DECYZJA RADY
z dnia 13 września 2004 r.
ustanawiająca reguły wykonawcze dotyczące rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (2004/644/WE)
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady(1 ), w szczególności jego art. 24 ust. 8,
a także mając na uwadze, co następuje:
(1) Rozporządzenie (WE) nr 45/2001, zwane dalej „rozporządzeniem”, ustala zasady i reguły mające zastosowanie do wszystkich instytucji i organów wspólnotowych oraz stanowi o powołaniu inspektora ochrony danych przez każdą instytucję wspólnotową i organ wspólnotowy.
(2) Artykuł 24 ust. 8 rozporządzenia wymaga, aby dalsze przepisy wykonawcze dotyczące inspektora ochrony danych zostały przyjęte przez każdą instytucję lub organ Wspólnoty zgodnie z przepisami zawartymi w Załączniku do rozporządzenia. Przepisy wykonawcze dotyczą w szczególności zadań, obowiązków i uprawnień inspektora ochrony danych.
(3) Przyjęte przepisy wykonawcze określają także procedury egzekwowania praw podmiotów danych, jak również wypełniania obowiązków przez wszystkie zainteresowane strony w instytucjach i organach wspólnotowych w zakresie przetwarzania danych osobowych.
(4) Przepisy wykonawcze do rozporządzenia stosuje się bez uszczerbku dla rozporządzenia (WE) nr 1049/2001(2 ), decyzji 2004/338/WE, Euratom(3 ), w szczególności jej załącznika II, decyzji 2001/264/WE(4 ), w szczególności części II sekcji VI jej załącznika, jak również decyzji Sekretarza Generalnego Rady/Wysokiego Przedstawiciela ds. Wspólnej Polityki Zagranicznej i Bezpieczeństwa z dnia 25 czerwca 2001 r.(5 ).
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
SEKCJA 1
POSTANOWIENIA OGÓLNE
Artykuł 1
Przedmiot i zakres
Niniejsza decyzja określa dalsze przepisy wykonawcze dotyczące rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady, zwanego dalej „rozporządzeniem”, odnoszące się do Rady Unii Europejskiej.
Artykuł 2
Definicje
Do celów niniejszej decyzji i bez uszczerbku dla definicji zawartych w rozporządzeniu:
a) „administrator danych” oznacza instytucję, dyrekcję generalną, dyrekcję, departament, oddział lub inną jednostkę organizacyjną, która samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych, jak określono w powiadomieniu, które należy przesłać do inspektora ochrony danych (zwanego dalej „inspektorem ochrony danych”), zgodnie z art. 25 rozporządzenia;
b) „osoba kontaktowa” oznacza asystenta lub asystentów administracyjnych dyrekcji generalnej lub innego członka personelu wyznaczonego do przeprowadzania konsultacji z inspektorem ochrony danych przez swoją dyrekcję generalną jako jej przedstawiciel do zajmowania się w ścisłej współpracy z inspektorem ochrony danych kwestiami ochrony danych;
c) „personel Sekretariatu Generalnego Rady” oznacza cały Sekretariat Generalny Rady (zwany dalej „Sekretariatem Generalnym Rady”), urzędników i inne osoby objęte regulaminem pracowniczym urzędników Wspólnot Europejskich i warunkami zatrudnienia innych pracowników Wspólnot Europejskich, określonymi w rozporządzeniu (EWG, Euratom, EWWiS) nr 259/68(6 ), zwanym dalej „regulaminem pracowniczym”, lub pracujące na rzecz Sekretariatu Generalnego Rady w ramach umowy (stażyści, konsultanci, kontrahenci, urzędnicy oddelegowani przez Państwa Członkowskie).
SEKCJA 2
INSPEKTOR OCHRONY DANYCH
Artykuł 3
Powoływanie i status inspektora ochrony danych
1. Zastępca Sekretarza Generalnego Rady powołuje inspektora ochrony danych i rejestruje go u europejskiego inspektora ochrony danych (zwanego dalej „europejskim inspektorem ochrony danych”). Inspektor ochrony danych jest powołany bezpośrednio przy Zastępcy Sekretarza Generalnego Rady.
2. Kadencja inspektora ochrony danych trwa trzy lata i jest odnawialna dwa razy.
3. W wykonywaniu swoich obowiązków inspektor ochrony danych jest niezależny i działa we współpracy z europejskim inspektorem ochrony danych. W szczególności inspektor ochrony danych nie przyjmuje żadnych instrukcji od organu powołującego Sekretariatu Generalnego Rady lub kogokolwiek w sprawie wewnętrznego stosowania przepisów niniejszego rozporządzenia lub jego współpracy z europejskim inspektorem ochrony danych.
4. Oceny wykonywania zadań i obowiązków przez inspektora ochrony danych dokonuje się po konsultacji z europejskim inspektorem ochrony danych. Inspektor ochrony danych może być zwolniony ze stanowiska wyłącznie za zgodą europejskiego inspektora ochrony danych, jeżeli przestał spełniać warunki konieczne dla wykonywania swoich obowiązków.
5. Bez uszczerbku dla procedury przewidzianej dla jego powołania, inspektor ochrony danych jest informowany o wszelkich kontaktach ze stronami trzecimi, dotyczącymi stosowania tego rozporządzenia, zwłaszcza we współpracy z europejskim inspektorem ochrony danych.
6. Bez uszczerbku dla odpowiednich postanowień rozporządzenia, inspektor ochrony danych i jego personel podlegają przepisom i zasadom stosowanym wobec urzędników i innych pracowników Wspólnot Europejskich.
Artykuł 4
Zadania
Inspektor ochrony danych:
a) zapewnia, aby administratorzy danych i podmioty danych byli poinformowani o swoich prawach i obowiązkach wynikających z niniejszego rozporządzenia. Wykonując swoje obowiązki, w szczególności ustala formularze do przekazywania informacji i powiadamiania, prowadzi konsultacje z zainteresowanymi stronami i przyczynia się do wzrostu ogólnej świadomości dotyczącej kwestii ochrony danych;
b) odpowiada na wnioski europejskiego inspektora ochrony danych oraz, w zakresie swoich kompetencji, współpracuje z europejskim inspektorem ochrony danych na jego wniosek lub z własnej inicjatywy;
c) zapewnia w sposób niezależny wewnętrzne stosowanie przepisów niniejszego rozporządzenia w Sekretariacie Generalnym Rady;
d) prowadzi rejestr operacji przetwarzania przeprowadzonych przez administratorów danych i udziela prawa dostępu do niego każdej osobie bezpośrednio lub za pośrednictwem europejskiego inspektora ochrony danych;
e) powiadamia europejskiego inspektora ochrony danych o operacjach, które stanowią potencjalne szczególne ryzyko, o którym mowa w art. 27 ust. 2 rozporządzenia;
f) w ten sposób zapewnia, by negatywny wpływ operacji przetwarzania na prawa i wolności podmiotów danych był mało prawdopodobny.
Artykuł 5
Obowiązki
1. Poza wykonywaniem ogólnych zadań, inspektor ochrony danych:
a) działa jako doradca organu powołującego Sekretariatu Generalnego Rady oraz administratorów danych w sprawach dotyczących stosowania przepisów ochrony danych. Inspektor ochrony danych może być konsultowany przez organ powołujący, zainteresowanych administratorów danych, Komitet ds. Personelu i przez poszczególne osoby, bez korzystania z oficjalnych kanałów, w każdej sprawie dotyczącej interpretowania lub stosowania niniejszego rozporządzenia;
b) przeprowadza dochodzenie z własnej inicjatywy lub z inicjatywy organu powołującego, administratorów danych, Komitetu ds. Personelu lub poszczególnych osób w zakresie spraw i wydarzeń bezpośrednio dotyczących jego zadań i takich, o których został powiadomiony, oraz zdaje sprawozdanie organowi powołującemu lub osobie, która zleciła takie dochodzenie. O ile jest to stosowne, wszystkie zainteresowane strony informuje się odpowiednio. Jeżeli wnoszący zażalenie jest osobą fizyczną lub w przypadku, gdy wnoszący skargę działa w imieniu osoby fizycznej, inspektor ochrony danych musi, w możliwym zakresie, zapewnić poufność wniosku, o ile zainteresowany podmiot danych nie udzieli mu wyraźnej zgody na inne traktowanie tego wniosku;
c) w wykonywaniu swoich obowiązków współpracuje z inspektorami ochrony danych innych instytucji i organów wspólnotowych, w szczególności w zakresie wymiany doświadczeń i najlepszych praktyk;
d) reprezentuje Sekretariat Generalny Rady we wszystkich kwestiach związanych z ochroną danych; bez uszczerbku dla decyzji 2004/338/WE, Euratom, może to obejmować udział inspektora ochrony danych w odpowiednich komitetach i forach na szczeblu międzynarodowym;
e) składa roczne sprawozdanie ze swojej działalności Zastępcy Sekretarza Generalnego Rady i udostępnia je personelowi.
2. Bez uszczerbku dla art. 4 lit. b), art. 5 ust. 1 lit. b) i c) oraz art. 15, inspektor ochrony danych i jego personel nie ujawniają informacji ani dokumentów, które uzyskują w ramach swoich obowiązków.
Artykuł 6
Uprawnienia
Podczas pełnienia swoich obowiązków inspektor ochrony danych:
a) ma nieustanny dostęp do danych będących przedmiotem operacji przetwarzania i do wszystkich biur, urządzeń przetwarzających dane i nośników danych;
b) może wnioskować o opinię prawną ze strony Służby Prawnej Rady;
c) może korzystać z usług ekspertów zewnętrznych w dziedzinie technologii informatycznych po uprzednim uzyskaniu zgody urzędnika upoważniającego, zgodnie z rozporządzeniem Rady (WE, Euratom) nr 1605/2002 z dnia 25 czerwca 2002 r. w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich(7 ) i jego przepisami wykonawczymi;
d) może, bez uszczerbku dla obowiązków i uprawnień europejskiego inspektora ochrony danych, przedkładać Sekretariatowi Generalnemu Rady propozycje dotyczące środków administracyjnych i wydawać ogólne zalecenia w sprawie właściwego stosowania rozporządzenia;
e) może przedkładać, w szczególnych przypadkach, inne zalecenia dotyczące praktycznego usprawnienia ochrony danych Sekretariatowi Generalnemu Rady i/lub innym zainteresowanym stronom;
f) może zwrócić uwagę organu powołującego Sekretariatu Generalnego Rady na nieprzestrzeganie przez członka personelu obowiązków ustanowionych przez rozporządzenie i zasugerować podjęcie dochodzenia administracyjnego, mając na uwadze zastosowanie art. 49 rozporządzenia.
Artykuł 7
Środki
Inspektor ochrony danych ma zapewniony odpowiedni personel i środki niezbędne do wykonywania swoich obowiązków.
SEKCJA 3
PRAWA I OBOWIĄZKI PODMIOTÓW W ZAKRESIE OCHRONY DANYCH
Artykuł 8
Organ powołujący
1. W przypadku zażalenia w rozumieniu art. 90 rozporządzenia (WE, Euratom) nr 723/2004, dotyczącego naruszenia tego rozporządzenia, organ powołujący przeprowadza konsultacje z inspektorem ochrony danych, który przedkłada swoją opinię w formie pisemnej nie później niż w ciągu piętnastu dni po otrzymaniu takiego wniosku. Jeżeli po upływie tego terminu inspektor ochrony danych nie przedstawił swojej opinii organowi powołującemu, nie jest ona już wymagana. Opinia inspektora ochrony danych nie jest wiążąca dla organu powołującego.
2. Inspektor ochrony danych jest informowany o wszelkich rozpatrywanych sprawach mających lub mogących mieć związek z ochroną danych.
Artykuł 9
Administratorzy danych
1. Administratorzy danych są odpowiedzialni za zapewnienie, aby wszystkie operacje przetwarzania będące w ich gestii były zgodne z rozporządzeniem.
2. W szczególności administratorzy danych zobowiązani są do:
a) uprzedniego powiadomienia inspektora ochrony danych o każdej operacji przetwarzania lub zestawie operacji przeznaczonych do jednego lub kilku powiązanych ze sobą celów, jak również o każdej istotnej zmianie w istniejącej operacji przetwarzania danych. Administrator danych powiadamia go bezzwłocznie o operacjach przetwarzania przeprowadzonych przed wejściem w życie rozporządzenia z dniem 1 lutego 2001 r.;
b) pomagają inspektorowi ochrony danych i europejskiemu inspektorowi ochrony danych w wykonywaniu ich obowiązków, zwłaszcza poprzez udzielanie informacji na ich wnioski najpóźniej w terminie trzydziestu dni;
c) wdrażają stosowne środki techniczne i organizacyjne oraz udzielają odpowiednich instrukcji personelowi Sekretariatu Generalnego Rady w celu zapewnienia zarówno poufności przetwarzania, jak i poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi to przetwarzanie;
d) tam, gdzie jest to stosowne, przeprowadzają konsultacje z inspektorem ochrony danych w sprawie zgodności operacji przetwarzania danych z rozporządzeniem, a zwłaszcza wówczas, gdy mają uzasadnione powody, aby wierzyć, że pewne operacje przetwarzania są niezgodne z art. 4-10 rozporządzenia. Mogą oni również przeprowadzać konsultacje z inspektorem ochrony danych i/lub ekspertami zewnętrznymi w dziedzinie technologii informatycznych w Dyrekcji Generalnej A, Biurem Bezpieczeństwa i Biurem Bezpieczeństwa Informacji (INFOSEC) w kwestiach związanych z poufnością informacji przetwarzania danych i podjętymi środkami bezpieczeństwa, zgodnie z art. 22 rozporządzenia.
Artykuł 10
Osoby kontaktowe
1. Bez uszczerbku dla obowiązków inspektora ochrony danych, osoba kontaktowa:
a) wspomaga swoją dyrekcję generalną lub oddział w prowadzeniu ewidencji wszystkich istniejących operacji przetwarzania danych osobowych;
b) wspomaga swoją dyrekcję generalną lub oddział w identyfikowaniu właściwych administratorów danych;
c) ma prawo do otrzymania od administratorów danych i od personelu odpowiednich i niezbędnych informacji potrzebnych do wykonywania swoich zadań administracyjnych w ramach swojej dyrekcji generalnej lub oddziału. Nie obejmuje to prawa dostępu do danych osobowych przetwarzanych w ramach obowiązków administratora danych.
2. Bez uszczerbku dla obowiązków inspektora administratora danych, osoby kontaktowe:
a) wspomagają administratorów danych w wypełnianiu ich zobowiązań;
b) tam, gdzie to stosowne, ułatwiają komunikację pomiędzy inspektorem ochrony danych i administratorami danych.
Artykuł 11
Personel Sekretariatu Generalnego Rady
1. Cały personel Sekretariatu Generalnego Rady przyczynia się w szczególności do stosowania reguł poufności i bezpieczeństwa w przetwarzaniu danych osobowych, zgodnie z art. 21 i 22 rozporządzenia. Żaden członek personelu Sekretariatu Generalnego Rady, który ma dostęp do danych osobowych, nie przetwarza ich bez instrukcji administratora danych, chyba że wymaga tego prawo krajowe lub wspólnotowe.
2. Każdy członek personelu Sekretariatu Generalnego Rady może złożyć zażalenie do europejskiego inspektora ochrony danych dotyczące domniemanego naruszenia przepisów rozporządzenia rządzących przetwarzaniem danych osobowych, bez użycia oficjalnych dróg, zgodnie z regułami określonymi przez europejskiego inspektora ochrony danych.
Artykuł 12
Podmioty danych
1. W nawiązaniu do praw przysługujących podmiotom danych do odpowiedniego poinformowania o przetwarzaniu danych osobowych ich dotyczących, zgodnie z art. 11 i 12 rozporządzenia, podmioty danych mogą zwrócić się do właściwego administratora danych w celu skorzystania ze swoich praw zgodnie z art. 13-19 rozporządzenia, jak określono w sekcji 5 niniejszej decyzji.
2. Bez uszczerbku dla jakiegokolwiek zaskarżenia, każdy podmiot danych może wnieść zażalenie do europejskiego inspektora ochrony danych, jeżeli uważa, że jego prawa wynikające z rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych przez Radę, zgodnie z regułami określonymi przez europejskiego inspektora ochrony danych.
3. Nikt z góry nie przesądza kwestii zażalenia złożonego do europejskiego inspektora ochrony danych lub spraw, na które została zwrócona uwaga inspektora ochrony danych, dotyczących domniemanego naruszenia przepisów niniejszego rozporządzenia.
SEKCJA 4
REJESTR OPERACJI PRZETWARZANIA, O KTÓRYCH POWIADOMIONO
Artykuł 13
Procedura powiadamiania
1. Administrator danych powiadamia inspektora ochrony danych o każdej operacji przetwarzania danych osobowych za pomocą formularza powiadamiania dostępnego na stronie internetowej Sekretariatu Generalnego Rady (Ochrona danych) . Powiadomienie przesyła się inspektorowi ochrony danych w formie elektronicznej. Potwierdzenie otrzymania zostaje wysłane przez inspektora ochrony danych w formie powiadomienia w terminie dziesięciu dni roboczych. Po otrzymaniu potwierdzenia otrzymania inspektor ochrony danych zamieszcza je w rejestrze.
2. Powiadomienie zawiera wszystkie informacje określone w art. 25 ust. 2 rozporządzenia. Inspektor ochrony danych jest bezzwłocznie powiadamiany o każdej zmianie mającej wpływ na te informacje.
3. Dalsze reguły i procedury dotyczące procedury powiadamiania, którą mają być stosowane przez administratorów danych, wchodzą w skład ogólnych zaleceń wydawanych przez inspektora ochrony danych.
Artykuł 14
Zawartość i cel rejestru
1. Inspektor ochrony danych prowadzi rejestr operacji przetwarzania dokonanych na danych osobowych, który powstaje na podstawie powiadomień otrzymanych od administratorów danych.
2. Rejestr zawiera przynajmniej informacje określone w art. 25 ust. 2 lit. a) – g) rozporządzenia. Jednakże w wyjątkowych przypadkach informacje wprowadzane do rejestru przez inspektora ochrony danych mogą być ograniczone, jeżeli jest to niezbędne, do zapewnienia bezpieczeństwa szczególnej operacji przetwarzania.
3. Rejestr stanowi wykaz operacji przetwarzania danych osobowych przeprowadzonych przez Radę. Dostarcza informacji podmiotom danych i ułatwia korzystanie z ich praw określonych w art. 13-19 rozporządzenia.
Artykuł 15
Dostęp do rejestru
1. Inspektor ochrony danych podejmuje stosowne środki w celu zapewnienia, aby każda osoba miała dostęp do rejestru, bezpośrednio lub za pośrednictwem europejskiego inspektora ochrony danych. W szczególności inspektor ochrony danych udziela informacji i pomocy zainteresowanym osobom w sprawie sposobu i miejsca składania wniosków o udzielenie dostępu do rejestru.
2. Oprócz przypadków udzielenia dostępu w trybie on-line, wnioski o dostęp do rejestru składa się w dowolnej formie pisemnej, włącznie z elektroniczną, w jednym z języków określonych w art. 314 Traktatu i w odpowiednio precyzyjnej formie, w celu umożliwienia inspektorowi ochrony danych zidentyfikowania odpowiednich operacji przetwarzania. Wnioskodawcy wysyła się bezzwłocznie potwierdzenie otrzymania wniosku.
3. Jeżeli wniosek nie jest wystarczająco precyzyjny, inspektor ochrony danych zwraca się do wnioskodawcy o wyjaśnienie wniosku i wspomaga w tym wnioskodawcę. W przypadku wniosku dotyczącego dużej liczby operacji przetwarzania inspektor ochrony danych może nieformalnie przedyskutować sprawę z wnioskodawcą w celu znalezienia stosownego rozwiązania.
4. Każda osoba może zwrócić się do inspektora ochrony danych z prośbą o wydanie kopii informacji znajdujących się w rejestrze dotyczących jakiejkolwiek operacji przetwarzania, o której powiadomiono.
SEKCJA 5
PROCEDURA DLA PODMIOTÓW DANYCH DOTYCZĄCA KORZYSTANIA Z ICH PRAW
Artykuł 16
Postanowienia ogólne
1. Z praw podmiotów danych określonych w niniejszej sekcji mogą korzystać wyłącznie zainteresowane osoby fizyczne, które w wyjątkowych przypadkach mogą być reprezentowane na podstawie odpowiedniego upoważnienia. Wnioski składa się właściwemu administratorowi danych w formie pisemnej z kopią dla inspektora ochrony danych. Jeżeli to stosowne, inspektor ochrony danych wspomaga podmiot danych w ustaleniu właściwego administratora danych. Inspektor ochrony danych udostępnia odpowiednie formularze. Administratorzy danych udzielają odpowiedzi na wniosek wyłącznie w przypadku, gdy formularz został kompletnie wypełniony i dane wnioskodawcy zostały odpowiednio zweryfikowane. Korzystanie z praw przez podmioty danych jest bezpłatne.
2. Administrator danych wysyła wnioskodawcy potwierdzenie otrzymania wniosku w ciągu pięciu dni od zarejestrowania wniosku. O ile nie ustalono inaczej, administrator danych odpowiada na wniosek nie później niż w terminie piętnastu dni roboczych od zarejestrowania wniosku i albo pozytywnie rozpatruje wniosek, albo podaje w formie pisemnej przyczyny całkowitego lub częściowego odrzucenia wniosku, w przypadkach gdy wnioskodawca nie jest uważany za podmiot danych.
3. W przypadkach nieprawidłowości lub oczywistego nadużycia przez podmiot danych jego praw i tam, gdzie podmiot danych domniemywa, że przetwarzanie jest bezprawne, administrator danych musi przeprowadzić konsultacje z inspektorem ochrony danych w sprawie wniosku i/lub skierować podmiot danych do inspektora ochrony danych, który podejmie decyzję w sprawie zasadności wniosku i odpowiedniego dalszego postępowania.
4. Każda zainteresowana osoba może przeprowadzić konsultacje z inspektorem ochrony danych w sprawie korzystania ze swoich praw w szczególnym przypadku. Bez uszczerbku dla jakiegokolwiek zaskarżenia, każdy podmiot danych może złożyć zażalenie do europejskiego inspektora ochrony danych, jeżeli uważa, że jego prawa określone w rozporządzeniu zostały naruszone w wyniku przetwarzania jego danych osobowych.
Artykuł 17
Prawo dostępu do danych
Podmiot danych ma prawo uzyskania od administratora danych, bez ograniczeń w każdym momencie w ciągu trzech miesięcy od otrzymania wniosku, informacji, o których mowa w art. 13 lit. a) –d) rozporządzenia, albo przez dostęp do danych na miejscu lub uzyskanie kopii, włącznie z kopią w formie elektronicznej, tam gdzie to stosowne, zgodnie z wyborem wnioskodawcy.
Artykuł 18
Prawo do poprawki
Każdy wniosek podmiotu danych dotyczący wniesienia poprawki do nieprawidłowych lub niekompletnych danych osobowych musi zawierać określenie odpowiednich danych, jak również poprawki, której należy dokonać. Administrator danych powinien ją wykonać bezzwłocznie.
Artykuł 19
Prawo do blokowania
Administrator danych bezzwłocznie rozpatruje wniosek o zablokowanie danych zgodnie z art. 15 rozporządzenia. Wniosek określa odpowiednie dane, jak również powody ich blokowania. Administrator danych informuje podmiot danych, który wniósł wniosek, przed odblokowaniem danych.
Artykuł 20
Prawo do usunięcia
Podmiot danych może się zwrócić do administratora danych z wnioskiem o bezzwłoczne usunięcie danych w przypadku bezprawnego przetwarzania, w szczególności w przypadkach naruszenia art. 4-10 rozporządzenia. Wniosek określa odpowiednie dane i zawiera powody lub dowody bezprawnego przetwarzania. W zautomatyzowanych systemach przechowywania danych kasowanie powinno zasadniczo być zapewnione za pomocą środków technicznych, bez możliwości dalszego przetwarzania skasowanych danych. Jeżeli usunięcie nie jest możliwe z przyczyn technicznych, administrator danych po konsultacji z inspektorem ochrony danych i z zainteresowaną osobą przystępuje bezzwłocznie do blokowania takich danych.
Artykuł 21
Powiadomienie stron trzecich
W przypadku naniesienia poprawki, blokowania lub usunięcia w następstwie wniosku złożonego przez podmiot danych może on uzyskać od administratora danych powiadomienie stron trzecich, którym udostępniono te dane, o ile nie jest to niemożliwe lub nie wymaga nieproporcjonalnego wysiłku.
Artykuł 22
Prawo sprzeciwu
Podmiot danych ma prawo sprzeciwić się przetwarzaniu danych go dotyczących i udostępnianiu lub wykorzystaniu jego danych osobowych zgodnie z art. 18 rozporządzenia. Wniosek musi określać odpowiednie dane i zawierać powody uzasadniające wniosek. Jeżeli sprzeciw jest uzasadniony, przetwarzanie, o którym mowa, nie może dotyczyć takich danych.
Artykuł 23
Zautomatyzowane decyzje indywidualne
Podmiot danych ma prawo nie podlegać zautomatyzowanym decyzjom indywidualnym zgodnie z zamierzeniem określonym art. 19 rozporządzenia, o ile decyzja nie jest wyraźnie uprawniona na podstawie prawodawstwa krajowego lub wspólnotowego lub uprawomocniona przez europejskiego inspektora ochrony danych przy użyciu środków ochrony uzasadnionych prawnie interesów podmiotu danych. W każdym przypadku podmiot danych ma możliwość uprzedniego przedstawienia swojego punktu widzenia i przeprowadzenia konsultacji z inspektorem ochrony danych.
Artykuł 24
Zwolnienia i ograniczenia
1. W zakresie, w jakim uzasadnione prawnie powody określone w art. 20 rozporządzenia w sposób wyraźny dopuszczają taką możliwość, administrator danych może ograniczyć prawa określone w art. 17-21 niniejszej decyzji. Z wyjątkiem absolutnie niezbędnych przypadków, administrator danych może przeprowadzić konsultacje z inspektorem ochrony danych, którego opinia nie jest dla instytucji wiążąca. Administrator danych bezzwłocznie odpowiada na wnioski dotyczące stosowania wyjątków i ograniczeń w zakresie korzystania z praw i uzasadnia taką decyzję.
2. Każda zainteresowana osoba może zwrócić się do europejskiego inspektora ochrony danych o zastosowanie art. 47 ust. 1 lit. c) rozporządzenia.
SEKCJA 6
PROCEDURA DOCHODZENIA
Artykuł 25
Wskazówki praktyczne
1. Wnioski w sprawie wszczęcia dochodzenia kieruje się do inspektora ochrony danych w formie pisemnej przy użyciu odpowiedniego formularza udostępnianego przez niego. W przypadku oczywistego nadużycia prawa do wniosku o wszczęcie dochodzenia, na przykład, gdy ta sama osoba fizyczna złożyła ostatnio identyczny wniosek, inspektor ochrony danych nie jest zobowiązany do udzielenia odpowiedzi wnioskującemu.
2. W ciągu piętnastu dni od otrzymania inspektor ochrony danych wysyła potwierdzenia otrzymania do organu powołującego lub do osoby, której powierzono dochodzenie, i ustala, czy wniosek należy traktować jako poufny.
3. Inspektor ochrony danych zwraca się do administratora danych, który odpowiada za operację przetwarzania danych, o której mowa, o wydanie pisemnego oświadczenia w tej kwestii. Administrator danych przedstawia swoją odpowiedź inspektorowi ochrony danych w ciągu piętnastu dni. Inspektor ochrony danych może wymagać informacji uzupełniających od innych stron, takich jak Biuro Bezpieczeństwa i Biuro Bezpieczeństwa Informacji (INFOSEC) Sekretariatu Generalnego Rady. Tam, gdzie to stosowne, może zwracać się z prośbą o wydanie opinii w tej kwestii przez Służbę Prawną Rady. Inspektor ochrony danych otrzymuje informacje lub opinię w ciągu trzydziestu dni.
4. Inspektor ochrony danych odpowiada organowi powołującemu lub wnioskującej osobie nie później niż w ciągu trzech miesięcy od otrzymania wniosku.
SEKCJA 7
POSTANOWIENIA KOŃCOWE
Artykuł 26
Wejście w życie
Niniejsze rozporządzenie staje się skuteczne następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli, dnia 13 września 2004 r.
W imieniu Rady |
B. R. BOT |
Przewodniczący |
(1) Dz.U. L 8 z 12.1.2001, str. 1.
(2) Rozporządzenie (WE) 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, str. 43).
(3) Decyzja Rady 2004/338/WE, Euratom z dnia 22 marca 2004 r. w sprawie przyjęcia Regulaminu Rady (Dz.U. L 106 z 15.4.2004, str. 22).
(4) Decyzja Rady 2001/264/WE z dnia 19 marca 2001 r. w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa (Dz.U. L 101, z 11.04.2001, str. 1). Decyzja zmieniona decyzją 2004/194/WE (Dz.U. L 63 z 28.2.2004, str. 48).
(5) Decyzja Sekretarza Generalnego Rady/Wysokiego Przedstawiciela ds. Wspólnej Polityki Zagranicznej i Bezpieczeństwa z dnia 25 czerwca 2001 r. w sprawie kodeksu dobrego postępowania administracyjnego dla Sekretariatu Generalnego Rady Unii Europejskiej oraz jego personelu w kontaktach zawodowych ze społeczeństwem (Dz.U. C 189 z 5.7.2001, str. 1).
(6) Dz.U. L 56 z 4.3.1968, str. 1. Rozporządzenie ostatnio zmienione rozporządzeniem (WE, Euratom) nr 723/2004 (Dz.U. L 124 z 27.4.2004, str. 1).
(7) Dz.U. L 248 z 16.9.2002, str. 1.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00