13/ 45

BG

Официален вестник на Европейския съюз

153

---

32004D0644

---

L 296/16

ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ

---

РЕШЕНИЕ НА СЪВЕТА

от 13 септември 2004 година

за приемане на правила за прилагането на Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета относно защитата на физическите лица при обработката на лични данни от институциите и органите на Общността и относно свободното движение на тези данни

(2004/644/ЕО)

СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взе предвид Договора за създаване на Европейската общност, и по-специално член 286 от него,

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (1), и по-специално член 24, параграф 8 от него,

като има предвид, че:

(1)	Регламент (ЕО) № 45/2001, наричан по-долу „Регламентът“, установява принципите и правилата, отнасящи се до всички институции и органи на Общността и предвижда всяка институция и всеки орган на Общността да назначи длъжностно лице за защита на данните.

(2)

Член 24, параграф 8 от Регламента изисква всяка институция или орган на Общността да приеме и по-нататъшни правила за прилагането му относно длъжностното лице за защита на данните, съобразно предвиденото в приложението към Регламента. Правилата за прилагане се отнасят в частност до задачите, задълженията и правомощията на длъжностното лице за защита на данните.

(3)	Правилата за прилагане посочват и конкретните процедури за упражняване на правата на физическите лица, както и за изпълнението на задълженията на всички съответни участници от институциите или органите на Общността по отношение на обработката на лични данни.

(4)

Правилата за прилагане на Регламента не засягат Регламент (ЕО) № 1049/2001 (2), Решение 2004/338/ЕО, Евратом (3) и по-специално приложение II към него, Решение 2001/264/ЕО (4) и по-специално част II, раздел VI от приложението към него, както и Решение на генералния секретар на Съвета/върховния представител по Общата външна политика и политиката на сигурност от 25 юни 2001 г. (5),

РЕШИ:

РАЗДЕЛ 1

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет и обхват

Настоящото решение определя по-нататъшни правила за прилагането на Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (наричан по-долу „Регламента“) по отношение на Съвета на Европейския съюз.

Член 2

Определения

По смисъла на настоящото решение и без да се засягат определенията, предвидени в Регламента:

а)

„администратор“ означава институцията, генералната дирекция, дирекцията, отдела, звеното или друга организационно-структурна единица, която самостоятелно или съвместно с други определя целите и средствата за обработка на лични данни, посочени в нотификацията, което се изпраща на длъжностното лице за защита на данните (наричан по-долу „ДЗД“) в съответствие с член 25 от Регламента;

б)	„лице за контакт“ означава административния/те сътрудник/ци на генералната дирекция или друг служител, определен съгласувано с ДЗД от своята генерална дирекция като неин представител, който в тясно сътрудничество с ДЗД да се занимава с въпросите, отнасящи се до защитата на данни;

в)

„персонал на ГСС“ означава всички длъжностни лица на генералния секретариат на Съвета (наричан по-долу „ГСС“) и всяко друго лице, попадащо в обхвата на Правилника за длъжностните лица на Европейските общности и Условията за работа на другите служители на Европейските общности, уредени в Регламент (EИО, Евратом, ЕОВС) № 259/68 (6) (наричан по-долу „Правилник за персонала“) или работещи в ГСС по договорно правоотношение (стажанти, консултанти, изпълнители, служители, командировани от държавите-членки).

РАЗДЕЛ 2

ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ

Член 3

Назначаване и статус на длъжностното лице за защита на данните

1.   Заместник-генералният секретар на Съвета назначава ДЗД и го регистрира при Европейския надзорен орган по защита на данните (наричан по-долу „ЕНЗД“). ДЗД е подчинен пряко на заместник-генералния секретар на Съвета.

2.   Мандатът на ДЗД е три години и може да бъде подновяван два пъти.

3.   При изпълнението на задълженията си ДЗД действа независимо и в сътрудничество с ЕНЗД. В частност ДЗД не може да получава нареждания от Назначаващият орган на ГСС или от когото и да било другиго по отношение на вътрешното прилагане на разпоредбите на Регламента или сътрудничеството си с ЕНЗД.

4.   Оценката на изпълнението на задачите и задълженията на ДЗД се извършва след предварителни консултации с ЕНЗД. ДЗД може да бъде освободен от поста си единствено със съгласието на ЕНЗД, при положение че вече не отговаря на условията, които се изискват за изпълнението на задълженията му.

5.   Без да се засяга предвидената за назначаването му процедура, ДЗД следва да бъде информиран за всички контакти с външни лица, отнасящи се до прилагането на Регламента, и особено що се отнася до взаимоотношенията с ЕНЗД.

6.   Без да се засягат съответните разпоредби на Регламента, за ДЗД и неговите подчинени важат правилата и разпоредбите, приложими спрямо длъжностните лица и другите служители на Европейските общности.

Член 4

Задачи

ДЗД е длъжен:

а)

да се погрижи администраторите и физическите лица да бъдат запознати със своите права и задължения съгласно Регламента. При изпълнението на тази задача той по-специално определя образците на формулярите за информация и нотифициране, дава консултации на заинтересовани страни и повишава общата осведоменост по въпросите на защитата на данните;

б)	да отговаря на искания, отправени от ЕНЗД и в сферата на своята компетентност да си сътрудничи с ЕНЗД при поискване от страна на последния или по своя собствена инициатива;

в)	да осигури по независим начин вътрешното прилагане на разпоредбите на Регламента в ГСС;

г)	да води Регистър на операциите по обработката, осъществявани от контрольорите, и да предоставя достъп до него на всяко лице, пряко или косвено – чрез ЕНЗД;

д)	да нотифицира ЕНЗД за операциите по обработката, които биха могли да породят конкретните рискове, посочени в член 27, параграф 2 от Регламента;

е)	да гарантира, че няма вероятност правата и свободите на физическите лица да бъдат нарушени посредством операциите по обработката.

Член 5

Задължения

1.   Освен общите задачи, които трябва да изпълнява, ДЗД е длъжен:

а)

да действа като съветник на Назначаващият орган на ГСС и на контрольорите по въпроси, отнасящи се до прилагането на разпоредбите за защитата на данните. С ДЗД могат да се консултират Назначаващият орган, съответните контрольори, Комитетът по служителите и всяко физическо лице, без да минава по официалните канали, по всякакъв въпрос, отнасящ се до тълкуването или прилагането на Регламента;

б)

по своя инициатива или по инициатива на Назначаващият орган, администраторите, Комитета на персонала или на физическо лице да извършва проверка по въпроси и случаи, имащи пряко отношение към неговите задачи и станали обект на вниманието му, и да съобщава резултатите обратно на Назначаващият орган или на лицето, поръчало проверката. Ако е необходимо, следва да се информират и всички други заинтересовани страни. Ако подателят на жалбата е физическо лице или когато жалбоподателят действа от името на физическо лице, ДЗД е длъжен доколкото е възможно да пази в тайна искането, освен в случай че въпросният физическо лице даде изрично съгласие искането му да не се третира като поверително;

в)	да си сътрудничи при изпълнението на функциите си с отговорниците по защита на данните на другите институции и органи на Общността, в частност като извършва обмен на опит и най-добри практики;

г)	да представлява ГСС по всички въпроси, отнасящи се до защитата на данните; без да се нарушава Решение 2004/338/ЕО, Евратом, това може да включва участието на ДЗД в съответните комитети или на международно равнище;

д)	да представя годишен доклад за дейността си на заместник-генералния секретар на Съвета и да го предоставя на служителите.

2.   Без да се засягат разпоредбите на член 4, буква б), член 5, параграф 1, букви б) и в) и член 15, ДЗД и неговите подчинени са длъжни да не разкриват информация или документи, получени при изпълнението на техните задължения.

Член 6

Правомощия

При изпълнението на своите задачи и задължения ДЗД:

а)	има право на достъп по всяко време до данните, предмет на операциите по обработката, и до всички служебни помещения, инсталации за обработка на данни и носители на данни;

б)	може да иска правни становища от Правната служба на Съвета;

в)

може да ползват услугите на външни експерти по информационни технологии с предварителното съгласие на разрешаващото длъжностно лице в съответствие с Регламент (ЕО, Евратом) № 1605/2002 на Съвета от 25 юни 2002 г. относно Финансовия регламент, приложим към общия бюджет на Европейските общности (7) и Правилника за прилагането му;

г)	може, без да се засягат задълженията и правомощията на ЕНЗД, да предлага на ГСС административни мерки и да издава общи препоръки относно подходящото прилагане на Регламента;

д)	може да отправя други препоръки по конкретни случаи за практическото подобряване на защитата на данните към ГСС и/или всички други заинтересовани страни;

е)	може да представя на вниманието на Назначаващият орган на ГСС всякакви случаи на неспазване от страна на служител на задълженията по Регламента и да предлага да се проведе административна проверка с оглед възможното прилагане на член 49 от Регламента.

Член 7

Ресурси

На ДЗД се осигуряват необходимият персонал и ресурси с оглед изпълнението на неговите задължения.

РАЗДЕЛ 3

ПРАВА И ЗАДЪЛЖЕНИЯ НА УЧАСТНИЦИТЕ В ОБЛАСТТА НА ЗАЩИТАТА НА ДАННИТЕ

Член 8

Назначаващ орган

1.   В случай на жалба по смисъла на член 90 от Правилника за длъжностните лица по отношение на нарушение на Регламента, Назначаващият орган се консултира с ДЗД, който е длъжен да се произнесе с писмено становище в срок от 15 дни след получаването на искането. В случай че след изтичането на срока ДЗД не е предоставил на Назначаващият орган своето становище, то вече не е необходимо. Назначаващият орган не е задължена да се съобрази със становището на ДЗД.

2.   Винаги, когато се разглежда въпрос, който има или би могъл да има отношение към защитата на данни, се информира ДЗД.

Член 9

Контрольори

1.   Администраторите отговарят за осигуряване на спазването на Регламента при всички операции по обработката на данни, попадащи в сферата на техния контрол.

2.   В частност, администраторите:

а)

изпращат предварително предизвестие до ДЗД за всяка операция по обработката на данни или набор от такива операции, предназначени за обслужване на конкретна цел или на няколко свързани цели, както и за всяка съществена промяна на съществуваща операция по обработката на данни. За операции по обработката на данни, осъществявани преди влизането в сила на Регламента на 1 февруари 2001 г., администраторът извършва нотификацията незабавно;

б)	съдействат на ДЗД и на ЕНЗД при изпълнението на задълженията им, в частност – като при поискване от тяхна страна им предоставят информация в срок не по-късно от 30 дни;

в)	прилагат необходимите технически и организационни мерки и дават нужните инструкции на персонала на ГСС с оглед осигуряване както на поверителността на обработката, така и на ниво на защита, съответстващо на рисковете, свързани с обработката;

г)

когато е уместно, се консултират с ДЗД относно съответствието на операциите по обработката на данни с Регламента, и в частност – когато имат основание да смятат, че някои операции по обработката на данни не съответстват на членове от 4 до 10 от Регламента. Те могат да се обърнат за консултации и към ДЗД и/или експертите по сигурността на информационните технологии от Генерална дирекция A, Службата по сигурността и Службата по защитата на информацията (Инфосек) по въпроси, имащи отношение към поверителността на операциите по обработката и към мерките за сигурност, предприети съгласно член 22 от Регламента.

Член 10

Лица за контакти

1.   Без да се засягат отговорностите на ДЗД, лицето за контакт:

а)	подпомага своята генерална дирекция или звено при воденето на опис на цялата съществуваща обработка на лични данни;

б)	подпомага своята генерална дирекция или звено при идентифицирането на съответните администратори;

в)

има правото да получава от администраторите и от персонала адекватната и необходима информация, нужна за изпълнението на своите административни задачи в рамките на своята генерална дирекция или звено. Това не включва правото на достъп до лични данни, обработвани в сферата на отговорност на администратора.

2.   Без да се засягат отговорностите на администраторите, лицата за контакт:

а)	подпомагат администраторите при спазването на техните задължения;

б)	когато е уместно, спомагат за комуникацията между ДЗД и администраторите.

Член 11

Персонал на ГСС

1.   В частност всички членове на персонала на ГСС допринасят за спазването на правилата за поверителност и сигурност при обработката на лични данни съгласно предвиденото в членове 21 и 22 от Регламента. Забранява се член на персонала на ГСС, имащ достъп до лични данни, да ги обработва, освен по нареждане на администратора, освен в случаите, когато това се изисква съгласно националното или общностното законодателство.

2.   Всеки член на персонала на ГСС може да подаде жалба до ЕНЗД, сигнализирайки за възможно нарушение на разпоредбите на Регламента, уреждащи обработката на лични данни, без да минава по официалните канали, съгласно правилника, издаден от ЕНЗД.

Член 12

Физически лица

1.   Съгласно правото на физическите лица да бъдат съответно информирани за всяка обработка на лични данни, имащи отношение към тях, съгласно членове 11 и 12 от Регламента, физическите лица могат да се обръщат към съответния контрольор за целите на упражняването на правата си по членове от 13 до 19 от Регламента, по реда на раздел 5 от настоящото решение.

2.   Независимо от средствата за правна защита, всеки субект на данни може да подаде жалба до ЕНЗД, ако счита, че правата му по Регламента са нарушени в резултат от обработката на неговите лични данни от Съвета, по реда на правилника, приет от ЕНЗД.

3.   Никой не може да бъде обект на несправедливо отношение поради подаването на жалба до ЕНЗД или поради представянето на вниманието на ДЗД на сигнал относно възможно нарушение на разпоредбите на Регламента.

РАЗДЕЛ 4

РЕГИСТЪР НА ОПЕРАЦИИТЕ ПО ОБРАБОТКАТА НА ДАННИ, ЗА КОИТО Е ИЗПРАТЕНА НОТИФИКАЦИЯ

Член 13

Процедура на нотифициране

1.   Администраторът нотифицира ДЗД за всяка операция по обработката на лични данни, като използва нотификация по образец, който може да се вземе от интранет сайта на ГСС (Защита на данни). Нотификацията се изпраща на ДЗД по електронен път. На ДЗД се изпраща и потвърждаваща нотификация с бележка в срок до 10 работни дни. След получаване на потвърждаващата нотификация, ДЗД го публикува в регистъра.

2.   Нотификацията включва цялата информация, посочена в член 25, параграф 2 от Регламента. ДЗД трябва своевременно да бъде нотифициран за всяка промяна, която се отразява на тази информация.

3.   Последващите правила и процедури относно процедурата на нотифициране, която следва да се спазва от контрольорите, съставляват част от общите препоръки, издавани от ДЗД.

Член 14

Съдържание и цел на регистъра

1.   ДЗД води Регистър на операциите по обработката на лични данни, който се създава на базата на получените от администраторите нотификации.

2.   Регистърът включва като минимално задължително съдържание информацията по член 25, параграф 2, букви от а) до ж) от Регламента. По изключение вписваната от ДЗД в регистъра информация може да бъде ограничена в случай на необходимост да се защити сигурността на конкретна операция по обработката на данни.

3.   Регистърът служи като индекс на операциите по обработката на лични данни, осъществявани в Съвета. Той дава информация на физическите лица и подпомага упражняването на правата им по членове от 13 до 19 от Регламента.

Член 15

Достъп до регистъра

1.   ДЗД предприема подходящите мерки за гарантиране на достъпа до регистъра на всяко лице, било то пряко или косвено чрез ЕНЗД. В частност ДЗД предоставя информация и съдействие на заинтересованите лица относно начина и мястото, където могат да се подават заявления с искане за достъп до регистъра.

2.   Освен в случаите, когато е предоставен достъп онлайн, заявленията за достъп до регистъра се подават в писмена форма, включително по електронен път, на един от езиците, посочени в член 314 от Договора, и по достатъчно точен начин, за да може ДЗД да идентифицира съответните операции по обработката на данни. На заявителя незабавно се изпраща потвърждение за получаването на заявлението.

3.   Ако заявлението не е достатъчно точно, ДЗД отправя искане до заявителя да поясни заявлението си и помага на заявителя да го стори. В случай че заявлението се отнася до много голям брой операции по обработката на данни, ДЗД може да разговаря със заявителя неофициално с оглед постигането на справедливо разрешение по искането.

4.   Всяко лице може да поиска от ДЗД копие на информацията, която се съдържа в регистъра относно операция по обработка на данни, за която е постъпило уведомление.

РАЗДЕЛ 5

РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВАТА НА ФИЗИЧЕСКИТЕ ЛИЦА

Член 16

Общи разпоредби

1.   Правата на физическите лица, посочени в настоящия раздел, могат да се упражняват единствено от самите засегнати физически лица или в изключителни случаи, от името на физическите лица с надлежно упълномощаване. Исканията се отправят в писмена форма до съответния контрольор, с копие до ДЗД. При необходимост ДЗД оказва съдействие на субекта на данните да идентифицира съответния контрольор. ДЗД предоставя конкретни образци на формуляри. Контрольорите одобряват искането само ако формулярът е попълнен изцяло и самоличността на жалбоподателя е надлежно проверена за достоверност. Упражняването от физическите лица на техните права е безплатно.

2.   Администраторът изпраща на заявителя потвърждение за получаване на заявлението в срок до пет работни дни от регистрирането на заявлението. Освен когато е предвидено друго, администраторът отговаря на искането най-късно до петнадесет работни дни от регистрирането на искането, като или го удовлетворява, или излага писмено мотивите за пълния или частичен отказ, по-специално в случаите, когато заявителят не се счита за физическо лице.

3.   В случай на нередности или очевидна злоупотреба от страна на субекта на данните при упражняването на неговите права и когато физическото лице твърди, че обработката е неправомерна, администраторът е длъжен да се консултира с ДЗД относно искането и/или да препрати субекта на данните към ДЗД, който решава дали искането отговаря на изискванията и предприема съответните последващи действия.

4.   Всяко засегнато лице може да се консултира с ДЗД относно упражняването на правата си в даден случай. Независимо от средствата за правна защита, всеки физическо лице може да подаде жалба до ЕНЗД, ако счита, че правата му по Регламента са нарушени в резултат от обработката на личните му данни.

Член 17

Право на достъп

Физическото лице има правото да получи от администратора, без ограничение, по всяко време в рамките на три месеца от получаването на искането, информацията по член 13, букви от а) до г) от Регламента или под формата на запознаване с данните на място, или чрез получаване на копие, включително, когато това е уместно, копие в електронна форма, според предпочитанията на заявителя.

Член 18

Право на поправка

Във всяко искане от страна на субект на данни за извършване на поправка на неточни или непълни лични данни следва да бъдат посочени съответните данни, както и поправката, която трябва да се извърши. То се обработва от администратор незабавно.

Член 19

Право на блокиране

Администраторът обработва искането за блокиране на данни по член 15 от Регламента незабавно. В искането се посочват съответните данни, както и причините за блокирането им. Администраторът информира субекта на данните, подал искането, преди да се деблокират данните.

Член 20

Право на заличаване

Физическото лице може да поиска от администратор да бъдат незабавно заличени данни в случай на неправомерна обработка, в частност – при нарушение на разпоредбите на членове от 4 до 10 от Регламента. В искането се посочват съответните данни и се представят причините или доказателства за неправомерността на обработката. При автоматизираните системи за съхраняване на информация заличаването се осигурява по принцип чрез използването на всички подходящи технически средства, като се изключва всякаква възможност за по-нататъшна обработка на заличените данни. Ако заличаването не е възможно поради технически причини, след като се консултира с ДЗД и със заинтересованото лице, администраторът пристъпва към незабавно блокиране на данните.

Член 21

Нотифициране до трети страни

В случай на поправка, блокиране или заличаване по молба на субекта на данните, той може да получи от администраторът нотификацията до трети страни, на които са били разкрити неговите лични данни, освен в случаите, когато това се окаже невъзможно или предполага несъразмерно големи усилия.

Член 22

Право на възражение

Физическото лице може да възрази срещу обработката на отнасящи се до него данни и срещу разкриването или използването на неговите лични данни, съгласно член 18 от Регламента. В искането се посочват съответните данни и основанията на искането. Когато искането е обосновано, въпросната обработка се извършва, без да включва съответните данни.

Член 23

Автоматизирани решения относно лицето

Физическото лице има право да не бъде подлаган на автоматизирани решения относно лицето по реда на член 19 от Регламента, освен в случаите, когато решението е разрешено изрично съгласно националното или общностното законодателство или съгласно решение на ЕНЗД, защищаващо законните интереси на субекта на данните. И в двата случая на субекта на данните се дава възможност да представи предварително мнението си и да се консултира с ДЗД.

Член 24

Изключения и ограничения

1.   Доколкото законните основания, определени в член 20 от Регламента, ясно обосновават това, администраторът може да наложи ограничения върху правата, посочени в членове от 17 до 21 от настоящото решение. Освен когато е абсолютно необходимо, администраторът първо се консултира с ДЗД, чието становище не е обвързващо за институцията. Администраторът отговаря на исканията за прилагане на изключения или ограничения относно упражняването на права незабавно и мотивира това решение.

2.   Всяко заинтересовано лице може да поиска от ЕНЗД да се приложи член 47, параграф 1, буква в) от Регламента.

РАЗДЕЛ 6

ПРОЦЕДУРА ЗА ПРОВЕРКА

Член 25

Практически начини на работа

1.   Исканията за проверка се отправят до ДЗД в писмена форма по предоставена на лицето специална бланка – образец. В случай на явна злоупотреба с правото на искане на проверка – например, когато същото лице неотдавна е отправяло същото искане, ДЗД не е длъжен да отговори на запитващия.

2.   В срок до 15 дни след получаването, ДЗД изпраща потвърждение за получаването на искането до Назначаващият орган или лицето, поръчало проверката, и потвърждава дали искането следва да се третира като поверително.

3.   ДЗД изисква от администратора, отговарящ за въпросната операция по обработката на данни, писмено обяснение по случая. Администраторът дава отговор на ДЗД в срок до 15 дни. ДЗД може да поиска да му бъде предоставена допълнителна информация от други страни, като например Службата по сигурност и Службата по сигурност на информацията (INFOSEC) на ГСС. При необходимост той може да поиска становище по случая от Правната служба на Съвета. Информацията или становището се предоставят на ДЗД в срок до 30 дни.

4.   ДЗД докладва по случая на Назначаващият орган или на лицето, отправило искането, не по-късно от три месеца след получаването.

РАЗДЕЛ 7

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 26

Влизане в сила

Настоящото решение влиза в сила в деня след публикуването му в Официален вестник на Европейския съюз.

---

(1)  ОВ L 8, 12.1.2001 г., стр. 1.

(2)  Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документите на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

(3)  Решение 2004/338/ЕО, Евратом на Съвета от 22 март 2004 г. за приемане на Процедурен правилник на Съвета (ОВ L 106, 15.4.2004 г., стр. 22).

(4)  Решение 2001/264/ЕО на Съвета от 19 март 2001 г. за приемане на наредби на Съвета относно сигурността (ОВ L 101, 11.4.2001 г., стр. 1). Решение, изменено с Решение 2004/194/ЕО (ОВ L 63, 28.2.2004 г., стр. 48).

(5)  Решение на генералния секретар на Съвета/върховния представител по Общата външна политика и политиката на сигурност от 25 юни 2001 г. относно кодекс за поведение на администрацията на генералния секретариат на Съвета на Европейския съюз и на служителите ѝ при професионалните им взаимоотношения с обществеността (ОВ C 189, 5.7.2001 г., стр. 1).

(6)  ОВ L 56, 4.3.1968 г., стр. 1. Регламент, последно изменен с Регламент (ЕО, Евратом) № 723/2004 (ОВ L 124, 27.4.2004 г., стр. 1).

(7)  ОВ L 248, 16.9.2002 г., стр. 1.

---