Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2025.628

Decyzja 2025/628 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065

DECYZJA KOMISJI (UE) 2025/628
z dnia 31 marca 2025 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

a także mając na uwadze, co następuje:

(1) Komisja prowadzi czynności sprawdzające w celu egzekwowania przepisów określonych w rozporządzeniu (UE) 2022/2065 2  w odniesieniu do dostawców bardzo dużych platform internetowych i wyszukiwarek internetowych. W tym celu Komisja wykonuje uprawnienia w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania powierzone jej na mocy rozporządzenia (UE) 2022/2065.

(2) Zadania Komisji wynikające z rozporządzenia (UE) 2022/2065 wykonuje Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii.

(3) W kontekście wykonywania swoich zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065 Komisja przetwarza informacje. Informacje te mogą obejmować dane osobowe osób fizycznych takich jak poszczególni pracownicy przedsiębiorstwa (na przykład kierownik komórki ds. nadzoru zgodności z prawem lub pracownicy punktu kompleksowej obsługi), podejrzani, ofiary, sygnaliści, informatorzy i świadkowie, jak również innych osób fizycznych, których dane osobowe są zawarte w dokumentach zgromadzonych w związku z wykonywaniem przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.

(4) Przetwarzanie danych osobowych w rozumieniu art. 3 ust. 3 rozporządzenia (UE) 2018/1725, dokonywane w trakcie działań w zakresie czynności sprawdzających i egzekwowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, może mieć miejsce już przed formalnym wszczęciem przez Komisję postępowania na podstawie art. 66 rozporządzenia (UE) 2022/2065, może być kontynuowane przez cały czas trwania takiego postępowania, jak również nawet po jego formalnym zamknięciu (na przykład do celów monitorowania zgodności z przepisami lub działań w zakresie nadzorowania, aby ocenić, czy konieczne jest wszczęcie nowego postępowania lub podjęcie kroków prawnych).

(5) Na potrzeby wykonywania zadań na podstawie rozporządzenia (UE) 2022/2065 Komisja przetwarza szereg kategorii danych osobowych, takich jak dane dotyczące tożsamości, dane kontaktowe, dane dotyczące udziału w sprawie, dane dotyczące sprawy oraz wszelkie inne informacje uznane za niezbędne. Kategorie przetwarzanych danych osobowych mogą również - choć jest to mało prawdopodobne - obejmować szczególne kategorie danych osobowych, o których mowa w art. 10 ust. 1 rozporządzenia (UE) 2018/1725, o ile zastosowanie ma którykolwiek z powodów wymienionych w art. 10 ust. 2 lub 3 tego rozporządzenia, jak również dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o których mowa w art. 11 rozporządzenia (UE) 2018/1725. Przy wykonywaniu swoich zadań na podstawie rozporządzenia (UE) 2022/2065 Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych, zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o Funkcjonowaniu Unii Europejskiej, a także praw przewidzianych w rozporządzeniu (UE) 2018/1725. Jednocześnie Komisja, w kontekście działań prowadzonych przez nią na podstawie rozporządzenia (UE) 2022/2065, jest zobowiązana do przestrzegania rygorystycznych zasad dotyczących poufności i tajemnicy zawodowej, o których mowa w art. 84 tego rozporządzenia.

(6) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, przewidzianych w rozporządzeniu (UE) 2018/1725, ze skutecznym wykonywaniem przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, przy jednoczesnym zapewnieniu pełnego poszanowania podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 Komisja może ograniczyć, na określonych warunkach, zastosowanie art. 14-22, 35 i 36 rozporządzenia (UE) 2018/1725, a także zastosowanie art. 4 tego rozporządzenia w zakresie, w jakim przepisy tego artykułu odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 rozporządzenia (UE) 2018/1725.

(7) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, z potrzebą zabezpieczenia celów w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, stanowiącą ważny cel leżący w ogólnym interesie publicznym Unii zgodnie z art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. Komisja może zastosować ograniczenia na przykład wtedy, gdy wykonywanie tych praw poważnie wpływałoby na jej zdolność do skutecznego prowadzenia czynności sprawdzających, a tym samym utrudniałoby osiągnięcie celu tych czynności. W takich przypadkach w trakcie czynności sprawdzających istnieje ryzyko zniszczenia dowodów lub ingerencji w działania kluczowych podmiotów (na przykład świadków).

(8) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, z podstawowymi prawami i wolnościami innych zainteresowanych osób, takich jak ofiary lub świadkowie. W takim przypadku Komisja może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może podjąć taką decyzję w szczególności w celu ochrony tych osób przed ewentualnymi działaniami odwetowymi.

(9) Należy zapewnić ochronę informacji poufnych dotyczących informatora, sygnalisty lub każdej innej osoby fizycznej, która przekazała Komisji informacje w kontekście wykonywania przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065. Komisja powinna ograniczyć dostęp do tożsamości, oświadczeń i innych danych osobowych takich osób przekazujących informacje w celu ochrony praw i wolności wszystkich zainteresowanych zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może ujawnić tożsamość osoby przekazującej informacje jedynie za jej zgodą. Komisja powinna ujawnić jej tożsamość, jeżeli wymaga tego prawo lub organ sądowy. W przypadkach, gdy osoby, których dane dotyczą, składają wniosek o dostęp do swoich danych osobowych, powinny one uzyskać dostęp do takich danych osobowych, w tym danych przekazanych przez osobę przekazującą informacje. W celu zapewnienia anonimowości osób przekazujących informacje Komisja nie powinna przekazywać osobie, której dane dotyczą, imienia ani nazwiska osoby przekazującej informacje ani żadnych innych informacji, które umożliwiałyby jej bezpośrednią lub pośrednią identyfikację.

(10) Ponadto aby zapewnić skuteczne stosowanie rozporządzenia (UE) 2022/2065, w szczególności w odniesieniu do współpracy Komisji i państw członkowskich, Komisja może ograniczyć stosowanie praw osób, których dane dotyczą, a tym samym zabezpieczyć ważny cel leżący w ogólnym interesie publicznym Unii lub państwa członkowskiego, o czym mowa w art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. Komisja może tak postąpić w sytuacji, gdy osiągnięcie celu takiego ograniczenia zastosowanego przez organ państwa członkowskiego byłoby zagrożone, jeżeli Komisja nie zastosowałaby równoważnego ograniczenia w odniesieniu do tych samych danych osobowych. Ponadto aby zapewnić skuteczne stosowanie rozporządzenia (UE) 2022/2065, Komisja może zastosować ograniczenia w celu zabezpieczenia zapobiegania przestępstwom, prowadzenia postępowań przygotowawczych w ich sprawie, ich wykrywania lub ścigania lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, zgodnie z art. 25 ust. 1 lit. b) rozporządzenia (UE) 2018/1725. Stosując ograniczenia na podstawie art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725, Komisja powinna konsultować się z danym państwem członkowskim, które zabezpiecza ważny cel leżący w ogólnym interesie publicznym, w sprawie stosownych potencjalnych powodów zastosowania ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że konsultacje takie stanowiłyby zagrożenie dla działań Komisji. Zgodnie z art. 25 ust. 1 lit. g) rozporządzenia (UE) 2018/1725 Komisja może podjąć decyzję o ograniczeniu stosowania praw osób, których dane dotyczą, w celu zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach wspomnianych powyżej oraz w przypadkach, o których mowa w art. 25 ust. 1 lit. b) i c) rozporządzenia (UE) 2018/1725.

(11) Komisja powinna stosować ograniczenia tylko wtedy, gdy są one zgodne z podstawowymi prawami i wolnościami określonymi w Karcie, są absolutnie niezbędne oraz stanowią proporcjonalny środek w społeczeństwie demokratycznym. Komisja powinna przedstawić uzasadnienie tych ograniczeń.

(12) Art. 25 ust. 6 rozporządzenia (UE) 2018/1725 zobowiązuje administratora danych do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

(13) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 Komisja może wstrzymać przekazanie informacji o podstawowych powodach zastosowania ograniczenia osobie, której dane dotyczą, pominąć takie przekazanie lub go odmówić, gdyby mogło ono w jakikolwiek sposób unieważnić skutek ograniczenia. Komisja powinna ocenić w każdym przypadku z osobna, czy powiadomienie o ograniczeniu unieważniłoby jego skutek.

(14) Komisja powinna znieść ograniczenie niezwłocznie po ustaniu warunków je uzasadniających i regularnie oceniać te warunki.

(15) W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Komisja powinna informować - w sposób przejrzysty i spójny, w formie oświadczenia o ochronie danych publikowanego na stronie internetowej Komisji - wszystkie osoby, których dane dotyczą, o swoich działaniach obejmujących przetwarzanie danych osobowych tych osób oraz o prawach przysługujących tym osobom. Komisja powinna za pomocą odpowiednich środków indywidualnie informować sygnalistów, informatorów, świadków oraz, w stosownych przypadkach, poszczególnych pracowników przedsiębiorstwa (na przykład kierownika komórki ds. nadzoru zgodności z prawem lub pracowników punktu kompleksowej obsługi), o przetwarzaniu ich danych osobowych.

(16) W art. 16 ust. 5 rozporządzenia (UE) 2018/1725 przewidziano wyjątki od prawa do informacji przysługującego osobom, których dane dotyczą. Jeżeli wyjątki te mają zastosowanie, Komisja nie musi stosować ograniczenia prawa do informacji na mocy niniejszej decyzji. Wyjątki na podstawie art. 16 ust. 5 lit. b) rozporządzenia (UE) 2018/1725 mają zastosowanie w przypadku, gdy udzielenie informacji, o których mowa w art. 16 ust. 1-4 tego rozporządzenia, okazałoby się niemożliwe, wymagałoby niewspółmiernie dużego wysiłku bądź uczyniłoby niemożliwym lub poważnie utrudniłoby osiągnięcie celów przetwarzania danych. W przypadkach osób, których dane dotyczą, nieistotnych dla czynności sprawdzających i których dane osobowe są zawarte w dokumentach zgromadzonych w ramach nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, innych niż indywidualnie informowane osoby, których dane dotyczą, udzielenie tych informacji mogłoby okazać się niemożliwe lub wymagać niewspółmiernie dużego wysiłku. Może tak być w przypadku, gdy Komisja uzyskuje dane osobowe w kontekście informacji przekazanych przez sygnalistę lub w trakcie działań w zakresie monitorowania prowadzonych przez nią w celu zapewnienia skutecznego wdrożenia i przestrzegania rozporządzenia (UE) 2022/2065. Wyjątki na podstawie art. 16 ust. 5 lit. b) rozporządzenia (UE) 2018/1725 mogą być również stosowane w przypadku, gdy udzielenie takich informacji podejrzanym i ofiarom powiązanym ze sprawą mogłoby uczynić niemożliwym lub poważnie utrudnić osiągnięcie celów przetwarzania danych.

(17) W zastosowaniu zasad przejrzystości, sprawiedliwości i rozliczalności Komisja powinna zajmować się wszystkimi wyjątkami i ograniczeniami w przejrzysty sposób oraz prowadzić rejestr stosowania tych wyjątków i ograniczeń.

(18) Aby zagwarantować ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia (UE) 2018/1725, w trakcie całej procedury stosowania ograniczeń Komisja powinna zaangażować w nią koordynatora ds. ochrony danych w Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii oraz inspektora ochrony danych Komisji oraz dokumentować prowadzone z nimi konsultacje. W szczególności należy w odpowiednim czasie przeprowadzić konsultacje z koordynatorem ds. ochrony danych w sprawie wszelkich ograniczeń, które mogą zostać zastosowane, i powinien on zweryfikować ich zgodność z niniejszą decyzją.

(19) Inspektor ochrony danych Komisji powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją.

(20) Skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 22 października 2024 r.,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot

1. 
W niniejszej decyzji ustanawia się przepisy obowiązujące Komisję w odniesieniu do informowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 w trakcie wykonywania przez Komisję działań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
W niniejszej decyzji określa się również warunki, na jakich Komisja może ograniczyć stosowanie art. 4, 14-20 i 35 rozporządzenia (UE) 2018/1725 zgodnie z jego art. 25 ust. 1 lit. b), c), g) i h).
Artykuł  2

Zakres

1. 
Niniejsza decyzja ma zastosowanie do przetwarzania przez Komisję danych osobowych następujących kategorii osób, których dane dotyczą:
a)
podejrzani;
b)
ofiary;
c)
sygnaliści;
d)
informatorzy;
e)
świadkowie;
f)
personel przedsiębiorstwa;
g)
osoby fizyczne, których dane osobowe zawarte są w dokumentach lub innych mediach zgromadzonych w ramach nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych należących do następujących kategorii danych osobowych:
a)
dane dotyczące tożsamości;
b)
dane kontaktowe;
c)
dane dotyczące udziału w sprawie;
d)
dane dotyczące sprawy;
e)
wszelkie inne informacje uznane za niezbędne do spełnienia wymogów wynikających z rozporządzenia (UE) 2022/2065, w tym dane osobowe, o których mowa w art. 10 ust. 1 i art. 11 rozporządzenia (UE) 2018/1725.
Artykuł  3

Ograniczenia

1. 
Z zastrzeżeniem przepisów art. 3-8 niniejszej decyzji Komisja może ograniczyć stosowanie art. 14-20 i 35 rozporządzenia (UE) 2018/1725, a także zasady przejrzystości określonej w art. 4 ust. 1 lit. a) tego rozporządzenia w zakresie, w jakim przepis ten odpowiada prawom i obowiązkom przewidzianym w art. 14-20 rozporządzenia (UE) 2018/1725, jeżeli:
a)
wykonywanie tych praw zagrażałoby celowi działań Komisji w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, zgodnie z art. 25 ust. 1 lit. c) i
g)
rozporządzenia (UE) 2018/1725;
b)
wykonywanie tych praw i obowiązków miałoby negatywny wpływ na ochronę osoby, której dane dotyczą, lub na prawa i wolności innych osób, zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
c)
wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Komisji z państwami członkowskimi mającej na celu zapewnienie skutecznego stosowania rozporządzenia (UE) 2022/2065, zgodnie z art. 25 ust. 1 lit. b) i g) rozporządzenia (UE) 2018/1725.
2. 
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w ust. 1 lit. c), Komisja konsultuje się z odpowiednimi państwami członkowskimi w sprawie potencjalnych powodów zastosowania ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że konsultacje takie stanowiłyby zagrożenie dla działań Komisji.
3. 
Przepisy ust. 1 i 2 niniejszego artykułu pozostają bez uszczerbku dla stosowania innych decyzji Komisji ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw na podstawie art. 25 rozporządzenia (UE) 2018/1725.
4. 
Przed zastosowaniem ograniczeń, o których mowa w ust. 1, Komisja ocenia i dokumentuje w każdym przypadku z osobna ich konieczność i proporcjonalność. Ograniczenia te nie mogą wykraczać poza to, co jest bezwzględnie konieczne do osiągnięcia ich celu.
Artykuł  4

Przekazywanie informacji osobom, których dane dotyczą

1. 
Komisja publikuje na swojej stronie internetowej oświadczenie o ochronie danych, w którym informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez nią działaniach obejmujących przetwarzanie ich danych osobowych do celów zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania wykonywanych przez nią na podstawie rozporządzenia (UE) 2022/2065. Oświadczenie o ochronie danych zawiera również informacje o możliwości ograniczenia praw osób, których dane dotyczą, zgodnie z art. 3. Informacje te dotyczą praw, które mogą zostać ograniczone, powodów, dla których ograniczenia mogą być stosowane, oraz ich potencjalnego czasu trwania.
2. 
Komisja za pomocą odpowiednich środków indywidualnie informuje sygnalistów, informatorów, świadków oraz, w stosownych przypadkach, poszczególnych pracowników przedsiębiorstwa, o przetwarzaniu ich danych osobowych.
3. 
W przypadku gdy Komisja ogranicza, zgodnie z art. 3, w całości lub w części przekazywanie informacji, o którym mowa w ust. 1, zapisuje ona oraz ujmuje w rejestrze powody ograniczenia zgodnie z art. 7 niniejszej decyzji. Komisja informuje również osoby, których dane dotyczą, o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
Artykuł  5

Prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych oraz prawo do ograniczenia przetwarzania

1. 
W przypadku gdy Komisja ogranicza, w całości lub w części, prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych lub prawo do ograniczenia przetwarzania, o których to prawach mowa odpowiednio w art. 17-20 rozporządzenia (UE) 2018/1725, informuje daną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, sprostowanie, usunięcie lub ograniczenie przetwarzania o następujących elementach:
a)
zastosowanym ograniczeniu i jego głównych powodach;
b)
możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
2. 
Komisja może wstrzymać przekazanie informacji o powodach zastosowania ograniczenia i o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych, pominąć je lub go odmówić, o ile przekazanie takich informacji skutkowałoby unieważnieniem skutku ograniczenia. Komisja ocenia w każdym przypadku z osobna, czy jest to uzasadnione. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, Komisja przekazuje te informacje osobie, której dane dotyczą.
Artykuł  6

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

1. 
Jeżeli Komisja jest zobowiązana do zawiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia (UE) 2018/1725, może ona w wyjątkowych okolicznościach ograniczyć takie zawiadomienie w całości lub w części. Komisja zapisuje oraz ujmuje w rejestrze powody takiego ograniczenia, jego podstawę prawną na mocy art. 3 oraz ocenę jego konieczności i proporcjonalności. Taki zapis jest przekazywany Europejskiemu Inspektorowi Ochrony Danych w momencie zgłaszania naruszenia ochrony danych osobowych.
2. 
Jeżeli powody ograniczenia przestają mieć zastosowanie, Komisja zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
3. 
W przypadku gdy Komisja zgłasza Europejskiemu Inspektorowi Ochrony Danych naruszenie ochrony danych osobowych na podstawie art. 34 ust. 1 rozporządzenia (UE) 2018/1725, dołącza zapis dokonany na podstawie art. 7 niniejszej decyzji.
Artykuł  7

Zapisywanie i rejestrowanie ograniczeń

1. 
Komisja zapisuje powody nałożenia każdego ograniczenia zastosowanego na podstawie niniejszej decyzji, jego podstawę prawną, ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą, związanego z nałożeniem danego ograniczenia oraz ocenę jego konieczności i proporcjonalności, z uwzględnieniem odpowiednich elementów określonych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
2. 
W zapisie tym określa się, w jaki sposób wykonywanie prawa przez daną osobę, której dane dotyczą, narusza co najmniej jeden z mających zastosowanie powodów wymienionych w art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725.
3. 
Zapis ten oraz, w stosownych przypadkach, dokumenty zawierające leżące u jego podstaw elementy stanu faktycznego oraz aspekty prawne ujmuje się w rejestrze. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
4. 
Komisja przygotowuje okresowe sprawozdania ze stosowania ograniczeń zgodnie z art. 25 rozporządzenia (UE) 2018/1725 na podstawie niniejszej decyzji.
Artykuł  8

Okres obowiązywania ograniczeń

1. 
Ograniczenia, o których mowa w art. 4, 5 i 6, mają zastosowanie tak długo, jak długo mają zastosowanie uzasadniające je powody oraz zostają zniesione, gdy tylko powody te przestają mieć zastosowanie.
2. 
Jeżeli powody nałożenia ograniczenia przestają mieć zastosowanie, Komisja znosi to ograniczenie.
3. 
Komisja informuje również osobę, której dane dotyczą, o powodach zastosowania ograniczenia oraz o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
4. 
Komisja dokonuje przeglądu stosowania ograniczeń, o których mowa w art. 4, 5 i 6, co sześć miesięcy oraz w momencie zamknięcia sprawy. Przegląd obejmuje ocenę konieczności i proporcjonalności ograniczenia, z uwzględnieniem odpowiednich elementów wymienionych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
Artykuł  9

Zabezpieczenia i zatrzymywanie danych

1. 
Komisja wdraża zabezpieczenia w celu zapobiegnięcia nadużyciom i bezprawnemu dostępowi do danych osobowych lub bezprawnemu przekazywaniu danych osobowych, w odniesieniu do których są lub mogą być stosowane ograniczenia lub wyjątki. Takie zabezpieczenia obejmują między innymi następujące środki techniczne i organizacyjne:
a)
jasne określenie ról, obowiązków, etapów proceduralnych i praw dostępu;
b)
bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu lub przypadkowemu dostępowi do danych elektronicznych lub przekazywaniu danych elektronicznych osobom nieupoważnionym;
c)
bezpieczne przechowywanie i przetwarzanie dokumentów papierowych ograniczone do absolutnego minimum niezbędnego do osiągnięcia celu przetwarzania;
d)
należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. Przeglądy przeprowadza się co najmniej raz na sześć miesięcy oraz w momencie zamknięcia sprawy.
2. 
Dane osobowe są zatrzymywane zgodnie z obowiązującymi przepisami Komisji dotyczącymi zatrzymywania danych, które zostaną określone w rejestrach czynności przetwarzania prowadzonych na podstawie art. 31 rozporządzenia (UE) 2018/1725. Na koniec okresu zatrzymania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia (UE) 2018/1725.
Artykuł  10

Udział koordynatora ds. ochrony danych oraz inspektora ochrony danych Komisji

1. 
Przed zastosowaniem jakichkolwiek ograniczeń prowadzone są konsultacje z koordynatorem ds. ochrony danych w Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii, który weryfikuje ich zgodność z niniejszą decyzją.
2. 
Inspektor ochrony danych Komisji jest niezwłocznie informowany, ilekroć prawa osoby, której dane dotyczą, są ograniczane zgodnie z niniejszą decyzją. Inspektor ochrony danych Komisji otrzymuje na żądanie dostęp do zapisu oraz wszelkich dokumentów zawierających elementy stanu faktycznego i aspekty prawne leżące u podstaw ograniczenia.
3. 
Inspektor ochrony danych może zażądać przeglądu stosowania ograniczenia i jest informowany na piśmie o wyniku takiego przeglądu.
4. 
Komisja dokumentuje udział inspektora ochrony danych Komisji oraz koordynatora ds. ochrony danych, w tym to, jakie informacje są im udostępniane, w każdym przypadku, w którym ograniczane są prawa i obowiązki, o których mowa w art. 3 ust. 1.
Artykuł  11

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 31 marca 2025 r.
1 Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Dz.U. L 277 z 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj).

Zmiany w prawie

Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych
Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych

Mimo iż do 1 stycznia zostały trzy tygodnie, przedsiębiorcy wciąż nie mają pewności, które zmiany wejdą w życie w nowym roku. Brakuje m.in. rozporządzeń wykonawczych do KSeF i rozporządzenia w sprawie JPK VAT. Część ustaw nadal jest na etapie prac parlamentu lub czeka na podpis prezydenta. Wiadomo już jednak, że nie będzie dużej nowelizacji ustaw o PIT i CIT. W 2026 r. nadal będzie można korzystać na starych zasadach z ulgi mieszkaniowej i IP Box oraz sprzedać bez podatku poleasingowy samochód.

Monika Pogroszewska 10.12.2025
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany

Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.

Grażyna J. Leśniak 05.12.2025
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?

4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.

Grażyna J. Leśniak 05.12.2025
Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP
Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP

Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.

Grażyna J. Leśniak 04.12.2025
Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował
Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował

Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.

Krzysztof Koślicki 02.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.628
Rodzaj: Decyzja
Tytuł: Decyzja 2025/628 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065
Data aktu: 31/03/2025
Data ogłoszenia: 01/04/2025
Data wejścia w życie: 21/04/2025