RULES OF PROCEDURE
DECISION OF THE MANAGEMENT BOARD OF THE EUROPEAN UNION INTELLECTUAL PROPERTY OFFICE
of 26 March 2020
on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of the European Union Intellectual Property
Office
THE MANAGEMENT BOARD,
Having regard to the Treaty on the Functioning of the European Union,
Having regard to Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (1), and in particular Article 25 thereof,
Having regard to Regulation (EU) 2017/1001 of the European Parliament and of the Council of 14 June 2017 on the European Union trade mark (2), and in particular Article 153 thereof,
Having regard to the Rules of Procedure of the Management Board of the European Union Intellectual Property Office, and in particular Article 9 thereof,
Having regard to the consultation of the European Data Protection Supervisor on 18 December 2019,
Whereas:
(1) The European Union Intellectual Property Office (the ‘Office’) carries out its activities in accordance with Regulation (EU) 2017/1001.
(2) In line with Article 25(1) of Regulation (EU) 2018/1725 restrictions of the application of Articles 14 to 22, 35 and 36, as well as Article 4 of that Regulation insofar as its provisions correspond to the rights and obligations provided for in Articles 14 to 22 should be based on internal rules to be adopted by the Office, where these are not based on legal acts adopted on the basis of the Treaties.
(3) These internal rules, including their provisions on the assessment of the necessity and proportionality of a restriction, do not apply where a legal act adopted on the basis of the Treaties provides for a restriction of the rights of data subjects.
(4) Where the Office performs its duties with respect to the rights of data subjects under Regulation (EU) 2018/1725, it shall consider whether any of the exemptions laid down in that Regulation apply.
(5) Under its administrative functioning, the Office may be obliged to restrict the rights of data subjects following Article 25 of Regulation (EU) 2018/1725.
(6) The Office, represented by its Executive Director, acts as the data controller irrespective of further delegations of the controller role within the Office to reflect operational responsibilities for specific personal data processing operations.
(7) The personal data is stored securely in an electronic environment or on paper preventing unlawful access or transfer of data to persons who do not have a need to know. The personal data processed is retained as specified in the data protection notices, privacy statements or records of the Office.
(1) OJ L 295, 21.11.2018, p. 39. (2) OJ L 154, 16.6.2017, p. 1.
EN Official Journal of the European UnionL 94/46 27.3.2020
(8) These internal rules should apply to all processing operations carried out by the Office in the context of administrative inquiries, disciplinary proceedings, whistleblowing procedures, (formal and informal) procedures for dealing with harassment, processing complaints and medical data, conducting internal audits, investigations carried out by the Data Protection Officer in line with Article 45(2) of Regulation (EU) 2018/1725 and Information Technology (IT) security investigations handled internally or with external involvement (e.g. CERT-EU).
(9) In cases where these internal rules apply the Office has to explain why the restrictions are strictly necessary and proportionate in a democratic society and respect the essence of fundamental rights and freedoms.
(10) Within this framework the Office is bound to respect, to the maximum extent possible, the fundamental rights of the data subjects during the above procedures, in particular, those on the right to information, access and rectification, right to erasure, restriction of processing, right of communication of a personal data breach to the data subjects or confidentiality of communication as enshrined in Regulation (EU) 2018/1725.
(11) The Office should periodically monitor that the conditions that justify the restriction apply and lift the restriction as far as it does no longer apply.
(12) The Controller should inform the Data Protection Officer of each restriction applied to the data subject’s rights, when the restriction has been lifted or when the restriction has been revised.
HAS ADOPTED THIS DECISION:
Article 1
Subject matter and scope
1. This Decision lays down rules on the conditions under which the Office in the framework of its processing operations set out in paragraph 2 may restrict the application of the rights enshrined in Articles 4, 14 to 21, 35 and 36 of Regulation (EU) 2018/1725, following Article 25 thereof.
2. Under the administrative functioning of the Office, this Decision applies to the processing of personal data by the Office for the purposes of: administrative inquiries, disciplinary proceedings, whistleblowing procedures, (formal and informal) procedures for dealing with harassment, processing complaints, processing medical data and/or files, conducting internal audits, investigations carried out by the Data Protection Officer in line with Article 45(2) of Regulation (EU) 2018/1725 and IT security investigations handled internally or with external involvement (e.g. CERT-EU).
This Decision applies to processing operations initiated and carried out by the Office, including prior to the opening of the procedures referred to above, during these procedures and during the monitoring of the follow-up to the outcome of these procedures. It also applies to assistance and cooperation provided by the Office, outside its own administrative procedures, to OLAF, competent authorities of Member States and/or other competent authorities.
3. The categories of data concerned are hard data (‘objective’ data such as identification data, contact data, professional data, administrative details, data received from specific sources, electronic communications and traffic data) and/or soft data (‘subjective’ data related to the case such as reasoning, behavioural data, appraisals, performance and conduct data and data related to or brought forward in connection with the subject matter of the procedure or activity).
4. Where the Office performs its duties with respect to the rights of data subjects under Regulation (EU) 2018/1725, it shall consider whether any of the exemptions laid down in that Regulation apply.
5. Subject to the conditions set out in this Decision, the restrictions may apply to the following rights: provision of information to data subjects, right of access, rectification, erasure, restriction of processing, communication of a personal data breach to the data subjects or confidentiality of electronic communications.
EN Official Journal of the European Union27.3.2020 L 94/47
Article 2
Specification of the controller and safeguards
1. The Office shall put in place the following safeguards to prevent abuse or unlawful access or transfer:
(a) paper documents shall be kept in secured cupboards and only accessible to authorised staff;
(b) all electronic data shall be stored in a secure IT application according to the Office’s security standards, as well as in specific electronic folders accessible only to authorised staff. Appropriate levels of access shall be granted individually;
(c) IT systems and their databases must have mechanisms for verifying user’s identity under a single sign-in system and connected automatically to the user’s ID and password. End-user accounts must be unique, personal and non- transferrable, sharing user accounts is strictly prohibited. E-records shall be held securely to safeguard the confidentiality and privacy of the data therein;
(d) all persons having access to the data are bound by the obligation of confidentiality.
2. The controller of the processing operations is the Office, represented by its Executive Director, who may delegate the function of the controller. Data subjects shall be informed of the delegated controller by way of the data protection notices or records published on the website and/or the Office’s intranet.
3. The retention period of the personal data referred to in Article 1(3) shall be no longer than specified in the data protection notices, privacy statements or records referred to in Article 3(1). At the end of the retention period, the case related information, including personal data, is deleted, anonymised or transferred to the historical archives.
4. Where the Office considers applying a restriction, the risk to the rights and freedoms of the data subject shall be weighed, in particular, against the risk to the rights and freedoms of other data subjects and the risk of hindering the purpose of the processing operation. The risks to the rights and freedoms of the data subject concern primarily, but are not limited to, reputational risks and risks to the right of defence and the right to be heard.
Article 3
Restrictions
1. The Office shall publish on its website and/or on the intranet data protection notices, privacy statements and/or records in the sense of Article 31 of Regulation (EU) 2018/1725, informing all data subjects of its activities involving processing of their personal data and of their rights in the framework of a given procedure, including information on a potential restriction of these rights. The information shall cover which rights may be restricted, the reasons and the potential duration.
2. Subject to the provisions of paragraph 3, where relevant, the Office shall ensure that the data subjects are informed individually in an appropriate format. The Office may also individually inform them about their rights concerning present or future restrictions.
3. Any restriction initiated by the Office shall only be applied to safeguard the purposes enumerated under Article 25(1) of Regulation (EU) 2018/1725:
(a) the national security, public security or defence of the Member States;
(b) the prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;
(c) other important objectives of general public interest of the Union or of a Member State, in particular the objectives of the common foreign and security policy of the Union or an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters, public health and social security;
(d) the internal security of Union institutions and bodies, including of their electronic communications networks;
EN Official Journal of the European UnionL 94/48 27.3.2020
(e) the protection of judicial independence and judicial proceedings;
(f) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;
(g) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to c);
(h) the protection of the data subject or the rights and freedoms of others;
(i) the enforcement of civil law claims.
4. In particular, when the Office restricts in the context of:
(a) administrative inquiries and disciplinary proceedings, restrictions may be based on Article 25(1)(c), (e), (g), (h) of Regulation (EU) 2018/1725;
(b) whistleblowing procedures, restrictions may be based on Article 25(1)(h) of Regulation (EU) 2018/1725;
(c) (formal and informal) procedures for dealing with harassment, restrictions may be based on Article 25(1)(h) of Regulation (EU) 2018/1725;
(d) processing complaints, restrictions may be based on Article 25(1)(c), (e), (g), (h) of Regulation (EU) 2018/1725;
(e) processing medical data, restrictions may be based on Article 25(1) (h) of Regulation (EU) 2018/1725;
(f) internal audits, restrictions may be based on Article 25(1)(c), (g), (h) of Regulation (EU) 2018/1725;
(g) investigations carried out by the Data Protection Officer in line with Article 45(2) of Regulation (EU) 2018/1725, restrictions may be based on Article 25(1)(c), (g), (h) of Regulation (EU) 2018/1725;
(h) IT security investigations handled internally or with external involvement (e.g. CERT-EU), restrictions may be based on Article 25(1)(c), (d), (g), (h) of Regulation (EU) 2018/1725.
5. Any restriction shall be necessary and proportionate taking into account in particular the risks to the rights and freedoms of data subjects and respect the essence of the fundamental rights and freedoms in a democratic society.
If the application of restriction is considered, a necessity and proportionality test shall be carried out based on the present rules. It shall be documented through an internal assessment note for accountability purposes on a case by case basis. The test will also be conducted in the context of reviewing the application of a restriction.
Restrictions shall be lifted as soon as the circumstances that justify them no longer apply. In particular, where it is considered that the exercise of the restricted right would no longer cancel the effect of the restriction imposed or adversely affect the rights or freedoms of other data subjects.
6. In addition, the Office may be requested to exchange personal data of data subjects with Commission services or other EU institutions, bodies, agencies and offices, competent authorities of Member States or other competent authorities from third countries or international organisations, including:
(a) where the Commission services or other EU institutions, bodies, agencies and offices restrict their obligations and the exercise of the rights of these data subjects on the basis of other acts provided for in Article 25 of Regulation (EU) 2018/1725 or in accordance with Chapter IX of that Regulation or with the founding acts of other EU institutions, bodies, agencies and offices;
EN Official Journal of the European Union27.3.2020 L 94/49
(b) where the competent authorities of Member States restrict their obligations and the exercise of the rights of these data subjects on the basis of acts referred to in Article 23 of Regulation (EU) 2016/679 of the European Parliament and of the Council (3), or under national measures transposing Articles 13(3), 15(3) or 16(3) of Directive (EU) 2016/680 of the European Parliament and of the Council (4).
Wherever the exchange of personal data is initiated by another authority, no restriction is applied by the Office and the case related information, including personal data, shall be deleted or anonymised by the Office upon transmission of the requested data to that authority.
7. The records on the restrictions and, where applicable, the documents containing underlying factual and legal aspects shall be made available to the European Data Protection Supervisor on request.
Article 4
Review by the Data Protection Officer
1. The Office shall, without undue delay, inform the Data Protection Officer of the Office (‘the DPO’) whenever the controller restricts the application of the rights of data subjects, lifts the restriction or revises the period of restriction, in accordance with this Decision. The controller shall provide the DPO access to the record containing the assessment of the necessity and proportionality of the restriction and document the date the DPO is informed in the record.
2. The DPO may request the controller in writing to review the application of the restrictions. The controller shall inform the DPO in writing about the outcome of the requested review.
3. The involvement of the DPO in the restrictions procedure, including information exchanges, shall be documented in an appropriate form.
Article 5
Provision of information to data subject
1. In duly justified cases and under the conditions stipulated in this Decision, the provision of information may be restricted by the controller, where necessary and proportionate, in the context of the processing operations provided for in Article 1(2) of this Decision. In particular, the provision of information may be deferred, omitted or denied if it would cancel the effect of the processing operation.
2. Where the Office restricts, wholly or partly, the provision of information referred to in paragraph 1, it shall document in an internal assessment note the reasons for the restriction, including an assessment of the necessity, proportionality of the restriction and its duration.
3. The restriction referred to in paragraph 1 shall continue to apply as long as the reasons justifying it remain applicable.
Where the reasons for the restriction no longer apply, the Office shall provide information to the data subject on the principal reasons for the restriction. At the same time, the Office shall inform the data subject of the possibility of lodging a complaint with the European Data Protection Supervisor or of seeking a judicial remedy in the Court of Justice of the European Union.
4. The Office shall review the application of the restriction at least once a year and at the closure of the relevant procedure. Thereafter, the controller shall monitor the need to maintain any restriction on an annual basis.
(3) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).
(4) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89).
EN Official Journal of the European UnionL 94/50 27.3.2020
Article 6
Right of access, rectification, erasure and restriction of processing by data subject
1. In duly justified cases and under the conditions stipulated in this Decision, the right to access, rectification, erasure and restriction of processing may be restricted by the controller, where necessary and proportionate, in the context of the processing operations provided for in Article 1(2) of this Decision. The provisions contained in this present Article 6 do not apply to the right of access to medical data and/or files, for which specific rules are explicitly provided for under Article 7 below.
2. Where data subjects request to exercise their right of access, rectification, erasure and restriction of processing concerning their personal data processed in the context of one or more specific cases or concerning a particular processing operation, the Office shall limit its assessment of the request to such personal data only.
3. Where the Office restricts, wholly or partly, the right of access, rectification, erasure and restriction of processing, it shall take the following steps:
(a) it shall inform the data subject concerned, in its reply to the request, of the restriction applied and of the principal reasons thereof, and of the possibility of lodging a complaint with the European Data Protection Supervisor or of seeking a judicial remedy in the Court of Justice of the European Union;
(b) it shall document in an internal assessment note the reasons for the restriction, including an assessment of the necessity, proportionality of the restriction and its duration.
In accordance with Article 25(8) of Regulation (EU) 2018/1725, the provision of information referred to in point (a) may be deferred, omitted or denied if it would cancel the effect of the restriction.
4. The Office shall review the application of the restriction of the rights of the data subjects at least once a year and at the closure of the relevant procedure. Thereafter, upon request of data subjects, the controller shall review the need to maintain the restriction.
Article 7
Right of access to medical data and/or files
1. Restriction of the right of access of data subjects to their medical data and/or files requires specific provisions which are stipulated under this article.
2. Subject to the below paragraphs of this article, the Office may restrict data subject’s right to access directly personal medical data and/or files of a psychological or psychiatric nature concerning them which are processed by the Office, where access to such data is likely to represent a risk for the data subject’s health. This restriction shall be proportionate to what is strictly necessary to protect the data subject.
3. Access to the information referred to in paragraph 2 shall be given to a doctor of the data subject’s choice.
4. In such cases, the data subject shall, upon request, be reimbursed by the Medical Service of the part of the cost of the medical consultation with the doctor who received access to the medical data and/or files that has not been reimbursed by the Joint Sickness Insurance Scheme (JSIS). The reimbursement shall not exceed the difference between the ceiling laid down in the General Implementing Provisions for the reimbursement of medical expenses (5) and the amount reimbursed to the data subject by the JSIS according to those rules.
5. Such reimbursement by the Medical Service shall be subject to the condition that access has not already been granted for the same data and/or files.
6. Subject to the below paragraphs of this article, the Office may restrict, on a case by case basis data subject's right to access their personal medical data and/or files in its possession, in particular where the exercise of that right would adversely affect the rights and freedoms of the data subject or other data subjects.
(5) Commission Decision C(2007) 3195 of 2 July 2007 laying down General Implementing Provisions for the reimbursement of medical expenses.
EN Official Journal of the European Union27.3.2020 L 94/51
7. Where data subjects request to exercise their right of access to their personal data processed in the context of one or more specific cases or to a particular processing operation, the Office shall limit its assessment of the request to such personal data only.
8. Where the Office restricts, wholly or partly, the right of access to personal medical data and/or files by data subjects, it shall take the following steps:
(a) it shall inform the data subject concerned, in its reply to the request, of the restriction applied and of the principal reasons thereof, and of the possibility of lodging a complaint with the European Data Protection Supervisor or of seeking a judicial remedy in the Court of Justice of the European Union;
(b) it shall document in an internal assessment note the reasons for the restriction, including an assessment of the necessity, proportionality of the restriction and its duration, notably by stating how the exercise of the right would present a risk for the data subject’s health or would adversely affect the rights and freedoms of the data subjects or other data subjects.
In accordance with Article 25(8) of Regulation (EU) 2018/1725, the provision of information referred to in point (a) may be deferred, omitted or denied if it would cancel the effect of the restriction.
9. Restrictions referred to in the above paragraphs 2 and 6 shall continue to apply as long as the reasons justifying them remain applicable. Once the reasons for a restriction no longer apply, upon request of data subjects, the controller shall review the need to maintain the restriction.
Article 8
Communication of a personal data breach to the data subject and confidentiality of electronic communications
1. In duly justified cases and under the conditions stipulated in this Decision, the right to the communication of a personal data breach may be restricted by the controller, where necessary and appropriate in the context of the processing operations provided for in Article 1(2) of this Decision. This right shall however not be restricted in the context of the procedures for dealing with harassment.
2. In duly justified cases and under the conditions stipulated in this Decision, the right to confidentiality of electronic communications may be restricted by the controller, where necessary and appropriate in the context of the processing operations provided for in Article 1(2) of this Decision.
3. Article 5(2), (3) and (4) of the present Decision applies where the Office restricts the communication of a personal data breach to the data subject or the confidentiality of electronic communications referred to in Articles 35 and 36 of Regulation (EU) 2018/1725.
Article 9
Entry into force
This Decision shall enter into force on the third day following that of its publication in the Official Journal of the European Union.
Done at Alicante, 26 March 2020.
For the European Union Intellectual Property Office Jorma HANSKI
Chairperson of the Management Board
EN Official Journal of the European UnionL 94/52 27.3.2020
REGLAMENTOS INTERNOS Y DE PROCEDIMIENTO
DECISIÓN DEL CONSEJO DE ADMINISTRACIÓN DE LA OFICINA DE PROPIEDAD INTELECTUAL DE LA UNIÓN EUROPEA
de 26 de marzo de 2020
relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Oficina de
Propiedad Intelectual de la Unión Europea
EL CONSEJO DE ADMINISTRACIÓN,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y, en particular, su artículo 25,
Visto el Reglamento (UE) 2017/1001 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre la marca de la Unión Europea (2) y, en particular, su artículo 153,
Visto el Reglamento interno del Consejo de Administración de la Oficina de Propiedad Intelectual de la Unión Europea, y, en particular, su artículo 9,
Vista la consulta del Supervisor Europeo de Protección de Datos de 18 de diciembre de 2019,
Considerando lo siguiente:
(1) La Oficina de Propiedad Intelectual de la Unión Europea («la Oficina») desarrolla sus actividades con arreglo a lo dispuesto en el Reglamento (UE) 2017/1001.
(2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36 y, también, del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por la Oficina cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.
(3) Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no se aplican cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.
(4) Cuando la Oficina ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.
(5) En su funcionamiento administrativo, la Oficina puede verse obligada a limitar los derechos de los interesados de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.
(6) La Oficina, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia Oficina, al objeto de reflejar las diversas responsabilidades operativas con respecto a las tareas específicas de tratamiento de datos personales.
(7) Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados se conservan tal como especifican los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la Oficina.
(1) DO L 295, de 21.11.2018, p. 39. (2) DO L 154 de 16.6.2017, p. 1.
ES Diario Oficial de la Unión EuropeaL 94/46 27.3.2020CJ
(8) Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por la Oficina en el ejercicio de sus investigaciones administrativas, procedimientos disciplinarios, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas y tratamiento de datos médicos, auditorías internas, investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad informática realizadas internamente o con la participación de agentes externos (p. ej., CERT- UE).
(9) En los casos en que estas normas internas resultan aplicables, la Oficina debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.
(10) En este contexto, la Oficina debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular los relativos al derecho a la información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.
(11) La Oficina debe controlar de manera periódica que sigan existiendo las condiciones que justifiquen la aplicación de la limitación y levantarla en cuanto dejen de ser aplicables.
(12) El responsable del tratamiento de datos debe informar al delegado de protección de datos acerca de cada limitación aplicada a los derechos del interesado y sobre el momento en que dicha limitación se haya levantado o revisado.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas relativas a las condiciones en las que la Oficina, en el marco de sus procedimientos establecidos en el apartado 2 del presente artículo, puede limitar la aplicación de los derechos previstos en los artículos 4, 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de dicho Reglamento.
2. En el funcionamiento administrativo de la Oficina, esta Decisión es aplicable al tratamiento de datos personales llevado a cabo por la Oficina para los fines de: investigaciones administrativas, procedimientos disciplinarios, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas, tratamiento de datos y expedientes médicos, auditorías internas, investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad informática realizadas internamente o con la participación de agentes externos (p. ej., CERT-UE).
Esta Decisión es aplicable a las operaciones de tratamiento de datos llevadas a cabo por la Oficina antes del inicio de los procedimientos citados, durante estos y durante la supervisión del seguimiento de los resultados de dichos procedimientos. También es aplicable a la asistencia y cooperación, prestada por la Oficina fuera de sus procedimientos administrativos a la Oficina Europea de Lucha contra el Fraude, a los servicios competentes de los Estados miembros y a otros servicios competentes.
3. Las categorías de datos en cuestión son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los detalles administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).
4. La Oficina, al ejercer sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.
5. Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales a los interesados y la confidencialidad de las comunicaciones electrónicas.
ES Diario Oficial de la Unión Europea27.3.2020 L 94/47CJ
Artículo 2
Especificación del responsable del tratamiento y salvaguardias
1. Para prevenir el uso, acceso o transferencia ilícitos, la Oficina aplicará las salvaguardias siguientes:
a) los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado;
b) todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de la Oficina y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados;
c) los sistemas informáticos y sus bases de datos deberán disponer de mecanismos para comprobar la identidad del usuario en un sistema de introducción de datos único conectado automáticamente al identificador y la contraseña del usuario. Las cuentas de usuario final deberán ser únicas, personales e intransferibles, compartir cuentas de usuario estará estrictamente prohibido. Los registros electrónicos se conservarán de manera segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan;
d) todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.
2. El responsable de las operaciones de tratamiento será la Oficina, representada por su director ejecutivo, quien podrá delegar la función de responsable de tratamiento de datos. Se informará a los interesados de la identidad del responsable delegado del tratamiento por medio de avisos de protección de datos o de registros publicados en el sitio web o la intranet de la Oficina.
3. El período de retención de los datos personales al que se refiere el artículo 1, apartado 3, no podrá superar el especificado en los avisos de protección de datos, declaraciones de confidencialidad o registros mencionados en el artículo 3, apartado 1. Al final del período de retención, la información relacionada con el caso, incluidos los datos personales, se suprimirá, se anonimizará o se transferirá a los archivos históricos.
4. Cuando la Oficina estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular el riesgo para los derechos y las libertades de otros interesados y el riesgo de impedir la finalidad de la operación de tratamiento. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.
Artículo 3
Limitaciones
1. La Oficina publicará en su sitio web o en la intranet avisos de protección de datos, declaraciones de confidencialidad o registros en el sentido del artículo 31 del Reglamento (UE) 2018/1725, donde se informará a todos los interesados acerca de las actividades que lleva a cabo que impliquen el tratamiento de sus datos personales, y, también, de sus derechos en el marco de un procedimiento determinado, incluyendo información relativa a la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.
2. Sin perjuicio de lo dispuesto en el apartado 3, cuando proceda, la Oficina se asegurará de que los interesados reciban información individualizada en el formato apropiado. La Oficina también les informará individualmente acerca de sus derechos en relación con las limitaciones presentes o futuras.
3. Toda limitación iniciada por la Oficina, únicamente, se aplicará para la salvaguardia de los fines mencionados en el artículo 25, apartado 1 del Reglamento (UE) 2018/1725:
a) la seguridad nacional, el orden público y la defensa de los Estados miembros;
b) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
c) otros objetivos importantes de interés público general de la Unión Europea o de un Estado miembro, en particular, los objetivos de la política exterior y de seguridad común de la Unión Europea o un interés económico o financiero importante de la Unión Europea o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
d) la seguridad interna de instituciones y organismos de la Unión Europea, incluida la de sus redes de comunicación electrónica;
ES Diario Oficial de la Unión EuropeaL 94/48 27.3.2020CJ
e) la protección de la independencia judicial y de los procedimientos judiciales;
f) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
g) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c);
h) la protección del interesado o de los derechos y libertades de otros;
i) la ejecución de demandas civiles.
4. En particular, cuando la Oficina limite en el contexto de:
a) investigaciones administrativas y procedimientos disciplinarios, las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), e), g) y h), del Reglamento (UE) 2018/1725;
b) procedimientos de denuncia de irregularidades, las limitaciones podrán basarse en el artículo 25, apartado 1, letra h) del Reglamento (UE) 2018/1725;
c) procedimientos (formales e informales) en casos de acoso, las limitaciones podrán basarse en el artículo 25, apartado 1, letra h) del Reglamento (UE) 2018/1725;
d) tramitaciones de quejas, las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), e), g) y h), del Reglamento (UE) 2018/1725;
e) tratamiento de datos médicos, las limitaciones podrán basarse en el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725;
f) auditorías internas, las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), g) y h) del Reglamento (UE) 2018/1725;
g) investigaciones llevadas a cabo por el delegado la protección de datos de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725, las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725;
h) investigaciones en materia de seguridad informática realizadas internamente o con la participación de agentes externos (p. ej., CERT-UE), las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725.
5. Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta, en particular, los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.
Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso. La prueba también deberá llevarse a cabo al revisar la aplicación de una limitación.
Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hayan justificado. En particular, cuando se considere que el ejercicio del derecho limitado ya no anule el efecto de la limitación impuesta ni afecte negativamente a los derechos o las libertades de los demás interesados.
6. Además, se podrá solicitar a la Oficina que comparta datos personales de los interesados con los servicios de la Comisión o demás instituciones, organismos, agencias y oficinas de la UE, autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, incluido:
a) cuando los servicios de la Comisión u otras instituciones, organismos, agencias y oficinas de la UE limiten sus obligaciones y el ejercicio de los derechos de dichos interesados basándose en otros actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, organismos, agencias y oficinas de la UE;
ES Diario Oficial de la Unión Europea27.3.2020 L 94/49CJ
b) cuando las autoridades competentes de los Estados miembros limiten sus obligaciones y el ejercicio de los derechos de dichos interesados basándose en los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, del artículo 15, apartado 3, o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (4).
Cuando el intercambio de datos personales se inicie por otra autoridad, la Oficina no aplicará ninguna limitación y suprimirá o anonimizará los datos solicitados al transmitirlos a la autoridad de la que se trate.
7. Los registros sobre las limitaciones y, en su caso, los documentos que contengan aspectos de hecho y de derecho subyacentes se pondrán a disposición del Supervisor Europeo de Protección de Datos si este lo solicita.
Artículo 4
Revisión por parte del delegado de protección de datos
1. La Oficina informará a su delegado de protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados, levante la limitación o revise el período de limitación, de acuerdo con esta Decisión. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al DPD.
2. El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. El responsable del tratamiento notificará por escrito al DPD el resultado de la revisión solicitada.
3. La participación del DPD en el procedimiento de limitación, incluidos los intercambios de información, se documentará de forma adecuada.
Artículo 5
Comunicación de información al interesado
1. En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar la comunicación de información, cuando sea necesario y proporcionado, en el contexto de las operaciones de tratamiento contempladas en el artículo 1, apartado 2, de esta Decisión. En particular, la comunicación de información podrá diferirse, omitirse o denegarse en caso de que pudiera dejar sin efecto la operación de tratamiento.
2. Cuando la Oficina limite, total o parcialmente, la comunicación de información a que se refiere el apartado 1, documentará en una nota interna de evaluación los motivos de la limitación, incluidas una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.
3. La limitación a que se refiere el apartado 1 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.
Cuando los motivos que justifiquen la limitación dejen de ser aplicables, la Oficina informará al interesado de los principales motivos de la limitación. Al mismo tiempo, la Oficina informará al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
4. La Oficina revisará la aplicación de la limitación una vez al año como mínimo y al cierre del procedimiento correspondiente. Posteriormente, el responsable del tratamiento deberá supervisar, anualmente, la necesidad de mantener cualquier limitación.
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
ES Diario Oficial de la Unión EuropeaL 94/50 27.3.2020CJ
Artículo 6
Derecho de acceso, rectificación, supresión y limitación del tratamiento por el interesado
1. En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso, rectificación, supresión y limitación del tratamiento, cuando sea necesario y proporcionado, en el contexto de las operaciones de tratamiento contempladas en el artículo 1, apartado 2, de esta Decisión. Las disposiciones del presente artículo 6 no son aplicables al derecho de acceso a datos o expedientes médicos, cuyas normas específicas se prevén expresamente en el artículo 7.
2. Cuando los interesados soliciten ejercer su derecho de acceso, rectificación, supresión y limitación del tratamiento en relación con sus datos personales tratados en el contexto de uno o diversos casos específicos o en relación con una operación de tratamiento en particular, la Oficina limitará su evaluación de la solicitud a dichos datos personales.
3. Cuando la Oficina limite, total o parcialmente, el derecho de acceso, rectificación, supresión y limitación del tratamiento, deberá adoptar las medidas siguientes:
a) informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refiere la letra a) si dicha comunicación dejase sin efecto la limitación.
4. La Oficina revisará la aplicación de la limitación de los derechos de los interesados una vez al año como mínimo y al cierre del procedimiento correspondiente. Posteriormente, a petición de los interesados, el responsable del tratamiento revisará la necesidad de mantener la limitación.
Artículo 7
Derecho de acceso a datos o expedientes médicos
1. La limitación del derecho de acceso de los interesados a sus datos o expedientes médicos requiere disposiciones específicas que estipulan en el presente artículo.
2. Sin perjuicio de lo dispuesto en los apartados siguientes del presente artículo, la Oficina podrá limitar el derecho del interesado a acceder directamente a los datos médicos personales de naturaleza psicológica o psiquiátrica que le conciernan y que sean tratados por la Oficina, cuando el acceso a esos datos pueda suponer un riesgo para la salud del interesado. Esta limitación será proporcional a lo estrictamente necesario para proteger al interesado.
3. Se concederá el acceso a la información a que se refiere el apartado 2 a un médico elegido por el interesado.
4. En esos casos, el Servicio Médico rembolsará al interesado, previa solicitud, la parte del coste de la consulta con el médico al que se haya concedido acceso a los datos o expediente médicos que no haya sido reembolsada por el Régimen Común de Seguro de Enfermedad (RCSE). El reembolso no excederá de la diferencia entre el límite máximo establecido en las disposiciones generales de ejecución relativas al reembolso de los gastos médicos (5) y el importe reembolsado al interesado por el RCSE de conformidad con esas normas.
5. Dicho reembolso por el Servicio Médico estará supeditado a la condición de que no se haya concedido ya el acceso a los mismos datos o expedientes.
6. Sin perjuicio de lo dispuesto en los apartados siguientes del presente artículo, la Oficina podrá limitar, caso por caso, el derecho de acceso del interesado a sus datos médicos personales en su poder cuando el ejercicio de ese derecho vaya a afectar, negativamente, a los derechos y libertades del interesado o de otros interesados.
(5) Decisión C(2007) 3195 de la Comisión, de 2 de julio de 2007, por la que se fijan las disposiciones generales de ejecución relativas al reembolso de los gastos médicos.
ES Diario Oficial de la Unión Europea27.3.2020 L 94/51CJ
7. Cuando los interesados soliciten ejercer su derecho de acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, la Oficina deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
8. Cuando la Oficina limite, total o parcialmente, el derecho de acceso de los interesados a sus datos y expedientes médicos personales, deberá adoptar las medidas siguientes:
a) informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) documentará en una nota de evaluación interna los motivos de la limitación, incluida una evaluación de la necesidad y la proporcionalidad de la limitación y su duración, declarando, en particular, el modo en que el ejercicio del derecho supondría un riesgo para la salud del interesado o afectaría negativamente a los derechos y libertades del interesado o de otros interesados.
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refiere la letra a) si dicha comunicación dejase sin efecto la limitación.
9. Las limitaciones a que se refieren los apartados 2 y 6 seguirán en vigor mientras los motivos que las justifiquen sigan siendo aplicables. Una vez que los motivos que justifiquen una limitación no sean aplicables, a petición de los interesados, el responsable del tratamiento revisará la necesidad de mantener la limitación.
Artículo 8
Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando sea necesario y adecuado, en el contexto de las operaciones de tratamiento contempladas en el artículo 1, apartado 2, de la presente Decisión. No obstante, este derecho no se limitará en el caso de procedimientos de lucha contra el acoso.
2. En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando sea necesario y adecuado, en el contexto de las operaciones de tratamiento contempladas en el artículo 1, apartado 2, de esta Decisión.
3. El artículo 5, apartados 2, 3 y 4, de la presente Decisión es aplicable cuando la Oficina limita la comunicación de una violación de datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725.
Artículo 9
Entrada en vigor
La presente Decisión entrará en vigor a los tres días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Alicante, el 26 de marzo de 2020.
Por la Oficina de Propiedad Intelectual de la Unión Europea Jorma HANSKI
Presidente del Consejo de Administración
ES Diario Oficial de la Unión EuropeaL 94/52 27.3.2020CJ
RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE
DÉCISION DU CONSEIL D’ADMINISTRATION DE L’OFFICE DE L’UNION EUROPÉENNE POUR LA PROPRIÉTE INTELLECTUELLE
du 26 mars 2020
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de données à caractère personnel dans le cadre du fonctionnement
de l’Office de l’Union européenne pour la propriété intellectuelle
LE CONSEIL D’ADMINISTRATION,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
vu le règlement (UE) 2017/1001 du Parlement européen et du Conseil du 14 juin 2017 sur la marque de l’Union européenne (2), et notamment son article 153,
vu le règlement intérieur du conseil d’administration de l’Office de l’Union européenne pour la propriété intellectuelle, et en particulier son article 9,
vu la consultation du Contrôleur européen de la protection des données, le 18 décembre 2019,
considérant ce qui suit:
(1) L’Office de l’Union européenne pour la propriété intellectuelle (l’«Office») mène ses activités conformément au règlement (UE) 2017/1001.
(2) Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes à adopter par l’Office, lorsque celles-ci ne sont pas fondées sur des actes juridiques adoptés sur la base des traités.
(3) Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne s’appliquent pas lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées.
(4) Lorsque l’Office exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des dérogations établies dans ledit règlement s’applique.
(5) Dans le cadre de son fonctionnement administratif, l’Office peut être tenu de limiter les droits des personnes concernées conformément à l’article 25 du règlement (UE) 2018/1725.
(6) L’Office, représenté par son directeur exécutif, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure du rôle de responsable du traitement en son sein, afin de refléter les responsabilités opérationnelles afférentes à certaines opérations spécifiques de traitement des données à caractère personnel.
(7) Les données à caractère personnel sont conservées de manière sécurisée dans un environnement électronique ou sur un support papier qui empêche leur consultation ou transfert illicite par ou à des personnes qui n’ont pas besoin d’en connaître. Les données à caractère personnel traitées sont conservées comme indiqué dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de l’Office.
(1) JO L 295 du 21.11.2018, p. 39 (2) JO L 154 du 16.6.2017, p. 1.
FR Journal officiel de l’Union européenneL 94/46 27.3.2020CJ
(8) Ces règles internes devraient s’appliquer à toutes les opérations de traitement effectuées par l’Office dans le cadre d’enquêtes administratives, de procédures disciplinaires, de procédures de dénonciation des dysfonctionnements, de procédures (formelles et informelles) pour traiter les cas de harcèlement, du traitement de plaintes et de données médicales, de la réalisation d’audits internes, de la conduite d’enquêtes par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et de la conduite d’enquêtes de sécurité informatique réalisées en interne ou avec une participation externe (par exemple CERT-UE).
(9) Dans les cas où ces règles internes s’appliquent, l’Office doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent l‘essence des libertés et droits fondamentaux.
(10) Dans ce cadre, l’Office est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725.
(11) L’Office devrait vérifier régulièrement que les conditions qui justifient la limitation s’appliquent et lever la limitation dès lors que ces conditions ne s’appliquent plus.
(12) Le responsable du traitement doit informer le délégué à la protection des données de chaque limitation appliquée aux droits des personnes concernées, lorsque la limitation a été levée ou lorsqu’elle a été révisée.
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article 1
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles l’Office peut, dans le cadre des opérations de traitement définies au paragraphe 2, limiter l’application des droits inscrits aux articles 4, 14 à 21, 35 et 36, du règlement (UE) 2018/1725, en vertu de son article 25.
2. Dans le cadre du fonctionnement administratif de l’Office, la présente décision s’applique au traitement de données à caractère personnel qu’il effectue aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des procédures de dénonciation des dysfonctionnements, des procédures (formelles et informelles) pour traiter les cas de harcèlement, traiter des plaintes, des données et/ou des dossiers médicaux, procéder à des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité informatique en interne ou avec une participation externe (par exemple CERT-UE).
La présente décision s’applique aux opérations de traitement engagées et effectuées par l’Office, y compris avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des mesures prises à l’issue de ces procédures. Elle s’applique aussi à l’assistance et à la coopération fournies par l’Office, en dehors de ses propres procédures administratives, à l’OLAF, aux autorités compétentes des États membres et/ou à d’autres autorités compétentes.
3. Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).
4. Lorsque l’Office exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des dérogations établies dans ledit règlement s’applique.
5. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications électroniques.
FR Journal officiel de l’Union européenne27.3.2020 L 94/47CJ
Article 2
Spécification du responsable du traitement et garanties
1. L’Office met en place les garanties suivantes pour empêcher une utilisation abusive ou un accès ou transfert illicites:
a) les documents en version papier sont conservés dans des armoires sécurisées et ne sont accessibles qu’au personnel autorisé;
b) toutes les données électroniques sont stockées dans une application informatique sécurisée, conformément aux normes de sécurité de l’Office, ainsi que dans des dossiers électroniques spécifiques accessibles uniquement au personnel autorisé. Les niveaux d’accès appropriés sont accordés individuellement;
c) les systèmes informatiques et leurs bases de données doivent être dotés de mécanismes permettant de vérifier l’identité de l’utilisateur par le biais d’un système d’authentification unique et connecté automatiquement à l’identifiant et au mot de passe de l’utilisateur. Les comptes des utilisateurs finaux doivent être uniques, personnels et non transférables, le partage de comptes utilisateurs est strictement interdit. Les enregistrements électroniques sont conservés en toute sécurité afin de préserver la confidentialité et le caractère privé des données qu’ils contiennent;
d) toutes les personnes ayant accès aux données sont tenues de respecter l’obligation de confidentialité.
2. Le responsable des opérations de traitement est l’Office, représenté par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de l’Office.
3. La durée de conservation des données à caractère personnel visées à l’article 1, paragraphe 3, ne doit pas dépasser celle indiquée dans les avis relatifs à la protection des données, déclarations de confidentialité ou registres mentionnés à l’article 3, paragraphe 1. Au terme de la durée de conservation, les informations des dossiers, y compris les données à caractère personnel, sont supprimées, rendues anonymes ou transférées aux archives historiques.
4. Lorsque l’Office envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque d’entraver la finalité de l’opération de traitement. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.
Article 3
Limitations
1. L’Office publie sur son site web et/ou sur l’intranet, des avis relatifs à la protection des données, des déclarations de confidentialité et/ou des registres au sens de l’article 31 du règlement (UE) 2018/1725, informant toutes les personnes concernées des activités impliquant le traitement de leurs données à caractère personnel et de leurs droits dans le cadre d’une procédure donnée, y compris des informations relatives à une limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. Sous réserve des dispositions du paragraphe 3, le cas échéant, l’Office veille à ce que les personnes concernées soient informées individuellement dans un format approprié. L’Office peut également les informer individuellement de leurs droits concernant des limitations actuelles ou futures.
3. Toute limitation initiée par l’Office est appliquée uniquement pour garantir les finalités énumérées à l’article 25, paragraphe 1, du règlement (UE) 2018/1725:
a) la sécurité nationale, la sécurité publique ou la défense des États membres;
b) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
c) d’autres objectifs importants d’intérêt public général de l’Union européenne ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union européenne ou un intérêt économique ou financier important de l’Union européenne ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
d) la sécurité interne des institutions et organes de l’Union européenne, notamment de leurs réseaux de communications électroniques;
FR Journal officiel de l’Union européenneL 94/48 27.3.2020CJ
e) la protection de l’indépendance de la justice et des procédures judiciaires;
f) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
g) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à c);
h) la protection de la personne concernée ou des droits et libertés d’autrui;
i) l’exécution des demandes de droit civil.
4. En particulier, lorsque l’Office applique des limitations dans le cadre:
a) d’enquêtes administratives et de procédures disciplinaires, les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), e), g), h) du règlement (UE) 2018/1725;
b) de procédures de dénonciation des dysfonctionnements, les limitations peuvent être fondées sur l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725;
c) de procédures (formelles et informelles) pour traiter des cas de harcèlement, les limitations peuvent être fondées sur l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725;
d) du traitement de plaintes, les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), e), g), h) du règlement (UE) 2018/1725;
e) du traitement de données médicales, les limitations peuvent être fondées sur l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725;
f) d’audits internes, les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), g), h) du règlement (UE) 2018/1725;
g) d’enquêtes réalisées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, les limitations peuvent reposer sur l’article 25, paragraphe 1, points c), g) et h) du règlement (UE) 2018/1725;
h) d’enquêtes de sécurité informatique conduite en interne ou avec une participation externe (par exemple CERT-EU), les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), d), g), h) du règlement (UE) 2018/1725.
5. Toute limitation est nécessaire et proportionnée au regard, en particulier, des risques pour les droits et libertés des personnes concernées et respecte l’essence des libertés et droits fondamentaux dans une société démocratique.
Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées. L’évaluation est également effectuée dans le cadre du réexamen de l’application d’une limitation.
Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.
6. En outre, l’Office peut être tenu d’échanger des données à caractère personnel de personnes concernées avec les services de la Commission ou d’autres institutions, organes et organismes de l’UE, des autorités compétentes des États membres ou d’autres autorités compétentes de pays tiers ou organisations internationales, y compris:
a) lorsque les services de la Commission ou d’autres institutions, organes et organismes de l’UE limitent leurs obligations et l’exercice des droits de ces personnes concernées sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’UE;
FR Journal officiel de l’Union européenne27.3.2020 L 94/49CJ
b) lorsque les autorités compétentes des États membres limitent leurs obligations et l’exercice des droits de ces personnes concernées sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4).
Lorsque l’échange de données à caractère personnel est initié par une autre autorité, aucune limitation n’est appliquée par l’Office et les informations liées à l’affaire, y compris les données à caractère personnel, sont supprimées ou rendues anonymes par l’Office après la transmission des données demandées à cette autorité.
7. Les registres sur les limitations et, le cas échéant, les documents contenant des aspects factuels et juridiques sous- jacents, sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
Article 4
Réexamen par le délégué à la protection des données
1. L’Office informe, sans retard injustifié, son délégué à la protection des données (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, lève la limitation ou révise la durée de la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne dans le registre la date à laquelle le DPD a été informé.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.
3. La participation du DPD à la procédure de limitation, y compris aux échanges d’informations, est consignée sous une forme appropriée.
Article 5
Communication d’informations aux personnes concernées
1. Dans des cas dûment justifiés, et dans les conditions prévues par la présente décision, la communication d’informations peut être limitée par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement visées à l’article 1, paragraphe 2, de la présente décision. Notamment, la communication d’informations peut être différée, omise ou refusée si elle prive d’effet l’opération de traitement.
2. Lorsque l’Office limite, en tout ou en partie, la communication d’informations visées au paragraphe 1, il consigne dans une note d’évaluation interne les motifs de la limitation, comprenant une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée.
3. La limitation visée au paragraphe 1 continue de s’appliquer tant que les raisons la justifiant persistent.
Lorsque les raisons de la limitation ne s’appliquent plus, l’Office fournit des informations à la personne concernée sur les principales raisons de la limitation. Dans le même temps, l’Office informe la personne concernée de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
4. L’Office réexamine l’application de la limitation au moins une fois par an et à la clôture de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation sur une base annuelle.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1.)
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
FR Journal officiel de l’Union européenneL 94/50 27.3.2020CJ
Article 6
Droit d’accès, droit de rectification, droit à l’effacement et droit à la limitation du traitement de la personne concernée
1. Dans des cas dûment justifiés et dans les conditions prévues par la présente décision, le droit d’accès, de rectification, d’effacement et de limitation du traitement peut être limité par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement visées à l’article 1, paragraphe 2, de la présente décision. Les dispositions contenues à l’article 6 ne s’appliquent pas au droit d’accès aux données et/ou dossiers médicaux, pour lequel des dispositions spécifiques sont explicitement prévues à l’article 7 ci-dessous.
2. Lorsque des personnes concernées demandent à exercer leur droit d’accès, de rectification, d’effacement et de limitation du traitement concernant leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou concernant une opération de traitement en particulier, l’Office limite son examen de la demande à ces seules données à caractère personnel.
3. Lorsque l’Office limite, en tout ou en partie, le droit d’accès, de rectification, d’effacement et de limitation du traitement, il prend les mesures suivantes:
a) il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne;
b) il consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée.
Conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725, la communication d’informations visées au point a), peut être différée, omise ou refusée si elle prive d’effet la limitation.
4. L’Office réexamine l’application de la limitation des droits des personnes concernées au moins une fois par an et à la clôture de la procédure en question. Ensuite, à la demande des personnes concernées, le responsable du traitement réexamine la nécessité de maintenir la limitation.
Article 7
Droit d’accès aux données et/ou dossiers médicaux
1. La limitation du droit d’accès des personnes concernées à leurs données et/ou dossiers médicaux est régie par des dispositions spécifiques qui sont énoncées dans le présent article.
2. Sous réserve des paragraphes ci-dessous, l’Office peut limiter le droit des personnes concernées à accéder directement aux données et/ou dossiers médicaux de nature psychologique ou psychiatrique les concernant qui sont traités par l’Office, lorsque l’accès à ces données est susceptible de présenter un risque pour la santé des personnes concernées. Cette limitation doit être proportionnée à ce qui est strictement nécessaire pour protéger la personne concernée.
3. L’accès aux informations visées au paragraphe 2 est donné à un médecin choisi par la personne concernée.
4. Dans de tels cas, la personne concernée obtient, à sa demande, le remboursement par le service médical de la partie du coût de la consultation auprès du médecin ayant obtenu l’accès aux données et/ou dossiers médicaux qui n’est pas remboursée par le Régime commun d’assurance maladie (RCAM). Le remboursement ne doit pas excéder la différence entre le plafond fixé dans les dispositions générales d’exécution relatives au remboursement des frais médicaux (5) et le montant remboursé à la personne concernée par le RCAM conformément à ces règles.
5. Le remboursement effectué par le service médical est subordonné à la condition que l’accès n’ait pas déjà été accordé pour les mêmes données et/ou dossiers.
6. Sous réserve des paragraphes ci-dessous, l’Office peut limiter, au cas par cas, le droit des personnes concernées d’accéder à leurs données et/ou dossiers médicaux personnels en sa possession, en particulier lorsque l’exercice de ce droit porte atteinte aux droits et libertés de la personne concernée ou d’autres personnes concernées.
(5) Décision C(2007) 3195 de la Commission du 2 juillet 2007 portant fixation des dispositions générales d’exécution relatives au remboursement des frais médicaux.
FR Journal officiel de l’Union européenne27.3.2020 L 94/51CJ
7. Lorsque les personnes concernées demandent à exercer leur droit d’accès à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement en particulier, l’Office limite son examen de la demande à ces seules données à caractère personnel.
8. Lorsque l’Office limite, en tout ou en partie, le droit d’accès aux données et/ou dossiers médicaux personnels, il prend les mesures suivantes:
a) il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne;
b) il consigne dans une note d’évaluation interne les motifs de la limitation, comprenant une évaluation de la nécessité, de la proportionnalité de la limitation et de sa durée, notamment en indiquant comment l’exercice du droit présenterait un risque pour la santé de la personne concernée ou porterait atteinte aux droits et libertés des personnes concernées ou d’autres personnes concernées.
Conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725, la communication d’informations visées au point a), peut être différée, omise ou refusée si elle prive d’effet la limitation.
9. Les limitations visées aux paragraphes 2 et 6 ci-dessus continuent de s’appliquer tant que les raisons la justifiant persistent. Dès que les raisons justifiant la limitation ne s’appliquent plus, à la demande des personnes concernées, le responsable du traitement réexamine la nécessité de maintenir la limitation.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel et confidentialité des communications électroniques
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement visées à l’article 1, paragraphe 2, de la présente décision. Néanmoins, ce droit n’est pas limité dans le cadre des procédures pour traiter un cas de harcèlement.
2. Dans des cas dûment justifiés et dans les conditions prévues par la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement suivantes visées à l’article 1, paragraphe 2, de la présente décision.
3. L’article 5, paragraphes 2, 3 et 4, de la présente décision s’applique lorsque l’Office limite la communication d’une violation de données à caractère personnel ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Alicante, le 26 mars 2020.
Pour l’Office de l’Union européenne pour la propriété intellectuelle
Jorma HANSKI
Président du conseil d’administration
FR Journal officiel de l’Union européenneL 94/52 27.3.2020CJ