1.   С настоящото решение се определят правилата и процедурите за прилагането на Регламент (ЕС) 2018/1725 от Съвета и Генералния секретариат на Съвета (ГСС) и се определят допълнителни правила за прилагане по отношение на длъжностното лице по защита на данните на Съвета (ДЛЗД).

2.   С настоящото решение се определят правилата, които Съветът и ГСС трябва да спазват, когато, във връзка със задачите на ДЛЗД по наблюдение, разследване, одит или консултиране, информират субектите на данни за обработването на техните лични данни в съответствие с членове 14, 15 и 16 от Регламент (ЕС) 2018/1725.

3.   С настоящото решение се определят условията, при които във връзка със задачите на ДЛЗД по наблюдение, разследване, одит или консултиране Съветът и ГСС може да ограничат прилагането на член 4, членове 14—17, членове 19, 20 и 35 от Регламент (ЕС) 2018/1725 в съответствие с член 25, параграф 1, букви в), ж) и з) от посочения регламент.

4.   Настоящото решение се прилага за обработването на лични данни от Съвета и ГСС за целите на или във връзка със задачите на ДЛЗД, посочени в член 45 от Регламент (ЕС) 2018/1725.

1.   Генералният секретар на Съвета определя ДЛЗД от персонала на ГСС и го регистрира в Европейския надзорен орган по защита на данните („ЕНОЗД“) в съответствие с член 43 от Регламент (ЕС) 2018/1725.

2.   ДЛЗД се избира въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките за защита на данните и способността му да изпълнява задачите, посочени в член 45 от Регламент (ЕС) 2018/1725. ДЛЗД също така има солидни познания за ГСС, неговата структура и административните му правила и процедури. За целите на изпълнението на задачите си ДЛЗД се освобождава от всякакви други задачи в рамките на ГСС.

3.   ДЛЗД се назначава за срок от пет години и може да бъде преназначавано.

4.   ДЛЗД и неговите служители са пряко подчинени на генералния секретар на Съвета и се отчитат пряко пред него.

5.   При изпълнението на своите задачи ДЛЗД действа независимо и не получава указания от генералният секретар на Съвета, от администраторите с делегирани правомощия или оперативните администратори или от други лица относно вътрешното прилагане на разпоредбите на Регламент (ЕС) 2018/1725 или сътрудничеството му с ЕНОЗД.

6.   Съветът и ГСС подпомагат ДЛЗД при изпълнението на посочените в член 45 от Регламент (ЕС) 2018/1725 задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и осигуряват достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания.

7.   ДЛЗД не може да бъде освобождавано от длъжност, нито санкционирано за изпълнението на своите задачи. ДЛЗД може да бъде освободено само в съответствие с член 44, параграф 8 от Регламент (ЕС) 2018/1725. За целите на получаване на съгласието на ЕНОЗД за такова освобождаване съгласно посочения член, с ЕНОЗД се провежда консултация в писмена форма. Копие от това съгласие се изпраща до ДЛЗД.

8.   ГСС, по-специално администраторите с делегирани правомощия и оперативните администратори гарантират, че ДЛЗД участва по подходящ начин и своевременно по всички въпроси, свързани със защитата на личните данни.

1.   ДЛЗД изпълнява всички задачи, предвидени в член 45 от Регламент (ЕС) 2018/1725, и по-специално ДЛЗД:

С ДЛЗД могат да се консултират генералният секретар, съответните администратори, Комитетът на служителите и всяко физическо лице, без да минава по официалните канали, по всякакъв въпрос, отнасящ се до прилагането и изпълнението на Регламент (ЕС) 2018/1725.

2.   ДЛЗД завежда в регистър записите за дейностите по обработване и предоставя публичен достъп до този регистър в съответствие с член 12.

3.   ДЛЗД води вътрешен регистър за нарушенията на сигурността на личните данни по смисъла на член 3, точка 16 от Регламент (ЕС) 2018/1725.

4.   При поискване ДЛЗД съветва администратора с делегирани правомощия относно прилагането на ограничение на прилагането на членове 14—22, 35 и 36, както и на член 4 от Регламент (ЕС) 2018/1725.

5.   ДЛЗД организира и председателства редовни срещи на координаторите по защита на данните.

6.   ДЛЗД представя годишен доклад за дейността си на генералния секретар на Съвета и го предоставя на разположение на служителите на ГСС.

7.   ДЛЗД си сътрудничи с длъжностните лица по защита на данните, определени от другите институции и органи на Съюза, и редовно присъства на заседанията, свикани от ЕНОЗД или от длъжностните лица по защита на данните на другите институции и органи на Съюза, с оглед улесняване на доброто сътрудничество, по-специално чрез обмен на опит и най-добри практики.

8.   ДЛЗД се счита за администратор с делегирани правомощия за операциите по обработване, извършвани при изпълнение на неговите задачи.

1.   Администраторите включват ДЛЗД при планирането и обсъждането на дейност, която включва обработване на лични данни. ДЛЗД се информира за всяка операция по обработване, както и за всяка съществена промяна на съществуваща операция по обработване.

2.   ДЛЗД се информира за проектите на вътрешни бележки и решения на ГСС, които са пряко свързани с вътрешното прилагане на Регламент (ЕС) 2018/1725.

3.   ДЛЗД се информира за всички контакти с външни страни, свързани с вътрешното прилагане на Регламент (ЕС) 2018/1725, както и за всяко взаимодействие с ЕНОЗД, по-специално когато ЕНОЗД е консултиран или информиран съгласно членове 40 и 41 от посочения регламент.

4.   С ДЛЗД се провеждат консултации относно проектите на договорености между съвместните администратори и относно проектите на договорни клаузи за защита на данните или други правни актове, когато личните данни се обработват от обработващ лични данни.

1.   Администраторите с делегирани правомощия отговарят за осигуряване на спазването на Регламент (ЕС) 2018/1725 при всички операции по обработване на данни, попадащи в сферата на техния контрол.

2.   В частност администраторите с делегирани правомощия:

3.   Администраторите с делегирани правомощия гарантират, че ДЛЗД участва своевременно по всички въпроси, свързани с личните данни, и въвеждат подходящи мерки, за да гарантират, че координаторът по защита на данните участва по подходящ начин по всички въпроси, свързани със защитата на данните в тяхната генерална дирекция или друга служба на ГСС.

4.   Администраторите с делегирани правомощия правят необходимото за това да бъдат въведени подходящи технически и организационни мерки, за да се докаже, че дейностите по обработването са в съответствие с Регламент (ЕС) 2018/1725, и дават подходящи инструкции на служителите на ГСС, за да се гарантира както поверителността на обработването, така и нивото на сигурност, подходящо за рисковете, свързани с обработването. При избора на тези мерки те могат да се консултират с ДЛЗД.

5.   Администраторите с делегирани правомощия докладват на ДЛЗД за обработването на всяко искане, получено от субект на данни за упражняването на неговите права, и подпомагат ДЛЗД и ЕНОЗД при изпълнението на съответните им задължения, по-специално като предоставят информация в отговор на техните искания в срок от 30 дни.

6.   Администраторите с делегирани правомощия отговарят за прилагането на ограничение на прилагането на членове 14—22, 35 и 36 от Регламент (ЕС) 2018/1725, както и на член 4 от посочения регламент, в съответствие с имащите отношение вътрешни правила. Администраторите с делегирани правомощия привличат за участие ДЛЗД по време на цялата процедура при прилагането на такова ограничение.

7.   Администраторите с делегирани правомощия правят необходимото за това да бъдат установени вътрешни договорености с други генерални дирекции или служби на ГСС, когато даденият администратор с делегирани правомощия извършва операции по обработване съвместно с тези генерални дирекции или служби на ГСС или когато въпросните генерални дирекции или служби извършват част от операцията по обработване на администратора с делегирани правомощия.

В посочените в първа алинея договорености се определят съответните отговорности на администраторите с делегирани правомощия и другите генерални дирекции или служби на ГСС във връзка с изпълнението на техните задължения за защита на данните. По-специално, в договореностите се посочват самоличността на администратора с делегирани правомощия, който определя средствата и целите на операцията по обработване, както и оперативният администратор за операцията по обработване, а когато е целесъобразно — и кои лица или образувания ще помагат на оперативния администратор, наред с другото, при събирането на информация в случай на нарушения на сигурността на данните или при упражняване на правата на субектите на данни.

1.   Оперативните администратори подпомагат администратора с делегирани правомощия при гарантиране спазването на Регламент (ЕС) 2018/1725 по отношение на операциите по обработване, за които отговарят, и служат като основно звено за контакт за субектите на данни.

2.   В частност оперативните администратори:

3.   Оперативните администратори информират без излишно забавяне ДЛЗД в случай на нарушения на сигурността на личните данни и му предоставят цялата необходима информация, която да му позволи да направи необходимото за това Съветът да спази задълженията във връзка с нарушения на сигурността на личните данни съгласно членове 34 и 35 от Регламент (ЕС) 2018/1725.

4.   В координация с администратора с делегирани правомощия и ДЛЗД оперативните администратори уведомяват ЕНОЗД в случай на нарушения на сигурността на личните данни, когато е приложимо. Те също информират субектите на данни, когато е приложимо.

5.   Оперативните администратори правят необходимото за това координаторът по защита на данните да бъде информиран по всички въпроси, свързани със защитата на данните.

6.   Оперативните администратори оценяват риска за правата и свободите на субекта на данни, свързан с операциите по обработване, за които отговарят, и когато е целесъобразно, извършват оценка на въздействието върху защитата на данните. Оперативните администратори се консултират с ДЛЗД, когато извършват тези оценки на въздействието, както и относно необходимостта от предварителна консултация в съответствие с членове 39 и 40 от Регламент (ЕС) 2018/1725.

7.   При поискване от администратора с делегирани правомощия оперативните администратори изпълняват всички други задачи, попадащи в приложното поле на настоящото решение.

1.   След консултация с ДЛЗД всяка генерална дирекция или друга служба на ГСС назначава един или повече координатори по защита на данните, които да подпомагат администратора с делегирани правомощия и оперативните администратори от съответната генерална дирекция или други служби на ГСС по всички аспекти, свързани със защитата на личните данни.

2.   Координаторите по защита на данните се избират въз основа на познанията и опита им във връзка с функционирането на съответната генерална дирекция или друга служба на ГСС, пригодността им за изпълнението на тази функция, компетенциите им по отношение на защитата на данните, познаване на принципите на информационните системи и комуникационните им умения. В срок от шест месеца от назначаването им новоназначените координатори по защита на данните преминават обучение за придобиване на необходимите компетенции за ролята на координатор по защита на данните. Координатор по защита на данните, който преди това е работил като лице за контакт в друга генерална дирекция или друга служба на ГСС в рамките на две години преди назначаването му, се освобождава от това изискване за обучение.

3.   Функцията на координатор по защита на данните е част от длъжностната характеристика на всеки член на персонала на ГСС, назначен като лице за контакт. Отговорностите и постиженията му в това качество се посочват в годишния атестационен доклад.

4.   Координаторите по защита на данните участват по подходящ начин и своевременно по всички въпроси, свързани със защитата на данните в тяхната генерална дирекция или друга служба на ГСС, и изпълняват задълженията си в тясно сътрудничество с ДЛЗД.

5.   Координаторите по защита на данните имат правото да получават от администраторите и от персонала адекватната и необходима информация, нужна за изпълнението на административните им задачи в рамките на тяхната генерална дирекция или друга служба на ГСС. Това не включва достъп до лични данни, обработвани под отговорността на администратора с делегирани правомощия. Координаторите по защита на данните имат достъп до лични данни само ако това е необходимо за изпълнението на техните задачи.

6.   Координаторите по защита на данните повишават осведомеността по въпросите на защитата на данните и подпомагат администраторите с делегирани правомощия в рамките на своята генерална дирекция или друга служба на ГСС при изпълнението на техните задължения, особено по отношение на:

7.   Координаторите по защита на данните подпомагат оперативните администратори в рамките на своята генерална дирекция или друга служба на ГСС при изпълнението на техните задължения, особено по отношение на:

1.   ДЛЗД поддържа регистър на операциите по обработване и прави необходимото за това регистърът да бъде достъпен чрез уебсайта на ДЛЗД в интранет на ГСС и чрез уебсайта на Съвета.

2.   Оперативният администратор уведомява ДЛЗД за всяка операция по обработване и предава записите за дейностите по обработване и свързаната с това декларация за поверителност, като използва формуляр, който може да се вземе от интранет сайта на ГСС (при „Защита на данните“). Уведомлението се изпраща на ДЛЗД по електронен път. След консултация с ДЛЗД администраторът с делегирани правомощия потвърждава записа и свързаната с него декларация за поверителност, а ДЛЗД ги публикува в регистъра.

3.   Записът включва цялата информация, посочена в член 31 от Регламент (ЕС) 2018/1725. По изключение вписваната от ДЛЗД в регистъра информация може да бъде ограничена до необходимото за защитата на сигурността на конкретна операция по обработване на данни. ДЛЗД своевременно се уведомява от оперативния администратор за всяка промяна, която се отразява на тази информация.

1.   При настъпване на нарушение на сигурността на личните данни администраторът с делегирани правомощия или оперативният администратор се обръща за съдействие към координатора по защита на данните, без ненужно забавяне информира за инцидента ДЛЗД и му предоставя цялата необходима информация, която да му позволи да направи необходимото за това Съветът да спази задължението във връзка с уведомленията и съобщенията за нарушения на сигурността на личните данни съгласно членове 34 и 35 от Регламент (ЕС) 2018/1725.

2.   ДЛЗД създава и поддържа вътрешен регистър на нарушенията на сигурността на личните данни. Администраторите с делегирани правомощия и оперативните администратори предоставят необходимата информация, която трябва да се въведе в регистъра.

3.   Администраторите с делегирани правомощия и оперативните администратори подготвят уведомлението до ЕНОЗД, като се консултират с ДЛЗД, освен ако няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица.

1.   ДЛЗД може по своя инициатива или по искане на администратора с делегирани правомощия, на оперативния администратор, на обработващия личните данни, на Комитета на служителите или на всяко физическо лице да разследва свързани със своите задачи въпроси и факти и да докладва обратно на лицето, възложило разследването, или на администратора с делегирани правомощия, оперативния администратор или обработващия личните данни.

2.   Исканията за разследване се адресират до ДЛЗД в писмена форма. В случай на явна злоупотреба с правото на искане на разследване, например когато едно и също лице неотдавна е отправило идентично искане, ДЛЗД не е длъжно да отговори на лицето, отправило искането.

3.   В срок до 15 дни след получаването на искане за разследване, ДЛЗД изпраща потвърждение за получаване на искането до лицето, отправило искането, и прави проверка на това дали искането трябва да се третира като поверително.

4.   ДЛЗД изисква от администратора с делегирани правомощия, отговарящ за операцията по обработване на данни, която е предмет на искането за разследване, писмено обяснение по случая. Администраторът с делегирани правомощия предоставя отговора си на ДЛЗД в срок до 15 дни. ДЛЗД може да поиска допълнителна информация от администратора с делегирани правомощия, оперативния администратор, обработващия личните данни или други имащи отношение служби на ГСС. По целесъобразност ДЛЗД може да поиска становище по случая от Правната служба на Съвета. Исканата информация или становището се предоставят на ДЛЗД в срок до 30 дни.

5.   ДЛЗД докладва по случая на лицето, отправило искането за разследване, не по-късно от три месеца след получаването му. Този срок може временно да бъде спрян, докато ДЛЗД получи цялата допълнителна информация, която е поискало.

6.   Никое лице не понася отрицателни последици в резултат на това, че е отнесло до вниманието на ДЛЗД въпрос, при който се твърди, че е извършено нарушение на Регламент (ЕС) 2018/1725.

1.   Правата на субектите на данни, установени в членове 14—24 от Регламент (ЕС) 2018/1725, могат да бъдат упражнявани само от субекта на данните или от неговия надлежно упълномощен представител.

2.   Субектът на данните отправя писмено искане до оперативния администратор с копие до ДЛЗД. При необходимост ДЛЗД оказва съдействие на субекта на данните да идентифицира съответния оперативен администратор. Искането може да бъде отправено в електронен вид и съдържа:

3.   Оперативният администратор изпраща на субекта на данни потвърждение за получаване в срок до пет работни дни от регистрирането на искането. Оперативният администратор изисква всички необходими разяснения в случай че искането е неясно или непълно. Приложимият краен срок по член 14, параграфи 3 и 4 от Регламент (ЕС) 2018/1725 не започва да тече преди предоставянето на всички необходими разяснения.

4.   Оперативният администратор проверява самоличността на субекта на данните в съответствие с член 14, параграф 6 от Регламент (ЕС) 2018/1725. Приложимият срокове по член 14, параграфи 3 и 4 от посочения регламент не започват да текат по време на периода на проверка на самоличността.

5.   . Оперативният администратор или удовлетворява искането на субекта на данни, или посочва писмено причините за пълния или частичния отказ в сроковете, предвидени в член 14, параграфи 3 и 4 от Регламент (ЕС) 2018/1725.

6.   В случай на изключително сложно искане, нередности или очевидна злоупотреба от страна на субекта на данни при упражняване на неговите права, когато има вероятност надлежното обработване на искане да породи риск за правата и свободите на други субекти на данни или когато субектът на данните твърди, че обработването е незаконно, оперативният администратор се консултира с ДЛЗД.

1.   При изпълнение на задълженията си по отношение на правата на субектите на данни съгласно Регламент (ЕС) 2018/1725, Съветът или ГСС преценява дали се прилага някое от изключенията, предвидени в посочения регламент.

2.   При спазване на членове 18—22 от настоящото решение, Съветът или ГСС може да ограничат, в съответствие с член 25, параграф 1, букви в), ж) и з) от Регламент (ЕС) 2018/1725, прилагането на членове 14—17, 19, 20 и 35 от посочения регламент, както и на принципа на прозрачност, установен в член 4, параграф 1, буква а) от посочения регламент, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—17, 19 и 20 от посочения регламент, ако упражняването на тези права и задължения би изложило на риск изпълнението на задачите на ДЛЗД, наред с другото чрез разкриването на използваните от него инструменти и методи за разследване или одит, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.

3.   При спазване на членове 18—22 от настоящото решение Съветът или ГСС може да ограничава правата и задълженията, посочени в параграф 2 от настоящия член, във връзка с лични данни, които ДЛЗД е получило от генералните дирекции и службите на ГСС или от други институции или органи на Съюза. Съветът или ГСС може да постъпва по този начин, когато упражняването на посочените права и задължения може да бъде ограничено от тези генерални дирекции или служби на ГСС или от други институции или органи въз основа на други актове, посочени в член 25 от Регламент (ЕС) 2018/1725, или в съответствие с глава IX от същия регламент, или св съответствие с Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета (10) или Регламент (ЕС) 2017/1939 на Съвета (11).

Преди да приложи ограничения при обстоятелствата, посочени в първа алинея, Съветът или ГСС се консултира с имащите отношение институции или органи на Съюза, освен ако е ясно, че прилагането на дадено ограничение е предвидено в някой от актовете, посочени в същата алинея.

4.   Всяко ограничение на правата и задълженията, посочено в параграф 2, е необходимо и пропорционално, като се вземат предвид рисковете за правата и свободите на субектите на данни.

1.   ГСС публикува на уебсайта на Съвета известия във връзка със защитата на данните, с които информира субектите на данни за задачите на ДЛЗД, включващи обработването на техните лични данни.

2.   ГСС информира индивидуално, в подходяща форма, всяко физическо лице, за което счита, че е засегнато от задачите на ДЛЗД.

3.   Когато ГСС ограничи изцяло или частично предоставянето на информация на субектите на данни, посочени в параграф 2 от настоящия член, той записва и регистрира причините за ограничението в съответствие с член 21.

1.   Когато Съветът или ГСС ограничи изцяло или частично правото на достъп до личните данни от страна на субектите на данни, правото на изтриване или правото на ограничаване на обработването, както са посочени съответно в членове 17, 19 и 20 от Регламент (ЕС) 2018/1725, в отговора си на искането за достъп, изтриване или ограничаване на обработването той информира засегнатия субект на данни за приложеното ограничение и основните причини за него, както и за възможността за подаване на жалба до ЕНОЗД или за търсене на защита по съдебен ред пред Съда на Европейския съюз.

2.   Предоставянето на информация относно причините за ограничението, посочено в параграф 1, може да бъде отложено, пропуснато или отказано дотогава, докато застрашава постигането на целта на ограничението. Съветът предоставя информацията на субекта на данните веднага щом тази информация престане да застрашава постигането на тази цел.

3.   ГСС записва и регистрира причините за ограничението в съответствие с член 21.

1.   ГСС записва причините за всички ограничения, налагани съгласно решението, като включва оценка на необходимостта и пропорционалността на ограничението за всеки отделен случай, вземайки предвид имащите отношение елементи, посочени в член 25, параграф 2 от Регламент (ЕС) 2018/1725.

За тази цел в записа се посочва по какъв начин упражняването на което и да е от правата, посочени в членове 14—17, 19, 20 и 35 от същия регламент, или на принципа на прозрачност, установен в член 4, параграф 1, буква а) от него, би изложило на риск дейностите на ДЛЗД, предвидени в настоящото решение, или ограниченията, прилагани съгласно член 17, параграф 2 или 3 от настоящото решение, или би имало неблагоприятно въздействие върху правата и свободите на други субекти на данни.

2.   Записът и, ако е приложимо, документите, съдържащи фактическите и правните елементи, на които той се основава, се вписват в регистъра. При поискване те се предоставят на ЕНОЗД.

1.   Ограниченията по членове 18, 19 и 20 се прилагат дотогава, докато основанията за налагането им са валидни.

2.   Когато основанията за дадено ограничение по член 18 и член 20 престанат да са налице, ГСС отменя ограничението и посочва на субекта на данните основанията за ограничението. Същевременно ГСС информира субекта на данните за възможността да подаде жалба до ЕНОЗД по всяко време или да потърси защита по съдебен ред пред Съда на Европейския съюз.

3.   ГСС извършва преглед на прилагането на ограниченията, посочени в членове 18 и 20, на всеки шест месеца от приемането им и при всички случаи при приключването на имащата отношение задача на ДЛЗД. След приключването ГСС преценява ежегодно необходимостта от запазването на ограничението или отлагането.

1.   Когато други генерални дирекции или служби на ГСС стигнат до заключението, че правата на даден субект на данни следва да бъдат ограничени съгласно настоящото решение, те информират ДЛЗД. Те му предоставят също така достъп до записа и до всички документи, съдържащи фактическите и правните елементи, на които той се основава. Участието на ДЛЗД в прилагането на ограниченията се документира подробно.

2.   ДЛЗД може да поиска от съответния администратор с делегирани правомощия да направи преглед на прилагането на ограниченията. Съответният администратор с делегирани правомощия информира писмено ДЛЗД за резултата от поискания преглед.