13/Sv. 047

HR

Službeni list Europske unije

232

---

32008D0597

---

L 193/7

SLUŽBENI LIST EUROPSKE UNIJE

03.06.2008.

---

ODLUKA KOMISIJE

od 3. lipnja 2008.

o prihvaćanju provedbenih pravila u vezi sa službenikom za zaštitu osobnih podataka sukladno članku 24. stavku 8. Uredbe (EZ) br. 45/2001 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice te o slobodnom kretanju takvih podataka

(2008/597/EZ)

KOMISIJA EUROPSKIH ZAJEDNICA,

uzimajući u obzir Uredbu (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice te o slobodnom kretanju takvih podataka (1), a posebno njezin članak 24. stavak 8. i Prilog,

budući da:

(1)	Uredba (EZ) br. 45/2001, u nastavku „Uredba”, utvrđuje načela i pravila koja se primjenjuju u svim ustanovama i tijelima Zajednice i predviđa imenovanje službenika za zaštitu osobnih podataka pri svakoj instituciji i tijelu Zajednice.

(2)	U članku 24. stavku 8. zahtijeva se da svaka institucija i tijelo Zajednice sukladno odredbama iz Priloga donese daljnja provedbena pravila u vezi sa službenikom za zaštitu osobnih podataka. Provedbena pravila se posebno odnose na zadaće, dužnosti i ovlasti službenika za zaštitu osobnih podataka.

(3)

Odlukom Komisije C(2002) 510 (2) od 18. veljače 2002. ustanovljuje se položaj službenika za zaštitu osobnih podataka (Data Protection Officer – DPO) pri Komisiji i daje mu se zadaća da nakon savjetovanja s glavnim upravama u skladu s njihovim potrebama i iskustvima predlaže daljnja provedbena pravila,

ODLUČILA JE:

ODJELJAK 1.

OPĆE ODREDBE

Članak 1.

Definicije

Za svrhu ove Odluke i ne dovodeći u pitanje definicije iz Uredbe:

—	„koordinator zaštite osobnih podataka” (DPC – Data Protection Coordinator) znači član osoblja u okviru glavne uprave ili službe kojeg je glavni direktor imenovao za koordinaciju svih aspekata zaštite osobnih podataka u glavnoj upravi,

—	„upravitelj”, kako je definiran u članku 2. točki (d) i spomenut u članku 25. stavku 2. točki (a), znači službenik odgovoran za organizacijsku jedinicu koja odlučuje o svrsi i sredstvima obrade osobnih podataka.

Članak 2.

Područje primjene

Ova Odluka određuje pravila i postupke provođenja funkcije službenika za zaštitu osobnih podataka pri Komisiji sukladno članku 24. stavku 8. Uredbe. Ne primjenjuje se na aktivnosti Komisije kada definiranju politike o zaštiti osoba pri obradi osobnih podataka.

ODJELJAK 2.

SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA

Članak 3.

Imenovanje i status

1.   Komisija imenuje službenika za zaštitu osobnih podataka (3) i registrira ga kod europskog nadzornika za zaštitu podataka (EDPS – European Data Protection Supervisor).

2.   Mandat službenika traje pet godina i može se obnoviti jedanput.

3.   Službenik za zaštitu podataka djeluje neovisno s obzirom na unutarnju primjenu odredbi iz Uredbe i ne smije primati nikakve upute u vezi s izvođenjem svoje dužnosti.

4.   Službenika se izabire među osobljem Komisije po odgovarajućem postupku. Pored zahtjeva iz članka 24. stavka 2. Uredbe, spomenuti službenik treba dobro poznavati službe Komisije i njihovu strukturu te administrativna pravila i postupke. Treba imati dobro znanje o zaštiti podataka i informacijskim sustavima, načelima i metodologiji. Mora dokazati sposobnost zdravog prosuđivanja i zauzimanja nepristranog i objektivnog stava u skladu s poslovnikom.

5.   Sukladno Uredbi, Komisija može službenika za zaštitu osobnih podataka razriješiti dužnosti, ali jedino uz pristanak europskog nadzornika za zaštitu podataka, ako više ne ispunjava uvjete potrebne za obavljanje svojih dužnosti. Na prijedlog glavnog tajnika u dogovoru s glavnim direktorom za osoblje i upravu, Komisija utvrđuje da spomenuti službenik za zaštitu osobnih podataka više ne ispunjava uvjete potrebne za obavljanje svojih zadaća.

6.   Ne dovodeći u pitanje pripadajuće odredbe iz Uredbe, službenik za zaštitu osobnih podataka i njegovo osoblje podliježu pravilima i propisima koji se primjenjuju na službenike Europskih zajednica.

Članak 4.

Zadaće

1.   Ne dovodeći u pitanje zadaće iz članka 24. i Priloga Uredbi, službenik za zaštitu osobnih podataka doprinosi stvaranju kulture zaštite osobnih podataka u okviru Komisije podizanjem opće osviještenosti o pitanjima zaštite podataka i održavanjem pravedne ravnoteže između načela zaštite osobnih podataka i transparentnosti.

2.   Službenik za zaštitu osobnih podataka vodi popis svih postupaka obrade osobnih podataka Komisije, u koji koordinatori za svoje pripadajuće glavne uprave unose sve postupke obrade koji se moraju dojaviti. Koordinatori, također, navode upravitelje koji su odgovorni za te postupke obrade. Službenik za zaštitu osobnih podataka pomaže upravitelju u procjenjivanju rizika za postupke obrade pod njegovom odgovornošću i nadziranju provedbe Uredbe u Komisiji, posebno s godišnjim izvješćem o stanju u području zaštite podataka.

3.   Službenik za zaštitu osobnih podataka organizira i predsjedava redovitim sastancima mreže koordinatora.

4.   Službenik za zaštitu osobnih podataka osigurava da popis postupaka obrade, predviđen u članku 26. Uredbe, bude dostupan na unutarnjim i vanjskim internetskim stranicama Komisije.

5.   Službenik za zaštitu osobnih podataka može Komisiji i upraviteljima davati preporuke i savjete o primjeni odredaba o zaštiti podataka te na zahtjev ili na vlastitu inicijativu može istraživati pitanja i događaje koji su izravno povezani s njegovim zadaćama te o tome izvijestiti osobu koja je naručila istragu u skladu s postupkom opisanim u članku 13. Ako je naručitelj pojedinac ili ako naručitelj nastupa u ime pojedinca, službenik za zaštitu osobnih podataka mora, u mjeri u kojoj je to moguće, osigurati povjerljivost zahtjeva, osim ako dotična osoba na koju se odnose podaci nedvosmisleno pristane da se sa zahtjevom postupa drukčije.

6.   Obrada osobnih podataka od strane odbora za osoblje ulazi u nadležnost službenika za zaštitu osobnih podataka Komisije. Kada se pojavi neko pitanje o postupcima obrade podataka od strane odbora za osoblje, službenik za zaštitu osobnih podataka, za svrhe članka 6. u nastavku, dostavlja sve informacije predsjedniku dotičnog odbora za osoblje, a ne glavnome tajniku.

7.   Ne dovodeći u pitanje neovisnost službenika za zaštitu osobnih podataka, glavni tajnik ga u ime Komisije može pitati da predstavlja ustanovu u svim predmetima o zaštiti podataka; to može uključiti njegovo sudjelovanje u pripadajućim odborima i tijelima na međunarodnoj razini.

Članak 5.

Dužnosti

1.   Pored svojih općih zadaća službenik za zaštitu osobnih podataka ispunjava i sljedeće dužnosti:

(a)	za Komisiju, svake godine glavnom tajniku i glavnom direktoru za osoblje i upravu dostavlja izvješće o stanju u području zaštite podataka, o čemu se raspravlja na odgovarajućoj razini, kao što su redoviti sastanci glavnih direktora. Izvješće je na raspolaganju osoblju Komisije;

(b)	u obavljanju svojih funkcija surađuje sa službenicima za zaštitu podataka iz drugih institucija i tijela, a posebno razmjenjujući iskustva i najbolje prakse.

2.   U postupcima obrade osobnih podataka u njegovoj nadležnosti, službenik za zaštitu osobnih podataka ima ulogu upravitelja.

Članak 6.

Ovlasti

U izvođenju svojih zadaća i dužnosti, ne dovodeći u pitanje ovlasti dodijeljene na temelju Uredbe, službenik za zaštitu osobnih podataka:

(a)	može zatražiti pravno mišljenje od pravne službe Komisije;

(b)	u slučaju spora zbog tumačenja ili provedbe Uredbe, može obavijestiti odgovarajuću razinu uprave i glavnog tajnika prije upućivanja predmeta europskom nadzorniku za zaštitu podataka;

(c)

može obavijestiti glavnog tajnika o svim propustima ako: — neki član osoblja ne ispunjava obveze prema Uredbi, — upravitelji ne ispunjavaju norme unutarnjeg nadzora Komisije koje se posebno odnose na obveze prema Uredbi, i predložiti pokretanje administrativne istrage radi moguće primjene članka 49. Uredbe;

(d)	može istraživati pitanja i događaje koji su izravno povezani s njegovim zadaćama, primjenjujući prikladna načela za istrage i revizije u Komisiji te slijedeći postupak iz članka 13. ove Odluke;

(e)	u svakom trenutku ima pristup podacima koji su predmet postupka obrade osobnih podataka kao i svim prostorijama, uređajima za obradu podataka i nosiocima podataka.

Članak 7.

Sredstva

Komisija službeniku za zaštitu osobnih podataka osigurava potrebna sredstva za izvođenje njegovih dužnosti.

ODJELJAK 3.

PRAVILA I POSTUPCI

Članak 8.

Informacije

1.   Svaki put kada službe Komisije razmatraju predmet koji utječe na zaštitu podataka, a najkasnije prije donošenja bilo koje odluke, vodeća služba o tome odmah obavješćuje službenika za zaštitu osobnih podataka.

2.   Kada se Komisija savjetuje i obavješćuje europskog nadzornika za zaštitu podataka sukladno odgovarajućim člancima Uredbe, a posebno u skladu s člankom 28. stavcima 1. i 2., o tome se obavješćuje službenika za zaštitu osobnih podataka. Također ga se obavješćuje o izravnim kontaktima između upravitelja Komisije i europskog nadzornika za zaštitu podataka, u skladu s odgovarajućim člancima Uredbe.

3.   Vodeća služba ili pravna služba, ako je prikladno, obavješćuju službenika za zaštitu osobnih podataka o mišljenjima i stajalištima pravne službe koja se neposredno odnose na unutarnju primjenu odredaba iz Uredbe, kao i o mišljenjima koja se tiču tumačenja ili provedbe drugih pravnih akata u vezi sa zaštitom i obradom osobnih podataka, a posebno u vezi sa savjetovanjem među službama, i pristupa informacijama.

Članak 9.

Upravitelji

1.   Ne dovodeći u pitanje odredbe Uredbe u vezi s njihovim obvezama, upravitelji:

(a)	za službenika za zaštitu osobnih podataka bez odlaganja pripremaju obavijesti o svim postojećim postupcima obrade, koji još nisu bili dojavljeni;

(b)	prema potrebi, savjetuju se sa službenikom za zaštitu osobnih podataka o usklađenosti postupaka obrade, a posebno u slučaju sumnje u njihovu usklađenost;

(c)	surađuju s koordinatorom u izradi popisa postojećih postupaka obrade osobnih podataka pri glavnoj upravi.

2.   Dio svojih zadaća upravitelj može prenijeti na druge osobe koje u svojstvu ovlaštenog upravitelja djeluju u njegovoj nadležnosti i odgovornosti.

Članak 10.

Obrađivači

Obrađivači pri Komisiji, zaduženi za obradu osobnih podataka u ime upravitelja, djeluju isključivo prema uputama upravitelja koje su dokumentirane u pisanom dogovoru te obrađuju spomenute osobne podatke strogo se pridržavajući Uredbe i svih drugih akata koji se odnose na zaštitu podataka. Pisani dogovor između organizacijskih jedinica Komisije smatra se jednakovrijednim pravno obvezujućem aktu u smislu članka 23. stavka 2. Uredbe.

S vanjskim obrađivačima sklapaju se službeni ugovori koji sadrže posebne zahtjeve spomenute u članku 23. stavku 2. Uredbe.

Članak 11.

Obavješćivanje

Za dostavu obavijesti službeniku za zaštitu osobnih podataka upravitelji koriste online sustav Komisije za obavješćivanje kojem se pristupa putem internetske stranice službenika za zaštitu osobnih podataka na intranetu Komisije.

Za jednostavne postupke obrade neosjetljivih osobnih podataka sustav nudi pojednostavnjeni oblik obavješćivanja.

Članak 12.

Popis

Svo osoblje institucija i tijela Zajednice imaju pristup elektroničkom popisu postupaka obrade Komisije, koji je spomenut u članku 4. stavku 4. ove Odluke, putem internetske stranice službenika za zaštitu osobnih podataka na intranetu Komisije, dok sve osobe koje imaju pristup internetu mogu koristiti internetsku stranicu Europa. Osobe koje nemaju pristup internetu mogu u pisanom obliku od službenika za zaštitu osobnih podataka zatražiti izvadak iz tog popisa, a on im je dužan odgovoriti u roku 10 radnih dana.

Članak 13.

Istražni postupak

1.   Zahtjev za istragom, naveden u članku 4. stavku 5. ove Odluke, upućuje se službeniku za zaštitu osobnih podataka u pisanom obliku. U roku 15 dana od primitka zahtjeva službenik za zaštitu osobnih podataka osobi koja je naručila istragu šalje potvrdu o primitku i provjerava mora li se sa zahtjevom postupati povjerljivo. Ako se radi o očitoj zlouporabi prava na zahtijevanje istrage, službenik za zaštitu osobnih podataka nije obavezan odgovoriti naručitelju.

2.   Od upravitelja koji je odgovoran za dotični postupak obrade podataka službenik za zaštitu osobnih podataka traži pisanu izjavu o predmetu. Upravitelj odgovara u roku 15 radnih dana. Službenik za zaštitu osobnih podataka može zatražiti da upravitelji i/ili treće strane dostave dodatne informacije u roku 15 radnih dana. Prema potrebi može zatražiti mišljenje pravne službe o tom pitanju, koje se dostavlja u roku 30 radnih dana.

3.   Službenik za zaštitu osobnih podataka osobi koja je naložila istragu odgovara najkasnije tri mjeseca od primitka zahtjeva. Taj se period može obustaviti sve dok službenik za zaštitu osobnih podataka ne primi dodatne informacije koje je zatražio.

4.   Nitko ne smije trpjeti štetu zbog toga što je iznio službeniku za zaštitu osobnih podataka činjenice za koje tvrdi da predstavljaju kršenje odredaba Uredbe.

Članak 14.

Koordinatori zaštite podataka

1.   Glavni direktor ili voditelj službe imenuje koordinatora zaštite podataka u svakoj glavnoj upravi ili službi. Na temelju pisanog dogovora nekoliko glavnih uprava, službi ili ureda mogu, zbog usklađenosti ili učinkovitosti, odlučiti imenovati zajedničkog koordinatora ili zajednički koristiti usluge već imenovanog koordinatora.

2.   Funkcija koordinatora zaštite podataka može se kombinirati s drugim funkcijama prema potrebi. Radi stjecanja potrebnih sposobnosti za izvršenje tih funkcija mora proći obaveznu obuku za koordinatore zaštite podataka u roku šest mjeseci od svoga imenovanja.

3.   Mandat koordinatora zaštite podataka nije ograničen. Izabire se na prikladnoj hijerarhijskoj razini na temelju visoke profesionalne etike, znanja i iskustva u radu glavne uprave te motiviranosti za ovu funkciju. Mora biti upoznat s načelima informacijskih sustava.

4.   Ne dovodeći u pitanje odgovornosti službenika za zaštitu podataka koordinator:

(a)

izrađuje popis postupaka obrade pri glavnoj upravi, ažurira ga i pomaže kod određivanja odgovarajuće razine rizika za svaki postupak obrade; koristi online sustav za upravljanje popisom, namijenjen koordinatorima zaštite podataka, koji u te svrhe ustanovljava službenik za zaštitu podataka na svojim internetskim stranicama na intranetu Komisije;

(b)	pomaže glavnom direktoru ili voditelju službe pri određivanju upravitelja;

(c)	ima pravo dobiti potrebne i odgovarajuće informacije od upravitelja. To ne uključuje pravo na pristup osobnim podacima koji se obrađuju pod odgovornošću upravitelja.

5.   Ne dovodeći u pitanje odgovornosti upravitelja, koordinator zaštite podataka:

(a)	pomaže upraviteljima u ispunjavanju njihovih pravnih obveza;

(b)	pomaže upraviteljima u izradi obavijesti;

(c)	unosi pojednostavnjene obavijesti u online sustav za obavješćivanje službenika za zaštitu podataka.

6.   Koordinator zaštite podataka sudjeluje na redovitim sastancima mreže koordinatora, kojim predsjedava službenik za zaštitu podataka, kako bi se osigurala dosljedna provedba i tumačenje Uredbe pri Komisiji i raspravljalo o temama od zajedničkog interesa.

7.   U izvođenju svojih zadaća koordinator zaštite podataka može od službenika za zaštitu podataka zatražiti preporuke, savjet ili mišljenje.

Članak 15.

Administracija i upravljanje

1.   Službenik za zaštitu podataka administrativno pripada općem tajništvu i njegove su aktivnosti uključene u postupak izrade proračuna i upravljanja na temelju djelatnosti sukladno djelatnosti 7. glavnog tajništva: odnosi s civilnim društvom, otvorenost i informacije. U tom kontekstu službenik za zaštitu podataka sudjeluje u pripremi godišnjeg plana upravljanja i prednacrta proračuna glavnog tajništva.

2.   Službenik za zaštitu podataka je zadužen za ocjenjivanje osoblja iz svog tajništva i pomoćnika službenika za zaštitu podataka. Zamjenik glavnog direktora je supotpisnik.

3.   Službenik za zaštitu podataka, prema potrebi, sudjeluje u koordinaciji upravljanja glavnog tajništva.

ODJELJAK 4.

ZAVRŠNE ODREDBE

Članak 16.

Stupanje na snagu

Ova Odluka stupa na snagu 3. lipnja 2008.

---

(1)  SL L 8, 12.1.2001., str. 1.

(2)  Još nije objavljena u Službenom listu.

(3)  Svaka uputa na službenika za zaštitu osobnih podataka u nastavku se odnosi na oba spola.

---