22.7.2008

CS

Úřední věstník Evropské unie

L 193/7

---

ROZHODNUTÍ KOMISE

ze dne 3. června 2008,

kterým se přijímají prováděcí pravidla týkající se inspektora ochrany údajů podle čl. 24 odst. 8 nařízení (ES) č. 45/2001 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů

(2008/597/ES)

KOMISE EVROPSKÝCH SPOLEČENSTVÍ,

s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (1), a zejména na čl. 24 odst. 8 a přílohu uvedeného nařízení,

vzhledem k těmto důvodům:

(1)	Nařízení (ES) č. 45/2001 (dále jen „nařízení“) stanoví zásady a pravidla vztahující se na všechny orgány a instituce Společenství a umožňuje ustanovení inspektora ochrany údajů každým orgánem a institucí Společenství.

(2)	Podle čl. 24 odst. 8 uvedeného nařízení přijme prováděcí pravidla týkající se inspektora ochrany údajů každý orgán nebo instituce Společenství v souladu s ustanoveními přílohy uvedeného nařízení. Tato prováděcí pravidla se týkají zejména úkolů, povinností a pravomocí inspektora ochrany údajů.

(3)	Rozhodnutím Komise K(2002) 510 (2) ze dne 18. února 2002 byla vytvořena pozice inspektora ochrany údajů, který byl pověřen, aby po konzultaci s generálními ředitelstvími a s ohledem na jejich potřeby a zkušenosti navrhl další prováděcí pravidla,

ROZHODLA TAKTO:

ODDÍL 1

OBECNÁ USTANOVENÍ

Článek 1

Definice

Pro účely tohoto rozhodnutí a aniž jsou dotčeny definice stanovené nařízením se rozumí:

—	„koordinátorem ochrany údajů“ zaměstnanec generálního ředitelství nebo útvaru, který byl jmenován generálním ředitelem, aby v rámci generálního ředitelství koordinoval všechny aspekty ochrany údajů,

—	„správcem“, definovaným v čl. 2 písm. d) a uvedeným v čl. 25 odst. 2 písm. a), úředník zodpovědný za organizační jednotku, jež určuje účely a prostředky zpracování osobních údajů.

Článek 2

Oblast působnosti

Toto rozhodnutí definuje pravidla a postupy pro vykonávání funkce inspektora ochrany údajů v rámci Komise podle čl. 24 odst. 8 nařízení. Nevztahuje se na činnosti Komise při stanovování politik týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů.

ODDÍL 2

INSPEKTOR OCHRANY ÚDAJŮ

Článek 3

Jmenování a status

1.   Komise jmenuje inspektora ochrany údajů (3) a sdělí jeho jméno evropskému inspektorovi ochrany údajů.

2.   Funkční období inspektora ochrany údajů činí pět let a může být jednou prodlouženo.

3.   Pokud jde o vnitřní uplatňování nařízení, inspektor ochrany údajů jedná nezávisle a při výkonu své funkce nesmí přijímat žádné pokyny.

4.   Inspektor ochrany údajů je vybírán z řad zaměstnanců Komise v souladu s příslušnými postupy. Kromě požadavků stanovených v čl. 24 odst. 2 nařízení by měl splňovat i následující kritéria: měl by mít důkladné znalosti útvarů Komise, jejich struktury, administrativních pravidel a postupů; měl by disponovat dobrými znalostmi ohledně ochrany údajů, informačních systémů, zásad a metodiky; musí být schopen prokázat rozvážný úsudek a v souladu se služebním řádem zachovat nestrannost a objektivnost.

5.   V souladu s nařízením může Komise inspektora ochrany údajů odvolat z funkce, přestane-li splňovat podmínky požadované pro její výkon, avšak pouze se souhlasem evropského inspektora ochrany údajů. Na návrh generálního tajemníka a se souhlasem generálního ředitele pro personál a administrativu Komise konstatuje, že inspektor ochrany údajů již nesplňuje podmínky požadované pro výkon své funkce.

6.   Aniž jsou dotčena odpovídající ustanovení nařízení, podléhají inspektor ochrany údajů a jeho zaměstnanci pravidlům a nařízením platným pro úředníky Evropských společenství.

Článek 4

Úkoly

1.   Aniž jsou dotčeny úkoly popsané v článku 24 a v příloze nařízení, inspektor ochrany údajů zvyšuje všeobecné povědomí o otázkách spojených s ochranou údajů, a přispívá tak k vytvoření kultury ochrany osobních údajů v rámci Komise, přičemž zachovává vyvážený poměr mezi zásadou ochrany osobních údajů a zásadou transparentnosti.

2.   Inspektor ochrany údajů vede soupis všech zpracování osobních údajů Komise, do kterého koordinátoři ochrany údajů vkládají za jednotlivá generální ředitelství všechna zpracování, která musí být oznámena. Koordinátoři ochrany údajů rovněž určí správce, který je za zpracování zodpovědný. Inspektor ochrany údajů pomáhá správci posuzovat rizika spojená se zpracováním, za které zodpovídá, a monitorovat v Komisi provádění nařízení, a to zejména prostřednictvím každoroční zprávy o stavu ochrany osobních údajů.

3.   Inspektor ochrany údajů pořádá a vede pravidelné schůze koordinátorů ochrany údajů.

4.   Inspektor ochrany údajů sestavuje rejstřík zpracování stanovený v článku 26 nařízení a dostupný na intranetu i veřejných internetových stránkách Komise.

5.   Inspektor ochrany údajů může Komisi a správcům dávat doporučení a rady v záležitostech, jež se týkají použití ustanovení o ochraně údajů. Rovněž může na požádání nebo z vlastního podnětu provádět šetření záležitostí a událostí, které přímo souvisejí s náplní jeho práce, a v souladu s článkem 13 tohoto rozhodnutí odpovědět osobě, která o šetření požádala. Žádá-li o šetření fyzická osoba nebo jedná-li žadatel jménem fyzické osoby, musí inspektor ochrany údajů v rámci možností zajistit pro žádost důvěrné zacházení, pokud dotyčný subjekt údajů nedá jednoznačný souhlas k jinému vyřízení žádosti.

6.   Zpracování osobních údajů výbory zaměstnanců spadá do pravomoci inspektora ochrany údajů Komise. Pro účely článku 6 níže poskytuje inspektor ochrany údajů všechny informace předsedovi dotyčného výboru zaměstnanců a ne generálnímu tajemníkovi, jakmile se vyskytnou otázky týkající se zpracování údajů dotyčným výborem zaměstnanců.

7.   Aniž by byla dotčena nezávislost inspektora ochrany údajů, může ho generální tajemník jménem Komise požádat, aby ji zastupoval ve všech otázkách týkajících se ochrany dat, což může zahrnovat účast v příslušných výborech a orgánech na mezinárodní úrovni.

Článek 5

Povinnosti

1.   Kromě obecných úkolů inspektor ochrany údajů

a)	předloží každý rok generálnímu tajemníkovi a generálnímu řediteli pro personál a administrativu zprávu o stavu ochrany údajů v rámci Komise, která bude na náležité úrovni, např. na pravidelné schůzi generálních ředitelů, projednána. Zpráva bude k dispozici zaměstnancům Komise;

b)	spolupracuje při výkonu své funkce s inspektory ochrany údajů jiných orgánů a institucí, zejména výměnou zkušeností a osvědčené praxe.

2.   Inspektor ochrany údajů jedná při zpracování osobních údajů v rámci své zodpovědnosti jako správce.

Článek 6

Pravomoci

Při plnění svých úkolů a povinností, a aniž by byly dotčeny pravomoci stanovené nařízením, inspektor ochrany údajů

a)	si může vyžádat právní stanovisko od právní služby Komise;

b)	může v případě různých názorů ohledně výkladu a provádění nařízení informovat příslušné osoby ve vedení a generálního tajemníka předtím, než věc postoupí evropskému inspektorovi ochrany údajů;

c)	může upozornit generálního tajemníka, že — určitý zaměstnanec neplní povinnosti uložené nařízením, — správci neplní standardy Komise pro vnitřní kontrolu, jež upřesňují povinnosti stanovené nařízením, a navrhnout, aby s ohledem na možné použití článku 49 nařízení bylo zahájeno správní řízení;

d)	může vyšetřovat záležitosti a události, které přímo souvisejí s náplní jeho práce, přičemž použije zásady Komise pro šetření a auditní činnosti a postup popsaný v článku 13 tohoto nařízení;

e)	má kdykoli přístup k údajům, které jsou předmětem zpracování osobních údajů, do všech kanceláří, zařízení pro zpracování údajů a k nosičům dat.

Článek 7

Prostředky

Komise poskytne inspektorovi ochrany údajů prostředky nezbytné pro vykonávání jeho funkce.

ODDÍL 3

PRAVIDLA A POSTUPY

Článek 8

Informace

1.   Kdykoliv je v útvarech Komise posuzována otázka, která souvisí s ochranou údajů, je o tom inspektor ochrany údajů neprodleně a nejpozději před přijetím rozhodnutí vedoucím útvarem informován.

2.   V případech, kdy Komise v souladu s příslušnými články nařízení, zejména s čl. 28 odst. 1 a 28 odst. 2, konzultuje a informuje evropského inspektora ochrany údajů, je o tom inspektor ochrany údajů informován. V souladu s příslušnými články nařízení je rovněž informován o přímé spolupráci mezi správci Komise a evropským inspektorem ochrany údajů.

3.   Inspektor ochrany údajů je vedoucím útvarem, případně právní službou informován jak o stanoviscích a pozičních dokumentech právní služby, které přímo souvisejí s vnitřním uplatňováním ustanovení nařízení, tak i o stanoviscích týkajících se výkladu a provádění dalších právních aktů, které souvisejí s ochranou osobních údajů a jejich zpracováním zejména v rámci konzultace mezi útvary a s přístupem k informacím.

Článek 9

Správci

1.   Aniž jsou dotčena ustanovení nařízení upravující povinnosti správců, správci

a)	připraví včas oznámení inspektorovi ochrany údajů o všech stávajících zpracováních, jež ještě nebyla oznámena;

b)	zejména v případě pochybností konzultují s inspektorem ochrany údajů, zda zpracování probíhá v souladu s nařízením;

c)	spolupracují s koordinátory ochrany údajů při vytváření soupisu provedených zpracování osobních údajů generálního ředitelství.

2.   Správce může převést část svých úkolů na jiné osoby, jež poté v rámci jeho pravomocí a odpovědnosti jednají jako pověřený správce.

Článek 10

Zpracovatelé

Zpracovatelé v Komisi, kteří byli správcem pověřeni zpracováním osobních údajů, jednají pouze na základě správcových pokynů, jež jsou doloženy v písemné dohodě, a při zpracování osobních údajů přísně dodržují ustanovení nařízení a jiných platných předpisů týkajících se ochrany dat. Písemná dohoda mezi organizačními jednotkami Komise se považuje za právně závazný akt ve smyslu čl. 23 odst. 2 nařízení.

S externími zpracovateli jsou uzavřeny formální smlouvy, ve kterých jsou upraveny zvláštní požadavky uvedené v čl. 23 odst. 2 nařízení.

Článek 11

Oznámení

Pro podávání oznámení inspektorovi ochrany údajů používají správci on-line oznamovací systém Komise, který je dostupný přes webovou stránku inspektora ochrany údajů na intranetu Komise.

Pro jednoduchá zpracování osobních údajů nedůvěrné povahy systém nabídne zjednodušené oznámení.

Článek 12

Rejstřík

Elektronický rejstřík zpracování osobních údajů Komise zmíněný v čl. 4 odst. 4 tohoto rozhodnutí bude pro všechny zaměstnance orgánů a institucí Společenství dostupný přes webovou stránku inspektora ochrany údajů na intranetu Komise a pro všechny ostatní, kteří mají přístup k internetu, na internetové stránce EUROPA. Každá osoba, která nemá přístup k internetu, může inspektora ochrany údajů požádat o výpis z rejstříku písemně. Inspektor ochrany údajů odpoví do 10 pracovních dní.

Článek 13

Postup při šetření

1.   Žádosti o šetření zmíněné v čl. 4 odst. 5 tohoto rozhodnutí adresované inspektorovi ochrany údajů mají písemnou podobu. Do patnácti dnů od obdržení žádosti zašle inspektor ochrany údajů osobě, která požádala o šetření, potvrzení o přijetí a ověří, zda má být žádost považována za důvěrnou. V případě zjevného zneužití práva požádat o šetření není inspektor ochrany údajů povinen žadateli odpovídat.

2.   Inspektor ochrany údajů si vyžádá písemné vyjádření k záležitosti od správce, který za dané zpracování údajů zodpovídá. Správce podá inspektorovi ochrany údajů odpověď do patnácti pracovních dní. Inspektor ochrany údajů může od něho či od jiných stran požadovat do patnácti dnů doplňující informace. Ve vhodných případech si může vyžádat stanovisko právní služby. Stanovisko se inspektorovi ochrany údajů poskytne do třiceti pracovních dnů.

3.   Inspektor ochrany údajů odpoví osobě, která podala žádost, nejpozději tři měsíce od obdržení žádosti. Běh této lhůty může být pozastaven, dokud inspektor ochrany údajů neobdrží všechny dodatečné informace, o které požádal.

4.   Nikdo nesmí být poškozen za to, že upozornil inspektora ochrany údajů na údajné porušení ustanovení nařízení.

Článek 14

Koordinátoři ochrany údajů

1.   Koordinátor ochrany údajů je jmenován v každém generálním ředitelství nebo útvaru generálním ředitelem nebo vedoucím útvaru. Na základě písemné dohody a v zájmu o větší provázanost a účinnost se může několik generálních ředitelství, útvarů či úřadů rozhodnout jmenovat společného koordinátora ochrany údajů nebo využít služeb koordinátora již jmenovaného.

2.   Funkce koordinátora ochrany údajů může být podle potřeby kombinována s jinými funkcemi. V zájmu získání potřebné kvalifikace pro svou funkci musí koordinátor ochrany údajů v průběhu šesti měsíců od jmenování absolvovat povinné školení pro koordinátory ochrany údajů.

3.   Funkční období koordinátora ochrany údajů není omezeno. Je vybírán na příslušné hierarchické úrovni na základě své vysoké profesní etiky, svých znalostí a zkušeností v oblasti fungování svého generálního ředitelství, jakož i své motivace pro funkci koordinátora ochrany údajů. Měl by znát základy informačních systémů.

4.   Aniž je dotčena odpovědnost inspektora ochrany údajů, koordinátor ochrany údajů

a)

vytvoří soupis zpracování údajů na generálním ředitelství, aktualizuje jej a pro každé zpracování pomáhá stanovit příslušnou úroveň rizika; používá on-line systém pro správu soupisů pro koordinátory ochrany údajů, který pro tyto účely inspektor ochrany údajů umístí na svou webovou stránku na intranetu Komise;

b)	je nápomocen generálnímu řediteli a vedoucímu útvaru při určování příslušných správců;

c)	má právo dostávat od správců potřebné a náležité informace. Toto právo nezahrnuje právo na přístup k osobním údajům zpracovávaným v rámci působnosti správce.

5.   Aniž je dotčena odpovědnost správce, koordinátor ochrany údajů

a)	je nápomocen správcům v plnění jejich zákonných povinností;

b)	pomáhá správcům vypracovávat oznámení;

c)	vkládá zjednodušená oznámení do on-line oznamovacího systému inspektora ochrany údajů.

6.   Koordinátor ochrany údajů se v zájmu zajištění jednotného provádění a výkladu nařízení v rámci Komise a za účelem diskuse o tématech společného zájmu účastní pravidelných schůzí koordinátorů ochrany údajů pod vedením inspektora ochrany údajů.

7.   Při výkonu své funkce může koordinátor ochrany údajů požádat inspektora ochrany údajů o doporučení, radu nebo stanovisko.

Článek 15

Administrativa a řízení

1.   Inspektor ochrany údajů bude administrativně spadat pod generální sekretariát a jeho činnosti budou začleněny do rámce sestavování rozpočtu a procesu řízení podle činností v rámci činnosti 7 generálního sekretariátu: vztahy s občanskou společností, otevřenost a informovanost. V této souvislosti se inspektor ochrany údajů účastní přípravných prací na ročním plánu řízení a předběžném návrhu rozpočtu generálního sekretariátu.

2.   Inspektor ochrany údajů je hodnotícím úředníkem zaměstnanců svého sekretariátu a asistenta inspektora ochrany údajů. Náměstek generálního tajemníka přidává k hodnocení svůj podpis.

3.   Inspektor ochrany údajů se účastní v případě potřeby koordinace řízení generálního sekretariátu.

ODDÍL 4

ZÁVĚREČNÁ USTANOVENÍ

Článek 16

Vstup v platnost

Toto rozhodnutí vstupuje v platnost dnem 3. června 2008.

---

(1)  Úř. věst. L 8, 12.1.2001, s. 1.

(2)  Dosud nezveřejněné v Úředním věstníku.

(3)  Inspektor ochrany údajů označuje v tomto textu osobu mužského i ženského pohlaví.

---