22.9.2012

DA

Den Europæiske Unions Tidende

C 286/16

---

DET EUROPÆISKE UDVALG FOR SYSTEMISKE RICISIS AFGØRELSE

af 13. juli 2012

om gennemførelsesbestemmelser om databeskyttelse i Det Europæiske Udvalg for Systemiske Risici

(ESRB/2012/1)

2012/C 286/11

DET ALMINDELIGE RÅD FOR DET EUROPÆISKE UDVALG FOR SYSTEMISKE RICISI HAR —

under henvisning til artikel 16 i traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (1), navnlig artikel 24, stk. 8 og bilaget hertil,

efter høring af Den Europæiske Tilsynsførende for Databeskyttelse, og

ud fra følgende betragtninger:

(1)	Forordning (EF) nr. 45/2001 fastsætter de principper og regler, der gælder for alle EU-institutioner og -organer, og bestemmer, at hver EU-institution og hvert EU-organ skal udpege en databeskyttelsesansvarlig.

(2)	I henhold til artikel 24, stk. 8, i forordning (EF) nr. 45/2001 skal de enkelte EU-institutioner og -organer vedtage yderligere gennemførelsesbestemmelser vedrørende den databeskyttelsesansvarlige i overensstemmelse med bilaget til forordningen.

(3)	Det er hensigtsmæssigt at indarbejde bestemmelser om registeransvarlige og databeskyttelseskoordinatorer, hvis opgaver og hverv vedrører de opgaver og hverv, som er pålagt den databeskyttelsesansvarlige, og om reguleringen af registreredes rettigheder —

VEDTAGET FØLGENDE AFGØRELSE:

AFSNIT 1

GENERELLE BESTEMMELSER

Artikel 1

Formål og anvendelsesområde

Denne afgørelse fastsætter regler om:

a)	udpegning af og status for Det Europæiske Udvalg for Systemiske Risicis (ESRB) databeskyttelsesansvarlige samt den databeskyttelsesansvarliges opgaver, hverv og beføjelser

b)	registeransvarliges og databeskyttelseskoordinatorers rolle, opgaver og hverv

c)	registreredes udøvelse af deres rettigheder.

Artikel 2

Definitioner

I denne afgørelse gælder følgende definitioner:

a)   »registeransvarlig«: en leder, som er ansvarlig for en organisatorisk enhed, og som træffer beslutning om, til hvilket formål og med hvilke hjælpemidler personoplysninger må behandles

b)   »databeskyttelseskoordinator«: en ansat, som bistår en registeransvarlig med at opfylde sidstnævntes pligter i forbindelse med databeskyttelse. Denne person skal være specialist i dataforvaltning.

AFSNIT 2

DEN DATABESKYTTELSESANSVARLIGE

Artikel 3

Udpegning, status og organisatoriske forhold

1.   Det Almindelige Råd:

a)	udpeger en databeskyttelsesansvarlig, som har en tilstrækkeligt højtstående position til at opfylde kravene i artikel 24 i forordning (EF) nr. 45/2001, og

b)	fastsætter en embedsperiode for den databeskyttelsesansvarlige på to til fem år.

2.   Det Almindelige Råd sikrer, at den databeskyttelsesansvarlige kan udføre sine opgaver og hverv på en uafhængig måde. Uden at berøre denne uafhængighed skal den databeskyttelsesansvarliges bedømmere høre Den Europæiske Tilsynsførende for Databeskyttelse, før de bedømmer den databeskyttelsesansvarliges udførelse af sine opgaver og hverv som databeskyttelsesansvarlig.

3.   Den pågældende registeransvarlige skal drage omsorg for, at den databeskyttelsesansvarlige underrettes uden ophold:

a)	hvis der opstår et spørgsmål, som har eller kan have konsekvenser i relation til databeskyttelse, og

b)	i forbindelse med enhver kontakt mellem ESRB og tredjeparter, som vedrører anvendelsen af forordning (EF) nr. 45/2001, navnlig en hvilken som helst kontakt med Den Europæiske Tilsynsførende for Databeskyttelse.

4.   Det Almindelige Råd kan udpege en suppleant for den databeskyttelsesansvarlige, som vil være omfattet af artikel 24, stk. 1, 2 og 6 i forordning (EF) nr. 45/2001. Suppleanten for den databeskyttelsesansvarlige støtter den databeskyttelsesansvarlige i udførelsen af dennes opgaver og hverv og fungerer som stedfortræder i dennes fravær.

5.   Enhver ansat, som yder bistand til den databeskyttelsesansvarlige i forbindelse med spørgsmål om databeskyttelse, skal i enhver henseende følge den databeskyttelsesansvarliges anvisninger.

6.   Den databeskyttelsesansvarlige kan afsættes fra sit embede med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse, hvis vedkommende ikke længere opfylder de betingelser, der stilles for udførelsen af dennes opgaver og hverv.

Artikel 4

Den databeskyttelsesansvarliges opgaver og hverv

Ved udførelsen af de opgaver, som fremgår af artikel 24 i forordning (EF) nr. 45/2001 og i bilaget hertil, skal den databeskyttelsesansvarlige varetage følgende opgaver under hensyntagen til input fra ESRB's sekretariat:

a)	øge bevidstheden om databeskyttelse og fremme en kultur, der omfatter beskyttelse af personoplysninger inden for ESRB,

b)

rådgive Det Almindelige Råd, Styringskomitéen, Sekretariatet, den registeransvarlige og databeskyttelseskoordinatoren om forhold, der vedrører anvendelsen af databeskyttelsesbestemmelser i ESRB. Det Almindelige Råd, Styringskomitéen, Sekretariatet, den pågældende registeransvarlige og enhver fysisk person kan høre den databeskyttelsesansvarlige om ethvert forhold, der vedrører fortolkningen og anvendelsen af forordning (EF) nr. 45/2001,

c)	samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse på sidstnævntes anmodning eller på eget initiativ og besvare henvendelser fra Den Europæiske Tilsynsførende for Databeskyttelse til den databeskyttelsesansvarlige hos ESRB,

d)

fastslå, hvorvidt en behandling vil kunne indebære specifikke risici som omhandlet i artikel 27 i forordning (EF) nr. 45/2001 og dermed skal gøres til genstand for forudgående kontrol. Den databeskyttelsesansvarlige skal om nødvendigt høre den registeransvarlige. I tilfælde af tvivl om, hvorvidt forudgående kontrol er nødvendig, skal Den Europæiske Tilsynsførende for Databeskyttelse høres i overensstemmelse med artikel 27, stk. 3, i forordning (EF) nr. 45/2001,

e)

på anmodning af Det Almindelige Råd, Styringskomitéen, Sekretariatet eller enhver fysisk person, eller på eget initiativ, undersøge anliggender og forhold, der har direkte tilknytning til den databeskyttelsesansvarliges opgaver og hverv og aflægge rapport til den, der har anmodet om undersøgelsen. Den databeskyttelsesansvarlige vurderer problemer og fakta upartisk og under udvisning af behørigt hensyn til den registreredes rettigheder. Hvis den databeskyttelsesansvarlige skønner, at det er hensigtsmæssigt, underrettes alle andre berørte parter tilsvarende. Såfremt den, der fremsætter anmodningen, er en fysisk person eller handler på vegne af en fysisk person, skal den databeskyttelsesansvarlige i videst muligt omfang sikre, at anmodningen behandles fortroligt, medmindre den registrerede utvetydigt har givet sit samtykke til, at anmodningen behandles på anden måde,

f)	samarbejde med de databeskyttelsesansvarlige i andre EU-institutioner og -organer, navnlig gennem udveksling af erfaringer og viden og ved at repræsentere ESRB i alle forhandlinger — bortset fra retssager — som vedrører spørgsmål om databeskyttelse, og

g)	forelægge et årligt arbejdsprogram og en årlig rapport om sin virksomhed som databeskyttelsesansvarlig til Det Almindelige Råd og Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 5

Den databeskyttelsesansvarliges beføjelser

1.   Den databeskyttelsesansvarlige har beføjelse til at:

a)	anmode ESRB's sekretariat om en udtalelse om alle forhold, der vedrører den databeskyttelsesansvarliges opgaver og hverv,

b)	afgive udtalelse om lovligheden af faktiske eller påtænkte behandlinger og om ethvert spørgsmål, der vedrører anmeldelse af behandling af oplysninger,

c)	underrette formanden for ESRB's sekretariat, hvis en ansat ikke opfylder forpligtelserne i henhold til forordning (EF) nr. 45/2001,

d)	til enhver tid opnå adgang til de personoplysninger, der er under behandling, og til alle kontorer, databehandlingsanlæg og databærere,

e)	blive inddraget i alle tilfælde, hvor ESRB udarbejder interne regler, der vedrører beskyttelsen af personoplysninger,

f)	føre en anonym liste over skriftlige forespørgsler fra registrerede, der vedrører udøvelsen af deres rettigheder, og

g)	udføre andre opgaver som nævnt i bilaget til forordning (EF) nr. 45/2001.

2.   Uden at det berører den registeransvarliges opgaver og beføjelser, har den databeskyttelsesansvarlige beføjelse til at underskrive korrespondance udarbejdet af den databeskyttelsesansvarlige inden for rammerne af dennes mandat.

AFSNIT 3

REGISTERANSVARLIGE OG DATABESKYTTELSESKOORDINATORER

Artikel 6

Registeransvarliges og databeskyttelseskoordinatorers opgaver og hverv

1.   De registeransvarlige skal drage omsorg for, at alle behandlinger, som omfatter personoplysninger, og som udføres inden for deres ansvarsområde, er i overensstemmelse med forordning (EF) nr. 45/2001.

2.   De registeransvarlige skal i forbindelse med opfyldelsen af deres pligt til at bistå den databeskyttelsesansvarlige og Den Europæiske Tilsynsførende for Databeskyttelse ved udførelsen af deres opgaver give disse fuldstændige oplysninger, give dem adgang til personoplysninger og besvare spørgsmål senest 20 arbejdsdage efter modtagelse af en anmodning herom.

3.   De registeransvarlige skal rettidigt informere den databeskyttelsesansvarlige, hvis de modtager en anmodning om adgang til eller korrigering, blokering eller sletning af personoplysninger, eller som vedrører den registreredes ret til at gøre indsigelse eller enhver klage, som vedrører databeskyttelse.

4.   Uden at det berører de registeransvarliges ansvar skal:

a)

databeskyttelseskoordinatorerne bistå de registeransvarlige under opfyldelsen af disses forpligtelser, enten på anmodning af de registeransvarlige eller på eget initiativ. I forbindelse hermed skal databeskyttelseskoordinatorerne samarbejde med den registeransvarliges ansatte, som skal udlevere alle nødvendige oplysninger til disse. Dette kan efter den pågældende registeransvarliges skøn omfatte adgang til personoplysninger, som er behandlet under den registeransvarliges ansvar.

b)

databeskyttelseskoordinatorerne bistå den databeskyttelsesansvarlige med: i) at identificere den pågældende registeransvarlige for behandlinger, der vedrører personoplysninger, ii) at offentliggøre den databeskyttelsesansvarliges råd og bistå den registeransvarlige under den databeskyttelsesansvarliges anvisning, iii) andre aspekter af den databeskyttelsesansvarliges arbejdsprogram i henhold til aftale mellem den databeskyttelsesansvarlige og databeskyttelseskoordinatorernes ledelse.

Artikel 7

Anmeldelsesprocedure

1.   Før der påbegyndes en ny behandling af personoplysninger, skal den pågældende registeransvarlige fremsende en anmeldelse heraf til den databeskyttelsesansvarlige ved hjælp af den online grænseflade, som findes på den databeskyttelsesansvarliges webside på ESRB's intranet. Enhver behandling, som forudgående skal kontrolleres i henhold til artikel 27, stk. 3, i forordning (EF) nr. 45/2001, skal anmeldes i så god tid før behandlingen påbegyndes, at Den Europæiske Tilsynsførende for Databeskyttelse har mulighed for at foretage en forudgående kontrol.

2.   Den pågældende registeransvarlige skal straks oplyse den databeskyttelsesansvarlige om enhver ændring, som måtte påvirke de oplysninger, som er indeholdt i en anmeldelse, der allerede er fremsendt til den databeskyttelsesansvarlige.

AFSNIT 4

DEN REGISTREREDES RETTIGHEDER

Artikel 8

Register

Det register, som den databeskyttelsesansvarlige fører i henhold til artikel 26 i forordning (EF) nr. 45/2001, skal tjene som en fortegnelse over de behandlinger af personoplysninger, der finder sted i ESRB. De registrerede kan benytte oplysningerne i registret til at udøve deres rettigheder i henhold til artikel 13 til 19 i forordning (EF) nr. 45/2001.

Artikel 9

De registreredes udøvelse af deres rettigheder

1.   Som led i deres ret til at blive behørigt informeret om enhver behandling af deres personlige oplysninger kan de registrerede henvende sig til den pågældende registeransvarlige med henblik på at udøve deres rettigheder i henhold til artikel 13 til 19 i forordning (EF) nr. 45/2001 som angivet nedenfor.

a)	Disse rettigheder kan kun udøves af den registrerede eller dennes behørigt bemyndigede repræsentant. Disse personer kan udøve enhver af disse rettigheder uden erlæggelse af betaling.

b)

Anmodning om udøvelse af disse rettigheder skal fremsættes skriftligt over for den pågældende registeransvarlige. Den registeransvarlige imødekommer kun anmodningen, hvis identiteten på den, der har fremsat anmodningen, og i givet fald dennes ret til at repræsentere den registrerede, er blevet behørigt verificeret. Den registeransvarlige skal uden ugrundet ophold informere den registrerede skriftligt, hvorvidt anmodningen er blevet imødekommet eller ej. Er anmodningen blevet afvist, skal den registeransvarlige anføre begrundelserne for afvisningen.

c)

Den registeransvarlige skal inden for tre kalendermåneder efter modtagelse af en anmodning herom til enhver tid give den registrerede ret til indsigt i henhold til artikel 13 i forordning (EF) nr. 45/2001, enten ved at give den registrerede mulighed for at gøre sig bekendt med disse oplysninger på stedet eller ved at få udleveret en kopi, alt efter den registreredes ønske.

d)

Den registrerede kan henvende sig til den databeskyttelsesansvarlige i tilfælde af, at den registeransvarlige ikke overholder en af de i litra b) eller c) nævnte tidsfrister. Hvor der er tale om åbenlyst misbrug fra den registreredes side med hensyn til udøvelsen af vedkommendes rettigheder, kan den registeransvarlige henvise den registrerede til den databeskyttelsesansvarlige. Henvises sagen til den databeskyttelsesansvarlige, træffer den databeskyttelsesansvarlige afgørelse på grundlag af omstændighederne for anmodningen og tager stilling til, hvordan sagen skal følges op. I tilfælde af uenighed mellem den registrerede og den registeransvarlige har begge parter ret til at høre den databeskyttelsesansvarlige.

2.   Ansatte kan høre den databeskyttelsesansvarlige, før de indgiver en klage til Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 10

Undtagelser og begrænsninger

1.   Såfremt den databeskyttelsesansvarlige på forhånd er hørt herom, kan den registeransvarlige begrænse de rettigheder, der er omhandlet i artikel 13 til 17 i forordning (EF) nr. 45/2001, af de grunde og på de betingelser, der er angivet i forordningens artikel 20.

2.   Enhver berørt person kan anmode Den Europæiske Tilsynsførende for Databeskyttelse om at anvende artikel 47, stk. 1, litra c) i forordning (EF) nr. 45/2001.

Artikel 11

Undersøgelse

1.   Anmodning om en undersøgelse i henhold til punkt 1 i bilaget til forordning (EF) nr. 45/2001 skal fremsættes skriftligt over for den databeskyttelsesansvarlige.

2.   Den databeskyttelsesansvarlige sender senest 20 arbejdsdage efter modtagelse af anmodning en kvittering for modtagelse til den, der har fremsat anmodningen.

3.   Den databeskyttelsesansvarlige kan undersøge sagen på stedet og anmode den registeransvarlige om en skriftlig erklæring. Den registeransvarlige sender sit svar til den databeskyttelsesansvarlige senest 20 arbejdsdage efter modtagelse af anmodningen fra den databeskyttelsesansvarlige. Den databeskyttelsesansvarlige kan anmode om supplerende oplysninger eller bistand fra Sekretariatet. Sådanne supplerende oplysninger eller bistand skal henholdsvis fremsendes eller ydes senest 20 arbejdsdage efter modtagelse af den databeskyttelsesansvarliges anmodning herom.

4.   Den databeskyttelsesansvarlige skal vende tilbage med et svar til den, der har fremsat anmodningen, senest tre kalendermåneder efter modtagelsen af anmodningen.

AFSNIT 5

IKRAFTTRÆDELSE

Artikel 12

Ikrafttrædelse

Denne afgørelse træder i kraft på tyvendedagen efter dens offentliggørelse i Den Europæiske Unions Tidende.

---

(1)  EFT L 8 af 12.1.2001, s. 1.

---