22.7.2008

LT

Europos Sąjungos oficialusis leidinys

L 193/7

---

KOMISIJOS SPRENDIMAS

2008 m. birželio 3 d.

kuriuo pagal Reglamento (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo 24 straipsnio 8 dalį patvirtinamos su duomenų apsaugos pareigūnu susijusios įgyvendinimo taisyklės

(2008/597/EB)

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (1), ypač į jo 24 straipsnio 8 dalį ir priedą,

kadangi:

(1)	Reglamente (EB) Nr. 45/2001 (toliau – reglamentas) yra išdėstyti visoms Bendrijos institucijoms ir įstaigoms taikomi principai ir taisyklės bei numatyta, kad kiekviena Bendrijos institucija ir Bendrijos įstaiga paskiria duomenų apsaugos pareigūną.

(2)

Reglamento 24 straipsnio 8 dalyje kiekvienos Bendrijos institucijos ar įstaigos reikalaujama priimti papildomas, su duomenų apsaugos pareigūnu susijusias įgyvendinimo taisykles, laikantis priede išdėstytų nuostatų. Įgyvendinimo taisyklėse pirmiausia turi būti nustatyti duomenų apsaugos pareigūno uždaviniai, pareigos ir įgaliojimai.

(3)	2002 m. vasario 18 d. Komisijos direktyva C(2002) 510 (2) sukuriama Komisijos duomenų apsaugos pareigūno (DAP) pareigybė ir DAP yra įpareigojamas pasiūlyti papildomas įgyvendinimo taisykles atsižvelgiant į konsultacijose su generaliniais direktoratais išaiškėjusius jų poreikius ir patirtį,

NUSPRENDĖ:

1   SKIRSNIS

BENDROSIOS NUOSTATOS

1 straipsnis

Apibrėžtys

Šiame sprendime, nepažeidžiant reglamente nustatytų apibrėžčių:

—	duomenų apsaugos koordinatorius (toliau – DAK) – generalinio direktorato ar tarnybos darbuotojas, generalinio direktoriaus paskirtas koordinuoti visus asmens duomenų apsaugos generaliniame direktorate reikalus,

—	duomenų valdytojas – kaip apibrėžta 2 straipsnio d punkte ir minima 25 straipsnio 2 dalies a punkte, už organizacinį padalinį atsakingas pareigūnas, kuris nustatė asmens duomenų tvarkymo tikslus ir priemones.

2 straipsnis

Taikymo sritis

Šiame sprendime apibrėžiamos Komisijos duomenų apsaugos pareigūno (toliau – DAP) pareigų įgyvendinimo taisyklės ir tvarka pagal reglamento 24 straipsnio 8 dalį. Jis netaikomas Komisijos veiklai, kai nustatoma politika, susijusi su asmenų apsauga tvarkant asmens duomenis.

2   SKIRSNIS

DUOMENŲ APSAUGOS PAREIGŪNAS

3 straipsnis

Paskyrimas ir statusas

1.   Komisija skiria DAP (3) ir užregistruoja jį Europos duomenų apsaugos priežiūros pareigūno institucijoje (toliau – EDAP).

2.   DAP skiriamas penkerių metų kadencijai, kuri gali būti pratęsta vieną kartą.

3.   DAP nepriklausomai veikdamas taiko reglamento nuostatas institucijos viduje ir negali gauti jokių nurodymų dėl savo pareigų vykdymo.

4.   DAP išrenkamas iš Komisijos darbuotojų nustatyta tvarka. DAP turėtų ne tik atitikti reglamento 24 straipsnio 2 dalies reikalavimus, bet ir puikiai išmanyti Komisijos tarnybas bei jų struktūrą, taip pat administracines taisykles ir tvarką. Jis turėtų gerai išmanyti duomenų apsaugos ir informacines sistemas, principus ir metodus. Jis turi sugebėti parodyti sveiką nuovoką ir išlikti nešališkas bei objektyvus pagal Tarnybos nuostatas.

5.   Pagal reglamentą Komisija gali atleisti DAP iš pareigų, tačiau tik sutikus EDAP, jei jis nebeatitinka jo pareigoms keliamų reikalavimų. Komisija, Generalinio sekretoriaus, gavusio personalo ir administracijos generalinio direktoriaus sutikimą, pasiūlymu nustato, kad DAP nebeatitinka jo pareigoms keliamų reikalavimų.

6.   Nepažeidžiant atitinkamų reglamento nuostatų, DAP ir jo personalas laikosi Europos Bendrijų pareigūnams taikomų taisyklių ir nuostatų.

4 straipsnis

Užduotys

1.   Nepažeisdamas reglamento 24 straipsnyje ir priede aprašytų užduočių, DAP prisideda prie asmens duomenų apsaugos principų kūrimo Komisijoje, gerindamas bendrą supratimą apie duomenų apsaugos dalykus ir išlaikydamas tinkamą asmens duomenų apsaugos ir skaidrumo principų pusiausvyrą.

2.   DAP tvarko Komisijos asmens duomenų tvarkymo veiksmų sąrašą, į kurį DAK įveda visus savo generalinio direktorato tvarkymo veiksmus, apie kuriuos turi būti pranešta. Be to, DAP nustato už šiuos tvarkymo veiksmus atsakingą duomenų valdytoją. DAP padeda duomenų valdytojui vertinti jam priklausančių tvarkymo veiksmų riziką ir stebi, kaip reglamentas įgyvendinamas Komisijoje, visų pirma paskelbdamas metinę duomenų apsaugos būklės ataskaitą.

3.   DAP rengia reguliarius DAK tinklo susitikimus ir jiems pirmininkauja.

4.   DAP užtikrina, kad reglamento 26 straipsnyje numatytas tvarkymo veiksmų registras būtų prieinamas Komisijos vidaus ir išorės interneto svetainėse.

5.   DAP gali Komisijai ir duomenų valdytojams teikti rekomendacijas ir patarimus dėl duomenų apsaugos nuostatų taikymo ir gali, gavęs prašymą, arba savo iniciatyva tirti tiesiogiai su jo užduotimis susijusius klausimus bei atvejus ir atsakyti tyrimą užsakiusiam asmeniui vadovaujantis šio sprendimo 13 straipsnyje nustatyta tvarka. Jei prašymą pateikia asmuo arba jei jis pateikiamas asmens vardu, DAP privalo kiek įmanoma užtikrinti prašymo konfidencialumą, išskyrus atvejus, kai atitinkamas duomenų subjektas nedviprasmiškai sutinka, kad prašymas būtų traktuojamas kitaip.

6.   Personalo komitetų asmens duomenų tvarkymas įeina į Komisijos DAP kompetenciją. Taikant šio sprendimo 6 straipsnį, DAP pateikia bet kokią informaciją atitinkamo Personalo komiteto pirmininkui, o ne Generaliniam sekretoriui, kai kyla bet koks su atitinkamo Personalo komiteto tvarkymo veiksmais susijęs klausimas.

7.   Nepažeisdamas DAP nepriklausomybės Generalinis sekretorius Komisijos vardu gali paprašyti jo atstovauti institucijai visais duomenų apsaugos klausimais; tai gali būti DAP dalyvavimas atitinkamuose komitetuose ir įstaigose tarptautiniu lygiu.

5 straipsnis

Pareigos

1.   Be bendrųjų užduočių DAP:

a)	kiekvienais metais pateikia Komisijos duomenų apsaugos būklės ataskaitą Generaliniam sekretoriui ir personalo ir administracijos generaliniam direktoriui aptarti tinkamu lygiu, pavyzdžiui, reguliariame generalinių direktorių susitikime; ataskaita yra prieinama Komisijos darbuotojams;

b)	eidamas savo pareigas bendradarbiauja su kitų institucijų ir įstaigų DAP, ypač keisdamasis patirtimi ir geriausia praktika.

2.   Tvarkydamas savo atsakomybės sričiai priklausančius asmens duomenis DAP veikia kaip duomenų valdytojas.

6 straipsnis

Įgaliojimai

Vykdydamas savo užduotis ir pareigas ir nepažeisdamas reglamento suteiktų įgaliojimų DAP:

a)	gali paprašyti Komisijos Teisės tarnybos pateikti teisines išvadas;

b)	gali, kilus konfliktui dėl reglamento aiškinimo ar įgyvendinimo, informuoti atsakingus vadovus ir Generalinį sekretorių, prieš perduodamas klausimą EDAP;

c)

gali atkreipti Generalinio sekretoriaus dėmesį į bet kurį atvejį, kai: — darbuotojas nevykdo reglamente numatytų įsipareigojimų, — duomenų valdytojai nesilaiko Komisijos vidaus kontrolės standartų, ypač susijusių su reglamente numatytais įsipareigojimais; ir siūlyti pradėti administracinį tyrimą atsižvelgiant į galimą reglamento 49 straipsnio taikymą;

d)	gali tirti su savo užduotimis tiesiogiai susijusius klausimus ir atvejus, laikydamasis atitinkamų Komisijos tyrimų ir audito principų bei šio sprendimo 13 straipsnyje numatytos tvarkos;

e)	Jis visada turi teisę susipažinti su duomenimis, kurie yra asmens duomenų tvarkymo veiksmų dalykas, bei patekti į visas tarnybas, naudotis duomenų tvarkymo įranga ir duomenų laikmenomis.

7 straipsnis

Ištekliai

Komisija suteikia DAP visus jo pareigoms vykdyti reikalingus išteklius.

3   SKIRSNIS

TAISYKLĖS IR TVARKA

8 straipsnis

Informavimas

1.   Pagrindinė tarnyba nedelsiant ir ne vėliau nei priimamas bet koks sprendimas informuoja DAP, kai Komisijos tarnybose svarstomas su duomenų apsauga susijęs klausimas.

2.   DAP informuojamas, kai Komisija konsultuojasi su EDAP arba ją informuoja pagal atitinkamus reglamento straipsnius, ypač pagal 28 straipsnio 1 dalį ir 28 straipsnio 2 dalį. Jis taip pat informuojamas apie tiesioginius Komisijos duomenų valdytojų ir EDAP ryšius pagal atitinkamus reglamento straipsnius.

3.   Atitinkamai pagrindinė tarnyba arba Teisės tarnyba informuoja DAP apie Teisės tarnybos išvadas ar rašytines nuomones, tiesiogiai susijusias su reglamento nuostatų vidiniu taikymu, bei išvadas, susijusias su kitų teisės aktų dėl asmens duomenų apsaugos ir tvarkymo, ypač dėl tarpžinybinių konsultacijų ir galimybės susipažinti su informacija, aiškinimo bei įgyvendinimo.

9 straipsnis

Duomenų valdytojai

1.   Nepažeisdami su savo įsipareigojimais susijusių reglamento nuostatų duomenų valdytojai:

a)	nedelsiant parengia pranešimus DAP apie visus vykdomus tvarkymo veiksmus, apie kuriuos nebuvo pranešta;

b)	prireikus konsultuojasi su DAP dėl tvarkymo veiksmų atitikimo reglamentui, ypač tais atvejais, kai abejojama dėl atitikimo;

c)	bendradarbiauja su DAK siekiant sudaryti vykdomų generalinio direktorato asmens duomenų tvarkymo veiksmų sąrašą.

2.   Duomenų valdytojas gali pavesti dalį savo užduočių atlikti kitiems asmenims, veikiantiems kaip įgaliotieji duomenų valdytojai, už kuriuos jis atsako.

10 straipsnis

Duomenų tvarkytojai

Komisijos duomenų tvarkytojai, privalantys duomenų valdytojų vardu tvarkyti asmens duomenis, veikia tik pagal duomenų valdytojų nurodymus, numatytus raštiškame susitarime, ir tvarko šiuos asmens duomenis griežtai laikydamiesi reglamento ir bet kurių kitų taikytinų teisės aktų dėl duomenų apsaugos. Raštiškas Komisijos struktūrinių padalinių susitarimas yra traktuojamas kaip teisiškai privalomas teisės aktas, kaip apibrėžta reglamento 23 straipsnio 2 dalyje.

Su išorės duomenų tvarkytojais sudaromos oficialios sutartys; tokiose sutartyse numatomi konkretūs reikalavimai, nurodyti reglamento 23 straipsnio 2 dalyje.

11 straipsnis

Pranešimai

Duomenų valdytojai pateikia pranešimus DAP per Komisijos operatyviąją pranešimų sistemą, kuria galima naudotis per DAP svetainę Komisijos intranete.

Paprastiems neslapto pobūdžio asmens duomenų tvarkymo veiksmams atlikti sistema turi supaprastintą pranešimo tvarką.

12 straipsnis

Registras

Komisijos elektroniniu tvarkymo veiksmų registru, nurodytu šio sprendimo 4 straipsnio 4 dalyje, gali naudotis visi Bendrijos institucijų ir įstaigų darbuotojai per DAP svetainę Komisijos intranete ir visi prieigą prie interneto turintys asmenys per svetainę EUROPA. Bet kuris prieigos prie interneto neturintis asmuo, norėdamas gauti registro išrašą, gali raštu pateikti prašymą DAP, kuris atsako per 10 darbo dienų.

13 straipsnis

Tyrimo tvarka

1.   Šio sprendimo 4 straipsnio 5 dalyje nurodyti prašymai atlikti tyrimą raštu perduodami DAP. Per penkiolika dienų nuo prašymo gavimo DAP tyrimą užsakiusiam asmeniui išsiunčia prašymo gavimo patvirtinimą ir patikrina, ar prašymas turi būti laikomas konfidencialiu. Kai akivaizdžiai piktnaudžiaujama teise prašyti tyrimo, DAP nėra įpareigotas atsakyti pareiškėjui.

2.   DAP prašo duomenų valdytojo, atsakingo už atitinkamą duomenų tvarkymo veiksmą, raštiško pareiškimo šiuo reikalu. Duomenų valdytojas per 15 darbo dienų pateikia savo atsakymą DAP. DAP gali pageidauti per 15 dienų gauti papildomos informacijos iš jo ir (arba) kitų šalių. Prireikus jis gali prašyti Teisės tarnybos nuomonės šiuo klausimu. Nuomonė DAP pateikiama per 30 darbo dienų.

3.   DAP atsako tyrimą užsakiusiam asmeniui ne vėliau kaip per tris mėnesius nuo prašymo gavimo. Šis laikotarpis gali būti sustabdytas tol, kol DAP negaus papildomos informacijos, kurios jis gali būti paprašęs.

4.   Nė vienas asmuo negali nukentėti dėl to, kad atkreipė DAP dėmesį į klausimą, tvirtindamas, jog buvo pažeistos reglamento nuostatos.

14 straipsnis

Duomenų apsaugos koordinatoriai

1.   DAK paskiria generalinis direktorius arba tarnybos vadovas kiekviename generaliniame direktorate arba tarnyboje. Rašytiniu susitarimu keli generaliniai direktoratai, tarnybos ar biurai, siekdami darnumo arba veiksmingumo, gali nuspręsti paskirti bendrą DAK arba naudotis jau paskirto DAK paslaugomis.

2.   Atitinkamai DAK pareigos gali būti suderintos su kitomis pareigomis. Kad įgytų pareigoms vykdyti reikalingų gebėjimų, jis turi per šešis mėnesius nuo paskyrimo dalyvauti privalomuose DAK mokymuose.

3.   DAK skiriamas neribotam laikotarpiui. Jis turėtų būti išrenkamas atitinkamame hierarchijos lygmenyje pagal aukštą profesinę etiką, žinias ir patirtį, susijusią su jo generalinio direktorato darbu, bei motyvaciją užimti šias pareigas. Jis turėtų išmanyti informacinių sistemų veikimo principus.

4.   Nepažeisdamas DAP pareigų DAK:

a)	sudaro generalinio direktorato tvarkymo veiksmų sąrašą, jį atnaujina ir padeda nustatyti kiekvieno tvarkymo veiksmo tinkamą rizikos lygį; naudojasi DAK skirta operatyviąja sąrašo valdymo sistema, kurią šiems tikslams sukūrė DAP savo svetainėje Komisijos intranete;

b)	padeda generaliniam direktoriui arba tarnybos vadovui nustatyti atitinkamus duomenų valdytojus;

c)	turi teisę gauti iš duomenų valdytojų reikalingą ir tinkamą informaciją. Tai neapima teisės susipažinti su asmens duomenimis, kuriuos savo atsakomybės srityje tvarko duomenų valdytojas.

5.   Nepažeisdamas duomenų valdytojo pareigų DAK:

a)	padeda duomenų valdytojams vykdyti teisinius įsipareigojimus;

b)	padeda duomenų valdytojams sukurti pranešimus;

c)	įveda supaprastintus pranešimus į operatyviąją DAP pranešimų sistemą.

6.   DAK dalyvauja reguliariuose DAK tinklo susitikimuose, kuriems pirmininkauja DAP, kad užtikrintų darnų reglamento įgyvendinimą ir aiškinimą Komisijoje ir aptartų bendrus interesus.

7.   Vykdydamas savo užduotis DAK gali prašyti DAP rekomendacijos, patarimo ar nuomonės.

15 straipsnis

Administravimas ir valdymas

1.   Administraciniu požiūriu DAP priklauso Generaliniam sekretoriatui ir jo veikla integruojama į biudžeto sudarymo ir valdymo pagal veiklos rūšis procesą, numatytą Generalinio sekretoriato 7 veikloje: Santykiai su pilietine visuomene, atvirumas ir informavimas. Tokiomis aplinkybėmis DAP dalyvauja rengiant metinį valdymo planą ir Generalinio sekretoriato preliminaraus biudžeto projektą.

2.   DAP yra pareigūnas, teikiantis informaciją savo sekretoriato darbuotojams ir duomenų apsaugos pareigūno pavaduotojui. Generalinio sekretoriaus pavaduotojas yra pasirašantysis pareigūnas.

3.   Atitinkamai DAP dalyvauja Generalinio sekretoriato valdymo koordinavime.

4   SKIRSNIS

BAIGIAMOSIOS NUOSTATOS

16 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja nuo du tūkstančiai aštuntųjų metų birželio trečios dienos.

---

(1)  OL L 8, 2001 1 12, p. 1.

(2)  Dar nepaskelbta Oficialiajame leidinyje.

(3)  Toliau tekste duomenų apsaugos pareigūnas reiškia jis arba ji ir jo arba jos.

---