1.   С настоящото решение се определят правилата и процедурите за прилагането на Регламент (ЕС) 2018/1725 от страна на Комисията и се установяват правилата за прилагане във връзка с длъжностното лице по защита на данните на Комисията („ДЛЗД“).

2.   С настоящото решение се определят и правилата, които Комисията трябва да спазва, когато, във връзка със задачите на ДЛЗД по наблюдение, разследване, одит или консултиране, информира субектите на данни за обработването на техните лични данни в съответствие с членове 14, 15 и 16 от Регламент (ЕС) 2018/1725.

3.   С настоящото решение се определят също условията, при които във връзка със задачите на ДЛЗД по наблюдение, разследване, одит или консултиране Комисията може да ограничи прилагането на член 4, членове 14—17, членове 19, 20 и 35 от Регламент (ЕС) 2018/1725 в съответствие с член 25, параграф 1, букви в), ж) и з) от него.

4.   Настоящото решение се прилага за обработването на лични данни от Комисията за целите на или във връзка със задачите на ДЛЗД, посочени в член 45 от Регламент (ЕС) 2018/1725, и по-специално задачите на ДЛЗД по наблюдение, разследване, одит или консултиране.

1.   ДЛЗД допринася за изграждането на култура на защита на личните данни в рамките на Комисията въз основа на оценка на риска и отчетност.

2.   ДЛЗД наблюдава прилагането на Регламент (ЕС) 2018/1725 в Комисията, наред с другото, чрез ежегодно изготвяне и прилагане на работна програма за инспекции и одити.

3.   ДЛЗД организира и председателства редовни срещи на координаторите по защита на данните.

4.   ДЛЗД завежда в централен регистър документацията на Комисията за дейностите по обработване и предоставя публичен достъп до този регистър.

ДЛЗД води също така вътрешен регистър на Комисията за нарушенията на сигурността на личните данни по смисъла на член 3, точка 16 от Регламент (ЕС) 2018/1725.

5.   При изпълнението на своите функции ДЛЗД си сътрудничи с длъжностните лица по защита на данните, определени от другите институции и органи на Съюза.

6.   ДЛЗД се смята за администратор с делегирани правомощия за целите на индивидуалните решения относно правата на субектите на данни съгласно Регламент (ЕС) 2018/1725 във връзка с операциите по обработване на ДЛЗД.

1.   Администраторът с делегирани правомощия назначава един КЗД и, ако е целесъобразно, един или повече помощник-КЗД в генералната дирекция или службата, за която отговаря. Двама или повече администратори с делегирани правомощия могат, по съображения за съгласуваност или ефикасност, да решат да назначат общ КЗД или помощник-КЗД или да ползват съвместно услугите на вече назначен КЗД или помощник-КЗД. Съответните администратори с делегирани правомощия документират в писмена форма съгласието си за това.

2.   Назначеният от всяка генерална дирекция или служба КЗД е компетентен и за кабинета, отговарящ за съответната генерална дирекция или служба. Назначеният за Генералния секретариат КЗД е компетентен за кабинета на председателя, както и за кабинетите, за които Генералният секретариат е единствената служба със спомагателни функции. Когато един кабинет отговаря за няколко генерални дирекции или служби, администраторите с делегирани правомощия решават кой от съответните им КЗД ще бъде компетентен за този кабинет.

3.   ДЛЗД, служителите в съответната генерална дирекция или служба и съответният кабинет биват информирани при всяко назначаване на нов КЗД.

Новоназначените КЗД преминават обучение за придобиване на необходимите компетенции за ролята на КЗД в срок от шест месеца от назначаването им. КЗД, който вече е заемал длъжността КЗД в друга генерална дирекция или служба или е бил член на персонала на ДЛЗД в периода от две години преди назначаването си като КЗД, се освобождава от посоченото изискване за обучение.

4.   Администраторите с делегирани правомощия вземат подходящи мерки, за да гарантират, че КЗД се привлича по подходящ начин и своевременно за участие по всички въпроси, свързани със защитата на данните в неговата генерална дирекция или служба, както и че при поискване от КЗД дадените от него становища се свеждат незабавно до знанието на администратора с делегирани правомощия.

5.   КЗД се избират въз основа на познанията и опита им във връзка с функционирането на съответната генерална дирекция или служба, мотивацията им за изпълнението на тази функция, компетенциите им по отношение на защитата на данните, разбирането на принципите на информационните системи и комуникационните им умения.

6.   Функцията на КЗД може да се съчетава с други функции. Администраторът с делегирани правомощия гарантира, че въпросните функции са съвместими с функцията на КЗД.

7.   Функцията КЗД е част от длъжностната характеристика на всеки член на персонала, назначен като КЗД. Отговорностите и постиженията му в това качество се посочват в годишния атестационен доклад.

8.   КЗД действа като звено за контакт между администратора с делегирани правомощия, оперативния администратор и обработващия лични данни, от една страна, и ДЛЗД, от друга страна.

9.   КЗД има право да получава всякаква информация в своята генерална дирекция или служба, доколкото това е необходимо за изпълнение на задачите му като КЗД. КЗД има достъп до лични данни само ако това е необходимо за изпълнението на неговите задачи.

10.   КЗД води документация и изготвя анонимизирана статистика на исканията на субектите на данни до генералната дирекция, службата или кабинета, като посочва броя на подадените искания и броя на исканията, които са изцяло или частично отхвърлени. ДЛЗД посочва категориите искания, за които трябва да се пазят статистически данни. ДЛЗД може да посочи какви допълнителни данни трябва да бъдат предоставени.

КЗД води анонимизирана статистика на нарушенията на сигурността на личните данни, по които работи генералната дирекция, службата или кабинетът, като посочва общия брой на нарушенията на сигурността на личните данни, броя на нарушенията на сигурността на личните данни, за които е уведомен ЕНОЗД, и броя на нарушенията на сигурността на личните данни, за които е съобщено на субектите на данни.

11.   КЗД повишава осведомеността по въпросите, свързани със защитата на данните, в своята генерална дирекция или служба и предоставя съвети и съдействие на администраторите с делегирани правомощия и оперативните администратори при изпълнението на техните задължения, особено във връзка с:

12.   КЗД участва в срещите, а при необходимост и в работните групи на КЗД.

13.   ДЛЗД издава допълнителни указания относно отговорностите и функциите на КЗД.

1.   Администраторите с делегирани правомощия действат от името на Комисията като администратор за целите на прилагането на Регламент (ЕС) 2018/1725.

2.   Администраторите с делегирани правомощия и оперативните администратори:

3.   Администраторът с делегирани правомощия:

В посочените в първа алинея, буква б) договорености се определят съответните им отговорности във връзка с изпълнението на техните задължения за защита на данните. По-специално, в договореностите се посочват самоличността на администратора с делегирани правомощия, който определя средствата и целите на операцията по обработване, както и оперативният администратор за операцията по обработване, а когато е целесъобразно — и кои лица и/или образувания ще помагат на оперативния администратор, наред с другото, при събирането на информация в случай на нарушения на сигурността на данните или при упражняване на правата на субектите на данни.

4.   Оперативният администратор:

1.   ДЛЗД гарантира, че достъпът до регистъра на операциите по обработване на Комисията е възможен чрез уебсайта на ДЛЗД на интранета на Комисията и чрез уебсайта на ДЛЗД на уебсайта Europa.

2.   Администраторите с делегирани правомощия уведомяват ДЛЗД, чрез своя КЗД, за документацията от своите операции по обработване, като за целта използват онлайн системата за уведомяване на Комисията, която е достъпна чрез уебсайта на ДЛЗД на интранета на Комисията.

1.   Исканията за разследване, посочени в член 6, буква д), се адресират до ДЛЗД в писмена форма. В срок от 15 работни дни след получаване на искането ДЛЗД изпраща потвърждение за получаването до лицето, поискало разследването, и проверява дали искането трябва да се третира като поверително, за да гарантира поверителност при обработването му, освен ако съответният субект на данни даде недвусмислено съгласието си искането да бъде обработено по друг начин. При явна злоупотреба с правото да се иска разследване ДЛЗД не е задължено да докладва на лицето, което го е поискало.

2.   ДЛЗД изисква писмено изявление по въпроса от администратора с делегирани правомощия, отговарящ за съответната операция по обработване на данни. Администраторът с делегирани правомощия предоставя отговора си на ДЛЗД в срок от 15 работни дни. ДЛЗД може да поиска допълнителна информация от администратора с делегирани правомощия, обработващия лични данни или други страни в срок от 15 работни дни.

3.   ДЛЗД докладва на лицето, поискало разследването, до три месеца след получаване на искането. Този срок може временно да бъде спрян, докато ДЛЗД получи цялата допълнителна информация, която е поискал.

4.   За никого не следва да има отрицателни последици в резултат на това, че е отнесъл до вниманието на ДЛЗД въпрос, при който се твърди, че е извършено нарушение на разпоредбите на Регламент (ЕС) 2018/1725.

1.   За административни цели ДЛЗД е прикрепено към Генералния секретариат. В този контекст ДЛЗД участва в изготвянето на годишния план за управление и предварителния проектобюджет на Генералния секретариат.

2.   ДЛЗД изпълнява ролята на атестиращо лице за работещите в Службата за защита на данните. Заместник генералният секретар изпълнява ролята на заверяващо лице. ДЛЗД участва по целесъобразност в координацията на управлението на Генералния секретариат.

1.   При изпълнение на задълженията си по отношение на правата на субектите на данни, произтичащи от Регламент (ЕС) 2018/1725, Комисията преценява дали се прилага някое от изключенията, предвидени в регламента.

2.   При спазване на членове 14—18 от настоящото решение, Комисията може да ограничи прилагането на членове 14—17, 19, 20 и 35 от Регламент (ЕС) 2018/1725, както и на принципа на прозрачност, установен в член 4, параграф 1, буква а) от него, доколкото въведените от този член разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, 19 и 20 от Регламент (ЕС) 2018/1725, ако упражняването на тези права и задължения би изложило на риск целта на задачите на ДЛЗД, включително чрез разкриването на използваните от него инструменти и методи за разследване или одит, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни, както е предвидено в член 25, параграф 1, букви в), ж) и з).

3.   При спазване на членове 14—18 от настоящото решение Комисията може да ограничава правата и задълженията, посочени в параграф 2 от настоящия член, във връзка с лични данни, които ДЛЗД е получило от службите на Комисията или от други институции и органи на Съюза. Комисията може да постъпва по този начин, когато упражняването на посочените права и задължения може да бъде ограничено от въпросните служби на Комисията или институции или органи на Съюза въз основа на други актове, посочени в член 25 от Регламент (ЕС) 2018/1725, или в съответствие с глава IX от същия регламент или съгласно Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета (6) или Регламент (ЕС) 2017/1939 на Съвета (7).

Преди да приложи ограничения при обстоятелствата, посочени в първа алинея, Комисията се консултира със съответните институции или органи на Съюза, освен ако за Комисията е ясно, че прилагането на ограничението е предвидено в някой от актовете, посочени във въпросната алинея.

4.   Всяко ограничаване на прилагането на правата и задълженията, посочено в параграф 2 от настоящия член, трябва да е необходимо и пропорционално, като се имат предвид рисковете за правата и свободите на субектите на данни.

1.   Комисията публикува на своя уебсайт известия във връзка със защитата на данните, с които информира всички субекти на данни за задачите на ДЛЗД, включващи обработване на техните лични данни.

2.   Комисията информира индивидуално, в подходяща форма, всяко физическо лице, за което счита, че е засегнато от задачите на ДЛЗД или че е информатор.

3.   Когато Комисията ограничава изцяло или частично предоставянето на информация на субектите на данни, посочени в параграф 2, тя документира и регистрира причините за ограничението в съответствие с член 17.

1.   Когато Комисията ограничава изцяло или частично правото на достъп до личните данни от страна на субектите на данни, правото на изтриване или правото на ограничаване на обработването, както са посочени съответно в членове 17, 19 и 20 от Регламент (ЕС) 2018/1725, в отговора си на искането за достъп, изтриване или ограничаване на обработването тя информира засегнатия субект на данни за приложеното ограничение и основните причини за него, както и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда на Европейския съюз.

2.   Предоставянето на информация относно причините за ограничението, посочено в параграф 1, може да бъде отложено, пропуснато или отказано дотогава, докато застрашава постигането на целта на ограничението.

3.   Комисията документира и регистрира причините за ограничението в съответствие с член 17.

4.   Когато правото на достъп е изцяло или частично ограничено, субектът на данни може да упражнява правото си на достъп с посредничеството на ЕНОЗД в съответствие с член 25, параграфи 6, 7 и 8 от Регламент (ЕС) 2018/1725.

1.   Комисията документира причините за всички ограничения, налагани съгласно настоящото решение, като включва оценка на необходимостта и пропорционалността на ограничението за всеки отделен случай, вземайки предвид съответните елементи, посочени в член 25, параграф 2 от Регламент (ЕС) 2018/1725.

За тази цел в документацията се посочва по какъв начин упражняването на правото би изложило на риск целта на задачите на ДЛЗД, предвидени в настоящото решение, или ограниченията, приложени съгласно член 13, параграфи 2 или 3, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.

2.   Тази документация и, ако е приложимо, документите, съдържащи фактическите и правните елементи, на които тя се основава, се вписват в регистъра. При поискване те се предоставят на ЕНОЗД.

1.   Ограниченията по членове 14, 15 и 16 се прилагат дотогава, докато основанията за налагането им са валидни.

2.   Когато основанията за дадено ограничение по член 14 или член 16 престанат да са налице, Комисията отменя ограничението и посочва на субекта на данните основанията за ограничението. Същевременно Комисията информира субекта на данните за възможността да подаде жалба до ЕНОЗД по всяко време или да потърси защита по съдебен ред пред Съда на Европейския съюз.

3.   Комисията извършва преглед на прилагането на ограниченията, посочени в членове 14 и 16, на всеки шест месеца от приемането им и при всички случаи при приключването на съответната дейност на ДЛЗД. След това Комисията преценява ежегодно необходимостта от запазването на ограничението или отлагането.

1.   Когато други служби на Комисията стигнат до заключението, че правата на субекта на данните следва да бъдат ограничени съгласно настоящото решение, те информират ДЛЗД. Те му предоставят също така достъп до документацията и до документите, съдържащи фактическите и правните елементи, на които тя се основава.

2.   ДЛЗД може да поиска от администратора с делегирани правомощия на съответната служба на Комисията да направи преглед на прилагането на ограниченията. Администраторът с делегирани правомощия на съответната служба на Комисията информира писмено ДЛЗД за резултата от поискания преглед.