Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2022.311.176

Decyzja EBC/2022/42 (2022/2359) przyjmująca zasady wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z funkcjonowaniem wewnętrznym Europejskiego Banku Centralnego

DECYZJA EUROPEJSKIEGO BANKU CENTRALNEGO (UE) 2022/2359
z dnia 22 listopada 2022 r.
przyjmująca zasady wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z funkcjonowaniem wewnętrznym Europejskiego Banku Centralnego (EBC/2022/42)

ZARZĄD EUROPEJSKIEGO BANKU CENTRALNEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając Statut Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego, w szczególności art. 11 ust. 6,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności art. 25,

a także mając na uwadze, co następuje:

(1) Europejski Bank Centralny (EBC) wykonuje swoje zadania zgodnie z Traktatami.

(2) Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2018/1725 decyzja Europejskiego Banku Centralnego (UE) 2020/655 (EBC/2020/28) 2  określa ogólne zasady wdrażające rozporządzenie (UE) 2018/1725 w odniesieniu do EBC. W szczególności decyzja ta określa zasady powoływania i rolę inspektora ochrony danych w EBC, w tym jego zadania, obowiązki i uprawnienia.

(3) Wykonując powierzone mu zadania, EBC - a w szczególności dana jednostka organizacyjna - pełni funkcję administratora danych w zakresie, w jakim samodzielnie lub wspólnie z innymi jednostkami określa cele i sposoby przetwarzania danych osobowych.

(4) W związku z wewnętrznym funkcjonowaniem EBC różnym obszarom działalności EBC (w tym Dyrekcji Generalnej ds. Kadr, Biuru ds. Zgodności i Ładu Wewnętrznego, Dyrekcji ds. Audytu Wewnętrznego oraz Dyrekcji Generalnej Służb Prawnych) powierza się zadania w ramach przepisów prawa regulujących zatrudnienie w EBC, które obejmują przetwarzanie danych osobowych. Zadania takie mogą na przykład obejmować działania podejmowane w odpowiedzi na potencjalne naruszenia obowiązków zawodowych (w tym dochodzenia w sprawach o domniemane niewłaściwe zachowania zgodnie z zasadami EBC dotyczącymi poszanowania godności pracownika oraz działania następcze dotyczące zgłaszanych dowolnymi kanałami działań niezgodnych z prawem lub naruszeń obowiązków zawodowych, w tym w szczególności za pośrednictwem narzędzia do zgłaszania naruszeń), zadania dotyczące procedur rekrutacyjnych, zadania podejmowane przez Dyrekcję Generalną ds. Kadr w ramach wykonywania jej funkcji związanych z zarządzaniem wynikami, awansami, bezpośrednim mianowaniem personelu EBC, rozwojem zawodowym, w tym kalibracją talentów w ramach poszczególnych jednostek organizacyjnych i pomiędzy nimi, podwyżkami wynagrodzeń i premiami oraz decyzjami dotyczącymi mobilności i urlopów, badanie odwołań wewnętrznych wnoszonych przez personel EBC (w tym w drodze przeglądu administracyjnego, procedur rozpatrywania skarg, specjalnych procedur odwoławczych lub komisji medycznych) oraz działania następcze w związku z tymi odwołaniami, zadania doradcze Biura ds. Zgodności i Ładu Wewnętrznego zgodnie z Zasadami etyki zawodowej EBC (określone w części 0 Regulaminu pracowniczego EBC) oraz zadania tego biura związane z monitorowaniem zgodności prywatnych transakcji finansowych (w tym współpraca z zewnętrznym usługodawcą wyznaczonym zgodnie z art. 0.4.3.3 Regulaminu pracowniczego EBC), a także oraz audyty wykonywane przez Dyrekcję ds. Audytu Wewnętrznego oraz zadania realizowane w kontekście okólnika administracyjnego 01/2006 w sprawie wewnętrznych administracyjnych postępowań wyjaśniających 3  podczas prowadzenia czynności wyjaśniających i dochodzeń administracyjnych w sytuacjach, które mogą mieć wymiar dyscyplinarny z udziałem personelu EBC (w tym zadań osób prowadzących dochodzenie lub członków zespołu śledczego, w przypadku gdy są oni zobowiązani do zebrania dowodów i ustalenia istotnych faktów).

(5) Zgodnie z decyzją Europejskiego Banku Centralnego (UE) 2016/456 (EBC/2016/3) 4  EBC przekazuje Europejskiemu Urzędowi ds. Zwalczania Nadużyć Finansowych, na jego wniosek lub z własnej inicjatywy, informacje będące w posiadaniu EBC, dające podstawy do podejrzenia wystąpienia ewentualnych przypadków nadużyć finansowych, korupcji lub innej nielegalnej działalności na szkodę interesów finansowych Unii. Decyzja UE/2016/456 (EBC/2016/3) stanowi, że w takim przypadku zainteresowane osoby powinny zostać szybko powiadomione, o ile nie przyniesie to szkody dla prowadzonego dochodzenia, oraz że w żadnym przypadku po zakończeniu dochodzenia nie można przedstawiać wniosków dotyczących określonej z nazwiska zainteresowanej osoby bez umożliwienia jej zajęcia stanowiska w stosunku do wszystkich faktów z nią związanych, w tym wszelkich dowodów świadczących przeciwko niej.

(6) Zgodnie z art. 4 lit. b) decyzji (UE) 2020/655 (EBC/2020/28) inspektor ochrony danych prowadzi postępowania wyjaśniające co do spraw i incydentów związanych z ochroną danych, z własnej inicjatywy lub na wniosek EBC.

(7) Dział ds. Bezpieczeństwa i Ochrony w Dyrekcji Generalnej ds. Administracji EBC odpowiada za prowadzenie dochodzeń w celu zapewnienia ochrony bezpieczeństwa fizycznego osób, pomieszczeń i mienia w EBC, a także za gromadzenie danych o zagrożeniach i analizę incydentów związanych z bezpieczeństwem.

(8) EBC ma obowiązek lojalnej współpracy z organami krajowymi, w tym z krajowymi organami ścigania. W szczególności zgodnie z decyzją Europejskiego Banku Centralnego (UE) 2016/1162 (EBC/2016/19) 5  EBC może, na wniosek krajowego organu dochodzeniowego, przekazać posiadane przez siebie informacje poufne związane z zadaniami powierzonymi EBC na mocy rozporządzenia Rady (UE) nr 1024/2013 6  lub innymi zadaniami związanymi z ESBC/Eurosystemem, odpowiednio, właściwym organom krajowym lub KBC, w celu ich ujawnienia danemu krajowemu organowi dochodzeniowemu pod określonymi warunkami.

(9) Zgodnie z rozporządzeniem Rady (UE) 2017/1939 7  EBC musi niezwłocznie przekazać Prokuraturze Europejskiej wszelkie dostępne informacje w przypadku stwierdzenia podejrzenia popełnienia przestępstwa w zakresie jego kompetencji.

(10) EBC ma obowiązek współpracy z organami UE sprawującymi funkcje nadzorcze lub kontrolne, którym EBC podlega, takimi jak Europejski Inspektor Ochrony Danych, Europejski Trybunał Obrachunkowy i Europejski Rzecznik Praw Obywatelskich, przy wykonywaniu ich odpowiednich zadań. W tym kontekście EBC może przetwarzać dane osobowe, aby móc odpowiadać na wnioski, konsultować się z takimi organami i udzielać im informacji.

(11) Zgodnie z wewnętrznymi zasadami rozstrzygania sporów w EBC personel EBC może w każdej chwili i za pomocą wszelkich środków zwracać się do mediatora w celu uzyskania wsparcia w rozwiązywaniu sporów pracowniczych lub zapobieganiu im. Zasady te przewidują, że wszelka komunikacja z mediatorem jest objęta poufnością. Wszelkie informacje, o których mowa w postępowaniu mediacyjnym, uznaje się za informacje poufne, a każda strona uczestnicząca w mediacji musi wykorzystywać takie informacje wyłącznie do celów procesu mediacji, bez uszczerbku dla jakiegokolwiek postępowania sądowego. W wyjątkowych przypadkach mediator może ujawnić informacje, jeżeli ich ujawnienie wydaje się konieczne, aby zapobiec bezpośredniemu ryzyku poważnego naruszenia integralności fizycznej lub psychicznej danej osoby.

(12) EBC dąży do zapewnienia warunków pracy, które chronią zdrowie i bezpieczeństwo personelu oraz zapewniają poszanowanie godności w miejscu pracy poprzez zagwarantowanie dostępu do usług doradczych. Personel EBC może korzystać z usług doradcy społecznego w odniesieniu do wszelkich kwestii, w tym kwestii emocjonalnych, osobistych i związanych z pracą. Doradca społeczny nie może mieć dostępu do akt osobowych personelu EBC, chyba że dana osoba wyraźnie na to zezwoliła. Nie można ujawniać żadnych informacji otrzymanych przez daną osobę ani oświadczeń złożonych przez daną osobę doradcom społecznym, chyba że osoba ta wyraźnie wyrazi na to zgodę lub jest to wymagane przez prawo.

(13) W związku z funkcjonowaniem wewnętrznym EBC przetwarza kilka kategorii danych, które mogą być związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Niewyczerpujące wykazy tych kategorii danych osobowych, które są przetwarzane przez EBC w związku z jego funkcjonowaniem wewnętrznym, znajdują się w załącznikach do niniejszej decyzji. Dane osobowe mogą również stanowić część oceny obejmującej ocenę przeprowadzoną przez właściwy obszar działalności w odniesieniu do analizowanej kwestii, w tym na przykład ocenę przeprowadzoną przez DG/HR, DG/L, D/IA, komisję dyscyplinarną lub zespół dochodzeniowy w sprawie naruszenia obowiązków służbowych.

(14) W kontekście motywów 4-13 należy określić powody, dla których EBC może ograniczać prawa osób, których dane dotyczą.

(15) Celem EBC przy wykonywaniu swoich zadań jest realizacja ważnych założeń leżących w ogólnym interesie publicznym Unii. W związku z tym wykonywanie takich zadań powinno podlegać ochronie, tak jak przewidziano w rozporządzeniu (UE) 2018/1725, w szczególności w art. 25 ust. 1 lit. b), c), d), f), g) i h).

(16) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, art. 35 i art. 36 oraz - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - art. 4 tego rozporządzenia należy określić w przepisach wewnętrznych lub aktach prawnych przyjętych na podstawie Traktatów. W związku z tym EBC powinien określić zasady, na podstawie których może ograniczać prawa osób, których dane dotyczą, w wykonywaniu swoich zadań.

(17) EBC powinien uzasadnić, dlaczego takie ograniczenia praw osób, których dane dotyczą, są niezbędne i proporcjonalne w społeczeństwie demokratycznym w celu ochrony celów realizowanych w ramach sprawowania przez niego władzy publicznej oraz funkcji z nią związanych, a także określić, w jaki sposób EBC szanuje istotę podstawowych praw i wolności przy nakładaniu takich ograniczeń.

(18) W tym kontekście EBC jest zobowiązany do przestrzegania, w możliwie najszerszym zakresie, praw podstawowych osób, których dane dotyczą, w szczególności w odniesieniu do prawa do udzielania informacji, dostępu do danych i ich sprostowania, prawa do usunięcia danych, ograniczenia przetwarzania, prawa osoby, której dane dotyczą, do bycia zawiadomionym o naruszeniu dotyczącym ochrony danych osobowych, czy też prawa do poufności komunikacji, zgodnie z rozporządzeniem (UE) 2018/1725.

(19) EBC może być jednak zobowiązany do ograniczenia informacji przekazywanych osobom, których dane dotyczą, oraz praw innych osób, których dane dotyczą, w celu zagwarantowania wykonywania swoich zadań, w szczególności własnych dochodzeń i procedur, dochodzeń i procedur innych organów publicznych oraz podstawowych praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.

(20) EBC powinien znieść ograniczenie, które zostało zastosowane, jeżeli przestanie być potrzebne.

(21) Inspektor ochrony danych powinien dokonywać przeglądu stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją i rozporządzeniem (UE) 2018/1725.

(22) Niniejsza decyzja określa zasady, zgodnie z którymi EBC może ograniczać prawa osób, których dane dotyczą, w ramach przetwarzania danych osobowych w związku z funkcjonowaniem wewnętrznym, natomiast Zarząd EBC przyjął odrębną decyzję określającą zasady wewnętrzne dotyczące ograniczenia tych praw przy przetwarzaniu przez EBC danych osobowych w związku z wykonywaniem zadań nadzorczych.

(23) EBC może mieć możliwość zastosowania wyjątku zgodnie z rozporządzeniem (UE) 2018/1725, w tym w szczególności na podstawie art. 15 ust. 4, art. 16 ust. 5, art. 19 ust. 3 i art. 35 ust. 3 tego rozporządzenia, w celu uznania konieczności zastosowania ograniczenia za zbędną.

(24) Odstępstwa od praw osób, których dane dotyczą, o których mowa w art. 17, 18, 20, 21, 22 i 23 rozporządzenia (UE) 2018/1725, do celów archiwizacyjnych w interesie publicznym mogą być przewidziane w przepisach wewnętrznych lub aktach prawnych przyjętych na podstawie Traktatów przez EBC w odniesieniu do jego działań archiwizacyjnych, z zastrzeżeniem warunków i zabezpieczeń wymaganych zgodnie z art. 25 ust. 4 rozporządzenia (UE) 2018/1725.

(25) Zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 12 marca 2021 r.

(26) Przeprowadzono konsultacje z Komitetem Pracowniczym,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące ograniczania przez EBC praw osób, których dane dotyczą, przy wykonywaniu czynności przetwarzania danych osobowych zapisanych w rejestrze centralnym w związku z jego funkcjonowaniem wewnętrznym.
2. 
Prawa osób, których dane dotyczą, które mogą zostać ograniczone, są określone w następujących artykułach rozporządzenia (UE) 2018/1725:
a)
art. 14 (przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą);
b)
art. 15 (informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą);
c)
art. 16 (informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą);
d)
art. 17 (prawo dostępu przysługujące osobie, której dane dotyczą);
e)
art. 18 (prawo do sprostowania danych);
f)
art. 19 (prawo do usunięcia danych ("prawo do bycia zapomnianym"));
g)
art. 20 (prawo do ograniczenia przetwarzania);
h)
art. 21 (obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania);
i)
art. 22 (prawo do przenoszenia danych);
j)
art. 35 (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych);
k)
art. 36 (poufność łączności elektronicznej);
l)
art. 4 w zakresie, w jakim jego postanowienia odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 rozporządzenia (UE) 2018/1725.
Artykuł  2

Definicje

Użyte w niniejszej decyzji określenia oznaczają:

1)
"przetwarzanie" - przetwarzanie w rozumieniu art. 3 pkt 3 rozporządzenia (UE) 2018/1725;
2)
"dane osobowe" - dane osobowe w rozumieniu art. 3 pkt 1 rozporządzenia (UE) 2018/1725;
3)
"osoba, której dane dotyczą" - zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
4)
"rejestr centralny" - publicznie dostępne repozytorium wszystkich czynności przetwarzania danych osobowych prowadzonych w EBC, które jest utrzymywane przez inspektora ochrony danych i o którym mowa w art. 9 decyzji (UE) 2020/655 (EBC/2020/28);
5)
"administrator" - EBC, a w szczególności właściwą jednostkę organizacyjną w ramach EBC, która - samodzielnie lub wspólnie z innymi jednostkami - określa cele i sposoby przetwarzania danych osobowych i która jest odpowiedzialna za operację przetwarzania danych;
6)
"instytucje i organy Unii" - instytucje i organy Unii w rozumieniu art. 3 pkt 10 rozporządzenia (UE) 2018/1725.
Artykuł  3

Stosowanie ograniczeń

1. 
W odniesieniu do działalności w zakresie przetwarzania danych osobowych, o której mowa w art. 1 ust. 1, administrator może ograniczyć prawa, o których mowa w art. 1 ust. 2, w celu ochrony interesów i celów, o których mowa w art. 25 ust. 1 rozporządzenia (UE) 2018/1725, jeżeli wykonywanie tych praw zagroziłoby:
a)
ocenie i zgłaszaniu potencjalnych naruszeń obowiązków zawodowych oraz, w stosownych przypadkach, późniejszemu dochodzeniu i działaniom następczym, w tym zawieszeniu w obowiązkach, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), f) lub h) rozporządzenia (UE) 2018/1725;
b)
nieformalnym lub formalnym procedurom dotyczącym zapewnienia godności w miejscu pracy, w tym rozpatrywaniu przypadków, które mogą skutkować zastosowaniem takiej procedury, jak określono w części 0.5 regulaminu pracowniczego EBC, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), f) lub h) rozporządzenia (UE) 2018/1725;
c)
właściwemu funkcjonowaniu DG/HR w ramach mających zastosowanie w EBC przepisów prawa pracy dotyczących zarządzania wynikami, awansów, bezpośredniego mianowania personelu, procedur rekrutacyjnych i rozwoju zawodowego, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. c) lub h) rozporządzenia (UE) 2018/1725;
d)
badaniu odwołań wewnętrznych wniesionych przez personel EBC (w tym za pośrednictwem procedur przeglądu administracyjnego lub rozpatrywania skarg, specjalnych procedur odwoławczych lub komitetów medycznych) oraz działań następczych w związku z tymi odwołaniami, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c) lub h) rozporządzenia (UE) 2018/1725;
e)
zgłaszaniu wszelkich nielegalnych działań lub naruszeń obowiązków zawodowych za pośrednictwem narzędzia EBC do informowania o nieprawidłowościach lub ocenie przez Biuro ds. Zgodności i Ładu Wewnętrznego wniosków o ochronę sygnalistów lub świadków przed odwetem, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), f) lub h) rozporządzenia (UE) 2018/1725;
f)
działalności Biura ds. Zgodności i Ładu Wewnętrznego na podstawie Zasad etyki zawodowej EBC określonych w części 0 Regulaminu pracowniczego EBC oraz zasad wyboru i mianowania określonych w części 1A regulaminu pracowniczego EBC, a także monitorowania prywatnej działalności finansowej pod kątem zgodności, w tym zarówno funkcji pełnionych przez zewnętrznego dostawcę usług wyznaczonego zgodnie z art. 0.4.3.3 Regulaminu pracowniczego EBC, jak i oceny potencjalnych naruszeń wynikających z takiego monitorowania przez Biuro ds. Zgodności i Ładu Wewnętrznego i działań następczych w związku z tymi naruszeniami, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), f) lub h) rozporządzenia (UE) 2018/1725;
g)
audytom przeprowadzanym przez Dyrekcję Audytu Wewnętrznego, działaniom dochodzeniowym i wewnętrznym dochodzeniom administracyjnym, których zabezpieczenie jest zgodne z art. 25 lit. b), c) lub h) rozporządzenia (UE) 2018/1725;
h)
wykonywaniu funkcji EBC zgodnie z decyzją (UE) 2016/456 (EBC/2016/3), w szczególności spoczywającego na EBC obowiązku przekazywania wszelkich informacji o nielegalnej działalności, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), g) lub h) rozporządzenia (UE) 2018/1725;
i)
dochodzeniom prowadzonym przez inspektora ochrony danych w sprawie czynności przetwarzania prowadzonych w EBC zgodnie z art. 4 lit. b) decyzji (UE) 2020/655 (EBC/2020/28), których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b) lub h) rozporządzenia (UE) 2018/1725;
j)
dochodzeniom w celu zapewnienia bezpieczeństwa fizycznego w EBC osób, pomieszczeń i mienia, prowadzonym wewnętrznie lub przy wsparciu zewnętrznym, oraz w celu gromadzenia danych o zagrożeniach i analizy incydentów związanych z bezpieczeństwem, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), d) lub h) rozporządzenia (UE) 2018/1725;
k)
postępowaniom sądowym, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c) lub h) rozporządzenia (UE) 2018/1725;
l)
współpracy między EBC a krajowymi organami śledczymi, w szczególności przekazywaniu informacji poufnych będących w posiadaniu EBC w celu ujawnienia krajowemu organowi śledczemu na jego wniosek, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), d) lub h) rozporządzenia (UE) 2018/1725;
m)
współpracy między EBC a Prokuraturą Europejską na podstawie rozporządzenia (UE) 2017/1939, w szczególności wykonywaniu spoczywającego na EBC obowiązku przekazywania wszelkich informacji o nielegalnej działalności, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. b), c), g) lub h) rozporządzenia (UE) 2018/1725;
n)
współpracy z organami UE sprawującymi funkcje nadzorcze i kontrolne, którym podlega EBC, której zabezpieczenie jest zgodne z art. 25 ust. 1 lit. c), d), g) lub h) rozporządzenia (UE) 2018/1725;
o)
wykonywaniu zadań mediatora zgodnie z ramami wewnętrznego rozstrzygania sporów w EBC, w szczególności udzielaniu wsparcia w celu rozwiązywania sporów pracowniczych lub zapobiegania takim sporom, których zabezpieczenie jest zgodne z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
p)
świadczeniu usług doradczych przez doradcę społecznego w celu wsparcia personelu EBC, którego zabezpieczenie jest zgodne z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725.

Kategorie danych osobowych, w odniesieniu do których można stosować ograniczenia, o których mowa w ust. 1, określono w załącznikach I-XIV do niniejszej decyzji.

2. 
Administrator może zastosować dane ograniczenie tylko wtedy, gdy w wyniku indywidualnej oceny stwierdzi, że ograniczenie to:
a)
jest konieczne i proporcjonalne, biorąc pod uwagę ryzyko naruszenia praw i wolności osób, których dane dotyczą;
b)
jest zgodne z istotą podstawowych praw i wolności w społeczeństwie demokratycznym.
3. 
Administrator dokumentuje swoją ocenę w raporcie z oceny wewnętrznej, który zawiera podstawę prawną, przyczyny ograniczenia, prawa osób, których dane dotyczą, których dotyczy ograniczenie, osoby, których dane dotyczą, których dotyczy ograniczenie, konieczność i proporcjonalność ograniczenia oraz prawdopodobny czas trwania ograniczenia.
4.  8
 Decyzja administratora o ograniczeniu praw osoby, której dane dotyczą, zgodnie z ust. 1, podejmowana jest na poziomie kierownika właściwego obszaru organizacyjnego, w ramach którego przeprowadzana jest główna operacja przetwarzania danych osobowych. Jeżeli taka główna operacja przetwarzania danych prowadzona jest w ramach funkcji niebędącej częścią żadnego obszaru organizacyjnego, decyzja taka podejmowana jest na poziomie osoby pełniącej tę funkcję.
5.  9
 Na potrzeby ust. 4, jeżeli kierownik danego obszaru organizacyjnego jest niedostępny z powodu nieobecności, zachodzi w jego przypadki faktyczny lub domniemany konflikt interesów, lub też ma on dostęp do odpowiednich informacji poufnych, decyzję administratora o ograniczeniu praw osoby, której dane dotyczą, zgodnie z ust. 1 podejmuje zastępca kierownika obszaru organizacyjnego, w ramach którego prowadzona jest główna operacja przetwarzania danych osobowych.

W przypadku braku takiego zastępcy kierownika, taką decyzję podejmuje przełożony posiadający takie uprawnienia w przypadku nieobecności, konfliktu interesów lub dostępu do odpowiednich informacji poufnych kierownika danego obszaru organizacyjnego.

Artykuł  4

Udzielanie ogólnych informacji na temat ograniczeń

Administrator udziela ogólnych informacji na temat potencjalnego ograniczenia praw osób, których dane dotyczą, w następujący sposób:

a)
administrator określa prawa, które mogą zostać ograniczone, przyczyny i potencjalny czas trwania ograniczenia;
b)
administrator zamieszcza informacje, o których mowa w lit. a), w swoich informacjach o ochronie danych, oświadczeniach o ochronie prywatności i rejestrach czynności przetwarzania, o których mowa w art. 31 rozporządzenia (UE) 2018/1725.
Artykuł  5

Ograniczenie prawa dostępu do danych osób, których dane dotyczą, prawa do sprostowania danych, prawa do usunięcia danych lub prawa do ograniczenia przetwarzania

1. 
Jeżeli administrator ogranicza, całkowicie lub częściowo, prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych lub prawo do ograniczenia ich przetwarzania, o których mowa odpowiednio w art. 17, 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, w terminie, o którym mowa w art. 11 ust. 5 decyzji (UE) 2020/655 (EBC/2020/28), administrator informuje daną osobę, której dane dotyczą, w swojej pisemnej odpowiedzi na jej wniosek, o zastosowanym ograniczeniu, o podstawowych powodach zastosowania ograniczenia oraz o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
2. 
Administrator przechowuje raport z oceny wewnętrznej, o którym mowa w art. 3 ust. 3, oraz, w stosownych przypadkach, dokumenty zawierające podstawowe okoliczności faktyczne i prawne i udostępnia je na wniosek inspektorowi ochrony danych i Europejskiemu Inspektorowi Ochrony Danych.
3. 
Administrator może wstrzymać udzielenie informacji dotyczących przyczyn ograniczenia, o którym mowa w ust. 1, pominąć je lub odmówić takiego udzielenia informacji tak długo, dopóki zagraża ono celowi ograniczenia. Gdy tylko administrator stwierdzi, że udzielenie informacji nie zagraża już celowi ograniczenia, przekazuje te informacje osobie, której dane dotyczą.
Artykuł  6

Okres obowiązywania ograniczeń

1. 
Administrator znosi ograniczenie niezwłocznie po ustaniu okoliczności je uzasadniających.
2. 
W zniesienia przez administratora ograniczenia zgodnie z ust. 1, ma on obowiązek niezwłocznie:
a)
w zakresie, w jakim jeszcze tego nie zrobił, poinformować osobę, której dane dotyczą, o podstawowych powodach zastosowania ograniczenia;
b)
poinformować osobę, której dane dotyczą, o przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub do wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej;
c)
przyznać osobie, której dane dotyczą, prawo, które było przedmiotem zniesionego ograniczenia.
3. 
Co sześć miesięcy administrator ponownie ocenia potrzebę utrzymania ograniczenia zastosowanego zgodnie z niniejszą decyzją i dokumentuje swoją ponowną ocenę w wewnętrznym raporcie z oceny.
Artykuł  7

Zabezpieczenia

EBC stosuje zabezpieczenia organizacyjne i techniczne określone w załączniku XV w celu zapobiegania nadużyciom lub niezgodnemu z prawem dostępowi do danych lub ich przekazywaniu.

Artykuł  8

Przegląd dokonywany przez inspektora ochrony danych

1. 
W przypadku ograniczenia stosowania praw osoby, której dane dotyczą, administrator ma obowiązek stałego angażowania inspektora ochrony danych. W szczególności zastosowanie ma, co następuje:
a)
administrator bez zbędnej zwłoki zasięga opinii inspektora ochrony danych;
b)
na wniosek inspektora ochrony danych administrator zapewnia mu dostęp do wszelkich dokumentów zawierających podstawowe okoliczności faktyczne i prawne, w tym do raportu z oceny wewnętrznej, o którym mowa w art. 3 ust. 3;
c)
administrator dokumentuje sposób zaangażowania inspektora ochrony danych, w tym istotne informacje, które zostały udostępnione, w szczególności datę pierwszego zasięgnięcia opinii, o którym mowa w lit. a);
d)
inspektor ochrony danych może zwrócić się do administratora o dokonanie przeglądu ograniczenia;
e)
administrator bez zbędnej zwłoki, a w każdym razie przed zastosowaniem ograniczenia, informuje inspektora ochrony danych na piśmie o wyniku żądanego przeglądu.
2. 
Administrator informuje inspektora ochrony danych o ponownej ocenie ograniczenia zgodnie z art. 6 ust. 3, lub o jego zniesieniu.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono we Frankfurcie nad Menem dnia 22 listopada 2022 r.

ZAŁĄCZNIKI

ZAŁĄCZNIK  I

Ocena i zgłaszanie potencjalnych naruszeń obowiązków zawodowych oraz, w stosownych przypadkach, późniejsze dochodzenie i działania następcze

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. a) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące lokalizacji;
g)
dane dotyczące dostarczonych towarów lub świadczonych usług;
h)
dane dotyczące działalności zewnętrznej;
i)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
j)
wszelkie inne dane dotyczące oceny i zgłaszania potencjalnych naruszeń obowiązków zawodowych oraz, w stosownych przypadkach, późniejszego dochodzenia i działań następczych.

ZAŁĄCZNIK  II

Nieformalne lub formalne procedury dotyczące zachowania godności w miejscu pracy, w tym rozpatrywanie spraw, które mogą skutkować zastosowaniem takiej procedury, jak określono w części 0.5 Regulaminu pracowniczego EBC

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. b) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące lokalizacji;
g)
dane dotyczące dostarczonych towarów lub świadczonych usług;
h)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
i)
wszelkie inne dane dotyczące nieformalnych lub formalnych procedur dotyczących zachowania godności w miejscu pracy, w tym rozpatrywania spraw, które mogą skutkować zastosowaniem takiej procedury, jak określono w części 0.5 Regulaminu pracowniczego EBC.

ZAŁĄCZNIK  III

Wykonywanie funkcji DG/HR zgodnie z mającymi zastosowanie w EBC przepisami prawa pracy

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. c) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące lokalizacji;
g)
dane dotyczące dostarczonych towarów lub świadczonych usług;
h)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
i)
wszelkie inne dane zawarte w indywidualnych przypadkach lub odnoszące się do nich, w szczególności te, które mogą prowadzić do wydania decyzji negatywnie wpływających na personel EBC oraz badanie odwołań wewnętrznych wniesionych przez personel EBC i podejmowanych w związku z nimi działań następczych;
j)
wszelkie inne dane dotyczące procedur rekrutacyjnych.

ZAŁĄCZNIK  IV

Rozpatrywanie odwołań wewnętrznych i działania następcze

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. d) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące lokalizacji;
g)
dane dotyczące dostarczonych towarów lub świadczonych usług;
h)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
i)
wszelkie inne dane zawarte w indywidualnych przypadkach lub odnoszące się do nich, w szczególności te, które mogą prowadzić do wydania decyzji negatywnie wpływających na personel EBC oraz badanie odwołań wewnętrznych wniesionych przez personel EBC i podejmowanych w związku z nimi działań następczych;

ZAŁĄCZNIK  V

Zgłaszanie nielegalnych działań lub naruszeń obowiązków zawodowych za pośrednictwem dowolnych kanałów, w tym narzędzia EBC do informowania o nieprawidłowościach, oraz ocena przez Biuro ds. Zgodności i Ładu Wewnętrznego wniosków o ochronę sygnalistów lub świadków przed odwetem

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. e) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące lokalizacji;
g)
dane dotyczące dostarczonych towarów lub świadczonych usług;
h)
dane dotyczące działalności zewnętrznej;
i)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
j)
wszelkie inne dane dotyczące domniemanej nielegalnej działalności lub domniemanego naruszenia obowiązków zawodowych lub wniosków o ochronę sygnalistów lub świadków.

ZAŁĄCZNIK  VI

Działalność Biura ds. Zgodności i Ładu Wewnętrznego zgodnie z Regulaminem pracowniczym EBC

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. f) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:

a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje o transakcjach prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące działalności zewnętrznej;
g)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
h)
wszelkie inne dane dotyczące wszelkich działań zgłoszonych Biuru ds. Zgodności i Ładu Wewnętrznego lub przez to biuro badanych.

ZAŁĄCZNIK  VII

Audyty przeprowadzane przez Dyrekcję ds. Audytu Wewnętrznego oraz działania dochodzeniowe lub wewnętrzne dochodzenia administracyjne

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. g) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące działalności zewnętrznej;
g)
dane dotyczące lokalizacji;
h)
dane dotyczące dostarczonych towarów lub świadczonych usług;
i)
dane społeczne i behawioralne oraz inne rodzaje danych specyficznych dla operacji przetwarzania;
j)
informacje dotyczące postępowań administracyjnych lub innych dochodzeń;
k)
dane o ruchu elektronicznym;
l)
dane z monitoringu wideo;
m)
nagrania audio;
n)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
o)
dane dotyczące postępowania karnego, wszelkich sankcji lub innych kar administracyjnych;
p)
wszelkie inne dane dotyczące audytów przeprowadzonych przez Dyrekcję Audytu Wewnętrznego oraz wszelkich działań dochodzeniowych lub wewnętrznych dochodzeń administracyjnych.

ZAŁĄCZNIK  VIII

Wykonywanie funkcji EBC zgodnie z decyzją (UE) 2016/456 (EBC/2016/3)

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. h) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy lub dodatków oraz transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące działalności zewnętrznej;
g)
dane dotyczące lokalizacji;
h)
dane dotyczące dostarczonych towarów lub świadczonych usług;
i)
dane o ruchu elektronicznym;
j)
dane z monitoringu wideo;
k)
nagrania audio;
l)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
m)
inne dane dotyczące wykonywania funkcji EBC zgodnie z decyzją (UE) 2016/456 (EBC/2016/3).

ZAŁĄCZNIK  IX

Dochodzenia prowadzone przez inspektora ochrony danych na podstawie art. 4 lit. b) decyzji (UE) 2020/655 (EBC/2020/28)

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. i) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy lub dodatków oraz transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące działalności zewnętrznej;
g)
lokalizacja danych;
h)
dane dotyczące dostarczonych towarów lub świadczonych usług;
i)
dane o ruchu elektronicznym;
j)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
k)
wszelkie inne dane dotyczące dochodzeń prowadzonych przez inspektora ochrony danych na podstawie art. 4 lit. b) decyzji (UE) 2020/655 (EBC/2020/28).

ZAŁĄCZNIK  X

Dochodzenia mające na celu zapewnienie bezpieczeństwa fizycznego osób, pomieszczeń i mienia w EBC oraz gromadzenie danych o zagrożeniach i analiz incydentów związanych z bezpieczeństwem

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. j) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
dane dotyczące lokalizacji;
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane o ruchu elektronicznym;
g)
dane z monitoringu wideo;
h)
nagrania audio;
i)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
j)
dane dotyczące toczących się spraw karnych lub rejestrów karnych;
k)
wszelkie inne dane dotyczące dochodzeń mających na celu zapewnienie bezpieczeństwa fizycznego osób, pomieszczeń i mienia w EBC oraz dane o zagrożeniach i analizy incydentów związanych z bezpieczeństwem.

ZAŁĄCZNIK  XI

Postępowanie sądowe

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. k) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące działalności zewnętrznej;
g)
dane dotyczące lokalizacji;
h)
dane o ruchu elektronicznym;
i)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
j)
wszelkie inne dane dotyczące postępowań sądowych.

ZAŁĄCZNIK  XII

Współpraca między EBC a krajowymi organami śledczymi, Prokuraturą Europejską i organami UE sprawującymi funkcje nadzorcze i kontrolne, którym podlega EBC

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. l)-n) niniejszej decyzji, może być stosowane w odniesieniu do wszystkich kategorii danych wymienionych w załącznikach I-XI, jak również do danych wskazanych odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
d)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
e)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
f)
dane dotyczące działalności zewnętrznej;
g)
dane dotyczące lokalizacji;
h)
dane dotyczące dostarczonych towarów lub świadczonych usług;
i)
dane z monitoringu wideo;
j)
dane o ruchu elektronicznym;
k)
nagrania audio;
l)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
m)
informacje dotyczące postępowań administracyjnych lub innych dochodzeń;
n)
dane dotyczące postępowania karnego, wszelkich sankcji lub innych kar administracyjnych;
o)
inne dane dotyczące współpracy między EBC a krajowymi organami śledczymi, Prokuraturą Europejską i organami UE sprawującymi funkcje nadzorcze i kontrolne, którym podlega EBC.

ZAŁĄCZNIK  XIII

Wykonywanie zadań mediatora

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. o) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane kontaktowe;
b)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
c)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
d)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
e)
dane społeczne i behawioralne oraz inne rodzaje danych specyficznych dla operacji przetwarzania;
f)
informacje dotyczące postępowań administracyjnych lub innych dochodzeń regulacyjnych;
g)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
h)
wszelkie inne dane dotyczące wykonywania zadań mediatora.

ZAŁĄCZNIK  XIV

Świadczenie usług doradczych przez doradcę społecznego

Ograniczenie, o którym mowa w art. 3 ust. 1 lit. p) niniejszej decyzji, może być stosowane w odniesieniu do kategorii danych wymienionych w odpowiednich rejestrach przetwarzania, w szczególności takich kategorii danych osobowych jak:
a)
dane kontaktowe;
b)
dane zawodowe, w tym dane dotyczące wykształcenia, szkolenia i zatrudnienia;
c)
szczegóły finansowe (np. informacje na temat płacy, dodatków lub transakcji prywatnych);
d)
dane dotyczące rodziny, stylu życia i sytuacji społecznej;
e)
dane społeczne i behawioralne oraz inne rodzaje danych specyficznych dla operacji przetwarzania;
f)
informacje dotyczące postępowań administracyjnych lub innych dochodzeń regulacyjnych;
g)
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub biometryczne, dane dotyczące stanu zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej;
h)
wszelkie inne dane dotyczące świadczenia usług doradczych przez doradcę społecznego.

ZAŁĄCZNIK  XV

Zabezpieczenia organizacyjne i techniczne w EBC zapobiegające nadużyciom lub niezgodnemu z prawem przetwarzaniu danych osobowych obejmują:

a)
w odniesieniu do osób:
(i)
obowiązek znajomości i stosowania polityki EBC oraz zasad dotyczących zarządzania informacjami i poufności informacji obejmujący wszystkie osoby mające dostęp do niepublicznych informacji EBC;
(ii)
procedurę poświadczania bezpieczeństwa, która gwarantuje, że jedynie osoby poddane weryfikacji i upoważnione mają prawo wstępu do siedziby EBC i dostęp do jego informacji niepublicznych;
(iii)
środki i szkolenia w zakresie świadomości dotyczącej bezpieczeństwa informatycznego, informacyjnego i fizycznego, które są regularnie organizowane dla personelu EBC i usługodawców zewnętrznych;
(iv)
podleganie przez personel EBC surowym zasadom dotyczących tajemnicy zawodowej określonym w warunkach zatrudnienia i regulaminie pracowniczym EBC, których naruszenie skutkuje sankcjami dyscyplinarnymi;
(v)
określone w ustaleniach umownych zasady i obowiązki dotyczące dostępu do informacji niepublicznych EBC przez usługodawców zewnętrznych lub wykonawców zewnętrznych;
(vi)
kontrole dostępu, w tym strefy bezpieczeństwa, które są egzekwowane w celu zapewnienia, aby dostęp osób do informacji niepublicznych EBC był przyznawany i ograniczany w zależności od potrzeb biznesowych i wymogów bezpieczeństwa;
b)
w odniesieniu do procesów:
(i)
obowiązywanie procedur mających na celu zapewnienie kontrolowanego wdrażania, stosowania i utrzymywania aplikacji informatycznych wspierających działalność EBC;
(ii)
korzystanie w działalności EBC z aplikacji informatycznych, które spełniają standardy bezpieczeństwa EBC;
(iii)
działanie kompleksowego programu bezpieczeństwa fizycznego, który stale ocenia zagrożenia dla bezpieczeństwa i obejmuje środki bezpieczeństwa fizycznego mające na celu zapewnienie odpowiedniego poziomu ochrony;
c)
w odniesieniu do technologii:
(i)
przechowywanie wszystkich danych elektronicznych w aplikacjach informatycznych zgodnych ze standardami bezpieczeństwa EBC, a tym samym chronionych przed nieuprawnionym dostępem lub zmianą;
(ii)
wdrażanie, obsługiwanie i utrzymywanie aplikacji informatycznych na poziomie bezpieczeństwa współmiernym do potrzeb związanych z poufnością, integralnością i dostępnością aplikacji informatycznych, które opierają się na analizach wpływu na działalność;
(iii)
poddawanie poziomu bezpieczeństwa aplikacji informatycznych regularnemu zatwierdzaniu w drodze technicznych i nietechnicznych ocen bezpieczeństwa;
(iv)
przyznawanie dostępu do informacji niepublicznych EBC w oparciu o zasadę ograniczonego dostępu oraz poddawanie uprzywilejowanego dostępu ścisłym ograniczeniom i ścisłej kontroli;
(v)
wdrażanie kontroli mających na celu wykrywanie rzeczywistych i potencjalnych naruszeń bezpieczeństwa oraz podejmowanie działań następczych w związku z takimi naruszeniami.
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Decyzja Europejskiego Banku Centralnego (UE) 2020/655 z dnia 5 maja 2020 r. przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym i uchylająca decyzję EBC/2007/1 (EBC/2020/28) (Dz.U. L 152 z 15.5.2020, s. 13).
3 Okólnik administracyjny 01/2006 przyjęty w dniu 21 marca 2006 r., dostępny na stronie internetowej EBC.
4 Decyzja Europejskiego Banku Centralnego (UE) 2016/456 z dnia 4 marca 2016 r. w sprawie warunków prowadzenia przez Europejski Urząd do spraw Zwalczania Nadużyć Finansowych dochodzeń w Europejskim Banku Centralnym w związku z zapobieganiem nadużyciom finansowym, korupcji oraz innej nielegalnej działalności na szkodę interesów finansowych Unii (EBC/2016/3) (Dz.U. L 79 z 30.3.2016, s. 34).
5 Decyzja Europejskiego Banku Centralnego (UE) 2016/1162 z dnia 30 czerwca 2016 r. w sprawie ujawniania informacji poufnych na potrzeby postępowań w sprawach karnych (Dz.U. L 192 z 16.7.2016, s. 73).
6 Rozporządzenie Rady (UE) nr 1024/2013 z dnia 15 października 2013 r. powierzające Europejskiemu Bankowi Centralnemu szczególne zadania w odniesieniu do polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi (Dz.U. L 287 z 29.10.2013, s. 63).
7 Rozporządzenie Rady (UE) 2017/1939 z dnia 12 października 2017 r. wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej (Dz.U. L 283 z 31.10.2017, s. 1).
8 Art. 3 ust. 4 zmieniony przez art. 1 pkt 1 decyzji nr EBC/2024/9 (2024/901) z dnia 12 marca 2024 r. (Dz.U.UE.L.2024.901) zmieniającej nin. decyzję z dniem 11 kwietnia 2024 r.
9 Art. 3 ust. 5 dodany przez art. 1 pkt 2 decyzji nr EBC/2024/9 (2024/901) z dnia 12 marca 2024 r. (Dz.U.UE.L.2024.901) zmieniającej nin. decyzję z dniem 11 kwietnia 2024 r.

Zmiany w prawie

Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką
Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 30.04.2024
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2022.311.176
Rodzaj: Decyzja
Tytuł: Decyzja EBC/2022/42 (2022/2359) przyjmująca zasady wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z funkcjonowaniem wewnętrznym Europejskiego Banku Centralnego
Data aktu: 22/11/2022
Data ogłoszenia: 02/12/2022
Data wejścia w życie: 22/12/2022