Decyzja 2004/644/WE ustanawiająca reguły wykonawcze dotyczące rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych
Dz.U.UE.L.2004.296.16
Akt utracił mocDECYZJA RADY
z dnia 13 września 2004 r.
ustanawiająca reguły wykonawcze dotyczące rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych
(Dz.U.UE L z dnia 21 września 2004 r.)
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady(1), w szczególności jego art. 24 ust. 8,
a także mając na uwadze, co następuje:
(1) Rozporządzenie (WE) nr 45/2001, zwane dalej "rozporządzeniem", ustala zasady i reguły mające zastosowanie do wszystkich instytucji i organów wspólnotowych oraz stanowi o powołaniu inspektora ochrony danych przez każdą instytucję wspólnotową i organ wspólnotowy.
(2) Artykuł 24 ust. 8 rozporządzenia wymaga, aby dalsze przepisy wykonawcze dotyczące inspektora ochrony danych zostały przyjęte przez każdą instytucję lub organ Wspólnoty zgodnie z przepisami zawartymi w Załączniku do rozporządzenia. Przepisy wykonawcze dotyczą w szczególności zadań, obowiązków i uprawnień inspektora ochrony danych.
(3) Przyjęte przepisy wykonawcze określają także procedury egzekwowania praw podmiotów danych, jak również wypełniania obowiązków przez wszystkie zainteresowane strony w instytucjach i organach wspólnotowych w zakresie przetwarzania danych osobowych.
(4) Przepisy wykonawcze do rozporządzenia stosuje się bez uszczerbku dla rozporządzenia (WE) nr 1049/2001(2), decyzji 2004/338/WE, Euratom(3), w szczególności jej załącznika II, decyzji 2001/264/WE(4), w szczególności części II sekcji VI jej załącznika, jak również decyzji Sekretarza Generalnego Rady/Wysokiego Przedstawiciela ds. Wspólnej Polityki Zagranicznej i Bezpieczeństwa z dnia 25 czerwca 2001 r.(5).
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Sekcja 1
POSTANOWIENIA OGÓLNE
POSTANOWIENIA OGÓLNE
Przedmiot i zakres
Niniejsza decyzja określa dalsze przepisy wykonawcze dotyczące rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady, zwanego dalej "rozporządzeniem", odnoszące się do Rady Unii Europejskiej.
Definicje
Do celów niniejszej decyzji i bez uszczerbku dla definicji zawartych w rozporządzeniu:
a) "administrator danych" oznacza instytucję, dyrekcję generalną, dyrekcję, departament, oddział lub inną jednostkę organizacyjną, która samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych, jak określono w powiadomieniu, które należy przesłać do inspektora ochrony danych (zwanego dalej "inspektorem ochrony danych"), zgodnie z art. 25 rozporządzenia;
b) "osoba kontaktowa" oznacza asystenta lub asystentów administracyjnych dyrekcji generalnej lub innego członka personelu wyznaczonego do przeprowadzania konsultacji z inspektorem ochrony danych przez swoją dyrekcję generalną jako jej przedstawiciel do zajmowania się w ścisłej współpracy z inspektorem ochrony danych kwestiami ochrony danych;
c) "personel Sekretariatu Generalnego Rady" oznacza cały Sekretariat Generalny Rady (zwany dalej "Sekretariatem Generalnym Rady"), urzędników i inne osoby objęte regulaminem pracowniczym urzędników Wspólnot Europejskich i warunkami zatrudnienia innych pracowników Wspólnot Europejskich, określonymi w rozporządzeniu (EWG, Euratom, EWWiS) nr 259/68(6), zwanym dalej "regulaminem pracowniczym", lub pracujące na rzecz Sekretariatu Generalnego Rady w ramach umowy (stażyści, konsultanci, kontrahenci, urzędnicy oddelegowani przez Państwa Członkowskie).
Sekcja 2
INSPEKTOR OCHRONY DANYCH
INSPEKTOR OCHRONY DANYCH
Powoływanie i status inspektora ochrony danych
Zadania
Inspektor ochrony danych:
a) zapewnia, aby administratorzy danych i podmioty danych byli poinformowani o swoich prawach i obowiązkach wynikających z niniejszego rozporządzenia. Wykonując swoje obowiązki, w szczególności ustala formularze do przekazywania informacji i powiadamiania, prowadzi konsultacje z zainteresowanymi stronami i przyczynia się do wzrostu ogólnej świadomości dotyczącej kwestii ochrony danych;
b) odpowiada na wnioski europejskiego inspektora ochrony danych oraz, w zakresie swoich kompetencji, współpracuje z europejskim inspektorem ochrony danych na jego wniosek lub z własnej inicjatywy;
c) zapewnia w sposób niezależny wewnętrzne stosowanie przepisów niniejszego rozporządzenia w Sekretariacie Generalnym Rady;
d) prowadzi rejestr operacji przetwarzania przeprowadzonych przez administratorów danych i udziela prawa dostępu do niego każdej osobie bezpośrednio lub za pośrednictwem europejskiego inspektora ochrony danych;
e) powiadamia europejskiego inspektora ochrony danych o operacjach, które stanowią potencjalne szczególne ryzyko, o którym mowa w art. 27 ust. 2 rozporządzenia;
f) w ten sposób zapewnia, by negatywny wpływ operacji przetwarzania na prawa i wolności podmiotów danych był mało prawdopodobny.
Obowiązki
1. Poza wykonywaniem ogólnych zadań, inspektor ochrony danych:
a) działa jako doradca organu powołującego Sekretariatu Generalnego Rady oraz administratorów danych w sprawach dotyczących stosowania przepisów ochrony danych. Inspektor ochrony danych może być konsultowany przez organ powołujący, zainteresowanych administratorów danych, Komitet ds. Personelu i przez poszczególne osoby, bez korzystania z oficjalnych kanałów, w każdej sprawie dotyczącej interpretowania lub stosowania niniejszego rozporządzenia;
b) przeprowadza dochodzenie z własnej inicjatywy lub z inicjatywy organu powołującego, administratorów danych, Komitetu ds. Personelu lub poszczególnych osób w zakresie spraw i wydarzeń bezpośrednio dotyczących jego zadań i takich, o których został powiadomiony, oraz zdaje sprawozdanie organowi powołującemu lub osobie, która zleciła takie dochodzenie. O ile jest to stosowne, wszystkie zainteresowane strony informuje się odpowiednio. Jeżeli wnoszący zażalenie jest osobą fizyczną lub w przypadku, gdy wnoszący skargę działa w imieniu osoby fizycznej, inspektor ochrony danych musi, w możliwym zakresie, zapewnić poufność wniosku, o ile zainteresowany podmiot danych nie udzieli mu wyraźnej zgody na inne traktowanie tego wniosku;
c) w wykonywaniu swoich obowiązków współpracuje z inspektorami ochrony danych innych instytucji i organów wspólnotowych, w szczególności w zakresie wymiany doświadczeń i najlepszych praktyk;
d) reprezentuje Sekretariat Generalny Rady we wszystkich kwestiach związanych z ochroną danych; bez uszczerbku dla decyzji 2004/338/WE, Euratom, może to obejmować udział inspektora ochrony danych w odpowiednich komitetach i forach na szczeblu międzynarodowym;
e) składa roczne sprawozdanie ze swojej działalności Zastępcy Sekretarza Generalnego Rady i udostępnia je personelowi.
2. Bez uszczerbku dla art. 4 lit. b), art. 5 ust. 1 lit. b) i c) oraz art. 15, inspektor ochrony danych i jego personel nie ujawniają informacji ani dokumentów, które uzyskują w ramach swoich obowiązków.
Uprawnienia
Podczas pełnienia swoich obowiązków inspektor ochrony danych:
a) ma nieustanny dostęp do danych będących przedmiotem operacji przetwarzania i do wszystkich biur, urządzeń przetwarzających dane i nośników danych;
b) może wnioskować o opinię prawną ze strony Służby Prawnej Rady;
c) może korzystać z usług ekspertów zewnętrznych w dziedzinie technologii informatycznych po uprzednim uzyskaniu zgody urzędnika upoważniającego, zgodnie z rozporządzeniem Rady (WE, Euratom) nr 1605/2002 z dnia 25 czerwca 2002 r. w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich(7) i jego przepisami wykonawczymi;
d) może, bez uszczerbku dla obowiązków i uprawnień europejskiego inspektora ochrony danych, przedkładać Sekretariatowi Generalnemu Rady propozycje dotyczące środków administracyjnych i wydawać ogólne zalecenia w sprawie właściwego stosowania rozporządzenia;
e) może przedkładać, w szczególnych przypadkach, inne zalecenia dotyczące praktycznego usprawnienia ochrony danych Sekretariatowi Generalnemu Rady i/lub innym zainteresowanym stronom;
f) może zwrócić uwagę organu powołującego Sekretariatu Generalnego Rady na nieprzestrzeganie przez członka personelu obowiązków ustanowionych przez rozporządzenie i zasugerować podjęcie dochodzenia administracyjnego, mając na uwadze zastosowanie art. 49 rozporządzenia.
Środki
Inspektor ochrony danych ma zapewniony odpowiedni personel i środki niezbędne do wykonywania swoich obowiązków.
Sekcja 3
PRAWA I OBOWIĄZKI PODMIOTÓW W ZAKRESIE OCHRONY DANYCH
PRAWA I OBOWIĄZKI PODMIOTÓW W ZAKRESIE OCHRONY DANYCH
Organ powołujący
Administratorzy danych
1. Administratorzy danych są odpowiedzialni za zapewnienie, aby wszystkie operacje przetwarzania będące w ich gestii były zgodne z rozporządzeniem.
2. W szczególności administratorzy danych zobowiązani są do:
a) uprzedniego powiadomienia inspektora ochrony danych o każdej operacji przetwarzania lub zestawie operacji przeznaczonych do jednego lub kilku powiązanych ze sobą celów, jak również o każdej istotnej zmianie w istniejącej operacji przetwarzania danych. Administrator danych powiadamia go bezzwłocznie o operacjach przetwarzania przeprowadzonych przed wejściem w życie rozporządzenia z dniem 1 lutego 2001 r.;
b) pomagają inspektorowi ochrony danych i europejskiemu inspektorowi ochrony danych w wykonywaniu ich obowiązków, zwłaszcza poprzez udzielanie informacji na ich wnioski najpóźniej w terminie trzydziestu dni;
c) wdrażają stosowne środki techniczne i organizacyjne oraz udzielają odpowiednich instrukcji personelowi Sekretariatu Generalnego Rady w celu zapewnienia zarówno poufności przetwarzania, jak i poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi to przetwarzanie;
d) tam, gdzie jest to stosowne, przeprowadzają konsultacje z inspektorem ochrony danych w sprawie zgodności operacji przetwarzania danych z rozporządzeniem, a zwłaszcza wówczas, gdy mają uzasadnione powody, aby wierzyć, że pewne operacje przetwarzania są niezgodne z art. 4-10 rozporządzenia. Mogą oni również przeprowadzać konsultacje z inspektorem ochrony danych i/lub ekspertami zewnętrznymi w dziedzinie technologii informatycznych w Dyrekcji Generalnej A, Biurem Bezpieczeństwa i Biurem Bezpieczeństwa Informacji (INFOSEC) w kwestiach związanych z poufnością informacji przetwarzania danych i podjętymi środkami bezpieczeństwa, zgodnie z art. 22 rozporządzenia.
Osoby kontaktowe
1. Bez uszczerbku dla obowiązków inspektora ochrony danych, osoba kontaktowa:
a) wspomaga swoją dyrekcję generalną lub oddział w prowadzeniu ewidencji wszystkich istniejących operacji przetwarzania danych osobowych;
b) wspomaga swoją dyrekcję generalną lub oddział w identyfikowaniu właściwych administratorów danych;
c) ma prawo do otrzymania od administratorów danych i od personelu odpowiednich i niezbędnych informacji potrzebnych do wykonywania swoich zadań administracyjnych w ramach swojej dyrekcji generalnej lub oddziału. Nie obejmuje to prawa dostępu do danych osobowych przetwarzanych w ramach obowiązków administratora danych.
2. Bez uszczerbku dla obowiązków inspektora administratora danych, osoby kontaktowe:
a) wspomagają administratorów danych w wypełnianiu ich zobowiązań;
b) tam, gdzie to stosowne, ułatwiają komunikację pomiędzy inspektorem ochrony danych i administratorami danych.
Personel Sekretariatu Generalnego Rady
Podmioty danych
Sekcja 4
REJESTR OPERACJI PRZETWARZANIA, O KTÓRYCH POWIADOMIONO
REJESTR OPERACJI PRZETWARZANIA, O KTÓRYCH POWIADOMIONO
Procedura powiadamiania
Zawartość i cel rejestru
Dostęp do rejestru
Sekcja 5
PROCEDURA DLA PODMIOTÓW DANYCH DOTYCZĄCA KORZYSTANIA Z ICH PRAW
PROCEDURA DLA PODMIOTÓW DANYCH DOTYCZĄCA KORZYSTANIA Z ICH PRAW
Postanowienia ogólne
Prawo dostępu do danych
Podmiot danych ma prawo uzyskania od administratora danych, bez ograniczeń w każdym momencie w ciągu trzech miesięcy od otrzymania wniosku, informacji, o których mowa w art. 13 lit. a)-d) rozporządzenia, albo przez dostęp do danych na miejscu lub uzyskanie kopii, włącznie z kopią w formie elektronicznej, tam gdzie to stosowne, zgodnie z wyborem wnioskodawcy.
Prawo do poprawki
Każdy wniosek podmiotu danych dotyczący wniesienia poprawki do nieprawidłowych lub niekompletnych danych osobowych musi zawierać określenie odpowiednich danych, jak również poprawki, której należy dokonać. Administrator danych powinien ją wykonać bezzwłocznie.
Prawo do blokowania
Administrator danych bezzwłocznie rozpatruje wniosek o zablokowanie danych zgodnie z art. 15 rozporządzenia. Wniosek określa odpowiednie dane, jak również powody ich blokowania. Administrator danych informuje podmiot danych, który wniósł wniosek, przed odblokowaniem danych.
Prawo do usunięcia
Podmiot danych może się zwrócić do administratora danych z wnioskiem o bezzwłoczne usunięcie danych w przypadku bezprawnego przetwarzania, w szczególności w przypadkach naruszenia art. 4-10 rozporządzenia. Wniosek określa odpowiednie dane i zawiera powody lub dowody bezprawnego przetwarzania. W zautomatyzowanych systemach przechowywania danych kasowanie powinno zasadniczo być zapewnione za pomocą środków technicznych, bez możliwości dalszego przetwarzania skasowanych danych. Jeżeli usunięcie nie jest możliwe z przyczyn technicznych, administrator danych po konsultacji z inspektorem ochrony danych i z zainteresowaną osobą przystępuje bezzwłocznie do blokowania takich danych.
Powiadomienie stron trzecich
W przypadku naniesienia poprawki, blokowania lub usunięcia w następstwie wniosku złożonego przez podmiot danych może on uzyskać od administratora danych powiadomienie stron trzecich, którym udostępniono te dane, o ile nie jest to niemożliwe lub nie wymaga nieproporcjonalnego wysiłku.
Prawo sprzeciwu
Podmiot danych ma prawo sprzeciwić się przetwarzaniu danych go dotyczących i udostępnianiu lub wykorzystaniu jego danych osobowych zgodnie z art. 18 rozporządzenia. Wniosek musi określać odpowiednie dane i zawierać powody uzasadniające wniosek. Jeżeli sprzeciw jest uzasadniony, przetwarzanie, o którym mowa, nie może dotyczyć takich danych.
Zautomatyzowane decyzje indywidualne
Podmiot danych ma prawo nie podlegać zautomatyzowanym decyzjom indywidualnym zgodnie z zamierzeniem określonym art. 19 rozporządzenia, o ile decyzja nie jest wyraźnie uprawniona na podstawie prawodawstwa krajowego lub wspólnotowego lub uprawomocniona przez europejskiego inspektora ochrony danych przy użyciu środków ochrony uzasadnionych prawnie interesów podmiotu danych. W każdym przypadku podmiot danych ma możliwość uprzedniego przedstawienia swojego punktu widzenia i przeprowadzenia konsultacji z inspektorem ochrony danych.
Zwolnienia i ograniczenia
Sekcja 6
PROCEDURA DOCHODZENIA
PROCEDURA DOCHODZENIA
Wskazówki praktyczne
Sekcja 7
POSTANOWIENIA KOŃCOWE
POSTANOWIENIA KOŃCOWE
Wejście w życie
Niniejsze rozporządzenie staje się skuteczne następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli, dnia 13 września 2004 r.
W imieniu Rady | |
B. R. BOT | |
Przewodniczący |
______
(1) Dz.U. L 8 z 12.1.2001, str. 1.
(2) Rozporządzenie (WE) 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, str. 43).
(3) Decyzja Rady 2004/338/WE, Euratom z dnia 22 marca 2004 r. w sprawie przyjęcia Regulaminu Rady (Dz.U. L 106 z 15.4.2004, str. 22).
(4) Decyzja Rady 2001/264/WE z dnia 19 marca 2001 r. w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa (Dz.U. L 101, z 11.04.2001, str. 1). Decyzja zmieniona decyzją 2004/194/WE (Dz.U. L 63 z 28.2.2004, str. 48).
(5) Decyzja Sekretarza Generalnego Rady/Wysokiego Przedstawiciela ds. Wspólnej Polityki Zagranicznej i Bezpieczeństwa z dnia 25 czerwca 2001 r. w sprawie kodeksu dobrego postępowania administracyjnego dla Sekretariatu Generalnego Rady Unii Europejskiej oraz jego personelu w kontaktach zawodowych ze społeczeństwem (Dz.U. C 189 z 5.7.2001, str. 1).
(6) Dz.U. L 56 z 4.3.1968, str. 1. Rozporządzenie ostatnio zmienione rozporządzeniem (WE, Euratom) nr 723/2004 (Dz.U. L 124 z 27.4.2004, str. 1).
(7) Dz. U. L 248 z 16.9.2002, str. 1.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.