Решение на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност

от 8 декември 2011 година

относно правилата по отношение на защитата на данните

2012/C 308/07

ВЪРХОВНИЯТ ПРЕДСТАВИТЕЛ,

като взе предвид Решение 2010/427/ЕС на Съвета от 26 юли 2010 г. за определяне на организацията и функционирането на Европейската служба за външна дейност („Решението на Съвета относно ЕСВД“) и по-специално член 11, параграф 3 от него,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

РАЗДЕЛ 1

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет и приложно поле

С настоящото решение се определят правилата за изпълнение на Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (наричан по-долу „регламентът“) по отношение на Европейската служба за външна дейност („ЕСВД“), в съответствие с член 24, параграф 8 от него.

Член 2

Определения

По смисъла на настоящото решение и без да се засягат определенията, посочени в регламента:

РАЗДЕЛ 2

ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ

Член 3

Назначаване и статут на длъжностното лице за защита на данните (ДЗД)

1.   Главният оперативен служител (ГОС) избира и назначава ДЗД в съответствие с член 24, параграф 2 от регламента и го регистрира при Европейския надзорен орган по защита на данните („ЕНОЗД“). ДЗД е пряко зачислен към ГОС.

2.   Мандатът на ДЗД е пет години и може да бъде подновяван веднъж.

3.   При изпълнението на служебните си задължения ДЗД действа независимо и в сътрудничество с ЕНОЗД. В частност ДЗД не може да получава нареждания от назначаващия орган на ЕСВД или от когото и да било друг по отношение на вътрешното прилагане на разпоредбите на регламента и на настоящото решение или по отношение на сътрудничеството си с ЕНОЗД. ДЗД редовно присъства на обученията за защита на данните и ГОС предприема необходимите за това мерки.

4.   ГОС оценява изпълнението на задачите и служебните задължения на ДЗД всяка година, по-специално въз основа на годишния доклад на ДЗД, след консултация с ЕНОЗД, когато е уместно. ДЗД може да бъде освободен от поста си единствено със съгласието на ЕНОЗД, при положение че вече не отговаря на необходимите условия за изпълнението на служебните му задължения.

5.   Без да се засяга предвидената за назначаването му процедура, ДЗД следва да бъде информиран за всички контакти с външни лица, отнасящи се до прилагането на регламента и на настоящото решение, и особено що се отнася до взаимоотношенията с ЕНОЗД.

6.   Без да се засягат съответните разпоредби на регламента, за ДЗД и неговия персонал важат правилата и разпоредбите, приложими спрямо длъжностните лица и другите служители на Европейския съюз.

Член 4

Служебни задължения

ДЗД е длъжен:

Член 5

Задачи

1.   В допълнение към служебните задължения, които трябва да изпълнява, както е посочено в член 4, ДЗД е длъжен:

2.   Без да се засягат разпоредбите на член 4, буква б), член 5, параграф 1, букви б) и в) и член 15, ДЗД и неговите подчинени нямат право да разкриват информация или документи, получени при изпълнението на служебните си задължения и задачи.

Член 6

Правомощия

При изпълнението на своите задачи и служебни задължения ДЗД:

Член 7

Ресурси

На ДЗД се осигуряват необходимият персонал и ресурси с оглед изпълнението на неговите служебни задължения и задачи.

РАЗДЕЛ 3

ПРАВА И ЗАДЪЛЖЕНИЯ НА УЧАСТНИЦИТЕ В ОБЛАСТТА НА ЗАЩИТАТА НА ДАННИТЕ

Член 8

Назначаващ орган

1.   В случай на жалба по смисъла на член 90 от Правилника за длъжностните лица по отношение на нарушение на регламента и настоящото решение, назначаващият орган се консултира с ДЗД, който е длъжен да се произнесе с писмено становище в срок от 15 дни след получаването на искането. В случай че след изтичането на срока ДЗД не е предоставил на назначаващия орган своето становище, то вече не е необходимо. Назначаващият орган не е длъжен да се съобрази със становището на ДЗД.

2.   ДЗД следва да бъде информиран винаги, когато се разглежда въпрос, който има или би могъл да има отношение към защитата на данни.

Член 9

Контролиращи органи

1.   Контролиращите органи са длъжни да гарантират, че всички операции по обработката под техен контрол отговарят на регламента и разпоредбите на настоящото решение. Ако е необходимо, те могат да възлагат задачи по обработката на данни на членове на персонала на ЕСВД, работещи под тяхно ръководство, или на наети лица, в съответствие с член 23 от регламента.

2.   В частност, контролиращите органи:

Член 10

Координатори

1.   Всеки изпълнителен директор, директор или ръководител на равна по ранг и функция служба, или, ако е необходимо, ръководителят на делегация на Съюза, определя координатор за защитата на данните, работещ под негово ръководство.

Без да се засягат отговорностите на ДЗД, всеки координатор:

2.   Без да се засягат отговорностите на контролиращите органи, координаторите:

Член 11

Персонал на ЕСВД

1.   Всички членове на персонала на ЕСВД допринасят за спазването на правилата за поверителност и сигурност при обработката на лични данни съгласно предвиденото в членове 21 и 22 от регламента. На член на персонала на ЕСВД, имащ достъп до лични данни, се забранява да ги обработва, освен по нареждане на контролиращия орган, с изключение на случаите, когато това се изисква съгласно националното законодателство или законодателството на Съюза.

2.   Всеки член на персонала на ЕСВД може да подаде жалба до ЕНОЗД, сигнализирайки за предполагаемо нарушение на разпоредбите на регламента и настоящото решение, уреждащи обработката на лични данни, без да е необходимо да следва официална процедура, съгласно правилата, определени от ЕНОЗД.

Член 12

Субекти на данни

1.   Съгласно правото на субектите на данни да бъдат съответно информирани за всяка обработка на лични данни, имащи отношение към тях, в съответствие с член 11 и член 12 от регламента, субектите на данни могат да се обръщат към съответния контролиращ орган за целите на упражняването на правата си съгласно членове 13—19 от регламента, както е определено в раздел 5 от настоящото решение.

2.   Без да се засяга никое средство за правна защита, всеки субект на данни може да подаде жалба до ЕНОЗД, ако счита, че правата му съгласно регламента и настоящото решение са нарушени в резултат на обработката на неговите лични данни от страна на контролиращите органи, съгласно правилата, определени от ЕНОЗД.

3.   Никой субект на данни не може да бъде обект на несправедливо отношение поради подаване на жалба до ЕНОЗД или поради изпратен до ДЗД сигнал относно предполагаемо нарушение на разпоредбите на регламента.

РАЗДЕЛ 4

РЕГИСТЪР НА ОПЕРАЦИИТЕ ПО ОБРАБОТКАТА НА ДАННИ, ЗА КОИТО Е ИЗПРАТЕНО УВЕДОМЛЕНИЕ

Член 13

Процедура по уведомяване

1.   Контролиращите органи уведомяват ДЗД за всяка операция по обработката на лични данни чрез формуляр на уведомление, който е достъпен на вътрешния сайт на ЕСВД и делегациите на Съюза (под заглавието „Защита на данните“). Уведомлението се изпраща на ДЗД по електронен път. На ДЗД се изпраща потвърждаващо уведомление в писмен вид в срок до 10 работни дни. След като получи потвърждаващото уведомление, ДЗД го публикува в регистъра.

2.   Уведомлението включва цялата информация, посочена в член 25, параграф 2 от регламента. ДЗД трябва своевременно да бъде уведомен за всяка промяна, която се отразява на тази информация.

3.   Последващите правила и процедури относно процедурата по уведомяване, която следва да се спазва от контролиращите органи, съставляват част от общите препоръки на ДЗД.

Член 14

Съдържание и цел на регистъра

1.   ДЗД води регистър на операциите по обработката на лични данни, който се създава на базата на получените от контролиращите органи уведомления.

2.   Регистърът включва като минимално задължително съдържание информацията по член 25, параграф 2, букви от а) до ж) от регламента. По изключение вписваната от ДЗД в регистъра информация може да бъде ограничена в случай на необходимост да се защити сигурността на конкретна операция по обработката на данни.

3.   Регистърът служи за справочник на операциите по обработката на лични данни, провеждани от ЕСВД. Той е достъпен за субектите на данни с цел да се улесни упражняването на техните права, както е посочено в членове 13—19 от регламента и в настоящото решение.

Член 15

Достъп до регистъра

1.   ДЗД предприема подходящите мерки за гарантиране на достъпа до регистъра на всеки субект на данни, било то пряко или косвено чрез ЕНОЗД. По-специално ДЗД предоставя информация и съдействие на субектите на данни относно начина и мястото, където могат да се подават заявления с искане за достъп до регистъра.

2.   Освен в случаите, когато е предоставен достъп онлайн, заявленията за достъп до регистъра могат да се подават в писмена форма, включително по електронен път, на един от езиците, посочени в член 342 от Договора за функционирането на Европейския съюз, и по достатъчно точен начин, за да може ДЗД да определи съответните операции по обработката на данни. На заявителя незабавно се изпраща потвърждение за получаването на заявлението.

3.   Ако заявлението не е достатъчно точно, ДЗД отправя искане до заявителя да поясни заявлението си и за целта помага на заявителя. В случай че заявлението се отнася до много голям брой операции по обработката на данни, ДЗД може да разговаря със заявителя неофициално с оглед постигането на справедливо разрешение по искането.

4.   Всеки субект на данни може да поиска от ДЗД копие на информацията, която се съдържа в регистъра относно всяка операция по обработка на данни, за която е постъпило уведомление.

РАЗДЕЛ 5

РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВАТА НА ФИЗИЧЕСКИТЕ ЛИЦА

Член 16

Общи разпоредби

1.   Правата на субектите на данни, посочени в настоящия раздел, могат да се упражняват единствено от самите засегнати физически лица или в изключителни случаи — от името на физическите лица с надлежно упълномощаване. Исканията се отправят в писмена форма до съответния контролиращ орган с копие до ДЗД. При необходимост ДЗД оказва съдействие на субекта на данните да определи съответния контролиращ орган. За целта ДЗД предоставя специални формуляри. Контролиращите органи одобряват искането само ако формулярът е попълнен изцяло и самоличността на заявителя е надлежно проверена за достоверност. Физическите лица упражняват своите права безплатно.

2.   Съответният контролиращ орган изпраща на заявителя потвърждение за получаване на заявлението в срок до пет работни дни от регистрирането на заявлението. Освен когато е предвидено друго, контролиращият орган отговаря на искането най-късно до петнадесет работни дни от регистрирането му, като или го удовлетворява, или излага писмено мотивите за пълния или частичен отказ, по-специално в случаите, когато заявителят не се счита за физическо лице.

3.   В случай на нередности или очевидна злоупотреба от страна на субекта на данни при упражняването на неговите права и когато субектът на данни твърди, че обработката е неправомерна, контролиращият орган е длъжен да се консултира с ДЗД относно искането и/или да препрати субекта на данни към ДЗД, който решава дали искането отговаря на изискванията и предприема съответните последващи действия.

4.   Всеки субект на данни може да се консултира с ДЗД относно упражняването на правата си в даден случай. Без да се засягат средствата за правна защита, всеки субект на данни може да подаде жалба до ЕНОЗД, ако счита, че правата му по регламента са нарушени в резултат от обработката на личните му данни.

Член 17

Право на достъп

Субектът на данни има правото да получи от контролиращите органи, без ограничение, по всяко време в рамките на три месеца от получаването на искането, информацията по член 13, букви от а) до г) от регламента или под формата на запознаване с данните на място, или чрез получаване на копие, включително, когато е уместно, копие в електронна форма, според предпочитанията на заявителя.

Член 18

Право на поправка

Във всяко искане от страна на субект на данни за извършване на поправка на неточни или непълни лични данни следва да бъдат посочени съответните данни, както и поправката, която трябва да се извърши. То се обработва от контролиращ орган незабавно.

Член 19

Право на блокиране

Съответният контролиращи орган обработва искането за блокиране на данни по член 15 от регламента незабавно. В искането се посочват съответните данни, както и причините за блокирането им. Контролиращият орган информира субекта на данните, подал искането, преди да се деблокират данните.

Член 20

Право на заличаване

Субектът на данни може да поиска от контролиращите органи да бъдат незабавно заличени данни в случай на неправомерна обработка, по-специално — при нарушение на разпоредбите на членове 4—10 от регламента. В искането се посочват съответните данни и се представят причините или доказателства за неправомерността на обработката. При автоматизираните системи за съхраняване на информация заличаването се осигурява по принцип чрез използването на всички подходящи технически средства, като се изключва всякаква възможност за по-нататъшна обработка на заличените данни. Ако заличаването не е възможно поради технически причини, след като се консултира с ДЗД и със заинтересованото лице, съответният контролиращ орган пристъпва към незабавно блокиране на данните.

Член 21

Уведомяване на трети страни

В случай на поправка, блокиране или заличаване по молба на субекта на данни, той може да получи от контролиращите органи уведомлението до трети страни, на които са били разкрити неговите лични данни, освен в случаите, когато това се окаже невъзможно или предполага неимоверни усилия.

Член 22

Право на възражение

Субектът на данни може да възрази срещу обработката на отнасящи се до него данни и срещу разкриването или използването на неговите лични данни, съгласно член 18 от регламента. В искането се посочват съответните данни и основанията на искането. Когато искането е обосновано, въпросната обработка се извършва, без да включва съответните данни.

Член 23

Автоматизирани решения относно лицето

Субектът на данни има право да не бъде подлаган на автоматизирани решения относно лицето по смисъла на член 19 от регламента, освен в случаите, когато решението е изрично разрешено съгласно националното законодателство или законодателството на Съюза, или съгласно решение на ЕНОЗД, защищаващо законните интереси на субекта на данните. И в двата случая на субекта на данните се дава възможност да представи предварително мнението си и да се консултира с ДЗД.

Член 24

Изключения и ограничения

1.   Доколкото законните основания, определени в член 20 от регламента, ясно позволяват, контролиращите органи могат да наложат ограничения върху правата, посочени в членове 17—21 от настоящото решение. Освен когато е абсолютно необходимо, контролиращият орган първо се консултира с ДЗД, чието становище не е обвързващо за ЕСВД. Контролиращият орган незабавно отговаря на исканията за прилагане на изключения или ограничения относно упражняването на права и мотивира това решение.

2.   Всеки субект на данни може да поиска от ЕНОЗД да се приложи член 47, параграф 1, буква в) от регламента.

РАЗДЕЛ 6

ПРОЦЕДУРА ЗА ПРОВЕРКА

Член 25

Практически начини на работа

1.   Исканията за проверка се отправят до ДЗД в писмена форма по предоставена на лицето специален формуляр. В случай на явна злоупотреба с правото на искане за проверка — например, когато същото лице неотдавна е отправяло същото искане, ДЗД не е длъжен да отговори на запитващия.

2.   В срок до 15 дни след получаването, ДЗД изпраща потвърждение за получаването на искането до назначаващия орган или лицето, поръчало проверката, и потвърждава дали искането следва да се третира като поверително.

3.   ДЗД изисква от контролиращия орган, отговарящ за въпросната операция по обработката на данни, писмено обяснение по случая. Контролиращият орган дава отговор на ДЗД в 15-дневен срок. ДЗД може да поиска допълнителна информация от други служби на ЕСВД, като Отдела за сигурност на информацията („INFOSEC“) към ЕСВД. При необходимост той може да поиска становище по случая от Правната служба на ЕСВД. Информацията или становището се предоставят на ДЗД в 30-дневен срок.

4.   ДЗД докладва по случая на назначаващия орган и на лицето, отправило искането, не по-късно от три месеца след неговото получаване.

РАЗДЕЛ 7

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 26

В случай на някакво несъответствие между разпоредбите на настоящото решение и на регламента се прилагат разпоредбите на регламента.

Член 27

Настоящото решение се предоставя на разположение на персонала на ЕСВД по подходящ начин, по-специално като се публикува на вътрешния сайт на ЕСВД и делегациите на Съюза (под заглавието „Защита на данните“).

Член 28

Влизане в сила

Настоящото решение влиза в сила в деня на приемането му.