Decyzja 2008/597/WE w sprawie przyjęcia przepisów wykonawczych w zakresie inspektora ochrony danych zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych
Dz.U.UE.L.2008.193.7
Akt utracił mocDECYZJA KOMISJI
z dnia 3 czerwca 2008 r.
w sprawie przyjęcia przepisów wykonawczych w zakresie inspektora ochrony danych zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych
(Dz.U.UE L z dnia 22 lipca 2008 r.)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(1), w szczególności jego art. 24 ust. 8 i jego załącznik,
a także mając na uwadze, co następuje:
(1) Rozporządzenie (WE) nr 45/2001, zwane dalej "rozporządzeniem", ustala zasady i przepisy mające zastosowanie do wszystkich instytucji i organów wspólnotowych oraz przewiduje powołanie inspektora ochrony danych przez każdą instytucję wspólnotową i organ wspólnotowy.
(2) Artykuł 24 ust. 8 rozporządzenia wymaga, aby każda instytucja lub organ Wspólnoty przyjęła dalsze przepisy wykonawcze dotyczące inspektora ochrony danych zgodnie z przepisami zawartymi w załączniku. Przepisy wykonawcze dotyczą w szczególności zadań, obowiązków i uprawnień inspektora ochrony danych.
(3) Na mocy decyzji Komisji C(2002) 510(2) z dnia 18 lutego 2002 r. powstało stanowisko inspektora ochrony danych w Komisji oraz zlecono temu inspektorowi przygotowywanie propozycji przepisów wykonawczych po konsultacjach z dyrekcjami generalnymi, zgodnie z ich potrzebami i doświadczeniami,
STANOWI, CO NASTĘPUJE:
SEKCJA 1
PRZEPISY OGÓLNE
PRZEPISY OGÓLNE
Definicje
Do celów niniejszej decyzji i bez uszczerbku dla definicji zawartych w rozporządzeniu:
– "koordynator ochrony danych" (zwany dalej koordynatorem) oznacza pracownika danej dyrekcji generalnej lub służby, który został wyznaczony przez dyrektora generalnego w celu koordynowania wszystkich aspektów ochrony danych osobowych w danej dyrekcji generalnej,
– "kontroler", zdefiniowany w art. 2 lit. d) i o którym mowa w art. 25 ust. 2 lit. a), oznacza urzędnika odpowiedzialnego za jednostkę organizacyjną, która ustaliła cele i sposoby przetwarzania danych osobowych.
Zakres stosowania
W niniejszej decyzji określono zasady i procedury wykonywania funkcji przez inspektora danych osobowych (zwanego dalej "inspektorem") w ramach Komisji, zgodnie z art. 24 ust. 8 rozporządzenia. Nie mają one zastosowania do działalności Komisji dotyczącej ustalania polityki dotyczącej ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
SEKCJA 2
INSPEKTOR OCHRONY DANYCH
INSPEKTOR OCHRONY DANYCH
Mianowanie i status
Zadania
Obowiązki
a) składa co roku sprawozdanie o stanie ochrony danych osobowych w Komisji Sekretarzowi Generalnemu i Dyrektorowi Generalnemu ds. Personelu i Administracji w celu przedyskutowania go na odpowiednim szczeblu, jak na przykład regularne posiedzenia dyrektorów generalnych; sprawozdanie jest udostępniane pracownikom Komisji;
b) w wykonywaniu swoich obowiązków współpracuje z inspektorami ochrony danych innych instytucji i organów, w szczególności poprzez wymianę doświadczeń i najlepszych praktyk.
Uprawnienia
Bez uszczerbku dla uprawnień nadanych mu w rozporządzeniu w trakcie wykonywania swoich zadań i obowiązków inspektor:
a) może wnioskować o opinię prawną służby prawnej Komisji;
b) może, w przypadku sporu dotyczącego wykładni lub wykonywania rozporządzenia, poinformować właściwy szczebel kierownictwa i Sekretarza Generalnego przed skierowaniem sprawy do Europejskiego Inspektora Ochrony Danych;
c) może zwracać uwagę sekretarza generalnego na:
– naruszenie przez pracownika obowiązków określonych w rozporządzeniu,
– naruszenie przez kontrolerów standardów kontroli wewnętrznej w Komisji związanych ściślej z obowiązkami wynikającymi z rozporządzenia; oraz zaproponować otwarcie dochodzenia administracyjnego z możliwością zastosowania art. 49 rozporządzenia;
d) może prowadzić dochodzenia w sprawach bezpośrednio związanych ze swoimi zadaniami, stosując odpowiednie zasady dotyczące dochodzeń i kontroli w Komisji oraz procedurę opisaną w art. 13 niniejszej decyzji;
e) inspektor ma nieustanny dostęp do danych będących przedmiotem operacji przetwarzania i do wszystkich biur, instalacji przetwarzających dane i nośników danych.
Zasoby
Komisja dostarcza inspektorowi zasoby niezbędne do wykonywania obowiązków.
SEKCJA 3
ZASADY I PROCEDURY
ZASADY I PROCEDURY
Informacje
Kontrolerzy
a) niezwłocznie przygotowują zawiadomienia dla inspektora dotyczące wszystkich trwających operacji przetwarzania danych osobowych, które nie zostały jeszcze zgłoszone;
b) w odpowiednich przypadkach, konsultują się z inspektorem w sprawie zgodności operacji przetwarzania danych, szczególnie w przypadku wątpliwości co do tej zgodności;
c) współpracują z koordynatorem w celu przygotowania spisu trwających operacji przetwarzania danych osobowych w danej dyrekcji generalnej.
Podmioty przetwarzające dane
Podmioty przetwarzające dane w ramach Komisji, od których wymaga się przetwarzania danych osobowych w imieniu kontrolerów, działają tylko zgodnie z instrukcjami kontrolerów udokumentowanymi w pisemnym porozumieniu i przetwarzają takie dane osobowe, ściśle przestrzegając rozporządzenia oraz wszelkich innych mających zastosowanie aktów prawnych dotyczących ochrony danych osobowych. Pisemne porozumienie pomiędzy jednostkami organizacyjnymi Komisji uważa się za równoważne prawnie wiążącemu aktowi w rozumieniu art. 23 ust. 2 rozporządzenia.
Z zewnętrznymi podmiotami przetwarzającymi dane należy zawierać formalne umowy; tego typu umowy zawierają szczegółowe wymogi wymienione w art. 23 ust. 2 rozporządzenia.
Zawiadomienia
W celu przesłania swoich zawiadomień inspektorowi kontrolerzy używają elektronicznego systemu zawiadamiania, dostępnego za pośrednictwem strony inspektora w Intranecie Komisji. W przypadku prostych operacji przetwarzania danych, które nie są danymi szczególnie chronionymi, system zapewnia możliwość zawiadamiania w trybie uproszczonym.
Rejestr
Elektroniczny rejestr operacji przetwarzania danych realizowanych przez Komisję wspomniany w art. 4 ust. 4 niniejszej decyzji jest udostępniany wszystkim pracownikom instytucji i organów Wspólnoty za pośrednictwem strony inspektora w intranecie Komisji oraz dla wszystkich osób mających dostęp do Internetu za pośrednictwem strony internetowej EUROPA. Osoby niedysponujące dostępem do Internetu mogą zwracać się z pisemny wnioskiem o wyciąg z rejestru do inspektora, który odpowiada w ciągu 10 dni roboczych.
Procedura dochodzenia
Koordynatorzy ds. ochrony danych osobowych
a) tworzy spis operacji przetwarzania danych w danej dyrekcji generalnej, aktualizuje go oraz pomaga ustalić odpowiedni poziom ryzyka dla każdej operacji przetwarzania danych; wykorzystuje elektroniczny system zarządzania spisem udostępniony w tym celu przez inspektora na jego stronie w intranecie Komisji;
b) pomaga dyrektorowi generalnemu lub szefowi służby w ustaleniu właściwych kontrolerów;
c) ma prawo otrzymywać od kontrolerów niezbędne i odpowiednie informacje. Nie obejmuje to prawa dostępu do danych osobowych przetwarzanych na odpowiedzialność kontrolera.
a) wspomaga kontrolerów w wypełnianiu ich obowiązków prawnych;
b) pomaga kontrolerom w przygotowywaniu zawiadomień;
c) wprowadza uproszczone zawiadomienia do elektronicznego systemu inspektora.
Administracja i zarządzanie
SEKCJA 4
PRZEPISY KOŃCOWE
PRZEPISY KOŃCOWE
Wejście w życie
Niniejsza decyzja wchodzi w życie z dniem 3 czerwca 2008 r.
Sporządzono w Brukseli, dnia 3 czerwca 2008 r.
W imieniu Komisji | |
José Manuel BARROSO | |
Przewodniczący |
______
(1) Dz.U. L 8 z 12.1.2001, s. 1.
(2) Dotychczas nieopublikowana w Dzienniku Urzędowym.
(3) Żadne odniesienia do inspektora ochrony danych osobowych w dalszej części tekstu nie przesądzają, czy osoba sprawująca tę funkcję będzie mężczyzną czy kobietą.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.