1.   Šiuo sprendimu nustatomos taisyklės ir procedūros, pagal kurias Komisija taiko Reglamentą (ES) 2018/1725, ir įgyvendinimo taisyklės, susijusios su Komisijos duomenų apsaugos pareigūnu.

2.   Šiame sprendime taip pat nustatomos taisyklės, kurių turi laikytis Komisija, informuodama duomenų subjektus apie jų asmens duomenų tvarkymą pagal Reglamento (ES) 2018/1725 14, 15 ir 16 straipsnius, kiek tai susiję su duomenų apsaugos pareigūno vykdomomis stebėsenos, tyrimo, audito ar konsultavimo užduotimis.

3.   Šiame sprendime taip pat nustatomos sąlygos, kuriomis Komisija gali pagal Reglamento (ES) 2018/1725 25 straipsnio 1 dalies c, g ir h punktus apriboti jo 4, 14–17, 19, 20 ir 35 straipsnių taikymą, kiek tai susiję su duomenų apsaugos pareigūno vykdomomis stebėsenos, tyrimo, audito ar konsultavimo užduotimis.

4.   Šis sprendimas taikomas Komisijos atliekamoms asmens duomenų tvarkymo operacijoms vykdant Reglamento (ES) 2018/1725 45 straipsnyje nurodytas duomenų apsaugos pareigūno užduotis, visų pirma duomenų apsaugos pareigūno stebėsenos, tyrimo, audito ir konsultavimo veiklą, arba su jomis susijusiais atvejais.

1.   Duomenų apsaugos pareigūnas padeda Komisijoje plėtoti asmens duomenų apsaugos kultūrą, grindžiamą rizikos vertinimu ir atskaitomybe.

2.   Duomenų apsaugos pareigūnas atlieka Reglamento (ES) 2018/1725 įgyvendinimo Komisijoje stebėseną, inter alia, kasmet sudarydamas ir vykdydamas patikrinimų ir audito darbo programą.

3.   Duomenų apsaugos pareigūnas reguliariai rengia duomenų apsaugos koordinatorių posėdžius ir jiems pirmininkauja.

4.   Duomenų apsaugos pareigūnas centriniame registre tvarko Komisijos duomenų tvarkymo veiklos įrašus ir juos viešai skelbia.

Duomenų apsaugos pareigūnas taip pat tvarko Komisijos vidinį asmens duomenų saugumo pažeidimų, kaip apibrėžta Reglamento (ES) 2018/1725 3 straipsnio 16 punkte, registrą.

5.   Vykdydamas savo funkcijas, duomenų apsaugos pareigūnas bendradarbiauja su kitų Sąjungos institucijų ir įstaigų paskirtais duomenų apsaugos pareigūnais.

6.   Priimant individualius sprendimus dėl duomenų subjektų teisių pagal Reglamentą (ES) 2018/1725, kiek tai susiję su duomenų apsaugos pareigūno atliekamomis duomenų tvarkymo operacijomis, laikoma, kad duomenų apsaugos pareigūnas yra įgaliotasis duomenų valdytojas.

1.   Įgaliotasis duomenų valdytojas generaliniame direktorate arba tarnyboje, už kurią jis yra atsakingas, paskiria duomenų apsaugos koordinatorių ir, jei reikia, vieną ar kelis duomenų apsaugos koordinatoriaus pavaduotojus. Nuoseklumo arba veiksmingumo sumetimais du ar daugiau įgaliotųjų duomenų valdytojų gali nuspręsti paskirti bendrą duomenų apsaugos koordinatorių arba duomenų apsaugos koordinatoriaus pavaduotoją arba bendrai naudotis jau paskirto duomenų apsaugos koordinatoriaus arba duomenų apsaugos koordinatoriaus pavaduotojo paslaugomis. Atitinkami įgaliotieji duomenų valdytojai savo susitarimą šiuo klausimu užfiksuoja raštu.

2.   Į generalinio direktorato arba tarnybos paskirto duomenų apsaugos koordinatoriaus kompetencijos sritį taip pat patenka kabinetas, atsakingas už tą generalinį direktoratą arba tarnybą. Į Generalinio sekretoriato paskirto duomenų apsaugos koordinatoriaus kompetencijos sritį taip pat patenka Pirmininko kabinetas ir kabinetai, kurių vienintelė aptarnaujančioji tarnyba yra Generalinis sekretoriatas. Tais atvejais, kai kabinetas yra atsakingas už kelis generalinius direktoratus arba tarnybas, įgaliotieji duomenų valdytojai nusprendžia, į kurio iš jų atitinkamų duomenų apsaugos koordinatorių kompetencijos sritį turi patekti tas kabinetas.

3.   Paskyrus naują duomenų apsaugos koordinatorių, apie tai informuojamas duomenų apsaugos pareigūnas, atitinkamo generalinio direktorato ar tarnybos darbuotojai ir atitinkamas kabinetas.

Paskirtas naujas duomenų apsaugos koordinatorius per šešis mėnesius nuo paskyrimo turi baigti mokymus, kad įgytų kompetencijų, būtinų pareigoms eiti. Tas reikalavimas baigti mokymus netaikomas duomenų apsaugos koordinatoriui, kuris anksčiau ėjo duomenų apsaugos koordinatoriaus pareigas kitame generaliniame direktorate ar tarnyboje arba dvejus metus iki paskyrimo duomenų apsaugos koordinatoriumi buvo duomenų apsaugos pareigūno darbuotojas.

4.   Įgaliotieji duomenų valdytojai imasi tinkamų priemonių siekdami užtikrinti, kad duomenų apsaugos koordinatorius tinkamai ir laiku dalyvautų sprendžiant visus su duomenų apsauga jų generaliniame direktorate arba tarnyboje susijusius klausimus ir kad duomenų apsaugos koordinatoriaus prašymu apie jo pateiktas nuomones būtų nedelsiant pranešama įgaliotajam duomenų valdytojui.

5.   Duomenų apsaugos koordinatoriai atrenkami atsižvelgiant į jų žinias ir patirtį, susijusias su atitinkamo generalinio direktorato ar tarnybos veikla, motyvaciją vykdyti funkcijas, su duomenų apsauga susijusias kompetencijas, informacinių sistemų principų išmanymą ir bendravimo įgūdžius.

6.   Duomenų apsaugos koordinatoriaus funkcijos gali būti derinamos su kitomis funkcijomis. Įgaliotasis duomenų valdytojas užtikrina, kad tos funkcijos būtų suderinamos su duomenų apsaugos koordinatoriaus funkcijomis.

7.   Duomenų apsaugos koordinatoriaus funkcijos nurodomos kiekvieno darbuotojo, paskirto duomenų apsaugos koordinatoriumi, pareigybės aprašyme. Jų pareigos ir pasiekimai nurodomi metinėje vertinimo ataskaitoje.

8.   Duomenų apsaugos koordinatorius yra įgaliotojo duomenų valdytojo, vykdomojo duomenų valdytojo ir duomenų tvarkytojo, taip pat duomenų apsaugos pareigūno kontaktinis asmuo.

9.   Duomenų apsaugos koordinatorius turi teisę iš savo generalinio direktorato ar tarnybos gauti bet kokią informaciją, jei ji būtina jo užduotims atlikti. Duomenų apsaugos koordinatorius gali susipažinti su asmens duomenimis tik tuo atveju, jei tai būtina jo užduotims atlikti.

10.   Duomenų apsaugos koordinatorius tvarko įrašus apie duomenų subjektų prašymus generaliniam direktoratui, tarnybai ar kabinetui ir teikia nuasmenintus statistinius duomenis apie juos, nurodydamas prašymų skaičių ir visiškai ar iš dalies atmestų prašymų skaičių. Duomenų apsaugos pareigūnas nurodo, kurių kategorijų prašymų statistiniai duomenys turi būti saugomi. Duomenų apsaugos pareigūnas gali nurodyti, kokie papildomi duomenys turi būti pateikti.

Duomenų apsaugos koordinatorius tvarko nuasmenintus generalinio direktorato, tarnybos ar kabineto tvarkomus statistinius duomenis apie asmens duomenų saugumo pažeidimus, nurodydamas bendrą asmens duomenų saugumo pažeidimų skaičių, asmens duomenų saugumo pažeidimų, apie kuriuos pranešta Europos duomenų apsaugos priežiūros pareigūnui, skaičių ir asmens duomenų saugumo pažeidimų, apie kuriuos pranešta duomenų subjektams, skaičių.

11.   Duomenų apsaugos koordinatorius savo generaliniame direktorate ar tarnyboje didina informuotumą duomenų apsaugos klausimais ir konsultuoja įgaliotuosius duomenų valdytojus ir vykdomuosius duomenų valdytojus bei padeda jiems vykdyti jų pareigas, visų pirma susijusias su:

12.   Duomenų apsaugos koordinatoriai dalyvauja duomenų apsaugos koordinatorių posėdžiuose ir prireikus darbo grupėse.

13.   Duomenų apsaugos pareigūnas priima papildomas gaires dėl duomenų apsaugos koordinatoriaus pareigų ir funkcijų.

1.   Taikant Reglamentą (ES) 2018/1725, įgaliotieji duomenų valdytojai veikia Komisijos vardu kaip duomenų valdytojai.

2.   Įgaliotieji duomenų valdytojai ir vykdomieji duomenų valdytojai:

3.   Įgaliotasis duomenų valdytojas:

Pirmos pastraipos b punkte nurodytuose susitarimuose nustatoma atitinkamos jų atsakomybės už jiems tenkančių duomenų apsaugos pareigų vykdymą sritys. Visų pirma, susitarime nurodomas įgaliotasis duomenų valdytojas, kuris nustato duomenų tvarkymo operacijos priemones ir tikslus, ir duomenų tvarkymo operacijos vykdomasis duomenų valdytojas, taip pat atitinkamais atvejais asmuo ir (arba) subjektai, kurie padeda vykdomajam duomenų valdytojui, inter alia, teikdami informaciją duomenų saugumo pažeidimų atveju arba siekdami užtikrinti duomenų subjektų galimybę naudotis savo teisėmis.

4.   Vykdomasis duomenų valdytojas:

1.   Duomenų apsaugos pareigūnas užtikrina, kad su Komisijos atliekamų duomenų tvarkymo operacijų registru būtų galima susipažinti per duomenų apsaugos pareigūno interneto svetainę Komisijos intranete ir interneto svetainėje „Europa“.

2.   Įgaliotieji duomenų valdytojai per savo duomenų apsaugos koordinatorių praneša duomenų apsaugos pareigūnui apie jų atliekamų duomenų tvarkymo operacijų įrašus naudodami Komisijos internetinę pranešimų teikimo sistemą, prie kurios galima prisijungti per duomenų apsaugos pareigūno interneto svetainę Komisijos intranete.

1.   6 straipsnio e punkte nurodyti prašymai atlikti tyrimą duomenų apsaugos pareigūnui pateikiami raštu. Per 15 darbo dienų nuo prašymo gavimo dienos duomenų apsaugos pareigūnas atlikti tyrimą paprašiusiam asmeniui išsiunčia gavimo patvirtinimą ir patikrina, ar, siekiant užtikrinti prašymo konfidencialumą, jis turi būti laikomas konfidencialiu, išskyrus atvejus, kai atitinkami duomenų subjektai nedviprasmiškai sutinka, kad prašymas būtų nagrinėjamas kitaip. Akivaizdaus piktnaudžiavimo teise prašyti atlikti tyrimą atveju duomenų apsaugos pareigūnas neprivalo pareiškėjui pateikti atsakymo.

2.   Duomenų apsaugos pareigūnas paprašo įgaliotojo duomenų valdytojo, atsakingo už atitinkamą duomenų tvarkymo operaciją, atitinkamu klausimu pateikti rašytinį pareiškimą. Įgaliotasis duomenų valdytojas savo atsakymą duomenų apsaugos pareigūnui pateikia per 15 darbo dienų. Duomenų apsaugos pareigūnas gali per 15 darbo dienų paprašyti įgaliotojo duomenų valdytojo, duomenų tvarkytojo ar kitų šalių pateikti papildomos informacijos.

3.   Duomenų apsaugos pareigūnas atlikti tyrimą paprašiusiam asmeniui pateikia atsakymą ne vėliau kaip per tris mėnesius nuo prašymo gavimo dienos. Šis laikotarpis gali būti sustabdytas tol, kol duomenų apsaugos pareigūnas gaus visą būtiną informaciją, kurios jis gali būti paprašęs.

4.   Nė vienam asmeniui negali būti daromas neigiamas poveikis dėl to, kad jis pranešė duomenų apsaugos pareigūnui apie galimą Reglamento (ES) 2018/1725 nuostatų pažeidimą.

1.   Administraciniais tikslais duomenų apsaugos pareigūnas priskiriamas Generaliniam sekretoriatui. Atsižvelgiant į tai, duomenų apsaugos pareigūnas dalyvauja rengiant Generalinio sekretoriato metinį valdymo planą ir preliminaraus biudžeto projektą.

2.   Duomenų apsaugos pareigūnas yra Duomenų apsaugos tarnybos darbuotojų vertinimą atliekantis pareigūnas. Generalinio sekretoriaus pavaduotojas yra vertinimą tvirtinantis pareigūnas. Atitinkamais atvejais duomenų apsaugos pareigūnas dalyvauja Generalinio sekretoriato valdymo koordinavimo veikloje.

1.   Tais atvejais, kai Komisija vykdo savo pareigas, susijusias su duomenų subjektų teisėmis pagal Reglamentą (ES) 2018/1725, ji įvertina, ar taikoma kuri nors iš tame reglamente nustatytų išimčių.

2.   Pagal šio sprendimo 14–18 straipsnius Komisija gali apriboti Reglamento (ES) 2018/1725 14–17, 19, 20 ir 35 straipsnių, taip pat to reglamento 4 straipsnio 1 dalies a punkte – tiek, kiek jo nuostatos atitinka Reglamento (ES) 2018/1725 14–17, 19 ir 20 straipsniuose nustatytas teises ir pareigas, – nustatyto skaidrumo principo taikymą, kai naudojimasis tomis teisėmis ir pareigomis keltų grėsmę duomenų apsaugos pareigūno vykdomų užduočių tikslui, inter alia, dėl to, kad būtų atskleistos jo tyrimo ar audito priemonės ir metodai, arba darytų neigiamą poveikį kitų duomenų subjektų teisėms ir laisvėms pagal 25 straipsnio 1 dalies c, g ir h punktus.

3.   Pagal šio sprendimo 14–18 straipsnius Komisija gali apriboti šio straipsnio 2 dalyje nurodytas teises ir pareigas, kiek tai susiję su asmens duomenimis, kuriuos duomenų apsaugos pareigūnas gauna iš Komisijos tarnybų ar kitų Sąjungos institucijų ir įstaigų. Komisija šiuos apribojimus gali taikyti tais atvejais, kai tos Komisijos tarnybos, Sąjungos institucijos ar įstaigos naudojimąsi tomis teisėmis ir tų pareigų vykdymą galėtų apriboti remdamosi kitais Reglamento (ES) 2018/1725 25 straipsnyje nurodytais aktais arba pagal to reglamento IX skyrių, Europos Parlamento ir Tarybos reglamentą (ES) 2016/794 (6) arba Tarybos reglamentą (ES) 2017/1939 (7).

Prieš taikydama apribojimus pirmoje pastraipoje nurodytomis aplinkybėmis, Komisija konsultuojasi su atitinkamomis Sąjungos institucijomis ar įstaigomis, išskyrus atvejus, kai jai yra aišku, kad apribojimo taikymas numatytas viename iš toje pastraipoje nurodytų aktų.

4.   Bet koks šio straipsnio 2 dalyje nurodytas teisių ir pareigų taikymo apribojimas turi būti būtinas ir proporcingas atsižvelgiant į duomenų subjektų teisėms ir laisvėms kylančius pavojus.

1.   Komisija savo interneto svetainėje skelbia duomenų apsaugos pranešimus, kuriais visi duomenų subjektai informuojami apie duomenų apsaugos pareigūno užduotis, kurias vykdant tvarkomi jų asmens duomenys.

2.   Komisija atitinkama forma individualiai informuoja bet kurį fizinį asmenį, kurį ji laiko asmeniu, kuriam duomenų apsaugos pareigūno užduotys turi reikšmės, arba pranešėją.

3.   Tais atvejais, kai Komisija visiškai ar iš dalies apriboja informacijos teikimą šio straipsnio 2 dalyje nurodytiems duomenų subjektams, ji pagal 17 straipsnį užfiksuoja ir užregistruoja apribojimo taikymo priežastis.

1.   Tais atvejais, kai Komisija visiškai ar iš dalies apriboja atitinkamai Reglamento (ES) 2018/1725 17, 19 ir 20 straipsniuose nurodytą duomenų subjekto teisę susipažinti su asmens duomenimis, teisę reikalauti juos ištrinti arba teisę apriboti jų tvarkymą, ji atsakyme į prašymą leisti susipažinti su duomenimis, juos ištrinti arba apriboti jų tvarkymą informuoja atitinkamą duomenų subjektą apie taikomą apribojimą ir pagrindines jo taikymo priežastis, taip pat apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Europos Sąjungos Teisingumo Teismui.

2.   1 dalyje nurodytas informacijos apie apribojimo priežastis teikimas gali būti atidėtas, ji gali būti nepateikiama arba gali būti atsisakyta ją pateikti tol, kol tai kelia grėsmę apribojimo tikslui.

3.   Komisija pagal 17 straipsnį užfiksuoja ir užregistruoja apribojimo taikymo priežastis.

4.   Tais atvejais, kai teisė susipažinti su duomenimis yra visiškai ar iš dalies apribojama, pagal Reglamento (ES) 2018/1725 25 straipsnio 6, 7 ir 8 dalis duomenų subjektas gali savo teise susipažinti su duomenimis naudotis tarpininkaujant Europos duomenų apsaugos priežiūros pareigūnui.

1.   Komisija fiksuoja bet kokio apribojimo taikymo pagal šį sprendimą priežastis, įskaitant apribojimo būtinumo ir proporcingumo vertinimą kiekvienu konkrečiu atveju, atsižvelgdama į atitinkamus Reglamento (ES) 2018/1725 25 straipsnio 2 dalyje nurodytus elementus.

Tuo tikslu įraše nurodoma, kaip naudojimasis teise keltų grėsmę šiame sprendime nustatytų duomenų apsaugos pareigūno užduočių tikslui arba pagal 13 straipsnio 2 arba 3 dalį taikomiems apribojimams arba kokį neigiamą poveikį darytų kitų duomenų subjektų teisėms ir laisvėms.

2.   Įrašas ir, kai taikytina, dokumentai, kuriuose išdėstytos pagrindinės faktinės ir teisinės aplinkybės, užregistruojami. Europos duomenų apsaugos priežiūros pareigūno prašymu jam pateikiami tie įrašai.

1.   14, 15 ir 16 straipsniuose nurodyti apribojimai toliau taikomi tol, kol nėra išnykusios juos pateisinančios priežastys.

2.   Tais atvejais, kai išnyksta 14 arba 16 straipsnyje nurodyto apribojimo taikymo priežastys, Komisija apribojimą panaikina ir duomenų subjektui nurodo apribojimo taikymo priežastis. Kartu Komisija informuoja duomenų subjektą apie galimybę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Europos Sąjungos Teisingumo Teismui.

3.   Komisija peržiūri 14 ir 16 straipsniuose nurodytų apribojimų taikymą kas šešis mėnesius nuo jų nustatymo ir bet kuriuo atveju – užbaigus atitinkamus duomenų apsaugos pareigūno veiksmus. Vėliau Komisija kasmet įvertina, ar reikia toliau taikyti apribojimą arba atidėjimą.

1.   Tais atvejais, kai kitos Komisijos tarnybos padaro išvadą, kad duomenų subjekto teisės turėtų būti apribotos pagal šį sprendimą, jos informuoja duomenų apsaugos pareigūną. Jos taip pat suteikia galimybę duomenų apsaugos pareigūnui susipažinti su įrašais ir visais dokumentais, kuriuose išdėstytos pagrindinės faktinės ir teisinės aplinkybės.

2.   Duomenų apsaugos pareigūnas gali prašyti, kad atitinkamos Komisijos tarnybos įgaliotasis duomenų valdytojas peržiūrėtų apribojimų taikymą. Atitinkamos Komisijos tarnybos įgaliotasis duomenų valdytojas raštu informuoja duomenų apsaugos pareigūną apie peržiūros, kurią prašyta atlikti, rezultatus.