a także mając na uwadze, co następuje:(1) Agencja Wykonawcza ds. Małych i Średnich Przedsiębiorstw (EASME) (zwana dalej "Agencją") została ustanowiona decyzją wykonawczą 2013/771/UE w celu wykonania zadań związanych z realizacją programów unijnych w obszarze energii, środowiska, działań w dziedzinie klimatu, konkurencyjności oraz małych i średnich przedsiębiorstw, badań, innowacji i technologii informacyjno-komunikacyjnych 3 .
(2) W ramach działalności administracyjnej i operacyjnej Agencja jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i zawieszających, zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej ustanowionymi rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 ("regulamin pracowniczy") 4 i przepisami wykonawczymi w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych. W razie potrzeby Agencja może prowadzić działania wstępne związane z przypadkami potencjalnych nadużyć finansowych i nieprawidłowości oraz może zgłaszać sprawy OLAF-owi.
(3) Pracownicy Agencji są zobowiązani do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne uchybienie obowiązkom urzędników Unii. Kwestię tę regulują wewnętrzne przepisy lub polityki dotyczące informowania o nieprawidłowościach.
(4) Agencja wdrożyła politykę zapobiegania faktycznym lub potencjalnym przypadkom mobbingu lub molestowania seksualnego w miejscu pracy oraz skutecznego postępowania w takich przypadkach, jak przewidziano w środkach wykonawczych zgodnie z regulaminem pracowniczym ustanawiających nieformalną procedurę, zgodnie z którą domniemana ofiara molestowania może kontaktować się z "poufnymi" doradcami Agencji.
(5) Agencja może również prowadzić wewnętrzne dochodzenia w sprawie bezpieczeństwa (informatycznego) oraz w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących informacji niejawnych Unii Europejskiej ("EUCI").
(6) Agencja podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań, w tym audytom prowadzonym przez służby audytu wewnętrznego Komisji Europejskiej i Europejski Trybunał Obrachunkowy.
(7) Agencja może rozpatrywać wnioski Prokuratury Europejskiej (EPPO), wnioski o dostęp do dokumentacji medycznej członków personelu Agencji, prowadzić dochodzenia inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia.
(8) W kontekście takich dochodzeń administracyjnych, audytów, dochodzeń lub wniosków Agencja współpracuje z innymi instytucjami, organami, urzędami i agencjami Unii.
(9) Agencja może współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy.
(10) Agencja może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy.
(11) Agencja może być przedmiotem skarg, postępowań lub dochodzeń za pośrednictwem sygnalistów lub Europejskiego Rzecznika Praw Obywatelskich.
(12) Agencja może uczestniczyć w postępowaniach toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej, jeżeli albo kieruje sprawę do Trybunału, broni swojej decyzji, która została zaskarżona do Trybunału, albo interweniuje w sprawach związanych z jej zadaniami. W tym kontekście Agencja może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów.
(13) W ramach swoich działań Agencja przetwarza kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat zachowań i wyników prywatnych i zawodowych oraz dane finansowe, a także w niektórych szczególnych przypadkach dane szczególnie chronione (np. dane dotyczące zdrowia). Dane osobowe obejmują "twarde" dane faktyczne i "miękkie" dane dotyczące oceny.
"Twarde dane" oznaczają obiektywne dane faktyczne, takie jak dane identyfikacyjne, dane kontaktowe, dane zawodowe, szczegóły administracyjne, metadane związane z łącznością elektroniczną i dane o ruchu.
"Miękkie dane" oznaczają dane subiektywne i obejmują w szczególności opis i ocenę sytuacji i okoliczności, opinie, uwagi dotyczące osób, których dane dotyczą, ocenę zachowania i działania osób, których dane dotyczą, oraz uzasadnienie decyzji indywidualnych związanych z przedmiotem procedury lub działaniem prowadzonym przez Agencję lub przekazanych w związku z tym, zgodnie z mającymi zastosowanie ramami prawnymi.
Oceny, uwagi i opinie uznaje się za dane osobowe w rozumieniu art. 3 ust. 1 rozporządzenia.
(14) Na mocy rozporządzenia Agencja jest zatem zobowiązana do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą.
(15) Agencja jest zobowiązana do przestrzegania, w możliwie najszerszym zakresie, praw podstawowych osób, których dane dotyczą, w szczególności prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub do poufności komunikacji, zgodnie z rozporządzeniem. Agencja może być jednak również zobowiązana do ograniczenia praw i obowiązków osoby, której dane dotyczą, w celu ochrony jej działalności oraz podstawowych praw i wolności innych osób.
(16) W związku z tym art. 25 ust. 1 i 5 rozporządzenia daje Agencji możliwość ograniczenia, na określonych warunkach, stosowania art. 14-22, 35 i 36, jak również art. 4 rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20, opierają się na przepisach wewnętrznych, które mają zostać przyjęte na najwyższym szczeblu kierownictwa Agencji i podlegają publikacji w Dzienniku Urzędowym Unii Europejskiej, jeżeli nie opierają się one na aktach prawnych przyjętych na podstawie Traktatów.
(17) Ograniczenia mogą mieć zastosowanie do różnych praw osób, których dane dotyczą, w tym do udzielania informacji osobom, których dane dotyczą, prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub do poufności komunikacji zapisanej w rozporządzeniu.
(18) Agencja może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osoby, której dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą.
(19) Agencja może np. potrzebować ograniczenia informacji, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych na etapie wstępnej oceny dochodzenia administracyjnego lub podczas samego dochodzenia, przed możliwym oddaleniem sprawy lub na etapie postępowania przeddyscyplinarnego. W pewnych okolicznościach udzielenie takich informacji może poważnie wpłynąć na zdolność Agencji do prowadzenia dochodzenia w skuteczny sposób, jeżeli na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub ingerować w potencjalnych świadków przed ich przesłuchaniem. Agencja może być również zobowiązana do ochrony praw i wolności świadków, a także innych zaangażowanych osób.
(20) Agencja może być zmuszona do ochrony anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Agencja może podjąć decyzję o ograniczeniu dostępu do danych dotyczących tożsamości, oświadczeń i innych danych osobowych takich osób lub podejrzanych w celu ochrony ich praw i wolności.
(21) Agencja może być zmuszona do ochrony informacji poufnych dotyczących członka personelu, który skontaktował się z zaufanymi doradcami Agencji w kontekście procedury dotyczącej molestowania. W takich przypadkach Agencja może być zmuszona do ograniczenia dostępu do tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy mobbingu i innych zaangażowanych osób, w celu ochrony praw i wolności wszystkich zainteresowanych osób.
(22) W odniesieniu do procedur selekcji i rekrutacji, oceny pracowników i procedur udzielania zamówień publicznych z prawa dostępu, sprostowania, usunięcia i ograniczenia można korzystać jedynie w określonych momentach i na warunkach przewidzianych w odpowiednich procedurach, aby chronić prawa innych osób, których dane dotyczą, oraz przestrzegać zasad równego traktowania i tajności obrad.
(23) Agencja może również ograniczyć dostęp osób fizycznych do ich danych medycznych, na przykład o charakterze psychologicznym lub psychiatrycznym, ze względu na potencjalną wrażliwość tych danych, a Służba Medyczna Komisji może chcieć zapewnić osobom, których dane dotyczą, jedynie pośredni dostęp za pośrednictwem ich własnego lekarza. Osoba, której dane dotyczą, może skorzystać z prawa do sprostowania ocen lub opinii Służby Medycznej Komisji, przedstawiając swoje uwagi lub sprawozdanie wybranego przez siebie lekarza.
(24) Agencja, reprezentowana przez dyrektora, działa jako administrator danych niezależnie od dalszego delegowania roli administratora danych w Agencji w celu odzwierciedlenia obowiązków operacyjnych w zakresie konkretnych czynności przetwarzania danych osobowych na właściwych "delegowanych administratorów danych".
(25) Dane osobowe są przechowywane w bezpieczny sposób w środowisku elektronicznym zgodnym z decyzją Komisji (UE, Euratom) 2017/46 w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej 5 lub w formie papierowej, zapobiegając przypadkom bezprawnego dostępu lub przekazywania danych osobom, które nie mają potrzeby posiadania informacji. Przetwarzane dane osobowe są przechowywane nie dłużej niż jest to konieczne i odpowiednie do celów, dla których dane są przetwarzane, przez okres określony w informacjach o ochronie danych i rejestrach Agencji.
(26) Agencja stosuje ograniczenia tylko wtedy, gdy szanują istotę podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. Agencja uzasadnia uzasadnienie tych ograniczeń i informuje odpowiednio osoby, których dane dotyczą, o tych podstawach oraz o przysługującym im prawie do wniesienia skargi do EIOD zgodnie z art. 25 ust. 6 rozporządzenia.
(27) Zgodnie z zasadą odpowiedzialności Agencja prowadzi rejestr stosowania ograniczeń.
(28) Przetwarzając dane osobowe wymieniane z innymi organizacjami w ramach swoich zadań, Agencja i te organizacje konsultują się ze sobą w sprawie potencjalnych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagroziłoby to działalności Agencji.
(29) Niniejsze przepisy wewnętrzne mają zatem zastosowanie do wszystkich działań przetwarzania danych osobowych, prowadzonych przez Agencję w ramach prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości. zgłaszanych do OLAF, dochodzeń prowadzonych przez Prokuraturę Europejską (EPPO), procedur zgłaszania nieprawidłowości przez sygnalistów, (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania skarg wewnętrznych i zewnętrznych, wniosków o dostęp do własnej dokumentacji medycznej lub jej poprawienie, dochodzeń prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU), audytów, postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej lub krajowymi władzami państwowymi, procedur selekcji i rekrutacji, oceny personelu i procedur udzielania zamówień publicznych, o których mowa powyżej.
(30) Niniejsze przepisy wewnętrzne mają zastosowanie do czynności przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych w odniesieniu do wyników tych procedur. Powinien on również obejmować pomoc i współpracę zapewnianą przez Agencję innym instytucjom UE, organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.
(31) Zgodnie z art. 25 ust. 8 rozporządzenia Agencja ma prawo odroczyć, pominąć lub odmówić udzielenia informacji o powodach zastosowania ograniczenia wobec osoby, której dane dotyczą, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja ocenia indywidualnie, czy powiadomienie o ograniczeniu anulowałoby jego skutek.
(32) Agencja znosi ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie ocenia te warunki.
(33) Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, przed zastosowaniem lub przeglądem jakichkolwiek ograniczeń przeprowadza się konsultacje z inspektorem ochrony danych Agencji i weryfikuje ich zgodność z niniejszą decyzją.
(34) Artykuł 16 ust. 5 i art. 17 ust. 4 rozporządzenia przewidują wyjątki od prawa osób, których dane dotyczą, do informacji i prawa dostępu. Jeżeli wyjątki te mają zastosowanie, Agencja nie musi stosować ograniczenia na mocy niniejszej decyzji,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: