Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2020.214.5

Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działania EMSA

DECYZJA RADY ADMINISTRACYJNEJ EUROPEJSKIEJ AGENCJI BEZPIECZEŃSTWA MORSKIEGO
z dnia 6 kwietnia 2020 r.
w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działania EMSA

RADA ADMINISTRACYJNA EUROPEJSKIEJ AGENCJI BEZPIECZEŃSTWA MORSKIEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 18 grudnia 2019 r. (DH/GC/vm/D(2019) 2673 C 2019-0876) oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i przepisów wewnętrznych,

uwzględniając rozporządzenie (WE) nr 1406/2002 Parlamentu Europejskiego i Rady z dnia 27 czerwca 2002 r. ustanawiające Europejską Agencję Bezpieczeństwa Morskiego (EMSA) 2 , ze zmianami, w szczególności jego art. 4 ust. 4,

a także mając na uwadze, co następuje:

(1) Agencja prowadzi swoją działalność zgodnie z rozporządzeniem ją ustanawiającym.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na przepisach wewnętrznych przyjętych przez Agencję.

(3) Takie przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania w przypadku, gdy akt prawny przyjęty na podstawie Traktatów przewiduje ograniczenie praw osób, których dane dotyczą.

(4) Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) Agencja może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), rozpatrywać sprawy związane ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzać (formalne i nieformalne) procedury dotyczące nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić dochodzenia właściwe dla inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzenia dotyczące bezpieczeństwa (informatycznego).

Agencja przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(6) Agencja, reprezentowana przez jej dyrektora zarządzającego, działa w charakterze administratora danych niezależnie od dalszego delegowania roli administratora w ramach EMSA, aby odzwierciedlić odpowiedzialność operacyjną za określone operacje przetwarzania danych osobowych.

(7) Dane osobowe przechowywane są w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, przez co zapobiega się bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się nie dłużej, niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach Agencji.

(8) Przepisy wewnętrzne należy stosować w odniesieniu do wszystkich operacji przetwarzania prowadzonych przez Agencję w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzania (formalnych i nieformalnych) procedur dotyczących nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE).

(9) Przepisy wewnętrzne należy stosować do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony Agencji na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.

(10) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, Agencja musi uzasadnić dlaczego ograniczenia są absolutnie konieczne i proporcjonalne w demokratycznym społeczeństwie i szanować istotę podstawowych praw i wolności.

(11) W ramach powyższego Agencja podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(12) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(13) Agencja może zatem ograniczyć informacje do celów ochrony dochodzenia oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

(14) Agencja powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(15) Administrator powinien poinformować inspektora ochrony danych w momencie odroczenia i podczas przeglądów,

STANOWI, CO NASTĘPUJE:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące warunków, na jakich Agencja w ramach prowadzonych przez nią procedur określonych w ust. 2 może - na podstawie art. 25 rozporządzenia (UE) 2018/1725 - ograniczyć stosowanie praw przewidzianych w art. 14-21, 35 i 36, jak również art. 4 tego rozporządzenia.
2. 
W ramach działalności Agencji niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych prowadzonych przez Agencję na potrzeby przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów, przeprowadzania (formalnych i nieformalnych) procedur dotyczących nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-UE).
3. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności. Zgodnie z art. 5 ust. 4 regulaminu pracowniczego niniejszym zatwierdza się tabele określające równoważność między poszczególnymi rodzajami stanowisk a nazwami stanowisk stosowanych w odniesieniu do urzędników EMSA i jej pracowników zatrudnionych na czas określony, zawarte w załączniku do niniejszej decyzji.
Artykuł  2

Określenie administratora

1. 
Administratorem operacji przetwarzania jest Agencja, reprezentowana przez dyrektora zarządzającego, który może delegować funkcję administratora. Osoby, których dane dotyczą, są informowane o delegowaniu funkcji administratora w zawiadomieniach o ochronie danych lub rejestrach publikowanych na stronie internetowej lub w intranecie Agencji.
2. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy, niż jest to konieczne i właściwe do celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach, o których mowa w art. 5 ust. 1.
3. 
W sytuacji, gdy Agencja rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osoby, której dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku dochodzeń lub procedur Agencji, przykładowo ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  2a

Zabezpieczenia

Administrator zobowiązuje się do wprowadzenia zabezpieczeń mających na celu zapobieganie nadużywaniu lub bezprawnemu uzyskiwaniu dostępu do danych lub takiemu przekazywaniu danych; zabezpieczenia te polegają między innymi na tym, że:

a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach lub sejfie(-ach), a dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa Agencji, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. Odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
baza(-y) danych jest/są chroniona(-e) hasłem w ramach systemu pojedynczego logowania i łączy(-ą) się automatycznie z identyfikatorem i hasłem użytkownika. Dostęp do baz danych i danych w imieniu innych użytkowników/tożsamości jest ściśle zabroniony. Rejestry elektroniczne są przechowywane w bezpieczny sposób w celu zachowania poufności i prywatności zawartych w nich danych;
d)
wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
Artykuł  3

Ograniczenia

1. 
Agencja stosuje ograniczenia wyłącznie w celu służącym:
a)
bezpieczeństwu narodowemu, bezpieczeństwu publicznemu lub obronności państw członkowskich;
b)
zapobieganiu przestępczości, prowadzeniu postępowań, wykrywaniu i ściganiu przestępstw lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
c)
realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;
(d)
bezpieczeństwu wewnętrznemu instytucji i organów unijnych, w tym ich sieci łączności elektronicznej;
e)
ochronie niezależności sądów i postępowania sądowego;
f)
zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
g)
funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a)-c);
h)
ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
i)
egzekucji roszczeń cywilnoprawnych.
2. 
Jako szczególne przyjęcie celów opisanych w ust. 1 powyżej, Agencja może zastosować ograniczenia w następujących okolicznościach:
a)
jeżeli inna instytucja, organ lub agencja Unii jest uprawniona do ograniczenia wykonywania wymienionych praw na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia bądź zgodnie z aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii;
b)
jeżeli cel takiego ograniczenia wprowadzonego przez daną instytucję, organ lub agencję Unii byłby zagrożony w przypadku niezastosowania przez EMSA równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
c)
jeżeli właściwy organ państwa członkowskiego jest uprawniony do ograniczenia wykonania wymienionych praw na podstawie innych aktów przewidzianych w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 3  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 4 ;
d)
jeżeli cel takiego ograniczenia wprowadzonego przez dany właściwy organ byłby zagrożony w przypadku niezastosowania przez EMSA równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
e)
jeżeli wykonywanie tych praw i obowiązków zagrażałoby współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy wypełnianiu jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w akapicie pierwszym lit. a) i b), Agencja konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że dla Agencji jest jasne, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. 
Wszelkie ograniczenia są konieczne i proporcjonalne do zagrożeń dla praw i wolności osób, których dane dotyczą, a przy ich wprowadzaniu przestrzega się istoty praw podstawowych i wolności w społeczeństwie demokratycznym.
4. 
Jeżeli rozważa się zastosowanie ograniczenia, co 6 (sześć) miesięcy należy przeprowadzać analizę konieczności i proporcjonalności na podstawie aktualnych przepisów. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że realizacja ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Agencja bez zbędnej zwłoki informuje inspektora ochrony danych Agencji o każdym przypadku, gdy administrator ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie na podstawie niniejszej decyzji. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje w tym rejestrze datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. cErT-EU).

Agencja zamieszcza informacje dotyczące potencjalnego ograniczenia tych praw w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach w rozumieniu przepisów art. 31 rozporządzenia (UE) 2018/1725 publikowanych na jej stronie internetowej lub intranecie, za pośrednictwem których informuje osoby, których dane dotyczą, o ich prawach w ramach danej procedury. W informacjach tych podaje się prawa, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Nie naruszając przepisów określonych w ust. 3, Agencja, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą i które uznaje się za zainteresowane w kontekście danej operacji przetwarzania, o ich prawach w odniesieniu do obecnych lub przyszłych ograniczeń bez zbędnej zwłoki i w formie pisemnej.
3. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru, opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są rejestrowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Gdy przyczyny stosowania ograniczenia przestają mieć zastosowanie, Agencja informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości złożenia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

Agencja dokonuje przeglądu stosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego postępowania, procedury lub dochodzenia. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. cErT-EU).

Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnej operacji przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Agencja ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.

2. 
Jeżeli Agencja ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych lub odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić ich, jeśli to unieważniałoby skutek nałożonego ograniczenia.

Agencja dokonuje przeglądu stosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są rejestrowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
Artykuł  7

Prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
i)
zapisów kopii zapasowych w trybie offline, które są sekwencyjne i przetwarzane jedynie w przypadku przywracania gotowości do działania po wystąpieniu sytuacji nadzwyczajnej lub przywracania danych częściowych.
2. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa do sprostowania danych, ich usunięcia lub ograniczenia przetwarzania, o czym mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji i dokonuje wpisu do rejestru zgodnie z art. 6 ust. 3 niniejszej decyzji. Niezależnie od powyższych kroków każde ograniczenie podlega przeglądowi na podstawie warunków określonych w art. 3 ust. 4 niniejszej decyzji.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
rozpatrywania wewnętrznych i zewnętrznych skarg;
e)
audytów wewnętrznych;
f)
badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłoszonych do OLAF;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
formalnych procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. 
Jeżeli Agencja ogranicza zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufność łączności elektronicznej, o których mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokonuje wpisu do rejestru, w którym zamieszcza przyczyny zastosowania ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji. Niezależnie od powyższych kroków każde ograniczenie podlega przeglądowi na podstawie warunków określonych w art. 3 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Lizbonie dnia 6 kwietnia 2020 r.
W imieniu Europejskiej Agencji Bezpieczeństwa Morskiego
Andreas NORDSETH
Przewodniczący Rady Administracyjnej
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 208 z 5.8.2002, s. 1.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1)
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana
Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana

Uproszczenie i uporządkowanie niektórych regulacji kodeksu pracy dotyczących m.in. wykorzystania postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy oraz terminu wypłaty ekwiwalentu za niewykorzystany urlop wypoczynkowy przewiduje nowelizacja kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych, która wejdzie w życie w dniu 27 stycznia.

Grażyna J. Leśniak 12.01.2026
Powierzchnia użytkowa mieszkań już bez ścianek działowych
Powierzchnia użytkowa mieszkań już bez ścianek działowych

W Dzienniku Ustaw opublikowano nowelizację, która ma zakończyć spory między nabywcami i deweloperami o powierzchnie sprzedawanych mieszkań i domów. W przepisach była luka, która skutkowała tym, że niektórzy deweloperzy wliczali w powierzchnię użytkową metry pod ściankami działowymi, wnękami technicznymi czy skosami o małej wysokości - a to mogło dawać różnicę w finalnej cenie sięgającą nawet kilkudziesięciu tysięcy złotych. Po zmianach standardy dla wszystkich inwestycji deweloperskich będą jednolite.

Agnieszka Matłacz 12.01.2026
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni

Podpisana przez prezydenta Karola Nawrockiego ustawa reformująca orzecznictwo lekarskie w Zakładzie Ubezpieczeń Społecznych ma usprawnić kontrole zwolnień chorobowych i skrócić czas oczekiwania na decyzje. Jednym z kluczowych elementów zmian jest możliwość dostępu do dokumentacji medycznej w toku kontroli L4 oraz poszerzenie katalogu osób uprawnionych do orzekania. Zdaniem eksperta, sam dostęp do dokumentów niczego jeszcze nie zmieni, jeśli za stwierdzonymi nadużyciami nie pójdą realne konsekwencje.

Grażyna J. Leśniak 09.01.2026
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych

Konfederacja Lewiatan krytycznie ocenia niektóre przepisy projektu ustawy o wygaszeniu pomocy dla obywateli Ukrainy. Najwięcej kontrowersji budzą zapisy ograniczające uproszczoną procedurę powierzania pracy obywatelom Ukrainy oraz przewidujące wydłużenie zawieszenia biegu terminów w postępowaniach administracyjnych. W konsultacjach społecznych nad projektem nie brały udziału organizacje pracodawców.

Grażyna J. Leśniak 08.01.2026
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę

Usprawnienie i ujednolicenie sposobu wydawania orzeczeń przez lekarzy Zakładu Ubezpieczeń Społecznych, a także zasad kontroli zwolnień lekarskich wprowadza podpisana przez prezydenta ustawa. Nowe przepisy mają również doprowadzić do skrócenia czasu oczekiwania na orzeczenia oraz zapewnić lepsze warunki pracy lekarzy orzeczników, a to ma z kolei przyczynić się do ograniczenia braków kadrowych.

Grażyna J. Leśniak 08.01.2026
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa

Przeksięgowanie składek z tytułu na tytuł do ubezpieczeń społecznych na podstawie prawomocnej decyzji ZUS, zmiany w zakresie zwrotu składek nadpłaconych przez płatnika, w tym rozpoczęcie biegu terminu przedawnienia zwrotu nienależnie opłaconych składek dopiero od ich stwierdzenia przez ZUS - to niektóre zmiany, jakie zamierza wprowadzić Ministerstwo Rodziny, Pracy i Polityki Społecznej. Resort dostrzegł bowiem problem związany ze sprawami, w których ZUS kwestionuje tytuł do ubezpieczeń osób zgłoszonych do nich wiele lat wcześniej.

Grażyna J. Leśniak 08.01.2026
Metryka aktu
Identyfikator:

Dz.U.UE.L.2020.214.5
Rodzaj: Decyzja
Tytuł: Decyzja w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działania EMSA
Data aktu: 06/04/2020
Data ogłoszenia: 06/07/2020
Data wejścia w życie: 26/07/2020