DECYZJA KOMISJI
z dnia 3 czerwca 2008 r.
w sprawie przyjęcia przepisów wykonawczych w zakresie inspektora ochrony danych zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych
(2008/597/WE)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (1), w szczególności jego art. 24 ust. 8 i jego załącznik,
a także mając na uwadze, co następuje:
(1) Rozporządzenie (WE) nr 45/2001, zwane dalej „rozporządzeniem”, ustala zasady i przepisy mające zastosowanie do wszystkich instytucji i organów wspólnotowych oraz przewiduje powołanie inspektora ochrony danych przez każdą instytucję wspólnotową i organ wspólnotowy.
(2) Artykuł 24 ust. 8 rozporządzenia wymaga, aby każda instytucja lub organ Wspólnoty przyjęła dalsze przepisy wykonawcze dotyczące inspektora ochrony danych zgodnie z przepisami zawartymi w załączniku. Przepisy wykonawcze dotyczą w szczególności zadań, obowiązków i uprawnień inspektora ochrony danych.
(3) Na mocy decyzji Komisji C(2002) 510 (2) z dnia 18 lutego 2002 r. powstało stanowisko inspektora ochrony danych w Komisji oraz zlecono temu inspektorowi przygotowywanie propozycji przepisów wykonawczych po konsultacjach z dyrekcjami generalnymi, zgodnie z ich potrzebami i doświadczeniami,
STANOWI, CO NASTĘPUJE:
SEKCJA 1
PRZEPISY OGÓLNE
Artykuł 1
Definicje
Do celów niniejszej decyzji i bez uszczerbku dla definicji zawartych w rozporządzeniu:
- „koordynator ochrony danych” (zwany dalej koordynatorem) oznacza pracownika danej dyrekcji generalnej lub służby, który został wyznaczony przez dyrektora generalnego w celu koordynowania wszystkich aspektów ochrony danych osobowych w danej dyrekcji generalnej,
- „kontroler”, zdefiniowany w art. 2 lit. d) i o którym mowa w art. 25 ust. 2 lit. a), oznacza urzędnika odpowiedzialnego za jednostkę organizacyjną, która ustaliła cele i sposoby przetwarzania danych osobowych.
Artykuł 2
Zakres stosowania
W niniejszej decyzji określono zasady i procedury wykonywania funkcji przez inspektora danych osobowych (zwanego dalej „inspektorem”) w ramach Komisji, zgodnie z art. 24 ust. 8 rozporządzenia. Nie mają one zastosowania do działalności Komisji dotyczącej ustalania polityki dotyczącej ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
SEKCJA 2
INSPEKTOR OCHRONY DANYCH
Artykuł 3
Mianowanie i status
1. Komisja powołuje inspektora (3) i rejestruje go u Europejskiego Inspektora Ochrony Danych (zwanego dalej „EIOD”).
2. Kadencja inspektora trwa pięć lat i jest odnawialna jednokrotnie.
3. W zakresie dotyczącym wewnętrznego stosowania przepisów rozporządzenia inspektor działa w sposób niezależny i nie może przyjmować żadnych instrukcji dotyczących sposobu wykonywania obowiązków.
4. Inspektor wybierany jest spośród pracowników Komisji na podstawie odpowiedniej procedury. Oprócz wymogów wynikających z art. 24 ust. 2 rozporządzenia inspektor powinien mieć solidną wiedzę o służbach Komisji i ich strukturze oraz o zasadach i procedurach administracyjnych. Powinien także mieć dużą wiedzę o systemach, zasadach i metodologiach w dziedzinie ochrony danych i informacji. Inspektor musi być w stanie zademonstrować zdolność do właściwego osądu oraz do zachowania bezstronnego i obiektywnego podejścia zgodnie z regulaminem pracowniczym.
5. Zgodnie z rozporządzeniem inspektor może zostać zwolniony ze stanowiska przez Komisję, ale wyłącznie za zgodą europejskiego inspektora ochrony danych i jeżeli przestał spełniać warunki konieczne dla wykonywania swoich obowiązków. Komisja, na wniosek Sekretarza Generalnego działającego w porozumieniu z Dyrektorem Generalnym ds. Personelu i Administracji, stwierdza, że inspektor przestał spełniać warunki konieczne dla wykonywania swoich obowiązków.
6. Bez uszczerbku dla odpowiednich postanowień rozporządzenia inspektor ochrony danych i jego personel podlegają przepisom i regulacjom stosowanym wobec urzędników Wspólnot Europejskich.
Artykuł 4
Zadania
1. Bez uszczerbku dla zadań opisanych w art. 24 rozporządzenia i w załączniku do niego inspektor przyczynia się do ukształtowania kultury ochrony danych osobowych w ramach Komisji poprzez zwiększanie ogólnego stanu wiedzy na temat zagadnień związanych z ochroną danych osobowych, zachowując jednocześnie właściwą równowagę pomiędzy zasadą ochrony danych osobowych i zasadą przejrzystości.
2. Inspektor prowadzi spis wszystkich operacji przetwarzania danych osobowych prowadzonych przez Komisję, do którego koordynatorzy wpisują w imieniu swoich dyrekcji generalnych wszystkie operacje przetwarzania, które należy zgłosić. Koordynatorzy powinni także wskazywać kontrolerów odpowiedzialnych za takie operacje przetwarzania danych. Inspektor pomaga kontrolerowi ocenić ryzyko podlegającej mu operacji przetwarzania danych i monitorować wykonywanie rozporządzenia w ramach Komisji, szczególnie poprzez przygotowywane corocznie sprawozdania o stanie ochrony danych osobowych.
3. Inspektor organizuje i przewodniczy regularnym spotkaniom sieci koordynatorów.
4. Inspektor sporządza rejestr operacji przetwarzania danych, przewidziany w art. 26 rozporządzenia, dostępny na stronach internetowych i intranetowych Komisji.
5. Inspektor może wydawać zalecenia i udzielać porad Komisji i kontrolerom w kwestiach dotyczących stosowania przepisów o ochronie danych i może prowadzić dochodzenia, na wniosek albo z własnej inicjatywy, w sprawach dotyczących bezpośrednio jego zadań oraz składać sprawozdanie osobie, która zleciła dochodzenie, zgodnie z procedurą opisaną w art. 13 niniejszego dokumentu. Jeżeli wnioskodawca jest osobą fizyczną lub działa w imieniu takiej osoby, inspektor musi, w najszerszym możliwym zakresie, zapewnić poufność wniosku, chyba że osoba, której dotyczą dane, udzieli mu wyraźnej zgody na inne traktowanie tego wniosku.
6. Przetwarzanie danych osobowych przez komitety pracownicze wchodzi w zakres uprawnień inspektora ochrony danych Komisji. Do celów art. 6 inspektor dostarcza wszelkich informacji przewodniczącemu odpowiedniego komitetu pracowniczego, a nie Sekretarzowi Generalnemu, w przypadku gdy pojawiają się wątpliwości dotyczące przetwarzania danych osobowych przez dany komitet pracowniczy.
7. Bez uszczerbku dla niezależności inspektora Sekretarz Generalny może, w imieniu Komisji, prosić go o reprezentowanie Komisji we wszystkich sprawach mających związek z ochroną danych; może się z tym wiązać udział inspektora w odpowiednich komitetach i organach na poziomie międzynarodowym.
Artykuł 5
Obowiązki
1. Poza wykonywaniem zadań ogólnych inspektor:
a) składa co roku sprawozdanie o stanie ochrony danych osobowych w Komisji Sekretarzowi Generalnemu i Dyrektorowi Generalnemu ds. Personelu i Administracji w celu przedyskutowania go na odpowiednim szczeblu, jak na przykład regularne posiedzenia dyrektorów generalnych; sprawozdanie jest udostępniane pracownikom Komisji;
b) w wykonywaniu swoich obowiązków współpracuje z inspektorami ochrony danych innych instytucji i organów, w szczególności poprzez wymianę doświadczeń i najlepszych praktyk.
2. W zakresie podlegających mu operacji przetwarzania danych osobowych inspektor sprawuje funkcje kontrolera.
Artykuł 6
Uprawnienia
Bez uszczerbku dla uprawnień nadanych mu w rozporządzeniu w trakcie wykonywania swoich zadań i obowiązków inspektor:
a) może wnioskować o opinię prawną służby prawnej Komisji;
b) może, w przypadku sporu dotyczącego wykładni lub wykonywania rozporządzenia, poinformować właściwy szczebel kierownictwa i Sekretarza Generalnego przed skierowaniem sprawy do Europejskiego Inspektora Ochrony Danych;
c) może zwracać uwagę sekretarza generalnego na:
- naruszenie przez pracownika obowiązków określonych w rozporządzeniu,
- naruszenie przez kontrolerów standardów kontroli wewnętrznej w Komisji związanych ściślej z obowiązkami wynikającymi z rozporządzenia;
oraz zaproponować otwarcie dochodzenia administracyjnego z możliwością zastosowania art. 49 rozporządzenia;
d) może prowadzić dochodzenia w sprawach bezpośrednio związanych ze swoimi zadaniami, stosując odpowiednie zasady dotyczące dochodzeń i kontroli w Komisji oraz procedurę opisaną w art. 13 niniejszej decyzji;
e) inspektor ma nieustanny dostęp do danych będących przedmiotem operacji przetwarzania i do wszystkich biur, instalacji przetwarzających dane i nośników danych.
Artykuł 7
Zasoby
Komisja dostarcza inspektorowi zasoby niezbędne do wykonywania obowiązków.
SEKCJA 3
ZASADY I PROCEDURY
Artykuł 8
Informacje
1. Inspektor jest niezwłocznie informowany przez odpowiedzialną służbę o każdym przypadku badania przez służby Komisji kwestii związanej z ochroną danych osobowych, najpóźniej przed podjęciem jakiejkolwiek decyzji.
2. Inspektor jest informowany o każdym przypadku, w którym Komisja konsultuje się z Europejskim Inspektorem Ochrony Danych lub informuje go na podstawie odpowiednich artykułów rozporządzenia, a w szczególności na podstawie art. 28 ust. 1 i art. 28 ust. 2. Inspektor jest także informowany o bezpośrednich kontaktach pomiędzy kontrolerami Komisji i Europejskim Inspektorem Ochrony Danych, zgodnie z odpowiednimi artykułami rozporządzenia.
3. Inspektor jest informowany przez odpowiedzialne służby lub służbę prawną, w zależności od tego, która z nich jest właściwa, o opiniach i pismach przedstawiających stanowisko służby prawnej bezpośrednio dotyczących wewnętrznego stosowania przepisów rozporządzenia, jak również o opiniach dotyczących wykładni lub wykonywania innych aktów prawnych dotyczących ochrony danych osobowych i ich przetwarzania, bardziej szczegółowo związanych z konsultacją między służbami i dotyczących dostępu do informacji.
Artykuł 9
Kontrolerzy
1. Bez uszczerbku dla przepisów rozporządzenia dotyczących ich obowiązków, kontrolerzy:
a) niezwłocznie przygotowują zawiadomienia dla inspektora dotyczące wszystkich trwających operacji przetwarzania danych osobowych, które nie zostały jeszcze zgłoszone;
b) w odpowiednich przypadkach, konsultują się z inspektorem w sprawie zgodności operacji przetwarzania danych, szczególnie w przypadku wątpliwości co do tej zgodności;
c) współpracują z koordynatorem w celu przygotowania spisu trwających operacji przetwarzania danych osobowych w danej dyrekcji generalnej.
2. Kontroler może zlecić niektóre elementy swoich zadań innym osobom działającym w charakterze oddelegowanych kontrolerów w ramach jego zakresu uprawnień i odpowiedzialności.
Artykuł 10
Podmioty przetwarzające dane
Podmioty przetwarzające dane w ramach Komisji, od których wymaga się przetwarzania danych osobowych w imieniu kontrolerów, działają tylko zgodnie z instrukcjami kontrolerów udokumentowanymi w pisemnym porozumieniu i przetwarzają takie dane osobowe, ściśle przestrzegając rozporządzenia oraz wszelkich innych mających zastosowanie aktów prawnych dotyczących ochrony danych osobowych. Pisemne porozumienie pomiędzy jednostkami organizacyjnymi Komisji uważa się za równoważne prawnie wiążącemu aktowi w rozumieniu art. 23 ust. 2 rozporządzenia.
Z zewnętrznymi podmiotami przetwarzającymi dane należy zawierać formalne umowy; tego typu umowy zawierają szczegółowe wymogi wymienione w art. 23 ust. 2 rozporządzenia.
Artykuł 11
Zawiadomienia
W celu przesłania swoich zawiadomień inspektorowi kontrolerzy używają elektronicznego systemu zawiadamiania, dostępnego za pośrednictwem strony inspektora w Intranecie Komisji.
W przypadku prostych operacji przetwarzania danych, które nie są danymi szczególnie chronionymi, system zapewnia możliwość zawiadamiania w trybie uproszczonym.
Artykuł 12
Rejestr
Elektroniczny rejestr operacji przetwarzania danych realizowanych przez Komisję wspomniany w art. 4 ust. 4 niniejszej decyzji jest udostępniany wszystkim pracownikom instytucji i organów Wspólnoty za pośrednictwem strony inspektora w intranecie Komisji oraz dla wszystkich osób mających dostęp do Internetu za pośrednictwem strony internetowej EUROPA. Osoby niedysponujące dostępem do Internetu mogą zwracać się z pisemny wnioskiem o wyciąg z rejestru do inspektora, który odpowiada w ciągu 10 dni roboczych.
Artykuł 13
Procedura dochodzenia
1. Wnioski o dochodzenie, o których mowa w art. 4 ust. 5 niniejszego dokumentu, są kierowane do inspektora na piśmie. W ciągu piętnastu dni od otrzymania wniosku inspektor wysyła potwierdzenie otrzymania do osoby, która wnioskowała o dochodzenie, i sprawdza, czy wniosek należy traktować jako poufny. W przypadku oczywistego nadużycia prawa do wnioskowania o dochodzenie inspektor nie jest zobowiązany do przedstawienia wnioskodawcy sprawozdania.
2. Inspektor zwraca się do kontrolera, który jest odpowiedzialny za daną operację przetwarzania danych, o przygotowanie pisemnego oświadczenia. Kontroler przedstawia swoją odpowiedź inspektorowi w ciągu piętnastu dni roboczych. Inspektor może domagać się przedstawienia mu dodatkowych informacji przez kontrolera lub przez inne podmioty w ciągu 15 dni. W stosownych przypadkach inspektor może zwracać się do Służby Prawnej o wydanie opinii w danej sprawie. Inspektor otrzymuje opinię w ciągu trzydziestu dni roboczych.
3. Inspektor odpowiada osobie, która wnioskowała o przeprowadzenie dochodzenia, nie później niż w ciągu trzech miesięcy od otrzymania wniosku. Bieg tego terminu może zostać wstrzymany do momentu, w którym inspektor otrzyma dalsze informacje, o które wnioskował.
4. Nikt nie może być niekorzystnie traktowany z powodu zwrócenia uwagi inspektora na możliwość naruszenia przepisów rozporządzenia.
Artykuł 14
Koordynatorzy ds. ochrony danych osobowych
1. W każdej dyrekcji generalnej lub służbie dyrektor generalny lub szef służby mianuje koordynatora ds. ochrony danych osobowych. Kilka dyrekcji generalnych, służb lub Biur może, z przyczyn dotyczących spójności lub skuteczności, podjąć na mocy pisemnego porozumienia decyzję o mianowaniu wspólnego koordynatora ds. ochrony danych osobowych lub zdecydować o wspólnym korzystaniu z usług już mianowanego koordynatora.
2. Stanowiska koordynatora nie można łączyć z innymi stanowiskami. W celu uzyskania niezbędnych kompetencji do sprawowania swojej funkcji koordynator w ciągu sześciu miesięcy od mianowania musi przejść obowiązkowe szkolenie na koordynatora ds. ochrony danych osobowych.
3. Długość kadencji koordynatora nie jest ograniczona. Koordynatora wybiera się, na odpowiednim poziomie kierownictwa, biorąc pod uwagę wysoką etykę zawodową, wiedzę na temat, funkcjonowania jego dyrekcji generalnej i doświadczenie w tej dziedzinie oraz jego motywację do sprawowania tej funkcji. Koordynator powinien rozumieć zasady działania systemów informacyjnych.
4. Bez uszczerbku dla obowiązków inspektora ochrony danych koordynator:
a) tworzy spis operacji przetwarzania danych w danej dyrekcji generalnej, aktualizuje go oraz pomaga ustalić odpowiedni poziom ryzyka dla każdej operacji przetwarzania danych; wykorzystuje elektroniczny system zarządzania spisem udostępniony w tym celu przez inspektora na jego stronie w intranecie Komisji;
b) pomaga dyrektorowi generalnemu lub szefowi służby w ustaleniu właściwych kontrolerów;
c) ma prawo otrzymywać od kontrolerów niezbędne i odpowiednie informacje. Nie obejmuje to prawa dostępu do danych osobowych przetwarzanych na odpowiedzialność kontrolera.
5. Bez uszczerbku dla obowiązków kontrolera koordynator:
a) wspomaga kontrolerów w wypełnianiu ich obowiązków prawnych;
b) pomaga kontrolerom w przygotowywaniu zawiadomień;
c) wprowadza uproszczone zawiadomienia do elektronicznego systemu inspektora.
6. Koordynator uczestniczy w regularnych spotkaniach sieci koordynatorów, którym przewodniczy inspektor, aby zapewnić spójne wykonywanie i wykładnię rozporządzenia w Komisji oraz omawiać kwestie, które są przedmiotem wspólnego zainteresowania.
7. Podczas wykonywania powierzonych mu zadań koordynator może zwracać się do inspektora o zalecenia, porady lub opinie.
Artykuł 15
Administracja i zarządzanie
1. Pod względem administracyjnym inspektor przynależy do Sekretariatu Generalnego, a jego działalność stanowi element procesu sporządzania budżetu i zarządzania stosownie do zadań w ramach działania 7 Sekretariatu Generalnego: Stosunki ze społeczeństwem obywatelskim, otwartość i informacja. W tym kontekście inspektor uczestnicy w przygotowywaniu rocznego planu zarządzania oraz wstępnego projektu budżetu Sekretariatu Generalnego.
2. Inspektor pełni funkcję urzędnika oceniającego wobec pracowników swojego sekretariatu i zastępcy inspektora ds. ochrony danych osobowych. Zastępca sekretarza generalnego sprawuje funkcję urzędnika zatwierdzającego ocenę inspektora.
3. Inspektor uczestniczy w odpowiednim zakresie w koordynacji zarządzania Sekretariatem Generalnym.
SEKCJA 4
PRZEPISY KOŃCOWE
Artykuł 16
Wejście w życie
Niniejsza decyzja wchodzi w życie z dniem 3 czerwca 2008 r.
Sporządzono w Brukseli, dnia 3 czerwca 2008 r.
W imieniu Komisji |
José Manuel BARROSO |
Przewodniczący |
|
(1) Dz.U. L 8 z 12.1.2001, s. 1.
(2) Dotychczas nieopublikowana w Dzienniku Urzędowym.
(3) Żadne odniesienia do inspektora ochrony danych osobowych w dalszej części tekstu nie przesądzają, czy osoba sprawująca tę funkcję będzie mężczyzną czy kobietą.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00