1.   Toto rozhodnutí stanoví pravidla a postupy pro uplatňování nařízení (EU) 2018/1725 Radou a generálním sekretariátem Rady a stanoví další prováděcí pravidla týkající se pověřence Rady pro ochranu osobních údajů (dále jen „pověřenec“).

2.   Toto rozhodnutí stanoví pravidla, která musí Rada a generální sekretariát Rady dodržovat v souvislosti s monitorovacími, vyšetřovacími, auditními či poradními úkoly pověřence, pokud informují subjekty údajů o zpracování jejich osobních údajů v souladu s články 14, 15 a 16 nařízení (EU) 2018/1725.

3.   Toto rozhodnutí stanoví podmínky, za nichž může Rada a generální sekretariát Rady v souvislosti s monitorovacími, vyšetřovacími, auditními či poradními úkoly pověřence omezit použití článků 4, 14 až 17, 19, 20 a 35 nařízení (EU) 2018/1725 v souladu s čl. 25 odst. 1 písm. c), g) a h) uvedeného nařízení.

4.   Toto rozhodnutí se vztahuje na zpracovávání osobních údajů Radou a generálním sekretariátem Rady pro účely úkolů pověřence uvedených v článku 45 nařízení (EU) 2018/1725 nebo v souvislosti s nimi.

1.   Generální tajemník Rady jmenuje pověřence ze zaměstnanců generálního sekretariátu Rady a zaregistruje jej u evropského inspektora ochrany údajů (EIOÚ) v souladu s článkem 43 nařízení (EU) 2018/1725.

2.   Pověřenec je vybrán na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly uvedené v článku 45 nařízení (EU) 2018/1725. Pověřenec má rovněž důkladnou znalost generálního sekretariátu Rady, jeho struktury a správních pravidel a postupů. Pověřenec je pro účely plnění svých úkolů zbaven jakýchkoli jiných úkolů v rámci generálního sekretariátu Rady.

3.   Pověřenec je jmenován na funkční období pěti let a může být jmenován opětovně.

4.   Pověřenec a jeho zaměstnanci podléhají přímo generálnímu tajemníkovi Rady a jsou mu přímo odpovědní.

5.   Při plnění svých úkolů jedná pověřenec nezávisle a nedostává žádné pokyny od generálního tajemníka Rady, pověřených správců, operačních správců ani od nikoho jiného, pokud jde o interní uplatňování ustanovení nařízení (EU) 2018/1725 nebo jeho spolupráci s evropským inspektorem ochrany údajů.

6.   Rada a generální sekretariát Rady podporují pověřence při plnění úkolů uvedených v článku 45 nařízení (EU) 2018/1725 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, přístup k osobním údajům a operacím zpracování a zdroje nezbytné k udržování jeho odborných znalostí.

7.   V souvislosti s plněním svých úkolů nesmí být pověřenec odvolán ani sankcionován. Pověřenec může být odvolán pouze v souladu s čl. 44 odst. 8 nařízení (EU) 2018/1725. Pro účely získání souhlasu evropského inspektora ochrany údajů s tímto odvoláním podle uvedeného článku je evropský inspektor ochrany údajů písemně konzultován. Kopie tohoto souhlasu je zaslána pověřenci.

8.   Generální sekretariát Rady, zejména pověření správci a operační správci, zajistí, aby byl pověřenec náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

1.   Pověřenec vykonává všechny úkoly stanovené v článku 45 nařízení (EU) 2018/1725. Pověřenec zejména:

Generální tajemník, dotčení správci, výbor zaměstnanců a jakákoli fyzická osoba se mohou na pověřence obracet přímo, aniž by využívali úřední cesty, a to v jakékoli otázce týkající se uplatňování nebo provádění nařízení (EU) 2018/1725.

2.   Pověřenec vede záznamy o činnostech zpracování a zpřístupní je veřejnosti v souladu s článkem 12.

3.   Pověřenec vede vnitřní rejstřík případů porušení zabezpečení osobních údajů ve smyslu čl. 3 bodu 16 nařízení (EU) 2018/1725.

4.   Pověřenec poskytuje na požádání pověřenému správci poradenství ohledně uplatňování omezení použití článků 14 až 22, 35 a 36, jakož i článku 4 nařízení (EU) 2018/1725.

5.   Pověřenec pořádá pravidelné schůze koordinátorů ochrany údajů a předsedá jim.

6.   Pověřenec předkládá výroční zprávu o své činnosti generálnímu tajemníkovi Rady a zpřístupní ji zaměstnancům generálního sekretariátu Rady.

7.   Pověřenec spolupracuje s pověřenci pro ochranu osobních údajů jmenovanými ostatními orgány a subjekty Unie a pravidelně se účastní zasedání svolaných evropským inspektorem ochrany údajů nebo pověřenci pro ochranu osobních údajů ostatních orgánů a subjektů Unie s cílem usnadnit dobrou spolupráci, zejména výměnou zkušeností a osvědčených postupů.

8.   Pověřenec se považuje za pověřeného správce, pokud jde o operace zpracování prováděné při plnění jeho úkolů.

1.   Správci zapojují pověřence do plánování a projednávání činnosti, která zahrnuje zpracování osobních údajů. Pověřenec je informován o každé operaci zpracování, jakož i o jakékoli podstatné změně stávající operace zpracování.

2.   Pověřenec je informován o návrzích interních oznámení a rozhodnutí generálního sekretariátu Rady, které se přímo týkají vnitřního uplatňování nařízení (EU) 2018/1725.

3.   Pověřenec je informován o všech stycích s vnějšími stranami týkajících se vnitřního uplatňování nařízení (EU) 2018/1725 a o jakékoli komunikaci s evropským inspektorem ochrany údajů, zejména pokud je evropský inspektor ochrany údajů konzultován nebo informován podle článků 40 a 41 uvedeného nařízení.

4.   Pověřenec je konzultován ohledně návrhů ujednání mezi společnými správci a návrhů smluvních doložek o ochraně údajů nebo jiných právních aktů, pokud zpracovatel zpracovává osobní údaje.

1.   Pověření správci jsou povinni zajistit, aby veškeré jimi řízené operace zpracování byly v souladu s nařízením (EU) 2018/1725.

2.   Pověření správci zejména:

3.   Pověření správci zajistí, aby byl pověřenec včas zapojen do všech záležitostí týkajících se osobních údajů, a přijmou vhodná opatření s cílem zajistit, aby byl koordinátor pro ochranu údajů řádně zapojen do všech záležitostí souvisejících s ochranou údajů na jejich generálním ředitelství nebo v jiném útvaru generálního sekretariátu Rady.

4.   Pověření správci zajistí, aby byla zavedena vhodná technická a organizační opatření s cílem prokázat, že činnosti zpracování jsou v souladu s nařízením (EU) 2018/1725, a dávají odpovídající pokyny zaměstnancům generálního sekretariátu Rady, aby byla zajištěna důvěrnost zpracování i úroveň bezpečnosti odpovídající rizikům, která zpracování představuje. Při výběru těchto opatření mohou konzultovat pověřence.

5.   Pověření správci informují pověřence o vyřizování veškerých žádostí obdržených od subjektů údajů o výkon jeho práv a jsou nápomoci pověřenci a evropskému inspektorovi ochrany údajů při plnění jejich příslušných povinností, zejména tím, že do 30 dnů poskytnou informace v odpovědi na jejich žádosti.

6.   Pověření správci jsou odpovědní za uplatňování omezení použití článků 14 až 22, 35 a 36 nařízení (EU) 2018/1725, jakož i článku 4 uvedeného nařízení v souladu s příslušnými vnitřními pravidly. Pověření správci zapojí pověřence během celého postupu uplatňování takového omezení.

7.   Pověření správci zajistí, aby byla zavedena vnitřní ujednání s dalšími generálními ředitelstvími či útvary generálního sekretariátu Rady, pokud společně s nimi pověřený správce provádí operace zpracování nebo pokud tato generální ředitelství či útvary generálního sekretariátu Rady vykonávají část operací zpracování prováděných pověřeným správcem.

Ujednání uvedená v prvním pododstavci vymezují podíl odpovědnosti za plnění příslušných povinností pověřených správců a ostatních generálních ředitelství a útvarů generálního sekretariátu Rady v oblasti ochrany údajů. Tato ujednání zahrnují zejména určení pověřeného správce, který stanoví prostředky a účel operace zpracování, jakož i operačního správce pro danou operaci zpracování a v příslušných případech osoby nebo subjekty, které mají být operačnímu správci nápomocny, mimo jiné informacemi v případech porušení zabezpečení údajů nebo za účelem uspokojení práv subjektů údajů.

1.   Operační správci jsou nápomocni pověřenému správci v zajišťování souladu s nařízením (EU) 2018/1725 u operací zpracování, za něž odpovídá, a slouží jako hlavní kontaktní místo pro subjekty údajů.

2.   Operační správci zejména:

3.   Operační správci informují pověřence bez zbytečného odkladu v případě porušení zabezpečení osobních údajů a poskytnou mu veškeré nezbytné informace, které mu umožní zajistit, aby Rada plnila povinnosti týkající se porušení zabezpečení osobních údajů podle článků 34 a 35 nařízení (EU) 2018/1725.

4.   V koordinaci s pověřeným správcem a pověřencem ohlašují operační správci příslušně případy porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů. Operační správci v příslušných případech rovněž informují subjekty údajů.

5.   Operační správci zajišťují, aby byl koordinátor ochrany údajů informován o veškerých záležitostech týkajících se ochrany údajů.

6.   Operační správci posuzují riziko pro práva a svobody subjektů údajů v souvislosti s operacemi zpracování, za něž jsou odpovědní, a v příslušných případech provádí posouzení vlivu na ochranu údajů. Operační správci si vyžádají posudek pověřence při provádění posouzení vlivu na ochranu údajů a ohledně potřeby předchozí konzultace v souladu s články 39 a 40 nařízení (EU) 2018/1725.

7.   Operační správci vykonávají na žádost pověřeného správce jakékoli jiné úkoly spadající do oblasti působnosti tohoto rozhodnutí.

1.   Každé generální ředitelství nebo jiný útvar generálního sekretariátu Rady jmenuje po konzultaci s pověřencem jednoho nebo několik koordinátorů ochrany údajů, aby napomáhali pověřenému správci a operačním správcům v daném generálním ředitelství nebo jiném útvaru generálního sekretariátu Rady ve všech aspektech ochrany osobních údajů.

2.   Koordinátoři ochrany údajů jsou vybíráni na základě svých znalostí a zkušeností ohledně fungování příslušného generálního ředitelství nebo jiného útvaru generálního sekretariátu Rady, své vhodnosti pro výkon této funkce, schopností souvisejících s ochranou údajů, znalostí zásad informačních systémů a komunikačních dovedností. Nově jmenovaní koordinátoři ochrany údajů absolvují do šesti měsíců od svého jmenování školení za účelem získání dovedností potřebných pro plnění své úlohy. Od požadavku absolvovat školení je osvobozen koordinátor ochrany údajů, který zastával již dříve v průběhu dvou let před jmenováním funkci kontaktní osoby v jiném generálním ředitelství nebo v jiném útvaru generálního sekretariátu Rady.

3.   Funkce koordinátora ochrany údajů je součástí popisu pracovní náplně každého zaměstnance generálního sekretariátu Rady, který je jmenován kontaktní osobou. Informace o jeho povinnostech a výsledcích se uvádějí v roční hodnotící zprávě.

4.   Koordinátoři ochrany údajů jsou náležitě a včas zapojování do veškerých záležitostí souvisejících s ochranou osobních údajů v jejich generálním ředitelství nebo jiném útvaru generálního sekretariátu Rady a plní své povinnosti v úzké spolupráci s pověřencem.

5.   Koordinátoři ochrany údajů mají právo získávat od správců a od zaměstnanců odpovídající a nezbytné informace, jež potřebují pro plnění svých úkolů v rámci svého generálního ředitelství nebo jiného útvaru generálního sekretariátu Rady. Toto právo nezahrnuje právo na přístup k osobním údajům zpracovávaným v rámci působnosti pověřeného správce. Koordinátoři ochrany údajů mají přístup k osobním údajům pouze v případě, že je to nezbytné pro plnění jejich úkolů.

6.   Koordinátoři ochrany údajů zvyšují povědomí o otázkách ochrany údajů a napomáhají pověřeným správcům v rámci svého generálního ředitelství nebo jiného útvaru generálního sekretariátu Rady při plnění jejich povinností, zejména pokud jde o:

7.   Koordinátoři ochrany údajů napomáhají operačním správcům v rámci jejich generálního ředitelství nebo jiného útvaru generálního sekretariátu Rady při plnění jejich povinností, zejména pokud jde o:

1.   Pověřenec vede rejstřík operací zpracování a zajišťuje, aby byl tento rejstřík přístupný prostřednictvím internetových stránek pověřence na intranetu generálního sekretariátu Rady a prostřednictvím internetových stránek Rady.

2.   Operační správce oznamuje pověřenci každou operaci zpracování a předkládá záznam o činnostech zpracování a související prohlášení o ochraně soukromí na základě formuláře, který je k dispozici na intranetové stránce generálního sekretariátu Rady („Ochrana údajů“). Oznámení se pověřenci předává elektronicky. Po konzultaci s pověřencem pověřený správce záznam a související prohlášení o ochraně soukromí potvrdí a pověřenec je zveřejní v rejstříku.

3.   Záznam obsahuje všechny informace uvedené v článku 31 nařízení (EU) 2018/1725. Informace, které pověřenec do rejstříku vkládá, však mohou být výjimečně omezeny na rozsah, který je nezbytný k zajištění bezpečnosti konkrétní operace zpracování. Každá změna, která má na tyto informace vliv, musí být operačním správcem neprodleně oznámena pověřenci.

1.   Pokud dojde k porušení zabezpečení údajů, vyžádá si pověřený správce nebo operační správce pomoc koordinátora ochrany údajů a bez zbytečného odkladu o incidentu informuje pověřence a poskytne mu veškeré nezbytné informace, které mu umožní zajistit, aby Rada splnila povinnost ohlašování a oznamování případů porušení zabezpečení osobních údajů podle článků 34 a 35 nařízení (EU) 2018/1725.

2.   Pověřenec zřídí a vede interní rejstřík případů porušení zabezpečení osobních údajů. Pověření správci a operační správci poskytují nezbytné informace, které mají být uvedeny v rejstříku.

3.   Pověření správci a operační správci vypracovávají po konzultaci s pověřencem ohlášení pro evropského inspektora ochrany údajů, ledaže je nepravděpodobné, že by dané porušení zabezpečení osobních údajů představovalo riziko pro práva a svobody fyzických osob.

1.   Pověřenec může z vlastního podnětu nebo na žádost pověřeného správce, operačního správce nebo zpracovatele, Výboru zaměstnanců nebo jakékoli fyzické osoby vyšetřovat otázky a skutečnosti, které souvisejí s jeho úkoly, a podat zprávu osobě, která o šetření požádala, nebo pověřenému správci, operačnímu správci, či zpracovateli.

2.   Žádosti o šetření se pověřenci podávají písemně. V případě zjevného zneužití práva požadovat šetření, například pokud táž osoba podala stejnou žádost v nedávné době, není pověřenec povinen žadateli zprávu podat.

3.   Do patnácti dnů od obdržení žádosti o šetření zašle pověřenec osobě, která o šetření požádala, potvrzení o přijetí a ověří, zda má být žádost považována za důvěrnou.

4.   Pověřenec si od pověřeného správce, který je odpovědný za operaci zpracování údajů, jíž se žádost o šetření týká, vyžádá, aby mu k dané otázce poskytl zprávu. Pověřený správce poskytne pověřenci odpověď do patnácti dní. Pověřenec si může vyžádat doplňující informace od pověřeného správce, operačního správce, zpracovatele nebo jiných příslušných útvarů generálního sekretariátu Rady. Ve vhodných případech si může k dané otázce vyžádat stanovisko právní služby Rady. Požadované informace nebo stanoviska se pověřenci poskytují do třiceti dní.

5.   Pověřenec podá zprávu osobě, která o šetření požádala, nejpozději tři měsíce po obdržení žádosti. Tato lhůta může být pozastavena, dokud pověřenec neobdrží všechny nezbytné informace, o které požádal.

6.   Nikdo nesmí utrpět újmu v důsledku toho, že pověřence upozornil na záležitost, při níž údajně došlo k porušení nařízení (EU) 2018/1725.

1.   Práva subjektů údajů stanovená v článcích 14 až 24 nařízení (EU) 2018/1725 může vykonávat pouze subjekt údajů nebo jeho řádně pověřený zástupce.

2.   Subjekt údajů podává písemnou žádost operačnímu správci a kopii zasílá pověřenci. Pověřenec je v případě potřeby subjektu údajů nápomocen při určení příslušného správce. Žádost může být podána v elektronické formě a obsahuje:

3.   Operační správce zašle subjektu údajů potvrzení o přijetí do pěti pracovních dní od registrace žádosti. Je-li žádost nejasná či neúplná, vyžádá si operační správce nezbytná vysvětlení. Příslušné lhůty podle čl. 14 odst. 3 a 4 nařízení (EU) 2018/1725 začínají běžet až od okamžiku, kdy jsou poskytnuta veškerá nezbytná vysvětlení.

4.   Operační správce ověřuje totožnost subjektu údajů v souladu s čl. 14 odst. 6 nařízení (EU) 2018/1725. Po dobu ověřování totožnosti nezačnou běžet příslušné lhůty podle čl. 14 odst. 3 a 4 uvedeného nařízení.

5.   Operační správce ve lhůtách stanovených podle čl. 14 odst. 3 a 4 nařízení (EU) 2018/1725 buď žádosti subjektu údajů vyhoví, nebo písemně odůvodní úplné či částečné zamítnutí žádosti.

6.   V případě velmi složité žádosti, nesrovnalostí nebo zjevného zneužití výkonu práv subjektem údajů, pokud je pravděpodobné, že zpracování žádosti představuje riziko pro práva a svobody jiných subjektů údajů, nebo pokud subjekt údajů tvrdí, že zpracování je nezákonné, konzultuje operační správce pověřence.

1.   Pokud Rada nebo generální sekretariát Rady vykonává své povinnosti s ohledem na práva subjektů údajů podle nařízení (EU) 2018/1725, posoudí, zda se nepoužije některá z výjimek stanovených v uvedeném nařízení.

2.   S výhradou článků 18 až 22 tohoto rozhodnutí může Rada nebo generální sekretariát Rady v souladu s čl. 25 odst. 1 písm. c), g) a h) nařízení (EU) 2018/1725 omezit použití článků 14 až 17, 19, 20 a 35 uvedeného nařízení, jakož i zásady transparentnosti stanovené v čl. 4 odst. 1 písm. a) uvedeného nařízení, a to v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 17, 19 a 20 uvedeného nařízení, pokud by výkon těchto práv a povinností ohrozil výkon úkolů pověřence, mimo jiné odhalením jeho nástrojů a metod šetření či auditu, nebo by nepříznivě ovlivnil práva a svobody jiných subjektů údajů.

3.   S výhradou článků 18 až 22 tohoto rozhodnutí může Rada nebo generální sekretariát Rady omezit práva a povinnosti uvedené v odstavci 2 tohoto článku ve vztahu k osobním údajům, které pověřenec obdržel od generálních ředitelství nebo útvarů generálního sekretariátu Rady nebo jiných orgánů či subjektů Unie. Rada nebo generální sekretariát Rady tak může učinit, pokud by výkon daných práv a povinností mohl být omezen těmito generálními ředitelstvími nebo útvary nebo jinými orgány či subjekty na základě jiných aktů uvedených v článku 25 nařízení (EU) 2018/1725 nebo v souladu s kapitolou IX uvedeného nařízení nebo v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/794 (10) nebo nařízením Rady (EU) 2017/1939 (11).

Před uplatněním omezení za okolností uvedených v prvním pododstavci konzultuje Rada nebo generální sekretariát Rady relevantní orgán či subjekt Unie, ledaže je zřejmé, že uplatnění omezení je stanoveno v některém z aktů uvedených ve zmíněném pododstavci.

4.   Jakékoli omezení práv a povinností podle odstavce 2 musí být nezbytné a přiměřené s ohledem na rizika pro práva a svobody subjektů údajů.

1.   Generální sekretariát Rady zveřejňuje na internetových stránkách Rady oznámení o ochraně osobních údajů, jimiž informuje subjekty údajů o úkolech pověřence, které zahrnují zpracování jejich osobních údajů.

2.   Generální sekretariát Rady vhodnou formou individuálně informuje každou fyzickou osobu, kterou považuje za subjekt údajů dotčený úkoly pověřence.

3.   Pokud generální sekretariát Rady zcela nebo zčásti omezí poskytování informací subjektům údajů uvedeným v odstavci 2 tohoto článku, zaznamená a zaregistruje důvody tohoto omezení v souladu s článkem 21.

1.   Pokud Rada nebo generální sekretariát Rady zcela nebo zčásti omezí právo subjektů údajů na přístup k osobním údajům, právo na výmaz nebo právo na omezení zpracování, jež jsou v tomto pořadí uvedena v článcích 17, 19 a 20 nařízení (EU) 2018/1725, informuje ve své odpovědi na žádost o přístup, výmaz nebo omezení zpracování dotčený subjekt údajů o uplatněném omezení, o jeho hlavních důvodech a o možnosti podat stížnost evropskému inspektorovi ochrany údajů nebo uplatnit soudní prostředek nápravy u Soudního dvora Evropské unie.

2.   Poskytnutí informací týkajících se důvodů omezení uvedených v odstavci 1 může být odloženo, neprovedeno nebo odepřeno po dobu, kdy by mařilo účel omezení. Rada poskytne subjektu údajů informace, jakmile jejich poskytnutí tento účel neohrozí.

3.   Generální sekretariát Rady zaznamená a zaregistruje důvody omezení v souladu s článkem 21.

1.   Generální sekretariát Rady zaznamená důvody veškerých omezení uplatněných v souladu s tímto rozhodnutím, včetně individuálního posouzení nezbytnosti a přiměřenosti omezení, přičemž zohlední všechny relevantní prvky čl. 25 odst. 2 nařízení (EU) 2018/1725.

Za tímto účelem se v záznamu uvede, jak by výkon jakéhokoli z práv uvedených v článcích 14 až 17, 19, 20 a 35 uvedeného nařízení nebo zásady transparentnosti stanovené v čl. 4 odst. 1 písm. a) uvedeného nařízení ohrozil činnosti pověřence podle tohoto rozhodnutí nebo omezení uplatněná podle čl. 17 odst. 2 nebo 3 tohoto rozhodnutí, nebo jak by nepříznivě ovlivnil práva a svobody jiných subjektů údajů.

2.   Uvedený záznam a v příslušných případech dokumenty obsahující věcné a právní prvky, z nichž omezení vycházejí, se zaregistrují. Na požádání se zpřístupní evropskému inspektoru ochrany údajů.

1.   Omezení uvedená v článcích 18, 19 a 20 zůstávají v platnosti, dokud trvají důvody, které je opodstatňují.

2.   Neplatí-li již důvody pro omezení podle článků 18 a 20, generální sekretariát Rady omezení zruší a informuje subjekt údajů o důvodech omezení. Generální sekretariát Rady současně informuje subjekt údajů o možnosti kdykoli podat stížnost evropskému inspektorovi ochrany údajů nebo uplatnit soudní prostředek nápravy u Soudního dvora Evropské unie.

3.   Generální sekretariát Rady přezkoumá uplatňování omezení podle článků 18 a 20 každých šest měsíců od jejich přijetí a v každém případě při dokončení příslušného úkolu pověřence. Po dokončení úkolu generální sekretariát Rady každoročně monitoruje, zda je třeba omezení či odklad zachovat.

1.   Pokud jiná generální ředitelství nebo jiné útvary generálního sekretariátu Rady dospějí k závěru, že práva subjektu údajů by měla být podle tohoto rozhodnutí omezena, informují o tom pověřence. Poskytnou pověřenci také přístup k záznamu a veškerým dokumentům obsahujícím věcné a právní prvky, z nichž omezení vycházejí. Zapojení pověřence do uplatňování omezení se podrobně zdokumentuje.

2.   Pověřenec může požádat, aby příslušný pověřený správce uplatňování omezení přezkoumal. Příslušný pověřený správce pověřence písemně informuje o výsledku požadovaného přezkumu.