22.7.2008

BG

Официален вестник на Европейския съюз

L 193/7

---

РЕШЕНИЕ НА КОМИСИЯТА

от 3 юни 2008 година

за приемане на правила по изпълнение във връзка с длъжностното лице за защита на данните съгласно член 24, параграф 8 от Регламент (ЕО) № 45/2001 относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни

(2008/597/ЕО)

КОМИСИЯТА НА ЕВРОПЕЙСКИТЕ ОБЩНОСТИ,

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (1), и по-специално член 24, параграф 8, и приложението към него,

като има предвид, че:

(1)	Регламент (ЕО) № 45/2001, наричан по-долу „Регламентът“, установява принципите и правилата, отнасящи се до всички институции и органи на Общността и предвижда всяка институция и всеки орган на Общността да назначи длъжностно лице за защита на данните.

(2)

Член 24, параграф 8 от Регламента изисква всяка институция или орган на Общността да приеме допълнителни правила по изпълнение във връзка с длъжностното лице за защита на данните в съответствие с разпоредбите на приложението. Правилата по изпълнени се отнасят по-специално до задачите, задълженията и правомощията на длъжностното лице за защита на данните.

(3)	Решение С(2002) 510 на Комисията (2) от 18 февруари 2002 г. създава поста на длъжностно лице за защита на данните (ДЗД) за Комисията и натоварва ДЗД да направи предложения за допълнителни правила по изпълнение, след консултация с генералните дирекции съобразно техните нужди и опит,

РЕШИ:

РАЗДЕЛ 1

ОБЩИ РАЗПОРЕДБИ

Член 1

Определения

За целите на настоящото решение и без да се засягат определенията, предвидени в Регламента:

—	„Координаторът за защита на данните“ (наричан по-нататък „КЗД“) е член на персонала на генерална дирекция или служба, назначен от генералния директор за да координира всички аспекти на защитата личните данни в генералната дирекция.

—	„Контролиращият орган“, съгласно определението в член 2, буква г) и както е посочено в член 25, параграф 2, буква а) е официалното длъжностно лице, отговорно за организационното звено, което определя целите и средствата за обработка на лични данни.

Член 2

Обхват

Настоящото решение определя правилата и процедурите за изпълнението на функцията на Длъжностното лице за защита на данните (наричано по-долу „ДЗД“) в рамките на Комисията съгласно член 24, параграф 8 от Регламента. Настоящото решение не се прилага за дейностите на Комисията при определяне на политиките относно защитата на лицата по отношение на обработката на лични данни.

РАЗДЕЛ 2

ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ

Член 3

Назначаване и статут

1.   Комисията назначава ДЗД (3) и го регистрира при Европейския надзорен орган по защита на данните(наричан по-долу „ЕНОЗД“).

2.   Мандатът на ДЗД е пет години и се подновява еднократно.

3.   ДЗД действа независимо по отношение на вътрешното прилагане на разпоредбите на Регламента и не може да получава никакви инструкции по отношение на изпълнението на своите задължения.

4.   ДЗД се избира от персонала на Комисията по реда на съответните процедури. Освен изискванията по член 24, параграф 2 от Регламента, ДЗД следва да познава много добре службите на Комисията, тяхната структура, административните правила и процедури. ДЗД следва да притежава добри познания в областта системите, принципите и методиките, използвани в защитата на данни и информацията. ДЗД трябва да може да покаже точна преценка и способност да запазва безпристрастна и обективна позиция в съответствие с Правилника за длъжностните лица.

5.   В съответствие с Регламента, ДЗД може да бъде освободен от поста си от Комисията, единствено със съгласието на ЕНОЗД, при положение че вече не отговаря на условията, които се изискват за изпълнението на задълженията му. Комисията, по предложение на генералния секретар и съгласувано с генералния директор на ГД „Персонал и администрация“, установява, че ДЗД вече не отговаря на условията, които се изискват за изпълнението на задълженията му.

6.   Без да се засягат съответните разпоредби на Регламента, за ДЗД и неговите подчинени важат правилата и разпоредбите, приложими спрямо длъжностните лица на Европейските общности.

Член 4

Задачи

1.   Без да се засягат задачите, описани в член 24 от Регламента и в приложението му, ДЗД допринася за създаване на култура за защита на личните данни в рамките на Комисията чрез повишаване на общата осведоменост по въпросите на защитата на данните, като в същото време поддържа точния баланс между принципите за защита на личните данни и прозрачността.

2.   ДЗД поддържа опис на всички операции по обработка на личните данни на Комисията, в който координаторите за защита на данните внасят всички операции по обработка на данни за съответните генерални дирекции, които операции следва да бъдат съобщени. КЗД също определят контролиращия орган, който е отговорен за тези операции по обработка на лични данни. ДЗД подпомага контролиращия орган в оценката на риска на операциите по обработка на личните данни, които са под негова отговорност и наблюдава изпълнението на Регламента в Комисията, по-конкретно чрез годишен доклад за състоянието на защитата на данните.

3.   ДЗД организира и ръководи редовните заседания на мрежата на координаторите за защита на данните.

4.   ДЗД предоставя регистъра с операциите по обработка, предвиден в член 26 от Регламента, на вътрешния и външния уебсайт на Комисията.

5.   ДЗД може да прави препоръки и да дава съвет на Комисията и контролиращите органи относно прилагането на разпоредбите за защитата на данните и може да извършва разследвания при поискване или по собствена инициатива по въпроси и случаи, имащи пряко отношение към неговите задачи и да докладва резултатите обратно на лицето, поръчало разследването в съответствие с процедурата, описана в член 13 от настоящото решение. Ако заявителят е физическо лице или когато заявителят действа от името на физическо лице, ДЗД е длъжен доколкото е възможно да осигури поверителното третиране на искането, освен в случай че въпросният субект на данни даде изрично съгласие искането му да не се третира като поверително.

6.   Обработката на лични данни от комитетите на персонала е от компетенцията на ДЗД на Комисията. За целите на член 6 по-долу, ДЗД предоставя информация на съответния председател комитета на служителите вместо на генералния секретар, когато се поставя въпрос относно операции по обработка на данни от съответния съответният комитет на служителите.

7.   Без да се засяга независимостта на ДЗД, генералният секретар, от името на Комисията, може да поиска от него да представлява институцията по всички въпроси, отнасящи се до защитата на данните; това може да включва участието на ДЗД в съответните комитети и органи на международно равнище.

Член 5

Задължения

1.   Освен общите задачи, които трябва да изпълнява, ДЗД е длъжен:

а)

да представя на генералния секретар и генералния директор на ГД „Персонал и администрация“ годишен доклад за състоянието на защитата на данните за Комисията за обсъждане на подходящото равнище, като например редовното заседание на генералните директори; докладът се представя на персонала на Комисията;

б)	да си сътрудничи при изпълнението на функциите си с длъжностните лица за защита на данните на другите институции и органи, и по-специално като извършва обмен на опит и най-добри практики.

2.   За операции по обработка на личните данни, които са от неговата компетентност ДЗД действа като контролиращ орган.

Член 6

Правомощия

При изпълнение на своите задачи и задължения и без да се засягат правомощията, предоставени от Регламента, ДЗД:

а)	може да иска правни становища от правната служба на Комисията;

б)	може, в случай на противоречие относно тълкуването или прилагането на Регламента, да информира компетентното управленско равнище и генералния секретар, преди да отнесе въпроса до ЕНОЗД;

в)

може да представи на вниманието на генералния секретар: — всеки случай на неспазване от страна на служител на задълженията по Регламента; — всеки случай на неспазване от страна на контролиращите органи на онези стандарти за вътрешен контрол на Комисията, които се отнасят по-специално до задълженията по Регламента; и да предлага започването на административна проверка с оглед възможното прилагане на член 49 от Регламента;

г)	може да разследва пряко свързани с неговите задължения въпроси и факти, като прилага подходящите принципи за разследване и одит в Комисията и процедурата, описана в член 13 от настоящето решение;

д)	той има право на достъп по всяко време до данните, които са обект на операции по обработка на лични данни, до всички служебни помещения, инсталации за обработка на данни и носители на данни.

Член 7

Ресурси

Комисията предоставя на ДЗД необходимите ресурси за изпълнението на неговите задачи.

РАЗДЕЛ 3

ПРАВИЛА И ПРОЦЕДУРИ

Член 8

Информация

1.   Всеки път, когато се появи въпрос, който има отношение към защитата на данни, разглеждан от служби на Комисията, ДЗД е незабавно информиран относно това от главната служба, преди да бъде взето каквото и да е решение.

2.   ДЗД се информира, когато Комисията консултира и информира ЕНОЗД съгласно съответните разпоредби на Регламента, и най-вече съгласно член 28, параграфи 1 и 2. ДЗД се информира също относно прякото взаимодействие между контролиращите органи на Комисията и ЕНОЗД съгласно съответните членове на Регламента.

3.   ДЗД е информиран от главната служба или от правната служба, според необходимостта, относно възгледите и становищата на правната служба, пряко свързани с вътрешното прилагане на разпоредбите на Регламента, както и относно становищата по отношение на тълкуването и прилагането на други юридически актове относно защитата на личните данни и тяхната обработка, по-специално свързани с междуведомствени консултации и достъпа до информация.

Член 9

Контролиращи органи

1.   Без да се засягат разпоредбите на Регламента относно отговорностите им, контролиращите органи:

а)	подготвят своевременно уведомления за ДЗД относно всички съществуващи операции по обработката на данни, за които все още не е било съобщено;

б)	когато е необходимо, консултират ДЗД относно съответствието на операциите по обработката на данни, по-специално ако съществува съмнение относно съответствието;

в)	сътрудничат с координаторите за защита на данните за изготвяне на опис на всички операции по обработката на лични данни на генералната дирекция.

2.   Контролиращият орган може да делегира известна част от своите задачи на други лица, действащи като оправомощен контролиращ орган под негово ръководство и отговорност.

Член 10

Обработващи лица

Обработващите лица в рамките на Комисията, от които се изисква да обработват лични данни от името на контролиращите органи, действат само по инструкции на контролиращите органи, документирани в писмено споразумение и обработват такива лични данни при строго спазване на Регламента и всякакво друго приложимото законодателство относно защита на данните. Писменото споразумение между организационни звена на Комисията се счита за равностойно на правно обвързващ акт по смисъла на член 23, параграф 2 от Регламента.

Сключват се официални договори с външни обработващи лица; такива договори съдържат специфичните изисквания, посочени в член 23, параграф 2 от Регламента.

Член 11

Уведомления

Контролиращите органи използват интернет системата за уведомление на Комисията, която е достъпна чрез уебсайта на ДЗД на вътрешния сайт на Комисията за изпращане на техните уведомления до ДЗД.

За обикновени операции по обработка на лични данни с нечувствително съдържание системата предлага опростено уведомление.

Член 12

Регистър

Електронният регистър с операциите по обработка лични данни на Комисията, посочен в член 4, параграф 4, е достъпен чрез уебсайта на ДЗД на вътрешния сайт на Комисията за целия персонал на институциите и органите на Общността и на уебсайта EUROPA за всяко лице, което има достъп до Интернет. Извлечения от регистъра могат да бъдат поискани от всяко лице, което няма достъп до Интернет, в писмена форма до ДЗД, който отговаря в рамките на 10 работни дни.

Член 13

Процедура по разследване

1.   Исканията за разследване, посочени в член 4, параграф 5, се отправят до ДЗД в писмена форма. В срок до 15 дни след получаването, ДЗД изпраща потвърждение за получаването на искането до лицето, възложило разследването, и проверява дали искането следва да се третира като поверително. В случай на явна злоупотреба с правото на искане за разследване, ДЗД не е длъжен да отговори на заявителя.

2.   ДЗД изисква от контролиращия орган, отговарящ за въпросната операция по обработката на данни, писмено обяснение по случая. Контролиращият орган дава отговор на ДЗД в срок до 15 работни дни. ДЗД може да поиска да му бъде предоставена допълнителна информация от контролиращия орган и/или от други страни в срок до 15 дни. При необходимост той може да поиска становище този въпрос от правната служба. Становището се предоставя на ДЗД в срок до 30 работни дни.

3.   ДЗД докладва по случая на лицето, възложило разследването, не по-късно от три месеца след получаване на искането. Този срок може да бъде прекъснат, докато ДЗД получи поискана допълнителна информация.

4.   Никой не следва да бъде ощетен поради отнесен до вниманието на компетентното ДЗД въпрос, по който се твърди за извършено нарушение на разпоредбите на Регламент.

Член 14

Координатор за защита на данните

1.   Назначава се координатор за защита на данните (КЗД) във всяка генерална дирекция или служба от генералния директор или от ръководителя на служба. На основата на писмено споразумение няколко генерални дирекции, служби или офиси могат, с оглед постигането на последователност и ефикасност, да решат да назначат общ КЗД или да си споделят услугите на вече назначен КЗД.

2.   Функцията на КЗД може да бъде, ако е уместно, комбинирана с други функции. За да придобие необходимите компетенции за изпълнението на функциите си, КЗД трябва да премине задължително обучение за координатори за защита на данните в срок от 6 месеца от назначаването му.

3.   Мандатът на КЗД е неограничен. КЗД следва да бъде избран на съответното йерархическо равнище въз основата на своята висока професионална етика, знания и опит в работата на своята генерална дирекция и въз основа на мотивацията му за тази функция. КЗД следа да притежава знания за принципите на информационните системи.

4.   Без да се засягат отговорностите на ДЗД, КЗД:

а)

изготвя опис на операциите по обработка на данни в генералната дирекция, актуализира го и спомага за определяне на подходящото равнище на риск за всяка от операциите по обработка на данни; КЗД използва интернет системата за управление на инвентара за координаторите за защита на данните, която е въведена за тези цели от ДЗД на неговия уебсайт на вътрешния сайт на Комисията;

б)	подпомага генералния директор или ръководителя на служба в определяне на съответните контролиращи органи;

в)	има правото да получава необходимата и адекватна информация от контролиращите органи. Това не включва правото на достъп до лични данни, обработвани в сферата на отговорност на контролиращия орган.

5.   Без да се засягат отговорностите на контролиращия орган, КЗД:

а)	подпомага контролиращите органи при спазването на техните правни задължения;

б)	подпомага контролиращите органи в изготвянето на уведомления;

в)	въвежда опростените уведомления в интернет системата за уведомление на ДЗД.

6.   КЗД участва в редовните заседания на мрежата на координаторите за защита на данните, председателствана от ДЗД, за да се осигури съгласувано прилагане и тълкуване на Регламента в Комисията и за да се обсъждат теми от общ интерес.

7.   В изпълнение на своите задачи КЗД може да поиска от ДЗД препоръка, съвет или становище.

Член 15

Администрация и управление

1.   ДЗД е административно прикрепен към генералния секретариат и неговите дейности са интегрирани в процеса по управление и бюджетиране по дейности по дейност 7 на генералния секретариат: „Връзки с гражданското общество, откритост и информация“. В този контекст ДЗД участва в изготвянето на годишния план за управление и на предварителния проектобюджет на генералния секретариат.

2.   ДЗД е докладващ служител за персонала на неговия секретариат и за помощник длъжностното лице за защита на данните. Заместник-генералният секретар е служителят, който заверява с подписа.

3.   ДЗД участва в координиране на управлението на генералния секретариат, при необходимост.

РАЗДЕЛ 4

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 16

Влизане в сила

Настоящото решение влиза в сила на 3 юни 2008 г.

---

(1)  ОВ L 8, 12.1.2001 г., стр. 1.

(2)  Все още непубликувано в Официален вестник.

(3)  Всяко позоваване на длъжностното лице за защита на данните в настоящия документ означава той или тя и негов или неин.

---