Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2020.128.5

Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji

DECYZJA RADY ADMINISTRACYJNEJ AGENCJI UNII EUROPEJSKIEJ DS. WSPÓŁPRACY ORGANÓW REGULACJI ENERGETYKI
z dnia 12 grudnia 2019 r.
w sprawie przepisów wewnętrznych dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji

RADA ADMINISTRACYJNA AGENCJI UNII EUROPEJSKIEJ DS. WSPÓŁPRACY ORGANÓW REGULACJI ENERGETYKI,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/942 z dnia 5 czerwca 2019 r. ustanawiające Agencję Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki 2 , a w szczególności jego art. 19 ust. 1 lit. d),

uwzględniając regulamin wewnętrzny Rady Administracyjnej 3 , a w szczególności jego art. 8,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 2 października 2019 r. oraz wytyczne Europejskiego Inspektora Ochrony Danych dotyczące art. 25 nowego rozporządzenia i przepisów wewnętrznych,

po konsultacji z Komitetem Pracowniczym,

a także mając na uwadze, co następuje:

(1) Agencja Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki ("Agencja") prowadzi działalność zgodnie z rozporządzeniem (UE) 2019/942.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na wewnętrznych zasadach przyjętych przez Agencję.

(3) Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, których dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) W ramach swojego administracyjnego funkcjonowania, Agencja może prowadzić dochodzenia administracyjne, postępowania dyscyplinarne, prowadzić wstępne czynności związane z przypadkami potencjalnych nieprawidłowości zgłaszanymi Europejskiemu Urzędowi ds. Zwalczania Nadużyć Finansowych (OLAF), procedury związane ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalne i nieformalne) procedury podejmowane w przypadkach nękania, rozpatrywać skargi wewnętrzne i zewnętrzne, audyty wewnętrzne, badania spraw prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, monitorować hurtowe rynki energii i koordynować działania krajowych organów regulacyjnych w zakresie potencjalnych naruszeń przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1227/2011 4  (REMIT) i przeprowadzać dochodzenia dotyczące bezpieczeństwa informatycznego (IT).

(6) Agencja przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(7) Agencja, reprezentowana przez dyrektora, pełni rolę administratora niezależnie od dalszego delegowania roli administratora w ramach Agencji dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(8) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych, oświadczeniach o ochronie prywatności lub rejestrach Agencji.

(9) Wewnętrzne zasady powinny mieć zastosowanie do wszystkich operacji przetwarzania danych prowadzonych przez Agencję w toku realizacji dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, badania spraw prowadzonego przez IOD zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, monitorowania hurtowych rynków energii i koordynacji działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMI, jak również dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

(10) Wewnętrzne zasady powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować pomoc i współpracę ze strony Agencji udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(11) W przypadkach, w których zastosowanie mają zasady wewnętrzne, Agencja musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(12) W ramach powyższego Agencja podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(13) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(14) Agencja może zatem ograniczyć informacje do celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

(15) Agencja powinna okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, gdy nie można stwierdzić ich występowania.

(16) Administrator powinien poinformować inspektora ochrony danych w momencie odroczenia i podczas przeglądów.

(17) Rozporządzenie (UE) 2018/1725 zastępuje rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady 5 , bez żadnego okresu przejściowego, od dnia jego wejścia w życie. W rozporządzeniu (WE) nr 45/2001 przewidziano możliwość stosowania ograniczeń w odniesieniu do niektórych praw osób, których dane dotyczą. Aby uniknąć zagrożenia dla zadań i działalności Agencji, niniejsza decyzja powinna wejść w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

(18) Europejski Inspektor Ochrony Danych wydał opinię w dniu 2 października 2019 r. zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725, którą należycie uwzględniono przy konsolidacji niniejszej decyzji,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące warunków, zgodnie z którymi Agencja w ramach własnych procedur określonych w ust. 2 niniejszego artykułu, może na mocy art. 25 rozporządzenia (UE) 2018/1725 ograniczyć stosowanie praw przewidzianych w art. 14-21, 35 i 36, jak również art. 4.
2. 
W ramach administracyjnego funkcjonowania Agencji niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez Agencję dla celów: prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, audytów wewnętrznych, badania spraw prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, monitorowania hurtowych rynków energii oraz koordynowania działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMIT i dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CeRT-EU).
3. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
W celu uniknięcia naruszeń ochrony danych, wycieków danych lub nieuprawnionego ujawnienia informacji wprowadzono następujące zabezpieczenia:
a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa Agencji, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
Wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
2. 
Administratorem operacji przetwarzania danych jest Agencja, reprezentowana przez dyrektora, który może dokonać delegowania obowiązków administratora. Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie Agencji.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3 niniejszej decyzji, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrze, o którym mowa w art. 5 ust. 1 niniejszej decyzji.
4. 
W sytuacji, gdy Agencja rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem negatywnego wpływu na dochodzenia lub procedury Agencji przykładowo ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Wszelkie ograniczenia są stosowane przez Agencję wyłącznie w celu zapewnienia:
a)
zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
b)
wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
c)
funkcji monitorowania, funkcji kontrolnej lub regulacyjnej związanej, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a);
d)
ochrony osób, których dane dotyczą, bądź praw i wolności innych osób.
2. 
Jako szczególne zastosowanie w celach opisanych w ust. 1 powyżej, Agencja może zastosować ograniczenia w następujących okolicznościach:
a)
w odniesieniu do danych osobowych wymienianych ze służbami Komisji lub z innymi unijnymi instytucjami, organami, agencjami i urzędami, jeżeli korzystanie z tych praw i obowiązków mogłoby zostać ograniczone przez służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725, zgodnie z rozdziałem IX tego rozporządzenia lub z aktami założycielskimi innych unijnych instytucji, organów, jednostek organizacyjnych i urzędów, a celem takiego ograniczenia ze strony tej instytucji, organu lub agencji Unii byłoby niestosowanie równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
b)
w odniesieniu do danych osobowych wymienianych z właściwymi organami państw członkowskich lub państw trzecich lub z organizacjami międzynarodowymi, w przypadku gdy wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 6  lub na mocy środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 7 , i w przypadku gdy cel takiego ograniczenia przez właściwe organy państw członkowskich byłby zagrożony, gdyby Agencja nie stosowała równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
c)
jeżeli istnieją jasne i uzasadnione dowody, że wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy wykonywaniu jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, Agencja konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dla Agencji jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. 
Wszelkie ograniczenia muszą być konieczne i proporcjonalne oraz uwzględniać ryzyko naruszenia praw i wolności osób, których dane dotyczą, oraz być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczal- ności, osobno dla każdego przypadku.
5. 
Ograniczenia zostają zniesione, gdy tylko uzasadniające je okoliczności przestają mieć zastosowanie, w szczególności w przypadku gdy uznaje się, że wykonanie takiego ograniczonego prawa nie unieważniałoby już skutku nałożonego ograniczenia ani praw lub wolności innych osób, których dane dotyczą.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Agencja bez zbędnej zwłoki angażuje inspektora ochrony danych Agencji (zwanego dalej "inspektorem ochrony danych") we wszystkie odpowiednie procedury ustanowione na mocy niniejszej decyzji i dopilnowuje, aby udział inspektora ochrony danych był udokumentowany. Obejmuje to dokumentowanie na piśmie wszelkich stosownych ocen i opinii wydanych przez inspektora ochrony danych w odniesieniu do zastosowania ograniczenia w danej sprawie.
2. 
W szczególności Agencja bez zbędnej zwłoki informuje inspektora ochrony danych w każdym przypadku, gdy administrator ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza to ograniczenie, zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
3. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
4. 
Administrator danych informuje inspektora ochrony danych o zniesieniu ograniczenia.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
monitorowania hurtowych rynków energii oraz koordynowania działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMIT;
i)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Agencja zamieszcza informacje dotyczące ograniczenia tych praw w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach w rozumieniu przepisów art. 31 rozporządzenia (UE) 2018/1725 publikowanych na jej stronie internetowej lub intranecie, za pośrednictwem których informuje osoby, których dane dotyczą, o ich prawach w ramach danej procedury. Informacje te określają dane, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Bez uszczerbku dla postanowień ust. 3 Agencja, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą, które uznaje się za zainteresowane w kontekście danego procesu przetwarzania, o obecnych lub przyszłych ograniczeniach ich praw bez zbędnej zwłoki i w formie pisemnej.
3. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru, opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, Agencja informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

Agencja dokonuje przeglądu stosowania ograniczenia w celu potwierdzenia, czy faktyczne i prawne podstawy ograniczenia nadal mają zastosowanie, co sześć miesięcy od jego zastosowania oraz po zamknięciu odpowiedniego dochodzenia, procedury lub badania. Następnie administrator okresowo monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
monitorowania hurtowych rynków energii oraz koordynowania działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMIT;
i)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnego procesu przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Agencja ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.

2. 
Jeżeli Agencja ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

Co sześć miesięcy od momentu zastosowania ograniczenia oraz po zamknięciu danego dochodzenia Agencja dokonuje przeglądu stosowania ograniczenia w celu potwierdzenia, czy faktyczne i prawne podstawy ograniczenia nadal mają zastosowanie. Następnie administrator okresowo monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
monitorowania hurtowych rynków energii oraz koordynowania działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMIT;
i)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
Jeżeli Agencja ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji. Art. 6 ust. 3 niniejszej decyzji stosuje się do wszelkich ograniczeń wprowadzonych na mocy niniejszego artykułu.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
rozpatrywania wewnętrznych i zewnętrznych skarg;
e)
audytów wewnętrznych;
f)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
monitorowania hurtowych rynków energii oraz koordynowania działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMIT;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
formalnych procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
monitorowania hurtowych rynków energii oraz koordynowania działań krajowych organów regulacyjnych w zakresie potencjalnych naruszeń REMIT;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. cErT-EU).
3. 
Jeżeli Agencja ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, podejmuje ona kroki zgodnie z art. 5 ust. 3 i 4 niniejszej decyzji. Art. 6 ust. 3 niniejszej decyzji stosuje się do wszelkich ograniczeń wprowadzonych na mocy niniejszego artykułu.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Lublanie dnia 12 grudnia 2019 r.
W imieniu Rady Administracyjnej
Dr. R. JORDAN
Przewodniczący
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 158 z 14.6.2019, s. 22.
3 Decyzja Rady Administracyjnej nr 3/2010 z dnia 6 maja 2010 r. z późniejszymi zmianami.
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1227/2011 z dnia 25 października 2011 r. w sprawie integralności i przejrzystości hurtowego rynku energii (Dz.U. L 326 z 8.12.2011, s. 1).
5 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
6 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
7 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana
Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana

Uproszczenie i uporządkowanie niektórych regulacji kodeksu pracy dotyczących m.in. wykorzystania postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy oraz terminu wypłaty ekwiwalentu za niewykorzystany urlop wypoczynkowy przewiduje nowelizacja kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych, która wejdzie w życie w dniu 27 stycznia.

Grażyna J. Leśniak 12.01.2026
Powierzchnia użytkowa mieszkań już bez ścianek działowych
Powierzchnia użytkowa mieszkań już bez ścianek działowych

W Dzienniku Ustaw opublikowano nowelizację, która ma zakończyć spory między nabywcami i deweloperami o powierzchnie sprzedawanych mieszkań i domów. W przepisach była luka, która skutkowała tym, że niektórzy deweloperzy wliczali w powierzchnię użytkową metry pod ściankami działowymi, wnękami technicznymi czy skosami o małej wysokości - a to mogło dawać różnicę w finalnej cenie sięgającą nawet kilkudziesięciu tysięcy złotych. Po zmianach standardy dla wszystkich inwestycji deweloperskich będą jednolite.

Agnieszka Matłacz 12.01.2026
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni

Podpisana przez prezydenta Karola Nawrockiego ustawa reformująca orzecznictwo lekarskie w Zakładzie Ubezpieczeń Społecznych ma usprawnić kontrole zwolnień chorobowych i skrócić czas oczekiwania na decyzje. Jednym z kluczowych elementów zmian jest możliwość dostępu do dokumentacji medycznej w toku kontroli L4 oraz poszerzenie katalogu osób uprawnionych do orzekania. Zdaniem eksperta, sam dostęp do dokumentów niczego jeszcze nie zmieni, jeśli za stwierdzonymi nadużyciami nie pójdą realne konsekwencje.

Grażyna J. Leśniak 09.01.2026
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych

Konfederacja Lewiatan krytycznie ocenia niektóre przepisy projektu ustawy o wygaszeniu pomocy dla obywateli Ukrainy. Najwięcej kontrowersji budzą zapisy ograniczające uproszczoną procedurę powierzania pracy obywatelom Ukrainy oraz przewidujące wydłużenie zawieszenia biegu terminów w postępowaniach administracyjnych. W konsultacjach społecznych nad projektem nie brały udziału organizacje pracodawców.

Grażyna J. Leśniak 08.01.2026
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę

Usprawnienie i ujednolicenie sposobu wydawania orzeczeń przez lekarzy Zakładu Ubezpieczeń Społecznych, a także zasad kontroli zwolnień lekarskich wprowadza podpisana przez prezydenta ustawa. Nowe przepisy mają również doprowadzić do skrócenia czasu oczekiwania na orzeczenia oraz zapewnić lepsze warunki pracy lekarzy orzeczników, a to ma z kolei przyczynić się do ograniczenia braków kadrowych.

Grażyna J. Leśniak 08.01.2026
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa

Przeksięgowanie składek z tytułu na tytuł do ubezpieczeń społecznych na podstawie prawomocnej decyzji ZUS, zmiany w zakresie zwrotu składek nadpłaconych przez płatnika, w tym rozpoczęcie biegu terminu przedawnienia zwrotu nienależnie opłaconych składek dopiero od ich stwierdzenia przez ZUS - to niektóre zmiany, jakie zamierza wprowadzić Ministerstwo Rodziny, Pracy i Polityki Społecznej. Resort dostrzegł bowiem problem związany ze sprawami, w których ZUS kwestionuje tytuł do ubezpieczeń osób zgłoszonych do nich wiele lat wcześniej.

Grażyna J. Leśniak 08.01.2026
Metryka aktu
Identyfikator:

Dz.U.UE.L.2020.128.5
Rodzaj: Decyzja
Tytuł: Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji
Data aktu: 12/12/2019
Data ogłoszenia: 23/04/2020
Data wejścia w życie: 24/04/2020