Decyzja ERRS/2012/1 ustanawiająca przepisy dotyczące ochrony danych w Europejskiej Radzie ds. Ryzyka Systemowego

Dzienniki UE

Dz.U.UE.C.2012.286.16

Akt obowiązujący
Wersja od: 22 września 2012 r.

DECYZJA EUROPEJSKIEJ RADY DS. RYZYKA SYSTEMOWEGO

z dnia 13 lipca 2012 r.

ustanawiająca przepisy dotyczące ochrony danych w Europejskiej Radzie ds. Ryzyka Systemowego

(ERRS/2012/1)

(2012/C 286/11)

(Dz.U.UE C z dnia 22 września 2012 r.)

RADA GENERALNA EUROPEJSKIEJ RADY DS. RYZYKA SYSTEMOWEGO,

uwzględniając art. 16 Traktatu o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(1), w szczególności art. 24 ust. 8 oraz załącznik do tego rozporządzenia,

po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych (EIOD),

a także mając na uwadze, co następuje:

(1) Rozporządzenie (WE) nr 45/2001 określa zasady i reguły mające zastosowanie do wszystkich instytucji i organów Unii Europejskiej oraz nakłada na wszystkie unijne instytucje i organy obowiązek powołania inspektora ochrony danych.

(2) Zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001 każda instytucja i każdy organ unijny ma obowiązek przyjęcia dalszych przepisów wykonawczych dotyczących inspektora ochrony danych zgodnie z przepisami zawartymi w załączniku do tego rozporządzenia.

(3) Należy uwzględnić przepisy dotyczące administratorów danych i koordynatorów ochrony danych, których zadania i obowiązki są związane z zadaniami i obowiązkami inspektora ochrony danych, a także przepisy określające uprawnienia podmiotów danych,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

SEKCJA  1

POSTANOWIENIA OGÓLNE

Artykuł  1

Przedmiot i zakres regulacji

Niniejsza decyzja określa zasady dotyczące:

a)
powoływania i statusu inspektora ochrony danych Europejskiej Rady ds. Ryzyka Systemowego (ERRS) (zwanego dalej "inspektorem"), a także jego zadań, obowiązków i uprawnień;
b)
roli, zadań i obowiązków administratorów danych i koordynatorów ochrony danych;
c)
wykonywania przez podmioty danych przysługujących im praw.
Artykuł  2

Definicje

Użyte w niniejszej decyzji terminy oznaczają:

a)
"administrator danych" - menedżera odpowiedzialnego za jednostkę organizacyjną określającą cele oraz sposoby przetwarzania danych osobowych;
b)
"koordynator ochrony danych" - pracownika wspierającego administratora danych w wykonywaniu jego obowiązków w zakresie ochrony danych. Osoba ta powinna być specjalistą w zakresie zarządzania zasobami danych.

SEKCJA  2

INSPEKTOR OCHRONY DANYCH

Artykuł  3

Powoływanie, status i kwestie organizacyjne

1.
Rada Generalna:
a)
powołuje na stanowisko inspektora osobę o stażu zawodowym pozwalającym na spełnienie przez nią wymogów określonych w art. 24 rozporządzenia (WE) nr 45/2001;
b)
ustala długość kadencji inspektora na okres od dwóch do pięciu lat.
2.
Rada Generalna zapewnia niezależność inspektora w wykonywaniu przez niego zadań i obowiązków. Bez uszczerbku dla niezależności inspektora przed dokonaniem oceny wykonywania przez inspektora jego zadań i obowiązków osoby go oceniające zasięgają opinii EIOD.
3.
Właściwy administrator danych zapewnia niezwłoczne zawiadomienie inspektora o:
a)
zdarzeniach wywołujących lub mogących wywołać skutki w zakresie ochrony danych oraz
b)
o wszelkich kontaktach ERRS z podmiotami zewnętrznymi związanych ze stosowaniem rozporządzenia (WE) nr 45/2001, w szczególności o kontaktach z EIOD.
4.
Rada Generalna może powołać zastępcę inspektora ochrony danych, do którego stosuje się art. 24 ust. 1, 2 i 6 rozporządzenia (WE) nr 45/2001. Zastępca inspektora ochrony danych wspomaga inspektora w wykonywaniu przez niego zadań i obowiązków oraz zastępuje go w razie nieobecności.
5.
Pracownicy wspierający inspektora w wykonywaniu zadań związanych ochroną danych działają wyłącznie na podstawie jego poleceń.
6.
Inspektor może być odwołany ze stanowiska za zgodą EIOD, jeżeli przestanie spełniać warunki konieczne do wykonywania jego zadań i obowiązków.
Artykuł  4

Zadania i obowiązki inspektora ochrony danych

Wykonując zadania określone w art. 24 rozporządzenia (WE) nr 45/2001 oraz w załączniku do tego rozporządzenia, i korzystając przy tym ze wsparcia Sekretariatu ERRS, inspektor:

a)
działa na rzecz zwiększania świadomości w zakresie ochrony danych i wspierania kultury ochrony danych osobowych w ramach ERRS;
b)
doradza Radzie Generalnej, Komitetowi Sterującemu, Sekretariatowi, administratorowi danych oraz koordynatorowi ochrony danych w kwestiach związanych ze stosowaniem przepisów dotyczących ochrony danych w ramach ERRS. Rada Generalna, Komitet Sterujący, Sekretariat, właściwy koordynator ochrony danych, a także jakiekolwiek inne osoby mogą zasięgać opinii inspektora w zakresie spraw dotyczących interpretacji oraz stosowania rozporządzenia (WE) nr 45/2001;
c)
współpracuje z EIOD, na jego wniosek lub z własnej inicjatywy, oraz odpowiada na zapytania kierowane do niego przez EIOD;
d)
określa, czy dana operacja przetwarzania może stwarzać konkretne zagrożenia w rozumieniu art. 27 rozporządzenia (WE) nr 45/2001 i czy w związku z tym podlega kontroli wstępnej. W razie potrzeby inspektor zasięga opinii właściwego koordynatora ochrony danych. Zgodnie z art. 27 ust. 3 rozporządzenia (WE) nr 45/2001 w razie wątpliwości co do konieczności przeprowadzenia wstępnej kontroli należy zasięgnąć opinii EIOD;
e)
prowadzi, na wniosek Rady Generalnej, Komitetu Sterującego, Sekretariatu, jakiejkolwiek innej osoby lub z własnej inicjatywy, postępowania wyjaśniające w zakresie spraw oraz zdarzeń bezpośrednio związanych z zakresem jego zadań i obowiązków oraz udziela informacji zwrotnych wnioskodawcom. Inspektor rozpatruje wszelkie kwestie oraz okoliczności faktyczne w sposób bezstronny, przy odpowiednim uwzględnieniu uprawnień podmiotów danych. Inspektor informuje także inne zainteresowane strony, jeżeli uzna to za stosowne. W przypadku gdy wnioskodawca jest osobą fizyczną albo gdy działa on w imieniu osoby fizycznej, inspektor zapewnia, w najszerszym możliwym zakresie, zachowanie poufności wniosku, chyba że zainteresowany podmiot danych jednoznacznie wyrazi zgodę na potraktowanie wniosku w inny sposób;
f)
współpracuje z inspektorami ochrony danych innych instytucji i organów Unii, w szczególności poprzez wymianę doświadczeń oraz dzielenie się wiedzą w zakresie stosowanych metod, jak również reprezentuje ERRS we wszelkich dyskusjach - z wyłączeniem spraw sądowych - dotyczących zagadnień ochrony danych oraz
g)
przedstawia Radzie Generalnej oraz EIOD roczny program działania oraz roczne sprawozdanie z prowadzonej działalności.
Artykuł  5

Uprawnienia inspektora ochrony danych

1.
Inspektor ma prawo:
a)
zwracać się do Sekretariatu ERRS o opinię w każdej sprawie dotyczącej jego zadań i obowiązków;
b)
wydawać opinie w przedmiocie zgodności z prawem istniejących lub proponowanych operacji przetwarzania oraz w przedmiocie wszelkich zagadnień dotyczących powiadamiania o operacjach przetwarzania;
c)
zawiadamiać szefa Sekretariatu ERRS o każdym przypadku niedochowania przez pracownika obowiązków określonych w rozporządzeniu (WE) nr 45/2001;
d)
mieć stały dostęp do wszelkich danych stanowiących przedmiot operacji przetwarzania, jak i do wszystkich biur, urządzeń przetwarzających dane i nośników danych;
e)
brać udział w tworzeniu przez ERRS przepisów wewnętrznych dotyczących ochrony danych osobowych;
f)
prowadzić anonimowy wykaz pisemnych wniosków otrzymanych od podmiotów danych, dotyczących wykonywania przez nich ich praw oraz
g)
wykonywać pozostałe zadania określone w załączniku do rozporządzenia (WE) nr 45/2001.
2.
Bez uszczerbku dla zadań i uprawnień administratora danych inspektor ma prawo, w zakresie swojego mandatu, podpisywać przygotowywaną przez siebie korespondencję.

SEKCJA  3

ADMINISTRATOR DANYCH I KOORDYNATOR OCHRONY DANYCH

Artykuł  6

Zadania i obowiązki administratorów danych i koordynatorów ochrony danych

1.
Administratorzy danych zapewniają zgodność wszelkich operacji przetwarzania przeprowadzanych w ramach ich zakresu właściwości, których przedmiotem są dane osobowe, z przepisami rozporządzenia (WE) nr 45/2001.
2.
W ramach wykonywania obowiązku wspierania inspektora oraz EIOD w wykonywaniu ich funkcji administratorzy danych przekazują inspektorowi oraz EIOD wyczerpujące informacje, zapewniają dostęp do danych osobowych oraz odpowiadają na zapytania w terminie 20 dni roboczych od ich otrzymania.
3.
Administratorzy informują inspektora w odpowiednim terminie o otrzymaniu wniosku o uzyskanie dostępu do danych osobowych, ich zmianę, zablokowanie lub usunięcie, wniosku związanego z prawem sprzeciwu przysługującym podmiotowi danych lub skargi związanej z kwestiami ochrony danych.
4.
Bez uszczerbku dla obowiązków administratorów danych:
a)
koordynatorzy ochrony danych wspierają administratorów danych w wykonywaniu ich obowiązków, na wniosek administratorów danych bądź z własnej inicjatywy. W tym zakresie koordynatorzy ochrony danych współpracują z pracownikami podległymi administratorom danych, którzy mają obowiązek dostarczania im wszelkich niezbędnych informacji. Powyższe może obejmować, według uznania danego administratora danych, udzielanie dostępu do danych osobowych przetwarzanych w zakresie jego właściwości;
b)
koordynatorzy ochrony danych wspierają inspektora w zakresie:
(i)
wskazywania administratora danych właściwego w odniesieniu do operacji przetwarzania obejmujących dane osobowe;
(ii)
rozpowszechniania opinii inspektora oraz wspierania administratora danych zgodnie ze wskazówkami inspektora;
(iii)
realizacji innych elementów programu pracy inspektora uzgodnionych pomiędzy inspektorem a przełożonymi koordynatorów ochrony danych.
Artykuł  7

Procedura powiadamiania

1.
Przed wprowadzeniem nowych operacji przetwarzania obejmujących dane osobowe właściwy administrator danych powiadamia o tym fakcie inspektora przy użyciu elektronicznego interfejsu dostępnego za pośrednictwem strony internetowej inspektora zamieszczonej w intranecie ERRS. Powiadomienia o każdej operacji przetwarzania danych podlegającej kontroli wstępnej na podstawie art. 27 ust. 3 rozporządzenia (WE) nr 45/2001 dokonuje się z odpowiednim wyprzedzeniem, tak aby umożliwić kontrolę wstępną takiej operacji przez EIOD.
2.
Właściwy administrator danych niezwłocznie informuje inspektora o wszelkich zmianach mających wpływ na informacje zawarte w już przesłanym powiadomieniu.

SEKCJA  4

UPRAWNIENIA PODMIOTÓW DANYCH

Artykuł  8

Rejestr

Rejestr prowadzony przez inspektora na podstawie art. 26 rozporządzenia (WE) nr 45/2001 pełni funkcję wykazu wszystkich operacji przetwarzania dotyczących danych osobowych przeprowadzanych w ramach ERRS. Podmioty danych mogą wykorzystywać informacje zawarte w rejestrze w celu wykonywania uprawnień przysługujących im na podstawie art. 13-19 rozporządzenia (WE) nr 45/2001.

Artykuł  9

Wykonywanie przez podmioty danych przysługujących im uprawnień

1.
Poza uprawnieniem do otrzymywania odpowiednich informacji o przetwarzaniu ich danych osobowych podmioty danych mają prawo zwracać się do właściwego administratora danych w celu wykonania uprawnień przysługujących im na podstawie art. 13-19 rozporządzenia (WE) nr 45/2001, zgodnie z poniższymi zasadami:
a)
wskazane uprawnienia mogą być wykonywane wyłącznie przez podmioty danych lub ich odpowiednio umocowanych przedstawicieli. Wykonywanie uprawnień przez te osoby następuje nieodpłatnie;
b)
wnioski w sprawie wykonywania wskazanych uprawnień należy kierować na piśmie do właściwego administratora danych. Administrator danych uwzględnia wniosek o wykonanie uprawnienia jedynie w przypadku, gdy tożsamość wnioskodawcy oraz, w odpowiednich przypadkach, jego uprawnienie do reprezentowania podmiotu danych, zostały odpowiednio zweryfikowane. Administrator danych niezwłocznie informuje na piśmie podmiot danych o uwzględnieniu lub oddaleniu wniosku. W przypadku oddalenia wniosku administrator danych uzasadnia powody oddalenia;
c)
w dowolnym momencie w okresie trzech miesięcy kalendarzowych od otrzymania wniosku administrator przyznaje dostęp do danych na podstawie art. 13 rozporządzenia (WE) nr 45/2001, umożliwiając podmiotowi danych zapoznanie się z danymi na miejscu bądź też otrzymanie ich kopii, zgodnie z wyborem wnioskodawcy;
d)
podmioty danych mogą zwracać się do inspektora w przypadku niedochowania przez administratora danych terminów przewidzianych w lit. b) lub c). W razie oczywistego nadużycia przez podmiot danych przysługujących mu uprawnień administrator danych może przekazać sprawę podmiotu danych inspektorowi. Inspektor, w przypadku skierowania do niego sprawy, podejmuje decyzję w przedmiocie zasadności wniosku oraz zastosowania odpowiednich środków. W przypadku sporu pomiędzy podmiotem danych a administratorem danych obie strony mają prawo zasięgnięcia opinii inspektora.
2.
Pracownicy mają prawo zasięgania opinii inspektora przed złożeniem skargi u Europejskiego Inspektora Ochrony Danych.
Artykuł  10

Odstępstwa i ograniczenia

1.
Po zasięgnięciu opinii inspektora administrator danych może, zgodnie z art. 20 rozporządzenia (WE) nr 45/2001 oraz w oparciu o wskazane w nim przesłanki, ograniczyć uprawnienia wskazane w art. 13-17 rozporządzenia (WE) nr 45/2001.
2.
Osoba dotknięta takim ograniczeniem może złożyć wniosek o zastosowanie przez EIOD art. 47 ust. 1 lit. c) rozporządzenia (WE) nr 45/2001.
Artykuł  11

Dochodzenie

1.
Wniosek o wszczęcie dochodzenia na podstawie pkt 1 załącznika do rozporządzenia (WE) nr 45/2001 kieruje się do inspektora na piśmie.
2.
Inspektor przesyła wnioskodawcy potwierdzenie otrzymania wniosku w terminie 20 dni roboczych od jego otrzymania.
3.
Inspektor może zbadać sprawę na miejscu oraz żądać pisemnych wyjaśnień od właściwego administratora danych. Właściwy administrator danych przesyła inspektorowi odpowiedź w terminie 20 dni roboczych od otrzymania wniosku. Inspektor może zażądać dodatkowych informacji lub wsparcia ze strony Sekretariatu. Informacji lub wsparcia udziela się w terminie 20 dni roboczych od otrzymania wniosku inspektora.
4.
Inspektor udziela wnioskodawcy odpowiedzi w terminie trzech miesięcy kalendarzowych od otrzymania wniosku.

SEKCJA  5

WEJŚCIE W ŻYCIE

Artykuł  12

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono we Frankfurcie nad Menem dnia 13 lipca 2012 r.

Mario DRAGHI

Przewodniczący ERRS

______

(1) Dz.U. L 8 z 12.1.2001, s. 1.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .