Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2025.628

Decyzja 2025/628 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065

DECYZJA KOMISJI (UE) 2025/628
z dnia 31 marca 2025 r.
ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności jego art. 25,

a także mając na uwadze, co następuje:

(1) Komisja prowadzi czynności sprawdzające w celu egzekwowania przepisów określonych w rozporządzeniu (UE) 2022/2065 2  w odniesieniu do dostawców bardzo dużych platform internetowych i wyszukiwarek internetowych. W tym celu Komisja wykonuje uprawnienia w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania powierzone jej na mocy rozporządzenia (UE) 2022/2065.

(2) Zadania Komisji wynikające z rozporządzenia (UE) 2022/2065 wykonuje Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii.

(3) W kontekście wykonywania swoich zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065 Komisja przetwarza informacje. Informacje te mogą obejmować dane osobowe osób fizycznych takich jak poszczególni pracownicy przedsiębiorstwa (na przykład kierownik komórki ds. nadzoru zgodności z prawem lub pracownicy punktu kompleksowej obsługi), podejrzani, ofiary, sygnaliści, informatorzy i świadkowie, jak również innych osób fizycznych, których dane osobowe są zawarte w dokumentach zgromadzonych w związku z wykonywaniem przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.

(4) Przetwarzanie danych osobowych w rozumieniu art. 3 ust. 3 rozporządzenia (UE) 2018/1725, dokonywane w trakcie działań w zakresie czynności sprawdzających i egzekwowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, może mieć miejsce już przed formalnym wszczęciem przez Komisję postępowania na podstawie art. 66 rozporządzenia (UE) 2022/2065, może być kontynuowane przez cały czas trwania takiego postępowania, jak również nawet po jego formalnym zamknięciu (na przykład do celów monitorowania zgodności z przepisami lub działań w zakresie nadzorowania, aby ocenić, czy konieczne jest wszczęcie nowego postępowania lub podjęcie kroków prawnych).

(5) Na potrzeby wykonywania zadań na podstawie rozporządzenia (UE) 2022/2065 Komisja przetwarza szereg kategorii danych osobowych, takich jak dane dotyczące tożsamości, dane kontaktowe, dane dotyczące udziału w sprawie, dane dotyczące sprawy oraz wszelkie inne informacje uznane za niezbędne. Kategorie przetwarzanych danych osobowych mogą również - choć jest to mało prawdopodobne - obejmować szczególne kategorie danych osobowych, o których mowa w art. 10 ust. 1 rozporządzenia (UE) 2018/1725, o ile zastosowanie ma którykolwiek z powodów wymienionych w art. 10 ust. 2 lub 3 tego rozporządzenia, jak również dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o których mowa w art. 11 rozporządzenia (UE) 2018/1725. Przy wykonywaniu swoich zadań na podstawie rozporządzenia (UE) 2022/2065 Komisja jest zobowiązana do poszanowania praw osób fizycznych w związku z przetwarzaniem danych osobowych, zgodnie z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o Funkcjonowaniu Unii Europejskiej, a także praw przewidzianych w rozporządzeniu (UE) 2018/1725. Jednocześnie Komisja, w kontekście działań prowadzonych przez nią na podstawie rozporządzenia (UE) 2022/2065, jest zobowiązana do przestrzegania rygorystycznych zasad dotyczących poufności i tajemnicy zawodowej, o których mowa w art. 84 tego rozporządzenia.

(6) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, przewidzianych w rozporządzeniu (UE) 2018/1725, ze skutecznym wykonywaniem przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, przy jednoczesnym zapewnieniu pełnego poszanowania podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 Komisja może ograniczyć, na określonych warunkach, zastosowanie art. 14-22, 35 i 36 rozporządzenia (UE) 2018/1725, a także zastosowanie art. 4 tego rozporządzenia w zakresie, w jakim przepisy tego artykułu odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 rozporządzenia (UE) 2018/1725.

(7) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, z potrzebą zabezpieczenia celów w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, stanowiącą ważny cel leżący w ogólnym interesie publicznym Unii zgodnie z art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. Komisja może zastosować ograniczenia na przykład wtedy, gdy wykonywanie tych praw poważnie wpływałoby na jej zdolność do skutecznego prowadzenia czynności sprawdzających, a tym samym utrudniałoby osiągnięcie celu tych czynności. W takich przypadkach w trakcie czynności sprawdzających istnieje ryzyko zniszczenia dowodów lub ingerencji w działania kluczowych podmiotów (na przykład świadków).

(8) W określonych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, z podstawowymi prawami i wolnościami innych zainteresowanych osób, takich jak ofiary lub świadkowie. W takim przypadku Komisja może podjąć decyzję o ograniczeniu dostępu do tożsamości, oświadczeń i innych danych osobowych takich osób w celu ochrony ich praw i wolności zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może podjąć taką decyzję w szczególności w celu ochrony tych osób przed ewentualnymi działaniami odwetowymi.

(9) Należy zapewnić ochronę informacji poufnych dotyczących informatora, sygnalisty lub każdej innej osoby fizycznej, która przekazała Komisji informacje w kontekście wykonywania przez Komisję zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065. Komisja powinna ograniczyć dostęp do tożsamości, oświadczeń i innych danych osobowych takich osób przekazujących informacje w celu ochrony praw i wolności wszystkich zainteresowanych zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725. Komisja może ujawnić tożsamość osoby przekazującej informacje jedynie za jej zgodą. Komisja powinna ujawnić jej tożsamość, jeżeli wymaga tego prawo lub organ sądowy. W przypadkach, gdy osoby, których dane dotyczą, składają wniosek o dostęp do swoich danych osobowych, powinny one uzyskać dostęp do takich danych osobowych, w tym danych przekazanych przez osobę przekazującą informacje. W celu zapewnienia anonimowości osób przekazujących informacje Komisja nie powinna przekazywać osobie, której dane dotyczą, imienia ani nazwiska osoby przekazującej informacje ani żadnych innych informacji, które umożliwiałyby jej bezpośrednią lub pośrednią identyfikację.

(10) Ponadto aby zapewnić skuteczne stosowanie rozporządzenia (UE) 2022/2065, w szczególności w odniesieniu do współpracy Komisji i państw członkowskich, Komisja może ograniczyć stosowanie praw osób, których dane dotyczą, a tym samym zabezpieczyć ważny cel leżący w ogólnym interesie publicznym Unii lub państwa członkowskiego, o czym mowa w art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725. Komisja może tak postąpić w sytuacji, gdy osiągnięcie celu takiego ograniczenia zastosowanego przez organ państwa członkowskiego byłoby zagrożone, jeżeli Komisja nie zastosowałaby równoważnego ograniczenia w odniesieniu do tych samych danych osobowych. Ponadto aby zapewnić skuteczne stosowanie rozporządzenia (UE) 2022/2065, Komisja może zastosować ograniczenia w celu zabezpieczenia zapobiegania przestępstwom, prowadzenia postępowań przygotowawczych w ich sprawie, ich wykrywania lub ścigania lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, zgodnie z art. 25 ust. 1 lit. b) rozporządzenia (UE) 2018/1725. Stosując ograniczenia na podstawie art. 25 ust. 1 lit. c) rozporządzenia (UE) 2018/1725, Komisja powinna konsultować się z danym państwem członkowskim, które zabezpiecza ważny cel leżący w ogólnym interesie publicznym, w sprawie stosownych potencjalnych powodów zastosowania ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że konsultacje takie stanowiłyby zagrożenie dla działań Komisji. Zgodnie z art. 25 ust. 1 lit. g) rozporządzenia (UE) 2018/1725 Komisja może podjąć decyzję o ograniczeniu stosowania praw osób, których dane dotyczą, w celu zabezpieczenia funkcji kontrolnych, inspekcyjnych lub regulacyjnych związanych, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach wspomnianych powyżej oraz w przypadkach, o których mowa w art. 25 ust. 1 lit. b) i c) rozporządzenia (UE) 2018/1725.

(11) Komisja powinna stosować ograniczenia tylko wtedy, gdy są one zgodne z podstawowymi prawami i wolnościami określonymi w Karcie, są absolutnie niezbędne oraz stanowią proporcjonalny środek w społeczeństwie demokratycznym. Komisja powinna przedstawić uzasadnienie tych ograniczeń.

(12) Art. 25 ust. 6 rozporządzenia (UE) 2018/1725 zobowiązuje administratora danych do informowania osób, których dane dotyczą, o podstawowych powodach zastosowania ograniczenia oraz o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

(13) Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 Komisja może wstrzymać przekazanie informacji o podstawowych powodach zastosowania ograniczenia osobie, której dane dotyczą, pominąć takie przekazanie lub go odmówić, gdyby mogło ono w jakikolwiek sposób unieważnić skutek ograniczenia. Komisja powinna ocenić w każdym przypadku z osobna, czy powiadomienie o ograniczeniu unieważniłoby jego skutek.

(14) Komisja powinna znieść ograniczenie niezwłocznie po ustaniu warunków je uzasadniających i regularnie oceniać te warunki.

(15) W celu zapewnienia zgodności z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 Komisja powinna informować - w sposób przejrzysty i spójny, w formie oświadczenia o ochronie danych publikowanego na stronie internetowej Komisji - wszystkie osoby, których dane dotyczą, o swoich działaniach obejmujących przetwarzanie danych osobowych tych osób oraz o prawach przysługujących tym osobom. Komisja powinna za pomocą odpowiednich środków indywidualnie informować sygnalistów, informatorów, świadków oraz, w stosownych przypadkach, poszczególnych pracowników przedsiębiorstwa (na przykład kierownika komórki ds. nadzoru zgodności z prawem lub pracowników punktu kompleksowej obsługi), o przetwarzaniu ich danych osobowych.

(16) W art. 16 ust. 5 rozporządzenia (UE) 2018/1725 przewidziano wyjątki od prawa do informacji przysługującego osobom, których dane dotyczą. Jeżeli wyjątki te mają zastosowanie, Komisja nie musi stosować ograniczenia prawa do informacji na mocy niniejszej decyzji. Wyjątki na podstawie art. 16 ust. 5 lit. b) rozporządzenia (UE) 2018/1725 mają zastosowanie w przypadku, gdy udzielenie informacji, o których mowa w art. 16 ust. 1-4 tego rozporządzenia, okazałoby się niemożliwe, wymagałoby niewspółmiernie dużego wysiłku bądź uczyniłoby niemożliwym lub poważnie utrudniłoby osiągnięcie celów przetwarzania danych. W przypadkach osób, których dane dotyczą, nieistotnych dla czynności sprawdzających i których dane osobowe są zawarte w dokumentach zgromadzonych w ramach nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, innych niż indywidualnie informowane osoby, których dane dotyczą, udzielenie tych informacji mogłoby okazać się niemożliwe lub wymagać niewspółmiernie dużego wysiłku. Może tak być w przypadku, gdy Komisja uzyskuje dane osobowe w kontekście informacji przekazanych przez sygnalistę lub w trakcie działań w zakresie monitorowania prowadzonych przez nią w celu zapewnienia skutecznego wdrożenia i przestrzegania rozporządzenia (UE) 2022/2065. Wyjątki na podstawie art. 16 ust. 5 lit. b) rozporządzenia (UE) 2018/1725 mogą być również stosowane w przypadku, gdy udzielenie takich informacji podejrzanym i ofiarom powiązanym ze sprawą mogłoby uczynić niemożliwym lub poważnie utrudnić osiągnięcie celów przetwarzania danych.

(17) W zastosowaniu zasad przejrzystości, sprawiedliwości i rozliczalności Komisja powinna zajmować się wszystkimi wyjątkami i ograniczeniami w przejrzysty sposób oraz prowadzić rejestr stosowania tych wyjątków i ograniczeń.

(18) Aby zagwarantować ochronę praw i wolności osób, których dane dotyczą, oraz zgodnie z art. 44 ust. 1 rozporządzenia (UE) 2018/1725, w trakcie całej procedury stosowania ograniczeń Komisja powinna zaangażować w nią koordynatora ds. ochrony danych w Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii oraz inspektora ochrony danych Komisji oraz dokumentować prowadzone z nimi konsultacje. W szczególności należy w odpowiednim czasie przeprowadzić konsultacje z koordynatorem ds. ochrony danych w sprawie wszelkich ograniczeń, które mogą zostać zastosowane, i powinien on zweryfikować ich zgodność z niniejszą decyzją.

(19) Inspektor ochrony danych Komisji powinien przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją.

(20) Skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 22 października 2024 r.,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot

1. 
W niniejszej decyzji ustanawia się przepisy obowiązujące Komisję w odniesieniu do informowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych zgodnie z art. 14, 15 i 16 rozporządzenia (UE) 2018/1725 w trakcie wykonywania przez Komisję działań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
W niniejszej decyzji określa się również warunki, na jakich Komisja może ograniczyć stosowanie art. 4, 14-20 i 35 rozporządzenia (UE) 2018/1725 zgodnie z jego art. 25 ust. 1 lit. b), c), g) i h).
Artykuł  2

Zakres

1. 
Niniejsza decyzja ma zastosowanie do przetwarzania przez Komisję danych osobowych następujących kategorii osób, których dane dotyczą:
a)
podejrzani;
b)
ofiary;
c)
sygnaliści;
d)
informatorzy;
e)
świadkowie;
f)
personel przedsiębiorstwa;
g)
osoby fizyczne, których dane osobowe zawarte są w dokumentach lub innych mediach zgromadzonych w ramach nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
Niniejsza decyzja ma zastosowanie do przetwarzania danych osobowych należących do następujących kategorii danych osobowych:
a)
dane dotyczące tożsamości;
b)
dane kontaktowe;
c)
dane dotyczące udziału w sprawie;
d)
dane dotyczące sprawy;
e)
wszelkie inne informacje uznane za niezbędne do spełnienia wymogów wynikających z rozporządzenia (UE) 2022/2065, w tym dane osobowe, o których mowa w art. 10 ust. 1 i art. 11 rozporządzenia (UE) 2018/1725.
Artykuł  3

Ograniczenia

1. 
Z zastrzeżeniem przepisów art. 3-8 niniejszej decyzji Komisja może ograniczyć stosowanie art. 14-20 i 35 rozporządzenia (UE) 2018/1725, a także zasady przejrzystości określonej w art. 4 ust. 1 lit. a) tego rozporządzenia w zakresie, w jakim przepis ten odpowiada prawom i obowiązkom przewidzianym w art. 14-20 rozporządzenia (UE) 2018/1725, jeżeli:
a)
wykonywanie tych praw zagrażałoby celowi działań Komisji w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania prowadzonych na podstawie rozporządzenia (UE) 2022/2065, zgodnie z art. 25 ust. 1 lit. c) i
g)
rozporządzenia (UE) 2018/1725;
b)
wykonywanie tych praw i obowiązków miałoby negatywny wpływ na ochronę osoby, której dane dotyczą, lub na prawa i wolności innych osób, zgodnie z art. 25 ust. 1 lit. h) rozporządzenia (UE) 2018/1725;
c)
wykonywanie tych praw i obowiązków mogłoby zagrozić współpracy Komisji z państwami członkowskimi mającej na celu zapewnienie skutecznego stosowania rozporządzenia (UE) 2022/2065, zgodnie z art. 25 ust. 1 lit. b) i g) rozporządzenia (UE) 2018/1725.
2. 
Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w ust. 1 lit. c), Komisja konsultuje się z odpowiednimi państwami członkowskimi w sprawie potencjalnych powodów zastosowania ograniczeń oraz konieczności i proporcjonalności tych ograniczeń, chyba że konsultacje takie stanowiłyby zagrożenie dla działań Komisji.
3. 
Przepisy ust. 1 i 2 niniejszego artykułu pozostają bez uszczerbku dla stosowania innych decyzji Komisji ustanawiających przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw na podstawie art. 25 rozporządzenia (UE) 2018/1725.
4. 
Przed zastosowaniem ograniczeń, o których mowa w ust. 1, Komisja ocenia i dokumentuje w każdym przypadku z osobna ich konieczność i proporcjonalność. Ograniczenia te nie mogą wykraczać poza to, co jest bezwzględnie konieczne do osiągnięcia ich celu.
Artykuł  4

Przekazywanie informacji osobom, których dane dotyczą

1. 
Komisja publikuje na swojej stronie internetowej oświadczenie o ochronie danych, w którym informuje wszystkie osoby, których dane dotyczą, o prowadzonych przez nią działaniach obejmujących przetwarzanie ich danych osobowych do celów zadań w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania wykonywanych przez nią na podstawie rozporządzenia (UE) 2022/2065. Oświadczenie o ochronie danych zawiera również informacje o możliwości ograniczenia praw osób, których dane dotyczą, zgodnie z art. 3. Informacje te dotyczą praw, które mogą zostać ograniczone, powodów, dla których ograniczenia mogą być stosowane, oraz ich potencjalnego czasu trwania.
2. 
Komisja za pomocą odpowiednich środków indywidualnie informuje sygnalistów, informatorów, świadków oraz, w stosownych przypadkach, poszczególnych pracowników przedsiębiorstwa, o przetwarzaniu ich danych osobowych.
3. 
W przypadku gdy Komisja ogranicza, zgodnie z art. 3, w całości lub w części przekazywanie informacji, o którym mowa w ust. 1, zapisuje ona oraz ujmuje w rejestrze powody ograniczenia zgodnie z art. 7 niniejszej decyzji. Komisja informuje również osoby, których dane dotyczą, o przysługującym im prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
Artykuł  5

Prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych oraz prawo do ograniczenia przetwarzania

1. 
W przypadku gdy Komisja ogranicza, w całości lub w części, prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych lub prawo do ograniczenia przetwarzania, o których to prawach mowa odpowiednio w art. 17-20 rozporządzenia (UE) 2018/1725, informuje daną osobę, której dane dotyczą, w odpowiedzi na wniosek o dostęp, sprostowanie, usunięcie lub ograniczenie przetwarzania o następujących elementach:
a)
zastosowanym ograniczeniu i jego głównych powodach;
b)
możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
2. 
Komisja może wstrzymać przekazanie informacji o powodach zastosowania ograniczenia i o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych, pominąć je lub go odmówić, o ile przekazanie takich informacji skutkowałoby unieważnieniem skutku ograniczenia. Komisja ocenia w każdym przypadku z osobna, czy jest to uzasadnione. Gdy tylko przekazanie takich informacji przestaje wywoływać unieważnienie skutku ograniczenia, Komisja przekazuje te informacje osobie, której dane dotyczą.
Artykuł  6

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

1. 
Jeżeli Komisja jest zobowiązana do zawiadomienia o naruszeniu ochrony danych osobowych na podstawie art. 35 ust. 1 rozporządzenia (UE) 2018/1725, może ona w wyjątkowych okolicznościach ograniczyć takie zawiadomienie w całości lub w części. Komisja zapisuje oraz ujmuje w rejestrze powody takiego ograniczenia, jego podstawę prawną na mocy art. 3 oraz ocenę jego konieczności i proporcjonalności. Taki zapis jest przekazywany Europejskiemu Inspektorowi Ochrony Danych w momencie zgłaszania naruszenia ochrony danych osobowych.
2. 
Jeżeli powody ograniczenia przestają mieć zastosowanie, Komisja zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i informuje ją o głównych powodach ograniczenia oraz o przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.
3. 
W przypadku gdy Komisja zgłasza Europejskiemu Inspektorowi Ochrony Danych naruszenie ochrony danych osobowych na podstawie art. 34 ust. 1 rozporządzenia (UE) 2018/1725, dołącza zapis dokonany na podstawie art. 7 niniejszej decyzji.
Artykuł  7

Zapisywanie i rejestrowanie ograniczeń

1. 
Komisja zapisuje powody nałożenia każdego ograniczenia zastosowanego na podstawie niniejszej decyzji, jego podstawę prawną, ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą, związanego z nałożeniem danego ograniczenia oraz ocenę jego konieczności i proporcjonalności, z uwzględnieniem odpowiednich elementów określonych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
2. 
W zapisie tym określa się, w jaki sposób wykonywanie prawa przez daną osobę, której dane dotyczą, narusza co najmniej jeden z mających zastosowanie powodów wymienionych w art. 25 ust. 1 lit. b), c), g) i h) rozporządzenia (UE) 2018/1725.
3. 
Zapis ten oraz, w stosownych przypadkach, dokumenty zawierające leżące u jego podstaw elementy stanu faktycznego oraz aspekty prawne ujmuje się w rejestrze. Udostępnia się je na żądanie Europejskiemu Inspektorowi Ochrony Danych.
4. 
Komisja przygotowuje okresowe sprawozdania ze stosowania ograniczeń zgodnie z art. 25 rozporządzenia (UE) 2018/1725 na podstawie niniejszej decyzji.
Artykuł  8

Okres obowiązywania ograniczeń

1. 
Ograniczenia, o których mowa w art. 4, 5 i 6, mają zastosowanie tak długo, jak długo mają zastosowanie uzasadniające je powody oraz zostają zniesione, gdy tylko powody te przestają mieć zastosowanie.
2. 
Jeżeli powody nałożenia ograniczenia przestają mieć zastosowanie, Komisja znosi to ograniczenie.
3. 
Komisja informuje również osobę, której dane dotyczą, o powodach zastosowania ograniczenia oraz o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.
4. 
Komisja dokonuje przeglądu stosowania ograniczeń, o których mowa w art. 4, 5 i 6, co sześć miesięcy oraz w momencie zamknięcia sprawy. Przegląd obejmuje ocenę konieczności i proporcjonalności ograniczenia, z uwzględnieniem odpowiednich elementów wymienionych w art. 25 ust. 2 rozporządzenia (UE) 2018/1725.
Artykuł  9

Zabezpieczenia i zatrzymywanie danych

1. 
Komisja wdraża zabezpieczenia w celu zapobiegnięcia nadużyciom i bezprawnemu dostępowi do danych osobowych lub bezprawnemu przekazywaniu danych osobowych, w odniesieniu do których są lub mogą być stosowane ograniczenia lub wyjątki. Takie zabezpieczenia obejmują między innymi następujące środki techniczne i organizacyjne:
a)
jasne określenie ról, obowiązków, etapów proceduralnych i praw dostępu;
b)
bezpieczne środowisko elektroniczne, które zapobiega bezprawnemu lub przypadkowemu dostępowi do danych elektronicznych lub przekazywaniu danych elektronicznych osobom nieupoważnionym;
c)
bezpieczne przechowywanie i przetwarzanie dokumentów papierowych ograniczone do absolutnego minimum niezbędnego do osiągnięcia celu przetwarzania;
d)
należyte monitorowanie ograniczeń i okresowe przeglądy ich stosowania. Przeglądy przeprowadza się co najmniej raz na sześć miesięcy oraz w momencie zamknięcia sprawy.
2. 
Dane osobowe są zatrzymywane zgodnie z obowiązującymi przepisami Komisji dotyczącymi zatrzymywania danych, które zostaną określone w rejestrach czynności przetwarzania prowadzonych na podstawie art. 31 rozporządzenia (UE) 2018/1725. Na koniec okresu zatrzymania dane osobowe są usuwane, anonimizowane lub przekazywane do archiwów zgodnie z art. 13 rozporządzenia (UE) 2018/1725.
Artykuł  10

Udział koordynatora ds. ochrony danych oraz inspektora ochrony danych Komisji

1. 
Przed zastosowaniem jakichkolwiek ograniczeń prowadzone są konsultacje z koordynatorem ds. ochrony danych w Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii, który weryfikuje ich zgodność z niniejszą decyzją.
2. 
Inspektor ochrony danych Komisji jest niezwłocznie informowany, ilekroć prawa osoby, której dane dotyczą, są ograniczane zgodnie z niniejszą decyzją. Inspektor ochrony danych Komisji otrzymuje na żądanie dostęp do zapisu oraz wszelkich dokumentów zawierających elementy stanu faktycznego i aspekty prawne leżące u podstaw ograniczenia.
3. 
Inspektor ochrony danych może zażądać przeglądu stosowania ograniczenia i jest informowany na piśmie o wyniku takiego przeglądu.
4. 
Komisja dokumentuje udział inspektora ochrony danych Komisji oraz koordynatora ds. ochrony danych, w tym to, jakie informacje są im udostępniane, w każdym przypadku, w którym ograniczane są prawa i obowiązki, o których mowa w art. 3 ust. 1.
Artykuł  11

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 31 marca 2025 r.
1 Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Dz.U. L 277 z 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj).

Zmiany w prawie

Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw
Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw

W ciągu pierwszych 5 miesięcy obowiązywania mechanizmu konsultacji społecznych projektów ustaw udział w nich wzięły 24 323 osoby. Najpopularniejszym projektem w konsultacjach była nowelizacja ustawy o broni i amunicji. W jego konsultacjach głos zabrało 8298 osób. Podczas pierwszych 14 miesięcy X kadencji Sejmu RP (2023–2024) jedynie 17 proc. uchwalonych ustaw zainicjowali posłowie. Aż 4 uchwalone ustawy miały źródła w projektach obywatelskich w ciągu 14 miesięcy Sejmu X kadencji – to najważniejsze skutki reformy Regulaminu Sejmu z 26 lipca 2024 r.

Grażyna J. Leśniak 24.04.2025
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą

Senat bez poprawek przyjął w środę ustawę, która obniża składkę zdrowotną dla przedsiębiorców. Zmiana, która wejdzie w życie 1 stycznia 2026 roku, ma kosztować budżet państwa 4,6 mld zł. Według szacunków Ministerstwo Finansów na reformie ma skorzystać około 2,5 mln przedsiębiorców. Teraz ustawa trafi do prezydenta Andrzaja Dudy.

Grażyna J. Leśniak 23.04.2025
Rząd organizuje monitoring metanu
Rząd organizuje monitoring metanu

Rada Ministrów przyjęła we wtorek, 22 kwietnia, projekt ustawy o zmianie ustawy – Prawo geologiczne i górnicze, przedłożony przez minister przemysłu. Chodzi o wyznaczenie podmiotu, który będzie odpowiedzialny za monitorowanie i egzekwowanie przepisów w tej sprawie. Nowe regulacje dotyczą m.in. dokładności pomiarów, monitorowania oraz raportowania emisji metanu.

Krzysztof Koślicki 22.04.2025
Rząd zaktualizował wykaz zakazanej kukurydzy
Rząd zaktualizował wykaz zakazanej kukurydzy

Na wtorkowym posiedzeniu rząd przyjął przepisy zmieniające rozporządzenie w sprawie zakazu stosowania materiału siewnego odmian kukurydzy MON 810, przedłożone przez ministra rolnictwa i rozwoju wsi. Celem nowelizacji jest aktualizacja listy odmian genetycznie zmodyfikowanej kukurydzy, tak aby zakazać stosowania w Polsce upraw, które znajdują się w swobodnym obrocie na terytorium 10 państw Unii Europejskiej.

Krzysztof Koślicki 22.04.2025
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem

Od 18 kwietnia policja oraz żandarmeria wojskowa będą mogły karać tych, którzy bez zezwolenia m.in. fotografują i filmują szczególnie ważne dla bezpieczeństwa lub obronności państwa obiekty resortu obrony narodowej, obiekty infrastruktury krytycznej oraz ruchomości. Obiekty te zostaną specjalnie oznaczone.

Robert Horbaczewski 17.04.2025
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia

Kompleksową modernizację instytucji polskiego rynku pracy poprzez udoskonalenie funkcjonowania publicznych służb zatrudnienia oraz form aktywizacji zawodowej i podnoszenia umiejętności kadr gospodarki przewiduje podpisana w czwartek przez prezydenta Andrzeja Dudę ustawa z dnia 20 marca 2025 r. o rynku pracy i służbach zatrudnienia. Ustawa, co do zasady, wejdzie w życie pierwszego dnia miesiąca następującego po upływie 14 dni od dnia ogłoszenia.

Grażyna J. Leśniak 11.04.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.628
Rodzaj: Decyzja
Tytuł: Decyzja 2025/628 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczeń niektórych praw osób, których dane dotyczą, w związku z przetwarzaniem danych osobowych przez Komisję do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065
Data aktu: 31/03/2025
Data ogłoszenia: 01/04/2025
Data wejścia w życie: 21/04/2025