Decyzja Komitetu Sterującego Agencji Wykonawczej ds. Małych i Średnich Przedsiębiorstw w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Agencję

DECYZJA KOMITETU STERUJĄCEGO AGENCJI WYKONAWCZEJ DS. MAŁYCH I ŚREDNICH PRZEDSIĘBIORSTW
w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Agencję

KOMITET STERUJĄCY,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1  (zwane dalej "rozporządzeniem"), w szczególności jego art. 25,

uwzględniając decyzję wykonawczą Komisji 2013/771/UE z dnia 17 grudnia 2013 r. w sprawie ustanowienia Agencji Wykonawczej ds. Małych i Średnich Przedsiębiorstw oraz uchylenia decyzji 2004/20/WE i 2007/372/WE 2 ,

po konsultacji z Europejskim Inspektorem Ochrony Danych,

a także mając na uwadze, co następuje:

(1) Agencja Wykonawcza ds. Małych i Średnich Przedsiębiorstw (EASME) (zwana dalej "Agencją") została ustanowiona decyzją wykonawczą 2013/771/UE w celu wykonania zadań związanych z realizacją programów unijnych w obszarze energii, środowiska, działań w dziedzinie klimatu, konkurencyjności oraz małych i średnich przedsiębiorstw, badań, innowacji i technologii informacyjno-komunikacyjnych 3 .

(2) W ramach działalności administracyjnej i operacyjnej Agencja jest uprawniona do prowadzenia dochodzeń administracyjnych, postępowań przeddyscyplinarnych, dyscyplinarnych i zawieszających, zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej ustanowionymi rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 ("regulamin pracowniczy") 4  i przepisami wykonawczymi w sprawie dochodzeń administracyjnych i postępowań dyscyplinarnych. W razie potrzeby Agencja może prowadzić działania wstępne związane z przypadkami potencjalnych nadużyć finansowych i nieprawidłowości oraz może zgłaszać sprawy OLAF-owi.

(3) Pracownicy Agencji są zobowiązani do zgłaszania potencjalnie niezgodnych z prawem działań, w tym nadużyć finansowych i korupcji, szkodzących interesom Unii. Pracownicy są również zobowiązani do zgłaszania działań związanych z wykonywaniem obowiązków służbowych, które mogą stanowić poważne uchybienie obowiązkom urzędników Unii. Kwestię tę regulują wewnętrzne przepisy lub polityki dotyczące informowania o nieprawidłowościach.

(4) Agencja wdrożyła politykę zapobiegania faktycznym lub potencjalnym przypadkom mobbingu lub molestowania seksualnego w miejscu pracy oraz skutecznego postępowania w takich przypadkach, jak przewidziano w środkach wykonawczych zgodnie z regulaminem pracowniczym ustanawiających nieformalną procedurę, zgodnie z którą domniemana ofiara molestowania może kontaktować się z "poufnymi" doradcami Agencji.

(5) Agencja może również prowadzić wewnętrzne dochodzenia w sprawie bezpieczeństwa (informatycznego) oraz w sprawie potencjalnych naruszeń przepisów bezpieczeństwa dotyczących informacji niejawnych Unii Europejskiej ("EUCI").

(6) Agencja podlega zarówno audytom wewnętrznym, jak i zewnętrznym dotyczącym jej działań, w tym audytom prowadzonym przez służby audytu wewnętrznego Komisji Europejskiej i Europejski Trybunał Obrachunkowy.

(7) Agencja może rozpatrywać wnioski Prokuratury Europejskiej (EPPO), wnioski o dostęp do dokumentacji medycznej członków personelu Agencji, prowadzić dochodzenia inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia.

(8) W kontekście takich dochodzeń administracyjnych, audytów, dochodzeń lub wniosków Agencja współpracuje z innymi instytucjami, organami, urzędami i agencjami Unii.

(9) Agencja może współpracować z organami krajowymi państw trzecich i organizacjami międzynarodowymi, na ich wniosek lub z własnej inicjatywy.

(10) Agencja może również współpracować z organami publicznymi państw członkowskich UE na ich wniosek lub z własnej inicjatywy.

(11) Agencja może być przedmiotem skarg, postępowań lub dochodzeń za pośrednictwem sygnalistów lub Europejskiego Rzecznika Praw Obywatelskich.

(12) Agencja może uczestniczyć w postępowaniach toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej, jeżeli albo kieruje sprawę do Trybunału, broni swojej decyzji, która została zaskarżona do Trybunału, albo interweniuje w sprawach związanych z jej zadaniami. W tym kontekście Agencja może być zmuszona do zachowania poufności danych osobowych zawartych w dokumentach uzyskanych przez strony lub interwenientów.

(13) W ramach swoich działań Agencja przetwarza kilka kategorii danych osobowych, w tym dane identyfikacyjne osób fizycznych, dane kontaktowe, role i zadania zawodowe, informacje na temat zachowań i wyników prywatnych i zawodowych oraz dane finansowe, a także w niektórych szczególnych przypadkach dane szczególnie chronione (np. dane dotyczące zdrowia). Dane osobowe obejmują "twarde" dane faktyczne i "miękkie" dane dotyczące oceny.

"Twarde dane" oznaczają obiektywne dane faktyczne, takie jak dane identyfikacyjne, dane kontaktowe, dane zawodowe, szczegóły administracyjne, metadane związane z łącznością elektroniczną i dane o ruchu.

"Miękkie dane" oznaczają dane subiektywne i obejmują w szczególności opis i ocenę sytuacji i okoliczności, opinie, uwagi dotyczące osób, których dane dotyczą, ocenę zachowania i działania osób, których dane dotyczą, oraz uzasadnienie decyzji indywidualnych związanych z przedmiotem procedury lub działaniem prowadzonym przez Agencję lub przekazanych w związku z tym, zgodnie z mającymi zastosowanie ramami prawnymi.

Oceny, uwagi i opinie uznaje się za dane osobowe w rozumieniu art. 3 ust. 1 rozporządzenia.

(14) Na mocy rozporządzenia Agencja jest zatem zobowiązana do informowania osób, których dane dotyczą, o tych czynnościach przetwarzania oraz do poszanowania ich praw jako osób, których dane dotyczą.

(15) Agencja jest zobowiązana do przestrzegania, w możliwie najszerszym zakresie, praw podstawowych osób, których dane dotyczą, w szczególności prawa do udzielania informacji, dostępu i sprostowania danych, prawa do usunięcia danych, ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub do poufności komunikacji, zgodnie z rozporządzeniem. Agencja może być jednak również zobowiązana do ograniczenia praw i obowiązków osoby, której dane dotyczą, w celu ochrony jej działalności oraz podstawowych praw i wolności innych osób.

(16) W związku z tym art. 25 ust. 1 i 5 rozporządzenia daje Agencji możliwość ograniczenia, na określonych warunkach, stosowania art. 14-22, 35 i 36, jak również art. 4 rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20, opierają się na przepisach wewnętrznych, które mają zostać przyjęte na najwyższym szczeblu kierownictwa Agencji i podlegają publikacji w Dzienniku Urzędowym Unii Europejskiej, jeżeli nie opierają się one na aktach prawnych przyjętych na podstawie Traktatów.

(17) Ograniczenia mogą mieć zastosowanie do różnych praw osób, których dane dotyczą, w tym do udzielania informacji osobom, których dane dotyczą, prawa dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub do poufności komunikacji zapisanej w rozporządzeniu.

(18) Agencja może być zobowiązana do pogodzenia tych praw z celami dochodzeń administracyjnych, audytów, dochodzeń i postępowań sądowych. Może być również wymagane zapewnienie równowagi między prawami osoby, której dane dotyczą, a podstawowymi prawami i wolnościami innych osób, których dane dotyczą.

(19) Agencja może np. potrzebować ograniczenia informacji, które przekazuje osobie, której dane dotyczą, na temat przetwarzania jej danych osobowych na etapie wstępnej oceny dochodzenia administracyjnego lub podczas samego dochodzenia, przed możliwym oddaleniem sprawy lub na etapie postępowania przeddyscyplinarnego. W pewnych okolicznościach udzielenie takich informacji może poważnie wpłynąć na zdolność Agencji do prowadzenia dochodzenia w skuteczny sposób, jeżeli na przykład istnieje ryzyko, że dana osoba może zniszczyć dowody lub ingerować w potencjalnych świadków przed ich przesłuchaniem. Agencja może być również zobowiązana do ochrony praw i wolności świadków, a także innych zaangażowanych osób.

(20) Agencja może być zmuszona do ochrony anonimowości świadka lub sygnalisty, który zwrócił się o nieujawnianie jego tożsamości. W takim przypadku Agencja może podjąć decyzję o ograniczeniu dostępu do danych dotyczących tożsamości, oświadczeń i innych danych osobowych takich osób lub podejrzanych w celu ochrony ich praw i wolności.

(21) Agencja może być zmuszona do ochrony informacji poufnych dotyczących członka personelu, który skontaktował się z zaufanymi doradcami Agencji w kontekście procedury dotyczącej molestowania. W takich przypadkach Agencja może być zmuszona do ograniczenia dostępu do tożsamości, oświadczeń i innych danych osobowych domniemanej ofiary, domniemanego sprawcy mobbingu i innych zaangażowanych osób, w celu ochrony praw i wolności wszystkich zainteresowanych osób.

(22) W odniesieniu do procedur selekcji i rekrutacji, oceny pracowników i procedur udzielania zamówień publicznych z prawa dostępu, sprostowania, usunięcia i ograniczenia można korzystać jedynie w określonych momentach i na warunkach przewidzianych w odpowiednich procedurach, aby chronić prawa innych osób, których dane dotyczą, oraz przestrzegać zasad równego traktowania i tajności obrad.

(23) Agencja może również ograniczyć dostęp osób fizycznych do ich danych medycznych, na przykład o charakterze psychologicznym lub psychiatrycznym, ze względu na potencjalną wrażliwość tych danych, a Służba Medyczna Komisji może chcieć zapewnić osobom, których dane dotyczą, jedynie pośredni dostęp za pośrednictwem ich własnego lekarza. Osoba, której dane dotyczą, może skorzystać z prawa do sprostowania ocen lub opinii Służby Medycznej Komisji, przedstawiając swoje uwagi lub sprawozdanie wybranego przez siebie lekarza.

(24) Agencja, reprezentowana przez dyrektora, działa jako administrator danych niezależnie od dalszego delegowania roli administratora danych w Agencji w celu odzwierciedlenia obowiązków operacyjnych w zakresie konkretnych czynności przetwarzania danych osobowych na właściwych "delegowanych administratorów danych".

(25) Dane osobowe są przechowywane w bezpieczny sposób w środowisku elektronicznym zgodnym z decyzją Komisji (UE, Euratom) 2017/46 w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej 5  lub w formie papierowej, zapobiegając przypadkom bezprawnego dostępu lub przekazywania danych osobom, które nie mają potrzeby posiadania informacji. Przetwarzane dane osobowe są przechowywane nie dłużej niż jest to konieczne i odpowiednie do celów, dla których dane są przetwarzane, przez okres określony w informacjach o ochronie danych i rejestrach Agencji.

(26) Agencja stosuje ograniczenia tylko wtedy, gdy szanują istotę podstawowych praw i wolności, są absolutnie niezbędne i stanowią środek proporcjonalny w społeczeństwie demokratycznym. Agencja uzasadnia uzasadnienie tych ograniczeń i informuje odpowiednio osoby, których dane dotyczą, o tych podstawach oraz o przysługującym im prawie do wniesienia skargi do EIOD zgodnie z art. 25 ust. 6 rozporządzenia.

(27) Zgodnie z zasadą odpowiedzialności Agencja prowadzi rejestr stosowania ograniczeń.

(28) Przetwarzając dane osobowe wymieniane z innymi organizacjami w ramach swoich zadań, Agencja i te organizacje konsultują się ze sobą w sprawie potencjalnych podstaw nałożenia ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że zagroziłoby to działalności Agencji.

(29) Niniejsze przepisy wewnętrzne mają zatem zastosowanie do wszystkich działań przetwarzania danych osobowych, prowadzonych przez Agencję w ramach prowadzenia dochodzeń administracyjnych, postępowań dyscyplinarnych, czynności wstępnych związanych z przypadkami potencjalnych nieprawidłowości. zgłaszanych do OLAF, dochodzeń prowadzonych przez Prokuraturę Europejską (EPPO), procedur zgłaszania nieprawidłowości przez sygnalistów, (formalnych i nieformalnych) procedur dotyczących przypadków nękania, rozpatrywania skarg wewnętrznych i zewnętrznych, wniosków o dostęp do własnej dokumentacji medycznej lub jej poprawienie, dochodzeń prowadzonych przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia oraz dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU), audytów, postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej lub krajowymi władzami państwowymi, procedur selekcji i rekrutacji, oceny personelu i procedur udzielania zamówień publicznych, o których mowa powyżej.

(30) Niniejsze przepisy wewnętrzne mają zastosowanie do czynności przetwarzania przeprowadzanych przed rozpoczęciem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych w odniesieniu do wyników tych procedur. Powinien on również obejmować pomoc i współpracę zapewnianą przez Agencję innym instytucjom UE, organom krajowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.

(31) Zgodnie z art. 25 ust. 8 rozporządzenia Agencja ma prawo odroczyć, pominąć lub odmówić udzielenia informacji o powodach zastosowania ograniczenia wobec osoby, której dane dotyczą, jeżeli w jakikolwiek sposób unieważniłoby to skutek ograniczenia. Agencja ocenia indywidualnie, czy powiadomienie o ograniczeniu anulowałoby jego skutek.

(32) Agencja znosi ograniczenie niezwłocznie po ustaniu warunków uzasadniających ograniczenie i regularnie ocenia te warunki.

(33) Aby zagwarantować jak największą ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia, przed zastosowaniem lub przeglądem jakichkolwiek ograniczeń przeprowadza się konsultacje z inspektorem ochrony danych Agencji i weryfikuje ich zgodność z niniejszą decyzją.

(34) Artykuł 16 ust. 5 i art. 17 ust. 4 rozporządzenia przewidują wyjątki od prawa osób, których dane dotyczą, do informacji i prawa dostępu. Jeżeli wyjątki te mają zastosowanie, Agencja nie musi stosować ograniczenia na mocy niniejszej decyzji,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres stosowania

1. 
Niniejsza decyzja ustanawia przepisy dotyczące warunków, na jakich Agencja Wykonawcza ds. Małych i Średnich Przedsiębiorstw (EASME) i którykolwiek z jej następców prawnych ("Agencja") mogą ograniczyć stosowanie art. 4, 14-22, 35 i 36, zgodnie z art. 25 rozporządzenia.
2. 
Agencja, jako administrator danych, jest reprezentowana przez dyrektora Agencji, który może dalej delegować funkcję administratora danych.
Artykuł  2

Obowiązujące ograniczenia

1. 
Agencja może ograniczyć stosowanie art. 14-22, 35 i 36, jak również art. 4 rozporządzenia w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-20.
2. 
Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych przez Agencję w ramach jej działalności administracyjnej i operacyjnej:
a)
zgodnie z art. 25 ust. 1 lit. b), c), f), g) i h) rozporządzenia podczas prowadzenia dochodzeń wewnętrznych, w tym w oparciu o skargi zewnętrzne, dochodzenia administracyjne, postępowania przeddyscyplinarne, dyscyplinarne lub zawieszające zgodnie z art. 86 i załącznikiem IX do regulaminu pracowniczego i jego przepisami wykonawczymi, dochodzeniami w zakresie bezpieczeństwa lub dochodzeniami OLAF;
b)
zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, zapewniając pracownikom Agencji możliwość poufnego zgłaszania faktów, jeżeli uważają, że wystąpiły poważne nieprawidłowości, zgodnie z wewnętrznymi zasadami lub politykami dotyczącymi informowania o nieprawidłowościach;
c)
zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, zapewniając pracownikom Agencji możliwość zgłaszania się do zaufanych doradców w kontekście procedury dotyczącej molestowania, określonej w przepisach wewnętrznych;
d)
zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, w przypadku przeprowadzania audytów wewnętrznych lub zewnętrznych w odniesieniu do działań lub funkcjonowania Agencji;
e)
zgodnie z art. 25 ust. 1 lit. d) i h) rozporządzenia, przy zapewnianiu analiz bezpieczeństwa, w tym analiz dotyczących cyberbezpieczeństwa i nadużyć systemów informatycznych, prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU), zapewnianiu bezpieczeństwa wewnętrznego za pomocą monitoringu wizyjnego, kontroli dostępu i dochodzeń, zabezpieczaniu systemów komunikacyjnych i informacyjnych oraz przeprowadzaniu technicznych środków przeciwdziałania zagrożeniom;
f)
zgodnie z art. 25 ust. 1 lit. g) i h) rozporządzenia, gdy inspektor ochrony danych Agencji prowadzi dochodzenia w sprawach bezpośrednio związanych z jego zadaniami;
g)
zgodnie z art. 25 ust. 1 lit. b), g) i h) rozporządzenia, w kontekście dochodzeń prowadzonych przez Prokuraturę Europejską (EPPO);
h)
zgodnie z art. 25 ust. 1 lit. h) rozporządzenia, w przypadku gdy osoby fizyczne żądają dostępu do swoich danych medycznych lub ich sprostowania, w tym jeżeli są one w posiadaniu Służby Medycznej Komisji;
i)
zgodnie z art. 25 ust. 1 lit. c), d), g) i h) rozporządzenia, przy udzielaniu pomocy innym instytucjom, organom i jednostkom organizacyjnym UE lub otrzymywaniu od nich pomocy, lub przy współpracy z nimi w kontekście działań prowadzonych na podstawie lit. a)-h) niniejszego ustępu i zgodnie ze stosownymi umowami o gwarantowanym poziomie usług, protokołami ustaleń i umowami o współpracy do aktów ustanawiających;
j)
zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, przy udzielaniu pomocy organom krajowym państw trzecich i organizacji międzynarodowych lub otrzymywaniu od nich pomocy lub też przy współpracy z takimi organami i organizacjami, na ich wniosek lub z własnej inicjatywy;
k)
zgodnie z art. 25 ust. 1 lit. c), g) i h) rozporządzenia, przy udzielaniu pomocy organom publicznym państw członkowskich UE lub otrzymywaniu od nich pomocy i współpracy z nimi, na ich wniosek lub z własnej inicjatywy;
l)
zgodnie z art. 25 ust. 1 lit. e) rozporządzenia, podczas przetwarzania danych osobowych znajdujących się w dokumentach otrzymanych od stron lub interwenientów w kontekście postępowań przed Trybunałem Sprawiedliwości Unii Europejskiej;

Do celów niniejszej decyzji powyższe działania obejmują działania przygotowawcze i następcze bezpośrednio związane z tym samym działaniem.

3. 
Agencja może również stosować ograniczenia w poszczególnych przypadkach w odniesieniu do praw osób, których dane dotyczą, o których mowa w niniejszej decyzji, w następujących okolicznościach:
a)
w przypadku gdy służby Komisji lub inne instytucje, organy, agencje i urzędy Unii są uprawnione do ograniczania wykonywania praw wymienionych w wykazie, a cel takiego ograniczenia przez tę służbę Komisji bądź instytucję, organ lub agencję Unii byłby zagrożony, jeżeli Agencja nie stosuje równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
b)
w przypadku gdy właściwe organy państw członkowskich są uprawnione do ograniczenia wykonywania wymienionych praw, a cel takiego ograniczenia przez ten organ państwa członkowskiego byłby zagrożony, jeżeli Agencja nie stosuje równoważnego ograniczenia w odniesieniu do tych samych danych osobowych;
c)
w przypadku gdy wykonywanie tych praw i obowiązków zagroziłoby współpracy Agencji z państwami trzecimi lub organizacjami międzynarodowymi przy wykonywaniu jej zadań, chyba że nadrzędne w stosunku do tej potrzeby współpracy są interesy lub podstawowe prawa i wolności osób, których dane dotyczą.
d)
Przed zastosowaniem ograniczenia na podstawie niniejszego ustępu Agencja konsultuje się w razie potrzeby z odpowiednimi służbami Komisji, innymi instytucjami, organami, agencjami, urzędami Unii lub organizacjami międzynarodowymi lub z właściwymi organami państwa członkowskiego, chyba że jest oczywiste, że ograniczenie jest przewidziane w jednym z aktów prawnych, o którym mowa powyżej, lub jeżeli takie konsultacje zagrażałyby działalności Agencji.
4. 
Kategorie przetwarzanych danych osobowych związane z powyższymi działaniami mogą zawierać "twarde" dane faktyczne i "miękkie" dane z oceny.
5. 
Wszelkie ograniczenia respektują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne w społeczeństwie demokratycznym.
Artykuł  3

Zapisywanie i rejestrowanie ograniczeń

1. 
Administrator danych prowadzi rejestr ograniczeń opisujący:
a)
przyczyny zastosowanych ograniczeń na mocy niniejszej decyzji;
b)
które z podstaw wymienionych w art. 2 mają zastosowanie;
c)
w jaki sposób wykonywanie tego prawa stwarzałoby ryzyko dla osoby, której dane dotyczą, zagrażałoby celowi zadań Agencji lub wpłynęłoby niekorzystnie na prawa i wolności innych osób, których dane dotyczą;
d)
wynik oceny konieczności i proporcjonalności tych ograniczeń, z uwzględnieniem stosownych elementów w art. 25 ust. 2 rozporządzenia.
2. 
Badanie konieczności i proporcjonalności ograniczenia przeprowadza się indywidualnie dla każdego przypadku przed zastosowaniem ograniczeń. Administrator danych bierze pod uwagę potencjalne zagrożenia dla praw i wolności osoby, której dane dotyczą. Ograniczenia nie mogą wykraczać poza to, co jest ściśle niezbędne do osiągnięcia ich celu.
3. 
Rejestr ograniczenia oraz, w stosownych przypadkach, dokumenty zawierające leżące u jego podstaw elementy faktyczne i prawne są rejestrowane. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  4

Zagrożenia dla praw i wolności osób, których dane dotyczą

1. 
Oceny ryzyka dla praw i wolności osób, których dane dotyczą, wynikające z nałożenia ograniczeń oraz szczegóły dotyczące okresu stosowania tych ograniczeń są rejestrowane w rejestrze czynności przetwarzania prowadzonym przez administratora danych na podstawie art. 31 rozporządzenia. Są one również rejestrowane we wszelkich ocenach skutków dla ochrony danych, dotyczących tych ograniczeń, prowadzonych na podstawie art. 39 rozporządzenia, w stosownych przypadkach.
2. 
W sytuacji gdy administrator danych rozważa zastosowanie ograniczenia, ryzyko dla praw i wolności podmiotu danych jest ważone w szczególności w stosunku do ryzyka dla praw i wolności innych podmiotów danych oraz ryzyka negatywnego wpływu na dochodzenia lub procedury, na przykład poprzez zniszczenie dowodów. Zagrożenia dla praw i wolności osób, których dane dotyczą, obejmują, między innymi, ryzyko utraty reputacji i zagrożenia dla prawa do obrony i prawa do bycia wysłuchanym.
Artykuł  5

Zabezpieczenia i okresy przechowywania

1. 
Agencja wprowadza szczególne zabezpieczenia w celu zapobiegania nadużyciom i bezprawnemu dostępowi lub przekazywaniu danych osobowych, w odniesieniu do których mają lub mogą być stosowane ograniczenia. Takie zabezpieczenia obejmują środki techniczne i organizacyjne oraz są w razie potrzeby wyszczególnione w wewnętrznych decyzjach, procedurach i przepisach wykonawczych Agencji. Zabezpieczenia te obejmują:
a)
jasne określenie ról, obowiązków i kroków proceduralnych;
b)
w stosownych przypadkach bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu i przypadkowemu dostępowi lub przekazywaniu danych elektronicznych osobom nieupoważnionym;
c)
w stosownych przypadkach bezpieczne przechowywanie i przetwarzanie dokumentów w formie papierowej;
d)
zapewnienie przestrzegania wymogów poufności przez wszystkie osoby, które mają dostęp do danych osobowych.
2. 
Okres przechowywania danych osobowych objętych ograniczeniem jest określany w powiązanym rejestrze na mocy art. 31 rozporządzenia z uwzględnieniem celu przetwarzania i obejmuje ramy czasowe niezbędne do przeprowadzenia kontroli administracyjnej i sądowej. Na koniec okresu przechowywania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia.
Artykuł  6

Okres obowiązywania ograniczeń

1. 
Ograniczenia, o których mowa w art. 2, mają zastosowanie tak długo, jak długo mają zastosowanie powody uzasadniające je.
2. 
W chwili, gdy powody ograniczenia przestają mieć zastosowanie, administrator danych znosi ograniczenie, jeżeli wykonanie ograniczonego prawa nie miałoby już negatywnego wpływu na odpowiednią mającą zastosowanie procedurę lub nie wpłynęłoby niekorzystnie na prawa lub wolności innych osób, których dane dotyczą.
3. 
W przypadku gdy osoba, której dane dotyczą, ponownie zwróciła się o dostęp do danych osobowych, administrator danych podaje osobie, której dane dotyczą, główne powody takiego ograniczenia. Jednocześnie Agencja informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub wystąpienia o sądowy środek ochrony prawne do Trybunału Sprawiedliwości Unii Europejskiej.
4. 
Agencja dokonuje przeglądu stosowania ograniczenia, o którym mowa w art. 2, co sześć miesięcy.
Artykuł  7

Zaangażowanie inspektora ochrony danych

1. 
Administrator danych Agencji informuje inspektora ochrony danych Agencji bez zbędnej zwłoki i przed podjęciem jakiejkolwiek decyzji o ograniczeniu praw osób, których dane dotyczą, zgodnie z niniejszą decyzją lub o rozszerzeniu stosowania ograniczenia. Administrator danych przyznaje inspektorowi ochrony danych dostęp do powiązanych rejestrów i wszelkich dokumentów dotyczących kontekstu faktycznego lub prawnego.
2. 
Inspektor ochrony danych może się zwrócić do administratora danych o dokonanie przeglądu stosowania ograniczenia. Administrator danych informuje inspektora ochrony danych na piśmie o wyniku wnioskowanego przeglądu.
3. 
Administrator danych dokumentuje udział inspektora ochrony danych w stosowaniu ograniczenia, w tym jakie informacje są udostępniane. Dokumenty, o których mowa w niniejszym artykule, stanowią część rejestru związanego z ograniczeniem i są udostępniane EIOD na jego wniosek.
Artykuł  8

Informowanie osób, których dane dotyczą, o ograniczaniu ich praw

1. 
Administrator danych zamieszcza w informacjach o ochronie danych i rejestrach na mocy art. 31 rozporządzenia, publikowanych na swojej stronie internetowej i w intranecie, ogólne informacje na temat potencjalnych ograniczeń praw osób, których dane dotyczą, zgodnie z art. 2 ust. 2 niniejszej decyzji. Informacje te obejmują, które prawa i obowiązki mogą być ograniczone, podstawy, na jakich mogą być stosowane ograniczenia, oraz potencjalny okres ich obowiązywania.
2. 
Administrator danych informuje osoby, których dane dotyczą, indywidualnie, pisemnie i bez zbędnej zwłoki, o bieżących lub przyszłych ograniczeniach ich praw. Administrator danych informuje osobę, której dane dotyczą, o głównych powodach zastosowania ograniczenia, o przysługującym jej prawie do konsultacji z inspektorem ochrony danych w celu zakwestionowania ograniczenia oraz o przysługującym jej prawie do złożenia skargi do EIOD.
3. 
Administrator danych może odroczyć, pominąć lub odmówić udzielenia informacji dotyczących przyczyn ograniczenia i prawa do złożenia skargi do EIOD tak długo, jak długo skutkowałoby to uchyleniem skutku ograniczenia. Oceny tego uzasadnienia dokonuje się indywidualnie dla każdego przypadku, a administrator danych przekazuje informacje osobie, której dane dotyczą, gdy tylko nie anuluje to już skutku ograniczenia.
Artykuł  9

Prawo dostępu przysługujące osobie, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i na warunkach określonych w niniejszej decyzji administrator danych może ograniczyć prawo dostępu na mocy art. 17 rozporządzenia, jeżeli jest to konieczne i proporcjonalne w odniesieniu do działań podejmowanych na mocy niniejszej decyzji.
2. 
W przypadku gdy osoby, których dane dotyczą, zwracają się o dostęp do swoich danych osobowych przetwarzanych w kontekście konkretnej czynności przetwarzania, o której mowa w art. 2 ust. 2 niniejszej decyzji, Agencja ogranicza swoją odpowiedź na dane osobowe przetwarzane na potrzeby tej czynności.
3. 
Prawa osób, których dane dotyczą, do bezpośredniego dostępu do dokumentów o charakterze psychologicznym lub psychiatrycznym mogą zostać ograniczone. Niniejsze przepisy wewnętrzne nie ograniczają ani pośredniego dostępu, ani prawa do sprostowania i zawiadomienia o naruszeniu ochrony danych osobowych. W związku z tym lekarzowi pośredniczącemu należy na wniosek danej osoby udzielić dostępu do wszystkich powiązanych informacji oraz do swobody decyzyjnej co do tego, w jaki sposób i jaki dostęp należy zapewnić osobie, której dane dotyczą.
4. 
W przypadku gdy administrator danych ogranicza, w całości lub w części, prawo dostępu do danych osobowych, o którym mowa w art. 17 rozporządzenia, informuje na piśmie zainteresowaną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, o zastosowanym ograniczeniu i jego głównych powodach oraz o możliwości złożenia skargi do EIOD lub skorzystania ze środka ochrony prawnej przed Trybunałem Sprawiedliwości Unii Europejskiej.
5. 
Informacje dotyczące ograniczenia dostępu mogą zostać zawieszone, pominięte lub mogą zostać odrzucone, jeżeli zgodnie z art. 25 ust. 8 rozporządzenia unieważniłyby one skutek ograniczenia.
6. 
Ograniczenie na mocy niniejszego artykułu stosuje się zgodnie z niniejszą decyzją.
Artykuł  10

Prawo do poprawiania danych, ich usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania na mocy art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia może, w razie konieczności i w stosownych przypadkach, zostać ograniczone przez administratora danych w odniesieniu do czynności, o których mowa w art. 2 ust. 2 niniejszej decyzji.
2. 
W odniesieniu do danych medycznych osoby, których dane dotyczą, mogą skorzystać z prawa do sprostowania oceny lub opinii Służby Medycznej Komisji, przekazując swoje uwagi lub sprawozdanie wybranego przez siebie lekarza, w tym bezpośrednio Służbie Medycznej Komisji.
3. 
Ograniczenie na mocy niniejszego artykułu stosuje się zgodnie z niniejszą decyzją.
Artykuł  11

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1. 
Jeżeli administrator danych jest zobowiązany do powiadamiania o naruszaniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia, może on w wyjątkowych okolicznościach ograniczać takie powiadomienia w całości lub w części. Dokumentuje on w nocie powody takiego ograniczenia, podstawę prawną, na mocy art. 2, i ocenę jego konieczności i proporcjonalności. Notę przekazuje się EIOD w momencie zgłoszenia naruszenia ochrony danych osobowych.
2. 
Jeżeli przyczyny ograniczenia przestają mieć zastosowanie, Agencja informuje osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł  12

Poufność komunikacji elektronicznej

1. 
W wyjątkowych okolicznościach Agencja może ograniczyć prawo do poufności komunikacji elektronicznej na mocy art. 36 rozporządzenia. Ograniczenia takie są zgodne z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady.
2. 
Niezależnie od art. 8 ust. 3, w przypadku gdy Agencja ogranicza prawo do poufności łączności elektronicznej, informuje zainteresowaną osobę, której dane dotyczą, w odpowiedzi na wszelkie wnioski osoby, której dane dotyczą, o głównych powodach zastosowania ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do EIOD.
Artykuł  13

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 9 listopada 2020 r.
W imieniu Komitetu Sterującego EASME
(podpis elektroniczny)
Kristin SCHREIBER
Przewodnicząca
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Decyzja wykonawcza Komisji 2013/771/UE z dnia 17 grudnia 2013 r. w sprawie ustanowienia Agencji Wykonawczej ds. Małych i Średnich Przedsiębiorstw oraz uchylenia decyzji 2004/20/WE i 2007/372/WE (Dz.U. L 341 z 18.12.2013, s. 73) oraz sprawozdanie finansowe EASME, zmienione sprawozdaniem finansowym EASME z dnia 2 października 2014 r..
3 Decyzja Komisji C(2013) 9414 z dnia 23 grudnia 2013 r. przekazująca Agencji Wykonawczej ds. Małych i Średnich Przedsiębiorstw uprawnienia w celu wykonania zadań związanych z realizacją programów unijnych w obszarze energii, środowiska, działań w dziedzinie klimatu, konkurencyjności oraz małych i średnich przedsiębiorstw, badań, innowacji i technologii informacyjno-komunikacyjnych, w tym uprawnienia do wykonania środków ujętych w budżecie ogólnym Unii, ostatnio zmieniona decyzją Komisji C(2019) 3353 z dnia 30 kwietnia 2019 r. i załącznikiem do niej.
4 Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Unii Europejskiej i warunki zatrudnienia innych pracowników Unii Europejskiej oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
5 Decyzja Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej (Dz.U. L 6 z 11.1.2017, s. 40).

Zmiany w prawie

Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"

Prezydent Andrzej Duda powiedział w czwartek, że ubolewa, że w sprawie ustawy o Wigilii wolnej od pracy nie przeprowadzono wcześniej konsultacji z prawdziwego zdarzenia. Jak dodał, jego stosunek do ustawy "uległ niejakiemu zawieszeniu". Wyraził ubolewanie nad tym, że pomimo wprowadzenia wolnej Wigilii, trzy niedziele poprzedzające święto mają być dniami pracującymi. Ustawa czeka na podpis prezydenta.

kk/pap 12.12.2024
ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2021.26.116

Rodzaj: Decyzja
Tytuł: Decyzja Komitetu Sterującego Agencji Wykonawczej ds. Małych i Średnich Przedsiębiorstw w sprawie przepisów wewnętrznych dotyczących ograniczenia określonych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych w ramach działań prowadzonych przez Agencję
Data aktu: 26/01/2021
Data ogłoszenia: 26/01/2021
Data wejścia w życie: 15/02/2021