|
22.7.2008 |
HU |
Az Európai Unió Hivatalos Lapja |
L 193/7 |
A BIZOTTSÁG HATÁROZATA
(2008. június 3.)
az adatvédelmi tisztviselőre vonatkozó végrehajtási szabályoknak a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló 45/2001/EK rendelet 24. cikkének (8) bekezdése szerinti elfogadásáról
(2008/597/EK)
AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,
tekintettel a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendeletre (1) és különösen annak 24. cikke (8) bekezdésére és mellékletére,
mivel:
|
(1) |
A 45/2001/EK rendelet (a továbbiakban: a rendelet) meghatározza az összes közösségi intézményre és szervre vonatkozó elveket és szabályokat, és előírja valamennyi közösségi intézmény és szerv számára az adatvédelmi tisztviselő kinevezését. |
|
(2) |
A rendelet 24. cikkének (8) bekezdése arról rendelkezik, hogy az adatvédelmi tisztviselőre vonatkozó további végrehajtási szabályokat az egyes közösségi intézmények vagy szervek a melléklet rendelkezései szerint fogadják el. A végrehajtási szabályok különösen az adatvédelmi tisztviselő feladataira, kötelességeire és hatáskörére vonatkoznak. |
|
(3) |
A 2002. február 18-i C(2002) 510 bizottsági határozat (2) létrehozza a Bizottságon belüli adatvédelmi tisztviselő posztját, akit azzal bíz meg, hogy javasoljon további végrehajtási szabályokat a főigazgatóságokkal az azok igényeiről és tapasztalatairól folytatott konzultációt követően, |
A KÖVETKEZŐKÉPPEN HATÁROZOTT:
1. SZAKASZ
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Fogalommeghatározások
E határozat alkalmazásában és a rendeletben meghatározott fogalmak sérelme nélkül:
|
— |
adatvédelmi koordinátor a főigazgatóság vagy szolgálat személyzetének azon tagja, akit a főigazgató kinevez a főigazgatóságon belüli adatvédelem valamennyi vonatkozásának koordinálására, |
|
— |
adatkezelő a 2. cikk d) pontjában meghatározottak és a 25. cikk (2) bekezdésének a) pontjában történő hivatkozás szerint az a tisztviselő, aki a személyes adatok feldolgozásának céljait és módját meghatározó szervezeti egységért felel. |
2. cikk
Hatály
E határozat megszabja a Bizottságon belüli adatvédelmi tisztviselő feladatának végrehajtására vonatkozó szabályokat és eljárásokat a rendelet 24. cikkének (8) bekezdése értelmében. A határozat nem vonatkozik a Bizottság azon tevékenységeire, amelyek során a személyes adatok feldolgozása tekintetében az egyének védelmére vonatkozó politikákat határozza meg.
2. SZAKASZ
AZ ADATVÉDELMI TISZTVISELŐ
3. cikk
Kinevezés és státus
(1) Az adatvédelmi tisztviselőt (3) a Bizottság nevezi ki, és nevét közli az Európai Adatvédelmi Biztossal.
(2) Az adatvédelmi tisztviselő megbízatásának ideje öt év, amely egyszer megújítható.
(3) Az adatvédelmi tisztviselő a rendelet rendelkezéseinek belső alkalmazására tekintettel függetlenül jár el, és semmiféle utasítást nem fogadhat el feladatainak teljesítésére vonatkozóan.
(4) Az adatvédelmi tisztviselőt a megfelelő eljárások alkalmazásával a Bizottság állományából választják ki. A rendelet 24. cikke (2) bekezdésében található követelményeken túl az adatvédelmi tisztviselő kiválóan ismeri a Bizottság szervezeti egységeit és felépítését, továbbá igazgatási szabályait és eljárásait. Alapos ismeretekkel rendelkezik az adatvédelem és az információs rendszerek, elvek és módszerek terén. A személyzeti szabályzat értelmében ítélőképessége jó, továbbá képes pártatlan és tárgyilagos álláspontot képviselni.
(5) A rendelet értelmében az adatvédelmi tisztviselőt megbízatásából kizárólag a Bizottság mentheti fel az Európai Adatvédelmi Biztos hozzájárulásával, ha már nem felel meg a feladatának teljesítéséhez előírt feltételeknek. A Bizottság a főigazgató személyzeti és igazgatási főigazgatóval egyetértésben tett javaslatára állapítja meg, hogy az adatvédelmi tisztviselő már nem felel meg a feladatának teljesítéséhez előírt feltételeknek.
(6) A rendelet vonatkozó rendelkezéseinek sérelme nélkül, az adatvédelmi tisztviselő személyére és munkatársaira az Európai Közösségek tisztviselőire vonatkozó szabályok és szabályzatok vonatkoznak.
4. cikk
Feladatok
(1) A rendelet 24. cikkében és mellékletében meghatározott feladatok sérelme nélkül, az adatvédelmi tisztviselő a Bizottságon belül hozzájárul a személyes adatok védelme kultúrájának kialakításához azáltal, hogy az általános figyelmet ráirányítja az adatvédelem kérdéseire, valamint egyensúlyban tartja a személyes adatok védelme és az átláthatóság elveinek érvényesülését.
(2) Az adatvédelmi tisztviselő a személyes adatok feldolgozását érintő valamennyi bizottsági műveletről jegyzéket vezet, amelybe az adatvédelmi koordinátorok a megfelelő főigazgatóság vonatkozásában valamennyi bejelentendő adatfeldolgozási műveletet bevezetnek. Az adatvédelmi koordinátorok azonosítják továbbá az ilyen adatfeldolgozási műveletekért felelős adatkezelőt is. Az adatvédelmi tisztviselő segít az adatkezelőnek a felelősségi körébe tartozó adatfeldolgozási műveletekkel kapcsolatos kockázatok értékelésében, valamint figyelemmel kíséri a rendelet Bizottságnál történő végrehajtását, különösen az éves adatvédelmi állapotjelentés révén.
(3) Az adatvédelmi tisztviselő megszervezi és levezeti az adatvédelmi koordinátorok hálózatának rendszeres üléseit.
(4) Az adatvédelmi tisztviselő nyilvántartást vezet a rendelet 26. cikkének megfelelően bejelentett adatfeldolgozási műveletekről, amely elérhető a Bizottság belső és külső internetes oldalain.
(5) Az adatvédelmi tisztviselő ajánlásokat tehet és tanácsot adhat a Bizottságnak és az adatkezelőknek az adatvédelmi rendelkezések alkalmazásával kapcsolatos kérdésekben, valamint kérésre vagy saját kezdeményezésére megvizsgálhatja a feladataihoz közvetlenül kapcsolódó ügyeket és tényeket, és vizsgálatáról jelentést küldhet a vizsgálatot kérő személynek a 13. cikkben meghatározott eljárásnak megfelelően. Amennyiben a kérelmező természetes személy, vagy természetes személy nevében jár el, az adatvédelmi tisztviselő köteles a lehetséges mértékig biztosítani a kérelem bizalmas kezelését, kivéve ha az érintett egyértelmű beleegyezését adja, hogy kérelme ettől eltérő módon kezelhető.
(6) A személyes adatok személyzeti bizottságok általi feldolgozása a Bizottság adatvédelmi tisztviselőjének hatáskörébe tartozik. A 6. cikk alkalmazásában az adatvédelmi tisztviselő a főigazgató helyett a személyzeti bizottság elnökével közöl minden információt, amennyiben az érintett személyzeti bizottság általi adatfeldolgozási műveletekkel kapcsolatban merül fel valamely kérdés.
(7) Az adatvédelmi tisztviselő függetlenségének sérelme nélkül a Bizottság nevében a főigazgató felkérheti a tisztviselőt, hogy képviselje az intézményt valamennyi adatvédelmi kérdésben; ebbe beletartozhat az adatvédelmi tisztviselő részvétele a megfelelő nemzetközi szintű bizottságokban és szervekben is.
5. cikk
Kötelezettségek
(1) A teljesítendő általános feladatokon túl az adatvédelmi tisztviselő
|
a) |
a főigazgatónak és a személyzeti és igazgatási főigazgatónak minden évben adatvédelmi állapotjelentést nyújt be a Bizottságra vonatkozóan, hogy azt megfelelő szinten, mint például a főigazgatók rendszeres ülésén megvitassák; a jelentést a Bizottság személyzete számára hozzáférhetővé kell tenni; |
|
b) |
feladatai ellátása során együttműködik más intézmények és szervek adatvédelmi tisztviselőivel, főképp tapasztalatcsere és legjobb módszerek átadása révén. |
(2) A felelősségi körébe tartozó személyesadat-feldolgozási műveletek tekintetében az adatvédelmi tisztviselő adatkezelőként jár el.
6. cikk
Hatáskör
Feladatai és kötelességei teljesítése során és a rendelet által ráruházott hatalom sérelme nélkül az adatvédelmi tisztviselő
|
a) |
jogi véleményt kérhet a Bizottság Jogi Szolgálatától; |
|
b) |
a rendelet értelmezése és végrehajtása vonatkozásában felmerülő ellentmondás esetén tájékoztathatja a megfelelő irányítási szintet és a főigazgatót, mielőtt az ügyet az európai adatvédelmi biztoshoz utalja; |
|
c) |
felhívhatja a főigazgató figyelmét
és javasolhatja, hogy indítsanak közigazgatási vizsgálatot a rendelet 49. cikkének lehetséges alkalmazásának céljából; |
|
d) |
megvizsgálhatja a feladataihoz közvetlenül kapcsolódó ügyeket és tényeket, a Bizottságnál érvényes megfelelő vizsgálati és ellenőrzési elvek, valamint az e határozat 13. cikkében meghatározott eljárásnak megfelelően; |
|
e) |
bármikor betekinthet a személyesadat-feldolgozási műveletek tárgyát képező adatokba, beléphet valamennyi hivatali helyiségbe, valamint hozzáférhet valamennyi adatfeldolgozó berendezéshez és adathordozóhoz. |
7. cikk
Források
A Bizottság az adatvédelmi tisztviselő rendelkezésére bocsátja a feladatai ellátásához szükséges forrásokat.
3. SZAKASZ
SZABÁLYOK ÉS ELJÁRÁSOK
8. cikk
Tájékoztatás
(1) Az illetékes szolgálat haladéktalanul tájékoztatja az adatvédelmi tisztviselőt, amint a Bizottság szolgálatai olyan ügyet kezdenek vizsgálni, amelynek adatvédelmi vonzatai vannak; erre legkésőbb a határozathozatal előtt sor kerül.
(2) Amikor a Bizottság egyeztetést folytat, valamint tájékoztatja az európai adatvédelmi biztost a rendelet vonatkozó cikkei és különösen a 28. cikk (1) és (2) bekezdése értelmében, erről az adatvédelmi tisztviselőt tájékoztatni kell. Tájékoztatni kell továbbá a bizottsági adatkezelők és az európai adatvédelmi biztos közötti közvetlen kapcsolatfelvételről is a rendelet vonatkozó cikkei értelmében.
(3) Az illetékes szolgálat, illetve adott esetben a Jogi Szolgálat tájékoztatja az adatvédelmi tisztviselőt a Jogi Szolgálat által készített, a rendelet rendelkezéseinek belső alkalmazásával közvetlenül kapcsolatos véleményekről és állásfoglalásokról, valamint a személyes adatok védelmével és feldolgozásával, különösen a szolgálatok közötti egyeztetéssel és az információhoz való hozzáféréssel kapcsolatos egyéb jogi aktusok értelmezésére és végrehajtására vonatkozó véleményekről.
9. cikk
Az adatkezelők
(1) Az adatkezelők kötelezettségei tekintetében a rendelet által meghatározott rendelkezések sérelme nélkül az adatkezelők
|
a) |
haladéktalanul bejelentést készítenek az adatvédelmi tisztviselőnek valamennyi olyan meglévő adatfeldolgozási műveletről, amelyek bejelentése még nem történt meg; |
|
b) |
szükség esetén konzultációt folytatnak az adatvédelmi tisztviselővel, hogy az adatfeldolgozási műveletek megfelelnek-e a rendelet előírásainak, különösen ha e megfelelés tekintetében kétségek merülnek fel; |
|
c) |
együttműködnek az adatvédelmi koordinátorral a főigazgatóságon zajló személyesadat-feldolgozási műveletek nyilvántartásának elkészítésében. |
(2) Az adatkezelő feladatai egy részét átruházhatja meghatalmazott adatkezelőként eljáró egyéb személyekre, akik tevékenységüket az ő irányítása és felelős ellenőrzése alatt végzik.
10. cikk
Az adatfeldolgozók
A Bizottságon belüli olyan adatfeldolgozók, akik az adatkezelők nevében dolgoznak fel személyes adatokat, kizárólag az adatkezelők írásbeli megállapodás szerinti utasítására járhatnak el, és az ilyen személyes adatokat szigorúan a rendelettel és az adatvédelemről szóló valamennyi egyéb jogszabállyal összhangban dolgozzák fel. A Bizottság szervezeti egységei közötti írásbeli megállapodást a kötelező erejű aktusokkal egyenértékűnek kell tekinteni a rendelet 23. cikke (2) bekezdésének értelmében.
Külső adatfeldolgozókkal hivatalos szerződést kell kötni; az ilyen szerződések tartalmazzák a rendelet 23. cikkének (2) bekezdésében említett különleges követelményeket.
11. cikk
Bejelentések
Az adatkezelők az adatvédelmi tisztviselőnek szóló bejelentéseiket a Bizottság online bejelentőrendszerén nyújtják be, amely az adatvédelmi tisztviselő bizottsági intraneten található oldalán keresztül érhető el.
Nem érzékeny személyes adatok egyszerű feldolgozási műveletei esetén a rendszer egyszerűsített bejelentést tesz lehetővé.
12. cikk
Nyilvántartás
A bizottsági adatfeldolgozási műveleteknek az e határozat 4. cikkének (4) bekezdésében említett elektronikus nyilvántartása az adatvédelmi tisztviselő bizottsági intraneten található oldalán keresztül érhető el a közösségi intézmények és szervek teljes személyzete számára, az EUROPA honlapon keresztül pedig bármely, internetes eléréssel rendelkező személy számára. Bármely, internetes eléréssel rendelkező személy kérhet kivonatot a nyilvántartásból, ha írásban fordul az adatvédelmi tisztviselőhöz, aki 10 munkanapon belül válaszol.
13. cikk
Vizsgálati eljárás
(1) A 4. cikk (5) bekezdésében említett vizsgálat elindítására irányuló kérelmet írásban kell az adatvédelmi tisztviselőnek benyújtani. A kézhezvételt követő tizenöt napon belül az adatvédelmi tisztviselő átvételi elismervényt küld a vizsgálatot kérelmezőnek, és ellenőrzi, hogy a kérelmet bizalmasan kezelik-e. A vizsgálati kérelem jogával való egyértelmű visszaélés esetén, az adatvédelmi tisztviselő nem köteles választ adni a kérelmezőnek.
(2) Az adatvédelmi tisztviselő írásos beszámolót kér az ügyről a kérdéses adatfeldolgozási műveletért felelős adatkezelőtől. Az adatkezelő tizenöt napon belül megküldi válaszát az adatvédelmi tisztviselőnek. Az adatvédelmi tisztviselő tizenöt napon belül kiegészítő információkat kérhet tőle és/vagy egyéb más felektől. Szükség esetén jogi véleményt kérhet az üggyel kapcsolatban a Jogi Szolgálattól. Az adatvédelmi tisztviselő harminc napon belül megkapja a véleményt.
(3) Az adatvédelmi tisztviselő a kézhezvételtől számított legkésőbb három hónapon belül jelentést küld a vizsgálatot kérelmező személynek. Ez az idő felfüggeszthető, amíg az adatvédelmi tisztviselő meg nem kapja az általa kért kiegészítő információt.
(4) Senki sem szenvedhet sérelmet amiatt, hogy a rendelet rendelkezéseinek vélt megsértésével kapcsolatban felhívta az adatvédelmi tisztviselő figyelmét egy ügyre.
14. cikk
Az adatvédelmi koordinátorok
(1) Valamennyi főigazgatóság és szolgálat főigazgatója vagy szolgálatvezetője adatvédelmi koordinátort nevez ki. Írásos megállapodás alapján több főigazgatóság, szolgálat vagy hivatal dönthet a következetességre vagy hatékonyságra hivatkozva úgy, hogy közös adatvédelmi koordinátort nevez ki, vagy hogy közösen veszi igénybe egy már kinevezett adatvédelmi koordinátor szolgálatait.
(2) Az adatvédelmi koordinátor feladatai szükség esetén egyéb feladatokkal is összekapcsolhatók. A feladatok ellátásához szükséges képességek megszerzése érdekében az adatvédelmi koordinátor a kinevezését követő hat hónapon belül elvégzi az adatvédelmi koordinátorok számára kötelező képzést.
(3) Az adatvédelmi koordinátor megbízatása határozatlan idejű. Kiválasztása az intézményi irányítás megfelelő szintjén, a jelölt kiemelkedő szakmai morálja, tudása, a főigazgatóságánál szerzett tapasztalata és a poszt betöltésére való motiváltsága alapján történik. A jelöltnek tisztában kell lennie az informatikai rendszerek alapelveivel.
(4) Az adatvédelmi tisztviselő hatáskörének sérelme nélkül az adatvédelmi koordinátor
|
a) |
jegyzéket állít össze a főigazgatóságon folyó adatfeldolgozási műveletekről, amelyet rendszeresen frissít, valamint segít meghatározni valamennyi adatfeldolgozási művelet esetén a megfelelő kockázati szintet; az adatvédelmi koordinátorok számára e célból létrehozott online jegyzékkezelő rendszert használja az adatvédelmi tisztviselő bizottsági intraneten található oldalán; |
|
b) |
segíti saját főigazgatóját vagy szolgálatvezetőjét a megfelelő adatkezelők beazonosításában; |
|
c) |
jogában áll beszerezni a számára szükséges és megfelelő információkat az adatkezelőktől. Ez nem foglalja magában az adatkezelő felelőssége mellett feldolgozott személyes adatokhoz való hozzáférés jogát. |
(5) Az adatkezelő hatáskörének sérelme nélkül az adatvédelmi koordinátor
|
a) |
segíti az adatkezelőket abban, hogy megfeleljenek kötelezettségeiknek; |
|
b) |
segíti az adatkezelőket a bejelentések elkészítésében; |
|
c) |
beviszi az egyszerűsített bejelentéseket az adatvédelmi tisztviselő online bejelentőrendszerébe. |
(6) Az adatvédelmi koordinátor részt vesz az adatvédelmi koordinátorok hálózatának az adatvédelmi tisztviselő elnöklete alatt tartott rendszeres ülésein, hogy hozzájáruljon a rendelet Bizottságnál való következetes végrehajtásához és értelmezéséhez, valamint a közös érdekükben álló kérdések megvitatásához.
(7) Feladatai ellátása során az adatvédelmi koordinátor ajánlás, tanács vagy vélemény kibocsátását kérheti az adatvédelmi tisztviselőtől.
15. cikk
Igazgatás és irányítás
(1) Az adatvédelmi tisztviselő igazgatásilag a főigazgatósághoz tartozik, és tevékenysége a főigazgatóság 7. tevékenysége (A civil társadalommal fenntartott kapcsolatok, átláthatóság és tájékoztatás) alá eső tevékenységalapú költségvetési és irányítási eljárás részét képezi. E tekintetben az adatvédelmi tisztviselő részt vesz a főigazgatóság éves irányítási tervének és előzetes költségvetés-tervezetének elkészítésében.
(2) Az adatvédelmi tisztviselő jár el adatszolgáltató tisztviselőként a hozzá tartozó személyzet, titkárság és a helyettes adatvédelmi tisztviselő tekintetében. A főtitkárhelyettes jár el ellenjegyző tisztviselőként.
(3) Az adatvédelmi tisztviselő adott esetben részt vesz a főigazgatóság irányításának koordinálásában.
4. SZAKASZ
ZÁRÓ RENDELKEZÉSEK
16. cikk
Hatálybalépés
Ez a határozat 2008. június 3-án lép hatályba.
Kelt Brüsszelben, 2008. június 3-án.
a Bizottság részéről
az elnök
José Manuel BARROSO
(1) HL L 8., 2001.1.12., 1. o.
(2) A Hivatalos Lapban még nem tették közzé.
(3) [Ez a lábjegyzet nem érinti a magyar nyelvi változatot.]