PREZYDIUM KOMITETU REGIONÓW,(Dz.U.UE L z dnia 11 marca 2022 r.)
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej 1 , w szczególności jego art. 306,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 2 (zwane dalej "rozporządzeniem" lub "EUDPR"), w szczególności jego art. 25,
uwzględniając regulamin wewnętrzny Europejskiego Komitetu Regionów 3 , w szczególności jego art. 37 lit. d),
uwzględniając opinię D(2021) 0894 (sprawa 2021-0345) Europejskiego Inspektora Ochrony Danych (zwanego dalej "EIOD") z dnia 20 kwietnia 2021 r., z którym skonsultowano się zgodnie z art. 41 ust. 2 EUDPR,
a także mając na uwadze, co następuje:
(1) Zgodnie z art. 3 pkt 1 EUDPR wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (zwanej dalej "osobą, które dane dotyczą") należy uznać za dane osobowe.
(2) Rozporządzenie ma zastosowanie do Komitetu Regionów (zwanego dalej "Komitetem"), tak samo jak do każdej instytucji Unii, w związku z przetwarzaniem danych osobowych w kontekście prowadzonych przez niego działań i procedur.
(3) Administratorem w rozumieniu art. 3 pkt 8 EUDPR jest Komitet, który może przekazywać odpowiedzialność za określanie celów i sposobów przetwarzania danych osobowych.
(4) Zgodnie z art. 45 ust. 3 EUDPR Prezydium Komitetu Regionów (zwane dalej "Prezydium") przyjęło przepisy wykonawcze 4 dotyczące rozporządzenia oraz inspektora ochrony danych Komitetu. Zgodnie z tymi przepisami jednostka organizacyjna (dyrekcja, dział lub sektor) Sekretariatu Generalnego Komitetu lub sekretariatu jednej z grup politycznych w Komitecie, samodzielnie lub łącznie z innymi określająca cele i sposoby przetwarzania danych osobowych, powinna, w odniesieniu do tych danych, działać w imieniu Komitetu jako administrator delegowany.
(5) Komitet i Europejski Komitet Ekonomiczno-Społeczny (zwany dalej "EKES-em") mają wspólne niektóre jednostki organizacyjne i zasoby (zwane dalej "Służbami Wspólnymi") w kontekście współpracy międzyinstytucjonalnej, a mające zastosowanie przepisy wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Służby Wspólne należy określić zgodnie z poczynionymi w tym celu ustaleniami między Komitetem a EKES-em.
(6) Aby wypełniać zadania Komitetu, administratorzy danych gromadzą i przetwarzają informacje oraz kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat prywatnych i zawodowych zachowania i wyników, a także dane finansowe. Na mocy rozporządzenia administratorzy danych są zatem zobowiązani do informowania osób, których dane dotyczą, o wykonywanych przez nich czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą.
(7) Administratorzy danych mogą być zobowiązani do pogodzenia tych praw z celami badań, dochodzeń, weryfikacji, działań, audytów i postępowań prowadzonych w ramach Komitetu. Może spoczywać na nich również wymóg zapewnienia równowagi między prawami danej osoby, której dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 ust. 1 EUDPR administratorzy danych mają możliwość ograniczenia stosowania art. 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 i 36 EUDPR, a także art. 4 EUDPR, o ile jego przepisy odpowiadają prawom i obowiązkom określonym w art. 14-22 EUDPR.
(8) Administratorzy danych powinni stosować ograniczenia tylko wtedy, gdy nie naruszają one istoty podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym.
(9) Administratorzy danych powinni przedstawić powody uzasadniające zastosowanie tych ograniczeń i prowadzić rejestr stosowania przez nich ograniczeń praw osób, których dane dotyczą.
(10) Administratorzy danych powinni znieść ograniczenie niezwłocznie po ustaniu warunków uzasadniających to ograniczenie. Powinni przeprowadzać regularne oceny tych warunków.
(11) Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, należy w odpowiednim czasie konsultować się w sprawie wszelkich ewentualnych ograniczeń z inspektorem ochrony danych, który powinien weryfikować ich zgodność z niniejszą decyzją.
(12) O ile w akcie prawnym przyjętym na podstawie Traktatów 5 nie przewidziano ograniczeń, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których administratorzy danych są uprawnieni do ograniczania praw osób, których dane dotyczą.
(13) Niniejszej decyzji nie powinno stosować się w przypadku, gdy zastosowanie ma jeden z wyjątków, o których mowa w art. 15 ust. 4 i art. 16 ust. 5 EUDPR w odniesieniu do informacji podawanych osobie, której dane dotyczą,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Sporządzono w Brukseli dnia 25 stycznia 2022 r.
|
W imieniu Prezydium Komitetu Regionów |
|
Przewodniczący |
|
Apostolos TZITZIKOSTAS |
1 Dz.U. C 202 z 7.6.2016, s. 47.
2 Dz.U. L 295 z 21.11.2018, s. 39.
3 Dz.U. L 472 z 30.12.2021, s. 1.
4 Decyzja nr 19/2020 Prezydium Komitetu Regionów z dnia 9 października 2020 r. w sprawie przyjęcia przepisów wykonawczych dotyczących rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (zwana dalej "decyzją nr 19/2020").
5 Traktat o Unii Europejskiej (TUE) (Dz.U. C 202 z 7.6.2016, s. 13) i Traktat o funkcjonowaniu Unii Europejskiej (TFUE).
6 Załącznik do rozporządzenia Rady nr 31 (EWG), 11 (EWEA) ustanawiającego regulamin pracowniczy urzędników i warunki zatrudnienia innych pracowników Europejskiej Wspólnoty Gospodarczej i Europejskiej Wspólnoty Energii Atomowej (Dz.U. P 45 z 14.6.1962, s. 1385), zmienionego rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiającym regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiającym specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1) oraz dalej zmienionego, przekształconego, uzupełnionego lub w inny sposób zmodyfikowanego.
7 Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
8 Obejmujących między innymi dodatki z tytułu kosztów ogólnych, dodatki na zatrudnienie pracowników, dodatki na sprzęt i pomieszczenia biurowe, diety za czas podróży, diety dzienne i diety za udział w posiedzeniach (zdalnych), a także inne rekompensaty wypłacane zgodnie z art. 238 rozporządzenia finansowego.
9 Litera ta nie ma zastosowania do przetwarzania danych osobowych, w odniesieniu do których OLAF jest wyłącznym administratorem, zwłaszcza w sytuacjach, gdy OLAF przetwarza dane osobowe przechowywane w siedzibie Komitetu.
10 Obejmujące między innymi umowy o pracę, umowy o świadczenie usług i dane dotyczące wyjazdów służbowych.
11 Obejmujące między innymi zapisy audio i wideo oraz rejestry logowania i wylogowania.
12 Obejmujące między innymi czasy logowania i wylogowania, dostęp do wewnętrznych aplikacji i zasobów sieciowych oraz korzystanie z internetu.
13 O ile dane te są przetwarzane zgodnie z art. 10 ust. 2 EUDPR.
14 O ile dane te są przetwarzane zgodnie z art. 10 ust. 2 EUDPR.
15 O ile dane te są przetwarzane zgodnie z art. 10 ust. 2 EUDPR.
16 O ile dane te są przetwarzane zgodnie z art. 10 ust. 2 EUDPR.
17 O ile dane te są przetwarzane zgodnie z art. 10 ust. 2 EUDPR.
18 Obejmujące między innymi testy pisemne, nagrane wypowiedzi ustne, arkusze ocen, a także oceny, spostrzeżenia i opinie oceniających.
19 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
20 Decyzja nr 129/2003 sekretarza generalnego Komitetu Regionów z dnia 17 czerwca 2003 r. w sprawie zarządzania dokumentami w Komitecie Regionów.