Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2025.628

Decyzja 2025/628 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065

DECYZJA KOMISJI (UE) 2025/628
z dnia 31 marca 2025 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

a także mając na uwadze, co następuje:

(1) Komisja prowadzi czynności sprawdzające w celu egzekwowania przepisów określonych w rozporządzeniu (UE) 2022/2065 2  w odniesieniu do dostawców bardzo dużych platform internetowych i wyszukiwarek internetowych. W tym celu Komisja wykonuje uprawnienia w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania powierzone jej na mocy rozporządzenia (UE) 2022/2065.

(2) Zadania Komisji wynikające z rozporządzenia (UE) 2022/2065 wykonuje Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii.

(3) W kontekście wykonywania swoich zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065 Komisja przetwarza informacje. Informacje te mogą obejmować dane osobowe osób fizycznych takich jak poszczególni pracownicy przedsiębiorstwa (na przykład kierownik komórki ds. nadzoru zgodności z prawem lub pracownicy punktu kompleksowej obsługi), podejrzani, ofiary, sygnaliści, informatorzy i świadkowie, jak również innych osób fizycznych, których dane osobowe są zawarte w dokumentach zgromadzonych w związku z wykonywaniem przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.

(4) Przetwarzanie danych osobowych w rozumieniu art. 3 ust. 3 rozporządzenia (UE) 2018/1725, dokonywane w trakcie działań w zakresie czynności sprawdzających i egzekwowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, może mieć miejsce już przed formalnym wszczęciem przez Komisję postępowania na podstawie art. 66 rozporządzenia (UE) 2022/2065, może być kontynuowane przez cały czas trwania takiego postępowania, jak również nawet po jego formalnym zamknięciu (na przykład do celów monitorowania zgodności z przepisami lub działań w zakresie nadzorowania, aby ocenić, czy konieczne jest wszczęcie nowego postępowania lub podjęcie kroków prawnych).

(5) Na potrzeby wykonywania zadań na podstawie rozporządzenia (UE) 2022/2065 Komisja przetwarza szereg kategorii danych osobowych, takich jak dane dotyczące tożsamości, dane kontaktowe, dane dotyczące udziału w sprawie, dane dotyczące sprawy oraz wszelkie inne informacje uznane za niezbędne. Kategorie przetwarzanych danych osobowych mogą również - choć jest to mało prawdopodobne - obejmować szczególne kategorie danych osobowych, o których mowa w art. 10 ust. 1 rozporządzenia (UE) 2018/1725, o ile zastosowanie ma którykolwiek z powodów wymienionych w art. 10 ust. 2 lub 3 tego rozporządzenia, jak również dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o których mowa w art. 11 rozporządzenia (UE) 2018/1725. Przy wykonywaniu swoich zadań na podstawie rozporządzenia (UE) 2022/2065 Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych, zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o Funkcjonowaniu Unii Europejskiej, a także praw przewidzianych w rozporządzeniu (UE) 2018/1725. Jednocześnie Komisja, w kontekście działań prowadzonych przez nią na podstawie rozporządzenia (UE) 2022/2065, jest zobowiązana do przestrzegania rygorystycznych zasad dotyczących poufności i tajemnicy zawodowej, o których mowa w art. 84 tego rozporządzenia.

(6) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, przewidzianych w rozporządzeniu (UE) 2018/1725, ze skutecznym wykonywaniem przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, przy jednoczesnym zapewnieniu pełnego poszanowania podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 Komisja może ograniczyć, na określonych warunkach, zastosowanie art. 14-22, 35 i 36 rozporządzenia (UE) 2018/1725, a także zastosowanie art. 4 tego rozporządzenia w zakresie, w jakim przepisy tego artykułu odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 rozporządzenia (UE) 2018/1725.

(7) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, z potrzebą zabezpieczenia celów w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, stanowiącą ważny cel leżący w ogólnym interesie publicznym Unii zgodnie z art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. Komisja może zastosować ograniczenia na przykład wtedy, gdy wykonywanie tych praw poważnie wpływałoby na jej zdolność do skutecznego prowadzenia czynności sprawdzających, a tym samym utrudniałoby osiągnięcie celu tych czynności. W takich przypadkach w trakcie czynności sprawdzających istnieje ryzyko zniszczenia dowodów lub ingerencji w działania kluczowych podmiotów (na przykład świadków).

(8) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, z podstawowymi prawami i wolnościami innych zainteresowanych osób, takich jak ofiary lub świadkowie. W takim przypadku Komisja może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może podjąć taką decyzję w szczególności w celu ochrony tych osób przed ewentualnymi działaniami odwetowymi.

(9) Należy zapewnić ochronę informacji poufnych dotyczących informatora, sygnalisty lub każdej innej osoby fizycznej, która przekazała Komisji informacje w kontekście wykonywania przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065. Komisja powinna ograniczyć dostęp do tożsamości, oświadczeń i innych danych osobowych takich osób przekazujących informacje w celu ochrony praw i wolności wszystkich zainteresowanych zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może ujawnić tożsamość osoby przekazującej informacje jedynie za jej zgodą. Komisja powinna ujawnić jej tożsamość, jeżeli wymaga tego prawo lub organ sądowy. W przypadkach, gdy osoby, których dane dotyczą, składają wniosek o dostęp do swoich danych osobowych, powinny one uzyskać dostęp do takich danych osobowych, w tym danych przekazanych przez osobę przekazującą informacje. W celu zapewnienia anonimowości osób przekazujących informacje Komisja nie powinna przekazywać osobie, której dane dotyczą, imienia ani nazwiska osoby przekazującej informacje ani żadnych innych informacji, które umożliwiałyby jej bezpośrednią lub pośrednią identyfikację.

(10) Ponadto aby zapewnić skuteczne stosowanie rozporządzenia (UE) 2022/2065, w szczególności w odniesieniu do współpracy Komisji i państw członkowskich, Komisja może ograniczyć stosowanie praw osób, których dane dotyczą, a tym samym zabezpieczyć ważny cel leżący w ogólnym interesie publicznym Unii lub państwa członkowskiego, o czym mowa w art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. Komisja może tak postąpić w sytuacji, gdy osiągnięcie celu takiego ograniczenia zastosowanego przez organ państwa członkowskiego byłoby zagrożone, jeżeli Komisja nie zastosowałaby równoważnego ograniczenia w odniesieniu do tych samych danych osobowych. Ponadto aby zapewnić skuteczne stosowanie rozporządzenia (UE) 2022/2065, Komisja może zastosować ograniczenia w celu zabezpieczenia zapobiegania przestępstwom, prowadzenia postępowań przygotowawczych w ich sprawie, ich wykrywania lub ścigania lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, zgodnie z art. 25 ust. 1 lit. b) rozporządzenia (UE) 2018/1725. Stosując ograniczenia na podstawie art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725, Komisja powinna konsultować się z danym państwem członkowskim, które zabezpiecza ważny cel leżący w ogólnym interesie publicznym, w sprawie stosownych potencjalnych powodów zastosowania ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że konsultacje takie stanowiłyby zagrożenie dla działań Komisji. Zgodnie z art. 25 ust. 1 lit. g) rozporządzenia (UE) 2018/1725 Komisja może podjąć decyzję o ograniczeniu stosowania praw osób, których dane dotyczą, w celu zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach wspomnianych powyżej oraz w przypadkach, o których mowa w art. 25 ust. 1 lit. b) i c) rozporządzenia (UE) 2018/1725.

(11) Komisja powinna stosować ograniczenia tylko wtedy, gdy są one zgodne z podstawowymi prawami i wolnościami określonymi w Karcie, są absolutnie niezbędne oraz stanowią proporcjonalny środek w społeczeństwie demokratycznym. Komisja powinna przedstawić uzasadnienie tych ograniczeń.

(12) Art. 25 ust. 6 rozporządzenia (UE) 2018/1725 zobowiązuje administratora danych do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

(13) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 Komisja może wstrzymać przekazanie informacji o podstawowych powodach zastosowania ograniczenia osobie, której dane dotyczą, pominąć takie przekazanie lub go odmówić, gdyby mogło ono w jakikolwiek sposób unieważnić skutek ograniczenia. Komisja powinna ocenić w każdym przypadku z osobna, czy powiadomienie o ograniczeniu unieważniłoby jego skutek.

(14) Komisja powinna znieść ograniczenie niezwłocznie po ustaniu warunków je uzasadniających i regularnie oceniać te warunki.

(15) W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Komisja powinna informować - w sposób przejrzysty i spójny, w formie oświadczenia o ochronie danych publikowanego na stronie internetowej Komisji - wszystkie osoby, których dane dotyczą, o swoich działaniach obejmujących przetwarzanie danych osobowych tych osób oraz o prawach przysługujących tym osobom. Komisja powinna za pomocą odpowiednich środków indywidualnie informować sygnalistów, informatorów, świadków oraz, w stosownych przypadkach, poszczególnych pracowników przedsiębiorstwa (na przykład kierownika komórki ds. nadzoru zgodności z prawem lub pracowników punktu kompleksowej obsługi), o przetwarzaniu ich danych osobowych.

(16) W art. 16 ust. 5 rozporządzenia (UE) 2018/1725 przewidziano wyjątki od prawa do informacji przysługującego osobom, których dane dotyczą. Jeżeli wyjątki te mają zastosowanie, Komisja nie musi stosować ograniczenia prawa do informacji na mocy niniejszej decyzji. Wyjątki na podstawie art. 16 ust. 5 lit. b) rozporządzenia (UE) 2018/1725 mają zastosowanie w przypadku, gdy udzielenie informacji, o których mowa w art. 16 ust. 1-4 tego rozporządzenia, okazałoby się niemożliwe, wymagałoby niewspółmiernie dużego wysiłku bądź uczyniłoby niemożliwym lub poważnie utrudniłoby osiągnięcie celów przetwarzania danych. W przypadkach osób, których dane dotyczą, nieistotnych dla czynności sprawdzających i których dane osobowe są zawarte w dokumentach zgromadzonych w ramach nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, innych niż indywidualnie informowane osoby, których dane dotyczą, udzielenie tych informacji mogłoby okazać się niemożliwe lub wymagać niewspółmiernie dużego wysiłku. Może tak być w przypadku, gdy Komisja uzyskuje dane osobowe w kontekście informacji przekazanych przez sygnalistę lub w trakcie działań w zakresie monitorowania prowadzonych przez nią w celu zapewnienia skutecznego wdrożenia i przestrzegania rozporządzenia (UE) 2022/2065. Wyjątki na podstawie art. 16 ust. 5 lit. b) rozporządzenia (UE) 2018/1725 mogą być również stosowane w przypadku, gdy udzielenie takich informacji podejrzanym i ofiarom powiązanym ze sprawą mogłoby uczynić niemożliwym lub poważnie utrudnić osiągnięcie celów przetwarzania danych.

(17) W zastosowaniu zasad przejrzystości, sprawiedliwości i rozliczalności Komisja powinna zajmować się wszystkimi wyjątkami i ograniczeniami w przejrzysty sposób oraz prowadzić rejestr stosowania tych wyjątków i ograniczeń.

(18) Aby zagwarantować ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia (UE) 2018/1725, w trakcie całej procedury stosowania ograniczeń Komisja powinna zaangażować w nią koordynatora ds. ochrony danych w Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii oraz inspektora ochrony danych Komisji oraz dokumentować prowadzone z nimi konsultacje. W szczególności należy w odpowiednim czasie przeprowadzić konsultacje z koordynatorem ds. ochrony danych w sprawie wszelkich ograniczeń, które mogą zostać zastosowane, i powinien on zweryfikować ich zgodność z niniejszą decyzją.

(19) Inspektor ochrony danych Komisji powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją.

(20) Skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 22 października 2024 r.,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot

1. 
W niniejszej decyzji ustanawia się przepisy obowiązujące Komisję w odniesieniu do informowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 w trakcie wykonywania przez Komisję działań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
W niniejszej decyzji określa się również warunki, na jakich Komisja może ograniczyć stosowanie art. 4, 14-20 i 35 rozporządzenia (UE) 2018/1725 zgodnie z jego art. 25 ust. 1 lit. b), c), g) i h).
Artykuł  2

Zakres

1. 
Niniejsza decyzja ma zastosowanie do przetwarzania przez Komisję danych osobowych następujących kategorii osób, których dane dotyczą:
a)
podejrzani;
b)
ofiary;
c)
sygnaliści;
d)
informatorzy;
e)
świadkowie;
f)
personel przedsiębiorstwa;
g)
osoby fizyczne, których dane osobowe zawarte są w dokumentach lub innych mediach zgromadzonych w ramach nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych należących do następujących kategorii danych osobowych:
a)
dane dotyczące tożsamości;
b)
dane kontaktowe;
c)
dane dotyczące udziału w sprawie;
d)
dane dotyczące sprawy;
e)
wszelkie inne informacje uznane za niezbędne do spełnienia wymogów wynikających z rozporządzenia (UE) 2022/2065, w tym dane osobowe, o których mowa w art. 10 ust. 1 i art. 11 rozporządzenia (UE) 2018/1725.
Artykuł  3

Ograniczenia

1. 
Z zastrzeżeniem przepisów art. 3-8 niniejszej decyzji Komisja może ograniczyć stosowanie art. 14-20 i 35 rozporządzenia (UE) 2018/1725, a także zasady przejrzystości określonej w art. 4 ust. 1 lit. a) tego rozporządzenia w zakresie, w jakim przepis ten odpowiada prawom i obowiązkom przewidzianym w art. 14-20 rozporządzenia (UE) 2018/1725, jeżeli:
a)
wykonywanie tych praw zagrażałoby celowi działań Komisji w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, zgodnie z art. 25 ust. 1 lit. c) i
g)
rozporządzenia (UE) 2018/1725;
b)
wykonywanie tych praw i obowiązków miałoby negatywny wpływ na ochronę osoby, której dane dotyczą, lub na prawa i wolności innych osób, zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
c)
wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Komisji z państwami członkowskimi mającej na celu zapewnienie skutecznego stosowania rozporządzenia (UE) 2022/2065, zgodnie z art. 25 ust. 1 lit. b) i g) rozporządzenia (UE) 2018/1725.
2. 
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w ust. 1 lit. c), Komisja konsultuje się z odpowiednimi państwami członkowskimi w sprawie potencjalnych powodów zastosowania ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że konsultacje takie stanowiłyby zagrożenie dla działań Komisji.
3. 
Przepisy ust. 1 i 2 niniejszego artykułu pozostają bez uszczerbku dla stosowania innych decyzji Komisji ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw na podstawie art. 25 rozporządzenia (UE) 2018/1725.
4. 
Przed zastosowaniem ograniczeń, o których mowa w ust. 1, Komisja ocenia i dokumentuje w każdym przypadku z osobna ich konieczność i proporcjonalność. Ograniczenia te nie mogą wykraczać poza to, co jest bezwzględnie konieczne do osiągnięcia ich celu.
Artykuł  4

Przekazywanie informacji osobom, których dane dotyczą

1. 
Komisja publikuje na swojej stronie internetowej oświadczenie o ochronie danych, w którym informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez nią działaniach obejmujących przetwarzanie ich danych osobowych do celów zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania wykonywanych przez nią na podstawie rozporządzenia (UE) 2022/2065. Oświadczenie o ochronie danych zawiera również informacje o możliwości ograniczenia praw osób, których dane dotyczą, zgodnie z art. 3. Informacje te dotyczą praw, które mogą zostać ograniczone, powodów, dla których ograniczenia mogą być stosowane, oraz ich potencjalnego czasu trwania.
2. 
Komisja za pomocą odpowiednich środków indywidualnie informuje sygnalistów, informatorów, świadków oraz, w stosownych przypadkach, poszczególnych pracowników przedsiębiorstwa, o przetwarzaniu ich danych osobowych.
3. 
W przypadku gdy Komisja ogranicza, zgodnie z art. 3, w całości lub w części przekazywanie informacji, o którym mowa w ust. 1, zapisuje ona oraz ujmuje w rejestrze powody ograniczenia zgodnie z art. 7 niniejszej decyzji. Komisja informuje również osoby, których dane dotyczą, o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
Artykuł  5

Prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych oraz prawo do ograniczenia przetwarzania

1. 
W przypadku gdy Komisja ogranicza, w całości lub w części, prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych lub prawo do ograniczenia przetwarzania, o których to prawach mowa odpowiednio w art. 17-20 rozporządzenia (UE) 2018/1725, informuje daną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, sprostowanie, usunięcie lub ograniczenie przetwarzania o następujących elementach:
a)
zastosowanym ograniczeniu i jego głównych powodach;
b)
możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
2. 
Komisja może wstrzymać przekazanie informacji o powodach zastosowania ograniczenia i o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych, pominąć je lub go odmówić, o ile przekazanie takich informacji skutkowałoby unieważnieniem skutku ograniczenia. Komisja ocenia w każdym przypadku z osobna, czy jest to uzasadnione. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, Komisja przekazuje te informacje osobie, której dane dotyczą.
Artykuł  6

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

1. 
Jeżeli Komisja jest zobowiązana do zawiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia (UE) 2018/1725, może ona w wyjątkowych okolicznościach ograniczyć takie zawiadomienie w całości lub w części. Komisja zapisuje oraz ujmuje w rejestrze powody takiego ograniczenia, jego podstawę prawną na mocy art. 3 oraz ocenę jego konieczności i proporcjonalności. Taki zapis jest przekazywany Europejskiemu Inspektorowi Ochrony Danych w momencie zgłaszania naruszenia ochrony danych osobowych.
2. 
Jeżeli powody ograniczenia przestają mieć zastosowanie, Komisja zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
3. 
W przypadku gdy Komisja zgłasza Europejskiemu Inspektorowi Ochrony Danych naruszenie ochrony danych osobowych na podstawie art. 34 ust. 1 rozporządzenia (UE) 2018/1725, dołącza zapis dokonany na podstawie art. 7 niniejszej decyzji.
Artykuł  7

Zapisywanie i rejestrowanie ograniczeń

1. 
Komisja zapisuje powody nałożenia każdego ograniczenia zastosowanego na podstawie niniejszej decyzji, jego podstawę prawną, ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą, związanego z nałożeniem danego ograniczenia oraz ocenę jego konieczności i proporcjonalności, z uwzględnieniem odpowiednich elementów określonych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
2. 
W zapisie tym określa się, w jaki sposób wykonywanie prawa przez daną osobę, której dane dotyczą, narusza co najmniej jeden z mających zastosowanie powodów wymienionych w art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725.
3. 
Zapis ten oraz, w stosownych przypadkach, dokumenty zawierające leżące u jego podstaw elementy stanu faktycznego oraz aspekty prawne ujmuje się w rejestrze. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
4. 
Komisja przygotowuje okresowe sprawozdania ze stosowania ograniczeń zgodnie z art. 25 rozporządzenia (UE) 2018/1725 na podstawie niniejszej decyzji.
Artykuł  8

Okres obowiązywania ograniczeń

1. 
Ograniczenia, o których mowa w art. 4, 5 i 6, mają zastosowanie tak długo, jak długo mają zastosowanie uzasadniające je powody oraz zostają zniesione, gdy tylko powody te przestają mieć zastosowanie.
2. 
Jeżeli powody nałożenia ograniczenia przestają mieć zastosowanie, Komisja znosi to ograniczenie.
3. 
Komisja informuje również osobę, której dane dotyczą, o powodach zastosowania ograniczenia oraz o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
4. 
Komisja dokonuje przeglądu stosowania ograniczeń, o których mowa w art. 4, 5 i 6, co sześć miesięcy oraz w momencie zamknięcia sprawy. Przegląd obejmuje ocenę konieczności i proporcjonalności ograniczenia, z uwzględnieniem odpowiednich elementów wymienionych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
Artykuł  9

Zabezpieczenia i zatrzymywanie danych

1. 
Komisja wdraża zabezpieczenia w celu zapobiegnięcia nadużyciom i bezprawnemu dostępowi do danych osobowych lub bezprawnemu przekazywaniu danych osobowych, w odniesieniu do których są lub mogą być stosowane ograniczenia lub wyjątki. Takie zabezpieczenia obejmują między innymi następujące środki techniczne i organizacyjne:
a)
jasne określenie ról, obowiązków, etapów proceduralnych i praw dostępu;
b)
bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu lub przypadkowemu dostępowi do danych elektronicznych lub przekazywaniu danych elektronicznych osobom nieupoważnionym;
c)
bezpieczne przechowywanie i przetwarzanie dokumentów papierowych ograniczone do absolutnego minimum niezbędnego do osiągnięcia celu przetwarzania;
d)
należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. Przeglądy przeprowadza się co najmniej raz na sześć miesięcy oraz w momencie zamknięcia sprawy.
2. 
Dane osobowe są zatrzymywane zgodnie z obowiązującymi przepisami Komisji dotyczącymi zatrzymywania danych, które zostaną określone w rejestrach czynności przetwarzania prowadzonych na podstawie art. 31 rozporządzenia (UE) 2018/1725. Na koniec okresu zatrzymania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia (UE) 2018/1725.
Artykuł  10

Udział koordynatora ds. ochrony danych oraz inspektora ochrony danych Komisji

1. 
Przed zastosowaniem jakichkolwiek ograniczeń prowadzone są konsultacje z koordynatorem ds. ochrony danych w Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii, który weryfikuje ich zgodność z niniejszą decyzją.
2. 
Inspektor ochrony danych Komisji jest niezwłocznie informowany, ilekroć prawa osoby, której dane dotyczą, są ograniczane zgodnie z niniejszą decyzją. Inspektor ochrony danych Komisji otrzymuje na żądanie dostęp do zapisu oraz wszelkich dokumentów zawierających elementy stanu faktycznego i aspekty prawne leżące u podstaw ograniczenia.
3. 
Inspektor ochrony danych może zażądać przeglądu stosowania ograniczenia i jest informowany na piśmie o wyniku takiego przeglądu.
4. 
Komisja dokumentuje udział inspektora ochrony danych Komisji oraz koordynatora ds. ochrony danych, w tym to, jakie informacje są im udostępniane, w każdym przypadku, w którym ograniczane są prawa i obowiązki, o których mowa w art. 3 ust. 1.
Artykuł  11

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 31 marca 2025 r.
1 Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Dz.U. L 277 z 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj).

Zmiany w prawie

Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana
Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana

Uproszczenie i uporządkowanie niektórych regulacji kodeksu pracy dotyczących m.in. wykorzystania postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy oraz terminu wypłaty ekwiwalentu za niewykorzystany urlop wypoczynkowy przewiduje nowelizacja kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych, która wejdzie w życie w dniu 27 stycznia.

Grażyna J. Leśniak 12.01.2026
Powierzchnia użytkowa mieszkań już bez ścianek działowych
Powierzchnia użytkowa mieszkań już bez ścianek działowych

W Dzienniku Ustaw opublikowano nowelizację, która ma zakończyć spory między nabywcami i deweloperami o powierzchnie sprzedawanych mieszkań i domów. W przepisach była luka, która skutkowała tym, że niektórzy deweloperzy wliczali w powierzchnię użytkową metry pod ściankami działowymi, wnękami technicznymi czy skosami o małej wysokości - a to mogło dawać różnicę w finalnej cenie sięgającą nawet kilkudziesięciu tysięcy złotych. Po zmianach standardy dla wszystkich inwestycji deweloperskich będą jednolite.

Agnieszka Matłacz 12.01.2026
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni

Podpisana przez prezydenta Karola Nawrockiego ustawa reformująca orzecznictwo lekarskie w Zakładzie Ubezpieczeń Społecznych ma usprawnić kontrole zwolnień chorobowych i skrócić czas oczekiwania na decyzje. Jednym z kluczowych elementów zmian jest możliwość dostępu do dokumentacji medycznej w toku kontroli L4 oraz poszerzenie katalogu osób uprawnionych do orzekania. Zdaniem eksperta, sam dostęp do dokumentów niczego jeszcze nie zmieni, jeśli za stwierdzonymi nadużyciami nie pójdą realne konsekwencje.

Grażyna J. Leśniak 09.01.2026
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych

Konfederacja Lewiatan krytycznie ocenia niektóre przepisy projektu ustawy o wygaszeniu pomocy dla obywateli Ukrainy. Najwięcej kontrowersji budzą zapisy ograniczające uproszczoną procedurę powierzania pracy obywatelom Ukrainy oraz przewidujące wydłużenie zawieszenia biegu terminów w postępowaniach administracyjnych. W konsultacjach społecznych nad projektem nie brały udziału organizacje pracodawców.

Grażyna J. Leśniak 08.01.2026
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę

Usprawnienie i ujednolicenie sposobu wydawania orzeczeń przez lekarzy Zakładu Ubezpieczeń Społecznych, a także zasad kontroli zwolnień lekarskich wprowadza podpisana przez prezydenta ustawa. Nowe przepisy mają również doprowadzić do skrócenia czasu oczekiwania na orzeczenia oraz zapewnić lepsze warunki pracy lekarzy orzeczników, a to ma z kolei przyczynić się do ograniczenia braków kadrowych.

Grażyna J. Leśniak 08.01.2026
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa

Przeksięgowanie składek z tytułu na tytuł do ubezpieczeń społecznych na podstawie prawomocnej decyzji ZUS, zmiany w zakresie zwrotu składek nadpłaconych przez płatnika, w tym rozpoczęcie biegu terminu przedawnienia zwrotu nienależnie opłaconych składek dopiero od ich stwierdzenia przez ZUS - to niektóre zmiany, jakie zamierza wprowadzić Ministerstwo Rodziny, Pracy i Polityki Społecznej. Resort dostrzegł bowiem problem związany ze sprawami, w których ZUS kwestionuje tytuł do ubezpieczeń osób zgłoszonych do nich wiele lat wcześniej.

Grażyna J. Leśniak 08.01.2026
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.628
Rodzaj: Decyzja
Tytuł: Decyzja 2025/628 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065
Data aktu: 31/03/2025
Data ogłoszenia: 01/04/2025
Data wejścia w życie: 21/04/2025