22.9.2012

LT

Europos Sąjungos oficialusis leidinys

C 286/16

---

EUROPOS SISTEMINĖS RIZIKOS VALDYBOS SPRENDIMAS

2012 m. liepos 13 d.

kuriuo įgyvendinamos Europos sisteminės rizikos valdybos duomenų apsaugos taisyklės

(ESRV/2012/1)

2012/C 286/11

EUROPOS SISTEMINĖS RIZIKOS VALDYBOS BENDROJI VALDYBA,

atsižvelgdama į Sutarties dėl Europos Sąjungos veikimo 16 straipsnį,

atsižvelgdama į 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (1), ypač į jo 24 straipsnio 8 dalį ir jo priedą,

pasikonsultavusi su Europos duomenų apsaugos priežiūros pareigūnu (EDAPP),

kadangi:

(1)	Reglamentas (EB) Nr. 45/2001 išdėsto principus ir taisykles, taikomus visoms Europos Sąjungos institucijoms bei įstaigoms, ir numato, kad kiekviena Sąjungos institucija ir įstaiga paskiria duomenų apsaugos pareigūną (DAP);

(2)	vadovaujantis Reglamento (EB) Nr. 45/2001 24 straipsnio 8 dalimi kiekviena Sąjungos institucija ar įstaiga privalo priimti papildomas su DAP susijusias gyvendinimo taisykles, kaip numatyta to reglamento priede;

(3)	tikslinga įtraukti nuostatas, susijusias su duomenų valdytojų ir duomenų apsaugos koordinatorių, kurių uždaviniai ir pareigos susiję su DAP uždaviniais ir pareigomis bei su duomenų subjektų teisių reguliavimu,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1   SKIRSNIS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir taikymo sritis

Šis sprendimas nustato taisykles:

a)	dėl Europos sisteminės rizikos valdybos (ESRV) DAP paskyrimo ir statuso, taip pat DAP uždavinių, pareigų ir įgaliojimų;

b)	dėl duomenų valdytojų ir duomenų apsaugos koordinatorių vaidmenų, uždavinių ir pareigų;

c)	dėl duomenų subjektų naudojimosi savo teisėmis.

2 straipsnis

Apibrėžtys

Šiame sprendime taikomos šios apibrėžtys:

a)   duomenų valdytojas– vadovas, atsakingas už organizacinį vienetą, kuris nustato asmens duomenų tvarkymo tikslus ir priemones;

b)   duomenų apsaugos koordinatorius– personalo narys, kuris padeda duomenų valdytojui atlikti jo pareigas duomenų apsaugos srityje. Šis asmuo yra įrašų tvarkymo specialistas.

2   SKIRSNIS

DUOMENŲ APSAUGOS PAREIGŪNAS

3 straipsnis

Paskyrimas, statusas ir organizaciniai klausimai

1.   Bendroji valdyba:

a)	paskiria DAP, kuris turi pakankamą darbo stažą, kad atitiktų Reglamento (EB) Nr. 45/2001 24 straipsnio reikalavimus;

b)	nustato DAP kadenciją nuo dvejų iki penkerių metų.

2.   Bendroji valdyba užtikrina, kad DAP nepriklausomai galėtų vykdyti DAP uždavinius ir pareigas. Nepažeidžiant tokio nepriklausomumo, DAP vertintojai konsultuojasi su EDAPP prieš vertindami, kaip DAP vykdo DAP uždavinius ir pareigas.

3.   Atitinkamas duomenų valdytojas užtikrina, kad DAP nedelsiant būtų informuojamas:

a)	kai atsiranda aplinkybių, kurios turi ar gali turėti įtakos duomenų apsaugai; ir

b)	apie visus ESRV kontaktus su išorės subjektais, susijusius su Reglamento (EB) Nr. 45/2001 taikymu, ypač apie bet kokį bendravimą su EDAPP.

4.   Bendroji valdyba gali paskirti DAP pavaduotoją, kuriam taikomos Reglamento (EB) Nr. 45/2001 24 straipsnio 1, 2 ir 6 dalys. DAP pavaduotojas padeda DAP vykdyti DAP uždavinius ir pareigas ir pavaduoja DAP jam nesant.

5.   Visas DAP pagalbą duomenų apsaugos klausimais teikiantis personalas veikia tik pagal DAP nurodymus.

6.   DAP gali būti atleistas pritarus EDAPP, jeigu jie nebeatitinka jų uždaviniams ir pareigoms atlikti keliamų sąlygų.

4 straipsnis

DAP uždaviniai ir pareigos

Uždaviniams, nurodytiems Reglamento (EB) Nr. 45/2001 24 straipsnyje ir to reglamento priede, įgyvendinti DAP vykdo šias pareigas, atsižvelgdamas į ESRV sekretoriato pateiktą medžiagą:

a)	didina informuotumą duomenų apsaugos klausimais ir skatina asmens duomenų apsaugos kultūrą ESRV;

b)

pataria Bendrajai valdybai, Valdymo komitetui, Sekretoriatui, duomenų valdytojui ir duomenų apsaugos koordinatoriui klausimais, susijusiais su duomenų apsaugos nuostatų taikymu ESRV. Bet kuriuo klausimu, susijusiu su Reglamento (EB) Nr. 45/2001 aiškinimu ar taikymu, su DAP gali konsultuotis Bendroji valdyba, Valdymo komitetas, Sekretoriatas, suinteresuotas duomenų valdytojas ar kiekvienas fizinis asmuo;

c)	EDAPP prašymu arba savo iniciatyva bendradarbiauja su EDAPP ir atsako į prašymus, kuriuos EDAPP pateikia ESRV duomenų apsaugos pareigūnui;

d)

nustato, ar tvarkymo veiksmai gali kelti konkrečią riziką, kaip apibrėžta Reglamento (EB) Nr. 45/2001 27 straipsnyje, ir todėl turi būti taikoma išankstinė patikra. Prireikus DAP konsultuojasi su atitinkamu duomenų valdytoju. Kilus abejonėms dėl išankstinės patikros būtinybės, turi būti konsultuojamasi su EDAPP, kaip nustatyta Reglamento (EB) Nr. 45/2001 27 straipsnio 3 dalyje,

e)

Bendrosios valdybos, Valdymo komiteto, Sekretoriato ar bet kurio fizinio asmens prašymu arba savo iniciatyva tiria klausimus ir įvykius, tiesiogiai susijusius su DAP uždaviniais ir pareigomis, ir atsako prašymo teikėjui. Klausimus ir faktus DAP nagrinėja nešališkai, tinkamai atsižvelgdamas į duomenų subjektų teises. Jei DAP tai laiko tinkama, jis atitinkamai informuoja visas kitas suinteresuotas šalis. Jei prašymą teikia fizinis asmuo arba prašymas teikiamas fizinio asmens vardu, DAP, kiek tai įmanoma, užtikrina, kad prašymas liktų konfidencialus, išskyrus tą atvejį, kai atitinkamas duomenų subjektas duoda nedviprasmišką sutikimą, kad prašymas būtų traktuojamas kitaip;

f)	bendradarbiauja su kitų Sąjungos institucijų ir įstaigų DAP, ypač keičiantis patirtimi bei dalijantis žiniomis ir atstovaujant ESRV visose diskusijose – išskyrus bylas teismuose – duomenų apsaugos klausimais; ir

g)	teikia metinę darbų programą ir metinę ataskaitą apie DAP veiklą Bendrajai valdybai ir EDAPP.

5 straipsnis

DAP įgaliojimai

1.   DAP gali:

a)	prašyti ESRV sekretoriato nuomonės bet kuriuo su DAP uždaviniais ir pareigomis susijusiu klausimu;

b)	pareikšti nuomonę dėl vykdomų ar siūlomų tvarkymo veiksmų teisėtumo ar dėl bet kokio klausimo, susijusio su pranešimu apie tvarkymo veiksmus;

c)	atkreipti ESBV sekretoriato vadovo dėmesį į tuos atvejus, kai personalo nariai nevykdo pareigų pagal Reglamentą (EB) Nr. 45/2001;

d)	turėti galimybę bet kuriuo metu prieiti prie duomenų, susijusių su asmens duomenų tvarkymo veiksmais, ir įeiti į visus biurus, prieiti prie duomenų tvarkymo įrangos ir duomenų laikmenų;

e)	dalyvauti ESRV rengiant vidaus taisykles, susijusias su asmens duomenų apsauga;

f)	vesti duomenų subjektų raštiškų prašymų, susijusių su jų teisių naudojimusi, anoniminį sąrašą; ir

g)	vykdyti kitus Reglamento (EB) Nr. 45/2001 priede nurodytus uždavinius.

2.   Neapribojant duomenų valdytojo uždavinių ir įgaliojimų, DAP turi įgaliojimus pasirašyti DAP paruoštą korespondenciją, kiek tai leidžia jų įgaliojimai.

3   SKIRSNIS

DUOMENŲ VALDYTOJAS IR DUOMENŲ APSAUGOS KOORDINATORIUS

6 straipsnis

Duomenų valdytojų ir duomenų apsaugos koordinatorių uždaviniai ir pareigos

1.   Duomenų valdytojai užtikrina, kad visi asmens duomenų tvarkymo veiksmai, atliekami srityje, už kurią jie atsako, atitiktų Reglamentą (EB) Nr. 45/2001.

2.   Vykdydami pareigą padėti DAP ir EDAPP atlikti jų pareigas, duomenų valdytojai teikia jiems visą informaciją, suteikia prieigą prie asmens duomenų ir atsako į paklausimus per 20 darbo dienų nuo prašymo gavimo.

3.   Duomenų valdytojai, gavę prašymą dėl galimybės susipažinti su asmens duomenimis ar juos ištaisyti, blokuoti ar ištrinti, arba dėl duomenų subjekto teisės prieštarauti, ar bet kokį skundą, susijusį su duomenų apsaugos klausimais, laiku informuoja DAP.

4.   Nepažeidžiant duomenų valdytojų atsakomybės:

a)

duomenų apsaugos koordinatoriai padeda duomenų valdytojams vykdyti jų pareigas arba valdytojų prašymu, arba savo pačių iniciatyva. Tai darydami, duomenų apsaugos koordinatoriai bendrauja su duomenų valdytojų personalu, kuris teikia jiems visą reikalingą informaciją. Konkretaus duomenų valdytojo sprendimu tai gali apimti leidimą prieiti prie asmens duomenų, už kurių tvarkymą atsako tas duomenų valdytojas;

b)	duomenų apsaugos koordinatoriai padeda DAP: i) nustatyti konkrečius asmens duomenų tvarkymo veiksmų valdytojus; ii) skleisti DAP patarimus ir, DAP vadovaujant, remti valdytojus; iii) dėl kitų DAP darbų programos dalykų, dėl kurių susitaria DAP ir duomenų apsaugos koordinatorių vadovybė.

7 straipsnis

Pranešimo procedūra

1.   Prieš įvedant naują asmens duomenų tvarkymo veiksmą, atitinkamas duomenų valdytojas praneša apie tai DAP pasinaudodamas per DAP svetainę ESRV intranete prieinama tinklo sąsaja. Apie kiekvieną tvarkymo veiksmą, kuriam pagal Reglamento (EB) Nr. 45/2001 27 straipsnio 3 dalį turi būti taikoma išankstinė patikra, turi būti pranešta prieš pakankamą laiką iki jo įvedimo, kad EDAPP galėtų atlikti išankstinę patikrą.

2.   Atitinkamas duomenų valdytojas tuoj pat praneša DAP apie bet kokius pasikeitimus, darančius poveikį DAP jau pateiktame pranešime esančiai informacijai.

4   SKIRSNIS

DUOMENŲ SUBJEKTŲ TEISĖS

8 straipsnis

Registras

Pagal Reglamento (EB) Nr. 45/2001 26 straipsnį DAP tvarkomas registras naudojamas kaip visų ESRV atliekamų su asmens duomenimis susijusių tvarkymo veiksmų rodyklė. Duomenų subjektai gali pasinaudoti registre esančia informacija naudodamiesi teisėmis, numatytomis Reglamento (EB) Nr. 45/2001 13–19 straipsniuose.

9 straipsnis

Duomenų subjektų naudojimasis savo teisėmis

1.   Be teisės būti tinkamai informuotiems apie bet kokį jų asmens duomenų tvarkymą, duomenų subjektai gali kreiptis į atitinkamą duomenų valdytoją siekdami pasinaudoti savo teisėmis, numatytomis Reglamento (EB) Nr. 45/2001 13–19 straipsniuose, kaip nurodyta toliau:

a)	šiomis teisėmis gali naudotis tik duomenų subjektas arba jo tinkamai įgaliotas atstovas. Tokie asmenys šiomis teisėmis gali naudotis nemokamai;

b)

rašytiniai prašymai pasinaudoti šiomis teisėmis pateikiami atitinkamam duomenų valdytojui. Duomenų valdytojas patenkina prašymą tik jei prašytojo tapatybė ir, jei taikytina, įgaliojimai atstovauti asmens duomenų subjektą buvo tinkamai patvirtinti. Duomenų valdytojas nedelsdamas raštu praneša duomenų subjektui, ar jo prašymą buvo nuspręsta patenkinti. Jei buvo nuspręsta prašymo netenkinti, duomenų valdytojas nurodo atsisakymo tenkinti prašymą priežastis;

c)	duomenų valdytojas per tris kalendorinius mėnesius nuo prašymo gavimo suteikia prieigą pagal Reglamento (EB) Nr. 45/2001 13 straipsnį ir sudaro duomenų subjektui galimybę susipažinti su šiais duomenimis vietoje arba gauti jų nuorašą (pareiškėjo pasirinkimu);

d)

jeigu duomenų valdytojas nesilaiko kurio nors iš b ir c punktuose nurodytų terminų, duomenų subjektai gali kreiptis į DAP. Jei duomenų subjektas naudodamasis savo teisėmis akivaizdžiai piktnaudžiauja, duomenų valdytojas gali nukreipti duomenų subjektą pas DAP. Jei nukreipiama pas DAP, jis priima sprendimą dėl prašymo esmės ir reikiamų tolesnių priemonių. Duomenų subjekto ir duomenų valdytojo ginčo atveju abi šalys turi teisę konsultuotis su DAP.

2.   Personalo nariai gali konsultuotis su DAP prieš pateikdami skundą EDAPP.

10 straipsnis

Išimtys ir apribojimai

1.   Jei su DAP buvo konsultuotasi iš anksto, duomenų valdytojas gali apriboti Reglamento (EB) Nr. 45/2001 13–17 straipsniuose nurodytas teises Reglamento (EB) Nr. 45/2001 20 straipsnyje nurodytais pagrindais ir sąlygomis.

2.   To paveikti asmenys gali prašyti EDAPP taikyti Reglamento (EB) Nr. 45/2001 47 straipsnio 1 dalies c punktą.

11 straipsnis

Tyrimas

1.   Prašymai atlikti Reglamento (EB) Nr. 45/2001 priedo 1 punkte nurodytą tyrimą DAP pateikiami raštu.

2.   DAP išsiunčia prašymo teikėjui patvirtinimą apie prašymo gavimą per 20 darbo dienų nuo prašymo gavimo dienos.

3.   DAP gali tirti klausimą vietoje ir paprašyti atitinkamo duomenų valdytojo pateikti rašytinį paaiškinimą. Atitinkamas duomenų valdytojas pateikia atsakymą DAP per 20 darbo dienų nuo dienos, kurią duomenų valdytojas gavo DAP prašymą. DAP gali paprašyti Sekretoriato pateikti papildomą informaciją arba suteikti pagalbą. Tokia papildoma informacija pateikiama ar pagalba suteikiama per 20 darbo dienų nuo DAP prašymo gavimo dienos.

4.   DAP atsako prašymo teikėjui per tris kalendorinius mėnesius nuo prašymo gavimo dienos.

5   SKIRSNIS

ĮSIGALIOJIMAS

12 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

---

(1)  OL L 8, 2001 1 12, p. 1.

---