22.7.2008

DA

Den Europæiske Unions Tidende

L 193/7

---

KOMMISSIONENS AFGØRELSE

af 3. juni 2008

om vedtagelse af gennemførelsesbestemmelser vedrørende den databeskyttelsesansvarlige i medfør af artikel 24, stk. 8, i forordning (EF) nr. 45/2001 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger

(2008/597/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR —

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (1), særlig artikel 24, stk. 8, og bilaget, og

ud fra følgende betragtninger:

(1)	Forordning (EF) nr. 45/2001 (herefter benævnt »forordningen«) fastsætter principper og regler for alle fællesskabsinstitutioner og -organer og fastsætter, at hver fællesskabsinstitution og hvert fællesskabsorgan skal udpege en databeskyttelsesansvarlig.

(2)

Ifølge forordningens artikel 24, stk. 8, skal yderligere gennemførelsesbestemmelser vedrørende den databeskyttelsesansvarlige vedtages af de enkelte fællesskabsinstitutioner og -organer i overensstemmelse med bestemmelserne i bilaget. Disse gennemførelsesbestemmelser skal navnlig vedrøre den databeskyttelsesansvarliges hverv, opgaver og beføjelser.

(3)	Kommissionens afgørelse K(2002) 510 (2) af 18. februar 2002 oprettede stillingen som databeskyttelsesansvarlig for Kommissionen og pålagde den databeskyttelsesansvarlige at foreslå yderligere gennemførelsesbestemmelser efter høring af generaldirektoraterne og baseret på deres behov og erfaringer —

TRUFFET FØLGENDE AFGØRELSE:

AFDELING 1

GENERELLE BESTEMMELSER

Artikel 1

Definitioner

Uden at det berører definitionerne i forordningen gælder følgende definitioner i denne afgørelse:

—	»Databeskyttelseskoordinator« er det medlem af personalet i et generaldirektorat eller en tjenestegren, som generaldirektøren har udpeget til at koordinere alle aspekter vedrørende beskyttelse af personoplysninger i generaldirektoratet.

—	»Registeransvarlig«, som defineret i artikel 2, litra d), og som henvist til i artikel 25, stk. 2, litra a), er den tjenestemand, som har ansvaret for den organisatoriske enhed, der fastsætter formålet med og fremgangsmåden for behandling af personoplysninger.

Artikel 2

Anvendelsesområde

Denne afgørelse fastsætter regler og procedurer for gennemførelsen af den databeskyttelsesansvarliges opgaver i Kommissionen i medfør af forordningens artikel 24, stk. 8. Afgørelsen finder ikke anvendelse på Kommissionens aktiviteter i relation til fastsættelse af politikker for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

AFDELING 2

DEN DATABESKYTTELSESANSVARLIGE

Artikel 3

Udnævnelse og status

1.   Kommissionen udnævner den databeskyttelsesansvarlige og underretter derefter den europæiske tilsynsførende for databeskyttelse.

2.   Den databeskyttelsesansvarlige udnævnes for fem år og kan genudnævnes én gang.

3.   Den databeskyttelsesansvarlige handler i fuld uafhængighed, hvad angår den interne anvendelse af forordningens bestemmelser og må ikke modtage instrukser vedrørende udførelsen af sine opgaver.

4.   Den databeskyttelsesansvarlige udvælges blandt Kommissionens ansatte ifølge de gældende procedurer. Ud over kravene i forordningens artikel 24, stk. 2, skal den databeskyttelsesansvarlige have et godt kendskab til Kommissionens tjenestegrene og deres struktur, administrative regler og procedurer. Den databeskyttelsesansvarlige skal have et godt kendskab til systemer, principper og metoder inden for databeskyttelse og information. Den databeskyttelsesansvarlige skal udvise sund dømmekraft og evne til at bevare en upartisk og objektiv indstilling i overensstemmelse med personalevedtægten.

5.   I overensstemmelse med forordningen kan den databeskyttelsesansvarlige kun afskediges fra sit embede i Kommissionen med samtykke fra den europæiske tilsynsførende for databeskyttelse, hvis vedkommende ikke længere opfylder de krav, der er nødvendige for udførelsen af hans/hendes opgaver. Efter forslag fra Generalsekretariatet i samråd med generaldirektøren for personale og administration fastslår Kommissionen, at den databeskyttelsesansvarlige ikke længere opfylder de krav, der er nødvendige for udførelsen af hans/hendes opgaver.

6.   Med forbehold af de relevante bestemmelser i forordningen er den databeskyttelsesansvarlige og dennes medarbejdere underlagt de regler og forskrifter, der gælder for tjenestemænd i De Europæiske Fællesskaber.

Artikel 4

Opgaver

1.   Uden at det berører de opgaver, der er beskrevet i forordningens artikel 24 og i bilaget, bidrager den databeskyttelsesansvarlige til at skabe en kultur for beskyttelse af personoplysninger i Kommissionen ved at øge det generelle kendskab til databeskyttelse, samtidig med at der sikres balance mellem principperne for beskyttelse af personoplysninger og åbenhed.

2.   Den databeskyttelsesansvarlige fører en fortegnelse over alle Kommissionens behandlinger af personoplysninger, hvor databeskyttelseskoordinatorerne for deres respektive generaldirektorater opfører alle behandlinger, der skal anmeldes. Databeskyttelseskoordinatorerne udpeger også den registeransvarlige for disse behandlinger af personoplysninger. Den databeskyttelsesansvarlige bistår den registeransvarlige med at vurdere risikoen ved de behandlinger, han/hun har ansvaret for, og overvåge gennemførelsen af forordningen i Kommissionen, bl.a. gennem årlige statusrapporter om databeskyttelse.

3.   Den databeskyttelsesansvarlige arrangerer og leder de regelmæssige møder i netværket af databeskyttelseskoordinatorer.

4.   Den databeskyttelsesansvarlige offentliggør registret over behandlinger af personoplysninger ifølge forordningens artikel 26 på Kommissionens interne og eksterne websteder.

5.   Den databeskyttelsesansvarlige kan fremsætte anbefalinger og rådgive Kommissionen og de registeransvarlige om spørgsmål vedrørende anvendelsen af bestemmelserne om databeskyttelse og kan efter anmodning eller på eget initiativ foretage undersøgelser af spørgsmål og anliggender, der har direkte tilknytning til hans/hendes opgaver, og rapportere tilbage til den person, der har anmodet om undersøgelsen, i overensstemmelse med proceduren i artikel 13. Hvis den person, der har anmodet om undersøgelsen, er en fysisk person eller handler på vegne af en fysisk person, skal den databeskyttelsesansvarlige i videst muligt omfang sikre, at anmodningen behandles fortroligt, medmindre den registrerede utvetydigt har givet sit samtykke til, at anmodningen behandles på anden måde.

6.   Personaleudvalgenes behandling af personoplysninger falder ind under ansvarsområdet for Kommissionens databeskyttelsesansvarlige. Med henblik på artikel 6 nedenfor videregiver den databeskyttelsesansvarlige alle oplysninger til formanden for det berørte personaleudvalg i stedet for generalsekretæren, når der opstår spørgsmål vedrørende det berørte personaleudvalgs behandlinger af personoplysninger.

7.   Uden at det berører den databeskyttelsesansvarliges uafhængighed, kan generalsekretæren på Kommissionens vegne anmode om, at denne repræsenterer institutionen i alle spørgsmål vedrørende databeskyttelse. Dette kan indebære, at den databeskyttelsesansvarlige skal deltage i relevante udvalg og organer på internationalt plan.

Artikel 5

Hverv

1.   Ud over de generelle opgaver skal den databeskyttelsesansvarlige:

a)	hvert år fremlægge en statusrapport om databeskyttelse i Kommissionen for generalsekretæren og generaldirektøren for personale og administration til drøftelse på passende niveau, f.eks. på generaldirektørernes regelmæssige møde. Rapporten skal stilles til rådighed for Kommissionens personale

b)	ved udøvelsen af sit hverv samarbejde med de databeskyttelsesansvarlige i andre fællesskabsinstitutioner og -organer, navnlig ved at udveksle erfaringer og god praksis.

2.   Ved behandling af personoplysninger, som falder under den databeskyttelsesansvarliges ansvar, skal denne fungere som registeransvarlig.

Artikel 6

Beføjelser

Uden at det berører de beføjelser, den databeskyttelsesansvarlige er tillagt ifølge forordningen, kan denne ved udførelsen af sine opgaver:

a)	anmode Kommissionens Juridiske Tjeneste om juridiske udtalelser

b)	ved en konflikt vedrørende fortolkningen eller gennemførelsen af forordningen underrette det kompetente ledelsesniveau og generalsekretæren, før sagen henvises til den europæiske tilsynsførende for databeskyttelse

c)

underrette generalsekretæren, hvis — en ansat ikke opfylder sine forpligtelser ifølge forordningen — registeransvarlige ikke overholder Kommissionens interne kontrolstandarder, der specifikt vedrører forpligtelserne ifølge forordningen, og foreslå, at der indledes en administrativ undersøgelse med henblik på anvendelse af forordningens artikel 49

d)	undersøge spørgsmål og anliggender med direkte tilknytning til hans/hendes opgaver under anvendelse af de relevante principper for undersøgelser og revisioner i Kommissionen og den procedure, der er beskrevet i artikel 13 i denne afgørelse

e)	til enhver tid få adgang til de oplysninger, der indgår i en behandling af personoplysninger, og til alle kontorer, databehandlingsanlæg og databærere.

Artikel 7

Ressourcer

Kommissionen stiller de ressourcer til rådighed for den databeskyttelsesansvarlige, som er nødvendige for udførelsen af hans/hendes hverv.

AFDELING 3

REGLER OG PROCEDURER

Artikel 8

Underretning

1.   Den databeskyttelsesansvarlige skal straks underrettes af den ansvarlige afdeling, når et spørgsmål, der vedrører databeskyttelse, er til behandling i Kommissionens tjenestegrene, og senest før der træffes en beslutning.

2.   Når Kommissionen hører og underretter den europæiske tilsynsførende for databeskyttelse ifølge de relevante artikler i forordningen, navnlig artikel 28, stk. 1, og artikel 28, stk. 2, skal den databeskyttelsesansvarlige underrettes. Han/hun skal også underrettes om direkte kontakter mellem Kommissionens registeransvarlige og den europæiske tilsynsførende for databeskyttelse i medfør af de relevante artikler i forordningen.

3.   Den databeskyttelsesansvarlige skal underrettes af den ansvarlige tjenestegren eller af Juridisk Tjeneste om udtalelser og positionspapirer fra Juridisk Tjeneste, der direkte vedrører den interne anvendelse af forordningens bestemmelser, og om udtalelser vedrørende fortolkningen eller gennemførelsen af andre retsakter vedrørende beskyttelse af personoplysninger og behandlingen heraf, navnlig i forbindelse med høring på tværs af tjenestegrenene og adgang til oplysninger.

Artikel 9

Registeransvarlige

1.   Uden at det berører bestemmelserne i forordningen om de registeransvarliges forpligtelser, skal disse:

a)	uden ophør udarbejde anmeldelser til den databeskyttelsesansvarlige for alle eksisterende behandlinger af personoplysninger, som endnu ikke er anmeldt

b)	eventuelt høre den databeskyttelsesansvarlige om, hvorvidt behandlingerne er i overensstemmelse med reglerne, navnlig hvis der er tvivl om en sådan overensstemmelse

c)	samarbejde med databeskyttelseskoordinatoren om oprettelsen af en fortegnelse over generaldirektoratets eksisterende behandlinger af personoplysninger.

2.   Den registeransvarlige kan uddelegere nogle af sine opgaver til andre personer, der optræder som delegerede registeransvarlige under dennes myndighed og ansvar.

Artikel 10

Registerførere

Registerførere i Kommissionen, der behandler personoplysninger på vegne af de registeransvarlige, handler udelukkende efter instruks fra de registeransvarlige ifølge en skriftlig aftale og behandler personoplysningerne i nøje overensstemmelse med forordningen og anden gældende lovgivning om databeskyttelse. En skriftlig aftale mellem organisatoriske enheder i Kommissionen betragtes som et retligt bindende dokument ifølge forordningens artikel 23, stk. 2.

Der skal indgås formelle kontrakter med eksterne registerførere. Sådanne kontrakter skal opfylde de specifikke krav, der er nævnt i forordningens artikel 23, stk. 2.

Artikel 11

Anmeldelser

De registeransvarlige bruger Kommissionens online-anmeldelsessystem, der er tilgængeligt via den databeskyttelsesansvarliges websted på Kommissionens intranet, til at fremsende deres anmeldelser til den databeskyttelsesansvarlige.

Til forenklede behandlinger af ikke-følsomme personoplysninger giver systemet mulighed for en forenklet anmeldelse.

Artikel 12

Register

Det elektroniske register over Kommissionens behandling af personoplysninger, jf. artikel 4, stk. 4, er tilgængeligt via den databeskyttelsesansvarliges websted på Kommissionens intranet for alle ansatte i fællesskabsinstitutioner og -organer og på EUROPA-webstedet for alle med adgang til internettet. Personer, der ikke har adgang til internettet, kan anmode om uddrag fra registret ved skriftlig henvendelse til den databeskyttelsesansvarlige, som skal svare inden for en frist på ti arbejdsdage.

Artikel 13

Undersøgelsesprocedure

1.   Anmodninger om en undersøgelse ifølge denne afgørelses artikel 4, stk. 5, skal fremsættes skriftligt til den databeskyttelsesansvarlige. Den databeskyttelsesansvarlige sender inden 15 dage efter modtagelsen af anmodningen en kvittering for modtagelse til den person, der har anmodet om undersøgelsen, og kontrollerer, om anmodningen skal behandles fortroligt. I tilfælde af åbenlyst misbrug af retten til at anmode om en undersøgelse, er den databeskyttelsesansvarlige ikke forpligtet til at besvare anmodningen.

2.   Den databeskyttelsesansvarlige anmoder den registeransvarlige, som forestår behandlingen, om at fremsætte en skriftlig udtalelse om spørgsmålet. Den registeransvarlige sender sit svar til den databeskyttelsesansvarlige inden for en frist på 15 arbejdsdage. Den databeskyttelsesansvarlige kan udbede sig yderligere oplysninger fra den registeransvarlige eller andre parter inden for en frist på 15 dage. Om fornødent kan den databeskyttelsesansvarlige anmode Juridisk Tjeneste om en udtalelse. Udtalelsen sendes til den databeskyttelsesansvarlige inden for en frist på 30 arbejdsdage.

3.   Den databeskyttelsesansvarlige aflægger rapport til den person, der har anmodet om undersøgelsen, senest tre måneder efter modtagelsen af anmodningen. Denne frist kan suspenderes, indtil den databeskyttelsesansvarlige har modtaget de oplysninger, han/hun har anmodet om.

4.   Ingen må lide skade som følge af at have bragt et spørgsmål om en påstået overtrædelse af bestemmelserne i forordningen til den databeskyttelsesansvarliges kendskab.

Artikel 14

Databeskyttelseskoordinatorer

1.   Der udnævnes en databeskyttelseskoordinator i hvert generaldirektorat eller tjenestegren af generaldirektøren eller chefen for tjenestegrenen. For at opnå større konsekvens og effektivitet kan flere generaldirektorater eller tjenestegrene på basis af en skriftlig aftale beslutte at udnævne en fælles databeskyttelseskoordinator eller benytte sig af en allerede udnævnt databeskyttelseskoordinators tjenester.

2.   Databeskyttelseskoordinatorens opgaver kan eventuelt kombineres med andre opgaver. For at erhverve den kompetence, der er nødvendig for at udføre opgaverne, skal databeskyttelseskoordinatoren følge en obligatorisk uddannelse for databeskyttelseskoordinatorer inden seks måneder efter udnævnelsen.

3.   Databeskyttelseskoordinatoren udnævnes for en tidsubegrænset periode. Databeskyttelseskoordinatoren bør udvælges på passende hierarkisk niveau på grundlag af sin faglige etik, kendskab til og erfaringer med generaldirektoratets drift og sin motivation for opgaverne. Han/hun skal have indsigt i principperne for informationssystemer.

4.   Med forbehold af den databeskyttelsesansvarliges ansvarsområder skal databeskyttelseskoordinatoren:

a)

oprette en fortegnelse over generaldirektoratets behandlinger af personoplysninger, ajourføre det og bistå med at definere et passende risikoniveau for hver behandling. Databeskyttelseskoordinatoren skal bruge det system til registerhåndtering, som den databeskyttelsesansvarlige har oprettet i den henseende på sit websted på Kommissionens intranet

b)	bistå generaldirektøren eller sin chef med at anvise de respektive registeransvarlige

c)	have ret til at få den nødvendige og tilstrækkelige information fra de registeransvarlige. Dette omfatter ikke adgang til personoplysninger, der behandles under den registeransvarliges ansvar.

5.   Med forbehold af den registeransvarliges ansvarsområder skal databeskyttelseskoordinatoren:

a)	bistå de registeransvarlige med at opfylde deres retlige forpligtelser

b)	bistå de registeransvarlige med at udarbejde anmeldelser

c)	indlæse de forenklede anmeldelser i den databeskyttelsesansvarliges online-anmeldelsessystem.

6.   Databeskyttelseskoordinatoren deltager i de regelmæssige møder i databeskyttelseskoordinatorernes netværk, der ledes af den databeskyttelsesansvarlige, for at sikre en sammenhængende gennemførelse og fortolkning af forordningen i Kommissionen og drøfte spørgsmål af fælles interesse.

7.   Databeskyttelseskoordinatoren kan ved udførelsen af sine opgaver anmode den databeskyttelsesansvarlige om anbefalinger, råd og udtalelser.

Artikel 15

Administration og forvaltning

1.   Den databeskyttelsesansvarlige tilknyttes administrativt Generalsekretariatet, og hans/hendes aktiviteter indgår i den aktivitetsbaserede budgetlægning og forvaltning under Generalsekretariatets aktivitet 7: Relationer med civilsamfundet, åbenhed og information. I den forbindelse deltager den databeskyttelsesansvarlige i udarbejdelsen af den årlige forvaltningsplan og Generalsekretariatets foreløbige budgetforslag.

2.   Den databeskyttelsesansvarlige udarbejder bedømmelsen for sit sekretariatspersonale og for den stedfortrædende databeskyttelsesansvarlige. Vicegeneralsekretæren er medbedømmer.

3.   Den databeskyttelsesansvarlige deltager om fornødent i koordineringen af Generalsekretariatets forvaltning.

AFDELING 4

AFSLUTTENDE BESTEMMELSER

Artikel 16

Ikrafttrædelse

Denne afgørelse træder i kraft den 3. juni 2008.

---

(1)  EFT L 8 af 12.1.2001, s. 1.

(2)  Endnu ikke offentliggjort i EU-Tidende.

---