|
22.9.2012 |
CS |
Úřední věstník Evropské unie |
C 286/16 |
ROZHODNUTÍ EVROPSKÉ RADY PRO SYSTÉMOVÁ RIZIKA
ze dne 13. července 2012,
kterým se provádějí pravidla o ochraně údajů v Evropské radě pro systémová rizika
(ESRB/2012/1)
2012/C 286/11
GENERÁLNÍ RADA EVROPSKÉ RADY PRO SYSTÉMOVÁ RIZIKA,
s ohledem na článek 16 Smlouvy o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (1), a zejména s ohledem na čl. 24 odst. 8 a přílohu tohoto nařízení,
po konzultaci s evropským inspektorem ochrany údajů,
vzhledem k těmto důvodům:
|
(1) |
Nařízení (ES) č. 45/2001 vymezuje zásady a pravidla, jež platí pro všechny orgány a instituce Evropské unie, a zakotvuje funkci inspektora ochrany údajů, kterého jmenuje každý orgán a instituce Unie. |
|
(2) |
Podle čl. 24 odst. 8 nařízení (ES) č. 45/2001 musí každý orgán nebo instituce Unie přijmout další prováděcí pravidla týkající se inspektora ochrany údajů v souladu s ustanoveními přílohy tohoto nařízení. |
|
(3) |
Je vhodné zakotvit ustanovení o správcích a koordinátorech ochrany údajů, jejichž úkoly a povinnosti souvisejí s úkoly a povinnostmi inspektora ochrany údajů, a dále ustanovení upravující práva subjektů údajů, |
PŘIJALA TOTO ROZHODNUTÍ:
ODDÍL 1
OBECNÁ USTANOVENÍ
Článek 1
Předmět a oblast působnosti
Toto rozhodnutí stanoví pravidla, která se týkají:
|
a) |
jmenování a postavení inspektora ochrany údajů Evropské rady pro systémová rizika (ESRB), jakož i jeho úkolů, povinností a pravomocí; |
|
b) |
funkce, úkolů a povinností správců a koordinátorů ochrany údajů; |
|
c) |
výkonu práv subjekty údajů. |
Článek 2
Definice
Pro účely tohoto rozhodnutí se rozumí:
|
a) |
„správcem“ vedoucí organizační jednotky, která určuje účel a prostředky zpracování osobních údajů; |
|
b) |
„koordinátorem ochrany údajů“ zaměstnanec, který správci napomáhá při plnění jeho povinností v oblasti ochrany údajů. Tato osoba je odborníkem v oblasti správy záznamů. |
ODDÍL 2
INSPEKTOR OCHRANY ÚDAJŮ
Článek 3
Jmenování, postavení a organizační záležitosti
1. Generální rada:
|
a) |
jmenuje inspektora ochrany údajů, jehož služební postavení je dostatečně vysoké na to, aby splňoval požadavky článku 24 nařízení (ES) č. 45/2001; |
|
b) |
stanoví délku funkčního období inspektora ochrany údajů v rozmezí od dvou do pěti let. |
2. Generální rada zajistí, aby inspektor ochrany údajů mohl své úkoly a povinnosti vykonávat nezávisle. Aniž je tato nezávislost dotčena, osoby, které hodnotí, jak inspektor ochrany údajů plní své úkoly a povinnosti, před provedením tohoto hodnocení konzultují evropského inspektora ochrany údajů.
3. Příslušný správce zajistí, aby byl inspektor ochrany údajů neprodleně informován:
|
a) |
vyskytne-li se záležitost, která souvisí či by mohla souviset s ochranou údajů, a |
|
b) |
o veškeré komunikaci mezi ESRB a osobami mimo ESRB, která souvisí s používáním nařízení (ES) č. 45/2001, zejména o veškeré komunikaci s evropským inspektorem ochrany údajů. |
4. Generální rada může jmenovat zástupce inspektora ochrany údajů, na něhož se vztahuje čl. 24 odst. 1, 2 a 6 nařízení (ES) č. 45/2001. Zástupce inspektora ochrany údajů napomáhá inspektorovi ochrany údajů při plnění jeho úkolů a povinností a v případě nepřítomnosti inspektora ochrany údajů zastupuje.
5. Zaměstnanec, který inspektorovi ochrany údajů napomáhá se záležitostí týkající se ochrany údajů, jedná výlučně podle pokynů inspektora ochrany údajů.
6. Inspektor ochrany údajů může být z funkce odvolán se souhlasem evropského inspektora ochrany údajů, pokud přestane splňovat podmínky požadované k výkonu svých úkolů a povinností.
Článek 4
Úkoly a povinnosti inspektora ochrany údajů
Při plnění úkolů vymezených v článku 24 nařízení (ES) č. 45/2001 a v příloze tohoto nařízení plní inspektor ochrany údajů následující povinnosti, přičemž bere v úvahu informace od sekretariátu ESRB:
|
a) |
v rámci ESRB zvyšuje povědomí o otázkách z oblasti ochrany údajů a podporuje kulturu ochrany osobních údajů; |
|
b) |
poskytuje generální radě, řídícímu výboru, sekretariátu, správci a koordinátorovi ochrany údajů stanovisko v otázkách týkajících se uplatňování ustanovení o ochraně údajů v ESRB. Generální rada, řídící výbor, sekretariát, dotčený správce či fyzická osoba může inspektora ochrany údajů konzultovat o jakékoli otázce týkající se výkladu nebo používání nařízení (ES) č. 45/2001; |
|
c) |
spolupracuje s evropským inspektorem ochrany údajů, a to jak na jeho žádost, tak ze svého vlastního podnětu, a odpovídá na žádosti, které evropský inspektor ochrany údajů podá inspektorovi ochrany údajů ESRB; |
|
d) |
určuje, zda zpracování údajů může představovat zvláštní rizika ve smyslu článku 27 nařízení (ES) č. 45/2001, a podléhá tak předběžné kontrole. Je-li to třeba, konzultuje inspektor ochrany údajů dotčeného správce. V případě pochyb o nezbytnosti předběžné kontroly je konzultován evropský inspektor ochrany údajů v souladu s čl. 27 odst. 3 nařízení (ES) č. 45/2001; |
|
e) |
na žádost generální rady, řídícího výboru, sekretariátu či fyzické osoby nebo z vlastního podnětu prošetřuje záležitosti, které přímo souvisejí s úkoly a povinnostmi inspektora ochrany údajů, a podává zprávu o výsledku šetření osobě, která o šetření požádala. Inspektor ochrany údajů posuzuje otázky a skutečnosti nestranně a s náležitým ohledem na práva subjektu údajů. Považuje-li to inspektor ochrany údajů za vhodné, informuje odpovídajícím způsobem všechny další dotčené osoby. Je-li žadatelem fyzická osoba či jedná-li žadatel jménem fyzické osoby, inspektor ochrany údajů v nejvyšší možné míře zajistí, aby žádost byla důvěrná, ledaže dotčený subjekt údajů dá jednoznačný souhlas, aby s žádostí bylo nakládáno jinak; |
|
f) |
spolupracuje s inspektory ochrany údajů jiných orgánů a institucí Unie zejména formou výměny zkušeností a sdílení know-how a tak, že ECB zastupuje ve všech diskusích – s výjimkou soudních řízení – týkajících se otázek ochrany údajů a |
|
g) |
předkládá roční pracovní plán a výroční zprávu o činnosti inspektora ochrany údajů generální radě a evropskému inspektorovi ochrany údajů. |
Článek 5
Pravomoci inspektora ochrany údajů
1. Inspektor ochrany údajů může:
|
a) |
od sekretariátu ESRB vyžadovat stanovisko k jakékoli otázce, která souvisí s úkoly a povinnostmi inspektora ochrany údajů; |
|
b) |
vydat stanovisko k zákonnosti stávajícího či navrhovaného zpracování či k jakékoli otázce týkající se oznámení zpracování; |
|
c) |
upozornit vedoucího sekretariátu ESRB na jakýkoli případ, kdy zaměstnanec neplní povinnosti podle nařízení (ES) č. 45/2001; |
|
d) |
mít kdykoli přístup k údajům, které jsou předmětem zpracování osobních údajů, a přístup do všech kanceláří, do zařízení pro zpracování údajů a přístup k nosičům dat; |
|
e) |
být zapojen do přípravy interních pravidel o ochraně osobních údajů v ESRB; |
|
f) |
vést anonymní seznam písemných žádostí subjektů údajů, pokud se týká výkonu jejich práv, a |
|
g) |
plnit další úkoly uvedené v příloze nařízení (ES) č. 45/2001. |
2. Aniž jsou dotčeny úkoly a pravomoc správce, je inspektor ochrany údajů v mezích svého mandátu oprávněn podepisovat korespondenci, kterou sám připravil.
ODDÍL 3
SPRÁVCE A KOORDINÁTOR OCHRANY ÚDAJŮ
Článek 6
Úkoly a povinnosti správců a koordinátorů ochrany údajů
1. Správci zajistí, aby veškerá zpracování osobních údajů, k nimž dochází v rámci sekce, za níž jsou odpovědní, probíhalo v souladu s nařízením (ES) č. 45/2001.
2. Při plnění povinnosti napomáhat inspektorovi ochrany údajů a evropskému inspektorovi ochrany údajů při plnění jejich povinností poskytnou správci těmto inspektorům úplné informace, zpřístupní osobní údaje a odpoví na otázky ve lhůtě 20 pracovních dnů od přijetí žádosti.
3. Správci inspektora ochrany údajů včas informují o tom, že jim byla zaslána žádost o přístup k osobním údajům, jejich opravu, zablokování či výmaz, či žádost týkající se práva subjektu údajů podat námitky nebo jakákoli stížnost, jež se týká záležitosti z oblasti ochrany údajů.
4. Aniž jsou dotčeny povinnosti správců:
|
a) |
koordinátoři ochrany údajů pomáhají správcům při plnění jejich povinností, a to na žádost správců nebo z vlastního podnětu. V rámci této pomoci koordinátoři ochrany údajů postupují v součinnosti se zaměstnanci správců, kteří jim poskytnou nezbytné informace. Podle uvážení příslušného správce může tento postup zahrnovat i zpřístupnění osobních údajů, za jejichž zpracování tento správce nese odpovědnost. |
|
b) |
koordinátoři ochrany údajů pomáhají inspektorovi ochrany údajů:
|
Článek 7
Oznamování
1. Před zavedením nových postupů pro zpracování osobních údajů oznámí příslušný správce tuto skutečnost inspektorovi ochrany údajů pomocí on-line rozhraní, které je přístupné na internetových stránkách inspektora ochrany údajů v rámci intranetu ESRB. Veškerá zpracování, která podléhají předběžné kontrole podle čl. 27 odst. 3 nařízení (ES) č. 45/2001, se před tím, než budou zavedena, oznamují s dostatečným předstihem, aby je mohl předběžně zkontrolovat evropský inspektor ochrany údajů.
2. Příslušný správce inspektora ochrany údajů neprodleně informuje o veškerých změnách, které ovlivňují informace uvedené v oznámení, které již bylo inspektorovi ochrany údajů předloženo.
ODDÍL 4
PRÁVA SUBJEKTŮ ÚDAJŮ
Článek 8
Rejstřík
Rejstřík, který inspektor ochrany údajů vede podle článku 26 nařízení (ES) č. 45/2001, slouží jako seznam všech zpracování týkajících se osobních údajů, k nimž v ESRB dochází. Subjekty údajů mohou informace obsažené v rejstříku využít k výkonu svých práv podle článků 13 až 19 nařízení (ES) č. 45/2001.
Článek 9
Výkon práv subjektů údajů
1. Kromě práva být dostatečně informováni o zpracování svých osobních údajů se subjekty údajů mohou obrátit na příslušného správce za účelem výkonu svých práv podle článků 13 až 19 nařízení (ES) č. 45/2001, jak je uvedeno níže:
|
a) |
tato práva může vykonávat pouze subjekt údajů nebo jeho oprávněný zástupce. Tyto osoby mohou tato práva vykonávat bezplatně; |
|
b) |
žádost o výkon těchto práv se příslušnému správci podává písemně. Správce přijme žádost pouze tehdy, pokud byla náležitě ověřena totožnost žadatele, případně jeho oprávnění zastupovat subjekt údajů. Správce subjektu údajů neprodleně písemně oznámí, zda byla jeho žádost přijata či nikoli. Byla-li žádost odmítnuta, uvede správce důvody tohoto odmítnutí; |
|
c) |
kdykoli v průběhu tří kalendářních měsíců od přijetí žádosti umožní správce přístup ve smyslu článku 13 nařízení (ES) č. 45/2001 tak, že v závislosti na tom, jakou formu subjekt údajů upřednostňuje, mu umožní do těchto údajů nahlédnout na místě nebo získat kopie těchto údajů. |
|
d) |
nedodrží-li správce lhůtu uvedenou v odstavci b) či c), mohou se subjekty údajů obrátit na inspektora ochrany údajů. V případě zjevného zneužití práv subjektem údajů může správce odkázat subjekt práv na inspektora ochrany údajů. Pokud je případ postoupen inspektorovi ochrany údajů, inspektor ochrany údajů rozhodne ve věci a o dalším vhodném postupu. Pokud se subjekt údajů a správce neshodnou, mají oba právo konzultovat inspektora ochrany údajů. |
2. Před podáním stížnosti k evropskému inspektorovi ochrany údajů mohou zaměstnanci konzultovat inspektora ochrany údajů.
Článek 10
Výjimka a omezení
1. Byl-li inspektor ochrany údajů konzultován předem, může správce omezit práva uvedená v článcích 13 až 17 nařízení (ES) č. 45/2001 z důvodů a za podmínek uvedených v článku 20 nařízení (ES) č. 45/2001.
2. Jakákoli dotčená osoba může evropského inspektora ochrany údajů požádat, aby postupoval podle čl. 47 odst. 1 písm. c) nařízení (ES) č. 45/2001.
Článek 11
Šetření
1. Žádosti o provedení šetření podle bodu 1 přílohy nařízení (ES) č. 45/2001 se inspektorovi ochrany údajů podávají písemně.
2. Do 20 pracovních dnů od přijetí žádosti zašle inspektor ochrany údajů žadateli potvrzení o přijetí.
3. Inspektor ochrany údajů může záležitost vyšetřit na místě a může vyžadovat písemné vyjádření příslušného správce. Příslušný správce své vyjádření inspektorovi ochrany údajů poskytne do 20 pracovních dnů od přijetí žádosti inspektora ochrany údajů. Inspektor ochrany údajů může požádat o dodatečné informace či o pomoc sekretariát. Tyto informace či pomoc se poskytnou do 20 pracovních dnů ode dne, kdy o ně inspektor ochrany údajů požádal.
4. Inspektor ochrany údajů podá žadateli zprávu o výsledku šetření do tří kalendářních měsíců od přijetí žádosti.
ODDÍL 5
VSTUP V PLATNOST
Článek 12
Vstup v platnost
Toto rozhodnutí vstupuje v platnost dvacátým dnem po zveřejnění v Úředním věstníku Evropské unie.
Ve Frankfurtu nad Mohanem dne 13. července 2012.
Předseda ESRB
Mario DRAGHI
(1) Úř. věst. L 8, 12.1.2001, s. 1.