DECYZJA EUROPEJSKIEGO INSPEKTORA OCHRONY DANYCH
z dnia 17 grudnia 2012 r.
w sprawie przyjęcia regulaminu wewnętrznego
(2013/504/UE)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (1), w szczególności jego art. 46 lit. k),
a także mając na uwadze, co następuje:
(1) Przepisy art. 8 Karty Praw Podstawowych i art. 16 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że przestrzeganie zasad dotyczących ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych przez instytucje, organy, urzędy i agencje unijne podlega kontroli niezależnego organu.
(2) Rozporządzenie (WE) nr 45/2001 przewiduje powołanie niezależnego organu, zwanego Europejskim Inspektorem Ochrony Danych, który jest odpowiedzialny za zapewnienie, że podstawowe prawa i wolności osób fizycznych, w szczególności prawo do prywatności, są respektowane przez instytucje i organy unijne w odniesieniu do przetwarzania danych osobowych.
(3) Rozporządzenie (WE) nr 45/2001 określa również obowiązki i uprawnienia Europejskiego Inspektora Ochrony Danych oraz przewiduje powołanie Europejskiego Inspektora Ochrony Danych oraz zastępcy inspektora.
(4) Rozporządzenie (WE) nr 45/2001 stanowi również, że Europejski Inspektor Ochrony Danych jest wspomagany przez sekretariat, oraz ustanawia przepisy dotyczące kwestii personalnych i budżetowych.
(5) Decyzja nr 1247/2002/WE Parlamentu Europejskiego, Rady i Komisji z dnia 1 lipca 2002 r. w sprawie regulaminu i ogólnych warunków regulujących wykonywanie obowiązków przez Europejskiego Pełnomocnika ds. Ochrony Danych (2) określa dodatkowe przepisy w tym zakresie.
(6) Inne przepisy prawa unijnego określają dodatkowe obowiązki i uprawnienia Europejskiego Inspektora Ochrony Danych,
PRZYJMUJE NINIEJSZY REGULAMIN WEWNĘTRZNY:
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Wykonywanie obowiązków i uprawnień
Europejski Inspektor Ochrony Danych wykonuje obowiązki i uprawnienia nałożone rozporządzeniem (WE) nr 45/2001 i innymi przepisami prawa unijnego.
Artykuł 2
Definicje
W niniejszym regulaminie:
a) „rozporządzenie” oznacza rozporządzenie (WE) nr 45/2001;
b) „instytucja” oznacza instytucje, organy, urzędy lub agencje unijne podlegające rozporządzeniu (WE) nr 45/2001;
c) „EIOD” oznacza Europejskiego Inspektora Ochrony Danych jako instytucję;
d) „inspektor” oznacza, o ile nie określono inaczej, osobę pełniącą urząd Europejskiego Inspektora Ochrony Danych i zastępcy inspektora;
e) „ środek administracyjny” oznacza decyzje lub inne akty administracji unijnej o zasięgu ogólnym, dotyczące przetwarzania danych osobowych przez instytucję.
ROZDZIAŁ II
INSTYTUCJA I SEKRETARIAT
Artykuł 3
Niezależność, dobre rządy i dobre postępowanie administracyjne
1. Zgodnie z art. 44 rozporządzenia inspektor wykonuje swoje obowiązki w sposób całkowicie niezależny.
2. Inspektor zapewnia właściwe funkcjonowanie służb dostępnych w celu wykonywania zadań, o których mowa w art. 1, z uwzględnieniem zasad dobrych rządów, dobrego postępowania administracyjnego i dobrego zarządzania.
Artykuł 4
Role inspektora i zastępcy inspektora
1. Inspektor i zastępca inspektora, jako członkowie instytucji, są odpowiedzialni za przyjmowanie strategii, polityk i decyzji oraz współpracują ze sobą przy wykonywaniu zadań, o których mowa w art. 1. Zastępca inspektora wykonuje te zadania w przypadku nieobecności inspektora lub jego niezdolności do działania, i odwrotnie.
2. Inspektor i zastępca inspektora dążą do osiągnięcia porozumienia w zakresie ogólnych strategii i polityk oraz innych ważnych kwestii, w tym związanych z sekretariatem. Jeżeli nie można osiągnąć porozumienia, a sprawa jest pilna, decyzję podejmuje inspektor.
3. Inspektor, działając w ścisłej współpracy z zastępcą, ustala podział pracy między inspektorem a zastępcą inspektora, w tym, kto ponosi główną odpowiedzialność za przygotowanie i przyjmowanie decyzji oraz związane z nimi działania następcze, oraz, w stosownych przypadkach, ustala zadania przekazane do wykonania przez zastępcę inspektora.
Artykuł 5
Sekretariat
1. Zgodnie z art. 43 ust. 4 rozporządzenia inspektor jest wspomagany przez sekretariat, którego zadania i metody pracy są określane przez inspektora.
2. Inspektor może delegować pewne zadania poszczególnym członkom personelu, z możliwością ich zastąpienia przez innych członków personelu.
3. Inspektor ustanawia jednostki i sektory składające się na sekretariat, które wspomagają przygotowanie i wykonanie zadań, o których mowa w art. 1. Na czele każdej jednostki i każdego sektora stoi kierownik jednostki lub sektora.
Artykuł 6
Dyrektor
1. Na czele sekretariatu stoi dyrektor, który podejmuje wszelkie niezbędne środki w celu zapewnienia właściwego funkcjonowania sekretariatu i wydajnego korzystania z zasobów, włącznie z zastępstwem dyrektora w przypadku jego nieobecności lub niezdolności do wykonywania czynności.
2. Dyrektor jest odpowiedzialny za:
a) przygotowanie i wdrażanie strategii i polityki;
b) wkład w ich ocenę i rozwój;
c) koordynowanie i planowanie działań, pomiar wyników i reprezentowanie instytucji w relacjach z innymi instytucjami i organami, w razie potrzeby.
Artykuł 7
Zarząd
1. Zarząd składa się z inspektora, zastępcy inspektora i dyrektora. Zarząd spotyka się w regularnych odstępach czasu, normalnie raz w tygodniu, aby omówić ogólne strategię, politykę i inne istotne kwestie, oraz zapewnić dobrą koordynację odpowiednich działań.
2. Dyrektor zapewnia właściwe funkcjonowanie sekretariatu zarządu.
Artykuł 8
Zebranie dyrektorskie
W regularnych odstępach czasu, normalnie raz w tygodniu, dyrektor spotyka się z kierownikami jednostek i sektorów, aby zapewnić koordynację i planowanie działań oraz przygotowanie i wdrażanie strategii i polityki. Dyrektor zapewnia właściwe funkcjonowanie sekretariatu zebrania dyrektorskiego.
Artykuł 9
Organ powołujący
1. Dyrektor wykonuje uprawnienia powierzone organowi powołującemu w rozumieniu art. 2 regulaminu pracowniczego urzędników Unii Europejskiej oraz uprawnienia powierzone organowi upoważnionemu do zawierania umów o pracę w rozumieniu art. 6 warunków zatrudnienia innych pracowników Unii Europejskiej, a także wszelkie inne powiązane uprawnienia wynikające z innych decyzji administracyjnych, zarówno tych wydawanych przez EIOD, jak i tych o charakterze międzyinstytucjonalnym, o ile nie określono inaczej w decyzji inspektora w sprawie wykonywania uprawnień powierzonych organowi powołującemu i organowi upoważnionemu do zawierania umów o pracę.
2. Dyrektor może powierzyć wykonywanie uprawnień, o których mowa w ust. 1, urzędnikowi odpowiedzialnemu za zarządzanie zasobami ludzkimi.
Artykuł 10
Urzędnik zatwierdzający i księgowy
1. Uprawnienia urzędnika zatwierdzającego są wykonywane przez inspektora. Uprawnienia delegowanego i subdelegowanego urzędnika zatwierdzającego są wykonywane przez osoby powołane do tego w karcie zadań i obowiązków delegowanych urzędników zatwierdzających oraz w karcie zadań i obowiązków subdelegowanych urzędników zatwierdzających.
2. Księgowy Komisji Europejskiej jest księgowym EIOD.
ROZDZIAŁ III
DELEGOWANIE I ZASTĘPSTWO
Artykuł 11
Delegowanie
1. Inspektor może przekazać dyrektorowi uprawnienia do przyjmowania i podpisywania ostatecznego tekstu każdej decyzji lub opinii, której treść merytoryczna została wcześniej ustalona.
2. Jeżeli dyrektorowi zostały przekazane uprawnienia zgodnie z ust. 1, to może on przekazać je dalej na rzecz kierownika danej jednostki lub danego sektora w razie jego nieobecności.
3. Przepisy ust. 1 i 2 pozostają bez uszczerbku dla przepisów dotyczących przekazywania uprawnień powierzonych organowi powołującemu i przepisów dotyczących kwestii finansowych, jak określono w art. 9 i 10.
Artykuł 12
Zastępstwo
1. W przypadku nieobecności inspektora i zastępcy inspektora lub niemożności wykonywania przez nich swoich funkcji dyrektor, w stosownych przypadkach, występuje w ich zastępstwie w sprawach wymagających pilnej uwagi podczas trwania takiej nieobecności lub niezdolności do działania.
2. Jeżeli dyrektor nie może wykonywać swoich funkcji lub stanowisko to jest nieobsadzone i inspektor nie wyznaczył żadnego urzędnika, to funkcje dyrektora są wykonywane przez kierownika jednostki lub sektora o najwyższym stopniu zaszeregowania lub, w przypadku równych stopni zaszeregowania, przez kierownika jednostki lub sektora o większym stażu w ramach tego samego stopnia, lub, w przypadku równego stażu, przez najstarszego kierownika.
3. Jeżeli nie ma kierownika jednostki ani sektora i nie wyznaczono żadnego urzędnika, to w zastępstwie występuje urzędnik danej jednostki lub sektora mający najwyższy stopień zaszeregowania lub, w przypadku równych stopni zaszeregowania, urzędnik o większym stażu w ramach tego samego stopnia, lub, w przypadku równego stażu, najstarszy urzędnik.
4. W przypadku gdy inny przełożony w strukturze hierarchicznej nie może wykonywać swoich obowiązków lub jego stanowisko jest wolne, dyrektor wyznacza urzędnika w porozumieniu z inspektorem. Jeżeli nie wyznaczono zastępstwa, to w zastępstwie występuje urzędnik danej jednostki lub sektora mający najwyższy stopień zaszeregowania lub, w przypadku równych stopni zaszeregowania, urzędnik podwładny o większym stażu w ramach tego samego stopnia, lub, w przypadku równego stażu, najstarszy urzędnik.
5. Przepisy ust. 1–4 pozostają bez uszczerbku dla przepisów dotyczących przekazywania uprawnień powierzonych organowi powołującemu i przepisów dotyczących kwestii finansowych, jak określono w art. 9 i 10.
ROZDZIAŁ IV
PLANOWANIE
Artykuł 13
Roczny plan zarządzania
1. Zgodnie z zasadami dobrej administracji i dobrego zarządzania finansowego EIOD corocznie ustanawia roczny plan zarządzania. Plan ten przekłada długoterminową strategię EIOD na cele ogólne i szczególne. Określane są wskaźniki skuteczności działania i cele, które są mierzone dwa razy do roku w celu monitorowania i śledzenia osiągnięć.
2. Roczny plan zarządzania obejmuje analizę ryzyka działań zaplanowanych przez EIOD, uwzględniającą zidentyfikowane czynniki ryzyka oraz planowanie ograniczania ryzyka.
Artykuł 14
Sprawozdanie roczne
1. Zgodnie z art. 48 rozporządzenia EIOD składa roczne sprawozdanie ze swojej działalności („sprawozdanie roczne”) Parlamentowi Europejskiemu, Radzie i Komisji oraz przekazuje je innym instytucjom.
2. Sprawozdanie roczne jest składane i publikowane na stronie internetowej EIOD najpóźniej do dnia 1 lipca następnego roku.
3. EIOD rozpatruje uwagi zgłoszone przez inne instytucje, o których mowa w ust. 1, na podstawie art. 48 ust. 2 rozporządzenia, mając na względzie możliwe późniejsze badanie sprawozdania w Parlamencie Europejskim.
ROZDZIAŁ V
PROCEDURY SZCZEGÓLNE
SEKCJA 1
Przepisy ogólne
Artykuł 15
Wytyczne i wartości kluczowe
1. EIOD występuje w interesie publicznym jako biegły, niezależny, wiarygodny i oficjalny organ w obszarze ochrony danych na szczeblu unijnym. Interwencje EIOD oparte są na bezstronności, rzetelności, przejrzystości i pragmatyzmie.
2. EIOD prowadzi konstruktywny dialog z zainteresowanymi podmiotami w celu zapewnienia sprawiedliwej równowagi między ochroną danych i prywatnością a innymi interesami i strategiami.
3. Nadzór nad instytucjami opiera się na zasadzie, że odpowiedzialność za przestrzeganie przepisów spoczywa przede wszystkim na samych inspektorach.
Artykuł 16
Strategia działań
EIOD przyjmuje dokumenty programowe określające najważniejsze elementy strategii EIOD w odniesieniu do poszczególnych działań, jeżeli jest to stosowne w celu określenia wytycznych na temat pozycjonowania EIOD w odniesieniu do danego działania. Dokumenty programowe są regularnie aktualizowane.
Artykuł 17
Monitorowanie zgodności z rozporządzeniem
EIOD prowadzi regularne czynności monitorujące, aby uzyskać adekwatny ogląd przestrzegania przepisów dotyczących ochrony danych w obrębie instytucji. Takie czynności mogą mieć charakter ogólny lub bardziej ukierunkowany, w oparciu o informacje i dowody zebrane podczas wykonywania czynności nadzorczych.
Artykuł 18
Egzekwowanie
EIOD egzekwuje wykonywanie obowiązków z zakresu ochrony danych przy użyciu uprawnień nadanych mu w art. 47 rozporządzenia. Uprawnienia te są wykorzystywane w pełni w przypadkach poważnych, umyślnych lub uporczywych naruszeń.
SEKCJA 2
Kontrole wstępne
Artykuł 19
Wniosek o przeprowadzenie kontroli wstępnej
1. Zgodnie z art. 27 rozporządzenia operacje przetwarzania, mogące ze swej natury, przez swój zakres lub swoje cele stworzyć konkretne zagrożenia dla praw i wolności podmiotów danych, podlegają uprzedniemu sprawdzeniu przez EIOD w następstwie powiadomienia otrzymanego od inspektora ochrony danych z danej instytucji.
2. W przypadku wątpliwości dotyczących konieczności przeprowadzenia kontroli wstępnej, na wniosek danego inspektora ochrony danych, EIOD podejmuje decyzję, czy dana operacja przetwarzania stwarza konkretne zagrożenia, a jeżeli tak, to zwraca się do inspektora ochrony danych o odpowiednie powiadomienie w tej sprawie.
3. W przypadku gdy operacja przetwarzania nie stwarza konkretnych zagrożeń, EIOD może nadal wydać określone zalecenia dla instytucji.
4. Powiadomienia dotyczące kontroli wstępnej są wysyłane do sekretariatu EIOD pocztą elektroniczną przy użyciu standardowego formularza EIOD.
5. Wszelkie istotne informacje dodatkowe dotyczące zgłaszanej operacji przetwarzania można załączyć do formularza powiadomienia.
Artykuł 20
Opinie w sprawie kontroli wstępnych
1. EIOD przyjmuje opinię, w której przedstawione są odpowiednie uzasadnienia i wnioski dotyczące kontroli wstępnej.
2. Jeżeli zgłoszone przetwarzanie wiąże się z możliwym naruszeniem przepisów rozporządzenia, to w stosownych przypadkach EIOD przedstawia propozycje uniknięcia takiego naruszenia przepisów.
Artykuł 21
Terminy i zawieszenia przyjęcia opinii w sprawie kontroli wstępnej
1. Zgodnie z art. 27 ust. 4 rozporządzenia EIOD dostarcza swoją opinię na temat kontroli wstępnej w terminie dwóch miesięcy od odebrania powiadomienia. EIOD może zwrócić się o podanie dalszych informacji, jakie uzna za niezbędne. Dwumiesięczny okres może być zawieszony do momentu, kiedy EIOD otrzyma informacje, jakich zażądał. Jeżeli wymaga tego stopień złożoności sprawy, dwumiesięczny okres może być wydłużony o kolejne dwa miesiące.
2. Jeżeli opinia nie zostanie dostarczona do końca dwumiesięcznego okresu lub jego przedłużenia, przyjmuje się, że jest ona pozytywna.
3. Datą początkową do obliczania terminu jest dzień następujący po dniu, w którym otrzymano formularz powiadomienia.
4. Jeżeli ostatni dzień terminu przypada w święto państwowe lub inny dzień, kiedy służby EIOD są zamknięte, za ostateczny dzień do dostarczenia opinii przyjmuje się następny dzień roboczy.
Artykuł 22
Terminy i zawieszenia
1. Przed przyjęciem opinii EIOD przesyła projekt opinii do danej instytucji w celu uzyskania informacji zwrotnych na temat aspektów praktycznych i nieścisłości faktycznych. Instytucja przesyła swoje informacje zwrotne w terminie 10 dni od otrzymania projektu. Okres ten może zostać przedłużony na uzasadniony wniosek administratora. Wniosek o informacje zwrotne zawiesza bieg terminu, o którym mowa w art. 21 ust. 1. Jeżeli przed upływem terminu EIOD nie otrzyma informacji zwrotnych, to przystępuje do przyjęcia opinii.
2. EIOD zostawia instytucji trzy miesiące od daty przyjęcia opinii na przekazanie informacji na temat wdrożenia zaleceń zawartych w opinii. Informacje te są sprawdzane przez EIOD.
Artykuł 23
Rejestr kontroli wstępnych
1. Zgodnie z art. 27 ust. 5 rozporządzenia EIOD prowadzi rejestr wszystkich operacji przetwarzania, o których został powiadomiony zgodnie z art. 27 rozporządzenia.
2. Rejestr nie obejmuje danych na temat środków bezpieczeństwa. Zawiera odnośniki do opinii EIOD oraz informacje na temat terminu przedstawienia informacji przez instytucję zgodnie z art. 22 ust. 2. Rejestr jest dostępny na stronie internetowej EIOD.
SEKCJA 3
Konsultacje administracyjne
Artykuł 24
Konsultacje administracyjne
1. Zgodnie z art. 28 ust. 1 rozporządzenia EIOD jest informowany przez instytucje o przypadkach podejmowania przez nie środków administracyjnych dotyczących przetwarzania danych osobowych.
2. Zgodnie z art. 46 lit. d) rozporządzenia EIOD doradza instytucjom, w odpowiedzi na konsultacje, we wszystkich kwestiach dotyczących przetwarzania danych osobowych, w szczególności zanim przyjmą one przepisy wewnętrzne związane z ochroną podstawowych praw i wolności w odniesieniu do przetwarzania danych osobowych.
3. Z zasady EIOD rozpatruje tylko te konsultacje, które zostały najpierw przedłożone do konsultacji inspektorowi ochrony danych w danej instytucji.
Artykuł 25
Opinie
1. Z zasady EIOD wydaje opinię w terminie dwóch miesięcy od otrzymania konsultacji. EIOD może zwrócić się o podanie dalszych informacji, jakie uzna za niezbędne. Dwumiesięczny okres może być zawieszony do momentu, kiedy EIOD otrzyma informacje, jakich zażądał.
2. EIOD zostawia instytucji trzy miesiące od daty przyjęcia opinii na przekazanie informacji na temat wdrożenia zaleceń zawartych w opinii. Informacje te są sprawdzane przez EIOD.
SEKCJA 4
Konsultacje ustawodawcze i strategiczne
Artykuł 26
Zakres konsultacji
1. Zgodnie z art. 41 i art. 28 ust. 2 rozporządzenia EIOD doradza w sprawie wniosków ustawodawczych opartych na Traktatach oraz innych aktach i dokumentach, takich jak:
a) decyzje w ramach wspólnej polityki zagranicznej i bezpieczeństwa;
b) akty wykonawcze i delegowane;
c) dokumenty dotyczące umów z krajami trzecimi i organizacjami międzynarodowymi;
d) inicjatywy ustawodawcze państw członkowskich na podstawie Traktatów;
e) inicjatywy dotyczące wzmocnionej współpracy;
f) akty niewiążące, takie jak zalecenia i komunikaty odnoszące się do ochrony praw i wolności osoby fizycznej w odniesieniu do przetwarzania danych osobowych.
EIOD zapewnia takie doradztwo w następstwie konsultacji z Komisją na podstawie art. 28 ust. 2 rozporządzenia, w następstwie innych wniosków otrzymanych od instytucji lub z własnej inicjatywy.
2. EIOD jest dostępny do celów konsultacji z zaangażowanymi instytucjami na każdym etapie procesu ustawodawczego.
Artykuł 27
Konsultacje nieformalne
1. Jak uzgodniono z Komisją, konsultacja z EIOD jest wymagana, zanim kolegium komisarzy podejmie ostateczną decyzję dotyczącą przyjęcia środka, wniosku ustawodawczego lub dokumentu strategicznego. W odpowiedzi na takie konsultacje EIOD przedkłada odpowiedniej służbie Komisji nieformalne uwagi dotyczące projektu wniosku lub powiązanego dokumentu.
2. Nieformalne uwagi przekazywane zgodnie z ust. 1 uwzględniają poufność wewnętrznego procesu decyzyjnego Komisji, z zastrzeżeniem obowiązujących przepisów na mocy Traktatów i prawodawstwa wtórnego. EIOD dokłada starań, aby dotrzymać terminów proponowanych przez służby Komisji, o ile jest to rozsądne i wykonalne.
Artykuł 28
Opinie na temat wniosków ustawodawczych i uwagi formalne
1. Porady EIOD dotyczące wniosku ustawodawczego lub powiązanego dokumentu mogą przyjąć postać opinii, uwag formalnych lub innego instrumentu, jaki zostanie uznany za stosowny.
2. Opinia EIOD zawiera analizę aspektów wniosku lub powiązanego dokumentu, które dotyczą ochrony danych. Zasadniczo opinia jest wydawana w ciągu trzech miesięcy od przyjęcia wniosku lub powiązanego dokumentu.
3. Streszczenie opinii jest publikowane w Dzienniku Urzędowym Unii Europejskiej (seria C), a pełna wersja jest publikowana na stronie internetowej EIOD.
4. Uwagi formalne EIOD skupiają się na konkretnych aspektach danego wniosku lub powiązanego dokumentu. Zasadniczo są one wydawane w ciągu dwóch miesięcy od przyjęcia dokumentu. Podlegają publikacji na stronie internetowej EIOD.
Artykuł 29
Priorytety roczne i wykaz
1. EIOD publikuje swoje priorytety roczne na stronie internetowej EIOD.
2. Trzy razy do roku EIOD publikuje na stronie internetowej wykaz wniosków ustawodawczych i powiązanych dokumentów, w odniesieniu do których ma zapewnić doradztwo. Wykaz obejmuje klasyfikację tych dokumentów według ich priorytetu.
3. Wykaz opiera się na rocznym programie prac Komisji i jego zaktualizowanych załącznikach oraz na wszelkich innych istotnych informacjach, które są dostępne.
Artykuł 30
Działania następcze dotyczące opinii na temat wniosków ustawodawczych i uwag formalnych
1. EIOD aktywnie monitoruje działania podejmowane w Parlamencie Europejskim, Radzie i Komisji w następstwie udzielonych porad.
2. Inspektor jest dostępny, aby ustnie przedstawić i omówić porady EIOD na spotkaniu z ustawodawcą lub zapewnić wszelką inną pomoc, o jaką zostanie poproszony.
3. Jeżeli do omawianego środka ustawodawczego zostaną wprowadzone istotne zmiany, EIOD może rozważyć przedłożenie kolejnej opinii, dalszych uwag lub innego instrumentu, jaki uzna za stosowny.
SEKCJA 5
Skargi
Artykuł 31
Skargi
1. Zgodnie z art. 46 lit. a) rozporządzenia EIOD wysłuchuje skargi i bada je w odpowiednim stopniu oraz informuje podmiot danych o wyniku w odpowiednim czasie.
2. Skargi złożone do EIOD nie mają wpływu na terminy składania odwołań w równoległych postępowaniach administracyjnych lub sądowych.
Artykuł 32
Składanie skargi
1. W skardze należy określić osobę składającą skargę.
2. Skargę składa się na piśmie w dowolnym języku urzędowym Unii, przedkładając wszelkie informacje niezbędne do zrozumienia jej przedmiotu.
3. Skargę składa się zasadniczo w terminie dwóch lat od powzięcia przez skarżącego wiedzy na temat faktów będących podstawą skargi.
4. Jeżeli skarga dotycząca tych samych faktów została złożona do Europejskiego Rzecznika Praw Obywatelskich, to EIOD bada jej dopuszczalność w świetle porozumienia zawartego pomiędzy EIOD a Europejskim Rzecznikiem Praw Obywatelskich (3).
Artykuł 33
Postępowanie ze skargami
1. EIOD podejmuje decyzję co do najodpowiedniejszej formy i sposobu postępowania ze skargą, biorąc pod uwagę, co następuje:
a) charakter i stopień ciężkości zarzucanego naruszenia zasad ochrony danych;
b) znaczenie przeświadczenia, że jeden podmiot danych lub więcej mogło lub może ucierpieć w wyniku naruszenia;
c) potencjalne znaczenie ogólne sprawy, także w odniesieniu do innych zaangażowanych interesów publicznych lub prywatnych;
d) prawdopodobieństwo ustalenia, że doszło do naruszenia;
e) dokładną datę wydarzeń, wszelkie postępowanie, które nie przynosi już skutków, usunięcie tych skutków lub odpowiednią gwarancję takiego usunięcia.
2. Czynności EIOD mogą obejmować, w szczególności, pisemne wnioski o udzielenie informacji, przesłuchania odpowiednich osób, kontrole na miejscu oraz badania sądowe odpowiednich urządzeń.
3. EIOD ujawnia treść skargi oraz tożsamość skarżącego tylko w zakresie niezbędnym do właściwego prowadzenia dochodzenia. W czasie trwania i po zakończeniu dochodzenia EIOD nie ujawnia stronom trzecim dokumentów związanych ze skargą, w tym ostatecznej decyzji, chyba że zainteresowane osoby udzielą zgody na takie ujawnienie lub EIOD jest prawnie do niego zobowiązany.
4. Informacje na temat skargi są publikowane przez EIOD tylko w takiej formie, która uniemożliwia identyfikację skarżącego ani innych zaangażowanych podmiotów danych.
Artykuł 34
Wynik skarg
1. EIOD niezwłocznie powiadamia skarżącego o wyniku skargi i podjętych działaniach.
2. Jeżeli skarga zostanie uznana za niedopuszczalną lub jej rozpatrywanie zostanie zakończone, EIOD, w stosownych przypadkach, kieruje skarżącego do innego organu.
3. Zgodnie z art. 32 ust. 2 rozporządzenia przy braku odpowiedzi ze strony EIOD w ciągu sześciu miesięcy skarga zostaje uznana za odrzuconą.
Artykuł 35
Przegląd i środki sądowe
1. Skarżący i przedmiotowa instytucja mogą zwrócić się do EIOD na piśmie o ponowne rozpatrzenie decyzji w sprawie skargi.
2. Wniosek o ponowne rozpatrzenie składa się w terminie jednego miesiąca od daty otrzymania decyzji i jest on ograniczony do nowych elementów lub argumentów prawnych, które nie zostały uwzględnione przez EIOD.
3. Niezależnie od możliwości zwrócenia się do EIOD o ponowne rozpatrzenie decyzji w sprawie skargi, decyzję można zaskarżyć przed Trybunałem Sprawiedliwości Unii Europejskiej zgodnie z warunkami określonymi w art. 263 Traktatu o funkcjonowaniu Unii Europejskiej.
SEKCJA 6
Kontrole i wizyty
Artykuł 36
Kontrole
1. EIOD postanawia o przeprowadzeniu kontroli, jeżeli weryfikacja na miejscu zostanie uznana za niezbędną do wykonania czynności nadzorczych lub osiągnięcia zgodności ze zobowiązaniem prawnym.
2. O przeprowadzeniu kontroli dana instytucja jest powiadamiana na piśmie na cztery tygodnie przed planowaną datą kontroli. W powiadomieniu określa się cel i zakres kontroli, ustala datę kontroli oraz wyznacza instytucji termin do złożenia wniosku o zmianę daty i do przedłożenia EIOD wszelkich wymaganych informacji.
3. EIOD wydaje następnie decyzję w sprawie kontroli, określającą cel, zakres, datę(-y), godziny i miejsce(-a) kontroli oraz podstawę prawną czynności kontrolnych. Do decyzji dołączone są upoważnienia dla członków personelu uczestniczących w kontroli.
4. Członkowie personelu wykonujący kontrolę gromadzą dokumentację dowodową w sposób wybiórczy i proporcjonalny. Cała dokumentacja dowodowa jest odpowiednio zabezpieczana.
5. Przesłuchania i informacje zdobyte w czasie kontroli oraz zastosowana procedura są odnotowywane w protokole przesyłanym do instytucji z prośbą o uwagi. Jeżeli w wyznaczonym terminie uwagi nie zostaną otrzymane, protokół uznaje się za przyjęty. Do protokołu załącza się wykaz dowodów zebranych w czasie kontroli.
6. W sprawozdaniu z kontroli EIOD umieszcza ustalenia poczynione w czasie kontroli. Sprawozdanie określa wszelkie działania, jakie ma podjąć kontrolowana instytucja, które podlegają następnie sprawdzeniu przez EIOD.
Artykuł 37
Wizyty
1. EIOD przeprowadza wizyty w celu zaangażowania wyższej kadry kierowniczej danej instytucji we wspieranie zgodności z rozporządzeniem.
2. Bodźcem do przeprowadzenia wizyty jest z reguły brak zaangażowania w przestrzeganie rozporządzenia, brak komunikacji lub potrzeba zwiększenia świadomości.
3. W stosownych przypadkach wizyta kończy się uzgodnieniem harmonogramu („planu działania”) zobowiązującego kadrę kierowniczą instytucji do spełnienia określonych obowiązków wynikających z rozporządzenia w wyznaczonym terminie. Uzgodniony harmonogram podlega następnie sprawdzeniu przez EIOD.
SEKCJA 7
Technologia monitorowania
Artykuł 38
Technologia i badania
1. Zgodnie z art. 46 lit. e) rozporządzenia EIOD monitoruje rozwój technologii informacyjno-komunikacyjnych. Celem wykonywania tego zadania przez EIOD jest identyfikacja nowych tendencji, które mogą mieć wpływ na ochronę danych, nawiązywanie kontaktów z zainteresowanymi podmiotami, zwiększanie świadomości na temat potencjalnych aspektów ochrony danych, doradzanie, jak uwzględnić ochronę danych w odpowiednich projektach, wspieranie zasad uwzględniania ochrony prywatności już w fazie projektowania i domyślnej ochrony prywatności oraz, w razie potrzeby, dostosowanie metodologii nadzoru do rozwoju technologicznego.
2. EIOD zapewnia wkład w unijne programy ramowe poprzez uczestnictwo w komitetach doradczych w sprawie badań, wspomaganie Komisji w procesie oceny wniosków oraz wszelkie inne środki, w stosownych przypadkach.
3. EIOD może postanowić o wzięciu udziału w indywidualnych finansowanych przez UE badaniach, rozwoju technologicznym i demonstracjach poprzez przyjęcie opinii na temat danego działania, na wniosek lub z inicjatywy własnej.
SEKCJA 8
Postępowania sądowe
Artykuł 39
Postępowanie przeciwko instytucjom
Zgodnie z art. 47 ust. 1 lit. h) rozporządzenia EIOD może przekazać sprawę Trybunałowi Sprawiedliwości Unii Europejskiej zgodnie z warunkami przewidzianymi w Traktacie. EIOD wykorzystuje to uprawnienie, w razie potrzeby, w przypadku nieprzestrzegania rozporządzenia przez instytucję i w przypadku braku skutecznej odpowiedzi na podjęte następnie przez EIOD działania egzekucyjne na mocy art. 47 rozporządzenia.
Artykuł 40
Odwołania od decyzji EIOD
Zgodnie z art. 32 ust. 3 rozporządzenia odwołania od decyzji EIOD wnoszone są do Trybunału Sprawiedliwości Unii Europejskiej.
Artykuł 41
Interwencje
1. Zgodnie z art. 47 ust. 1 lit. i) rozporządzenia EIOD może interweniować w sprawach wniesionych przed Trybunał Sprawiedliwości Unii Europejskiej.
2. EIOD wnioskuje o dopuszczenie do udziału w postępowaniu, jeżeli sprawa ma znaczenie dla ogólnej ochrony danych lub jeżeli EIOD był bezpośrednio zaangażowany w okoliczności sprawy w ramach wykonywania czynności nadzorczych.
3. Inne elementy, które mogą mieć wpływ na decyzję o wnioskowaniu o dopuszczenie do udziału w postępowaniu, to czy kwestia ochrony danych ma znaczący udział w sprawie i czy interwencja ze strony EIOD może zapewnić wartość dodaną w postępowaniu.
4. O ile nie istnieją istotne przesłanki do niepodjęcia interwencji, EIOD wnioskuje o dopuszczenie do udziału w postępowaniu, jeżeli Trybunał zwróci się do niego z takim wnioskiem formalnym.
ROZDZIAŁ VI
INSPEKTORZY OCHRONY DANYCH
Artykuł 42
Współpraca z inspektorami ochrony danych
1. EIOD współpracuje z inspektorami ochrony danych, zarówno na zasadzie dwustronnej, jak i poprzez uczestnictwo w spotkaniach organizowanych przez sieć inspektorów ochrony danych.
2. EIOD zapewnia wsparcie i wytyczne dla inspektorów ochrony danych, jeżeli jest to konieczne do wykonywania ich obowiązków.
Artykuł 43
Rejestr powołanych inspektorów ochrony danych
Zgodnie z art. 24 ust. 5 rozporządzenia EIOD prowadzi rejestr powołanych inspektorów ochrony danych, którzy zostali zgłoszeni do EIOD. Rejestr obejmuje, w szczególności, dane na temat okresu trwania mandatu każdego inspektora ochrony danych.
ROZDZIAŁ VII
WSPÓŁPRACA Z ORGANAMI DS. OCHRONY DANYCH
Artykuł 44
Współpraca z organami ds. ochrony danych
1. Zgodnie z art. 46 lit. f) ppkt (i) rozporządzenia EIOD współpracuje z krajowymi organami ds. ochrony danych i innymi organami nadzorczymi w zakresie niezbędnym do wykonywania przez nie swoich obowiązków.
2. Współpraca obejmuje:
a) wymianę wszystkich istotnych informacji, takich jak informacje dotyczące najlepszych praktyk oraz wnioski do odpowiedniego organu o wykonywanie jego uprawnień i odpowiedzi organu na takie wnioski;
b) tworzenie i utrzymywanie kontaktów z odpowiednimi członkami i pracownikami organów;
c) współpracę ze wspólnymi władzami i organami nadzorczymi ustanowionymi na mocy prawa unijnego, w tym, w stosownych przypadkach, uczestnictwo w posiedzeniach takich władz i organów, w celu zapewnienia spójnej praktyki.
Artykuł 45
Grupa robocza Art. 29
1. Zgodnie z art. 46 lit. g) rozporządzenia EIOD uczestniczy w działaniach grupy roboczej ustanowionej na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (4).
2. EIOD aktywnie uczestniczy w dyskusjach i przygotowywaniu dokumentów publikowanych przez grupę roboczą, których celem jest przedstawienie wspólnej interpretacji przepisów dotyczących ochrony danych oraz zapewnienie profesjonalnego doradztwa dla Komisji Europejskiej. W takich przypadkach EIOD przedstawia perspektywę unijną, o ile jest to stosowne.
3. EIOD regularnie uczestniczy w posiedzeniach plenarnych i posiedzeniach w podgrupach Grupy Roboczej.
4. EIOD wspiera regularne dyskusje z przewodniczącym Grupy Roboczej, w miarę możliwości co najmniej raz do roku, na temat ich właściwych priorytetów w celu zapewnienia dobrej współpracy w praktyce.
Artykuł 46
Skoordynowany nadzór nad systemami informacyjnymi o dużej skali
1. EIOD wraz z krajowymi organami nadzorczymi uczestniczy w skoordynowanym nadzorze nad systemami informacyjnymi o dużej skali, jak przewidziano w prawie unijnym.
2. EIOD organizuje spotkania koordynacyjne i zapewnia sekretariat grup koordynacyjnych.
3. EIOD współpracuje z poszczególnymi krajowymi organami nadzorczymi w niezbędnym zakresie i zgodnie z ich priorytetami w celu zapewnienia skoordynowanego nadzoru nad krajowymi i centralnymi częściami systemów informacyjnych o dużej skali.
Artykuł 47
Współpraca międzynarodowa
1. EIOD uczestniczy w corocznej wiosennej konferencji europejskich rzeczników ochrony danych, corocznej międzynarodowej konferencji rzeczników ochrony danych i prywatności oraz w międzynarodowej grupie roboczej ds. ochrony danych i telekomunikacji.
2. EIOD uczestniczy w odpowiednich międzynarodowych sieciach egzekwowania ochrony danych.
3. EIOD organizuje regularne warsztaty z przedstawicielami organizacji międzynarodowych w celu wymiany najlepszych praktyk i wypracowania kultury ochrony danych w takich organizacjach.
4. EIOD wspiera współpracę i dialog na szczeblu międzynarodowym z innymi zainteresowanymi podmiotami z krajów trzecich.
ROZDZIAŁ VIII
ADMINISTRACJA
Artykuł 48
Bezpieczeństwo
1. Zgodnie z art. 45 rozporządzenia inspektor oraz jego personel, w trakcie pełnienia funkcji i po ich zakończeniu, podlegają obowiązkowi zachowania tajemnicy zawodowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w trakcie wykonywania oficjalnych obowiązków.
2. EIOD wyznacza jednego pracownika bądź kilku, którzy są odpowiedzialni za bezpieczeństwo w odniesieniu do poszczególnych obszarów działań. Są oni odpowiedzialni w szczególności za kwestie dotyczące bezpieczeństwa pracowników, bezpieczeństwa fizycznego i bezpieczeństwa systemów komputerowych. Tak wyznaczeni członkowie personelu podlegają bezpośrednio dyrektorowi, jeżeli uznają to za niezbędne w celu uniknięcia zagrożeń dla bezpieczeństwa EIOD.
Artykuł 49
Komitet doradczy ds. technologii informacyjnych
Ustanawia się komitet doradczy ds. technologii informacyjnych, który ma doradzać zarządowi w kwestii znaczenia technologii informacyjnej dla bezpieczeństwa i rozwoju wewnętrznego EIOD.
Artykuł 50
Zarządzanie jakością
EIOD ustanawia odpowiednie mechanizmy zapewniające odpowiednie zarządzanie jakością, takie jak wewnętrzne standardy kontroli, coroczne sprawozdanie z działalności oraz zarządzanie ryzykiem.
Artykuł 51
Inspektor ochrony danych
Zgodnie z art. 24 rozporządzenia EIOD powołuje własnego inspektora ochrony danych, który podlega bezpośrednio dyrektorowi.
Artykuł 52
Informacje dla społeczeństwa
1. EIOD zwiększa świadomość na temat ochrony danych i informuje osoby fizyczne o istnieniu i treści przysługujących im praw. W tym celu EIOD wykorzystuje różne narzędzia komunikacyjne (np. stronę internetową, biuletyn, media społecznościowe i akcje zwiększające świadomość), kontaktuje się z zainteresowanymi stronami (np. wizyty badawcze w biurach EIOD, odpowiedzi na zapytania o informacje) i uczestniczy w wydarzeniach publicznych, spotkaniach i konferencjach.
2. EIOD powiadamia media o najważniejszych wydarzeniach z zakresu ochrony danych oraz o ważnych opiniach lub publikacjach za pomocą komunikatów prasowych, wywiadów i konferencji prasowych.
Artykuł 53
Dokumentacja
1. Prowadzone są dokładne i autentyczne zapisy wszystkich działań podejmowanych przez EIOD, zapewniające wiarygodne i prawnie weryfikowalne źródło dowodów uzasadniających decyzje i czynności.
2. Dokumenty dotyczące poszczególnych działań są grupowane razem w aktach spraw. Akta spraw są logicznie dostępne, z podziałem na rodzaj działania, za pomocą systemu przechowywania akt ustanowionego przez EIOD.
3. Poszczególne rodzaje akt spraw są przechowywane przez określony czas zgodnie z harmonogramem przechowywania ustanowionym przez EIOD. Po upływie okresu przechowywania akta spraw są sprawdzane i archiwizowane zgodnie z regulaminem archiwizacji przyjętym przez EIOD.
Artykuł 54
Czynne ujawnianie dokumentów
1. Zasadniczo, wszystkie kluczowe dokumenty programowe, wytyczne tematyczne, opinie na temat wniosków ustawodawczych, uwagi formalne, pisma procesowe dotyczące rozpraw sądowych i opinie w sprawie kontroli wstępnych są publikowane na stronie internetowej EIOD.
2. Opinie wynikające z konsultacji administracyjnych są publikowane na stronie internetowej EIOD, jeżeli mają szersze znaczenie, zawierają nową interpretację lub nowe zastosowanie prawa lub dotyczą wpływu nowych technologii na prawa podmiotów danych.
Artykuł 55
Publikacja w Dzienniku Urzędowym
Następujące dokumenty są publikowane w Dzienniku Urzędowym Unii Europejskiej:
a) streszczenia opinii w sprawie wniosków ustawodawczych, o których mowa w art. 28 ust. 3;
b) decyzje i opinie EIOD lub ich streszczenia, o których mowa w art. 9 ust. 7, art. 10 ust. 2 lit. b), art. 10 ust. 4, 5 i 6, art. 12 ust. 2, art. 19 i art. 37 ust. 2 rozporządzenia;
c) inne dokumenty, jakie EIOD uzna za stosowne.
Artykuł 56
Publiczny dostęp do dokumentów
Dokumenty będące w posiadaniu EIOD są dostępne dla społeczeństwa zgodnie z zasadami określonymi w rozporządzeniu (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (5).
Artykuł 57
Uwierzytelnienie decyzji
1. Decyzje są uwierzytelniane poprzez złożenie podpisu przez inspektora na oryginalnej wersji językowej.
2. Taki podpis może być własnoręczny lub w formie elektronicznej.
Artykuł 58
Języki i języki robocze
1. Językiem postępowań prowadzonych przez EIOD jest jeden z języków wymienionych w art. 55 ust. 1 Traktatu o Unii Europejskiej. W przypadku skargi jest to język, w którym została sporządzona skarga.
2. Sprawozdania, opinie, druki i inne dokumenty, przeznaczone również do publikacji na stronie internetowej EIOD, sporządzane są co najmniej w języku angielskim, francuskim i niemieckim.
Artykuł 59
Personel
1. Członkowie personelu EIOD są zatrudniani zgodnie z regulaminem pracowniczym i warunkami zatrudnienia innych pracowników Unii Europejskiej.
2. Aby zwiększyć współpracę z organami krajowymi, w szczególności z krajowymi organami ds. ochrony danych, w EIOD ustanawia się program delegowania pracowników.
3. Ustanawia się program praktyk zawodowych, aby umożliwić nowym absolwentom szkół wyższych zdobycie praktycznego doświadczenia dotyczącego funkcjonowania EIOD i, ogólnie, Unii Europejskiej.
4. Dopuszcza się zatrudnianie pracowników tymczasowych i inne formy pomocy zewnętrznej w celu zaspokojenia tymczasowych potrzeb.
Artykuł 60
Rada pracownicza
1. Należy w odpowiednim czasie zasięgnąć opinii rady pracowniczej reprezentującej personel EIOD w sprawie projektów decyzji dotyczących wdrożenia regulaminu pracowniczego urzędników Unii Europejskiej; z radą można się też konsultować we wszelkich innych sprawach o znaczeniu ogólnym dla personelu. Rada pracownicza jest powiadamiana o wszelkich zapytaniach dotyczących wykonywania jej zadań. Rada wydaje opinie w terminie 15 dni od konsultacji.
2. Rada pracownicza przyczynia się do dobrego funkcjonowania EIOD poprzez składanie wniosków dotyczących spraw organizacyjnych i warunków pracy.
3. Rada pracownicza składa się z trzech członków i trzech zastępców i jest wybierana na okres dwóch lat przez zgromadzenie ogólne.
Artykuł 61
Współpraca administracyjna z innymi instytucjami
1. Dyrektor, jako kierownik sekretariatu, reprezentuje EIOD na różnych forach międzyinstytucjonalnych i może przekazać to prawo urzędnikom odpowiedzialnym za zasoby ludzkie, budżet i administrację.
2. Z uwagi na wielkość EIOD w porównaniu z innymi instytucjami, aby zapewnić dobre zarządzanie i oszczędności budżetowe, EIOD aktywnie dąży do zawierania umów o współpracę, porozumień i umów o gwarantowanym poziomie usług z innymi instytucjami.
ROZDZIAŁ IX
PRZEPISY KOŃCOWE
Artykuł 62
Wejście w życie
Niniejszy regulamin wewnętrzny wchodzi w życie następnego dnia po jego podpisaniu i jest publikowany w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 17 grudnia 2012 r.
| Peter HUSTINX |
Europejski Inspektor Ochrony Danych |
(1) Dz.U. L 8 z 12.1.2001, s. 1.
(2) Dz.U. L 183 z 12.7.2002, s. 1.
(3) Dz.U. C 27 z 7.2.2007, s. 1.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00