10.4.2019   

BG

Официален вестник на Европейския съюз

LI 99/1


РЕШЕНИЕ НА ЕВРОПЕЙСКИЯ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ

от 2 април 2019 г.

относно вътрешните правила по отношение на ограничаването на някои права на субектите на данни във връзка с обработването на лични данни в рамките на дейностите, извършвани от Европейския надзорен орган по защита на данните

ЕВРОПЕЙСКИЯТ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ (ЕНОЗД),

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни (накратко „регламентът“) и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/EО (1), и по-специално член 25 и глава VI от него,

след като се консултира със секретариата на Европейския надзорен орган по защита на данните относно това решение съгласно член 41, параграф 2 от регламента,

като има предвид, че:

(1)

В контекста на функционирането си ЕНОЗД може да провежда административни разследвания, предварителни дисциплинарни, дисциплинарни производства и производства за прекратяване въз основа на член 86 от Правилника за длъжностните лица на Европейския съюз (2) и в съответствие с приложение IX към него, както и в съответствие с решението на ЕНОЗД от 23 април 2015 г. относно приемането на разпоредби за прилагане във връзка с провеждането на административни разследвания и дисциплинарни производства, както и Споразумението за нивото на обслужване относно сътрудничеството между ГД „Човешки ресурси и сигурност“ на Европейската комисия и Европейския надзорен орган по защита на данните (ЕНОЗД), подписано на 29.01.2016 г., и може да нотифицира разследвания на IDOC или OLAF, което предполага обработване на информация, включително лични данни.

(2)

Служителите на ЕНОЗД имат задължението да докладват за евентуални незаконни дейности, включително измами или корупция, накърняващи интересите на Съюза, или за поведение, свързано с изпълнението на професионални задължения, което може да представлява сериозно нарушение на задълженията на длъжностно лице на Съюза. Това е уредено с решението на ЕНОЗД от 14 юни 2016 г. относно вътрешните правила във връзка с подаването на сигнали за нередности.

(3)

ЕНОЗД е установил политика за предотвратяване и ефективно и ефикасно справяне с действителни или потенциални случаи на психически или сексуален тормоз на работното място, както това е предвидено в решението му от 10 декември 2014 г. за приемане на мерки за прилагане във връзка с членове 12а и 24 от Правилника за длъжностните лица относно производствата срещу тормоз. В решението се установява неофициална процедура, при която предполагаемата жертва на тормоз може да се обърне към доверени съветници на ЕНОЗД.

(4)

В съответствие с член 57, параграф 1, буква д) от регламента ЕНОЗД разглежда жалби във връзка с дейности по обработване, извършени от европейските институции, органи, служби и агенции. В този контекст ЕНОЗД може да провежда разследвания във връзка с предмета на жалбата.

(5)

В съответствие с член 57, параграф 1, буква е) от регламента ЕНОЗД извършва разследвания относно с прилагането на регламента с оглед неговото спазване от страна на институциите, органите, службите и агенциите на ЕС.

(6)

ЕНОЗД може да провежда разследвания във връзка с възможни нарушения на класифицираната информация на ЕС (КИЕС) въз основа на решението на ЕНОЗД от 18 февруари 2014 г. за изменение на правилата за сигурност за КИЕС.

(7)

ЕНОЗД може да извършва одити на своите дейности. Понастоящем това се извършва от Службата за вътрешен одит на Европейската комисия (по-нататък „IAS“) въз основа на споразумението за нивото на обслужване, подписано на 1 юни 2012 г. и съответното му подновяване. Одит може да бъде извършен и от координатора по вътрешния контрол в рамките на неговите правомощия.

(8)

В контекста на задачите, описани в съображения 1—7, ЕНОЗД може да предоставя и получава помощ и съдействие на и от други институции, органи, служби и агенции на Съюза, както е посочено в съответните споразумения за нивото на обслужване, меморандуми за разбирателство и споразумения за сътрудничество.

(9)

ЕНОЗД може да предоставя и да получава помощ и съдействие на и от националните органи на трети държави и международни организации по тяхно искане или по собствена инициатива, както е предвидено в член 51 от регламента.

(10)

ЕНОЗД може да предоставя и да получава помощ и съдействие на и от публичните органи на държавите — членки на ЕС, по тяхно искане или по собствена инициатива.

(11)

Въз основа на член 58, параграф 4 от регламента ЕНОЗД може да участва в дела пред Съда на Европейския съюз или като сезира Съда, или като защитава оспорени решения на ЕНОЗД или встъпва в производства, свързани с неговите задачи.

(12)

В контекста на горепосочените дейности ЕНОЗД събира и обработва съответната информация и няколко категории лични данни, включително данни за самоличността на физически лица, информация за връзка, професионални функции и задачи, информация за поведението в личния и професионалния живот и за трудовото изпълнение, както и финансови данни. ЕНОЗД действа в качеството на администратор на данни.

(13)

Въведени са подходящи гаранции за защита на личните данни и за предотвратяване на инцидентен или незаконосъобразен достъп или предаване, независимо дали те се съхраняват на физически или електронен носител. След обработването данните се съхраняват в съответствие с приложимите правила на ЕНОЗД за запазване на данни, както те са определени в регистрите за защита на данните въз основа на член 31 от регламента. В края на периода на съхранение информацията, свързана с дела, включително лични данни, се заличава, анонимизира или прехвърля в архиви.

(14)

В този контекст ЕНОЗД е длъжен да изпълнява своето задължение да предоставя информация на субектите на данни във връзка с горепосочените дейности по обработване и да зачита правата на субектите на данни, както това е определено в регламента.

(15)

Може да възникне необходимост правата на субектите на данни съгласно регламента да се съгласуват с потребностите на горепосочените дейности, като същевременно се зачитат в пълна степен основните права и свободи на другите субекти на данни. За тази цел в член 25 от регламента е предвидена възможността при строго определени условия да се ограничава прилагането на членове 14—20, 35 и 36, както и на член 4, доколкото неговите разпоредби се отнасят до правата и задълженията, предвидени в членове 14—20. В този случай е необходимо да се приемат вътрешни правила, съгласно които ЕНОЗД да може да ограничава тези права в съответствие със същия член от регламента.

(16)

Това може да бъде необходимо по-специално в случая, когато се предоставя информация относно обработването на лични данни на субекта на данни на етапа на предварителна оценка в административно разследване или по време на самото разследване, преди евентуално прекратяване на делото или преди предварителна дисциплинарна фаза. При определени обстоятелства предоставянето на такава информация може значително да повлияе върху способността на ЕНОЗД да проведе разследването по ефективен начин, когато например съществува риск засегнатото лице да унищожи доказателства или да въздейства върху потенциални свидетели, преди да бъдат снети показанията им. Освен това може да се наложи ЕНОЗД да защити своите права и свободи, както и правата и свободите на други засегнати лица.

(17)

Може да е необходимо да се защити таен свидетел или лице, сигнализиращо за нередности, което е поискало да не бъде разкривана самоличността му. В такъв случай ЕНОЗД може да реши да ограничи достъпа до самоличността, показанията и други лични данни на лицето, сигнализиращо за нередности, и на другите участници, с цел защита на техните права и свободи.

(18)

Може да е необходимо да се запази поверителност относно член на персонала, който се е свързал с доверените съветници на ЕНОЗД в контекста на процедура във връзка с тормоз. В такъв случай ЕНОЗД може да реши да ограничи достъпа до самоличността, показанията и други лични данни на предполагаемата жертва, предполагаемия извършител и на други участници с цел защита на техните права и свободи.

(19)

При разглеждането на жалби във връзка с дейности по обработване, извършени от европейските институции, органи, служби и агенции, при определени обстоятелства може да е необходимо ЕНОЗД да опази ефективността на своите разследвания и по целесъобразност, да защити участващите лица и техните права и свободи.

(20)

При провеждането на разследвания относно прилагането на регламента с цел осигуряване на спазването му от страна на европейските институции, органи, служби и агенции, при определени обстоятелства може да е необходимо ЕНОЗД да опази ефективността на своите разследвания и по целесъобразност, да защити участващите лица и техните права и свободи.

(21)

При провеждането на разследвания на възможни нарушения на КИЕС може да се наложи при определени обстоятелства Европейския надзорен орган по защита на данните да запази ефективността на разследванията си и да осигури при необходимост вътрешната сигурност на институциите, органите, службите и агенциите на Съюза, включително на техните електронни съобщителни мрежи, както и правата и свободите на засегнатите субекти на данни.

(22)

При предоставянето или получаването на помощ и сътрудничество на или от други институции, органи, служби и агенции на Съюза, публични органи на държавите — членки на ЕС, национални органи на трети държави и международни организации в контекста на горепосочените дейности, при определени обстоятелства може да се наложи ЕНОЗД да опази ефективността на своите разследвания или на разследванията, извършвани от организацията, с която си сътрудничи, и по целесъобразност, да защити засегнатите лица и техните права и свободи.

(23)

Когато сезира Съда на Европейския съюз или встъпва в производство, може да се наложи ЕНОЗД да запази поверителността на личните данни, съдържащи се в документи, получени от страните или от встъпилите страни в контекста на разглеждания случай.

(24)

ЕНОЗД следва да прилага ограничения само когато те са съобразени с характера на основните права и свободи и са строго необходима и пропорционална мярка в едно демократично общество. ЕНОЗД следва да представи обосновки, в които са обяснени основанията за тези ограничения.

(25)

Въз основа на принципа на отчетност ЕНОЗД следва да води регистър за прилаганите ограничения.

(26)

Когато обработва лични данни, обменени с други организации в рамките на своите задачи, ЕНОЗД следва да се консултира с тези организации и от своя страна да предоставя консултации относно възможните съответни основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това би представлявало заплаха за дейностите на ЕНОЗД.

(27)

В член 25, параграф 6 от Регламент (ЕС) 2018/1725 се определя задължение за администратора да информира субектите на данни за основните причини за прилагането на ограничението и за правото им да подадат жалба до ЕНОЗД;

(28)

В съответствие с член 25, параграф 8 от регламента ЕНОЗД може да отложи, да пропусне или да откаже да предостави информация относно причините за прилагането на ограничение на субекта на данните, ако това по някакъв начин би премахнало ефекта от ограничението. ЕНОЗД следва да преценява индивидуално за всеки отделен случай дали съобщаването относно ограничението би обезсилило неговия ефект.

(29)

ЕНОЗД следва да отмени ограничението веднага щом условията, които го обосновават, вече не са приложими, и редовно да извършва оценка на тези условия.

(30)

За да се гарантира максимална защита на правата и свободите на субектите на данни и в съответствие с член 44, параграф 1 от регламента, длъжностното лице за защита на данните следва да бъде уведомено своевременно за всички ограничения, които се прилагат, и да осигури спазването на настоящото решение.

(31)

Прилагането на ограничения, както това е посочено по-горе, не засяга възможното прилагане на разпоредбите на член 16, параграф 5 и член 17, параграф 4, отнасящи се съответно до правото на информация, когато данните не са били получени от субекта на данните, и до правото на достъп на субекта на данните.

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Предмет и приложно поле

С настоящото решение се установяват правила относно условията, при които ЕНОЗД може да ограничи прилагането на членове 14—20, член 35 и член 36, както и член 4 от него въз основа на член 25 от регламента.

Член 2

Ограничения

1.   Съгласно член 25, параграф 1 от регламента ЕНОЗД може да ограничава прилагането на членове 14—20, 35 и 36, както и на член 4 от него, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—20, когато:

а)

провежда административни разследвания, предварителни дисциплинарни, дисциплинарни производства и производства за прекратяване въз основа на член 86 от Правилника за длъжностните лица на Европейския съюз (3) и в съответствие с приложение IX към него, както и решение на ЕНОЗД от 23 април 2015 г., и може да нотифицира случаи на IDOC или OLAF. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), ж) и з) от регламента;

б)

гарантира поверителността на докладвани факти от членовете на персонала на ЕНОЗД, когато се смята, че са налице тежки нередности, както това е уредено от решението на ЕНОЗД от 14 юни 2016 г. относно вътрешните правила във връзка с подаването на сигнали за нередности. Съответните ограничения могат да се основават на член 25, параграф 1, буква з) от регламента;

в)

гарантира поверителността на докладвани факти от членовете на персонала на ЕНОЗД пред доверени съветници в контекста на процедура във връзка с тормоз, както това е определено в решението на ЕНОЗД от 10 декември 2014 г. Съответните ограничения могат да се основават на член 25, параграф 1, буква з) от регламента;

г)

провежда разследвания по предмета на жалби във връзка с дейности по обработване, извършвани от европейските институции, органи, служби и агенции, съгласно член 57, параграф 1, буква д) от регламента. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), ж) и з) от регламента;

д)

провежда разследвания по прилагането на регламента с оглед осигуряване спазването му от страна на европейските институции, органи, служби и агенции, съгласно член 57, параграф 1, буква е) от регламента. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), ж) и з) от регламента;

е)

провежда разследвания във връзка с възможни нарушения на класифицираната информация на ЕС (КИЕС) въз основа на решението на ЕНОЗД от 18 февруари 2014 г. за изменение на правилата за сигурност за КИЕС. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), г), ж) и з) от регламента;

ж)

извършва вътрешни одити във връзка с всички дейности и отдели на ЕНОЗД. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), ж) и з) от регламента;

з)

предоставя или получава помощ и съдействие на и от други институции, органи, служби и агенции на Съюза в контекста на горепосочените дейности, както това е определено в съответните споразумения за нивото на обслужване, меморандуми за разбирателство и споразумения за сътрудничество. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), г), ж) и з) от регламента;

и)

предоставя или получава помощ и съдействие на и от националните органи на трети държави и международни организации по тяхно искане или по собствена инициатива, както е предвидено в член 51 от регламента. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), ж) и з) от регламента;

й)

предоставя и получава помощ и съдействие на и от публичните органи на държавите — членки на ЕС, по тяхно искане или по собствена инициатива. Съответните ограничения могат да се основават на член 25, параграф 1, букви в), ж) и з) от регламента;

к)

обработва лични данни в документи, получени от страни или встъпилите страни в контекста на конкретния случай, когато сезира Съда на Европейския съюз или встъпва в производство пред него въз основа на член 58, параграф 4 от регламента. Съответните ограничения могат да се основават на член 25, параграф 1, буква д) от регламента;

2.   Категориите данни включват данни за самоличността на физически лица, информация за връзка, професионални функции и задачи, информация за поведението в личния и професионалния живот и за трудовото изпълнение, както и финансови данни.

3.   Всички ограничения следва да са съобразени с характера на основните права и свободи и да представляват необходима и пропорционална мярка в едно демократично общество.

4.   Преди прилагане на ограниченията, се извършва проверка за необходимост и пропорционалност за всеки отделен случай. Ограниченията следва да се ограничават само до строго необходимото за постигане на поставените цели.

5.   За целите на отчетността ЕНОЗД води регистър, в който се описват причините за прилаганите ограничения, кои от посочените в параграф 1 основания се прилагат и резултатът от проверката за необходимост и пропорционалност. Този регистър е част от специален регистър, който се предоставя при поискване на ЕНОЗД. Периодично се предоставя доклад относно прилагането на член 25 от регламента.

6.   Когато обработва лични данни, обменени с други организации в рамките на своите задачи, ЕНОЗД се консултира с тези организации и от своя страна предоставя консултации относно възможните съответни основания за налагане на ограничения и необходимостта и пропорционалността на тези ограничения, освен ако това би представлявало заплаха за дейностите на ЕНОЗД.

Член 3

Рискове за правата и свободите на субектите на данни

Оценката на рисковете за правата и свободите на субектите на данни, които могат да бъдат предмет на ограничаване по отношение на личните им данни, както и срокът на съхранение за такива данни, се посочват в регистъра на съответните дейности по обработване в съответствие с член 31 от регламента и, ако е приложимо, в съответните оценки на въздействието върху защитата на данните на основание член 39 от регламента.

Член 4

Срокове на съхранение и гаранции

ЕНОЗД използва гаранции за предотвратяване на злоупотреби или незаконен достъп, или предаване на лични данни, които може да са предмет на ограничаване. Тези гаранции включват технически и организационни мерки и са подробно разписани във вътрешни решения, процедури и правила за прилагане на ЕНОЗД, според необходимостта. Гаранциите включват:

а)

подходящо определяне на функциите, отговорностите и процедурните етапи;

б)

ако е приложимо, сигурна електронна среда, която предпазва от незаконосъобразен или случаен достъп или предаване на електронни данни към неоправомощени лица;

в)

ако е приложимо, сигурно съхранение и обработване на документи на хартиен носител.

г)

надлежно наблюдение на ограниченията и периодично преразглеждане, което се извършва най-малко на всеки шест месеца. Преглед трябва да се извърши и когато се променят съществени елементи на текущия случай. Ограниченията се отменят веднага след като престанат да се прилагат обстоятелствата, които ги обосновават.

Член 5

Уведомяване на длъжностното лице за защита на данните и преглед

1.   Длъжностното лице за защита на данните на ЕНОЗД се уведомява своевременно винаги когато права на субект на данни бъдат ограничени в съответствие с настоящото решение и му се предоставя достъп до регистъра и всички документи, които съставляват фактите и правните елементи.

2.   Длъжностното лице за защита на данните на ЕНОЗД може да поиска преразглеждане на прилагането на ограничението. ЕНОЗД уведомява писмено длъжностното лице за защита на данните за резултата от искания преглед.

3.   Участието на длъжностното лице за защита на данните на ЕНОЗД в процедурата по ограничаване, включително обменът на информация, се документират в подходяща форма.

Член 6

Уведомяване на субектите на данни относно ограничаването на техни права

1.   ЕНОЗД включва в обявите относно защитата на данните, които се публикуват на неговата интернет страница, обща информация, предназначена за субектите на данни във връзка с възможното ограничаване на всички техни права, описани в член 2, параграф 1. Информацията обхваща правата, които могат да бъдат ограничени, причините и евентуалната продължителност на ограничението.

2.   Освен това ЕНОЗД своевременно уведомява в писмена форма поотделно субектите на данни относно настоящи или бъдещи ограничения на техните права, както е посочено в членове 7, 8 и 9.

Член 7

Право на информация, която се предоставя на субектите на данни, и съобщаване на нарушения на сигурността на данните

1.   Когато в контекста на дейностите, посочени в настоящото решение, ЕНОЗД ограничава, изцяло или частично, техните права, определени в членове 14—16 и член 35 от регламента, субектите на данни се уведомяват за основните причини за прилагането на ограничението, както и за правото им да подадат жалба до ЕНОЗД и да търсят съдебна защита пред Съда на Европейския съюз.

2.   ЕНОЗД може да отложи, да пропусне или да откаже да предостави информация относно причините за ограничението, посочено в параграф 1, доколкото това би обезсилило ограничението. Оценката за това се извършва за всеки отделен случай.

Член 8

Право на субектите на данни на достъп, коригиране, заличаване и ограничаване на обработването

1.   Когато в контекста на дейностите, посочени в настоящото решение, ЕНОЗД ограничава изцяло или частично правото на достъп до личните данни, правото на коригиране, заличаване и ограничаване на обработването, определени съответно в членове 17—20 от регламента, той уведомява съответните субекти на данни в отговора си на тяхно искане за основните причини за прилагането на ограничението, както и за възможността им да подадат жалба до ЕНОЗД или да търсят съдебна защита пред Съда на Европейския съюз.

2.   Когато правото на достъп е изцяло или частично ограничено, ЕНОЗД уведомява в хода на разглеждането на жалбата субекта на данни само относно това дали данните са били правилно обработвани, а ако не са, дали са направени необходимите корекции в съответствие с член 25, параграф 7 от регламента.

3.   ЕНОЗД може да отложи, да пропусне или да откаже да предостави информация относно причините за ограничението, посочено в параграфи 1 и 2, доколкото това би обезсилило ограничението. Оценката за това се извършва за всеки отделен случай.

Член 9

Поверителност на електронните съобщения

1.   При изключителни обстоятелства и в съответствие с разпоредбите и философията на Директива 2002/58/ЕО, ЕНОЗД може да ограничи правото на поверителност на електронните съобщения, определено в член 36 от регламента. В този случай ЕНОЗД описва подробно обстоятелствата, основанията, съответните рискове и свързаните с тях гаранции, в конкретни вътрешни правила.

2.   Когато ЕНОЗД ограничава правото на поверителност на електронните съобщения, той уведомява съответните субекти на данни в отговора си на тяхно искане за основните причини за прилагането на ограничението, както и за възможността им да подадат жалба до ЕНОЗД или да търсят защита по съдебен ред пред Съда на Европейския съюз.

3.   ЕНОЗД може да отложи, да пропусне или да откаже да предостави информация относно причините за ограничението, посочено в параграфи 1 и 2, доколкото това би обезсилило ограничението. Оценката за това се извършва за всеки отделен случай.

Член 10

Влизане в сила

Настоящото решение влиза в деня на публикуването му в Официален вестник на Европейския съюз.

Съставено в Брюксел на 2 април 2019 г.

За Европейския надзорен орган по защита на данните

Giovanni BUTTARELLI


(1)  ОВ L 295, 21.11. 2018 г., стр. 39.

(2)  Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. относно Правилника за длъжностните лица и условията за работа на други служители на Европейските общности и относно постановяване на специални мерки, временно приложими за длъжностните лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1).

(3)  Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 г. относно определяне на Правилника за длъжностните лица и условията за работа на други служители на Европейските общности и относно постановяване на специални мерки, временно приложими за длъжностните лица на Комисията (ОВ L 56, 4.3.1968 г., стр. 1).