Ref. Ares(2024)1197492 – 16 lutego 2024 r.

1/ Opis operacji przetwarzania

Rzecznik Praw Obywatelskich prowadzi dochodzenia dotyczące potencjalnych przypadków niewłaściwego administrowania w instytucji, organie lub jednostce organizacyjnej UE (zwanej dalej „instytucją UE”) i składa sprawozdania na ich temat.

Rzecznik Praw Obywatelskich przetwarza dane osobowe osób fizycznych w celu rozpatrywania skarg i prowadzenia dochodzeń z własnej inicjatywy, w przypadku gdy gromadzi i rejestruje dane osobowe w swoim elektronicznym systemie zarządzania skargami (CMS). Rzecznik Praw Obywatelskich przetwarza dane osobowe skarżących i osób trzecich związane ze skargą/dochodzeniem, ponieważ są one dostarczane przez skarżącego lub gromadzone podczas dochodzenia. Rzecznik Praw Obywatelskich może przekazywać dane osobowe innym instytucjom UE lub okazjonalnie organom państw członkowskich, jak opisano poniżej.

Podstawą prawną przedmiotowej operacji przetwarzania jest art. 228 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) oraz statut Europejskiego Rzecznika Praw Obywatelskich („statut”).

Dane osobowe są przetwarzane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych.

2/ Jakie dane osobowe gromadzimy, w jakim celu i za pomocą jakich środków technicznych?

Co to jest

Rozpatrując skargi i dochodzenia, Rzecznik Praw Obywatelskich otrzymuje lub gromadzi dokumenty, które mogą zawierać dane osobowe dotyczące:

i) osoby fizyczne składające skargi („skarżący”) oraz

ii) innych osób związanych ze skargą/dochodzeniem lub innych osób trzecich wymienionych w skargach lub innych dokumentach związanych z dochodzeniem, które są nieistotne lub mają jedynie charakter pomocniczy w dochodzeniu.

Te dane osobowe obejmują dane identyfikacyjne i kontaktowe (imię i nazwisko, adres, adres e-mail, telefon, faks), obywatelstwo, informacje zawodowe i wszelkie inne informacje o osobie fizycznej, które są związane z zapytaniem. Mogą istnieć również szczególne kategorie danych zawartych w skardze, takie jak na przykład dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych oraz dane dotyczące zdrowia lub życia seksualnego [1].

Jeżeli Rzecznik Praw Obywatelskich podejmie decyzję o przeprowadzeniu konsultacji publicznych (ogólnych lub ukierunkowanych) w związku z rozpatrywaniem spraw, odpowiedzi, które otrzyma w odpowiedzi na te konsultacje, będą w większości zawierać pewne dane osobowe. Osoby biorące udział w konsultacjach publicznych (ogólnych lub ukierunkowanych) proszone są o wyrażenie uprzedniej zgody na ujawnienie swoich danych. Więcej informacji można znaleźć w oświadczeniu o ochronie prywatności dotyczącym konsultacji Europejskiego Rzecznika Praw Obywatelskich na tej stronie internetowej.

Dlaczego

Rzecznik Praw Obywatelskich musi przetwarzać dane osobowe w celu zbadania ewentualnych przypadków niewłaściwego administrowania w następujących celach:

a) znalezienie rozwiązania konkretnych kwestii związanych z daną skargą,

b) identyfikowanie ewentualnych problemów systemowych i w stosownych przypadkach przedstawianie związanych z nimi sugestii, oraz

c) zapewniając w ten sposób ciągłą długoterminową konsolidację odpowiednich baz wiedzy leżących u podstaw tych działań.

W szczególności w odniesieniu do konsultacji publicznych związanych ze sprawami celem jest zapewnienie, aby ocena przedmiotowych kwestii była jak najlepiej poinformowana.

Dane osobowe są również wykorzystywane do komunikowania się ze skarżącymi i ustalania, czy skarga wchodzi w zakres mandatu Rzecznika Praw Obywatelskich. Niektóre dane są wykorzystywane do celów statystycznych (kraj, obywatelstwo, kategoria zawodowa i język) w sposób zanonimizowany, aby spełnić wymóg sprawozdawczy określony w statucie Europejskiego Rzecznika Praw Obywatelskich.

W jaki sposób

Rzecznik Praw Obywatelskich zazwyczaj gromadzi lub otrzymuje dane osobowe w dokumentach, w tym w formularzach, które są w większości elektroniczne.

W niektórych przypadkach dane stanowią część informacji, które są początkowo otrzymywane ustnie podczas spotkań, inspekcji lub przesłuchań. W trakcie takich spotkań lub bezpośrednio po nich odpowiednie informacje są zapisywane w dokumentach do akt, głównie w formie elektronicznej, ale w niektórych przypadkach również w formie papierowej.

3/ Kto ma dostęp do Twoich informacji i komu są one ujawniane?

Pracownicy Rzecznika Praw Obywatelskich

Pracownicy Rzecznika, którzy są zaangażowani w rozpatrywanie spraw przez Urząd, mają dostęp do akt spraw i ich dokumentów, z których niektóre zawierają dane osobowe, a także do bazy danych zawierającej wspomniane dokumenty i powiązane dane.

Instytucje UE

W przypadku gdy skarga jest wysyłana do instytucji UE w związku z dochodzeniem, dane osobowe zwykle pozostają widoczne w dokumentach. Dotyczy to również sytuacji, w której skarżący zwrócił się o poufne traktowanie swojej skargi. Taka poufność nie ma zastosowania do komunikacji związanej z dochodzeniem między Rzecznikiem Praw Obywatelskich a instytucją, która ma prawo być w pełni informowana o wszystkich informacjach związanych z oskarżeniami, których dotyczy. Przed wysłaniem skargi i ewentualnej powiązanej z nią dokumentacji urzędnik dochodzeniowy Rzecznika Praw Obywatelskich przeprowadzi jednak kontrolę w celu sprawdzenia, czy przekazanie dokumentów wiązałoby się z ewidentnie niepotrzebnym przekazaniem danych osobowych. Utajnienie nadmiernych danych osobowych, jak opisano powyżej, zostało należycie odnotowane w nocie w sprawie sporządzonej w celu wszczęcia dochodzenia. Jeśli reklamacja zawiera nadmierne dane osobowe, nadmierne dane osobowe zostaną usunięte.

Jeżeli Rzecznik Praw Obywatelskich nie może rozpatrzyć lub przyjąć skargi, może również przekazać ją innej odpowiedniej instytucji lub organowi UE, które mogą być lepiej przygotowane do rozpatrzenia kwestii podniesionej przez skarżącego. Przykładami są Komisja Europejska w odniesieniu do skarg dotyczących możliwego naruszenia prawa UE, Parlament Europejski w odniesieniu do kwestii politycznych, Europejski Urząd ds. Zwalczania Nadużyć Finansowych w odniesieniu do kwestii nadużyć finansowych oraz Europejski Inspektor Ochrony Danych.

Rzecznik wykorzystuje „eTranslation” (tłumaczenie maszynowe) do automatycznego tłumaczenia dokumentów związanych ze skargą, które mogą zawierać dane osobowe. eTranslation to usługa obsługiwana przez Komisję Europejską, która nie analizuje treści przetłumaczonego dokumentu. Tłumaczenia i inne dane wyjściowe generowane przez usługę są zwracane ich użytkownikom i są zaprojektowane tak, aby były niedostępne podczas przetwarzania. Rzecznik Praw Obywatelskich może również przesyłać dokumenty do tłumaczenia służbom tłumaczeniowym Parlamentu Europejskiego lub Centrum Tłumaczeń dla Organów Unii Europejskiej, gdy konieczne jest ich tłumaczenie. Takie dokumenty mogą czasami zawierać dane osobowe. Tłumacze pracują w ramach obowiązków w zakresie poufności ustanowionych przez wyżej wymienione organy UE.

Inne organy lub organizacje

Podobnie w przypadku innych skarg, którymi Rzecznik nie może się zająć, może on podjąć decyzję o przekazaniu skargi, bez utajniania danych osobowych, krajowym instytucjom lub organizacjom, które mogą być w stanie pomóc skarżącemu. Może on podjąć taką decyzję, jeżeli skarżący wyraził na to wyraźną zgodę. Przekazywanie danych odbywa się wyłącznie do takich organów lub organizacji, które mają siedzibę w UE.

Gdy Rzecznik Praw Obywatelskich dowie się o faktach, które mogą stanowić przestępstwo lub być z nim związane, zgłasza je właściwym organom krajowym, Prokuraturze Europejskiej (EPPO) lub Europejskiemu Urzędowi ds. Zwalczania Nadużyć Finansowych (OLAF).[2] W takim przypadku zazwyczaj przesyła odpowiednie dokumenty, które nie zostały zredagowane, zainteresowanemu organowi.

Indywidualne wnioski o publiczny dostęp do dokumentów

Obywatele UE mogą korzystać z przysługującego im prawa podstawowego do ubiegania się o publiczny dostęp do wszelkich dokumentów będących w posiadaniu Rzecznika Praw Obywatelskich, w tym dokumentów znajdujących się w aktach sprawy lub dokumentów z nimi związanych. Wnioski takie są rozpatrywane na podstawie rozporządzenia (WE) nr 1049/2001 w sprawie publicznego dostępu do dokumentów instytucji UE.

W odpowiedzi na wnioski o publiczny dostęp do dokumentów dane osobowe skarżących i osób trzecich, w tym pracowników UE, są domyślnie utajniane przed publicznym ujawnieniem dokumentów będących w posiadaniu Rzecznika Praw Obywatelskich.

Prawa osób, których dane dotyczą

Osoby, których dane dotyczą, mogą skorzystać z prawa dostępu do swoich danych osobowych, ich sprostowania lub usunięcia w kontekście rozpatrywania skarg, wysyłając wniosek pocztą elektroniczną do administratora na poniższą skrzynkę pocztową.

Mają one możliwość zwrócenia się o poufne traktowanie ich skargi lub niektórych jej części poprzez wskazanie takiego wymogu w skardze oraz przedstawienie uzasadnienia lub uzasadnienia.

Rzecznik przestrzega przepisów o ochronie danych, w tym obowiązku informowania osób trzecich, których dane dotyczą, o przetwarzaniu ich danych osobowych oraz prawa osób, których dane dotyczą, do dostępu do swoich danych osobowych oraz do sprostowania lub ograniczenia lub usunięcia błędów w tych danych, zgodnie z tymi przepisami. W związku z zasadą minimalizacji danych zaleca się, aby skarżący podał jedynie informacje istotne dla przedmiotu skargi oraz unikał zbędnych i nieistotnych szczegółów, zwłaszcza jeśli obejmują one dane osobowe osób trzecich. Rzecznik Praw Obywatelskich będzie jednak zawsze brał pod uwagę okoliczności, w jakich znajduje się skarżący, wywiązując się ze swoich obowiązków w zakresie ochrony danych, w szczególności gdy skarżący znajduje się w trudnej sytuacji. Rzecznik Praw Obywatelskich przeprowadzi indywidualną ocenę każdego przypadku, wyważając prawa i uzasadnione interesy skarżącego i osoby trzeciej, której dane dotyczą.

Jeżeli skarżący zdecyduje się złożyć anonimową skargę, skarga taka będzie zawsze niedopuszczalna.[3] Rzecznik Praw Obywatelskich może jednak, w zależności od informacji zawartych w takiej skardze, podjąć decyzję o kontynuowaniu sprawy w drodze dochodzenia z własnej inicjatywy.

4/ W jaki sposób chronimy i zabezpieczamy Twoje dane osobowe?

W ramach organizacji Europejski Rzecznik Praw Obywatelskich chroni dane osobowe za pomocą przepisów i środków praktycznych.

Wszyscy pracownicy są informowani o swoich ścisłych obowiązkach w zakresie poufności oraz otrzymują odpowiednie szkolenia i aktualne informacje na temat praktyk i przepisów.

Każdy pracownik Rzecznika Praw Obywatelskich jest odpowiedzialny na pierwszym szczeblu za przechowywanie swoich akt roboczych w taki sposób, aby zagwarantować bezpieczeństwo zawartych w nich danych osobowych.

Dokumenty i formularze danych związane ze sprawą są prawie w całości obsługiwane elektronicznie, co zapewnia konfigurowalne prawa dostępu i zmniejsza ryzyko niezamierzonego obiegu kopii papierowych. Jak wspomniano powyżej, pracownicy Rzecznika, którzy są zaangażowani w rozpatrywanie spraw przez Urząd, mają dostęp do akt sprawy i ich dokumentów.

Każdy rzeczywisty lub potencjalny skarżący może w dowolnym momencie złożyć uzasadniony wniosek o ograniczony dostęp do akt skargi, który może być na przykład istotny, jeżeli skarżący jest obecnym lub byłym pracownikiem Rzecznika Praw Obywatelskich, innym pracownikiem UE, członkiem sieci lub podobnych grup, z którymi kilku pracowników Biura Rzecznika Praw Obywatelskich ma lub może mieć kontakt. Dokumenty i formularze danych są przechowywane elektronicznie na serwerach wirtualnych udostępnionych Rzecznikowi przez Parlament Europejski. Dostęp Parlamentu Europejskiego do danych jest kontrolowany i odbywa się wyłącznie w celach związanych z administracją informatyczną i wsparciem informatycznym.

Archiwa fizyczne są przechowywane w oddzielnych pomieszczeniach archiwalnych oraz, w stosownych przypadkach, w sejfach.

5/ W jaki sposób możesz poprosić nas o weryfikację, modyfikację lub usunięcie Twoich danych?

Osoby, których dane dotyczą, mają prawo dostępu do danych osobowych, które posiadamy na ich temat, oraz do zwrócenia się do Rzecznika Praw Obywatelskich o ich poprawienie, uzupełnienie lub, w stosownych przypadkach, usunięcie.[4] Wszelkie wnioski o dostęp do danych osobowych lub o sprostowanie, ograniczenie lub usunięcie danych osobowych należy kierować do właściwego urzędnika dochodzeniowego lub do administratora danych (e-mail: EO@ombudsman.europa.eu).

W razie jakichkolwiek pytań dotyczących przetwarzania danych osobowych można również skontaktować się z inspektorem ochrony danych Europejskiego Rzecznika Praw Obywatelskich (DPO-Euro-Ombudsman@ombudsman.europa.eu).

Mogą mieć zastosowanie ograniczenia określone w art. 25 rozporządzenia 2018/1725, zob. decyzja Rzecznika Praw Obywatelskich z dnia 9 listopada 2020 r.[5].

6/ Jak długo przechowujemy Twoje dane?

Akta spraw, w tym dokumenty dotyczące danych lub danych zintegrowanych z bazami danych, podlegają okresowi przechowywania wynoszącemu:

• Dwa lata w przypadku skarg, które nie wchodzą w zakres mandatu Urzędu.
• Dziesięć lat w przypadku skarg wchodzących w zakres mandatu Urzędu. Obejmuje to skargi, w których Rzecznik wszczął dochodzenie, oraz skargi, w których Rzecznik nie wszczął dochodzenia ze względu na ich niedopuszczalność lub brak uzasadnienia. Dokumenty związane ze skargami, które miały istotne znaczenie publiczne lub które w inny sposób uznaje się za poważne przypadki, są później archiwizowane, w formie zanonimizowanej, do celów historycznych. W wyjątkowych przypadkach dane osobowe mogą być jednak przechowywane, jeżeli jest to konieczne do realizacji interesów historycznych lub publicznych.

Krótsze okresy przechowywania mają zastosowanie do dokumentów poufnych, które stanowią część akt sprawy. W szczególności dokumenty poufne są zasadniczo usuwane po zamknięciu sprawy, a w przypadku skarżącego – po upływie terminu na rozpatrzenie wniosku o ponowne rozpatrzenie.

W wyjątkowych przypadkach standardowy okres przechowywania wynoszący 10 lat ma zastosowanie do dokumentów poufnych, jeżeli:

• a) jest oczywiste, że przedmiotowe informacje są lub mogą być ważne dla zrozumienia sprawy w przyszłości, w tym okoliczności, w których sprawa ma pierwszeństwo lub wartość szkoleniową;
• b) przechowywanie dokumentu może służyć interesom historycznym lub publicznym; lub
• c) zatrzymanie dokumentu może być istotne w kontekście faktycznych lub ewentualnych przyszłych formalnych procedur.

Wszelkie decyzje i działania związane z postępowaniem z wyżej wymienionymi dokumentami poufnymi są należycie odnotowywane w aktach sprawy.

7/ Odwołanie

Osoby, których dane dotyczą, mają prawo w dowolnym momencie skierować skargę do Europejskiego Inspektora Ochrony Danych (edps@edps.europa.eu), jeżeli uznają, że Rzecznik naruszył ich prawa wynikające z rozporządzenia 2018/1725.

[1] Art. 10 rozporządzenia 2018/1725.

[2] Art. 9 ust. 2 statutu Rzecznika Praw Obywatelskich.

[3] Art. 2 ust. 2 statutu Rzecznika Praw Obywatelskich.

[4] Art. 17–20 rozporządzenia 2018/1725.

[5] Decyzja Europejskiego Rzecznika Praw Obywatelskich z dnia 9 listopada 2020 r. w sprawie przepisów wewnętrznych ograniczających niektóre prawa osób, których dane dotyczą, w zakresie przetwarzania danych osobowych, dostępna pod adresem https://www.ombudsman.europa.eu/en/document/en/141577.