1.   Ta sklep določa pravila in postopke za uporabo Uredbe (EU) 2018/1725 s strani Komisije ter izvedbena pravila v zvezi s pooblaščeno osebo za varstvo podatkov pri Komisiji.

2.   Ta sklep določa tudi pravila, ki jih mora Komisija v zvezi z nadzornimi, preiskovalnimi, revizijskimi ali posvetovalnimi nalogami pooblaščene osebe za varstvo podatkov upoštevati pri obveščanju posameznikov, na katere se nanašajo osebni podatki, o obdelavi njihovih osebnih podatkov v skladu s členi 14, 15 in 16 Uredbe (EU) 2018/1725.

3.   Ta sklep določa tudi pogoje, pod katerimi lahko Komisija v zvezi z nadzornimi, preiskovalnimi, revizijskimi ali posvetovalnimi nalogami pooblaščene osebe za varstvo podatkov omeji uporabo členov 4, 14 do 17, 19, 20 in 35 Uredbe (EU) 2018/1725 v skladu s členom 25(1)(c), (g) in (h) navedene uredbe.

4.   Ta sklep se uporablja za obdelavo osebnih podatkov s strani Komisije za namene ali v zvezi z nalogami pooblaščene osebe za varstvo podatkov iz člena 45 Uredbe (EU) 2018/1725, zlasti v zvezi z nadzornimi, preiskovalnimi, revizijskimi in posvetovalnimi nalogami pooblaščene osebe za varstvo podatkov.

1.   Pooblaščena oseba za varstvo podatkov prispeva k oblikovanju kulture varstva osebnih podatkov znotraj Komisije na podlagi ocene tveganja in odgovornosti.

2.   Pooblaščena oseba za varstvo podatkov spremlja izvajanje Uredbe (EU) 2018/1725 v Komisiji, tako da med drugim vsako leto oblikuje in izvede delovni program o inšpekcijskih pregledih in revizijah.

3.   Pooblaščena oseba za varstvo podatkov organizira redne sestanke koordinatorjev za varstvo podatkov in tem sestankom predseduje.

4.   Pooblaščena oseba za varstvo podatkov vodi evidenco Komisije o postopkih obdelave v osrednjem registru in zagotovi, da je ta register javno dostopen.

Pooblaščena oseba za varstvo podatkov vodi tudi notranji register Komisije o kršitvah varstva osebnih podatkov v smislu člena 3(16) Uredbe (EU) 2018/1725.

5.   Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog sodeluje s pooblaščenimi osebami za varstvo podatkov, ki jih imenujejo druge institucije in organi Unije.

6.   V zvezi s postopki obdelave pooblaščene osebe za varstvo podatkov se pooblaščena oseba za varstvo podatkov šteje za pooblaščenega upravljavca za namene posameznih odločitev v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, na podlagi Uredbe (EU) 2018/1725.

1.   Pooblaščeni upravljavec imenuje koordinatorja za varstvo podatkov in po potrebi enega ali več pomočnikov koordinatorja za varstvo podatkov v generalnem direktoratu ali službi pod njegovo odgovornostjo. Dva ali več pooblaščenih upravljavcev se lahko zaradi skladnosti ali učinkovitosti odločijo za imenovanje skupnega koordinatorja za varstvo podatkov ali pomočnika koordinatorja za varstvo podatkov ali za skupno koriščenje storitev že imenovanega koordinatorja za varstvo podatkov ali pomočnika koordinatorja za varstvo podatkov. Zadevni pooblaščeni upravljavci ta dogovor zabeležijo v pisni obliki.

2.   Koordinator za varstvo podatkov, ki ga imenuje generalni direktorat ali služba, je pristojen tudi za kabinet, ki je odgovoren za ta generalni direktorat ali to službo. Koordinator za varstvo podatkov, imenovan za generalni sekretariat, je pristojen za kabinet predsednika in za kabinete, za katere je generalni sekretariat edina podporna služba. Če je kabinet odgovoren za več generalnih direktoratov ali služb, se pooblaščeni upravljavci odločijo, kateri od njihovih zadevnih koordinatorjev za varstvo podatkov bo pristojen za ta kabinet.

3.   O vsakem imenovanju novega koordinatorja za varstvo podatkov se obvestijo pooblaščena oseba za varstvo podatkov, osebje zadevnega generalnega direktorata ali službe in zadevni kabinet.

Novoimenovani koordinatorji za varstvo podatkov morajo v šestih mesecih po imenovanju zaključiti usposabljanje za pridobitev kompetenc, potrebnih za vlogo koordinatorja za varstvo podatkov. Ta zahteva za usposabljanje ne velja za koordinatorje za varstvo podatkov, ki so imeli pred tem funkcijo koordinatorja za varstvo podatkov v drugem generalnem direktoratu ali službi ali so bili v dveh letih pred imenovanjem za koordinatorja za varstvo podatkov člani osebja pooblaščene osebe za varstvo podatkov.

4.   Pooblaščeni upravljavci vzpostavijo ustrezne ureditve za zagotovitev, da je koordinator za varstvo podatkov ustrezno in pravočasno vključen v vsa vprašanja, ki se nanašajo na varstvo podatkov v njihovem generalnem direktoratu ali službi, in da se pooblaščeni upravljavec na zahtevo koordinatorja za varstvo podatkov nemudoma obvesti o mnenjih, ki jih poda koordinator za varstvo podatkov.

5.   Koordinatorji za varstvo podatkov se izberejo na podlagi njihovega znanja in izkušenj v zvezi z delovanjem zadevnega generalnega direktorata ali službe, motivacije za funkcijo, kompetenc na področju varstva podatkov, razumevanja načel informacijskih sistemov ter komunikacijskih spretnosti.

6.   Funkcija koordinatorja za varstvo podatkov se lahko kombinira z drugimi funkcijami. Pooblaščeni upravljavec zagotovi, da so te funkcije združljive s funkcijo koordinatorja za varstvo podatkov.

7.   Funkcija koordinatorja za varstvo podatkov je del opisa delovnega mesta vsakega člana osebja, ki je imenovan za koordinatorja za varstvo podatkov. Njihove odgovornosti in dosežki se navedejo v letnem ocenjevalnem poročilu.

8.   Koordinator za varstvo podatkov deluje kot kontaktna točka med pooblaščenim upravljavcem, operativnim upravljavcem in obdelovalcem ter pooblaščeno osebo za varstvo podatkov.

9.   Koordinatorji za varstvo podatkov imajo pravico, da v svojem generalnem direktoratu ali službi pridobijo vse informacije, ki so potrebne za opravljanje njihovih nalog. Koordinatorji za varstvo podatkov dostopajo do osebnih podatkov le, če je to potrebno za opravljanje njihovih nalog.

10.   Koordinator za varstvo podatkov vodi evidenco in generalnemu direktoratu, službi ali kabinetu zagotavlja anonimizirane statistične podatke o zahtevah posameznikov, na katere se nanašajo osebni podatki, pri čemer navede število zahtev in število v celoti ali delno zavrnjenih zahtev. Pooblaščena oseba za varstvo podatkov določi, za katere kategorije zahtev se vodi statistika. Pooblaščena oseba za varstvo podatkov lahko določi, katere dodatne podrobnosti je treba zagotoviti.

Koordinator za varstvo podatkov vodi anonimizirano statistiko o kršitvah varstva osebnih podatkov, ki jih upravlja generalni direktorat, služba ali kabinet, v kateri navede skupno število kršitev varstva osebnih podatkov, število kršitev varstva osebnih podatkov, o katerih je obveščen Evropski nadzornik za varstvo podatkov, in število kršitev varstva osebnih podatkov, o katerih so obveščeni posamezniki, na katere se nanašajo osebni podatki.

11.   Koordinator za varstvo podatkov v svojem generalnem direktoratu ali službi ozavešča o vprašanjih v zvezi z varstvom podatkov ter pooblaščenim upravljavcem in operativnim upravljavcem svetuje in pomaga pri izpolnjevanju njihovih obveznosti, zlasti kar zadeva:

12.   Koordinatorji za varstvo podatkov sodelujejo na sestankih in po potrebi v delovnih skupinah koordinatorjev za varstvo podatkov.

13.   Pooblaščena oseba za varstvo podatkov izda dodatne smernice o odgovornostih in funkcijah koordinatorja za varstvo podatkov.

1.   Pooblaščeni upravljavci delujejo v imenu Komisije kot upravljavci za namene uporabe Uredbe (EU) 2018/1725.

2.   Pooblaščeni upravljavci in operativni upravljavci:

3.   Pooblaščeni upravljavec:

V ureditvah iz točke (b) prvega pododstavka se določijo njihove odgovornosti za upoštevanje obveznosti glede varstva podatkov. Vključujejo zlasti navedbo pooblaščenega upravljavca, ki določa sredstva in namene postopka obdelave, ter operativnega upravljavca za postopek obdelave in, kadar je to primerno, navedbo oseb in/ali subjektov, ki pomagajo operativnemu upravljavcu, med drugim z informacijami, v primeru kršitev varstva podatkov ali za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki.

4.   Operativni upravljavec:

1.   Pooblaščena oseba za varstvo podatkov zagotovi, da je register postopkov obdelave Komisije dostopen prek spletnega mesta pooblaščene osebe za varstvo podatkov na intranetu Komisije in prek spletnega mesta pooblaščene osebe za varstvo podatkov na spletišču Europa.

2.   Pooblaščeni upravljavci prek svojega koordinatorja za varstvo podatkov obvestijo pooblaščeno osebo za varstvo podatkov o evidencah svojih postopkov obdelave, in sicer z uporabo spletnega sistema Komisije za uradno obveščanje, ki je dostopen prek spletnega mesta pooblaščene osebe za varstvo podatkov na intranetu Komisije.

1.   Zahteve za preiskavo iz člena 6(e) se naslovijo na pooblaščeno osebo za varstvo podatkov v pisni obliki. Pooblaščena oseba za varstvo podatkov osebi, ki je naročila preiskavo, v 15 delovnih dneh po prejemu zahteve pošlje potrdilo o prejemu in preveri, ali je treba zahtevo obravnavati kot zaupno, da se zagotovi zaupnost zahteve, razen če zadevni posameznik, na katerega se nanašajo osebni podatki, nedvoumno privoli v drugačno obravnavanje zahteve. Kadar gre za očitno zlorabo pravice do zahteve za preiskavo, pooblaščena oseba za varstvo podatkov ni dolžna poročati naročniku.

2.   Pooblaščena oseba za varstvo podatkov zaprosi pooblaščenega upravljavca, ki je odgovoren za zadevni postopek obdelave podatkov, za pisno izjavo o zadevi. Pooblaščeni upravljavec predloži svoj odgovor pooblaščeni osebi za varstvo podatkov v 15 delovnih dneh. Pooblaščena oseba za varstvo podatkov lahko od pooblaščenega upravljavca, obdelovalca ali drugih strani v 15 delovnih dneh zahteva dodatne informacije.

3.   Pooblaščena oseba za varstvo podatkov poroča osebi, ki je naročila preiskavo, najpozneje tri mesece po prejemu zahteve. Ta rok se lahko začasno odloži, dokler pooblaščena oseba za varstvo podatkov ne pridobi vseh potrebnih informacij, ki jih je zahtevala.

4.   Zaradi zadeve, o kateri je obveščena pooblaščena oseba za varstvo podatkov in katere predmet je domnevna kršitev določb Uredbe (EU) 2018/1725, nihče ne sme utrpeti škode.

1.   Pooblaščena oseba za varstvo podatkov za upravne namene spada pod generalni sekretariat. V tem okviru pooblaščena oseba za varstvo podatkov sodeluje pri pripravi letnega načrta upravljanja in predhodnega predloga proračuna generalnega sekretariata.

2.   Pooblaščena oseba za varstvo podatkov je ocenjevalec za osebje urada za varstvo podatkov. Namestnik generalnega sekretarja je sopodpisnik ocenjevalca. Pooblaščena oseba za varstvo podatkov po potrebi sodeluje pri usklajevanju upravljanja generalnega sekretariata.

1.   Kadar Komisija izvaja svoje naloge v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, na podlagi Uredbe (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

2.   V skladu s členi 14 do 18 tega sklepa lahko Komisija omeji uporabo členov 14 do 17, 19, 20 in 35 Uredbe (EU) 2018/1725 ter načela preglednosti iz člena 4(1)(a) navedene uredbe, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 17, 19 in 20 Uredbe (EU) 2018/1725, če bi izvrševanje teh pravic in obveznosti ogrozilo namen nalog pooblaščene osebe za varstvo podatkov, med drugim z razkritjem njenih preiskovalnih ali revizijskih orodij in metod, ali bi negativno vplivalo na pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, v skladu s členom 25(1)(c), (g) in (h).

3.   Komisija lahko ob upoštevanju členov 14 do 18 tega sklepa omeji pravice in obveznosti iz odstavka 2 tega člena v zvezi z osebnimi podatki, ki jih je pooblaščena oseba za varstvo podatkov pridobila od služb Komisije ali drugih institucij in organov Unije. Komisija lahko to stori, kadar bi izvrševanje teh pravic in obveznosti lahko omejile službe Komisije ali institucije ali organi Unije na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali v skladu z Uredbo (EU) 2016/794 Evropskega parlamenta in Sveta (6) ali Uredbo Sveta (EU) 2017/1939 (7).

Komisija se pred uporabo omejitev v okoliščinah iz prvega pododstavka posvetuje z zadevnimi institucijami ali organi Unije, razen če ji je jasno, da je uporaba omejitve določena z enim od aktov iz navedenega pododstavka.

4.   Vse omejitve uporabe pravic in obveznosti iz odstavka 2 tega člena morajo biti nujne in sorazmerne ob upoštevanju tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

1.   Komisija na svojem spletišču objavi obvestila o varstvu podatkov, s katerimi vse posameznike, na katere se nanašajo osebni podatki, obvesti o nalogah pooblaščene osebe za varstvo podatkov, ki vključujejo obdelavo njihovih osebnih podatkov.

2.   Komisija v ustrezni obliki posamično obvesti vsako fizično osebo, ki jo šteje za osebo, na katero se nanašajo naloge pooblaščene osebe za varstvo podatkov, ali informatorja.

3.   Kadar Komisija v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 2, razloge za omejitev evidentira in vpiše v register v skladu s členom 17.

1.   Kadar Komisija v celoti ali delno omeji pravico posameznikov, na katere se nanašajo osebni podatki, do dostopa do osebnih podatkov, pravico do izbrisa ali pravico do omejitve obdelave iz členov 17, 19 oziroma 20 Uredbe (EU) 2018/1725, zadevnega posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru na zahtevo za dostop, izbris ali omejitev obdelave obvesti o uporabljeni omejitvi in glavnih razlogih zanjo ter o možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov ali možnosti uveljavljanja pravnega sredstva na Sodišču Evropske unije.

2.   Zagotavljanje informacij o razlogih za omejitev iz odstavka 1 se lahko preloži, opusti ali zavrne za tako dolgo, dokler bi ogrožalo namen omejitve.

3.   Komisija razloge za omejitev evidentira in vpiše v register v skladu s členom 17.

4.   Kadar je pravica do dostopa v celoti ali delno omejena, lahko posameznik, na katerega se nanašajo osebni podatki, pravico do dostopa uveljavlja prek Evropskega nadzornika za varstvo podatkov v skladu s členom 25(6), (7) in (8) Uredbe (EU) 2018/1725.

1.   Komisija evidentira razloge za kakršno koli omejitev, ki se uporabi na podlagi tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve za vsak primer posebej, pri čemer upošteva zadevne elemente iz člena 25(2) Uredbe (EU) 2018/1725.

V ta namen se evidentira, kako bi uveljavljanje pravice ogrozilo namen nalog pooblaščene osebe za varstvo podatkov na podlagi tega sklepa ali omejitev, ki se uporabljajo v skladu s členom 13(2) ali (3), ali negativno vplivalo na pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

2.   Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se vpišejo v register. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

1.   Omejitve iz členov 14, 15 in 16 se še naprej uporabljajo, dokler obstajajo razlogi, ki jih upravičujejo.

2.   Ko razlogi za omejitev iz člena 14 ali 16 ne obstajajo več, Komisija odpravi omejitev in razloge za omejitev sporoči posamezniku, na katerega se nanašajo osebni podatki. Hkrati Komisija posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti, da kadar koli vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov ali uveljavlja pravno sredstvo na Sodišču Evropske unije.

3.   Komisija uporabo omejitev iz členov 14 in 16 pregleda vsakih šest mesecev od njihove uvedbe in v vsakem primeru ob zaključku zadevne dejavnosti pooblaščene osebe za varstvo podatkov. Komisija nato vsako leto prouči potrebo po ohranitvi kakršne koli omejitve ali preložitve.

1.   Kadar druge službe Komisije sklenejo, da bi bilo treba pravice posameznika, na katerega se nanašajo osebni podatki, omejiti v skladu s tem sklepom, o tem obvestijo pooblaščeno osebo za varstvo podatkov. Pooblaščeni osebi za varstvo podatkov prav tako zagotovijo dostop do evidence in vseh dokumentov, ki vsebujejo temeljna dejstva in pravne elemente.

2.   Pooblaščena oseba za varstvo podatkov lahko zahteva, da pooblaščeni upravljavec zadevne službe Komisije pregleda uporabo omejitev. Pooblaščeni upravljavec zadevne službe Komisije pooblaščeno osebo za varstvo podatkov pisno obvesti o rezultatu zahtevanega pregleda.