Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2020.279.15

Decyzja w sprawie przyjęcia przepisów wewnętrznych dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EASO

DECYZJA nr 64 ZARZĄDU EUROPEJSKIEGO URZĘDU WSPARCIA W DZIEDZINIE AZYLU
z dnia 6 lipca 2020 r.
w sprawie przyjęcia przepisów wewnętrznych dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EASO

ZARZĄD EUROPEJSKIEGO URZĘDU WSPARCIA W DZIEDZINIE AZYLU, zwanego dalej EASO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1  (zwane dalej "rozporządzeniem (UE) 2018/1725"), w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 439/2010 z dnia 19 maja 2010 r. w sprawie utworzenia Europejskiego Urzędu Wsparcia w dziedzinie Azylu 2 , w szczególności jego art. 29,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 20 maja 2020 r. oraz wytyczne EIOD dotyczące art. 25 nowego rozporządzenia i przepisów wewnętrznych,

po konsultacji z komitetem pracowniczym,

a także mając na uwadze, co następuje:

(1) EASO prowadzi działalność zgodnie z rozporządzeniem (UE) nr 439/2010.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-21, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-21, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na przepisach wewnętrznych przyjętych przez EASO.

(3) Te przepisy wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, której dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) EASO, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) W ramach swojej działalności EASO może prowadzić dochodzenia administracyjne, postępowania dyscyplinarne, wstępne czynności związane z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), procedury związane ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalne i nieformalne) procedury podejmowane w przypadkach nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić wewnętrzne audyty, badać sprawy poprzez osobę inspektora ochrony danych (IOD) zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również prowadzić postępowania dotyczące wewnętrznego bezpieczeństwa (informatycznego) i rozpatrywać wnioski pracowników o dostęp do swojej dokumentacji medycznej. EASO przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(6) EASO, reprezentowany przez dyrektora wykonawczego, pełni rolę administratora (danych) niezależnie od dalszego delegowania roli administratora w ramach EASO dokonywanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(7) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający nadużycia, bezprawny dostęp do danych lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych lub rejestrach EASO.

(8) Niniejsze przepisy wewnętrzne powinny mieć zastosowanie do wszystkich operacji przetwarzania danych prowadzonych przez EASO w toku realizacji dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również postępowań dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU) oraz rozpatrywania wniosków pracowników o dostęp do swojej dokumentacji medycznej.

(9) Te przepisy wewnętrzne powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować pomoc i współpracę ze strony EASO udzielaną organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(10) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, EASO powinien przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(11) W ramach powyższego EASO podczas realizacji wspomnianych procedur ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji osobie, której prawa dotyczą, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) 2018/1725.

(12) EASO może być jednak zobowiązany do ograniczenia prawa do informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych postepowań przygotowawczych, postępowań przygotowawczych i czynności innych organów publicznych, jak również praw innych osób objętych postepowaniami przygotowawczymi lub innymi procedurami.

(13) EASO powinien okresowo dokonywać przeglądu, czy warunki uzasadniające ograniczenie nadal występują i znieść ograniczenie, gdy nie można stwierdzić ich występowania.

(14) Administrator powinien poinformować inspektora ochrony danych z chwilą zastosowania ograniczenia oraz w trakcie kolejnych przeglądów i zaangażować we wszystkie etapy całej procedury, aż do zniesienia ograniczenia,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja ustanawia zasady dotyczące warunków, na jakich EASO może ograniczyć stosowanie praw określonych w art. 14-21, 35 i 36 oraz art. 4 rozporządzenia (UE) 2018/1725 w kontekście procedur określonych w ust. 2 zgodnie z art. 25 tego rozporządzenia.
2. 
W ramach administracyjnego funkcjonowania EASO niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez EASO dla celów prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, wstępnych czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, audytów wewnętrznych, badania spraw prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, postepowań dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU). Oraz rozpatrywania wniosków pracowników o dostęp do swojej dokumentacji medycznej.
3. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
EASO, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności elektronicznej.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
EASO wprowadza następujące zabezpieczenia w celu zapobiegania nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu:
a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa EASO, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
środowisko informatyczne EASO jest dostępne za pośrednictwem systemu pojedynczego logowania i łączy się automatycznie z identyfikatorem i hasłem użytkownika. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;
d)
wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność;
2. 
Administratorem operacji przetwarzania danych jest EASO, reprezentowany przez dyrektora wykonawczego, który może dokonać delegowania obowiązków administratora. W przypadkach gdy dyrektor wykonawczy jest przedmiotem postępowania administracyjnego, postępowania dyscyplinarnego lub dochodzenia wewnętrznego, zarząd, jako administrator danych, reprezentuje EASO (jako organ powołujący dyrektora wykonawczego).Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie EASO.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3 niniejszej decyzji, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych lub rejestrach, o których mowa w art. 3 ust. 3 niniejszej decyzji.
4. 
W sytuacji gdy EASO rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem osłabienia skuteczności postępowań przygotowawczych lub procedur EASO, zwłaszcza ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Jakiekolwiek ograniczenie jest stosowane wyłącznie przez EASO na podstawie jednego lub kilku powodów wymienionych w art. 25 ust. 1 lit. a)-i) rozporządzenia (UE) 2018/1725. W szczególności w kontekście przetwarzania danych osobowych, o którym mowa w art. 1 ust. 2 niniejszej decyzji, ograniczenia mogą opierać się na następujących podstawach:
a)
w przypadku prowadzenia dochodzeń administracyjnych i postępowań dyscyplinarnych, podstawę ograniczeń może stanowić art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725;
b)
w przypadku prowadzenia wstępnych czynności związanych z potencjalnymi nieprawidłowościami zgłoszonymi do OLAF, podstawę ograniczeń może stanowić art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia (UE) 2018/1725;
c)
w przypadku procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów podstawę ograniczeń może stanowić art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia (UE) 2018/1725;
d)
w przypadku (formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania podstawę ograniczeń może stanowić art. 25 ust. 1 lit. b), f), h) oraz i) rozporządzenia (UE) 2018/1725;
e)
w przypadku rozpatrywania wewnętrznych i zewnętrznych skarg podstawę ograniczeń może stanowić art. 25 ust. 1 lit. c), e), g) i h) rozporządzenia (UE) 2018/1725;
f)
w przypadku audytów wewnętrznych podstawę ograniczeń może stanowić art. 25 ust. 1 lit. c), g) i h) rozporządzenia (UE) 2018/1725;
g)
w przypadku postępowań prowadzonych przez inspektora ochrony danych, zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, podstawę ograniczeń może stanowić art. 25 ust. 1 lit. c), g) i h) niniejszego rozporządzenia;
h)
w przypadku postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU) podstawę ograniczeń może stanowić art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia (UE) 2018/1725;
i)
w przypadku rozpatrywania wniosków pracowników o dostęp do swojej dokumentacji medycznej podstawę ograniczeń może stanowić art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725.
2. 
Jako szczególne zastosowanie w celach opisanych w pkt 1 powyżej EASO może zastosować ograniczenia praw, o których mowa w art. 1 ust. 5 niniejszej decyzji, w następujących okolicznościach:
a)
w przypadku gdy inna instytucja, inny organ lub inna jednostka organizacyjna Unii jest uprawniona do ograniczania wykonywania tych praw na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia lub z ich aktami założycielskimi, a cel takiego ograniczenia przez tę inną instytucję, inny organ lub inną jednostkę organizacyjną Unii byłby zagrożony, gdyby EASO nie stosował równoważnych ograniczeń w odniesieniu do tych samych danych osobowych;
b)
w przypadku gdy właściwy organ państwa członkowskiego jest uprawniony do ograniczenia wykonywania tych praw na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 3  lub na mocy środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady 4  (UE) 2016/680, a cel takiego ograniczenia przez właściwy organ państwa członkowskiego byłby zagrożony, gdyby EASO nie stosował równoważnych ograniczeń w odniesieniu do tych samych danych osobowych;
c)
jeżeli realizacja tych praw i obowiązków mogłaby zaszkodzić współpracy EASO z państwami trzecimi lub organizacjami międzynarodowymi przy realizacji jego zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, EASO konsultuje się z odpowiednimi instytucjami, organami i jednostkami organizacyjnymi Unii lub właściwymi organami państw członkowskich, chyba że dla EASO jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. 
EASO zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących ich w ramach danej procedury. Informacja zawiera wskazanie praw, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

Bez uszczerbku dla przepisów art. 5 ust. 2 EASO, w sytuacji gdy jest to proporcjonalne, bez zbędnej zwłoki informuje również na piśmie indywidualnie wszystkie osoby, których dane dotyczą, uznawane za osoby objęte konkretną operacją przetwarzania danych, o przysługujących im prawach odnośnie do obecnych lub przyszłych ograniczeń.

4. 
Wszelkie ograniczenia są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą, a przy ich wprowadzaniu przestrzega się istoty praw podstawowych i wolności w społeczeństwie demokratycznym.
5. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
6. 
Ograniczenia są znoszone, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie, w szczególności, jeżeli uznaje się, że realizacja ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Inspektor ochrony danych EASO ("IOD") jest informowany bez zbędnej zwłoki za każdym razem gdy administrator ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie, zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych. Inspektor ochrony danych bierze udział w całej procedurze, aż do zniesienia ograniczenia.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.
Artykuł  5

Ograniczenie prawa do informacji przekazywanych osobie, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji przekazywanych osobie, której dane dotyczą, może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
Jeżeli EASO ogranicza w całości lub częściowo udzielanie informacji osobom, których dane dotyczą, o których mowa w art. 14-16 rozporządzenia (UE) 2018/1725, podaje w rejestrze powód ograniczenia, podstawę prawną lub podstawy prawne, zgodnie z art. 3 niniejszej decyzji, w tym ocenę konieczności i proporcjonalności ograniczenia.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je Europejskiemu Inspektorowi Ochrony Danych na żądanie.

3. 
Ograniczenie, o którym mowa w ust. 2, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Jeżeli powody ograniczenia przestają występować, EASO przedstawia osobie, której dane dotyczą, informację o podstawowych przyczynach stosowania ograniczenia. Jednocześnie EASO informuje osobę, której dane dotyczą, o prawie do złożenia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej ("Trybunałem Sprawiedliwości").

EASO dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy. Analiza konieczności i proporcjonalności, o której mowa w art. 3 ust. 5, przeprowadzana jest również w kontekście każdego okresowego przeglądu, po dokonaniu oceny, czy nadal mają zastosowanie przyczyny faktyczne i prawne ograniczenia.

Artykuł  6

Ograniczenie prawa dostępu osoby, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu osoby, której dane dotyczą, może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);
i)
rozpatrywania wniosków pracowników o dostęp do dokumentacji medycznej.

Jeżeli osoby, których dane dotyczą, żądają dostępu do swoich danych osobowych przetwarzanych w kontekście co najmniej jednej sprawy lub konkretnej operacji przetwarzania, zgodnie z art. 17 rozporządzenia (UE) 2018/1725 EASO ogranicza się w ocenie wniosku wyłącznie do takich danych osobowych.

2. 
Jeżeli EASO ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości;
b)
w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Ograniczenia nałożone na prawo pracowników do dostępu do dokumentacji medycznej dotyczą wyłącznie wniosków o bezpośredni dostęp pracowników do danych medycznych o charakterze psychologicznym lub psychiatrycznym, w przypadku których ocena każdego przypadku wykaże, że pośredni dostęp jest niezbędny do ochrony osoby, której dane dotyczą. Dostępu do takich danych udziela się za pośrednictwem lekarza wyznaczonego przez osobę, której dane dotyczą. Lekarz wybrany przez osobę, której dane dotyczą, uzyskuje dostęp do wszystkich informacji i uprawnień dyskrecjonalnych w zakresie decydowania o tym, w jaki sposób i jaki dostęp należy zapewnić osobie, której dane dotyczą.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

EASO dokonuje przeglądu stosowania ograniczenia co sześć miesięcy od chwili przyjęcia ograniczenia, jak również z chwilą zakończenia danego dochodzenia, danej procedury lub danego śledztwa. Następnie administrator monitoruje konieczność utrzymania ograniczenia co sześć miesięcy.

Analiza konieczności i proporcjonalności, o której mowa w art. 3 ust. 5, przeprowadzana jest również w kontekście każdego okresowego przeglądu, po dokonaniu oceny, czy nadal mają zastosowanie przyczyny faktyczne i prawne ograniczenia.

3. 
Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je Europejskiemu Inspektorowi Ochrony Danych na jego wniosek.
Artykuł  7

Ograniczenie praw osoby, której dane dotyczą, do sprostowania danych, ich usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo osoby, której dane dotyczą, do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
h)
postępowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU);
2. 
Jeżeli EASO ogranicza w całości lub częściowo stosowanie prawa osoby, której dane dotyczą, do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa odpowiednio w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje kroki określone w art. 6 ust. 2 niniejszej decyzji oraz dokonuje wpisu w rejestrze zgodnie z art. 6 ust. 3 decyzji.
Artykuł  8

Ograniczenie prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawa do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
rozpatrywania wewnętrznych i zewnętrznych skarg;
e)
audytów wewnętrznych;
f)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725;
g)
postepowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji dochodzeń administracyjnych i postępowań dyscyplinarnych;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF);
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
formalnych procedur podejmowanych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
postepowań dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. 
Jeżeli EASO ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub prawo do poufności łączności elektronicznej, o których mowa odpowiednio w art. 35 i 36 rozporządzenia (UE) 2018/1725, rejestruje powody ograniczenia zgodnie z art. 5 ust. 2 niniejszej decyzji. Zastosowanie ma również art. 5 ust. 3 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Valletta Harbour dnia 6 lipca 2020 r.
W imieniu Europejskiego Urzędu Wsparcia w dziedzinie Azylu
David COSTELLO
Przewodniczący Zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 132 z 29.5.2010, s. 11.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana
Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana

Uproszczenie i uporządkowanie niektórych regulacji kodeksu pracy dotyczących m.in. wykorzystania postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy oraz terminu wypłaty ekwiwalentu za niewykorzystany urlop wypoczynkowy przewiduje nowelizacja kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych, która wejdzie w życie w dniu 27 stycznia.

Grażyna J. Leśniak 12.01.2026
Powierzchnia użytkowa mieszkań już bez ścianek działowych
Powierzchnia użytkowa mieszkań już bez ścianek działowych

W Dzienniku Ustaw opublikowano nowelizację, która ma zakończyć spory między nabywcami i deweloperami o powierzchnie sprzedawanych mieszkań i domów. W przepisach była luka, która skutkowała tym, że niektórzy deweloperzy wliczali w powierzchnię użytkową metry pod ściankami działowymi, wnękami technicznymi czy skosami o małej wysokości - a to mogło dawać różnicę w finalnej cenie sięgającą nawet kilkudziesięciu tysięcy złotych. Po zmianach standardy dla wszystkich inwestycji deweloperskich będą jednolite.

Agnieszka Matłacz 12.01.2026
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni

Podpisana przez prezydenta Karola Nawrockiego ustawa reformująca orzecznictwo lekarskie w Zakładzie Ubezpieczeń Społecznych ma usprawnić kontrole zwolnień chorobowych i skrócić czas oczekiwania na decyzje. Jednym z kluczowych elementów zmian jest możliwość dostępu do dokumentacji medycznej w toku kontroli L4 oraz poszerzenie katalogu osób uprawnionych do orzekania. Zdaniem eksperta, sam dostęp do dokumentów niczego jeszcze nie zmieni, jeśli za stwierdzonymi nadużyciami nie pójdą realne konsekwencje.

Grażyna J. Leśniak 09.01.2026
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych

Konfederacja Lewiatan krytycznie ocenia niektóre przepisy projektu ustawy o wygaszeniu pomocy dla obywateli Ukrainy. Najwięcej kontrowersji budzą zapisy ograniczające uproszczoną procedurę powierzania pracy obywatelom Ukrainy oraz przewidujące wydłużenie zawieszenia biegu terminów w postępowaniach administracyjnych. W konsultacjach społecznych nad projektem nie brały udziału organizacje pracodawców.

Grażyna J. Leśniak 08.01.2026
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę

Usprawnienie i ujednolicenie sposobu wydawania orzeczeń przez lekarzy Zakładu Ubezpieczeń Społecznych, a także zasad kontroli zwolnień lekarskich wprowadza podpisana przez prezydenta ustawa. Nowe przepisy mają również doprowadzić do skrócenia czasu oczekiwania na orzeczenia oraz zapewnić lepsze warunki pracy lekarzy orzeczników, a to ma z kolei przyczynić się do ograniczenia braków kadrowych.

Grażyna J. Leśniak 08.01.2026
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa

Przeksięgowanie składek z tytułu na tytuł do ubezpieczeń społecznych na podstawie prawomocnej decyzji ZUS, zmiany w zakresie zwrotu składek nadpłaconych przez płatnika, w tym rozpoczęcie biegu terminu przedawnienia zwrotu nienależnie opłaconych składek dopiero od ich stwierdzenia przez ZUS - to niektóre zmiany, jakie zamierza wprowadzić Ministerstwo Rodziny, Pracy i Polityki Społecznej. Resort dostrzegł bowiem problem związany ze sprawami, w których ZUS kwestionuje tytuł do ubezpieczeń osób zgłoszonych do nich wiele lat wcześniej.

Grażyna J. Leśniak 08.01.2026
Metryka aktu
Identyfikator:

Dz.U.UE.L.2020.279.15
Rodzaj: Decyzja
Tytuł: Decyzja w sprawie przyjęcia przepisów wewnętrznych dotyczących ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania EASO
Data aktu: 06/07/2020
Data ogłoszenia: 27/08/2020
Data wejścia w życie: 28/08/2020