnych przeglądów integralności w obszarach podwyższonego ryzyka w celu zwiększenia wydajności i skuteczności operacji i działalności EBI.

(2) Zgodnie z Kodeksem postępowania dla pracowników EBI 5  i Polityką informowania o nieprawidłowościach EBI 6 , z okresowymi zmianami i uzupełnieniami, członkowie personelu EBI mają obowiązek zgłaszania wszelkich przypadków naruszenia obowiązków służbowych, takich jak nielegalna działalność, niedozwolone postępowanie i/lub naruszenie przepisów, reguł, zasad lub wytycznych Grupy EBI, w tym Kodeksu, właściwym służbom, stosownie do charakteru naruszenia, tj. Biuru dyrektora ds. zgodności EBI ("BDZ") i Inspektoratowi Generalnemu EBI ("IG").

(3) Zgodnie z Zakresem uprawnień dyrektora ds. zgodności Grupy ("Zakres uprawnień DZG") oraz Kartą integralności i zgodności 7  do kompetencji dyrektora ds. zgodności Grupy należy identyfikacja, ocena, doradztwo, monitorowanie i raportowanie w zakresie ryzyka braku zgodności Grupy EBI, tj. ryzyka sankcji prawnych lub regulacyjnych, straty finansowej lub utraty reputacji, które członek Grupy EBI może ponieść w wyniku niedochowania zgodności z wszelkimi obowiązującymi przepisami ustawowymi i wykonawczymi, kodeksami postępowania dla pracowników i standardami w zakresie dobrych praktyk. Zgodnie z Zakresem uprawnień DZG dyrektor ds. zgodności Grupy przeprowadza niezbędne dochodzenia administracyjne w sprawie ewentualnego naruszenia przez pracowników Kodeksu postępowania Grupy EBI. Pracownicy Grupy EBI mają obowiązek współpracy przy prowadzeniu takich dochodzeń administracyjnych w sposób określony przez dyrektora ds. zgodności Grupy.

(4) W trakcie wykonywania swoich zadań IG/IN i BDZ mają obowiązek przestrzegania praw osób fizycznych w odniesieniu do przetwarzania danych osobowych wynikających z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej, jak również z aktów prawnych opartych na tych przepisach. Jednocześnie IG/IN i BDZ mają obowiązek przestrzegania ścisłych zasad poufności i tajemnicy zawodowej, o których mowa w Regulaminie pracowników EBI i w Kodeksie postępowania dla pracowników EBI, oraz poszanowania praw procesowych osób objętych dochodzeniem i świadków, a w szczególności prawa osób, których dotyczą zasady sprawiedliwości proceduralnej i domniemania niewinności.

(5) W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, określonych w rozporządzeniu (UE) 2018/1725 ("Rozporządzenie"), z celami i wymogami odpowiednich zadań IG/IN i BDZ, jak również z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 Rozporządzenia stanowi, że IG/IN i BDZ mogą ograniczyć, zgodnie z ich odpowiednimi uprawnieniami, stosowanie art. 14-22, 35 i 36, a także art. 4 w zakresie, w jakim przepisy tego rozporządzenia odpowiadają prawom i obowiązkom przewidzianym w art. 14-22. Aby to zrobić, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których właściwy administrator danych może ograniczyć prawa osób, których dane dotyczą, zgodnie z art. 25 tego rozporządzenia.

(6) Przepisy wewnętrzne powinny mieć zastosowanie do wszystkich operacji przetwarzania przeprowadzanych przez IG/IN i BDZ w ramach wykonywania ich odpowiednich uprawnień zawartych w Polityce zwalczania nadużyć finansowych EBI, Karcie wydziału dochodzeń ds. nadużyć finansowych EBI, Karcie integralności i zgodności oraz w Zakresie uprawnień DZG, w trakcie całego procesu.

(7) W celu zapewnienia zgodności z art. 14, 15 i 16 Rozporządzenia właściwy administrator danych powinien informować wszystkie osoby fizyczne o swoich działaniach związanych z przetwarzaniem ich danych osobowych i o ich prawach w sposób przejrzysty i spójny w formie informacji o ochronie danych publikowanych na stronie internetowej i w serwisie intranetowym EBI, jak również powinien indywidualnie informować osoby, których dane dotyczą i które mają związek z jego działalnością, tj. osoby zainteresowane, świadków i informatorów.

(8) IG/IN i BDZ mogą być zmuszone w określonych sytuacjach do zastosowania ograniczeń, o których mowa w art. 25 Rozporządzenia, w odniesieniu do operacji przetwarzania danych prowadzonych w ramach zadań IG/IN i BDZ zawartych w i) Polityce zwalczania nadużyć finansowych EBI i Procedurze dochodzeń, w odniesieniu do IG/IN 8  oraz w ii) Zakresie uprawnień dyrektora ds. zgodności Grupy, w odniesieniu do BDZ.

(9) Komunikacja pomiędzy OLAF a EBI odbywa się zgodnie z porozumieniem administracyjnym pomiędzy Europejskim Urzędem ds. Zwalczania Nadużyć Finansowych a Europejskim Bankiem Inwestycyjnym z dnia 31 marca 2016 r.

(10) W celu utrzymania skutecznej współpracy IG/IN i BDZ mogą być zmuszone także do stosowania ograniczeń w odniesieniu do praw osób, których dane dotyczą, do ochrony informacji zawierających dane osobowe pochodzących od innych służb EBI, instytucji, organów i jednostek organizacyjnych Unii Europejskiej, właściwych organów państw członkowskich i państw trzecich, a także od organizacji międzynarodowych. W tym celu IG/IN i BDZ powinny konsultować ze wspomnianymi innymi służbami EBI, instytucjami, organami i jednostkami organizacyjnymi Unii, a także agencjami, organami państw i organizacjami międzynarodowymi zastosowanie ograniczeń w oparciu o istotne przesłanki, konieczność ich zastosowania oraz ich proporcjonalność.

(11) IG/IN i BDZ powinny rozpatrywać wszystkie ograniczenia w przejrzysty sposób i rejestrować każde zastosowanie ograniczeń w odpowiednim systemie rejestracji.

(12) Zgodnie z art. 25 ust. 8 Rozporządzenia administratorzy danych mogą wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia lub odmówić przekazania takich informacji, jeżeli mogłoby to w jakikolwiek sposób zagrozić celowi ograniczenia. W szczególności gdy stosuje się ograniczenie praw przewidzianych w art. 16 i 35, zgłoszenie takiego ograniczenia zagrażałoby celowi ograniczenia. Właściwy administrator danych powinien regularnie weryfikować swoje stanowisko, aby zapewnić, że prawo osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 jest ograniczone jedynie tak długo, jak długo zachodzą przesłanki opóźnienia przekazania tych informacji.

(13) W przypadku ograniczenia innych praw osób, których dane dotyczą, administrator danych powinien ocenić w poszczególnych przypadkach, czy poinformowanie o ograniczeniu zagrażałoby celowi takiego ograniczenia.

(14) EBI wyznaczył własnego inspektora ochrony danych ("Inspektor ochrony danych") zgodnie z art. 24 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady 9 .

(15) Inspektor ochrony danych może przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

ROZDZIAŁ  I

WYDZIAŁ DOCHODZEŃ DS. NADUŻYĆ FINANSOWYCH INSPEKTORATU GENERALNEGO

Artykuł  1

Przedmiot i zakres stosowania

1. 
Niniejszy rozdział ustanawia przepisy, których zobowiązany jest przestrzegać właściwy administrator danych, zgodnie z definicją zawartą w art. 2 ust. 1 niniejszej decyzji, dotyczące informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725.

Ustanawia ona także warunki, na jakich właściwy administrator danych może ograniczyć stosowanie art. 14-22, 35 i 36 oraz art. 4 tego rozporządzenia, zgodnie z art. 25 Rozporządzenia.

2. 
Niniejszy rozdział ma zastosowanie do przetwarzania danych osobowych przez IG/IN na potrzeby działań prowadzonych w celu wykonania przez IG/IN jego zadań, o których mowa w Polityce zwalczania nadużyć finansowych EBI i w Karcie wydziału dochodzeń ds. nadużyć finansowych EBI.
3. 
W ramach swoich uprawnień IG/IN przetwarza kilka kategorii danych osobowych, w szczególności dane identyfikacyjne, dane kontaktowe, dane zawodowe i dane dotyczące udziału w sprawie.
Artykuł  2

Specyfikacja administratora danych i zabezpieczeń

1. 
Administratorem operacji przetwarzania danych jest kierownik wydziału IG/IN.
2. 
Dane osobowe przechowywane są w zabezpieczonym środowisku elektronicznym i fizycznym, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu.
3. 
Przetwarzane dane są przechowywane przez co najmniej pięć lat i do dziesięciu lat po zamknięciu dochodzenia. Dane dotyczące nieuzasadnionych spraw przechowywane są przez okres maksymalnie pięciu lat.
4. 
Dłuższe okresy niż określone powyżej stosuje się w wyjątkowych i należycie uzasadnionych przypadkach, za zgodą inspektora ochrony danych.
Artykuł  3

Obowiązujące wyjątki i ograniczenia

1. 
IG/IN, wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z Rozporządzeniem, uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki przewidziane w tym rozporządzeniu.
2. 
Z zastrzeżeniem art. 4-7 niniejszej decyzji IG/IN może ograniczyć stosowanie art. 14-22, 35 i 36 Rozporządzenia, a także jego art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 Rozporządzenia, w przypadku gdy wykonywanie tych praw i obowiązków zagrażałoby celowi dochodzeń i innych działań prowadzonych przez IG/IN, m.in. przez ujawnienie jego narzędzi i metod dochodzeniowych, lub naruszałoby prawa i wolności innych osób, których dane dotyczą.
3. 
Z zastrzeżeniem art. 4-7 niniejszej decyzji IG/IN może również ograniczyć prawa i obowiązki, o których mowa w ust. 2 niniejszego artykułu, w odniesieniu do danych osobowych uzyskanych od innych służb EBI, OLAF lub innych instytucji, organów i jednostek organizacyjnych Unii Europejskiej, właściwych organów państw członkowskich, państw trzecich lub organizacji międzynarodowych, jeżeli zachodzą następujące okoliczności:
a)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez inne służby EBI, OLAF lub inne instytucje, organy i jednostki organizacyjne Unii Europejskiej na podstawie innych aktów, o których mowa w art. 25 Rozporządzenia, lub zgodnie z rozdziałem IX tego rozporządzenia;
b)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 10 , lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 11 ;
c)
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy IG/IN z państwami trzecimi i organizacjami międzynarodowymi przy wypełnianiu jego zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, IG/IN konsultuje się z właściwymi służbami EBI, OLAF, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że IG/IN nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.

Litera c) akapitu pierwszego nie ma zastosowania, w przypadku gdy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, przeważają nad interesem Unii Europejskiej dotyczącym współpracy z państwami trzecimi lub organizacjami międzynarodowymi.

Artykuł  4

Przekazywanie informacji osobom, których dane dotyczą

1. 
IG/IN publikuje na stronie internetowej EBI informację o ochronie danych, w której powiadamia wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych.
2. 
IG/IN indywidualnie informuje wszystkie osoby, których dane dotyczą i które uznaje za osoby zainteresowane, świadków lub informatorów w rozumieniu Polityki zwalczania nadużyć finansowych EBI oraz Procedur dochodzeń.
3. 
W przypadku całkowitego lub częściowego ograniczenia przez IG/IN przekazywania informacji osobom, których dane dotyczą i o których mowa w art. 2, IG/IN odnotowuje przyczyny zastosowania takiego ograniczenia, w tym ocenę jego konieczności i proporcjonalności.

W tym celu we wpisie określa się, w jaki sposób przekazanie takich informacji zagroziłoby celowi działań dochodzeniowych prowadzonych przez IG/IN lub celowi ograniczeń mających zastosowanie zgodnie z art. 3 ust. 3 lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.

W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych (EIOD).

4. 
Ograniczenie, o którym mowa w ust. 3, stosuje się tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, IG/IN przekazuje stosowne informacje osobie, której dane dotyczą, oraz podaje jej przyczyny ograniczenia. Jednocześnie IG/IN informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

IG/IN dokonuje przeglądu zastosowania danego ograniczenia co najmniej co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia. Następnie administrator danych raz w roku monitoruje konieczność zachowania jakiegokolwiek ograniczenia.

Artykuł  5

Prawo dostępu przysługujące osobie, której dane dotyczą

1. 
Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnej operacji przetwarzania danych, zgodnie z art. 17 Rozporządzenia, IG/IN ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.
2. 
W przypadku gdy IG/IN ogranicza, całkowicie lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia, podejmuje on następujące kroki:
a)
w odpowiedzi na wniosek informuje przedmiotową osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
rejestruje przyczyny stosowania ograniczenia, m.in. oceniając, czy jest ono konieczne i proporcjonalne; w tym celu we wpisie określa się, w jaki sposób przekazanie informacji zagroziłoby celowi działań prowadzonych przez IG/IN lub celowi ograniczeń mających zastosowanie zgodnie z art. 3 ust. 3, lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.

Zgodnie z art. 25 ust. 8 Rozporządzenia można opóźnić przekazanie informacji, o których mowa w lit. a), pominąć je lub go odmówić.

3. 
W rejestrze uwzględnia się wpis, o którym mowa w ust. 2 lit. b) akapitu pierwszego, oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie EIOD. Zastosowanie ma art. 25 ust. 7 rozporządzenia (UE) 2018/1725.
Artykuł  6

Prawo do poprawiania danych, ich usunięcia i ograniczenia przetwarzania

Jeżeli IG/IN ogranicza, całkowicie lub częściowo, stosowanie prawa do poprawiania danych, ich usunięcia lub prawa do ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje on kroki określone w art. 5 ust. 2 niniejszej decyzji i rejestruje wpis zgodnie z art. 5 ust. 3 niniejszej decyzji.

Artykuł  7

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Jeżeli IG/IN ogranicza zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, o czym mowa w art. 35 rozporządzenia, zapisuje on i rejestruje powody takiego ograniczenia zgodnie z art. 4 ust. 3 niniejszej decyzji. Zastosowanie ma art. 4 ust. 4 niniejszej decyzji.

Artykuł  8

Przegląd prowadzony przez Inspektora ochrony danych

IG/IN informuje, bez zbędnej zwłoki, Inspektora ochrony danych, ilekroć prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą decyzją, oraz zapewnia dostęp do rejestru i oceny konieczności oraz proporcjonalności takiego ograniczenia.

Inspektor ochrony danych może zwrócić się do IG/IN na piśmie o dokonanie przeglądu stosowania ograniczeń. IG/IN informuje Inspektora ochrony danych na piśmie o wynikach wnioskowanego przeglądu.

ROZDZIAŁ  II

BIURO DYREKTORA DS. ZGODNOŚCI GRUPY EBI

Artykuł  9

Przedmiot i zakres stosowania

1. 
Niniejszy rozdział ustanawia przepisy, których zobowiązane jest przestrzegać BDZ, dotyczące informowania osób, których dane dotyczą, o przetwarzaniu ich danych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725.

Ustanawia on także warunki, na jakich BDZ może ograniczyć stosowanie art. 14-22, 35 i 36 oraz art. 4 rozporządzenia (UE) 2018/1725, zgodnie z art. 25 tego rozporządzenia.

2. 
Niniejszy rozdział ma zastosowanie do przetwarzania danych osobowych przez BDZ na potrzeby działań prowadzonych w celu wykonania przez BDZ jego zadań, o których mowa w Zakresie uprawnień DZG, w Karcie integralności i zgodności oraz w innych wewnętrznych przepisach i zasadach.
3. 
W ramach swojej działalności BDZ przetwarza kilka kategorii danych osobowych, w szczególności dane identyfikacyjne, dane kontaktowe, dane zawodowe i dane dotyczące udziału w sprawie.
Artykuł  10

Specyfikacja administratora danych i zabezpieczeń

1. 
DZG działa jako odpowiedni administrator danych.
2. 
Dane osobowe przechowywane są w zabezpieczonym środowisku elektronicznym i fizycznym, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu.
3. 
Dane osobowe przetwarzane przez BDZ przechowywane są przez co najmniej sześć miesięcy od umorzenia sprawy i przez maksymalnie pięć lat od zamknięcia dochodzenia administracyjnego.
4. 
Dłuższe okresy niż określone powyżej stosuje się w wyjątkowych i należycie uzasadnionych przypadkach, za zgodą inspektora ochrony danych.
Artykuł  11

Obowiązujące wyjątki i ograniczenia

1. 
BDZ, wykonując swoje obowiązki w odniesieniu do praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2018/1725, uwzględnia, czy zastosowanie mają jakiekolwiek wyjątki przewidziane w tym rozporządzeniu.
2. 
Z zastrzeżeniem art. 12-15 niniejszej decyzji BDZ może ograniczyć stosowanie art. 14-22, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 rozporządzenia (UE) 2018/1725, w przypadku gdy wykonywanie tych praw i obowiązków zagrażałoby celowi dochodzeń administracyjnych i innych działań prowadzonych przez BDZ, m.in. przez ujawnienie jego narzędzi i metod dochodzeniowych, lub naruszałoby prawa i wolności innych osób, których dane dotyczą.
3. 
Z zastrzeżeniem art. 12-15 niniejszej decyzji BDZ może również ograniczyć prawa i obowiązki, o których mowa w ust. 2 niniejszego artykułu, w odniesieniu do danych osobowych uzyskanych od służb EBI, instytucji, organów i jednostek organizacyjnych Unii Europejskiej, właściwych organów państw członkowskich, państw trzecich lub organizacji międzynarodowych, jeżeli zachodzą następujące okoliczności:
a)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez inne służby EBI, instytucje, organy i jednostki organizacyjne Unii Europejskiej na podstawie innych aktów, o których mowa w art. 25 rozporządzenia (UE) 2018/1725, lub zgodnie z rozdziałem IX tego rozporządzenia;
b)
gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia (UE) 2016/679, lub na podstawie środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy (UE) 2016/680;
c)
gdy wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy BDZ z państwami trzecimi i organizacjami międzynarodowymi przy wypełnianiu jego zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, BDZ konsultuje się z właściwymi służbami EBI, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że BDZ nie ma wątpliwości, że zastosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w podanych wyżej literach.

Litera c) akapitu pierwszego nie ma zastosowania, w przypadku gdy interesy lub podstawowe prawa i wolności osób, których dane dotyczą, przeważają nad interesem Unii Europejskiej dotyczącym współpracy z państwami trzecimi lub organizacjami międzynarodowymi.

Artykuł  12

Przekazywanie informacji osobom, których dane dotyczą

1. 
BDZ publikuje w serwisie intranetowym EBI informację o ochronie danych, w której powiadamia wszystkie osoby, których dane dotyczą, o prowadzonych przez siebie działaniach obejmujących przetwarzanie ich danych osobowych.
2. 
BDZ indywidualnie informuje wszystkie osoby, których dane dotyczą i które uznaje za osoby zainteresowane, świadków lub informatorów.
3. 
W przypadku całkowitego lub częściowego ograniczenia przez BDZ przekazywania informacji osobom, których dane dotyczą i o których mowa w art. 2, BDZ zapisuje przyczyny zastosowania takiego ograniczenia, w tym ocenę jego konieczności i proporcjonalności.

W tym celu we wpisie określa się, w jaki sposób przekazanie takich informacji zagroziłoby celowi dochodzeń administracyjnych lub innych działań prowadzonych przez BDZ, lub celowi ograniczeń mających zastosowanie zgodnie z art. 11 ust. 3, lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.

W rejestrze uwzględnia się wspomniany wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie EIOD.

4. 
Ograniczenie, o którym mowa w ust. 3, stosuje się tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, BDZ przekazuje stosowne informacje osobie, której dane dotyczą, oraz podaje jej przyczyny ograniczenia. Jednocześnie BDZ informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

BDZ dokonuje przeglądu zastosowania danego ograniczenia co najmniej co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia administracyjnego. Następnie administrator danych raz w roku monitoruje konieczność zachowania jakichkolwiek ograniczeń.

Artykuł  13

Prawo dostępu przysługujące osobie, której dane dotyczą

1. 
Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnej operacji przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, BDZ ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.
2. 
W przypadku gdy BDZ ogranicza, całkowicie lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje ono następujące kroki:
a)
w odpowiedzi na wniosek informuje przedmiotową osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem EIOD lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
rejestruje przyczyny stosowania ograniczenia, m.in. oceniając, czy jest ono konieczne i proporcjonalne; w tym celu we wpisie określa się, w jaki sposób przekazanie informacji zagroziłoby celowi dochodzeń administracyjnych lub innych działań prowadzonych przez BDZ lub celowi ograniczeń mających zastosowanie zgodnie z art. 11 ust. 3, lub jaki negatywny wpływ wywarłoby na prawa i wolności innych osób, których dane dotyczą.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można opóźnić przekazanie informacji, o których mowa w lit. a), pominąć je lub go odmówić.

3. 
W rejestrze uwzględnia się wpis, o którym mowa w ust. 2 lit. b) akapitu pierwszego, oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne. Udostępnia się je na żądanie EIOD. Zastosowanie ma art. 25 ust. 7 rozporządzenia (UE) 2018/1725.
Artykuł  14

Prawo do poprawiania danych, ich usunięcia i ograniczenia przetwarzania

Jeżeli BDZ ogranicza, całkowicie lub częściowo, stosowanie prawa do poprawiania danych, ich usunięcia lub prawa do ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje ono kroki określone w art. 13 ust. 2 niniejszej decyzji i rejestruje wpis zgodnie z art. 13 ust. 3 niniejszej decyzji.

Artykuł  15

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Jeżeli BDZ ogranicza zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, o czym mowa w art. 35 rozporządzenia (UE) 2018/1725, odnotowuje ono i rejestruje powody takiego ograniczenia zgodnie z art. 12 ust. 3 niniejszej decyzji. Zastosowanie ma art. 12 ust. 4 niniejszej decyzji.

Artykuł  16

Przegląd prowadzony przez inspektora ochrony danych

BDZ informuje, bez zbędnej zwłoki, Inspektora ochrony danych, ilekroć prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą decyzją, oraz zapewnia dostęp do rejestru i oceny konieczności oraz proporcjonalności takiego ograniczenia.

Inspektor ochrony danych może zwrócić się do administratora danych na piśmie o dokonanie przeglądu stosowania ograniczeń. BDZ informuje Inspektora ochrony danych na piśmie o wynikach wnioskowanego przeglądu.

ROZDZIAŁ  III

POSTANOWIENIA KOŃCOWE

Artykuł  17

Wejście w życie

Niniejsza decyzja została zatwierdzona przez Radę Dyrektorów EBI w dniu 6 lutego 2019 r. i wchodzi w życie z dniem jej opublikowania w serwisie internetowym EBI.

Sporządzono w Luksemburgu 6 lutego 2019 r.
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Przetwarzanie danych osobowych w kontekście dochodzeń IG/IN i dochodzeń administracyjnych Biura dyrektora ds. zgodności (BDZ) zostało zgłoszone EIOD
9 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
11 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Ratownik medyczny wykona USG i zrobi test na COVID
Ratownik medyczny wykona USG i zrobi test na COVID

Mimo krytycznych uwag Naczelnej Rady Lekarskiej, Ministerstwo Zdrowia zmieniło rozporządzenie regulujące uprawnienia ratowników medycznych. Już wkrótce, po ukończeniu odpowiedniego kursu będą mogli wykonywać USG, przywrócono im też możliwość wykonywania testów na obecność wirusów, którą mieli w pandemii, a do listy leków, które mogą zaordynować, dodano trzy nowe preparaty. Większość zmian wejdzie w życie pod koniec marca.

Agnieszka Matłacz 12.03.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2019.65I.1
Rodzaj: Decyzja
Tytuł: Decyzja ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Wydział dochodzeń ds. nadużyć finansowych Inspektoratu Generalnego i Biuro dyrektora ds. zgodności Europejskiego Banku Inwestycyjnego w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw
Data aktu: 06/02/2019
Data ogłoszenia: 06/03/2019
Data wejścia w życie: 06/03/2019