Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2020.251.1

Decyzja ustanawiająca wewnętrzne zasady dotyczące ograniczenia niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Europejską Agencję Kontroli Rybołówstwa

DECYZJA nr 20-W-3 ZARZĄDU EUROPEJSKIEJ AGENCJI KONTROLI RYBOŁÓWSTWA
z dnia 22 kwietnia 2020 r.
ustanawiająca wewnętrzne zasady dotyczące ograniczenia niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Europejską Agencję Kontroli Rybołówstwa

ZARZĄD EUROPEJSKIEJ AGENCJI KONTROLI RYBOŁÓWSTWA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/473 z dnia 19 marca 2019 r. w sprawie Europejskiej Agencji Kontroli Rybołówstwa 2  (zwanej dalej "Agencją"), w szczególności jego art. 32 ust. 2 lit. h),

po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych w sprawie niniejszej decyzji, zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725,

a także mając na uwadze, co następuje:

(1) Rozporządzenie (UE) 2019/473 ustanawia przepisy dotyczące Europejskiej Agencji Kontroli Rybołówstwa, której celem jest organizowanie operacyjnej koordynacji działań w zakresie kontroli i inspekcji połowów prowadzonych przez państwa członkowskie oraz wspomaganie współpracy tych państw członkowskich w zgodzie z zasadami wspólnej polityki rybołówstwa w celu zapewnienia jej skutecznego i jednolitego stosowania.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, 35 i 36, jak również art. 4 tego rozporządzenia, w zakresie, w jakim przepisy te odnoszą się do praw i obowiązków przewidzianych w art. 14-22, o ile nie opierają się na aktach prawnych przyjętych na podstawie Traktatów, powinny być oparte na wewnętrznych zasadach przyjętych przez Agencję.

(3) Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, gdy ograniczenie praw osób, których dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) Agencja może, w ramach swojej działalności administracyjnej, prowadzić postępowania administracyjne, dyscyplinarne, czynności wstępne dotyczące potencjalnych nieprawidłowości zgłoszonych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF), rozpatrywać sprawy dotyczące informowania o nieprawidłowościach, przeprowadzać formalne i nieformalne procedury w przypadkach nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne, prowadzić postępowania wyjaśniające przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowania wyjaśniającego dotyczące wewnętrznego (informatycznego) bezpieczeństwa.

(6) W ramach swojej działalności operacyjnej Agencja otrzymuje od inspektorów Unii sprawozdania z inspekcji przewidziane w art. 123 rozporządzenia wykonawczego Komisji (UE) nr 404/2011 3 , art. 18, 19 i 20 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1236/2010 4  oraz art. 30, 33 i 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/833 5 . Agencja otrzymuje również od państw członkowskich informacje i dane w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i przeprowadzenia misji na miejscu w państwach trzecich na mocy art. 20 ust. 4 lit. c) rozporządzenia Rady (WE) nr 1005/2008 6 , jak określono w decyzji Komisji 2009/988/UE 7 .

(7) Agencja przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(8) Agencja, reprezentowana przez jej dyrektora wykonawczego, działa w charakterze administratora danych niezależnie od dalszego przekazywania roli administratora w ramach Agencji, aby odzwierciedlić odpowiedzialność operacyjną za określone operacje przetwarzania danych osobowych.

(9) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w formie papierowej, co zapobiega bezprawnemu dostępowi do tych danych lub przekazywaniu ich osobom, które nie są ich odbiorcami zgodnie z zasadą ograniczonego dostępu. Przetwarzane dane osobowe przechowuje się przez okres nie dłuższy niż jest to konieczne i właściwe ze względu na cele, dla których takie dane są przetwarzane przez okres określony w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach Agencji.

(10) Zasady wewnętrzne należy stosować w odniesieniu do wszystkich procesów przetwarzania prowadzonych przez Agencję w ramach przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw dotyczących informowania o nieprawidłowościach, przeprowadzania formalnych i nieformalnych procedur dotyczących przypadków nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia postępowań wyjaśniających przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE) oraz działań operacyjnych, o których mowa w motywie 6 powyżej.

(11) Zasady te powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur, a także podczas realizacji działań operacyjnych, o których mowa w motywie 6 powyżej. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony Agencji na rzecz organów krajowych i organizacji międzynarodowych, wykraczające poza prowadzone przez nią postępowania administracyjne.

(12) W przypadkach, w których zastosowanie mają zasady wewnętrzne, Agencja musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(13) W tym kontekście Agencja jest zobowiązana do przestrzegania, w najszerszym możliwym zakresie, praw podstawowych osób, których dane dotyczą, podczas przeprowadzania powyższych procedur, w szczególności tych dotyczących prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności komunikacji, zawartych w rozporządzeniu (UE) 2018/1725.

(14) Agencja może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych postępowań wyjaśniających, postepo- wań wyjaśniających i postępowań innych organów publicznych, jak również praw innych osób w związku z postępowaniami wyjaśniającymi lub innymi procedurami.

(15) Agencja może zatem ograniczyć informacje do celów ochrony postępowania wyjaśniającego oraz ochrony praw podstawowych i wolności innych osób, których dane dotyczą.

(16) Agencja powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(17) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres

1. 
W niniejszej decyzji ustanawia się zasady dotyczące warunków, na jakich Agencja w ramach prowadzonych przez nią procedur określonych w ust. 2 może ograniczyć stosowanie art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) 2018/1725.
2. 
W ramach działalności administracyjnej Agencji niniejsza decyzja ma zastosowanie w odniesieniu do procesów przetwarzania danych osobowych na potrzeby przeprowadzania postępowań administracyjnych, dyscyplinarnych, prowadzenia czynności wstępnych dotyczących potencjalnych nieprawidłowości zgłoszonych do OLAF, rozpatrywania spraw związanych z informowaniem o nieprawidłowościach, przeprowadzania formalnych i nieformalnych procedur dotyczących nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych, prowadzenia postępowań wyjaśniających przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725 oraz postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotu zewnętrznego (np. CERT-UE).
3. 
W ramach działań operacyjnych Agencji niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych na potrzeby wykonywania przez nią swojego mandatu, w szczególności przyjmowania sprawozdań z inspekcji zgodnie z art. 123 rozporządzenia wykonawczego (UE) nr 404/2011, art. 18, 19 i 20 rozporządzenia (UE) nr 1236/2010 oraz art. 30, 33 i 34 rozporządzenia (UE) 2019/833, a także informacji i danych otrzymanych od państw członkowskich w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i przeprowadzenia misji na miejscu w państwach trzecich na mocy art. 20 ust. 4 lit. c) rozporządzenia (WE) nr 1005/2008, jak określono w decyzji 2009/988/UE.
4. 
Przedmiotowe dane obejmują kategorię "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
5. 
Agencja, realizując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
6. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: informowania osób, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
Agencja określa następujące zabezpieczenia celem zapobieżenia występowania nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu danych:
a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa Agencji, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel. Odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
systemy informatyczne oraz ich bazy danych posiadają mechanizmy służące do weryfikacji tożsamości użytkownika poprzez system jednorazowego logowania oraz łączą się automatycznie z dowodem tożsamości użytkownika i jego hasłem. Konta użytkowników końcowych są unikalne, indywidualne oraz nieprzenoszalne, a dzielenie kont użytkowników jest surowo zabronione. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;
d)
wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
2. 
Administratorem procesów przetwarzania jest Agencja, reprezentowana przez dyrektora wykonawczego, który może przekazywać funkcję administratora. Osoby, których dane dotyczą, są informowane o przekazaniu funkcji administratora danych w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach publikowanych na stronie internetowej lub w intranecie Agencji.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach, o których mowa w art. 5 ust. 1.
4. 
W sytuacji gdy Agencja rozważa zastosowanie ograniczenia, należy porównać zagrożenie dla praw i wolności osób, których dane dotyczą, z zagrożeniem - w szczególności - dla praw i wolności innych osób, których dane dotyczą, jak również z zagrożeniem unieważnienia skutku postępowań wyjaśniających lub procedur Agencji przykładowo ze względu na zniszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony oraz prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Jakiekolwiek ograniczenie jest stosowane wyłącznie przez Agencję na podstawie jednego lub kilku powodów wymienionych w art. 25 ust. 1 lit. a)-i) rozporządzenia (UE) 2018/1725.

Agencja zamieszcza informacje dotyczące ograniczenia tych praw w zawiadomieniach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrach w rozumieniu przepisów art. 31 rozporządzenia (UE) 2018/1725 publikowanych na jej stronie internetowej lub intranecie, za pośrednictwem których informuje osoby, których dane dotyczą, o ich prawach w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Jako szczególne zastosowanie w celach opisanych w ust. 1 powyżej, Agencja może zastosować ograniczenia w następujących okolicznościach:
a)
jeżeli wykonywanie tych praw i obowiązków jest ograniczone przez uprawnione służby Komisji lub inne instytucje, organy i jednostki organizacyjne Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji, organów i jednostek organizacyjnych Unii, w przypadku gdy cel takiego ograniczenia byłby zagrożony, gdyby Agencja nie zastosowała równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
b)
jeżeli wykonywanie tych praw i obowiązków jest ograniczone przez upoważnione organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 8  lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 9 ;
c)
jeżeli wykonywanie tych praw i obowiązków zagroziłoby współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi podczas wykonywania jej zadań w sytuacji, gdy istnieją wyraźne dowody, że współpraca ta może być zagrożona.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, Agencja konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami i jednostkami organizacyjnymi Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dla Agencji jasne jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. 
Wszelkie ograniczenia są konieczne i proporcjonalne, zważywszy na zagrożenie dla praw i wolności osób, których dane dotyczą, a przy ich wprowadzaniu przestrzega się istoty praw podstawowych i wolności w społeczeństwie demokratycznym.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.

Rejestr oraz - w stosownych przypadkach - dokumenty zawierające okoliczności faktyczne i prawne leżące u podstaw takiej decyzji są dokumentowane. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.

Agencja stosuje sześciomiesięczny cykl przeglądu w odniesieniu do stosowania każdego ograniczenia od momentu jego przyjęcia oraz po zakończeniu stosownego postępowania, stosownej procedury lub stosownego postępowania wyjaśniającego. W ramach tego okresowego przeglądu przeprowadza się analizę konieczności i proporcjonalności w celu oceny, czy faktyczne i prawne powody stosowania ograniczenia nadal mają zastosowanie.

5. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności, jeżeli uznaje się, że realizacja ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
Agencja bez zbędnej zwłoki informuje inspektora ochrony danych Agencji o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do rejestru zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może zwrócić się do administratora na piśmie o dokonanie przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o każdym ograniczeniu zastosowanym do praw osoby, której dane dotyczą, gdy ograniczenie to zostało zniesione.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo do informacji może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji postępowań wyjaśniających administracyjnych i postępowań dyscyplinarnych. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
c)
przeprowadzania procedur informowania o nieprawidłowościach. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
d)
formalnych i nieformalnych procedur podejmowanych w przypadkach nękania. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
f)
audyty wewnętrzne. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), f), g) oraz h) rozporządzenia (UE) 2018/1725;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g) oraz h) rozporządzenia (UE) 2018/1725;
h)
postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725;
i)
wymiany informacji w ramach działalności operacyjnej Agencji w celu wypełnienia jej mandatu, w szczególności otrzymywania sprawozdań z inspekcji zgodnie z art. 123 rozporządzenia wykonawczego (UE) nr 404/2011, art. 18, 19 i 20 rozporządzenia (UE) nr 1236/2010 oraz art. 30, 33 i 34 rozporządzenia (UE) 2019/833, a także informacji i danych otrzymanych od państw członkowskich w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i przeprowadzenia audytów na miejscu w państwach trzecich zgodnie z art. 20 ust. 4 lit. c) rozporządzenia (WE) nr 1005/2008. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725.
2. 
Bez uszczerbku dla postanowień ust. 3 Agencja, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą, które uznaje się za zainteresowane w kontekście danego procesu przetwarzania, o obecnych lub przyszłych ograniczeniach ich praw bez zbędnej zwłoki i w formie pisemnej.
3. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru, opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.
4. 
Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, Agencja informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji postępowań wyjaśniających administracyjnych i postępowań dyscyplinarnych. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
c)
przeprowadzania procedur informowania o nieprawidłowościach. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
d)
formalnych i nieformalnych procedur podejmowanych w przypadkach nękania. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
f)
audyty wewnętrzne. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), f), g) oraz h) rozporządzenia (UE) 2018/1725;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g) oraz h) rozporządzenia (UE) 2018/1725;
h)
postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725;
i)
wymiany informacji w ramach działalności operacyjnej Agencji w celu wypełnienia jej mandatu, w szczególności otrzymywania sprawozdań z inspekcji zgodnie z art. 123 rozporządzenia wykonawczego (UE) nr 404/2011, art. 18, 19 i 20 rozporządzenia (UE) nr 1236/2010 oraz art. 30, 33 i 34 rozporządzenia (UE) 2019/833, a także informacji i danych otrzymanych od państw członkowskich w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i przeprowadzenia audytów na miejscu w państwach trzecich zgodnie z art. 20 ust. 4 lit. c) rozporządzenia (WE) nr 1005/2008. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725.

Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do ich danych osobowych przetwarzanych w ramach jednego lub kilku szczególnych przypadków lub konkretnego procesu przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, Agencja ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.

2. 
Jeżeli Agencja ogranicza, w całości lub częściowo, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o stosowanym ograniczeniu i jego głównych przyczynach, jak również o możliwości złożenia skargi do Europejskiego Inspektora Ochrony Danych i możliwości skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej;
b)
w wewnętrznej notatce oceny dokumentuje powody ograniczenia, w tym ocenę konieczności i proporcjonalności ograniczenia oraz okres jego obowiązywania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania mogą być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji postępowań wyjaśniających administracyjnych i postępowań dyscyplinarnych. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
c)
przeprowadzania procedur informowania o nieprawidłowościach. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
d)
formalnych i nieformalnych procedur podejmowanych w przypadkach nękania. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
f)
audyty wewnętrzne. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), f), g) oraz h) rozporządzenia (UE) 2018/1725;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g) oraz h) rozporządzenia (UE) 2018/1725;
h)
postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725;
i)
wymiany informacji w ramach działalności operacyjnej Agencji w celu wypełnienia jej mandatu, w szczególności otrzymywania sprawozdań z inspekcji zgodnie z art. 123 rozporządzenia wykonawczego (UE) nr 404/2011, art. 18, 19 i 20 rozporządzenia (UE) nr 1236/2010 oraz art. 30, 33 i 34 rozporządzenia (UE) 2019/833, a także informacji i danych otrzymanych od państw członkowskich w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i przeprowadzenia audytów na miejscu w państwach trzecich zgodnie z art. 20 ust. 4 lit. c) rozporządzenia (WE) nr 1005/2008. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725.
2. 
Jeżeli Agencja ogranicza, całkowicie lub częściowo, stosowanie prawa do sprostowania danych, ich usunięcia lub ograniczenia ich przetwarzania, o czym mowa w art. 18, 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, podejmuje ona kroki określone w art. 6 ust. 2 niniejszej decyzji i dokonuje wpisu do rejestru zgodnie z art. 6 ust. 3 niniejszej decyzji.
Artykuł  8

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz poufność łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji postępowań wyjaśniających administracyjnych i postępowań dyscyplinarnych. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
b)
czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
c)
przeprowadzania procedur informowania o nieprawidłowościach. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
d)
formalnych i nieformalnych procedur podejmowanych w przypadkach nękania. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
f)
audyty wewnętrzne. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), f), g) oraz h) rozporządzenia (UE) 2018/1725;
g)
postępowań prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. c), g) oraz h) rozporządzenia (UE) 2018/1725;
h)
postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725;
i)
wymiany informacji w ramach działalności operacyjnej Agencji w celu wypełnienia jej mandatu, w szczególności otrzymywania sprawozdań z inspekcji zgodnie z art. 123 rozporządzenia wykonawczego (UE) nr 404/2011, art. 18, 19 i 20 rozporządzenia (UE) nr 1236/2010 oraz art. 30, 33 i 34 rozporządzenia (UE) 2019/833, a także informacji i danych otrzymanych od państw członkowskich w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i przeprowadzenia audytów na miejscu w państwach trzecich zgodnie z art. 20 ust. 4 lit. c) rozporządzenia (WE) nr 1005/2008. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725.
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może być ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
realizacji postępowań administracyjnych i dyscyplinarnych. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
b)
działań wstępnych związanych ze sprawami dotyczącymi potencjalnych nieprawidłowości zgłoszonych do OLAF. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
c)
przeprowadzania procedur informowania o nieprawidłowościach. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
d)
formalnych i nieformalnych procedur podejmowanych w przypadkach nękania. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), d), f) oraz h) rozporządzenia (UE) 2018/1725;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), f), g) oraz h) rozporządzenia (UE) 2018/1725;
f)
postępowań wyjaśniających dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU). Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725;
g)
wymiany informacji w ramach działalności operacyjnej Agencji w celu wypełnienia jej mandatu, w szczególności przyjmowania sprawozdań z inspekcji na podstawie art. 123 rozporządzenia wykonawczego (UE) nr 404/2011, a także informacji i danych otrzymywanych od państw członkowskich w kontekście analiz dostarczanych Komisji Europejskiej w celu przygotowania i prowadzenia misji na miejscu w państwach trzecich na podstawie art. 20 ust. 4 lit. c) i d) rozporządzenia (WE) nr 1005/2008. Ograniczenia mogą opierać się na art. 25 ust. 1 lit. b), c), d), g) oraz h) rozporządzenia (UE) 2018/1725.
3. 
Jeżeli Agencja ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności łączności elektronicznej, o czym mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokonuje ona wpisu do rejestru, w którym zamieszcza przyczyny zastosowania ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Vigo dnia 22 kwietnia 2020 r.
Reinhard PRIEBE
Przewodniczący Zarządu
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Dz.U. L 83 z 25.3.2019, s. 18.
3 Rozporządzenie wykonawcze Komisji (UE) nr 404/2011 z dnia 8 kwietnia 2011 r. ustanawiające szczegółowe przepisy wykonawcze do rozporządzenia Rady (WE) nr 1224/2009 ustanawiającego wspólnotowy system kontroli w celu zapewnienia przestrzegania przepisów wspólnej polityki rybołówstwa (Dz.U. L 112 z 30.4.2011, s. 1).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1236/2010 z dnia 15 grudnia 2010 r. ustanawiające system kontroli i egzekwowania mający zastosowanie na obszarze objętym Konwencją w sprawie przyszłej wielostronnej współpracy w rybołówstwie na północno-wschodnim Atlantyku oraz uchylające rozporządzenie Rady (WE) nr 2791/1999 (Dz.U. L 348 z 31.12.2010, s. 17).
5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/833 z dnia 20 maja 2019 r. ustanawiające środki ochrony i egzekwowania mające zastosowanie na obszarze podlegającym regulacji Organizacji Rybołówstwa Północno-Zachodniego Atlantyku, zmieniające rozporządzenie (UE) 2016/1627 oraz uchylające rozporządzenia Rady (WE) nr 2115/2005 i (WE) nr 1386/2007 (Dz.U. L 141 z 28.5.2019, s. 1).
6 Rozporządzenie Rady (WE) nr 1005/2008 z dnia 29 września 2008 r. ustanawiające wspólnotowy system zapobiegania nielegalnym, nieraportowanym i nieuregulowanym połowom oraz ich powstrzymywania i eliminowania, zmieniające rozporządzenia (EWG) nr 2847/93, (WE) nr 1936/2001 i (WE) nr 601/2004 oraz uchylające rozporządzenia (WE) nr 1093/94 i (WE) nr 1447/1999 (Dz.U. L 286 z 29.10.2008, s. 1).
7 Decyzja Komisji 2009/988/UE z dnia 18 grudnia 2009 r. wyznaczająca Wspólnotową Agencję Kontroli Rybołówstwa jako organ wykonujący określone zadania na mocy rozporządzenia Rady (WE) nr 1005/2008 (Dz.U. L 338 z 19.12.2009, s. 104).
8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
9 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

Zmiany w prawie

ZUS: Renta wdowia - wnioski od stycznia 2025 r.
ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2020.251.1
Rodzaj: Decyzja
Tytuł: Decyzja ustanawiająca wewnętrzne zasady dotyczące ograniczenia niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Europejską Agencję Kontroli Rybołówstwa
Data aktu: 22/04/2020
Data ogłoszenia: 03/08/2020
Data wejścia w życie: 23/08/2020