DECYZJA KOMISJI
z dnia 12 grudnia 2007 r.
w sprawie wdrożenia systemu wymiany informacji rynku wewnętrznego (IMI) pod względem ochrony danych osobowych
(notyfikowana jako dokument nr C(2007) 6306)
(Tekst mający znaczenie dla EOG)
(2008/49/WE)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając decyzję 2004/387/WE Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. w sprawie interoperatywnego świadczenia ogólnoeuropejskich usług eGovernment dla administracji publicznej, przedsiębiorstw i obywateli (IDABC) (1), w szczególności jej art. 4,
a także mając na uwadze, co następuje:
(1) W dniu 17 marca 2006 r. przedstawiciele państw członkowskich wchodzący w skład Komitetu Doradczego ds. Koordynacji w zakresie Rynku Wewnętrznego (2) zatwierdzili ogólny plan wdrożenia systemu wymiany informacji rynku wewnętrznego, zwanego dalej „systemem IMI”, oraz jego rozwoju ukierunkowanego na poprawę komunikacji między organami administracji państw członkowskich.
(2) W swojej decyzji COM/2006/3606 z dnia 14 sierpnia 2006 r. w sprawie trzeciego przeglądu programu prac IDABC na lata 2005-2009 Komisja postanowiła o finansowaniu i utworzeniu systemu wymiany informacji rynku wewnętrznego jako projektu stanowiącego przedmiot wspólnego zainteresowania.
(3) Dalsze finansowanie zapewniono decyzją Komisji COM/2007/3514 z dnia 25 lipca 2007 r. w sprawie czwartego przeglądu programu prac IDABC.
(4) System IMI ma stanowić wsparcie we wdrażaniu aktów prawnych z dziedziny rynku wewnętrznego wymagających wymiany informacji między organami administracji państw członkowskich, w tym dyrektywy 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotyczącej usług na rynku wewnętrznym (3) oraz dyrektywy 2005/36/WE Parlamentu Europejskiego i Rady z dnia 7 września 2005 r. w sprawie uznawania kwalifikacji zawodowych (4).
(5) Ponieważ w ramach systemu IMI należy zagwarantować ochronę danych osobowych, konieczne jest uzupełnienie pod tym względem decyzji ustanawiającej system IMI. Ponieważ różne zadania i funkcje Komisji oraz państw członkowskich w odniesieniu do systemu IMI pociągną za sobą różny zakres odpowiedzialności i obowiązków związanych z zasadami ochrony danych, niezbędne jest określenie ich odpowiednich funkcji, zakresu obowiązków i praw dostępu.
(6) W opinii grupy roboczej „artykuł 29” ds. zagadnień ochrony danych związanych z systemem wymiany informacji rynku wewnętrznego (IMI) (5) wyraźnie wzywa się do przyjęcia decyzji Komisji określającej prawa i obowiązki uczestników systemu IMI.
(7) Wymiana informacji drogą elektroniczną między państwami członkowskimi powinna być zgodna z zasadami ochrony danych zawartymi w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (6) oraz w rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (7).
(8) Ze względu na potrzebę zapewnienia możliwości rozwiązania dalszych kwestii między właściwymi organami oraz z uwagi na sytuacje, gdy osoba, której dane dotyczą, pragnie odwołać się od odmownej decyzji administracyjnej podjętej na podstawie wymiany informacji, wszystkie dane osobowe wymieniane między właściwymi organami i przetwarzane w systemie IMI powinny być zachowywane przez sześć miesięcy od formalnego zakończenia wymiany danych. Po upływie sześciu miesięcy wszystkie dane powinny zostać usunięte. Sześciomiesięczny okres przechowywania danych uważa się za właściwy, ponieważ odpowiada on czasowi trwania procedur administracyjnych przewidzianemu w przepisach prawa wspólnotowego, na podstawie których wymieniane są informacje,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
ROZDZIAŁ 1
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot
Niniejsza decyzja określa funkcje, prawa i obowiązki uczestników systemu IMI oraz użytkowników systemu IMI, o których mowa w art. 6, w odniesieniu do wymogów ochrony danych dotyczących działania systemu wymiany informacji rynku wewnętrznego, zwanego dalej systemem „IMI”.
Artykuł 2
Jakość danych
Właściwe organy państw członkowskich wymieniają, a następnie przetwarzają dane osobowe, wyłącznie w celach określonych w odpowiednich wspólnotowych aktach prawnych określonych w załączniku, na podstawie których informacje są wymieniane, zwanych dalej „odpowiednimi wspólnotowymi aktami prawnymi”.
Wnioski i odpowiedzi na wnioski o informacje od właściwych organów jednego do właściwych organów innego państwa członkowskiego są oparte na pytaniach sformułowanych w wielu językach oraz na polach danych, określonych na potrzeby systemu IMI, a opracowanych przez Komisję we współpracy z państwami członkowskimi.
Artykuł 3
Administratorzy danych
Obowiązki administratora danych przewidziane w art. 2 ust. 2 lit. d) dyrektywy 95/46/WE oraz art. 2 lit. d) rozporządzenia (WE) nr 45/2001 sprawują wspólnie uczestnicy systemu IMI, o których mowa w art. 6, zgodnie z posiadanym przez nich odpowiednim zakresem obowiązków w ramach systemu IMI.
Administratorzy danych gwarantują osobom, których dane dotyczą, rzeczywiste wykonywanie prawa do informacji, dostępu do nich i ich poprawiania, a także do wnoszenia sprzeciwu zgodnie z odpowiednimi przepisami dotyczącymi ochrony danych. Uczestnicy systemu IMI przedkładają w odpowiedniej formie oświadczenia o zapewnieniu prywatności.
Artykuł 4
Przechowywanie danych osobowych osób, których dotyczy wymiana informacji
Wszystkie wymieniane między właściwymi organami i przetwarzane w systemie IMI dane osobowe osób, których dotyczy wymiana informacji, usuwa się po sześciu miesiącach od formalnego zakończenia wymiany informacji, chyba że właściwe organy zwrócą się do Komisji z wyraźnym wnioskiem o ich usunięcie przed upływem tego okresu.
W przypadku wystąpienia z takim wnioskiem Komisja podejmuje odpowiednie działania w ciągu 10 dni roboczych z zastrzeżeniem zgody drugiego właściwego organu uczestniczącego w wymianie informacji.
Artykuł 5
Przechowywanie danych osobowych użytkowników systemu IMI
Dane osobowe użytkowników systemu IMI, o których mowa w art. 6, są przechowywane w systemie IMI tak długo, jak są oni użytkownikami systemu IMI, a usuwane przez właściwy organ z chwilą, gdy przestają być oni użytkownikami tego systemu.
Dane osobowe, o których mowa w akapicie pierwszym, obejmują pełne imię i nazwisko, adres poczty elektronicznej w miejscu pracy oraz numery telefonu i faksu użytkowników systemu IMI w ich miejscu pracy.
ROZDZIAŁ 2
FUNKCJE I OBOWIĄZKI ZWIĄZANE Z SYSTEMEM IMI
Artykuł 6
Uczestnicy i użytkownicy systemu IMI
1. Uczestnikami systemu IMI są:
a) właściwe organy państw członkowskich określone w art. 7;
b) koordynatorzy określeni w art. 8;
c) Komisja.
2. Z systemu IMI mogą korzystać zgodnie z art. 9 jedynie osoby fizyczne pod nadzorem właściwego organu lub koordynatora, zwane dalej „użytkownikami systemu IMI”.
Artykuł 7
Właściwe organy
Do celów określonych w odpowiednim wspólnotowym akcie prawnym, na podstawie którego wymieniane są informacje, właściwe organy zapewniają wymianę stosownych danych w ramach systemu IMI.
Artykuł 8
Koordynatorzy systemu IMI
1. Każde państwo członkowskie wyznacza jednego krajowego koordynatora systemu IMI w celu zapewnienia wdrażania systemu IMI na poziomie krajowym.
Każde państwo członkowskie może dodatkowo wyznaczyć jednego lub większą liczbę delegowanych koordynatorów systemu IMI, stosownie do własnej wewnętrznej struktury administracyjnej, powierzając im pełnienie obowiązków koordynacyjnych w odniesieniu do określonej dziedziny prawnej, jednostki administracyjnej lub regionu geograficznego.
2. Komisja rejestruje w systemie IMI krajowych koordynatorów systemu IMI i przyznaje im prawo dostępu do tego systemu.
3. Jeżeli państwo członkowskie wyznaczy delegowanego koordynatora systemu IMI zgodnie z ust. 1, krajowy koordynator systemu IMI rejestruje w systemie delegowanego koordynatora IMI, przyznając mu prawo dostępu do systemu.
4. Koordynatorzy rejestrują lub uwierzytelniają rejestrację właściwych organów wymagających dostępu do systemu IMI oraz zapewniają jego sprawne działanie. Przyznają oni właściwym organom prawo dostępu w dziedzinach prawnych leżących w zakresie ich kompetencji.
5. Wszyscy koordynatorzy mogą pełnić rolę właściwych organów. W takich przypadkach koordynator korzysta z takich samych praw dostępu, jak właściwy organ.
Artykuł 9
Role użytkowników systemu IMI
1. Użytkownicy systemu IMI mogą pełnić jedną lub więcej spośród następujących ról: osoba zajmująca się wnioskami, osoba przydzielająca wnioski, osoba odpowiedzialna za nadzór i lokalny administrator danych.
2. Każdemu użytkownikowi systemu IMI przyznaje się określony zakres praw dostępu związany z jego rolą użytkownika, jak określono w art. 12.
3. Wszyscy użytkownicy systemu IMI mogą wyszukiwać określone właściwe organy.
4. Użytkownicy systemu IMI wyznaczeni na osoby zajmujące się wnioskami mogą uczestniczyć w wymianie informacji w imieniu ich właściwego organu.
5. Użytkownicy systemu IMI wyznaczeni na osoby przydzielające wnioski na poziomie właściwego organu mogą przydzielać wnioski o informacje jednej lub większej liczbie osób zajmujących się wnioskami w ramach tego organu.
Użytkownicy systemu IMI wyznaczeni na osoby przydzielające wnioski na poziomie koordynatora mogą przydzielać wnioski o informacje jednej lub większej liczbie osób odpowiedzialnych za nadzór w ramach tego organu.
6. Użytkownicy systemu IMI na poziomie koordynatora mogą być wyznaczani na osoby odpowiedzialne za nadzór.
Mogą oni zatwierdzać wysyłanie wniosków lub odpowiedzi przez właściwy organ, jeżeli koordynator wskazał wymóg takiego procesu zatwierdzania, oraz, w przypadku gdy właściwy organ występujący z wnioskiem nie jest zadowolony z odpowiedzi, mogą oni zgodzić się z tą opinią lub się z nią nie zgodzić.
7. Użytkownicy systemu IMI wyznaczeni na lokalnych administratorów danych mogą:
a) aktualizować dane osobowe użytkowników systemu IMI na poziomie własnego organu;
b) rejestrować dodatkowych użytkowników na poziomie własnego organu;
c) zmieniać profile użytkowników na poziomie własnego organu.
Artykuł 10
Komisja
1. Komisja gwarantuje dostępność i utrzymanie infrastruktury informatycznej systemu IMI. Zapewnia ona wielojęzyczny system działający we wszystkich językach urzędowych oraz centralny dział pomocy technicznej, który ma wspierać państwa członkowskie w korzystaniu z systemu IMI.
2. Komisja udostępni publicznie zestawy pytań i pól danych, o których mowa w art. 2 akapit drugi.
3. Komisja może brać udział w wymianie informacji jedynie w szczególnych przypadkach, gdy odpowiedni wspólnotowy akt prawny przewiduje wymianę informacji między państwami członkowskimi a Komisją.
4. W przypadkach, o których mowa w ust. 3, Komisja korzysta z takich samych praw dostępu, jak właściwy organ określony w art. 12.
ROZDZIAŁ 3
PRAWA DOSTĘPU DO DANYCH OSOBOWYCH
Artykuł 11
Osoba, której dotyczą dane
Do celów niniejszego rozdziału „osoba, której dotyczą dane” oznacza jedynie osobę, której dotyczy wymiana informacji, z wyłączeniem użytkowników systemu IMI.
Artykuł 12
Prawa dostępu użytkowników systemu IMI
1. Podczas wymiany informacji osoby zajmujące się wnioskami na poziomie właściwego organu mają wyłącznie dostęp do danych osobowych:
a) innych osób zajmujących się wnioskami na poziomie tego samego właściwego organu uczestniczącego w danej wymianie informacji;
b) osoby zajmującej się wnioskami na poziomie drugiego właściwego organu uczestniczącego w danej wymianie informacji;
c) osób odpowiedzialnych za nadzór na poziomie koordynatorów odpowiedzialnych za daną wymianę informacji;
d) osób, których dotyczy dana wymiana informacji. Osoby zajmujące się wnioskami na poziomie właściwego organu udzielającego odpowiedzi uzyskują dostęp do danych osobowych osób, których dotyczy wymiana informacji, jedynie po przyjęciu wniosku przez ich właściwy organ.
2. Osoby przydzielające wnioski na poziomie właściwego organu mają wyłącznie dostęp do danych osobowych:
a) wszystkich osób zajmujących się wnioskami na poziomie tego samego właściwego organu;
b) osoby zajmującej się wnioskami na poziomie drugiego właściwego organu uczestniczącego w danej wymianie informacji;
c) osób odpowiedzialnych za nadzór na poziomie koordynatorów odpowiedzialnych za daną wymianę informacji.
Nie mają oni dostępu do danych osobowych osób, których dotyczy wymiana informacji.
3. Osoby przydzielające wnioski na poziomie koordynatora mają wyłącznie dostęp do danych osobowych:
a) wszystkich osób odpowiedzialnych za nadzór na poziomie tego samego koordynatora;
b) osób zajmujących się wnioskami na poziomie właściwych organów uczestniczących w danej wymianie informacji;
c) osoby odpowiedzialnej za nadzór na poziomie drugiego koordynatora odpowiedzialnego za daną wymianę informacji.
Nie mają oni dostępu do danych osobowych osób, których dotyczy wymiana informacji.
4. Osoby odpowiedzialne za nadzór mają wyłącznie dostęp do danych osobowych:
a) osób odpowiedzialnych za nadzór na poziomie koordynatorów uczestniczących w danej wymianie informacji;
b) osób zajmujących się wnioskami na poziomie właściwych organów uczestniczących w danej wymianie informacji.
Nie mają oni dostępu do danych osobowych osób, których dotyczy wymiana informacji.
5. Lokalni administratorzy danych na poziomie właściwego organu mają wyłącznie dostęp do danych osobowych wszystkich użytkowników systemu IMI na poziomie tego samego właściwego organu.
Nie mają oni dostępu do danych osobowych osób, których dotyczy wymiana informacji.
6. Lokalni administratorzy danych na poziomie koordynatora mają wyłącznie dostęp do danych osobowych:
a) wszystkich użytkowników systemu IMI na poziomie tego samego koordynatora;
b) wszystkich lokalnych administratorów danych na poziomie właściwych organów i koordynatorów, w odniesieniu do których są oni koordynatorami.
Nie mają oni dostępu do danych osobowych osób, których dotyczy wymiana informacji.
7. Lokalni administratorzy danych na poziomie Komisji mają wyłącznie dostęp do danych osobowych:
a) wszystkich pozostałych lokalnych administratorów danych na poziomie Komisji;
b) wszystkich lokalnych administratorów danych na poziomie krajowych koordynatorów systemu IMI.
Zgodnie z art. 4 lokalni administratorzy danych na poziomie Komisji mogą usuwać dane osobowe osób, których dotyczy wymiana informacji, ale nie mają możliwości podglądu tych danych.
ROZDZIAŁ 4
PRZEPIS KOŃCOWY
Artykuł 13
Adresaci
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli, dnia 12 grudnia 2007 r.
W imieniu Komisji |
Charlie McCREEVY |
Członek Komisji |
|
(1) Dz.U. L 144 z 30.4.2004.
(2) Ustanowiony decyzją Komisji 93/72/EWG (Dz.U. L 26 z 3.2.1993, str. 18).
(3) Dz.U. L 376 z 27.12.2006, str. 36.
(4) Dz.U. L 255 z 30.9.2005, str. 22. Dyrektywa ostatnio zmieniona rozporządzeniem Komisji (WE) nr 1430/2007 (Dz.U. L 320 z 6.12.2007, str. 3).
(5) Opinia 01911/07/EN, WP 140.
(6) Dz.U. L 281 z 23.11.1995, str. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz.U. L 284 z 31.10.2003, str. 1).
ZAŁĄCZNIK
Odpowiednie wspólnotowe akty prawne, o których mowa w art. 2
Odpowiednimi wspólnotowymi aktami prawnymi, o których mowa w art. 2 akapit pierwszy, są:
1) dyrektywa 2005/36/WE Parlamentu Europejskiego i Rady z dnia 7 września 2005 r. w sprawie uznawania kwalifikacji zawodowych (1);
2) dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotycząca usług na rynku wewnętrznym (2).
|
(1) Dz.U. L 255 z 30.9.2005, str. 22. Dyrektywa ostatnio zmieniona dyrektywą Rady 2006/100/WE (Dz.U. L 363 z 20.12.2006, str. 141).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00