Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2019.259.2

Przepisy wykonawcze dotyczące rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenie rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE.

DECYZJA PREZYDIUM PARLAMENTU EUROPEJSKIEGO
z dnia 17 czerwca 2019 r.
ustanawiająca przepisy wykonawcze dotyczące rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE
(2019/C 259/02)

PREZYDIUM PARLAMENTU EUROPEJSKIEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 1 , w szczególności jego art. 25 oraz art. 45 ust. 3,

uwzględniając art. 25 ust. 2 Regulaminu Parlamentu Europejskiego,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 2 maja 2019 r., wydaną w wyniku konsultacji przeprowadzonych zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725 w sprawie rozdziału V niniejszej decyzji,

a także mając na uwadze, co następuje:

(1) Rozporządzenie (UE) 2018/1725 ustanawia zasady i przepisy stosowane do przetwarzania danych osobowych przez wszystkie instytucje i organy Unii oraz przewiduje wyznaczenie przez każdą instytucję i organ Unii inspektora ochrony danych.

(2) Celem przepisów wykonawczych Parlamentu Europejskiego dotyczących rozporządzenia (UE) 2018/1725 (zwanych dalej "przepisami wykonawczymi") jest określenie zadań, obowiązków i uprawnień inspektora ochrony danych Parlamentu Europejskiego (zwanego dalej "inspektorem ochrony danych").

(3) Celem przepisów wykonawczych jest także ustanowienie procedur pozwalających osobom, których dane dotyczą, na korzystanie z przysługujących im praw, a wszystkim osobom, które w Parlamencie Europejskim zajmują się przetwarzaniem danych osobowych, na wypełnianie ich obowiązków.

(4) Przepisy wykonawcze powinny zapewniać, aby Parlament Europejski należycie wywiązywał się ze swoich obowiązków na mocy rozporządzenia (UE) 2018/1725, a jednocześnie nie powinny utrudniać mu należytego prowadzenia działań ustawodawczych, budżetowych, politycznych, analitycznych, kontrolnych i komunikacyjnych.

(5) Rozporządzenie (UE) 2018/1725, a w szczególności określone w nim wyjątki dotyczące praw osób, których dane dotyczą, powinno być zatem interpretowane w sposób, który zapewnia zdolność Parlamentu Europejskiego do pełnego wykonywania jego uprawnień, zwłaszcza funkcji ustawodawczych i budżetowych, a także funkcji związanych z kontrolą polityczną i przeprowadzaniem konsultacji, jak określono w Traktatach.

(6) W tym celu prawo do usunięcia danych na mocy art. 19 rozporządzenia (UE) 2018/1725 należy interpretować w taki sposób, by jego stosowanie nie kolidowało nadmiernie z obowiązkiem Parlamentu Europejskiego w zakresie należytego dokumentowania działalności parlamentarnej oraz zapewniania jej widoczności i możliwości jej śledzenia przez społeczeństwo, w szczególności na poziomie obrad plenarnych i obrad organów parlamentarnych, zgodnie z zasadą przejrzystości i otwartości oraz z obowiązującymi zasadami archiwizacji.

(7) Ponadto prawo do przenoszenia danych na mocy art. 22 rozporządzenia (UE) 2018/1725 ma zastosowanie jedynie w przypadku przetwarzania na podstawie zgody lub potrzeby wykonania umowy, które odbywa się w sposób zautomatyzowany. Wykonywanie tego prawa jest ograniczone wyjątkiem ustanowionym w art. 22 ust. 3 zdanie drugie tego rozporządzenia, który należy rozumieć w taki sposób, że Parlament Europejski jest zwolniony z obowiązku przekazywania danych osobowych zgodnie z art. 22 ust. 1 i 2 tego rozporządzenia, chyba że dotyczy to działalności administracyjnej Parlamentu Europejskiego.

(8) Ponadto jeżeli chodzi o stosowanie przepisów wykonawczych w odniesieniu do współadministracji sprawowanej przez dyrekcje generalne Parlamentu Europejskiego i inne organy lub instytucje bądź przez różne dyrekcje generalne Parlamentu Europejskiego, taka współadministracja powinna mieć miejsce tylko wtedy, gdy i tylko w zakresie, w jakim są one wspólnie odpowiedzialne za te same operacje przetwarzania, a nie w przypadkach gdy interweniują one kolejno w ramach zbliżonych tematycznie, ale odrębnych operacji przetwarzania.

(9) Art. 13 niniejszej decyzji należy rozumieć w ten sposób, że zapewnia on grupom politycznym i posłom do Parlamentu Europejskiego możliwość zwrócenia się, na zasadzie ścisłej dobrowolności, o poradę do inspektora ochrony danych w sprawach związanych ze stosowaniem rozporządzenia (UE) 2018/1725, ze szczególnym uwzględnieniem zależności między wymogami ochrony danych a wykonywaniem wolnego mandatu. Taka porada nie jest wiążąca.

(10) Ponadto konieczne jest przyjęcie wewnętrznych przepisów ustanawiających warunki, na jakich Parlament Europejski może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - zgodnie z jego art. 25, w celu zapewnienia, aby Parlament Europejski mógł prowadzić swoje działania i stosować swoje procedury.

(11) W tych ramach Parlament Europejski, stosując ograniczenia zgodnie z rozdziałem V niniejszej decyzji, ma obowiązek przestrzegać praw podstawowych osób, których dane dotyczą, zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej, art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej i rozporządzeniem (UE) 2018/1725.

(12) W tym celu Parlament Europejski, przed zastosowaniem jakiegokolwiek ograniczenia, musi w każdym przypadku ocenić jego konieczność i proporcjonalność, biorąc pod uwagę zagrożenia dla praw i wolności osób, których dane dotyczą.

(13) Parlament Europejski musi uzasadnić, dlaczego ograniczenia te są bezwzględnie konieczne i proporcjonalne w demokratycznym społeczeństwie oraz w jaki sposób są one zgodne z istotą podstawowych praw i wolności,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

ROZDZIAŁ  I

PRZEPISY OGÓLNE

Artykuł  1

Przedmiot

Niniejsza decyzja ustanawia ogólne przepisy wykonawcze w odniesieniu do wdrażania rozporządzenia (UE) 2018/1725 w Parlamencie Europejskim, a w szczególności:

a)
wdraża przepisy rozporządzenia (UE) 2018/1725 w sprawie zadań, obowiązków i uprawnień inspektora ochrony danych;
b)
ustanawia zasady korzystania z praw przez osoby, których dane dotyczą;
c)
ustanawia wewnętrzne przepisy, zgodnie z którymi Parlament Europejski może stosować wyjątki, odstępstwa lub ograniczenia względem praw osób, których dane dotyczą, w szczególności zgodnie z art. 25 rozporządzenia (UE) 2018/1725.
Artykuł  2

Administrator

1. 
Dział lub służba Parlamentu Europejskiego, która określa cele i sposoby przetwarzania danych osobowych, pełni funkcję administratora tych danych w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725.
2. 
W przypadku gdy operacja przetwarzania wykracza poza zakres kompetencji działu lub służby Parlamentu Europejskiego, funkcję administratora w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725 pełni właściwa dyrekcja, chyba że została uzgodniona współadministracja zgodnie z art. 28 tego rozporządzenia.
3. 
W przypadku gdy operacja przetwarzania wykracza poza zakres kompetencji dyrekcji Parlamentu Europejskiego, funkcję administratora w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725 pełni właściwa dyrekcja generalna Parlamentu Europejskiego, chyba że została uzgodniona współadministracja zgodnie z art. 28 tego rozporządzenia.
4. 
W przypadku gdy więcej niż jedna dyrekcja generalna Parlamentu Europejskiego określa cele i sposoby danej operacji przetwarzania lub w przypadku gdy jedna jednostka organizacyjna wymieniona w ust. 1-3 i co najmniej jeden podmiot inny niż instytucja lub organ Unii określają cele i sposoby danej operacji przetwarzania, właściwe podmioty są uznawane za współadministratorów w rozumieniu art. 28 ust. 1 rozporządzenia (UE) 2018/1725.
5. 
Parlament Europejski jest uznawany za administratora do celów art. 44 ust. 3 i 6 rozporządzenia (UE) 2018/1725.
6. 
Administrator jest odpowiedzialny za dopilnowanie, by operacje przetwarzania były przeprowadzane zgodnie z rozporządzeniem (UE) 2018/1725, oraz musi być w stanie wykazać zgodność z tym rozporządzeniem.

W szczególności administrator odpowiada za:

a)
wdrażanie odpowiednich środków technicznych i organizacyjnych w celu stosowania zasad uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
b)
przekazywanie podlegającym mu pracownikom odpowiednich instrukcji w celu dopilnowania, by przetwarzanie było zgodnie z prawem, rzetelne, przejrzyste i poufne, oraz zapewnienie odpowiedniego stopnia bezpieczeństwa w związku z zagrożeniami związanymi z przetwarzaniem;
c)
współpracę z inspektorem ochrony danych oraz Europejskim Inspektorem Ochrony Danych w wypełnianiu ich obowiązków, zwłaszcza przez przekazywanie im informacji, o które się zwrócili;
d)
terminowe informowanie inspektora ochrony danych oraz nawiązywanie z nim współpracy, w szczególności w ramach projektów dotyczących nowych operacji przetwarzania lub istotnej zmiany istniejących operacji.

ROZDZIAŁ  II

INSPEKTOR OCHRONY DANYCH

Artykuł  3

Mianowanie, status i niezależność

1. 
Sekretarz Generalny mianuje inspektora ochrony danych spośród pracowników Parlamentu Europejskiego zgodnie z art. 43 oraz art. 44 ust. 8 i 9 rozporządzenia (UE) 2018/1725. Inspektor ochrony danych jest mianowany zgodnie z mającą zastosowanie procedurą ustanowioną w regulaminie pracowniczym (zwanym dalej "regulaminem pracowniczym") lub w warunkach zatrudnienia innych pracowników Unii Europejskiej (zwanych dalej "warunkami zatrudnienia"), ustanowionych rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 2 , stosownie do przypadku. Inspektor ochrony danych jest mianowany na okres pięciu lat, który może zostać przedłużony.
2. 
W celu pełnienia swoich funkcji na mocy niniejszej decyzji inspektor ochrony danych jest zwolniony z wszelkich innych zadań w Parlamencie Europejskim. Sekretarz Generalny może jednak podjąć decyzję o przydzieleniu inspektorowi ochrony danych szczególnych dodatkowych zadań, pod warunkiem że nie spowodują one konfliktu interesów z funkcją inspektora ochrony danych, w szczególności w zakresie stosowania przepisów rozporządzenia (UE) 2018/1725.
3. 
Inspektor ochrony danych powstrzymuje się od wszelkich czynności niezgodnych z charakterem pełnionych obowiązków.
4. 
Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy służbowej zgodnie z art. 44 ust. 5 rozporządzenia (UE) 2018/1725, w tym po zaprzestaniu pełnienia obowiązków.
5. 
Inspektor ochrony danych może zostać odwołany tylko zgodnie z art. 44 ust. 3 i 8 rozporządzenia (UE) 2018/1725. Do celów uzyskania zgody Europejskiego Inspektora Ochrony Danych na takie odwołanie zgodnie z art. 44 ust. 8 rozporządzenia (UE) 2018/1725, przeprowadza się pisemne konsultacje z Europejskim Inspektorem Ochrony Danych. Kopię tej zgody przesyła się do inspektora ochrony danych.
6. 
Parlament Europejski zapewnia, aby inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań, jak określono w art. 44 i 45 rozporządzenia (UE) 2018/1725. W tym względzie nie może on otrzymywać w szczególności instrukcji od Sekretarza Generalnego, w tym w odniesieniu do jego współpracy z Europejskim Inspektorem Ochrony Danych wymaganej zgodnie z rozporządzeniem (UE) 2018/1725.
7. 
Inspektor ochrony danych podlega bezpośrednio Sekretarzowi Generalnemu.
Artykuł  4

Zadania, obowiązki i uprawnienia

1. 
Inspektor ochrony danych zapewnia stosowanie rozporządzenia (UE) 2018/1725 przez Sekretariat Generalny Parlamentu Europejskiego oraz monitoruje zgodność z mającymi zastosowanie ramami prawnymi w sprawie ochrony danych osobowych. Bez uszczerbku dla art. 13 niniejszej decyzji, inspektor ochrony danych nie jest, co do zasady, uprawniony do monitorowania stosowania rozporządzenia (UE) 2018/1725 przez poszczególnych posłów do Parlamentu Europejskiego lub przez grupy polityczne Parlamentu Europejskiego.
2. 
Z inspektorem ochrony danych można konsultować się lub udziela on porad zgodnie z art. 44 ust. 4 i 7 oraz art. 45 ust. 1 lit. d), e) i f) rozporządzenia (UE) 2018/1725, a także realizuje on wszelkie dalsze zadania określone w art. 45 tego rozporządzenia.
3. 
Inspektor ochrony danych zgłasza wszelkie naruszenia lub wszelkie poważne zagrożenia naruszenia przepisów ustanowionych w rozporządzeniu (UE) 2018/1725 Sekretarzowi Generalnemu.
4. 
Na żądanie inspektor ochrony danych wydaje opinię właściwemu administratorowi w sprawie faktycznych lub zaproponowanych operacji przetwarzania oraz proporcjonalności i adekwatności przetwarzania określonych danych lub środków bezpieczeństwa. Opinia może w szczególności dotyczyć każdej kwestii związanej z analizą zagrożeń dla praw i wolności osób, których dane dotyczą.
5. 
Właściwa służba Parlamentu Europejskiego konsultuje się z inspektorem ochrony danych przed zatwierdzeniem wewnętrznych przepisów określających ramy przetwarzania danych osobowych.
6. 
Inspektor ochrony danych wypełnia swoje zadania we współpracy z Europejskim Inspektorem Ochrony Danych. Stanowi on punkt kontaktowy między Parlamentem Europejskim a Europejskim Inspektorem Ochrony Danych oraz jest informowany o wszelkiej komunikacji między tymi dwiema instytucjami dotyczącej kwestii leżących w zakresie jego kompetencji.
7. 
Inspektor ochrony danych regularnie uczestniczy w posiedzeniach zwoływanych przez Europejskiego Inspektora Ochrony Danych lub inspektorów ochrony danych innych instytucji i organów w celu wspierania dobrej współpracy.
8. 
Inspektor ochrony danych stosuje się do zasad i przepisów ustanowionych w regulaminie pracowniczym lub w warunkach zatrudnienia, stosownie do przypadku.
Artykuł  5

Naruszenia ochrony danych osobowych i bezpieczeństwo danych

1. 
W przypadku wystąpienia naruszenia ochrony danych osobowych administrator niezwłocznie informuje o incydencie inspektora ochrony danych.
2. 
Inspektor ochrony danych tworzy i prowadzi rejestr centralny do celów dokumentowania tych zgłoszonych naruszeń ochrony danych osobowych zgodnie z art. 34 ust. 6 rozporządzenia (UE) 2018/1725. Administrator, który odnotowuje naruszenie, wpisuje do rejestru informacje wymagane w tym artykule.
3. 
Inspektor ochrony danych organizuje regularne posiedzenia z udziałem Dyrektora ds. Bezpieczeństwa Systemów Informacyjnych oraz zarządzającego ryzykiem w Parlamencie Europejskim, aby zapewnić zgodność z art. 33-36 rozporządzenia (UE) 2018/1725. Inspektor ochrony danych może zapraszać na nie innych uczestników, stosownie do przypadku.
4. 
Inspektor ochrony danych, na podstawie wyników posiedzeń, o których mowa w ust. 3:
a)
co roku przedstawia Sekretarzowi Generalnemu analizę zagrożeń dla ochrony danych, która jest aktualizowana w świetle zmieniających się czynników ryzyka;
b)
proponuje Sekretarzowi Generalnemu strategie ochrony danych, uwzględniające w szczególności ryzyko kradzieży danych, wycieków danych lub niedozwolonych manipulacji za pomocą środków elektronicznych;
c)
proponuje Sekretarzowi Generalnemu odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa danych osobowych odpowiedniego dla zagrożeń dla ochrony danych.
Artykuł  6

Zapisywanie czynności przetwarzania i rejestr centralny

Inspektor ochrony danych tworzy i prowadzi rejestr centralny w rozumieniu art. 31 ust. 5 rozporządzenia (UE) 2018/1725, w którym zapisywane są czynności przetwarzania. Inspektor ochrony danych zapewnia, by rejestr był dostępny publicznie, także w formie elektronicznej. Na wniosek możliwy jest również dostęp za pośrednictwem Europejskiego Inspektora Ochrony Danych.

Na wniosek rejestr czynności przetwarzania Parlamentu Europejskiego jest udostępniany Europejskiemu Inspektorowi Ochrony Danych.

Artykuł  7

Informacje i dostęp

1. 
Inspektor ochrony danych jest natychmiast informowany przez administratora o przypadkach ustanowienia nowej procedury administracyjnej lub modyfikacji istniejącej procedury administracyjnej wpływającej na operacje przetwarzania danych osobowych.
2. 
Inspektor ochrony danych ma w każdym momencie dostęp do przetwarzanych danych osobowych, systemów przetwarzania danych i nośników danych.
Artykuł  8

Audyt wewnętrzny

Na wniosek audytora wewnętrznego działającego w ramach swoich kompetencji inspektor ochrony danych współpracuje z audytorem wewnętrznym, w szczególności w celu ułatwienia prowadzenia audytów wewnętrznych obejmujących przetwarzanie danych osobowych w Sekretariacie Generalnym Parlamentu Europejskiego.

Artykuł  9

Podejście uwzględniające zagrożenia

1. 
W przypadku nowych lub zmodyfikowanych procedur administracyjnych lub środków technicznych lub organizacyjnych związanych z przetwarzaniem danych osobowych inspektor ochrony danych, na wniosek lub z własnej inicjatywy, przekazuje informacje i pomaga administratorowi w ocenie zagrożeń dla praw i wolności osób, których dane dotyczą.
2. 
Po przeprowadzeniu wspomnianej oceny zagrożeń inspektor ochrony danych doradza administratorowi, czy konieczne jest dokonanie oceny skutków dla ochrony danych.
Artykuł  10

Środki techniczne i organizacyjne

1. 
Inspektor ochrony danych doradza administratorowi w sprawie oceny rozwiązań technicznych i organizacyjnych służących wdrażaniu operacji przetwarzania.
2. 
Inspektor ochrony danych może zalecić Sekretarzowi Generalnemu środki techniczne lub organizacyjne służące wdrożeniu art. 27 rozporządzenia (UE) 2018/1725, jeśli na podstawie oceny stwierdzi, że operacja przetwarzania nie gwarantuje pełnej zgodności z tym artykułem.
Artykuł  11

Współadministratorzy i podmioty przetwarzające

1. 
Inspektor ochrony danych przekazuje na wniosek administratorowi opinię na temat określenia odpowiednich zakresów odpowiedzialności w kontekście uzgodnień między współadministratorami zgodnie z art. 28 ust. 1 rozporządzenia (UE) 2018/1725.
2. 
Na żądanie inspektor ochrony danych może przekazać administratorowi opinię na temat odpowiednich środków technicznych i organizacyjnych, które powinien zagwarantować podmiot przetwarzający lub podwykonawca przetwarzania zgodnie z art. 29 ust. 1 i 2 rozporządzenia (UE) 2018/1725.
Artykuł  12

Sprawozdanie roczne

Inspektor ochrony danych przygotowuje roczne sprawozdanie z działalności dla Sekretarza Generalnego oraz Europejskiego Inspektora Ochrony Danych dotyczące działalności w zakresie ochrony danych osobowych w Sekretariacie Generalnym Parlamentu Europejskiego. Udostępnia on to sprawozdanie pracownikom Parlamentu Europejskiego.

Artykuł  13

Posłowie do Parlamentu Europejskiego i grupy polityczne Parlamentu Europejskiego

1. 
Na zasadzie odstępstwa od art. 4 ust. 1 niniejszej decyzji posłowie do Parlamentu Europejskiego i grupy polityczne Parlamentu Europejskiego mogą zwrócić się o poradę do inspektora ochrony danych w kwestiach związanych ze stosowaniem rozporządzenia (UE) 2018/1725. Bez uszczerbku dla własnej odpowiedzialności posłów do Parlamentu Europejskiego i grup politycznych Parlamentu Europejskiego za stosowanie rozporządzenia (UE) 2018/1725 w roli administratora w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725, inspektor ochrony danych może, na wniosek posła do Parlamentu Europejskiego lub grupy politycznej Parlamentu Europejskiego, zaoferować ze swojej strony poradę, stosując odpowiednio odnośne przepisy niniejszej decyzji.
2. 
Inspektor ochrony danych uzgadnia w każdym przypadku szczegółowe warunki pomocy, o której mowa w ust. 1, zgodnie z niniejszą decyzją. Pełnienie tej funkcji doradczej nie może kolidować z innymi zadaniami inspektora ochrony danych.

ROZDZIAŁ  III

PRACOWNICY I SIECI WSPARCIA

Artykuł  14

Pracownicy i zasoby w obszarze ochrony danych

1. 
Sekretarz Generalny może powołać pracowników do Służby Ochrony Danych w celu wsparcia inspektora ochrony danych w pełnieniu jego funkcji.
2. 
Pracownicy powołani zgodnie z ust. 1 mogą reprezentować inspektora ochrony danych w przypadku jego nieobecności. W tym celu inspektor ochrony danych może wydawać wewnętrzne delegacje uprawnień w odniesieniu do konkretnych pracowników. Europejskiego Inspektora Ochrony Danych i Sekretarza Generalnego powiadamia się poprzez przesłanie kopii takiej delegacji uprawnień.
Artykuł  15

Sieć koordynatorów ds. ochrony danych

1. 
W Parlamencie Europejskim ustanawia się sieć koordynatorów ds. ochrony danych, w skład której wchodzi co najmniej jeden członek z każdej dyrekcji generalnej, jedna osoba reprezentująca koordynatorów grup politycznych oraz inspektor ochrony danych.
2. 
Sekretarz Generalny może określić szczegółowe warunki dotyczące mianowania, obowiązków i zadań koordynatorów ds. ochrony danych.
3. 
Inspektor ochrony danych regularnie organizuje posiedzenia z udziałem koordynatorów ds. ochrony danych.

ROZDZIAŁ  IV

WYKONYWANIE PRAW PRZEZ OSOBY, KTÓRYCH DANE DOTYCZĄ

Artykuł  16

Ogólne przepisy wykonawcze do art. 14-24 rozporządzenia (UE) 2018/1725

1. 
Prawo do informacji, prawo dostępu, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo odbiorców do powiadomienia, prawo do przenoszenia danych, prawo do sprzeciwu oraz prawa związane z zautomatyzowanym podejmowaniem decyzji, w tym profilowaniem, ustanowione w art. 14-24 rozporządzenia (UE) 2018/1725, mogą być wykonywane tylko przez osobę, której dane dotyczą, lub jej należycie upoważnionego przedstawiciela.
2. 
Osoba, której dane dotyczą, kieruje wnioski o wykonanie jednego z praw, o których mowa w ust. 1, do administratora. Nieobowiązkowy wzór do tego celu udostępnia się w formie elektronicznej na stronie internetowej Parlamentu Europejskiego. Wniosek musi zawierać:
a)
nazwisko, imię i dane kontaktowe osoby, której dane dotyczą;
b)
określenie rodzaju wykonywanego prawa;
c)
ewentualne dokumenty na uzasadnienie wniosku;
d)
określenie kategorii odnośnych danych osobowych;
e)
podpis osoby, której dane dotyczą, i datę złożenia wniosku.
3. 
Wniosek można złożyć pocztą wewnętrzną lub zewnętrzną, pocztą elektroniczną lub w dowolnej innej formie pisemnej.
4. 
Administrator zwraca się o konieczne wyjaśnienia w przypadku niejasnych lub niekompletnych wniosków. Do czasu ostatecznego wyjaśnienia tych kwestii nie rozpoczyna się bieg mającego zastosowanie terminu, o którym mowa w art. 14 ust. 3 i 4 rozporządzenia (UE) 2018/1725.
5. 
Administrator weryfikuje tożsamość osoby, której dane dotyczą, zgodnie z art. 14 ust. 6 rozporządzenia (UE) 2018/1725. Tożsamość osoby, której dane dotyczą, weryfikuje się w jak najmniej uciążliwy sposób. W okresie weryfikacji tożsamości nie rozpoczyna się bieg mającego zastosowanie terminu, o którym mowa w art. 14 ust. 3 i 4 rozporządzenia (UE) 2018/1725.
6. 
Administrator odpowiada na wszelkie wnioski złożone przez osoby, których dane dotyczą, dotyczące wykonywania ich praw, nawet w przypadkach gdy Parlament Europejski nie posiada żadnych odnośnych danych osobowych. Potwierdzenie odbioru jest przesyłane osobie, której dane dotyczą, w terminie pięciu dni roboczych, licząc od chwili otrzymania wniosku. Administrator nie jest jednakże zobowiązany do przesłania potwierdzenia odbioru w przypadku przekazania merytorycznej odpowiedzi na wniosek w tym samym terminie pięciu dni roboczych.
7. 
Odpowiedź przesyła się osobie, której dane dotyczą, w terminie określonym w art. 14 ust. 3 i 4 rozporządzenia (UE) 2018/1725 z wykorzystaniem tego samego pisemnego sposobu komunikacji, z którego skorzystała osoba, której dane dotyczą, i w tym samym języku urzędowym Unii, o ile osoba ta nie zaznaczy inaczej.
8. 
Podczas rozpatrywania wniosku na mocy art. 14 rozporządzenia (UE) 2018/1725 administrator bierze pod uwagę każdą potrzebę zastosowania wyjątku, odstępstwa lub ograniczenia zgodnie z rozdziałem V niniejszej decyzji.
9. 
W przypadku bardzo skomplikowanego wniosku lub jeśli należyte rozpatrzenie wniosku może skutkować zagrożeniem dla praw i wolności innych osób, których dane dotyczą, administrator konsultuje się z inspektorem ochrony danych.
Artykuł  17

Prawo do informacji

(art. 15 i 16 rozporządzenia (UE) 2018/1725)

1. 
Zgodnie z art. 14 rozporządzenia (UE) 2018/1725 administrator przekazuje informacje, o których mowa w art. 15 i 16 tego rozporządzenia, w tym w przypadku zamierzonego dalszego przetwarzania, w formie uogólnionej w internecie lub intranecie.
2. 
W razie możliwości i bez uszczerbku dla alternatywnych środków komunikacji, o których mowa w art. 14 ust. 1 i 7 rozporządzenia (UE) 2018/1725, informacje, o których mowa w art. 15 i 16 tego rozporządzenia, są przekazywane zainteresowanym osobom, których dane dotyczą, w sposób dostosowany do indywidualnych potrzeb, na piśmie lub drogą elektroniczną.
Artykuł  18

Prawo dostępu

(art. 17 rozporządzenia (UE) 2018/1725)

1. 
Bez uszczerbku dla ust. 2, w przypadku gdy osoba, której dane dotyczą, składa wniosek o dostęp do swoich danych osobowych, administrator pozyskuje odnośne dane z miejsca ich przechowywania, łącznie z dokumentami w formie elektronicznej lub papierowej, oraz udostępnia je osobie, której dane dotyczą, za pomocą:
a)
zestawienia sporządzonego przez administratora;
b)
kopii fizycznej lub elektronicznej;
c)
innych środków dostępnych administratorowi i dostosowanych do konfiguracji pliku.
2. 
Zgodnie z art. 17 ust. 3 rozporządzenia (UE) 2018/1725, jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, administrator udziela informacji w powszechnie stosowanej formie elektronicznej.
Artykuł  19

Prawo do sprostowania danych

(art. 18 rozporządzenia (UE) 2018/1725)

1. 
We wnioskach o sprostowanie danych określa się dane osobowe do sprostowania lub uzupełnienia, wykazuje się nieprawidłowości lub niekompletność danych oraz wskazuje się zmianę, jaka ma zostać wprowadzona. Wnioskowi mogą towarzyszyć w razie potrzeby dokumenty zaświadczające.
2. 
Osoba, której dane dotyczą, jest powiadamiana o dokonanym sprostowaniu. W przypadku odrzucenia wniosku administrator informuje na piśmie osobę, której dane dotyczą, o powodach odrzucenia.
Artykuł  20

Prawo do usunięcia danych

(art. 19 rozporządzenia (UE) 2018/1725)

1. 
We wnioskach o usunięcie danych określa się dane osobowe do usunięcia oraz wskazuje się powody usunięcia w rozumieniu art. 19 ust. 1 rozporządzenia (UE) 2018/1725.
2. 
Osoba, której dane dotyczą, jest powiadamiana o dokonanym usunięciu. W przypadku odrzucenia wniosku administrator informuje na piśmie osobę, której dane dotyczą, o powodach odrzucenia.
3. 
Usunięcie danych oznacza fizyczne wykasowanie danych osobowych bez konieczności ich zastąpienia jakimkolwiek kodem.
Artykuł  21

Prawo do ograniczenia przetwarzania

(art. 20 rozporządzenia (UE) 2018/1725)

1. 
We wnioskach o ograniczenie przetwarzania określa się odnośne dane osobowe oraz powody ograniczenia, jak określono w art. 20 ust. 1 rozporządzenia (UE) 2018/1725.
2. 
Osoba, której dane dotyczą, jest powiadamiana o dokonanym ograniczeniu przetwarzania. W przypadku odrzucenia wniosku administrator informuje na piśmie osobę, której dane dotyczą, o powodach odrzucenia.
Artykuł  22

Powiadamianie odbiorców

(art. 21 rozporządzenia (UE) 2018/1725)

1. 
Po ukończeniu jednej z procedur określonych w art. 19-21 niniejszej decyzji administrator wszczyna niezwłocznie procedurę na mocy art. 21 rozporządzenia (UE) 2018/1725.
2. 
W przypadku gdy powiadomienie odbiorców okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, administrator informuje na piśmie osobę, której dane dotyczą, o stosownej przyczynie.
Artykuł  23

Prawo do przenoszenia danych

(art. 22 rozporządzenia (UE) 2018/1725)

1. 
We wnioskach na mocy art. 22 rozporządzenia (UE) 2018/1725 określa się odnośne dane osobowe.
2. 
W przypadku odrzucenia wniosku administrator informuje osobę, której dane dotyczą, o powodach odrzucenia.
Artykuł  24

Prawo do sprzeciwu

(art. 23 rozporządzenia (UE) 2018/1725)

1. 
W sprzeciwie określa się odnośne dane osobowe oraz powody związane z sytuacją osobistą, które uzasadniają sprzeciw.
2. 
W przypadku odrzucenia sprzeciwu administrator informuje osobę, której dane dotyczą, o powodach odrzucenia.

ROZDZIAŁ  V

WYJĄTKI, ODSTĘPSTWA I OGRANICZENIA

SEKCJA  1

Wyjątki i odstępstwa

Artykuł  25

Wyjątki

1. 
Przed zastosowaniem ograniczenia zgodnie z sekcją 2 niniejszego rozdziału administrator rozpatruje, czy zastosowanie mają wyjątki ustanowione w rozporządzeniu (UE) 2018/1725, w szczególności zgodnie z art. 15 ust. 4, art. 16 ust. 5, art. 19 ust. 3 i art. 35 ust. 3 tego rozporządzenia.
2. 
W przypadku przetwarzania do celów archiwalnych w interesie publicznym, a także do celów badań naukowych lub historycznych, lub do celów statystycznych, administrator rozpatruje, czy zastosowanie mają wyjątki zgodnie z art. 16 ust. 5 lit. b) i art. 19 ust. 3 lit. d) rozporządzenia (UE) 2018/1725.
Artykuł  26

Odstępstwa

1. 
W przypadku przetwarzania do celów archiwalnych w interesie publicznym administrator może zastosować odstępstwa zgodnie z art. 25 ust. 4 rozporządzenia (UE) 2018/1725. W tym celu administrator może zastosować odstępstwa od praw, o których mowa w art. 17, 18, 20, 21, 22 i 23 rozporządzenia (UE) 2018/1725, zgodnie z warunkami określonymi w art. 25 ust. 4 tego rozporządzenia.
2. 
W przypadku przetwarzania do celów badań naukowych lub historycznych, lub do celów statystycznych, administrator może zastosować odstępstwa zgodnie z art. 25 ust. 3 rozporządzenia (UE) 2018/1725. W tym celu administrator może zastosować odstępstwa od praw, o których mowa w art. 17, 18, 20 i 23 rozporządzenia (UE) 2018/1725, zgodnie z warunkami określonymi w art. 25 ust. 3 tego rozporządzenia.
3. 
Takie odstępstwa podlegają odpowiednim zabezpieczeniom zgodnie z art. 13 rozporządzenia (UE) 2018/1725 oraz art. 28 ust. 1 i 2 niniejszej decyzji. Wdraża się środki techniczne i organizacyjne zgodnie z art. 2 ust. 6 lit. a) i art. 10 niniejszej decyzji, w szczególności w celu zapewnienia poszanowania zasady minimalizacji danych oraz, w stosownych przypadkach, pseudonimizacji.

SEKCJA  2

Ograniczenia

Artykuł  27

Przedmiot i zakres stosowania

1. 
Niniejsza sekcja ustanawia ogólne warunki, na jakich administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - zgodnie z jego art. 25.

Ogólne warunki, o których mowa w akapicie pierwszym, są uzupełnione przepisami załączników do niniejszej decyzji, w których określa się warunki, na jakich Parlament Europejski może ograniczyć prawa osób, których dane dotyczą, w przypadku wszelkich swoich działań i procedur, w ramach których są przetwarzane dane osobowe i konieczne mogłyby się okazać ograniczenia.

2. 
Niniejsza sekcja ma zastosowanie do przetwarzania danych osobowych do celu działań i procedur prowadzonych i stosowanych przez Parlament Europejski, określonych w załącznikach do niniejszej decyzji.
3. 
Do celów każdej operacji przetwarzania i ograniczenia określa się właściwego administratora zgodnie z art. 2 niniejszej decyzji.
Artykuł  28

Zabezpieczenia

1. 
Dane osobowe, których dotyczy ograniczenie, przechowywane są w bezpiecznym środowisku fizycznym lub elektronicznym, które uniemożliwia bezprawny dostęp lub przekazanie danych osobom, które nie mają potrzeby ich posiadania.
2. 
Po zakończeniu przetwarzania dokumenty zawierające dane osobowe przechowuje się zgodnie z mającymi zastosowanie przepisami Parlamentu Europejskiego 3 .
3. 
Przed zastosowaniem jakiegokolwiek ograniczenia przeprowadza się, zgodnie z art. 35 niniejszej decyzji, ocenę konieczności i proporcjonalności ograniczenia, a także zagrożeń dla osób, których dane dotyczą.
Artykuł  29

Obowiązujące ograniczenia

1. 
Z zastrzeżeniem art. 30-36 oraz specyfikacji zawartych w mających zastosowanie załącznikach do niniejszej decyzji administrator może zastosować ograniczenia w odniesieniu do praw osoby, której dane dotyczą, wyraźnie wskazanych w mających zastosowanie załącznikach, w przypadku gdy wykonywanie tych praw zagrażałoby celowi jednego z działań lub jednej z procedur określonych w tych załącznikach.
2. 
Administrator zapisuje i rejestruje przyczyny ograniczenia zgodnie z art. 35 niniejszej decyzji.
Artykuł  30

Przekazywanie informacji osobom, których dane dotyczą

1. 
Parlament Europejski publikuje na swojej stronie internetowej komunikaty na temat ochrony danych informujące wszystkie osoby, których dane dotyczą, o jego działaniach obejmujących przetwarzanie ich danych osobowych oraz o ewentualnym ograniczeniu ich praw w tym kontekście. W informacjach tych określa się, jakie prawa mogą być ograniczone, przyczyny takich ograniczeń, potencjalny czas ich trwania oraz dostępne środki prawne.
2. 
W miarę możliwości administrator, bez zbędnej zwłoki i w najbardziej odpowiedniej formie, informuje bezpośrednio każdą osobę, której dane dotyczą, o jej prawach w odniesieniu do takich ograniczeń, które określa się indywidualnie. W informacjach tych określa się, jakie prawa mogą być ograniczone, przyczyny takich ograniczeń, potencjalny czas ich trwania oraz dostępne środki prawne.
Artykuł  31

Prawo do informacji

1. 
W przypadku gdy administrator danych ogranicza prawo do informacji, o którym mowa w art. 15 i 16 rozporządzenia (UE) 2018/1725, osoby, których dane dotyczą, zostają poinformowane, zgodnie z art. 25 ust. 6 tego rozporządzenia, o głównych przyczynach zastosowania ograniczenia oraz o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
2. 
Takie dostarczenie informacji może jednak zostać wstrzymane, pominięte lub można go odmówić, zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725, tak długo, jak długo unieważniałoby ono skutek ograniczenia.
3. 
W przypadku gdy administrator w całości lub w części wstrzymuje lub pomija przekazanie informacji osobom, których dane dotyczą, w rozumieniu ust. 2 niniejszego artykułu, lub też, w całości lub w części, odmawia takiego przekazania informacji, zapisuje on i rejestruje przyczyny takiego działania zgodnie z art. 35 niniejszej decyzji.
Artykuł  32

Prawo dostępu osób, których dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania oraz obowiązek powiadomienia

1. 
W przypadku gdy administrator całkowicie lub częściowo ogranicza prawo dostępu osób, których dane dotyczą, do danych osobowych, prawo do sprostowania danych, prawo do usunięcia danych lub prawo do ograniczenia przetwarzania, o których mowa odpowiednio w art. 17, 18, 19 i 20 rozporządzenia (UE) 2018/1725, a także obowiązek powiadomienia zgodnie z art. 21 tego rozporządzenia, informuje zainteresowaną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, sprostowanie danych, usunięcie danych lub ograniczenie przetwarzania, o ograniczeniu, które zostało zastosowane, oraz o głównych przyczynach tego ograniczenia i możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej (zwanego dalej "Trybunałem Sprawiedliwości").
2. 
Przekazanie informacji dotyczących przyczyn ograniczenia, o których mowa w ust. 1, może zostać wstrzymane, pominięte lub można go odmówić tak długo, jak długo unieważniałoby ono skutek ograniczenia.
3. 
Administrator zapisuje przyczyny wstrzymania, pominięcia lub odmowy zgodnie z art. 35 niniejszej decyzji.
4. 
W przypadku gdy prawo dostępu jest całkowicie lub częściowo ograniczone, a osoba, której dane dotyczą, skorzystała z prawa do wniesienia skargi do Europejskiego Inspektora Ochrony Danych, jest ona informowana przez Europejskiego Inspektora Ochrony Danych jedynie o tym, czy dane zostały przetworzone prawidłowo, a jeżeli nie, czy dokonano koniecznych poprawek zgodnie z art. 25 ust. 7 rozporządzenia (UE) 2018/1725.
Artykuł  33

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

W przypadku gdy administrator ogranicza stosowanie art. 35 rozporządzenia (UE) 2018/1725, zapisuje on i rejestruje przyczyny ograniczenia zgodnie z art. 35 niniejszej decyzji.

Artykuł  34

Poufność łączności elektronicznej

W przypadku gdy administrator ogranicza spoczywający na Parlamencie Europejskim obowiązek zapewnienia poufności łączności elektronicznej, o którym mowa w art. 36 rozporządzenia (UE) 2018/1725, administrator zapisuje i rejestruje przyczyny ograniczenia zgodnie z art. 35 niniejszej decyzji.

Artykuł  35

Ocena konieczności i proporcjonalności ograniczeń oraz ich zapisywanie i rejestrowanie

1. 
Przed zastosowaniem danego ograniczenia administrator ocenia, czy jest ono konieczne i proporcjonalne, z uwzględnieniem odpowiednich elementów art. 25 ust. 2 rozporządzenia (UE) 2018/1725. Ocena taka obejmuje również ocenę zagrożeń dla praw i wolności zainteresowanych osób, których dane dotyczą, w szczególności ryzyka, że ich dane osobowe mogą być dalej przetwarzane bez ich wiedzy, oraz ryzyka, że osoby te nie będą mogły wykonywać swoich praw zgodnie z rozporządzeniem (UE) 2018/1725. Ocena ta jest dokumentowana za pomocą wewnętrznej notatki oceniającej i przeprowadzana w każdym indywidualnym przypadku.
2. 
Administrator zapisuje przyczyny każdego ograniczenia zastosowanego zgodnie z niniejszą decyzją, w tym ocenę dokonaną na podstawie ust. 1.

W tym celu wpis zawiera informacje o tym, w jaki sposób wykonywanie praw osób, których dane dotyczą, zagrażałoby celowi jednego z działań lub jednej z procedur wykonywanych lub stosowanych przez Parlament Europejski, określonych w załącznikach do niniejszej decyzji.

3. 
Jeżeli, zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725, administrator wstrzymuje lub pomija przekazanie informacji osobie, której dane dotyczą, na temat zastosowania ograniczenia lub odmawia takiego przekazania informacji, zapisuje on również, w stosownym przypadku, uzasadnienie takiego wstrzymania, pominięcia lub odmowy.
4. 
W rejestrze centralnym przechowuje się wpis oraz, w stosownych przypadkach, dokumenty zawierające elementy stanu faktycznego i aspekty prawne stanowiące podstawę wpisu. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
Artykuł  36

Okres obowiązywania ograniczeń

1. 
Ograniczenia, o których mowa w art. 29 i 31-34 niniejszej decyzji, w powiązaniu z mającymi zastosowanie załącznikami do niniejszej decyzji, mają zastosowanie tak długo, jak długo mają zastosowanie przyczyny je uzasadniające.
2. 
Jeżeli przyczyny ograniczenia, o którym mowa w art. 29 i 31-34 niniejszej decyzji, w powiązaniu z mającymi zastosowanie załącznikami do niniejszej decyzji, nie mają już zastosowania, administrator znosi ograniczenie. Jednocześnie administrator przedstawia osobie, której dane dotyczą, główne przyczyny ograniczenia oraz informuje ją o możliwości wniesienia, w dowolnym momencie, skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości.
3.  4
 Administrator przeprowadza przegląd zastosowania ograniczeń, o których mowa w art. 29 i 31-34 niniejszej decyzji, w powiązaniu z mającymi zastosowanie załącznikami do niniejszej decyzji, co sześć miesięcy od ich przyjęcia i przy zamknięciu danej procedury. Następnie, do celów działań i procedur określonych w załącznikach I, II, III, V, VI, VII, VIII, IX i X do niniejszej decyzji, administrator co roku monitoruje potrzebę utrzymania wszelkich ograniczeń.
Artykuł  37

Przegląd dokonywany przez inspektora ochrony danych

1. 
Inspektor ochrony danych jest informowany bez zbędnej zwłoki o każdym przypadku, gdy prawa osób, których dane dotyczą, są ograniczone zgodnie z niniejszą sekcją.

Inspektor ochrony danych otrzymuje, na żądanie, dostęp do wpisu oraz wszelkich dokumentów zawierających elementy stanu faktycznego i aspekty prawne stanowiące podstawę wpisu.

2. 
Inspektor ochrony danych może zwrócić się do administratora o przegląd ograniczeń. Inspektora ochrony danych informuje się na piśmie o wynikach wnioskowanego przeglądu.
3. 
Wszelka wymiana informacji z inspektorem ochrony danych w trakcie całej procedury zgodnie z ust. 1 i 2 jest rejestrowana w odpowiedniej formie.
Artykuł  38

Załączniki

Załączniki do niniejszej decyzji stanowią jej integralną część.

ROZDZIAŁ  VI

PRZEPISY KOŃCOWE

Artykuł  39

Środki odwoławcze

1. 
Zgodnie z art. 68 rozporządzenia (UE) 2018/1725 każdy pracownik Parlamentu Europejskiego może złożyć skargę do Europejskiego Inspektora Ochrony Danych. Złożenie takiej skargi nie zawiesza biegu terminów składania zażaleń zgodnie z art. 90 regulaminu pracowniczego.
2. 
Niezależnie od prawa, o którym mowa w ust. 1, każdy pracownik Parlamentu Europejskiego może, zgodnie z art. 90 regulaminu pracowniczego, złożyć do organu powołującego zażalenie odnoszące się do kwestii związanej z przetwarzaniem danych osobowych. W zażaleniu pracownik określa, czy wraz z zażaleniem złożonym zgodnie z regulaminem pracowniczym złożono równocześnie skargę do Europejskiego Inspektora Ochrony Danych.

W przypadku zażalenia, o którym mowa w art. 90 ust. 2 regulaminu pracowniczego, odpowiednie służby Parlamentu Europejskiego zasięgają opinii inspektora ochrony danych.

Artykuł  40

Uchylone akty prawne

1. 
Z skutkiem od dnia wejścia w życie niniejszej decyzji uchyla się ustanowione decyzją Prezydium z 22 czerwca 2005 r. 5  Przepisy wykonawcze do Rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych.
2. 
Ze skutkiem od dnia wejścia w życie niniejszej decyzji uchyla się decyzję Prezydium Parlamentu Europejskiego z 3 kwietnia 2019 r. w sprawie przepisów wykonawczych w zakresie ograniczenia niektórych praw osób, których dane dotyczą, w odniesieniu do danych osobowych przekazywanych przez Parlament Europejski organom krajowym w ramach postępowań przygotowawczych lub dochodzeń finansowych 6 .
Artykuł  41

Wejście w życie

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

ZAŁĄCZNIKI

ZAŁĄCZNIK  I

Wewnętrzne zapobieganie i prowadzenie postępowań w przypadku incydentów bezpieczeństwa, postępowania w sprawie bezpieczeństwa i postępowania pomocnicze

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych przez administratora do celów procedur określonych w ust. 2.
2.
W niniejszym załączniku określono szczegółowe warunki, na jakich administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia -w celu zapewnienia bezpieczeństwa wewnętrznego Parlamentu Europejskiego, w tym jego sieci łączności elektronicznej, zgodnie z art. 25 ust. 1 lit. d) tego rozporządzenia, podczas dokonywania wewnętrznej oceny zagrożeń, kontroli dostępu, w tym podstawowego sprawdzenia osób, podejmowania środków prewencji i środków związanych z postępowaniem w przypadku incydentów bezpieczeństwa, w tym incydentów związanych z technologiami informacyjno-komunikacyjnymi 7 , jak również prowadzenia postępowań w sprawie bezpieczeństwa i postępowań pomocniczych z własnej inicjatywy lub na wniosek stron trzecich 8 .
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane finansowe;
e)
dane o ruchu, w tym czas zalogowania i wylogowania, dostęp do wewnętrznych aplikacji i zasobów opartych na sieci oraz wykorzystanie internetu;
f)
dane z nadzoru wideo;
g)
nagrania audio;
h)
dane dotyczące obecności osób;
i)
dane dotyczące zewnętrznej działalności osób;
j)
dane dotyczące podejrzeń o popełnienie przestępstwa, przestępstw, wyroków w sprawach karnych lub środków bezpieczeństwa;
k)
wszelkie inne dane dotyczące przedmiotu odpowiednich ocen zagrożeń, kontroli dostępu, w tym podstawowego sprawdzenia osób, postępowań w przypadku incydentów bezpieczeństwa, postępowań w sprawie bezpieczeństwa i postępowań pomocniczych prowadzonych przez Parlament Europejski z własnej inicjatywy lub na wniosek stron trzecich.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby wewnętrznym ocenom zagrożeń Parlamentu Europejskiego, jego kontrolom dostępu, w tym podstawowemu sprawdzeniu osób, środkom prewencji i środkom związanym z postępowaniem w przypadku incydentów bezpieczeństwa, postępowaniom w sprawie bezpieczeństwa i postępowaniom pomocniczym, w tym dotyczącym jego sieci łączności elektronicznej, między innymi przez ujawnienie jego narzędzi i metod stosowanych w ramach postępowań.

ZAŁĄCZNIK  II

Postępowania dyscyplinarne, dochodzenia administracyjne i dochodzenia dotyczące spraw pracowniczych

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych przez administratora do celów procedur określonych w ust. 2.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich, przy prowadzeniu postępowań dyscyplinarnych, dochodzeń administracyjnych oraz dochodzeń dotyczących spraw pracowniczych na podstawie art. 86 i załącznika IX do regulaminu pracowniczego, oraz dochodzeń w związku z wnioskami o pomoc złożonymi na podstawie art. 24 regulaminu pracowniczego i w odniesieniu do domniemanych przypadków molestowania lub nękania, administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
ochrony innych ważnych celów leżących w ogólnym interesie publicznym Unii, takich jak zdolność Parlamentu Europejskiego do wypełniania jego obowiązków wynikających z regulaminu pracowniczego i prowadzenia wewnętrznej polityki kadrowej zgodnie z art. 25 ust. 1 lit. c) tego rozporządzenia;
b)
zapobiegania naruszeniom zasad etyki w przypadku zawodów regulowanych, prowadzenia postępowań w sprawie tych naruszeń, ich wykrywania i ścigania, zgodnie z art. 25 ust. 1 lit. f) tego rozporządzenia;
c)
zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w art. 25 ust. 1 lit. c) tego rozporządzenia, zgodnie z jego art. 25 ust. 1 lit. g); oraz
d)
ochrony praw i wolności innych osób, których dane dotyczą, zgodnie z art. 25 ust. 1 lit. h) tego rozporządzenia.
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane dotyczące obecności osób;
e)
dane dotyczące zewnętrznej działalności osób;
f)
dane ujawniające pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe lub dane dotyczące zdrowia;
g)
wszelkie inne dane dotyczące przedmiotu danych postępowań dyscyplinarnych, dochodzeń administracyjnych oraz dochodzeń dotyczących spraw pracowniczych prowadzonych przez Parlament Europejski.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby celowi i skuteczności postępowań dyscyplinarnych, dochodzeń administracyjnych oraz dochodzeń dotyczących spraw pracowniczych, w tym dochodzeń w sprawach domniemanego molestowania lub nękania, lub wpłynęłoby negatywnie na prawa i wolności innych osób, których dane dotyczą.

ZAŁĄCZNIK  III  9

Współpraca z Prokuraturą Europejską ("EPPO")

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych, a zwłaszcza ich przekazywania, przez administratora w celu dostarczania EPPO informacji i dokumentów, zgłaszania jej różnych przypadków lub przetwarzania informacji i dokumentów otrzymanych od EPPO.
2.
W niniejszym załączniku określono szczegółowe warunki, na jakich podczas dostarczania EPPO informacji i dokumentów na jej wniosek lub z własnej inicjatywy, podczas zgłaszania EPPO różnych przypadków lub podczas przetwarzania otrzymanych od EPPO informacji i dokumentów administrator może ograniczyć zastosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, zgodnie z art. 25 ust. 1 lit. b) tego rozporządzenia; oraz
b)
ochrony praw i wolności innych osób, zgodnie z art. 25 ust. 1 lit. h) tego rozporządzenia.
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym dane dotyczące umów akredytowanych asystentów parlamentarnych, asystentów krajowych i usługodawców oraz dane dotyczące podróży służbowych;
d)
dane finansowe;
e)
dane o ruchu;
f)
dane dotyczące obecności osób;
g)
dane dotyczące zewnętrznej działalności osób;
h)
dane dotyczące przynależności politycznej;
i)
wszelkie inne dane dotyczące przedmiotu danego dochodzenia prowadzonego przez EPPO.
2)
Obowiązujące ograniczenia
1.
Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - jeżeli wykonywanie tych praw zagrażałoby celowi czynności dochodzeniowych EPPO, np. przez ujawnienie jej narzędzi i metod stosowanych w dochodzeniach, lub miałoby negatywny wpływ na prawa i wolności innych osób, których dane dotyczą.
2.
Z zastrzeżeniem art. 30-36 niniejszej decyzji Parlament Europejski może ograniczyć prawa i obowiązki, o których mowa w ust. 1, w odniesieniu do danych osobowych uzyskanych od EPPO, jeżeli mogłaby ona ograniczyć wykonywanie tych praw i obowiązków na podstawie aktów przyjętych zgodnie z art. 25 rozporządzenia (UE) 2018/1725 - w odniesieniu do administracyjnych danych osobowych - lub zgodnie z przepisami rozdziału VIII rozporządzenia (UE) 2017/1939 i art. 9 decyzji kolegium EPPO z dnia 28 października 2020 r. ustanawiającej przepisy dotyczące przetwarzania danych osobowych przez Prokuraturę Europejską - w odniesieniu do operacyjnych danych osobowych.

ZAŁĄCZNIK  IV

Dokumentacja medyczna

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do medycznych danych osobowych pracowników i posłów do Parlamentu Europejskiego.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich administrator może ograniczyć stosowanie art. 17 rozporządzenia (UE) 2018/1725 w celu zapewnienia ochrony osoby, której dane dotyczą, podczas przetwarzania danych medycznych pracowników zgodnie z regulaminem pracowniczym oraz posłów do Parlamentu Europejskiego zgodnie z przepisami wykonawczymi do Statutu posła do Parlamentu Europejskiego 10  na podstawie art. 25 ust. 1 lit. h) tego rozporządzenia.
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane medyczne.
2)
Obowiązujące ograniczenia
1.
Z zastrzeżeniem art. 30-35 niniejszej decyzji administrator może ograniczyć stosowanie prawa bezpośredniego dostępu osoby, której dane dotyczą, do jej medycznych danych osobowych, w tym jej danych o charakterze psychologicznym lub psychiatrycznym przetwarzanych przez Parlament Europejski, jeżeli dostęp do takich danych może stanowić ryzyko dla zdrowia osoby, której dane dotyczą. Niniejsze ograniczenie musi być proporcjonalne do tego, co jest niezbędne do ochrony osoby, której dane dotyczą. Dostępu do informacji, o którym mowa w niniejszym ustępie, udziela się zatem, na żądanie, lekarzowi wybranemu przez osobę, której dane dotyczą.
2.
Przed zastosowaniem ograniczenia zgodnie z ust. 1 lekarz, działający w imieniu Parlamentu Europejskiego, przedstawia powody nałożenia jakiegokolwiek ograniczenia, które to powody zostają włączone do dokumentacji medycznej osoby, której sprawa dotyczy.
3)
Okres obowiązywania ograniczeń

W drodze odstępstwa od art. 36 niniejszej decyzji do okresu obowiązywania ograniczeń stosuje się następujące zasady:

-
Ograniczenia stosowane zgodnie z niniejszym załącznikiem mają zastosowanie tak długo, jak długo mają zastosowanie przyczyny uzasadniające ich zastosowanie.
-
Administrator znosi ograniczenie, jeżeli przyczyny uzasadniające jego zastosowanie już nie istnieją, a osoba, której dane dotyczą, ponownie wystąpiła o dostęp do swojej dokumentacji medycznej. Jednocześnie administrator przedstawia osobie, której dane dotyczą, główne przyczyny ograniczenia oraz informuje ją o możliwości wniesienia, w dowolnym momencie, skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości.

ZAŁĄCZNIK  V

Rozpatrywanie zażaleń pracowników

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych przez administratora do celów rozpatrywania zażaleń zgodnie z regulaminem pracowniczym.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich podczas rozpatrywania zażaleń na podstawie art. 90 regulaminu pracowniczego 11  administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
ochrony innych ważnych celów leżących w ogólnym interesie publicznym Unii, takich jak zdolność Parlamentu Europejskiego do wypełniania jego obowiązków wynikających z regulaminu pracowniczego zgodnie z art. 25 ust. 1 lit. c) tego rozporządzenia; oraz
b)
zapobiegania naruszeniom zasad etyki w przypadku zawodów regulowanych, prowadzenia postępowań w sprawie tych naruszeń, ich wykrywania i ścigania, zgodnie z art. 25 ust. 1 lit. f) tego rozporządzenia.
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
wszelkie inne dane dotyczące danych zażaleń złożonych przez pracowników.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby procedurze rozpatrywania zażaleń zgodnie z regulaminem pracowniczym.

ZAŁĄCZNIK  VI

Audyt wewnętrzny

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych przez administratora do celów przeprowadzania audytu wewnętrznego.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich podczas przeprowadzania audytu wewnętrznego do celów art. 118 i 119 rozporządzenia (UE, Euratom) 2018/1046 12  i zgodnie z kartą audytu wewnętrznego przyjętą przez Prezydium dnia 14 stycznia 2019 r. administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
ochrony innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności interesów finansowych Unii lub państwa członkowskiego zgodnie z art. 25 ust. 1 lit. c) tego rozporządzenia; oraz
b)
zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w art. 25 ust. 1 lit. c) tego rozporządzenia, zgodnie z jego art. 25 ust. 1 lit. g).
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane finansowe;
e)
dane o ruchu;
f)
dane dotyczące obecności osób;
g)
dane dotyczące zewnętrznej działalności osób;
h)
dane dotyczące przynależności politycznej;
i)
wszelkie inne dane dotyczące przedmiotu danej działalności audytowej.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby celowi przeprowadzania przez Parlament Europejski audytów wewnętrznych.

ZAŁĄCZNIK  VII

Postępowanie sądowe

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych przez administratora do celów postępowania sądowego.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu zapewnienia ochrony postępowania sądowego zgodnie z jego art. 25 ust. 1 lit. e).
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane finansowe;
e)
dane o ruchu;
f)
dane dotyczące obecności osób;
g)
dane dotyczące zewnętrznej działalności osób;
h)
wszelkie inne dane dotyczące przedmiotu danego postępowania sądowego.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby przeprowadzeniu postępowania sądowego.

ZAŁĄCZNIK  VIII

Monitorowanie finansowe i dochodzenia finansowe

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych przez administratora do celów prowadzenia monitorowania finansowego i dochodzeń finansowych w rozumieniu ust. 2.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich podczas prowadzenia monitorowania i dochodzeń w zakresie legalności transakcji finansowych dokonywanych przez Parlament Europejski i w Parlamencie Europejskim, monitorowania i dochodzeń w zakresie uprawnień posłów 13 , a także monitorowania i dochodzeń w zakresie finansowania europejskich partii politycznych, europejskich fundacji politycznych i europejskich grup politycznych, administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, zgodnie z art. 25 ust. 1 lit. b) tego rozporządzenia;
b)
ochrony innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności interesów finansowych Unii lub państwa członkowskiego zgodnie z art. 25 ust. 1 lit. c) tego rozporządzenia; oraz
c)
zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w art. 25 ust. 1 lit. b) i c) tego rozporządzenia, zgodnie z jego art. 25 ust. 1 lit. g).
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane finansowe;
e)
dane o ruchu;
f)
dane dotyczące obecności osób;
g)
dane dotyczące zewnętrznej działalności osób;
h)
dane dotyczące przynależności politycznej;
i)
wszelkie inne dane dotyczące przedmiotu odnośnego monitorowania i odnośnych dochodzeń prowadzonych przez Parlament Europejski.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby celowi i skuteczności monitorowania finansowego i dochodzeń finansowych prowadzonych przez Parlament Europejski.

ZAŁĄCZNIK  IX  14

Współpraca z Europejskim Urzędem ds. Zwalczania Nadużyć Finansowych ("OLAF")

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych, w szczególności ich przekazywania, przez administratora w celu dostarczenia OLAF informacji i dokumentów, zgłaszania mu różnych przypadków lub przetwarzania informacji i dokumentów otrzymanych od OLAF.
2.
W niniejszym załączniku określono szczegółowe warunki, na podstawie których podczas dostarczania OLAF informacji i dokumentów na wniosek OLAF lub z własnej inicjatywy, podczas zgłaszania OLAF różnych przypadków lub podczas przetwarzania otrzymanych od OLAF informacji i dokumentów administrator może ograniczyć zastosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, zgodnie z art. 25 ust. 1 lit. b) tego rozporządzenia;
b)
zapobiegania naruszeniom zasad etyki w przypadku zawodów regulowanych, prowadzenia postępowań w sprawie tych naruszeń, ich wykrywania i ścigania, zgodnie z art. 25 ust. 1 lit. f) tego rozporządzenia, oraz
c)
ochrony praw i wolności innych osób, zgodnie z art. 25 ust. 1 lit. h) tego rozporządzenia.
3.
Niniejszego załącznika nie stosuje się do przetwarzania danych osobowych, w odniesieniu do których OLAF pełni funkcję administratora, w szczególności w przypadku gdy OLAF przetwarza dane osobowe przechowywane na terenie Parlamentu Europejskiego zgodnie z art. 4 ust. 2 i art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 15 .
4.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe, w tym umowy akredytowanych asystentów parlamentarnych i asystentów krajowych, umowy usługodawców i dane dotyczące misji;
d)
dane finansowe;
e)
dane o ruchu;
f)
dane dotyczące obecności osób;
g)
dane dotyczące zewnętrznej działalności osób;
h)
dane dotyczące przynależności politycznej;
i)
wszelkie inne dane dotyczące przedmiotu odnośnego dochodzenia prowadzonego przez OLAF lub przez Parlament Europejski we współpracy z OLAF.
2)
Obowiązujące ograniczenia
1.
Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - jeżeli wykonywanie tych praw zagrażałoby celowi czynności dochodzeniowych prowadzonych przez OLAF lub przez Parlament Europejski we współpracy z OLAF, np. przez ujawnienie ich narzędzi i metod stosowanych w dochodzeniach, lub miałoby negatywny wpływ na prawa i wolności innych osób, których dane dotyczą.
2.
Z zastrzeżeniem art. 30-36 niniejszej decyzji Parlament Europejski może ograniczyć prawa i obowiązki, o których mowa w ust. 1, w odniesieniu do danych osobowych uzyskanych od OLAF, jeżeli wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez OLAF na podstawie art. 2 ust. 3 decyzji Komisji (UE) 2018/1962 16 .

ZAŁĄCZNIK  X

Współpraca z państwami członkowskimi w kontekście postępowań przygotowawczych w sprawach karnych i dochodzeń finansowych

1)
Przedmiot i zakres stosowania
1.
Niniejszy załącznik stosuje się do przetwarzania danych osobowych, a w szczególności ich przekazywania, przez administratora w celu dostarczenia organom krajowym informacji i dokumentów, o które wnioskują w związku z postępowaniami przygotowawczymi w sprawach karnych lub dochodzeniami finansowymi.
2.
W niniejszym załączniku określono szczegółowe warunki na jakich podczas przekazywania organom krajowym informacji i dokumentów, o które zwracają się one w ramach postępowań przygotowawczych w sprawach karnych lub dochodzeń finansowych 17 , administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w celu:
a)
zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, zgodnie z art. 25 ust. 1 lit. b) tego rozporządzenia;
b)
ochrony niezależności sądów i postępowania sądowego, zgodnie z art. 25 ust. 1 lit. e) tego rozporządzenia; oraz
c)
zapobiegania naruszeniom zasad etyki w przypadku zawodów regulowanych, prowadzenia postępowań w sprawie tych naruszeń, ich wykrywania i ścigania, zgodnie z art. 25 ust. 1 lit. f) tego rozporządzenia.
3.
Niniejszy załącznik stosuje się do następujących kategorii danych osobowych:
a)
dane identyfikacyjne;
b)
dane kontaktowe;
c)
dane zawodowe;
d)
dane finansowe;
e)
łączność elektroniczna;
f)
dane o ruchu;
g)
dane z nadzoru wideo;
h)
nagrania audio;
i)
dane dotyczące obecności osób;
j)
wszelkie inne dane dotyczące przedmiotu odnośnego postępowania przygotowawczego lub dochodzenia prowadzonego przez organy krajowe.
2)
Obowiązujące ograniczenia

Z zastrzeżeniem art. 30-36 niniejszej decyzji administrator może ograniczyć stosowanie art. 14-21, 35 i 36 rozporządzenia (UE) 2018/1725, a także jego art. 4 - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-21 tego rozporządzenia - w przypadku gdy wykonywanie tych praw zagrażałoby celowi krajowych postępowań przygotowawczych w sprawach karnych i dochodzeń finansowych.

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
2 Dz.U. L 56 z 4.3.1968, s. 1.
3 Decyzja Prezydium z dnia 2 lipca 2012 r. dotycząca zarządzania dokumentami w Parlamencie Europejskim.
4 Art. 36 ust. 3 zmieniony przez art. 1 pkt 1 decyzji z dnia 16 stycznia 2023 r. (Dz.U.UE.C.2023.44.1) zmieniającej nin. decyzję z dniem 7 lutego 2023 r.
5 Dz.U. C 308 z 6.12.2005, s. 1.
6 Dz.U. C 163 z 13.5.2019, s. 1.
7 Decyzja Prezydium z dnia 7 września 2015 r. dotycząca polityki bezpieczeństwa Parlamentu Europejskiego w zakresie systemów technologii informacyjno-komunikacyjnych.
8 Decyzja Prezydium z dnia 11 września 2023 r. w sprawie przepisów wykonawczych do Statutu posła do Parlamentu Europejskiego oraz uchylenia decyzji Prezydium z dni 19 maja i 9 lipca 2008 r. (Dz.U. C, C/2024/ 2814 z 26.4.2024, ELI: http://data.europa.eu/eli/C/2024/2814/oj).

_____

Odnośnik nr 7 zmieniony przez art. 5 decyzji z dnia 16 lipca 2024 r. (Dz.U.UE.C.2024.4522) zmieniającej nin. decyzję z dniem 16 lipca 2024 r.

9 Załącznik III zmieniony przez art. 1 pkt 2 decyzji z dnia 16 stycznia 2023 r. (Dz.U.UE.C.2023.44.1) zmieniającej nin. decyzję z dniem 7 lutego 2023 r.
10 Decyzja Prezydium z 19 maja i 9 lipca 2008 r. dotycząca przepisów wykonawczych do Statutu posła do Parlamentu Europejskiego zmieniona decyzjami Prezydium z dnia 11 listopada 2009 r., 23 listopada 2009 r., 14 grudnia 2009 r., 19 kwietnia 2010 r., 5 lipca 2010 r., 13 grudnia 2010 r., 14 lutego 2011 r., 23 marca 2011 r., 14 listopada 2011 r., 12 grudnia 2012 r., 1 lipca 2013 r., 16 czerwca 2014 r., 15 września 2014 r., 15 grudnia 2014 r., 26 października 2015 r., 14 grudnia 2015 r., 12 grudnia 2016 r., 13 grudnia 2017 r., 11 czerwca 2018 r., 2 lipca 2018 r. i 10 grudnia 2018 r.
11 W ramach rozpatrywania zażaleń pracowników zgodnie z art. 90 regulaminu pracowniczego Parlament Europejski może przetwarzać dane osobowe pracowników innych niż pracownik składający zażalenie do celów weryfikacji zgodności z zasadą równego traktowania.
12 Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
13 Obejmuje to zwłaszcza dochodzenia dotyczące zwrotu kosztów ogólnych, dodatków na zatrudnienie asystentów, dodatków na wyposażenie i sprzęt, diet za czas podróży.
14 Załącznik IX zmieniony przez art. 1 pkt 3 i 4 decyzji z dnia 16 stycznia 2023 r. (Dz.U.UE.C.2023.44.1) zmieniającej nin. decyzję z dniem 7 lutego 2023 r.
15 Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 z dnia 11 września 2013 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) i uchylające rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady i rozporządzenie Rady (Euratom) nr 1074/1999 (Dz.U. L 248 z 18.9.2013, s. 1).
16 Decyzja Komisji (UE) 2018/1962 z dnia 11 grudnia 2018 r. ustanawiająca przepisy wewnętrzne dotyczące przetwarzania danych osobowych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) w odniesieniu do przekazywania informacji osobom, których dane dotyczą, oraz do ograniczenia niektórych ich praw zgodnie z art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (Dz.U. L 315 z 12.12.2018, s. 41).
17 Parlament Europejski ma obowiązek dostarczyć organom krajowym informacje i dokumenty będące przedmiotem wniosku zgodnie z zasadą lojalnej współpracy zapisaną w art. 4 ust. 3 Traktatu o Unii Europejskiej.

Zmiany w prawie

Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy

Przebywanie na zwolnieniu lekarskim w jednej pracy nie wykluczy już możliwości wykonywania pracy i pobierania za nią wynagrodzenia w innej firmie czy firmach. Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało właśnie projekt ustawy, który ma wprowadzić też m.in. definicję pracy zarobkowej - nie będzie nią podpisanie w czasie choroby firmowych dokumentów i nie spowoduje to utraty świadczeń. Zwolnienie lekarskie będzie mogło przewidywać miejsce pobytu w innym państwie. To rewolucyjne zmiany. Zdaniem prawników, te propozycje mają sens, nawet jeśli znajdą się tacy, którzy będą chcieli nadużywać nowych przepisów.

Beata Dązbłaż 29.10.2024
Metryka aktu
Identyfikator:

Dz.U.UE.C.2019.259.2
Rodzaj: Decyzja
Tytuł: Przepisy wykonawcze dotyczące rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenie rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE.
Data aktu: 17/06/2019
Data ogłoszenia: 02/08/2019
Data wejścia w życie: 03/08/2019