1.   Týmto rozhodnutím sa stanovujú pravidlá a postupy na uplatňovanie nariadenia (EÚ) 2018/1725 Komisiou a stanovujú sa vykonávacie pravidlá týkajúce sa úradníka Komisie pre ochranu údajov (ďalej len „zodpovedná osoba“).

2.   Týmto rozhodnutím sa tiež stanovujú pravidlá, ktoré má dodržiavať Komisia v súvislosti s úlohami zodpovednej osoby v oblasti monitorovania, vyšetrovania, auditu alebo poradenstva, pri informovaní dotknutých osôb o spracúvaní ich osobných údajov v súlade s článkami 14, 15 a 16 nariadenia (EÚ) 2018/1725.

3.   Stanovujú sa v ňom aj podmienky, za ktorých Komisia v súvislosti s úlohami zodpovednej osoby v oblasti monitorovania, vyšetrovania, auditu alebo poradenstva môže v súlade s článkom 25 ods. 1 písm. c), g) a h) nariadenia (EÚ) 2018/1725 obmedziť uplatňovanie článku 4, článkov 14 až 17 a článkov 19, 20 a 35 uvedeného nariadenia.

4.   Toto rozhodnutie sa vzťahuje na spracúvanie osobných údajov Komisiou na účely úloh zodpovednej osoby uvedenej v článku 45 nariadenia (EÚ) 2018/1725 alebo vo vzťahu k nim, najmä pokiaľ ide o úlohy zodpovednej osoby v oblasti monitorovania, vyšetrovania, auditu a poradenstva.

1.   Zodpovedná osoba prispieva k vytváraniu kultúry ochrany osobných údajov v rámci Komisie na základe posúdenia rizika a zodpovednosti.

2.   Zodpovedná osoba monitoruje vykonávanie nariadenia (EÚ) 2018/1725 v Komisii okrem iného tým, že každoročne stanovuje a realizuje pracovný program v oblasti inšpekcií a auditu.

3.   Zodpovedná osoba organizuje pravidelné zasadnutia koordinátorov pre ochranu údajov a predsedá im.

4.   Zodpovedná osoba vedie záznamy Komisie o spracovateľských činnostiach v centrálnom registri a sprístupní ho verejnosti.

Zodpovedná osoba vedie aj interný register Komisie týkajúci sa porušení ochrany osobných údajov v zmysle článku 3 ods. 16 nariadenia (EÚ) 2018/1725.

5.   Pri výkone svojich funkcií zodpovedná osoba spolupracuje so zodpovednými osobami určenými ostatnými inštitúciami a orgánmi Únie.

6.   Zodpovedná osoba sa považuje za delegovaného prevádzkovateľa na účely individuálnych rozhodnutí týkajúcich sa práv dotknutých osôb podľa nariadenia (EÚ) 2018/1725 v súvislosti so spracovateľskými operáciami zodpovednej osoby.

1.   Delegovaný prevádzkovateľ na generálnom riaditeľstve alebo útvare patriacom do jeho pôsobnosti vymenuje koordinátora pre ochranu údajov a v prípade potreby jedného alebo viacerých jeho asistentov. Dvaja alebo viacerí delegovaní prevádzkovatelia môžu z dôvodov súdržnosti alebo účinnosti rozhodnúť o vymenovaní spoločného koordinátora pre ochranu údajov alebo asistenta koordinátora pre ochranu údajov, resp. môžu spoločne využívať služby už vymenovaného koordinátora pre ochranu údajov alebo asistenta koordinátora pre ochranu údajov. Príslušní delegovaní prevádzkovatelia takúto svoju dohodou zaznamenajú písomne.

2.   Koordinátor pre ochranu údajov vymenovaný generálnym riaditeľstvom alebo útvarom je takisto príslušný aj pre kabinet zodpovedný za toto generálne riaditeľstvo alebo útvar. Koordinátor pre ochranu údajov vymenovaný pre Generálny sekretariát je príslušný pre kabinet predsedu či predsedníčky Komisie, ako aj pre kabinety, pre ktoré je generálny sekretariát jediným podporným útvarom. Ak je kabinet zodpovedný za niekoľko generálnych riaditeľstiev alebo útvarov, delegovaní prevádzkovatelia rozhodnú o tom, ktorý z ich príslušných koordinátorov pre ochranu údajov bude mať príslušnosť v prípade tohto kabinetu.

3.   Koordinátor pre ochranu údajov, zamestnanci príslušného generálneho riaditeľstva alebo útvaru a príslušný kabinet sú informovaní o každom vymenovaní nového koordinátora pre ochranu údajov.

Novo vymenovaní koordinátori pre ochranu údajov absolvujú odbornú prípravu s cieľom získať potrebné spôsobilosti pre plnenie úlohy koordinátora pre ochranu údajov do šiestich mesiacov od svojho vymenovania. Koordinátor pre ochranu údajov, ktorý predtým zastával pozíciu koordinátora pre ochranu údajov na inom generálnom riaditeľstve alebo útvare alebo počas dvoch rokov pred vymenovaním za koordinátora pre ochranu údajov bol zamestnancom zodpovednej osoby, je od tejto požiadavky na odbornú prípravu oslobodený.

4.   Delegovaní prevádzkovatelia prijmú vhodné opatrenia s cieľom zabezpečiť, aby bol koordinátor pre ochranu údajov riadne a včas zapojený do všetkých záležitostí, ktoré sa týkajú ochrany údajov na ich generálnom riaditeľstve alebo útvare, a aby sa stanoviská, ktoré vydáva koordinátor pre ochranu údajov na jeho žiadosť urýchlene dostali do pozornosti delegovaného prevádzkovateľa.

5.   Koordinátori pre ochranu údajov sa vyberajú na základe ich znalostí a skúseností s fungovaním príslušného generálneho riaditeľstva alebo útvaru, motivácie plniť túto funkciu, schopností v oblasti ochrany údajov, chápania zásad informačných systémov a na základe ich komunikačných zručností.

6.   Funkcia koordinátora pre ochranu údajov sa môže kombinovať s inými funkciami. Delegovaný prevádzkovateľ zabezpečí, aby boli tieto funkcie s funkciou koordinátora pre ochranu údajov zlučiteľné.

7.   Funkcia koordinátora pre ochranu údajov je súčasťou opisu pracovného miesta každého zamestnanca, ktorý bol vymenovaný za koordinátora pre ochranu údajov. Odkaz na ich úlohy a výsledky sa uvedie v ročnej hodnotiacej správe.

8.   Koordinátor pre ochranu údajov pôsobí ako kontaktné miesto medzi delegovaným prevádzkovateľom, operačným prevádzkovateľom, sprostredkovateľom a zodpovednou osobou.

9.   Koordinátor pre ochranu údajov má na svojom generálnom riaditeľstve alebo útvare právo získavať akékoľvek informácie v rozsahu, v akom je to potrebné na plnenie jeho úloh. Koordinátori pre ochranu údajov majú prístup k osobným údajom, len ak je to potrebné na plnenie ich úloh.

10.   Koordinátor pre ochranu údajov vedie záznamy a poskytuje anonymizované štatistické údaje o žiadostiach dotknutých osôb generálnemu riaditeľstvu, útvaru alebo kabinetu, v ktorých uvádza počet žiadostí a počet čiastočne a úplne zamietnutých žiadostí. Zodpovedná osoba určí kategórie žiadostí, v prípade ktorých sa uchovávajú štatistiky. Zodpovedná osoba môže spresniť, aké ďalšie informácie sa majú poskytnúť.

Koordinátor pre ochranu údajov uchováva anonymizované štatistiky o porušeniach ochrany osobných údajov, ktoré spravuje generálne riaditeľstvo, útvar alebo kabinet, s uvedením celkového počtu porušení ochrany osobných údajov, počtu prípadov porušenia ochrany osobných údajov, ktoré boli oznámené EDPS, a počtu prípadov porušení ochrany osobných údajov oznámených dotknutým osobám.

11.   Koordinátor pre ochranu údajov zvyšuje informovanosť o otázkach ochrany údajov v rámci svojho GR alebo útvaru a radí a pomáha delegovaným prevádzkovateľom a operačným prevádzkovateľom pri plnení ich povinností, najmä pokiaľ ide o:

12.   Koordinátori pre ochranu údajov sa zúčastňujú na zasadnutiach a v prípade potreby aj na činnosti pracovných skupín koordinátorov pre ochranu údajov.

13.   Zodpovedná osoba vydá dodatočné usmernenia týkajúce sa úloh a funkcií koordinátora pre ochranu údajov.

1.   Delegovaní prevádzkovatelia konajú v mene Komisie ako prevádzkovateľ na účely uplatňovania nariadenia (EÚ) 2018/1725.

2.   Delegovaní prevádzkovatelia a operační prevádzkovatelia:

3.   Delegovaný prevádzkovateľ:

V dohodách uvedených v prvom pododseku písm. b) sa určia ich príslušné zodpovednosti za plnenie ich povinností v oblasti ochrany údajov. Ich obsahom je najmä identifikácia delegovaného prevádzkovateľa, ktorý určuje prostriedky a účely spracovateľskej operácie, ako aj operačného prevádzkovateľa na účely tejto spracovateľskej operácie, a ak je to vhodné, aj identifikáciu osôb a/alebo subjektov, ktoré pomáhajú operačnému prevádzkovateľovi okrem iného v prípade porušenia ochrany osobných údajov alebo práv dotknutých osôb.

4.   Operačný prevádzkovateľ:

1.   Zodpovedná osoba zabezpečí, aby register operácií spracovania údajov Komisie bol prístupný prostredníctvom webového sídla zodpovednej osoby na intranetovej stránke Komisie a prostredníctvom webového sídla zodpovednej osoby na webovom sídle Europa.

2.   Delegovaní prevádzkovatelia oznamujú záznamy o svojich spracovateľských operáciách zodpovednej osobe prostredníctvom svojho koordinátora pre ochranu údajov s využitím notifikačného online systému Komisie, ktorý je prístupný na webovom sídle zodpovednej osoby na intranetovej stránke Komisie.

1.   Žiadosti o začatie vyšetrovania uvedené v článku 6 písm. e) sa zodpovednej osobe podávajú písomne. Zodpovedná osoba do 15 pracovných dní od doručenia žiadosti zašle potvrdenie o jej prijatí osobe, ktorá o vyšetrovanie požiadala, a overí, či sa má žiadosť považovať za dôvernú, aby sa zabezpečila jej dôvernosť, pokiaľ dotknuté osoby neposkytnú svoj jednoznačný súhlas na to, aby sa so žiadosťou zaobchádzalo inak. V prípade, že ide o zjavné zneužitie práva požiadať o začatie vyšetrovania, nie je zodpovedná osoba povinná žiadateľovi odpovedať.

2.   Zodpovedná osoba požiada delegovaného prevádzkovateľa, ktorý je zodpovedný za príslušnú operáciu spracovania údajov, o písomné vyjadrenie k predmetnej záležitosti. Delegovaný prevádzkovateľ odpovie zodpovednej osobe do 15 pracovných dní. Zodpovedná osoba môže požiadať delegovaného prevádzkovateľa alebo iné strany o doplňujúce informácie do 15 pracovných dní.

3.   Zodpovedná osoba odpovie osobe, ktorá o vyšetrovanie požiadala, najneskôr do troch mesiacov od doručenia žiadosti. Plynutie tejto lehoty sa môže pozastaviť, a to až do času, kým zodpovedná osoba nezíska všetky potrebné informácie, o ktoré žiadala.

4.   Nikto nesmie utrpieť ujmu v dôsledku toho, že zodpovednú osobu upozornil na záležitosť, o ktorej sa domnieval, že predstavuje porušenie ustanovení nariadenia (EÚ) 2018/1725.

1.   Zodpovedná osoba je na administratívne účely priradená ku generálnemu sekretariátu. V tejto súvislosti sa zodpovedná osoba zúčastňuje na tvorbe ročného plánu riadenia a predbežného návrhu rozpočtu generálneho sekretariátu.

2.   Zodpovedná osoba je hodnotiteľom pracovníkov Úradu pre ochranu údajov. Schvaľujúcim úradníkom je zástupca generálneho tajomníka. Zodpovedná osoba sa podľa potreby zúčastňuje na koordinácii riadenia generálneho sekretariátu.

1.   V prípadoch, keď Komisia plní svoje povinnosti týkajúce sa dodržiavania práv dotknutých osôb vyplývajúcich z nariadenia (EÚ) 2018/1725, zváži, či sa neuplatňuje niektorá z výnimiek stanovených v uvedenom nariadení.

2.   Komisia môže na základe článkov 14 až 18 tohto rozhodnutia obmedziť uplatňovanie článkov 14 až 17, 19, 20 a 35 nariadenia (EÚ) 2018/1725, ako aj zásadu transparentnosti stanovenú v článku 4 ods. 1 písm. a) uvedeného nariadenia, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam stanoveným v článkoch 14 až 17, 19 a 20 uvedeného nariadenia (EÚ) 2018/1725, ak by výkon týchto práv a povinností ohrozil účel úloh zodpovednej osoby, okrem iného tým, že by došlo k zverejneniu jej nástrojov a metód vyšetrovania alebo auditu alebo k nepriaznivému ovplyvneniu práv a slobôd ostatných dotknutých osôb v súlade s článkom 25 ods. 1 písm. c), g) a h).

3.   S výhradou článkov 14 až 18 tohto rozhodnutia môže Komisia obmedziť práva a povinnosti uvedené v odseku 2 tohto článku v súvislosti s osobnými údajmi, ktoré zodpovedná osoba získala od útvarov Komisie alebo iných inštitúcií a orgánov Únie. Komisia tak môže urobiť, ak by uplatňovanie týchto práv a povinností mohlo byť obmedzené týmito útvarmi Komisie a inštitúciami alebo orgánmi Únie na základe iných aktov uvedených v článku 25 nariadenia (EÚ) 2018/1725 alebo v súlade s kapitolou IX uvedeného nariadenia alebo podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/794 (6) alebo nariadenia Rady (EÚ) 2017/1939 (7).

Komisia sa pred uplatnením obmedzení za okolností uvedených v prvom pododseku poradí s príslušnými inštitúciami alebo orgánmi Únie, okrem prípadov, keď je Komisii zrejmé, že uplatnenie obmedzenia sa stanovuje v niektorom z aktov uvedených v tomto pododseku.

4.   Akékoľvek obmedzenie uplatňovania práv a povinností uvedených v odseku 2 tohto článku musí byť potrebné a primerané s prihliadnutím na riziká pre práva a slobody dotknutých osôb.

1.   Komisia uverejní na svojom webovom sídle oznámenia o ochrane údajov, v ktorých informuje všetky dotknuté osoby o úlohách zodpovednej osoby zahŕňajúcich spracúvanie osobných údajov týchto osôb.

2.   Komisia individuálne informuje v primeranom formáte každú fyzickú osobu, ktorú považuje za osobu, ktorej sa týkajú úlohy zodpovednej osoby, alebo za informátora.

3.   Ak Komisia úplne alebo čiastočne obmedzí poskytovanie informácií dotknutým osobám uvedeným v odseku 2, zaznamená a zaregistruje dôvody obmedzenia v súlade s článkom 17.

1.   Ak Komisia úplne alebo čiastočne obmedzí právo dotknutých osôb na prístup k údajom, na vymazanie alebo na obmedzenie spracúvania v zmysle článkov 17, 19, resp. 20 nariadenia (EÚ) 2018/1725, informuje v odpovedi na žiadosť o prístup k údajom, vymazanie alebo obmedzenie spracúvania príslušnú dotknutú osobu o uplatnenom obmedzení a jeho hlavných dôvodoch, ako aj o možnosti podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov alebo využiť súdny prostriedok nápravy na Súdnom dvore Európskej únie.

2.   Poskytovanie informácií o dôvodoch obmedzenia podľa odseku 1 sa môže odložiť, môže sa od neho upustiť alebo sa môže zamietnuť, ak by sa ním narušil účel obmedzenia.

3.   Komisia zaznamenáva a registruje všetky dôvody obmedzenia v súlade s článkom 17.

4.   Ak je právo na prístup k osobným údajom plne alebo čiastočne obmedzené, dotknutá osoba môže uplatniť svoje právo na prístup prostredníctvom európskeho dozorného úradníka pre ochranu údajov v súlade s článkom 25 ods. 6, 7 a 8 nariadenia (EÚ) 2018/1725.

1.   Komisia zaznamená dôvody každého obmedzenia uplatneného podľa tohto rozhodnutia vrátane individuálneho posúdenia potreby a primeranosti obmedzenia s prihliadnutím na príslušné skutočnosti obsiahnuté v článku 25 ods. 2 nariadenia (EÚ) 2018/1725.

Na tento účel príslušný záznam obsahuje informácie o tom, akým spôsobom by výkon práva ohrozil účel úloh zodpovednej osoby podľa tohto rozhodnutia alebo účel obmedzení uplatnených na základe článku 13 ods. 2 alebo 3, alebo by nepriaznivo ovplyvnil práva a slobody ostatných dotknutých osôb.

2.   Uvedený záznam a v náležitých prípadoch aj dokumenty obsahujúce súvisiace faktické a právne prvky sa zaregistrujú. Na požiadanie sa sprístupnia európskemu dozornému úradníkovi pre ochranu údajov.

1.   Obmedzenia uvedené v článkoch 14, 15 a 16 sa uplatňujú dovtedy, kým trvajú dôvody, ktoré ich opodstatňujú.

2.   Ak dôvody na obmedzenie uvedené v článku 14 alebo 16 už neplatia, Komisia zruší obmedzenie a informuje dotknutú osobu o dôvodoch príslušného obmedzenia. Komisia zároveň informuje dotknutú osobu o možnosti kedykoľvek podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov alebo o možnosti využiť opravný prostriedok na Súdnom dvore Európskej únie.

3.   Komisia preskúma uplatňovanie obmedzení uvedených v článkoch 14 a 16 každých šesť mesiacov od ich prijatia a v každom prípade pri skončení príslušnej činnosti zodpovednej osoby. Komisia takisto každoročne sleduje, či treba obmedzenie alebo odklad zachovať.

1.   Ak iné útvary Komisie dospejú k záveru, že práva dotknutej osoby by sa mali obmedziť podľa tohto rozhodnutia, informujú o tom zodpovednú osobu. Zodpovednej osobe poskytnú aj prístup k záznamu a všetkým dokumentom obsahujúcim základné faktické a právne prvky.

2.   Zodpovedná osoba môže požiadať, aby delegovaný prevádzkovateľ príslušného útvaru Komisie preskúmal uplatňovanie obmedzení. Delegovaný prevádzkovateľ Komisie písomne informuje zodpovednú osobu o výsledku požadovaného preskúmania.