|
22.9.2012 |
ET |
Euroopa Liidu Teataja |
C 286/16 |
EUROOPA SÜSTEEMSETE RISKIDE NÕUKOGU OTSUS,
13. juuli 2012,
millega rakendatakse andmekaitse eeskirjad Euroopa Süsteemsete Riskide Nõukogus
(ESRB/2012/1)
2012/C 286/11
EUROOPA SÜSTEEMSETE RISKIDE NÕUKOGU HALDUSNÕUKOGU,
võttes arvesse Euroopa Liidu toimimise lepingu artiklit 16,
võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, (1) eelkõige selle artikli 24 lõiget 8 ning lisa,
olles konsulteerinud Euroopa andmekaitseinspektoriga,
ning arvestades järgmist:
|
(1) |
Määrus (EÜ) nr 45/2001 sätestab kõikide Euroopa Liidu institutsioonide ja asutuste suhtes kohaldatavad printsiibid ja eeskirjad ning kohustab kõiki liidu institutsioone ja asutusi ametisse nimetama andmekaitseametniku. |
|
(2) |
Määruse (EÜ) nr 45/2001 artikli 24 lõike 8 kohaselt peavad kõik liidu institutsioonid ja asutused vastu võtma täiendavad andmekaitseametnikuga seotud rakenduseeskirjad selle määruse lisa sätete kohaselt. |
|
(3) |
On asjakohane kehtestada sätted, mis käsitlevad vastutavaid töötlejaid ja andmekaitse koordinaatoreid, kelle ülesanded ja kohustused on seotud andmekaitseametniku ülesannete ja kohustustega, ning reguleerivad andmesubjektide õigusi. |
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
1. JAGU
ÜLDSÄTTED
Artikkel 1
Reguleerimisese ja -ala
Käesolevas otsuses sätestatakse eeskirjad, mis käsitlevad järgmist:
|
a) |
Euroopa Süsteemsete Riskide Nõukogu (ESRN) andmekaitseametniku ametisse nimetamine ja seisund ning andmekaitseametniku ülesanded, kohustused ja volitused; |
|
b) |
vastutavate töötlejate ja andmekaitse koordinaatorite roll, ülesanded ja kohustused; |
|
c) |
andmesubjektide õiguste teostamine. |
Artikkel 2
Mõisted
Käesolevas otsuses kasutatakse järgmisi mõisteid:
a) „vastutav töötleja” (controller)– isikuandmete töötlemise eesmärke ja vahendeid kindlaks määrava organisatsiooniüksuse eest vastutav juht;
b) „andmekaitse koordinaator” (data protection coordinator, DPO)–
vastutavat töötlejat tema andmekaitse kohustustes abistav töötaja. See isik peab olema arhiivispetsialist.
2. JAGU
ANDMEKAITSEAMETNIK
Artikkel 3
Ametisse nimetamine, seisund ja korralduslikud küsimused
1. Haldusnõukogu peab:
|
a) |
ametisse nimetama andmekaitseametniku, kes on piisavalt asjatundlik määruse (EÜ) nr 45/2001 artikli 24 nõuete täimiseks; |
|
b) |
määrama andmekaitseametniku ametiaja kahest kuni viie aastani. |
2. Haldusnõukogu peab tagama, et andmekaitseametnik saaks teostada andmekaitse ülesandeid ja kohustusi sõltumatult. Ilma et see piiraks andmekaitseametniku sõltumatust, peavad andmekaitseametnikule hinnangu andjad enne andmekaitseametniku ülesannete ja kohustuste teostamise hindamist konsulteerima Euroopa andmekaitseinspektoriga.
3. Vastutav töötleja peab tagama, et andmekaitseametnikku teavitatakse viivitamata järgmisest:
|
a) |
andmekaitsega seotud asjaolu (võimalik) tekkimine ja |
|
b) |
mis tahes kontaktid ESRNi ja kolmandate isikute vahel seoses määruse (EÜ) nr 45/2001 kohaldamisega, eelkõige mis tahes suhtlemine Euroopa andmekaitseinspektoriga. |
4. Haldusnõukogu võib määrata andmekaitseametniku asendaja, kelle suhtes kohaldatakse määruse (EÜ) nr 45/2001 artikli 24 lõikeid 1, 2 ja 6. Andmekaitseametniku asendaja abistab andmekaitseametnikku andmekaitse ülesannete ja kohustuste täitmisel ja asendab andmekaitseametnikku tema äraolekul.
5. Mis tahes töötaja, kes abistab andmekaitseametnikku andmekaitse küsimustes tegutseb ainult andmekaitseametniku juhiste kohaselt.
6. Euroopa andmekaitseinspektori nõusolekul võib andmekaitseametniku ametist tagandada, kui ta ei vasta enam oma ülesannete ja kohustuste täitmiseks vajalikele tingimustele.
Artikkel 4
Andmekaitseametniku ülesanded ja kohustused
Määruse (EÜ) nr 45/2001 artiklis 24 ja lisas määratletud ülesannete täitmisel peab andmekaitseametnik täitma järgmisi kohustusi, võttes arvesse ESRNi sekretariaadi kaasabi:
|
a) |
tõstma andmekaitsealast teadlikkust ja soodustama isikuandmete kaitse kultuuri tekkimist ESRNis; |
|
b) |
nõustama haldusnõukogu, juhtkomiteed, sekretariaati, vastutavat töötlejat ja andmekaitse koordinaatorit andmekaitse sätete kohaldamises ESRNis. Haldusnõukogu, juhtkomitee, sekretariaat, asjaomane vastutav töötleja või mis tahes üksikisik võib konsulteerida andmekaitseametnikuga määruse (EÜ) nr 45/2001 tõlgendamise või kohaldamisega seotud mis tahes küsimuses; |
|
c) |
tegema koostööd Euroopa andmekaitseinspektoriga viimase nõudmisel või omal initsiatiivil ning vastama Euroopa andmekaitseinspektori poolt ESRNi andmekaitseametnikule esitatud taotlustele; |
|
d) |
otsustama, kas töötlustoiming on seotud konkreetsete ohtudega määruse (EÜ) nr 45/2001 artikli 27 tähenduses ning vajab eelkontrolli. Vajadusel konsulteerib andmekaitseametnik vastutava töötlejaga. Eelkontrolli vajalikkuses kahtlemise korral tuleb konsulteerida Euroopa andmekaitseinspektoriga vastavalt määruse (EÜ) nr 45/2001 artikli 27 lõikele 3; |
|
e) |
uurima haldusnõukogu, juhtkomitee, sekretariaadi või mis tahes üksikisiku taotlusel või omal algatusel andmekaitseametniku ülesannete ja kohustustega vahetult seotud küsimusi või juhtumeid ning andma tulemuste kohta taotlejale aru. Andmekaitseametnik peab kaaluma küsimusi ja asjaolusid erapooletult ning arvestades andmesubjektide õigusi. Kui andmekaitseametnik peab seda vajalikuks, teavitab ta kõiki asjaomaseid isikuid. Kui taotleja on üksikisik või tegutseb üksikisiku nimel, peab andmekaitseametnik tagama taotluse konfidentsiaalsuse võimalikult suures ulatuses, v.a juhtudel, kui asjaomane andmesubjekt annab oma ühese nõusoleku käsitleda taotlust teisiti; |
|
f) |
tegema koostööd teiste liidu institutsioonide ja asutuste andmekaitseametnikega, eelkõige seoses kogemuste ja oskusteabe vahetamisega ja esindades ESRNi kõikides andmekaitsega seotud aruteludes, v.a kohtuasjad ning |
|
g) |
esitama haldusnõukogule ja Euroopa andmekaitseinspektorile andmekaitseametniku tegevuse aastakava ja -aruande. |
Artikkel 5
Andmekaitseametniku pädevus
1. Andmekaitseametnikul on järgmised õigused:
|
a) |
taotleda ESRNi sekretariaadilt arvamust andmekaitseametniku ülesannete ja kohustuste mis tahes küsimuses; |
|
b) |
anda arvamus teostatava või kavandatava töötlustoimingu õiguspärasuse kohta või andmetöötlusega seotud mis tahes küsimuses; |
|
c) |
juhtida ESRNi sekretariaadi juhataja tähelepanu määruses (EÜ) nr 45/2001 sätestatud kohustuste mittejärgimisele töötaja poolt; |
|
d) |
omada alati juurdepääsu töötlemise objektiks olevatele isikuandmetele ning kõikidele tööruumidele, andmetöötlusseadmetele ja andmekandjatele; |
|
e) |
osaleda ESRNi andmekaitsealaste sise-eeskirjade koostamisel; |
|
f) |
koostada anonüümne nimekiri andmesubjektide õiguste kasutamist puudutavate kirjalike taotluste kohta ja |
|
g) |
teostada määruse (EÜ) nr 45/2001 lisas määratletud muid ülesandeid. |
2. Ilma et see piiraks vastutava töötleja ülesandeid ja volitusi, on andmekaitseametnikul oma pädevuse piires koostatud kirjavahetuse allkirjastamise õigus.
3. JAGU
VASTUTAV TÖÖTLEJA JA ANDMEKAITSE KOORDINAATOR
Artikkel 6
Vastutavate töötlejate ja andmekaitse koordinaatorite ülesanded ja kohustused
1. Vastutavad töötlejad peavad tagama, et nende vastutusel toimuv isikuandmete töötlemine on kooskõlas määrusega (EÜ) nr 45/2001.
2. Vastutavad töötlejad peavad abistama andmekaitseametnikku ja Euroopa andmekaitseinspektorit nende ülesannete täitmisel, andma neile täielikku teavet, võimaldama juurdepääsu isikuandmetele ja vastama küsimustele 20 päeva jooksul alates taotluse saamisest.
3. Vastutavad töötlejad peavad andmekaitseametnikku õigeaegselt teavitama isikuandmetega tutvumise, isikuandmete parandamise, blokeerimise või kustutamise taotlustest, andmesubjekti vastuväidete esitamise õigusest tulenevatest taotlustest või mis tahes andmekaitset puudutavatest kaebustest.
4. Ilma et järgmine piiraks vastutava töötleja kohustusi:
|
a) |
abistavad andmekaitse koordinaatorid vastutavaid töötlejaid nende kohustuste täitmisel vastutava töötleja nõudmisel või omal algatusel. Seejuures teevad andmekaitse koordinaatorid koostööd vastutava töötleja töötajatega, kes peavad neile andma kogu vajaliku teabe. Asjaomase vastutava töötleja suval võib see hõlmata juurdepääsu selle vastutava töötleja pädevusalas töödeldavatele isikuandmetele; |
|
b) |
andmekaitse koordinaatorid peavad aitama andmekaitseametnikku järgmises:
|
Artikkel 7
Teadete edastamine
1. Enne isikuandmete uue töötlemise alustamist peab asjaomane vastutav töötleja sellest andmekaitseametnikku teavitama, kasutades andmekaitseametniku ESRNi sisevõrgus asuva kodulehe online-liidest. Igast töötlemistoimingust, mida määruse (EÜ) nr 45/2001 artikli 27 lõike 3 kohaselt tuleb eelnevalt kontrollida, tuleb piisava ajavaruga ette teatada, et Euroopa andmekaitseinspektor saaks seda eelnevalt kontrollida.
2. Asjaomane vastutav töötleja peab andmekaitseametnikule teatama mis tahes muutusest teabes, millest andmekaitseametnikule teatati.
4. JAGU
ANDMESUBJEKTIDE ÕIGUSED
Artikkel 8
Register
Register, mida andmekaitseametnik peab määruse (EÜ) nr 45/2001 artikli 26 kohaselt, peab sisaldama kõikide ESRNis teostatavate isikuandmete töötlemistoimingute sisujuhti. Andmesubjektid võivad määruse (EÜ) nr 45/2001 artiklis 13 kuni 19 sätestatud õiguste teostamiseks kasutada registris leiduvat teavet.
Artikkel 9
Andmesubjektide õiguste teostamine
1. Kuna andmesubjekte tuleb kohaselt teavitada nende isikuandmete mis tahes töötlemisest, võivad andmesubjektid pöörduda asjaomase vastutava töötleja poole määruse (EÜ) nr 45/2001 artiklitest 13 kuni 19 tulenevate õiguste teostamiseks kooskõlas järgmisega:
|
a) |
nimetatud õigusi võib teostada ainult andmesubjekt või tema poolt nõuetekohaselt volitatud esindaja. Need isikud võivad teostada kõiki õigusi tasuta; |
|
b) |
nende õiguste teostamiseks tuleb esitada asjaomasele vastutavale töötlejale kirjalik taotlus. Vastutav töötleja rahuldab taotluse ainult siis, kui taotleja isik, või kohastel juhtudel andmesubjekti esindamise õigus, on nõuetekohaselt kindlaks tehtud. Vastutav töötaja peab andmesubjektile viivitamata kirjalikult teatama, kas taotlus on vastu võetud. Taotluse tagasilükkamise korral peab vastutav töötleja seda põhjendama; |
|
c) |
määruse (EÜ) nr 45/2001 kohaselt peab vastutav töötleja võimaldama andmesubjekti juurdepääsu kolme kuu jooksul alates taotluse esitamisest, lubades andmesubjektil vastavalt tema eelistusele kas tutvuda andmetega kohapeal või saada nendest koopia; |
|
d) |
kui vastutav töötleja ei järgi punktides b või c sätestatud tähtaega, võivad andmesubjektid pöörduda andmekaitseametniku poole. Kui andmesubjekt oma õigusi ilmselgelt kuritarvitab, võib vastutav töötleja suunata andmesubjekti andmekaitseametniku juurde, kes võtab vastu otsuse taotluse sisu ja kohase lahenduse kohta. Andmesubjekti ja vastutava töötleja lahkarvamuste korral võivad mõlemad pöörduda andmekaitseametniku poole. |
2. Enne kaebuse esitamist Euroopa andmekaitseinspektorile võivad töötajad pöörduda andmekaitseametniku poole.
Artikkel 10
Erandid ja piirangud
1. Konsulteerides eelnevalt andmekaitseametnikuga, võib vastutav töötleja piirata määruse (EÜ) nr 45/2001 artiklites 13 kuni 17 sätestatud õigusi kooskõlas määruse (EÜ) nr 45/2001 artiklis 20 sätestatud alustel ja tingimustel.
2. Kõik huvitatud isikud võivad taotleda Euroopa andmekaitseinspektorilt määruse (EÜ) nr 45/2001 artikli 47 lõike 1 punkti c kohaldamist.
Artikkel 11
Uurimine
1. Kõik taotlused uurimise teostamiseks määruse (EÜ) nr 45/2001 lisa punkti 1 alusel tuleb esitada andmekaitseametnikule kirjalikult.
2. Andmekaitseametnik peab saatma taotlejale vastuvõtukinnituse 20 tööpäeva jooksul alates taotluse saamisest.
3. Andmekaitseametnik võib uurida asjaolusid kohapeal ja nõuda vastutavalt töötlejalt kirjalikku selgitust. Vastutav töötleja peab esitama andmekaitseametnikule oma vastuse 20 tööpäeva jooksul alates andmekaitseametniku taotluse saamisest vastutava töötleja poolt. Andmekaitseametnik võib taotleda lisateavet või abi sekretariaadist. Sekretariaat peab andma vastava teabe või abi 20 tööpäeva jooksul alates andmekaitseametniku taotluse saamisest.
4. Andmekaitseametnik esitab taotlejale aruande kolme kalendrikuu jooksul alates taotluse saamisest.
5. JAGU
JÕUSTUMINE
Artikkel 12
Jõustumine
Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Frankfurt Maini ääres, 13. juuli 2012
ESRB eesistuja
Mario DRAGHI