|
22.7.2008 |
SL |
Uradni list Evropske unije |
L 193/7 |
SKLEP KOMISIJE
z dne 3. junija 2008
o sprejetju izvedbenih pravil v zvezi z uradno osebo za varstvo podatkov v skladu s členom 24(8) Uredbe (ES) št. 45/2001 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov
(2008/597/ES)
KOMISIJA EVROPSKIH SKUPNOSTI JE –
ob upoštevanju Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (1) ter zlasti člena 24(8) Uredbe in Priloge k Uredbi,
ob upoštevanju naslednjega:
|
(1) |
Uredba (ES) št. 45/2001, v nadaljnjem besedilu „Uredba“, določa načela in pravila, ki se uporabljajo za vse institucije in organe Skupnosti, in predvideva, da vsaka institucija in organ Skupnosti imenuje uradno osebo za varstvo podatkov. |
|
(2) |
Člen 24(8) Uredbe določa, da mora posamezna institucija ali organ Skupnosti v skladu z določbami v Prilogi sprejeti nadaljnja izvedbena pravila v zvezi z uradno osebo za varstvo podatkov. Izvedbena pravila se nanašajo predvsem na naloge, dolžnosti in pooblastila uradne osebe za varstvo podatkov. |
|
(3) |
Sklep Komisije C(2002) 510 (2) z dne 18. februarja 2002 ustanavlja položaj uradne osebe za varstvo podatkov Komisije in določa, da mora uradna oseba za varstvo podatkov po posvetu z generalnimi direktorati predlagati nadaljnja izvedbena pravila v skladu z njihovimi potrebami in izkušnjami – |
SKLENILA:
ODDELEK 1
SPLOŠNE DOLOČBE
Člen 1
Opredelitev pojmov
V tem sklepu in brez poseganja v opredelitve pojmov iz Uredbe:
|
— |
„koordinator za varstvo podatkov“ pomeni zaposlenega v generalnem direktoratu ali službi, ki ga imenuje generalni direktor in ki je odgovoren za koordinacijo vseh vidikov varstva osebnih podatkov v generalnem direktoratu, |
|
— |
„upravljavec“, kakor je opredeljen v členu 2(d) in omenjen v členu 25(2)(a), pomeni uradnika, odgovornega za organizacijsko enoto, ki je določila namene in sredstva obdelave osebnih podatkov. |
Člen 2
Področje uporabe
Ta sklep določa pravila in postopke za opravljanje funkcije uradne osebe za varstvo podatkov Komisije v skladu s členom 24(8) Uredbe. Ne uporablja se za dejavnosti Komisije, povezane z določanjem ukrepov v zvezi z varstvom posameznikov glede obdelave osebnih podatkov.
ODDELEK 2
URADNA OSEBA ZA VARSTVO PODATKOV
Člen 3
Imenovanje in status
1. Komisija imenuje uradno osebo za varstvo podatkov (3) in jo vpiše pri evropskem nadzorniku za varstvo podatkov.
2. Mandat uradne osebe za varstvo podatkov traja pet let in se lahko enkrat podaljša.
3. Uradna oseba za varstvo podatkov pri notranji uporabi določb Uredbe ravna neodvisno in ne sme prejeti nobenih navodil v zvezi z opravljanjem svojih dolžnosti.
4. Uradna oseba za varstvo podatkov se izbere med zaposlenimi Komisije v skladu z ustreznimi postopki. Poleg pogojev iz člena 24(2) Uredbe mora uradna oseba za varstvo podatkov dobro poznati službe Komisije in njihovo organiziranost ter upravna pravila in postopke. Imeti mora dobro znanje s področja varstva podatkov ter ustreznih informacijskih sistemov, načel in metodologij. Biti mora sposobna trezno presojati in ohranjati nepristransko in objektivno držo v skladu s kadrovskimi predpisi.
5. V skladu z Uredbo lahko Komisija razreši uradno osebo za varstvo podatkov s položaja, vendar le s soglasjem evropskega nadzornika za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti. Komisija na predlog generalnega sekretarja v soglasju z generalnim direktorjem za kadrovske zadeve in administracijo ugotovi, da uradna oseba za varstvo podatkov ne izpolnjuje več pogojev, potrebnih za opravljanje njenih nalog.
6. Brez poseganja v ustrezne določbe Uredbe veljajo za uradno osebo za varstvo podatkov in njeno osebje pravila in predpisi, ki se uporabljajo za uradnike Evropskih skupnosti.
Člen 4
Naloge
1. Brez poseganja v naloge, opisane v členu 24 Uredbe in v Prilogi k Uredbi, uradna oseba za varstvo podatkov s povečevanjem splošne ozaveščenosti o vprašanjih, povezanih z varstvom podatkov, prispeva k ustvarjanju kulture varstva osebnih podatkov znotraj Komisije ob ohranjanju pravičnega ravnotežja med načelom varstva osebnih podatkov in načelom preglednosti.
2. Uradna oseba za varstvo podatkov vzdržuje seznam vseh postopkov obdelave osebnih podatkov Komisije, v katerega koordinatorji za varstvo podatkov vnašajo za svoje generalne direktorate vse postopke obdelave, ki morajo biti uradno sporočeni uradni osebi za varstvo podatkov. Koordinatorji za varstvo podatkov določijo tudi upravljavca, ki je odgovoren za tovrstne postopke obdelave. Uradna oseba za varstvo podatkov pomaga upravljavcu pri oceni tveganja postopkov obdelave, ki so v njegovi pristojnosti, in pri spremljanju izvajanja Uredbe na Komisiji, zlasti z letnim poročilom o varstvu podatkov.
3. Uradna oseba za varstvo podatkov organizira in vodi redne sestanke mreže koordinatorjev za varstvo podatkov.
4. Uradna oseba za varstvo podatkov izdela katalog postopkov obdelave, predviden v členu 26 Uredbe, ki je dostopen na internih in javno dostopnih spletnih straneh Komisije.
5. Uradna oseba za varstvo podatkov lahko izdaja priporočila in svetuje Komisiji in upravljavcem o zadevah v zvezi z uporabo določb o varstvu podatkov ter lahko na zahtevo ali lastno pobudo preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge, ter poroča osebi, ki je naročila preiskavo, v skladu s postopkom, opisanim v členu 13 tega sklepa. Če je naročnik posameznik ali zastopa posameznika, mora uradna oseba za varstvo podatkov, kolikor je to mogoče, zagotoviti zaupnost zahteve, razen če zadevni posameznik, na katerega se nanašajo osebni podatki, nedvoumno privoli v drugačno obravnavanje zahteve.
6. Obdelava osebnih podatkov s strani kadrovskih odborov spada v pristojnost uradne osebe za varstvo podatkov Komisije. Kadar se pojavi vprašanje v zvezi s postopki obdelave s strani kadrovskega odbora, uradna oseba za varstvo podatkov za namene člena 6 tega sklepa predloži informacije predsedniku zadevnega kadrovskega odbora namesto generalnemu sekretarju.
7. Brez poseganja v neodvisnost uradne osebe za varstvo podatkov lahko generalni sekretar v imenu Komisije zaprosi uradno osebo za varstvo podatkov, da zastopa institucijo v vseh zadevah, povezanih z varstvom podatkov; to lahko vključuje sodelovanje uradne osebe za varstvo podatkov v ustreznih odborih ali organih na mednarodni ravni.
Člen 5
Dolžnosti
1. Poleg splošnih nalog, ki jih mora izpolnjevati, uradna oseba za varstvo podatkov:
|
(a) |
vsako leto predloži generalnemu sekretarju ter generalnemu direktorju za kadrovske zadeve in administracijo poročilo o varstvu podatkov v razpravo na ustrezni ravni, na primer na rednem sestanku generalnih direktorjev; poročilo mora biti dostopno zaposlenim Komisije; |
|
(b) |
pri opravljanju svojih nalog sodeluje z uradnimi osebami za varstvo podatkov drugih institucij in organov, zlasti z izmenjavo izkušenj in najboljših praks. |
2. V postopkih obdelave osebnih podatkov, ki so v njegovi pristojnosti, uradna oseba za varstvo podatkov opravlja funkcijo upravljavca.
Člen 6
Pooblastila
Brez poseganja v pooblastila iz Uredbe uradna oseba za varstvo podatkov pri opravljanju svojih nalog in dolžnosti:
|
(a) |
lahko zaprosi pravno službo Komisije za pravno mnenje; |
|
(b) |
lahko v primeru različnih pogledov glede razlage ali izvajanja Uredbe obvesti pristojno raven vodstva in generalnega sekretarja, preden zadevo preda evropskemu nadzorniku za varstvo podatkov; |
|
(c) |
lahko generalnega sekretarja obvesti:
ter predlaga, da se sproži upravna preiskava zaradi morebitne uporabe člena 49 Uredbe; |
|
(d) |
lahko preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge, pri čemer upošteva ustrezna načela za preiskave in revizije na Komisiji ter postopek, opisan v členu 13 tega sklepa; |
|
(e) |
ima stalen dostop do osebnih podatkov, ki so predmet postopkov obdelave, ter do vseh prostorov, naprav za obdelavo podatkov in nosilcev podatkov. |
Člen 7
Sredstva
Komisija priskrbi uradni osebi za varstvo podatkov potrebna sredstva za opravljanje njenih dolžnosti.
ODDELEK 3
PRAVILA IN POSTOPKI
Člen 8
Obveščanje
1. Vsakič, ko službe Komisije obravnavajo zadevo, ki vpliva na varstvo podatkov, glavna služba nemudoma, najpozneje pa pred sprejetjem morebitnih odločitev, o tem obvesti uradno osebo za varstvo podatkov.
2. Kadar se Komisija posvetuje z evropskim nadzornikom za varstvo podatkov in ga obvešča na podlagi ustreznih členov Uredbe, zlasti členov 28(1) in 28(2), o tem obvesti uradno osebo za varstvo podatkov. Uradna oseba za varstvo podatkov se obvesti tudi o neposrednem sodelovanju med upravljavci Komisije in evropskim nadzornikom za varstvo podatkov v skladu z ustreznimi členi Uredbe.
3. Ustrezna služba (glavna oziroma pravna služba) obvesti uradno osebo za varstvo podatkov o mnenjih in dokumentih o stališčih pravne službe, ki se neposredno nanašajo na notranjo uporabo določb Uredbe, pa tudi o mnenjih, ki se nanašajo na razlago ali izvajanje drugih predpisov, povezanih z varstvom in obdelavo osebnih podatkov, zlasti v povezavi s posvetovanjem med službami ter v povezavi z dostopom do informacij.
Člen 9
Upravljavci
1. Upravljavci brez poseganja v določbe Uredbe glede njihovih obveznosti:
|
(a) |
brez odlašanja pripravijo uradna obvestila za uradno osebo za varstvo podatkov o vseh obstoječih postopkih obdelave, ki še niso bili uradno sporočeni uradni osebi za varstvo podatkov; |
|
(b) |
se po potrebi posvetujejo z uradno osebo za varstvo podatkov glede skladnosti postopkov obdelave z Uredbo, zlasti kadar obstaja dvom o skladnosti; |
|
(c) |
sodelujejo s koordinatorjem za varstvo podatkov pri izdelavi seznama obstoječih postopkov obdelave osebnih podatkov v generalnem direktoratu. |
2. Upravljavec lahko del svojih nalog prenese na druge osebe, ki opravljajo funkcijo namestnika upravljavca po njegovem pooblastilu in na njegovo odgovornost.
Člen 10
Obdelovalci
Obdelovalci na Komisiji, ki morajo v imenu upravljavcev obdelovati osebne podatke, ravnajo le po navodilih upravljavcev, dokumentiranih v pisnem dogovoru, ter obdelujejo take osebne podatke ob doslednem upoštevanju Uredbe in druge veljavne zakonodaje o varstvu podatkov. Pisni dogovor med organizacijskimi enotami Komisije velja za enakovrednega pravno zavezujočemu predpisu v smislu člena 23(2) Uredbe.
Z zunanjimi obdelovalci se sklenejo uradne pogodbe; v takšnih pogodbah so navedene posebne zahteve iz člena 23(2) Uredbe.
Člen 11
Uradno obveščanje
Za predložitev uradnih obvestil uradni osebi za varstvo podatkov upravljavci uporabljajo spletni sistem Komisije za uradno obveščanje, ki je dostopen s spletne strani uradne osebe za varstvo podatkov na intranetu Komisije.
Za preproste postopke obdelave neobčutljivih osebnih podatkov sistem omogoča poenostavljeno uradno obveščanje.
Člen 12
Katalog
Elektronski katalog postopkov obdelave Komisije, omenjen v členu 4(4) tega sklepa, je dostopen prek spletne strani uradne osebe za varstvo podatkov na intranetu Komisije vsem zaposlenim v institucijah in organih Skupnosti ter na spletni strani EUROPA vsakomur, ki ima dostop do interneta. Osebe, ki nimajo dostopa do interneta, lahko pisno zaprosijo uradno osebo za varstvo podatkov za izpisek iz kataloga, uradna oseba za varstvo podatkov pa jim mora odgovoriti v 10 delovnih dneh.
Člen 13
Postopek preiskave
1. Zahtevki za preiskave, omenjeni v členu 4(5) tega sklepa, se naslovijo na uradno osebo za varstvo podatkov v pisni obliki. Uradna oseba za varstvo podatkov v 15 dneh po prejemu zahtevka pošlje potrdilo o prejemu osebi, ki je naročila preiskavo, in preveri, ali je treba zahtevek obravnavati zaupno. Kadar gre za očitno zlorabo pravice do zahtevka za preiskavo, uradna oseba za varstvo podatkov ni dolžna poročati naročniku.
2. Uradna oseba za varstvo podatkov zaprosi upravljavca, ki je odgovoren za zadevni postopek obdelave podatkov, za pisno izjavo o zadevi. Upravljavec predloži svoj odgovor uradni osebi za varstvo podatkov v 15 delovnih dneh. Uradna oseba za varstvo podatkov lahko zaprosi upravljavca in/ali druge osebe za dodatne informacije, ki jih je treba predložiti v 15 dneh. Po potrebi lahko zaprosi pravno službo za mnenje o zadevi. Pravna služba predloži mnenje uradni osebi za varstvo podatkov v 30 delovnih dneh.
3. Uradna oseba za varstvo podatkov poroča osebi, ki je naročila preiskavo, najpozneje tri mesece po prejemu zahtevka. Ta rok se lahko začasno odloži, dokler uradna oseba za varstvo podatkov ne pridobi morebitnih nadaljnjih informacij, za katere je zaprosila.
4. Zaradi zadeve, o kateri je obveščena uradna oseba za varstvo podatkov in katere predmet je kršitev določb Uredbe, nihče ne sme utrpeti škode.
Člen 14
Koordinatorji za varstvo podatkov
1. V vsakem generalnem direktoratu ali službi generalni direktor ali vodja službe imenuje koordinatorja za varstvo podatkov. Na podlagi pisnega dogovora se lahko več generalnih direktoratov, služb ali uradov zaradi večje usklajenosti ali učinkovitosti odloči imenovati skupnega koordinatorja za varstvo podatkov ali uporabljati storitve že imenovanega koordinatorja za varstvo podatkov.
2. Funkcija koordinatorja za varstvo podatkov je po potrebi združljiva z drugimi nalogami. Za pridobitev znanj, potrebnih za opravljanje svojih nalog, se mora koordinator za varstvo podatkov v šestih mesecih od imenovanja udeležiti obveznega izobraževanja za koordinatorje za varstvo podatkov.
3. Trajanje mandata koordinatorja za varstvo podatkov ni omejeno. Koordinatorja za varstvo podatkov je treba izbrati na ustrezni hierarhični ravni na podlagi njegove visoke profesionalne etike, znanja in izkušenj pri delovanju njegovega generalnega direktorata ter motivacije za opravljanje funkcije. Poznati mora načela informacijskih sistemov.
4. Koordinator za varstvo podatkov brez poseganja v pristojnosti uradne osebe za varstvo podatkov:
|
(a) |
izdela seznam postopkov obdelave v generalnem direktoratu, ga posodablja in pomaga določiti ustrezno stopnjo tveganja za vsak postopek obdelave; uporablja spletni sistem za uradno obveščanje, ki ga za te namene vzpostavi uradna oseba za varstvo podatkov na svoji spletni strani na intranetu Komisije; |
|
(b) |
pomaga generalnemu direktorju ali vodji službe pri izbiri upravljavcev za zadevni generalni direktorat ali službo; |
|
(c) |
ima pravico, da od upravljavcev pridobi potrebne in ustrezne informacije. To ne vključuje pravice dostopa do osebnih podatkov, za obdelavo katerih je odgovoren upravljavec. |
5. Koordinator za varstvo podatkov brez poseganja v pristojnosti upravljavca:
|
(a) |
pomaga upravljavcem pri izpolnjevanju njihovih pravnih obveznosti; |
|
(b) |
pomaga upravljavcem pri pripravi uradnih obvestil; |
|
(c) |
vnaša poenostavljena uradna obvestila v spletni sistem za uradno obveščanje uradne osebe za varstvo podatkov. |
6. Koordinator za varstvo podatkov se udeležuje rednih sestankov mreže koordinatorjev za varstvo podatkov, ki jih vodi uradna oseba za varstvo podatkov in ki so namenjeni zagotavljanju usklajenega izvajanja in razlage Uredbe na Komisiji ter razpravljanju o vprašanjih skupnega interesa.
7. Pri opravljanju svojih nalog lahko koordinator za varstvo podatkov zaprosi uradno osebo za varstvo podatkov za priporočilo, nasvet ali mnenje.
Člen 15
Administracija in upravljanje
1. Uradna oseba za varstvo podatkov administrativno spada v generalni sekretariat, njene dejavnosti pa so vključene v proces oblikovanja proračuna in upravljanja po dejavnostih v okviru dejavnosti 7 generalnega sekretariata (odnosi s civilno družbo, odprtost in obveščanje). V tem okviru uradna oseba za varstvo podatkov sodeluje pri pripravi letnega načrta upravljanja in predhodnega predloga proračuna generalnega sekretariata.
2. Uradna oseba za varstvo podatkov je ocenjevalec zaposlenih v svojem sekretariatu in pomočnika uradne osebe za varstvo podatkov. Namestnik generalnega sekretarja je sopodpisnik ocenjevalca.
3. Uradna oseba za varstvo podatkov po potrebi sodeluje pri usklajevanju upravljanja generalnega sekretariata.
ODDELEK 4
KONČNE DOLOČBE
Člen 16
Začetek veljavnosti
Ta sklep začne veljati 3. junija 2008.
V Bruslju, 3. junija 2008
Za Komisijo
Predsednik
José Manuel BARROSO
(1) UL L 8, 12.1.2001, str. 1.
(2) Še ni objavljeno v Uradnem listu.
(3) Vsaka omemba uradne osebe za varstvo podatkov v nadaljnjem besedilu velja za oba spola.