22.9.2012   

BG

Официален вестник на Европейския съюз

C 286/16

РЕШЕНИЕ НА ЕВРОПЕЙСКИЯ СЪВЕТ ЗА СИСТЕМЕН РИСК

от 13 юли 2012 година

за прилагане на правила за защита на данните в Европейския съвет за системен риск

(ЕССР/2012/1)

2012/C 286/11

ГЕНЕРАЛНИЯТ СЪВЕТ НА ЕВРОПЕЙСКИЯ СЪВЕТ ЗА СИСТЕМЕН РИСК,

като взе предвид член 16 от Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (1), и по-специално член 24, параграф 8 от него,

след консултация с Европейския надзорен орган по защита на данните (ЕНОЗД),

като има предвид, че:

(1)

Регламент (ЕО) № 45/2001 установява принципи и правила, приложими за всички институции и органи на Европейския съюз, и предвижда назначаването от всяка институция и орган на Съюза на длъжностно лице за защита на данните (ДЛЗД).

(2)

Съгласно член 24, параграф 8 от Регламент (ЕО) № 45/2001 всяка институция или орган на Съюза трябва да приеме допълнително правила за прилагане относно ДЛЗД, в съответствие с приложението към този регламент.

(3)

Подходящо е да се включат разпоредби по отношение на контролиращи органи и координатори за защита на данните, чиито задачи и задължения се отнасят до тези на ДЛЗД и до регулиране на правата на субектите на данни,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

РАЗДЕЛ 1

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет и приложно поле

Настоящото решение определя правила по отношение на:

а)

назначаването и статута на ДЛЗД на Европейския съвет за системен риск (ЕССР), както и на задачите, задълженията и правомощията на ДЛЗД;

б)

ролите, задачите и задълженията на контролиращите органи и координаторите за защита на данните;

в)

упражняването на права от субекти на данни.

Член 2

Определения

За целите на настоящото решение се прилагат следните определения:

а)

„контролиращ орган“ означава управител, отговарящ за организационна структура, която определя целите и средствата за обработка на лични данни;

б)

„координатор за защита на данните“ означава член на персонала, който съдейства на контролиращия орган при изпълнението на неговите задължения за защита на данните. Това лице е специалист в управлението на архиви.

РАЗДЕЛ 2

ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ

Член 3

Назначаване, статут и организационни въпроси

1.   Генералният съвет:

а)

назначава ДЛЗД, който има достатъчно висок ранг, за да отговори на условията на член 24 от Регламент (ЕО) № 45/2001;

б)

определя мандат на ДЛЗД за срок от две до пет години.

2.   Генералният съвет гарантира, че ДЛЗД е независимо при изпълнението на своите задачи и задължения. Без да се засяга тази независимост, лицата, извършващи оценка на ДЛЗД, се консултират с ЕНОЗД, преди да оценят изпълнението на задачите и задълженията на ДЛЗД.

3.   Съответният контролиращ орган гарантира, че ДЛЗД е информирано незабавно:

а)

когато възникне въпрос, който има или може да има последици за защитата на данните; и

б)

за всички контакти между ЕССР и външни лица, отнасящи се до прилагането на Регламент (ЕО) № 45/2001, и особено за всяко взаимоотношение с ЕНОЗД.

4.   Генералният съвет може да назначи заместник на ДЛЗД, спрямо когото се прилагат член 24, параграфи 1, 2 и 6 от Регламент (ЕО) № 45/2001. Заместникът на ДЛЗД подпомага ДЛЗД при изпълнението на неговите задачи и задължения и го замества, когато ДЛЗД отсъства.

5.   Служителите, съдействащи на ДЛЗД във връзка с въпросите по защита на данните, изпълняват единствено указанията на ДЛЗД.

6.   ДЛЗД може да бъде освободено със съгласието на ЕНОЗД, ако вече не отговаря на изискванията, необходими за изпълнението на неговите задачи и задължения.

Член 4

Задачи и задължения на ДЛЗД

При изпълнение на задачите, посочени в член 24 от Регламент (ЕО) № 45/2001 и в приложението към регламента, ДЛЗД изпълнява следните задължения, като взема предвид, информацията, получена от секретариата на ЕССР:

а)

повишава осведомеността по отношение на въпроси по защита на данните и насърчава култура по защита на лични данни в ЕССР;

б)

съветва Генералния съвет, Управителния комитет, секретариата, контролиращия орган и координатора за защита на данните по въпроси, отнасящи се до прилагането на разпоредбите за защита на данните в ЕССР. Генералният съвет, Управителният комитет, секретариата, съответният контролиращ орган или всяко физическо лице могат да се консултират с ДЛЗД по всеки въпрос, отнасящ се до тълкуването или прилагането на Регламент (ЕО) № 45/2001;

в)

сътрудничи си с ЕНОЗД по негово искане или по собствена инициатива и отговаря на искания, които ЕНОЗД отправя към ДЛЗД на ЕССР;

г)

определя дали дадена операция по обработка е вероятно да представлява специфични рискове по смисъла на член 27 от Регламент (ЕО) № 45/2001 и по този начин е предмет на предварителна проверка. ДЛЗД консултира, ако е необходимо, съответния контролиращ орган. В случай на съмнение за необходимостта от предварителна проверка се прави консултация с ЕНОЗД в съответствие с член 27, параграф 3 от Регламент (ЕО) № 45/2001;

д)

по искане на Генералния съвет, Управителния комитет, секретариата или всяко физическо лице, или по собствена инициатива извършва проверка на въпроси и случаи, които имат пряко отношение към задачите и задълженията на ДЛЗД, и докладва обратно на лицето, поискало проверката. ДЛЗД разглежда въпросите и фактите безпристрастно и надлежно взема предвид правата на субектите на данни. Ако ДЛЗД прецени за необходимо, то следва да информира съответно и всички други заинтересовани страни. Ако лицето, поискало проверката, е физическо лице или действа от името на физическо лице, ДЛЗД е задължено, доколкото е възможно, да гарантира конфиденциалността на искането, освен ако въпросният субект на данни даде недвусмисленото си съгласие искането му да не бъде третирано като поверително;

е)

сътрудничи си с ДЛЗД на други институции и органи на Съюза, по-специално като извършва обмен на опит и знания и представлява ЕССР при всички обсъждания на въпроси, отнасящи се до защитата на данни, с изключение на съдебни дела; и

ж)

представя на Генералния съвет и на ЕНОЗД годишна работна програма и годишен доклад относно дейността на ДЛЗД.

Член 5

Правомощия на ДЛЗД

1.   ДЛЗД може:

а)

да поиска становище от секретариата на ЕССР по въпроси, свързани с неговите задачи и задължения;

б)

да изготвя становище относно законосъобразността на текуща или предлагана операция по обработка или относно всеки въпрос, свързан с нотификация на операции по обработка;

в)

да запознава ръководителя на секретариата на ЕССР с всеки случай на неспазване на Регламент (ЕО) № 45/2001 от страна на член на персонала;

г)

да има достъп по всяко време до данните, образуващи предмета на операциите по обработка на лични данни и до всички офиси, съоръжения за обработка на данни и носители на данни;

д)

да бъде включен, винаги когато ЕССР изготвя вътрешни правила по отношение на защитата на лични данни;

е)

да поддържа анонимен списък на писмени искания от субекти на данни относно упражняването на техните права; и

ж)

да изпълнява другите задачи, посочени в приложението към Регламент (ЕО) № 45/2001.

2.   Без да се засягат задачите и правомощията на контролиращия орган, ДЛЗД има правомощия да подписва кореспонденция, подготвена от ДЛЗД в рамките на неговия мандат.

РАЗДЕЛ 3

КОНТРОЛИРАЩ ОРГАН И КООРДИНАТОР ЗА ЗАЩИТА НА ДАННИТЕ

Член 6

Задачи и задължения на контролиращите органи и координаторите за защита на данните

1.   Контролиращите органи гарантират, че всички операции по обработка на лични данни, извършвани в рамките на техните правомощия, са в съответствие с разпоредбите на Регламент (ЕО) № 45/2001.

2.   Контролиращите органи изпълняват задължението да съдействат на ДЛЗД и на ЕНОЗД при осъществяване на техните правомощия, като им предоставят пълна информация и достъп до лични данни и отговарят на въпроси в рамките на 20 работни дни от получаване на искането.

3.   Контролиращите органи уведомяват ДЛЗД своевременно, когато получат искане за достъп до или поправяне, блокиране или заличаване на лични данни, или относно правото на възражение на субекта на данни, или всяка жалба относно въпроси по защитата на данни.

4.   Без да се засягат задълженията на контролиращите органи:

а)

координаторите за защита на данните подпомагат контролиращите органи при изпълнението на задълженията им по искане на контролиращите органи или по тяхна собствена инициатива. За тази цел координаторите за защита на данните поддържат контакт със служителите на контролиращите органи, които са задължени да им предоставят всяка необходима информация. По преценка на съответния контролиращ орган това може да включва осигуряване на достъп до лични данни, обработвани под контрола на контролиращия орган;

б)

координаторите за защита на данните съдействат на ДЛЗД по отношение на:

i)

идентифицирането на съответния контролиращ орган на операции по обработка, свързани с лични данни;

ii)

оповестяването на съветите на ДЛЗД и подпомагането на контролиращия орган под указанията на ДЛЗД;

iii)

други аспекти от работната програма на ДЛЗД, както е уговорено между ДЛЗД и ръководството на координаторите за защита на данните.

Член 7

Процедура по нотификация

1.   Преди да се въведат нови операции по обработка на лични данни, съответният контролиращ орган уведомява ДЛЗД, като използва онлайн интерфейс, достъпен през уеб страниците на ДЛЗД на интранет-уебсайта на ЕССР. Всяка операция по обработка, която подлежи на предварителна проверка съгласно член 27, параграф 3 от Регламент (ЕО) № 45/2001, следва да бъде нотифицирана в достатъчен срок преди въвеждането ѝ, за да може да се извърши предварителна проверка от ЕНОЗД.

2.   Съответният контролиращ орган уведомява незабавно ДЗД за всяка промяна, засягаща информацията, която се съдържа в изпратена на ДЛЗД нотификация.

РАЗДЕЛ 4

ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Член 8

Регистър

Регистърът, воден от ДЛЗД съгласно член 26 от Регламент (ЕО) № 45/2001, служи като индекс за всички операции по обработка на лични данни, извършени в ЕССР. Субектите на данните могат да ползват информацията, съдържаща се в регистъра, за упражняване на техните права съгласно членове 13 до 19 от Регламент (ЕО) № 45/2001.

Член 9

Упражняване на правата на субектите на данни

1.   Съгласно правото си да бъдат съответно информирани за всяка обработка на личните си данни, субектите на данните могат да се обръщат към съответния контролиращ орган за упражняването на правата си по членове 13 до 19 от Регламент (ЕО) № 45/2001, както е определено по-долу:

а)

тези права могат да се упражняват единствено от субекта на данните или неговия надлежно упълномощен представител. Тези лица упражняват всяко от тези права безплатно;

б)

искания за упражняване на тези права се отправят в писмена форма до съответния контролиращ орган. Контролиращият орган разглежда искането, само ако самоличността на лицето, отправило искането, и пълномощното да се представлява субекта на данните, ако е приложимо, са надлежно проверени. Контролиращият орган информира незабавно в писмена форма субекта на данните дали искането е прието или не. Ако искането е отхвърлено, контролиращият орган посочва основанията за отказа;

в)

по всяко време в рамките на три календарни месеца от получаването на искането, контролиращият орган е задължен да предостави достъп на субекта на данните съгласно член 13 от Регламент (ЕО) № 45/2001, като му позволи да се запознае на място с данните или да получи копие от тях, според предпочитанията на заявителя;

г)

субектите на данни могат се обърнат към ДЛЗД, ако контролиращият орган не спазва сроковете съгласно буква б) или в). В случай на очевидна злоупотреба от субекта на данни при упражняване на неговите права контролиращият орган може да препрати субекта на данните към ДЛЗД. Ако случаят бъде препратен към ДЛЗД, ДЛЗД решава искането по същество и постановява последващи действия. При несъгласие между субекта на данни и контролиращия орган двете страни имат право да се консултират с ДЛЗД.

2.   Служителите могат да се консултират с ДЛЗД, преди да подадат жалба до ЕНОЗД.

Член 10

Изключение и ограничения

1.   След предварителна консултация с ДЛЗД контролиращият орган може на основание и в съответствие с условията, установени в член 20 от Регламент (ЕО) № 45/2001, да наложи ограничения върху правата, посочени в членове 13 до 17 от Регламент (ЕО) № 45/2001.

2.   Всяко заинтересовано лице може да поиска от ЕНОЗД да приложи член 47, параграф 1, буква в) от Регламент (ЕО) № 45/2001.

Член 11

Разследване

1.   Всяко искане за разследване по точка 1 от приложението към Регламент (ЕО) № 45/2001 се отправя до ДЛЗД в писмена форма.

2.   В срок до 20 работни дни от получаване на искането ДЛЗД изпраща потвърждение за получаването на искането до заявителя.

3.   ДЛЗД може да извърши проверка на място на случая и да изиска писмено изявление от съответния контролиращ орган. Съответният контролиращ орган дава отговор на ДЛЗД в срок до 20 работни дни от получаване от контролиращия орган на искането на ДЛЗД. ДЛЗД може да изиска допълнителна информация или съдействие от секретариата. Такава информация или съдействие се предоставя в срок до 20 работни дни от получаването на искането на ДЛЗД.

4.   ДЛЗД докладва по случая на заявителя в срок до три календарни месеца от получаването на искането.

РАЗДЕЛ 5

ВЛИЗАНЕ В СИЛА

Член 12

Влизане в сила

Настоящото решение влиза в сила на двадесетия ден от публикуването му в Официален вестник на Европейския съюз.

Съставено във Франкфурт на Майн на 13 юли 2012 година.

Председател на ЕССР

Mario DRAGHI

(1)  ОВ L 8, 12.1.2001 г., стр. 1.