Przepisy wykonawcze do Rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych.
Dz.U.UE.C.2005.308.1
Akt utracił mocDecyzja Prezydium z dnia 22 czerwca 2005 r.
(2005/C 308/01)
(Dz.U.UE C z dnia 6 grudnia 2005 r.)
PREZYDIUM,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 24 ust. 8,
uwzględniając art. 22 ust. 2 Regulaminu Parlamentu Europejskiego,
a także mając na uwadze, co następuje:
(1) Rozporządzenie (WE) nr 45/2001 (zwane dalej "rozporządzeniem") ustanawia zasady i reguły stosowane do wszystkich instytucji i organów Wspólnoty oraz przewiduje wyznaczenie przez każdą instytucję i organ Wspólnoty inspektora ochrony danych.
(2) Art. 24 ust. 8 rozporządzenia przewiduje przyjęcie przez każdą instytucję lub organ Wspólnoty dalszych przepisów wykonawczych, zgodnie z przepisami zawartymi w załączniku do rozporządzenia. Przepisy wykonawcze dotyczą w szczególności zadań, obowiązków i uprawnień inspektora ochrony danych.
(3) Celem przepisów wykonawczych jest uszczegółowienie procedur pozwalających zainteresowanym osobom na korzystanie z przysługujących im praw, a wszystkim osobom, które w instytucjach i organach Wspólnoty zajmują się przetwarzaniem danych osobowych, na wypełnianie sich obowiązków.
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Przedmiot
Mianowanie, status i niezależność
Zastępcy inspektora ochrony danych
Funkcje
Zadania
Uprawnienia inspektora ochrony danych są następujące:
– Informowanie: inspektor ochrony danych informuje administratorów danych Parlamentu Europejskiego oraz osoby zainteresowane o przysługujących im na podstawie rozporządzenia prawach i obowiązkach. W tym celu dostarcza on niezbędnych informacji dotyczących obowiązującego prawodawstwa, procedur w toku oraz istniejących notyfikowanych danych, a także ułatwia korzystanie z tych praw i wypełnianie obowiązków.
– Pytania Europejskiego Inspektora Ochrony Danych: inspektor ochrony danych udziela odpowiedzi na pytania Europejskiego Inspektora.
– Współpraca z Europejskim Inspektorem Ochrony Danych: inspektor ochrony danych współpracuje z Europejskim Inspektorem Ochrony Danych w zakresie swoich uprawnień, na jego wniosek lub z własnej inicjatywy, zwłaszcza w zakresie obsługi odwołań i w pełnieniu funkcji inspekcyjnych.
– Informowanie Europejskiego Inspektora Ochrony Danych: inspektor ochrony danych informuje Europejskiego Inspektora Ochrony Danych o nowych zdarzeniach, jakie nastąpiły w Parlamencie Europejskim, mających znaczenie dla ochrony danych osobowych.
– Prowadzenie rejestru operacji przetwarzania: inspektor ochrony danych prowadzi rejestr operacji przetwarzania przeprowadzonych przez administratorów danych, zgodnie z art. 26 rozporządzenia, oraz ułatwia każdej osobie zapoznanie się z tym rejestrem.
– Powiadamianie o operacjach przetwarzania mogących stworzyć konkretne zagrożenia: inspektor ochrony danych powiadamia Europejskiego Inspektora Ochrony Danych o wszelkich operacjach przetwarzania mogących stworzyć konkretne zagrożenie w rozumieniu art. 27 rozporządzenia. W przypadku wątpliwości co do potrzeby wstępnej kontroli, inspektor ochrony danych konsultuje się z Europejskim Inspektorem Ochrony Danych.
– Zagwarantowanie praw i swobód osobom zainteresowanym: inspektor ochrony danych dba o to, by operacje przetwarzania nie stwarzały zagrożenia naruszenia praw i swobód osób zainteresowanych oraz zapewnia, by żadna osoba nie poniosła szkody z tytułu zawiadomienia inspektora ochrony danych o fakcie, który osoba ta uznała za naruszenie przepisów rozporządzenia.
Uprawnienia
– formułować z własnej inicjatywy zalecenia dla administratorów danych lub dla Sekretarza Generalnego, dotyczące kwestii związanych ze stosowaniem przepisów odnoszących się do ochrony danych lub spraw zawartych w niniejszych przepisach wykonawczych;
– z własnej inicjatywy lub na wniosek administratora danych, Komitetu Pracowniczego Parlamentu Europejskiego lub jakiejkolwiek osoby fizycznej, badać sprawy i zdarzenia związane bezpośrednio z jego zadaniami, o których został powiadomiony. Badanie to nie może naruszać zasady bezstronności ani praw osoby zainteresowanej. Inspektor ochrony danych składa sprawozdanie z badania osobie, która zleciła dochodzenie, bądź administratorowi;
– zawiadomić Sekretarza Generalnego o wszelkich uchybieniach w stosunku do przepisów rozporządzenia;
– regularnie uczestniczyć w spotkaniach z Europejskim Inspektorem Ochrony Danych lub inspektorami ochrony danych z innych instytucji i organów w celu wypracowania wzajemnej wymiany informacji, zapewnienia współpracy międzyinstytucjonalnej i zharmonizowania stosowania obowiązujących procedur;
– przygotować doroczne sprawozdania z działalności dla Sekretarza Generalnego oraz Europejskiego Inspektora Ochrony Danych w sprawie działalności w zakresie ochrony danych w Parlamencie Europejskim, które udostępnia on pracownikom Parlamentu Europejskiego;
– wydać opinię w sprawie legalności przeprowadzonych lub planowanych operacji przetwarzania danych, w sprawie środków wymaganych do zapewnienia legalności planowanych operacji przetwarzania danych lub w sprawie trafności lub nieadekwatności danych lub środków bezpieczeństwa. Opinia może w szczególności dotyczyć każdej kwestii związanej z powiadamianiem o operacjach przetwarzania danych.
Procedura powiadamiania o przetwarzaniu danych
a) imię, nazwisko i adres służbowy administratora oraz wskazanie służb Parlamentu Europejskiego, którym powierzono przetwarzanie danych osobowych w konkretnym celu;
b) cel lub cele przetwarzania danych;
c) opis jednej lub kilku kategorii osób zainteresowanych oraz odnoszących się do nich danych lub kategorii danych;
d) podstawę prawną operacji przetwarzania, do której przeznaczone są dane;
e) odbiorcę lub kategorie odbiorców, którym dane mogą zostać przekazane;
f) ogólne wskazanie terminów zablokowania i usunięcia różnych kategorii danych;
g) planowane przypadki przekazania danych państwom trzecim lub organizacjom międzynarodowym oraz adresatom podlegającym krajowemu ustawodawstwu jednego z Państw Członkowskich;
h) ogólny opis pozwalający na wstępną ocenę, czy środki podjęte zgodnie z art. 22 rozporządzenia w celu zapewnienia bezpieczeństwa przetwarzania są odpowiednie.
Rejestr operacji przetwarzania
Rejestr podawany jest do publicznej wiadomości oraz ułatwia osobie zainteresowanej, korzystanie z przyznanych jej praw określonych w art. 13-19 rozporządzenia.
Postanowienia ogólne dotyczące wykonywania praw przez osoby zainteresowane
– nazwisko, imię i dane teleadresowe osoby zainteresowanej;
– określenie rodzaju wykonywanego prawa;
– ewentualne dokumenty popierające wniosek;
– określenie kategorii odnośnych danych;
– podpis wnioskodawcy i datę złożenia wniosku.
Wniosek może zostać przesłany pocztą wewnętrzną lub zewnętrzną, pocztą elektroniczną bądź faksem, w sposób pozwalający na potwierdzenie transmisji i odbioru wniosku. W przypadku błędów lub braków we wniosku administrator danych może zwrócić się o dodatkowe informacje. Jest on zobowiązany do sprawdzenia uprawnień wnioskodawcy.
Prawo dostępu do danych
– potwierdzenia, czy odnoszące sie do niej dane są przetwarzane;
– informacji dotyczących co najmniej celu przetwarzania, kategorii przetwarzanych danych oraz odbiorców lub kategorii odbiorców, którym dane są przekazywane;
– przekazania w zrozumiałej formie danych podlegających przetwarzaniu oraz wszelkich dostępnych informacji dotyczących ich pochodzenia;
– wyjaśnień na temat logiki będącej podstawą jakiegokolwiek automatycznego przetwarzania dotyczących jej danych.
– konsultacji na miejscu;
– wydania poświadczonej kopii przez administratora danych;
– wydania kopii w formacie elektronicznym;
– innych środków dostępnych administratorowi i dostosowanych do konfiguracji pliku.
Prawo do sprostowania danych
Prawo do zablokowania danych
a) osoba zainteresowana kwestionuje ich prawidłowość - na okres pozwalający administratorowi danych na sprawdzenie ich prawidłowosci, w tym kompletności danych;
b) nie są już one przydatne administratorowi danych do wykonywania jego zadań, ale powinny być przechowywane do celów dowodowych;
c) ich przetwarzanie jest bezprawne, a osoba zainteresowana sprzeciwia się ich usunięciu, żądając w zamian ich zablokowania.
Prawo do usunięcia danych
Powiadamianie osób trzecich
Osoba zainteresowana ma prawo żądać od administratora danych powiadomienia osób trzecich zapoznanych uprzednio z odnośnymi danymi o wszelkich dotyczących ich sprostowaniach, usunięciach i blokadach dokonanych w myśl art. 10-12, pod warunkiem, iż nie jest to niemożliwe lub nie wymaga nieproporcjonalnych wysiłków. W przypadku odmowy powiadomienia osób trzecich związanej z brakiem takiej możliwości lub też z nieproporcjonalnym wysiłkiem, administrator danych dysponuje okresem 15 dni roboczych na poinformowanie o tym osoby zainteresowanej listem zawierającym uzasadnienie.
Prawo sprzeciwu
Procedura kontroli
Środki odwoławcze
Ograniczenia
Administratorzy danych
– wspierania inspektora ochrony danych oraz Europejskiego Inspektora Ochrony Danych w pełnieniu ich funkcji, zwłaszcza poprzez przekazywanie im informacji, o które się zwrócili, w terminie nieprzekraczającym 20 dni roboczych;
– wprowadzania w życie stosownych środków technicznych i organizacyjnych oraz przekazywania personelowi Parlamentu Europejskiego lub innym podlegającym mu osobom odpowiednich instrukcji mających na celu jednoczesne zapewnienie poufności przetwarzania danych i właściwego poziomu ochrony przed ryzykiem związanym z tym procesem;
– powiadamiania inspektora ochrony danych o każdej operacji przetwarzania danych jeszcze przed jej rozpoczęciem, zgodnie z art. 6.
Dostęp do dokumentów
Wejście w życie
Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.