EUR-Lex Πρόσβαση στο δίκαιο της Ευρωπαϊκής Ένωσης
Το έγγραφο αυτό έχει ληφθεί από τον ιστότοπο EUR-Lex
Έγγραφο 32020D0655
Decision (EU) 2020/655 of the European Central Bank of 5 May 2020 adopting implementing rules concerning data protection at the European Central Bank and repealing Decision ECB/2007/1 (ECB/2020/28)
Απόφαση (ΕΕ) 2020/655 της Ευρωπαϊκής Κεντρικής Τράπεζας της 5ης Μαΐου 2020 για τη θέσπιση διατάξεων εφαρμογής σχετικά με την προστασία δεδομένων στην Ευρωπαϊκή Κεντρική Τράπεζα και την κατάργηση της απόφασης ΕΚΤ/2007/1 (ΕΚΤ/2020/28)
Απόφαση (ΕΕ) 2020/655 της Ευρωπαϊκής Κεντρικής Τράπεζας της 5ης Μαΐου 2020 για τη θέσπιση διατάξεων εφαρμογής σχετικά με την προστασία δεδομένων στην Ευρωπαϊκή Κεντρική Τράπεζα και την κατάργηση της απόφασης ΕΚΤ/2007/1 (ΕΚΤ/2020/28)
ΕΕ L 152 της 15.5.2020, σ. 13 έως 20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Ισχύει
|
15.5.2020 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 152/13 |
ΑΠΟΦΑΣΗ (ΕΕ) 2020/655 ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΚΕΝΤΡΙΚΗΣ ΤΡΑΠΕΖΑΣ
της 5ης Μαΐου 2020
για τη θέσπιση διατάξεων εφαρμογής σχετικά με την προστασία δεδομένων στην Ευρωπαϊκή Κεντρική Τράπεζα και την κατάργηση της απόφασης ΕΚΤ/2007/1 (ΕΚΤ/2020/28)
Η ΕΚΤΕΛΕΣΤΙΚΗ ΕΠΙΤΡΟΠΗ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΚΕΝΤΡΙΚΗΣ ΤΡΑΠΕΖΑΣ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη το καταστατικό του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών και της Ευρωπαϊκής Κεντρικής Τράπεζας, και ιδίως το άρθρο 11.6,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1), και ιδίως το άρθρο 45 παράγραφος 3,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2) θεσπίζει γενικούς κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση. |
|
(2) |
Ο κανονισμός (ΕΕ) 2018/1725, ο οποίος κατάργησε τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), καθορίζει τις αρχές και τους κανόνες περί προστασίας δεδομένων που εφαρμόζουν όλα τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης. |
|
(3) |
Προς διασφάλιση της συνέπειας στην προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση και την ελεύθερη κυκλοφορία τους εντός της Ένωσης καθίσταται αναγκαία η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας δεδομένων που εφαρμόζουν τα όργανα και οι οργανισμοί της Ένωσης με τους θεσπισμένους κανόνες προστασίας δεδομένων που εφαρμόζει ο δημόσιος τομέας των κρατών μελών. Οσάκις οι διατάξεις του κανονισμού (ΕΕ) 2018/1725 ακολουθούν τις ίδιες αρχές με τις διατάξεις του κανονισμού (ΕΕ) 2016/679, οι διατάξεις αμφότερων των κανονισμών θα πρέπει να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία του πρώτου κανονισμού θα πρέπει να νοείται ως αντίστοιχη με εκείνη του δεύτερου. |
|
(4) |
Το άρθρο 43 του κανονισμού (ΕΕ) 2018/1725 απαιτεί από κάθε όργανο ή οργανισμό της Ένωσης να ορίζει υπεύθυνο προστασίας δεδομένων. Σύμφωνα με το άρθρο 45 παράγραφος 3 του ίδιου κανονισμού, κάθε όργανο ή οργανισμός της Ένωσης υποχρεούται να θεσπίζει συμπληρωματικές διατάξεις εφαρμογής σχετικά με τον υπεύθυνο προστασίας δεδομένων. Οι διατάξεις αυτές αφορούν ιδίως τα καθήκοντα, τις αρμοδιότητες και τις εξουσίες του υπευθύνου προστασίας δεδομένων. |
|
(5) |
Για λόγους αποτελεσματικότητας και σύμφωνα με την έως τώρα πρακτική είναι δυνατή η εξουσιοδότηση του υπευθύνου προστασίας δεδομένων της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ) να επιλαμβάνεται και θεμάτων προστασίας δεδομένων σε σχέση με το Ευρωπαϊκό Συμβούλιο Συστημικού Κινδύνου (ΕΣΣΚ), εφόσον το γενικό συμβούλιο του ΕΣΣΚ αποφασίσει να τον ορίσει ως υπεύθυνο προστασίας δεδομένων του ΕΣΣΚ. |
|
(6) |
Ακόμη, οι διατάξεις εφαρμογής θα πρέπει να εξειδικεύουν τους όρους υπό τους οποίους ασκούν τα δικαιώματά τους τα υποκείμενα των δεδομένων και υπό τους οποίους εκπληρώνουν τα καθήκοντά τους τα πρόσωπα που είναι υπεύθυνα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο λειτουργίας των οργάνων και οργανισμών της Ένωσης. |
|
(7) |
Αν και η ΕΚΤ είναι η αρμόδια νομική οντότητα για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα βάσει τόσο του κανονισμού (ΕΕ) 2018/1725 όσο και της παρούσας απόφασης, οι πράξεις επεξεργασίας μπορούν στην πράξη να εκτελούνται από διαφορετικές οργανωτικές της μονάδες. |
|
(8) |
Ο κανονισμός (ΕΕ) 2018/1725 καθορίζει τα είδη προσφυγών που διαθέτει ορισμένο υποκείμενο των δεδομένων όσον αφορά την προστασία δεδομένων έναντι των οργάνων της Ένωσης, περιλαμβανομένου του δικαιώματος υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων κατά τα άρθρα 63 και 68 του ως άνω κανονισμού. Επομένως, τα μέλη του προσωπικού της ΕΚΤ θα πρέπει να κάνουν χρήση αυτών των προσφυγών, και όχι των προβλεπόμενων στους όρους απασχόλησης του προσωπικού της Ευρωπαϊκής Κεντρικής Τράπεζας, όταν υποβάλλουν ως υποκείμενα των δεδομένων καταγγελίες σχετικά με την προστασία δεδομένων μετά την ημερομηνία έναρξης ισχύος της παρούσας απόφασης. |
|
(9) |
Επειδή η ΕΚΤ προτίθεται να ρυθμίσει ξεχωριστά περιορισμούς όσον αφορά συγκεκριμένες αρχές, δικαιώματα και υποχρεώσεις στο πεδίο της προστασίας δεδομένων στις σαφώς καθοριζόμενες περιπτώσεις του άρθρου 25 του κανονισμού (ΕΕ) 2018/1725, η ημερομηνία εφαρμογής της παρούσας απόφασης θα πρέπει να είναι η 1η Νοεμβρίου 2020, έτσι ώστε να καταστεί εντωμεταξύ δυνατή η ξεχωριστή αυτή ρύθμισή τους. |
|
(10) |
Δεδομένης της κατάργησης του κανονισμού (ΕΚ) αριθ. 45/2001 και της αντικατάστασής του από τον κανονισμό (ΕΕ) 2018/1725, η απόφαση ΕΚΤ/2007/1 (4) θα πρέπει να τροποποιηθεί και να αντικατασταθεί από την παρούσα απόφαση, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
ΤΜΗΜΑ 1
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Η παρούσα απόφαση θεσπίζει τις γενικές διατάξεις εφαρμογής του κανονισμού (ΕΕ) 2018/1725 όσον αφορά την ΕΚΤ. Ειδικότερα, καθορίζει τους κανόνες σχετικά με τον ορισμό και τον ρόλο του υπευθύνου προστασίας δεδομένων της ΕΚΤ, συμπεριλαμβανομένων των καθηκόντων, αρμοδιοτήτων και εξουσιών του.
2. Η παρούσα απόφαση καθορίζει επίσης τους ρόλους, τα καθήκοντα και τις αρμοδιότητες των υπεύθυνων επεξεργασίας και των συντονιστών προστασίας δεδομένων και θεσπίζει τις διατάξεις εφαρμογής βάσει των οποίων τα υποκείμενα των δεδομένων μπορούν να ασκούν τα δικαιώματά τους.
Άρθρο 2
Ορισμοί
Για τους σκοπούς της παρούσας απόφασης ισχύουν οι ακόλουθοι ορισμοί:
|
(1) |
ως «υπεύθυνος επεξεργασίας» νοείται η ΕΚΤ, και ιδίως η οργανωτική της μονάδα που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μόνη ή από κοινού με άλλους· |
|
(2) |
ως «συντονιστής προστασίας δεδομένων» νοείται μέλος του προσωπικού της ΕΚΤ που επικουρεί τον υπεύθυνο επεξεργασίας και τον υπεύθυνο προστασίας δεδομένων στην εκτέλεση των καθηκόντων και αρμοδιοτήτων τους σύμφωνα με τις διατάξεις του κανονισμού (ΕΕ) 2018/1725 και της παρούσας απόφασης· |
|
(3) |
ως «υποκείμενο των δεδομένων» νοείται ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο· ταυτοποιήσιμο είναι το πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως το όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική του ταυτότητα· |
|
(4) |
ως «επεξεργασία» νοείται επεξεργασία κατά τους ορισμούς του άρθρου 3 σημείο 3 του κανονισμού (ΕΕ) 2018/1725· |
|
(5) |
ως «όργανα και οργανισμοί της Ένωσης» νοούνται τα όργανα και οι οργανισμοί της Ένωσης κατά τους ορισμούς του άρθρου 3 σημείο 10 του κανονισμού (ΕΕ) 2018/1725· |
|
(6) |
ως «εκτελών την επεξεργασία» νοείται εκτελών την επεξεργασία κατά τους ορισμούς του άρθρου 3 σημείο 12 του κανονισμού (ΕΕ) 2018/1725· |
|
(7) |
ως «δεδομένα προσωπικού χαρακτήρα» νοούνται δεδομένα προσωπικού χαρακτήρα κατά τους ορισμούς του άρθρου 3 σημείο 1 του κανονισμού (ΕΕ) 2018/1725· |
|
(8) |
ως «συγκατάθεση» νοείται συγκατάθεση κατά τους ορισμούς του άρθρου 3 σημείο 15 του κανονισμού (ΕΕ) 2018/1725. |
ΤΜΗΜΑ 2
ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Άρθρο 3
Διορισμός, καθεστώς και οργανωτικά θέματα
1. Η εκτελεστική επιτροπή:
|
α) |
διορίζει τον υπεύθυνο προστασίας δεδομένων βάσει των προσωπικών και επαγγελματικών δεξιοτήτων, και ιδίως βάσει της εμπειρογνωσίας του στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων και της ικανότητάς του εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 45 του κανονισμού (ΕΕ) 2018/1725 και στην παρούσα απόφαση· |
|
β) |
εγκρίνει για τη θέση του υπευθύνου προστασίας δεδομένων σύμβαση ορισμένου χρόνου διάρκειας τριών έως πέντε ετών, μη μετατρέψιμη σε αορίστου χρόνου και ανανεώσιμη για μέγιστη συνολική διάρκεια δέκα ετών, σύμφωνα με τους όρους απασχόλησης του προσωπικού της Ευρωπαϊκής Κεντρικής Τράπεζας· και |
|
γ) |
γνωστοποιεί το όνομα του υπευθύνου προστασίας δεδομένων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 44 παράγραφος 9 του κανονισμού (ΕΕ) 2018/1725. |
2. Η εκτελεστική επιτροπή διασφαλίζει τη δυνατότητα του υπευθύνου προστασίας δεδομένων να εκτελεί τα καθήκοντα και τις αρμοδιότητές του κατά το άρθρο 45 του κανονισμού (ΕΕ) 2018/1725 υπό συνθήκες ανεξαρτησίας, χωρίς να δέχεται εντολές για τον τρόπο άσκησης των καθηκόντων του. Με την επιφύλαξη της ανεξαρτησίας αυτής:
|
α) |
ο υπεύθυνος προστασίας δεδομένων υπόκειται στους όρους απασχόλησης του προσωπικού της Ευρωπαϊκής Κεντρικής Τράπεζας· |
|
β) |
ο υπεύθυνος προστασίας δεδομένων υπάγεται στη Γενική Διεύθυνση Νομικών Υπηρεσιών της ΕΚΤ για διοικητικούς σκοπούς και σκοπούς εφαρμογής του πλαισίου απασχόλησης της ΕΚΤ· |
|
γ) |
πριν από την αξιολόγηση της άσκησης των καθηκόντων και αρμοδιοτήτων του υπευθύνου προστασίας ο αξιολογητής του διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και μπορεί επίσης να ζητεί πληροφορίες από τρίτους φορείς σχετιζόμενους με την ΕΚΤ. Ο υπεύθυνος προστασίας δεδομένων δεν υφίσταται οποιαδήποτε ζημία ως αποτέλεσμα της άσκησης των καθηκόντων και αρμοδιοτήτων του· |
|
δ) |
ο υπεύθυνος προστασίας δεδομένων μπορεί να απαλλάσσεται από τα καθήκοντά του με απόφαση της εκτελεστικής επιτροπής, εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του και έχει ληφθεί η προηγούμενη συγκατάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, σύμφωνα με το άρθρο 44 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725. |
3. Η εκτελεστική επιτροπή μπορεί να διορίζει αναπληρωτή υπεύθυνο προστασίας δεδομένων ως προς τον οποίο τυγχάνουν εφαρμογής οι παράγραφοι 1 και 2. Αυτός επικουρεί τον υπεύθυνο προστασίας δεδομένων στην εκτέλεση των καθηκόντων και αρμοδιοτήτων του και τον αναπληρώνει όταν απουσιάζει.
4. Κάθε μέλος του προσωπικού της ΕΚΤ που επικουρεί τον υπεύθυνο προστασίας δεδομένων σε θέματα προστασίας δεδομένων ενεργεί μόνο κατ’ εντολή αυτού και δεσμεύεται να τηρεί το επαγγελματικό απόρρητο και την εμπιστευτικότητα, σύμφωνα με το άρθρο 44 παράγραφος 5 του κανονισμού (ΕΕ) 2018/1725, σε συνδυασμό με το άρθρο 37 του καταστατικού του ΕΣΚΤ.
5. Δυνάμει του άρθρου 43 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725, κατόπιν αιτήματος του ΕΣΣΚ ο υπεύθυνος προστασίας δεδομένων μπορεί να εξουσιοδοτηθεί να ασκεί τα καθήκοντα του άρθρου 45 του κανονισμού (ΕΕ) 2018/1725 και σε σχέση με το ΕΣΣΚ.
Άρθρο 4
Καθήκοντα του υπευθύνου προστασίας δεδομένων
Ο υπεύθυνος προστασίας δεδομένων ασκεί τα καθήκοντα του άρθρου 45 του κανονισμού (ΕΕ) 2018/1725, και ιδίως:
|
α) |
ενημερώνει και συμβουλεύει την εκτελεστική επιτροπή, τους υπευθύνους επεξεργασίας, την επιτροπή προσωπικού και τους συντονιστές προστασίας δεδομένων και απαντά σε διαβουλεύσεις που κινεί οποιοσδήποτε εκ των φορέων αυτών ή οποιοδήποτε υποκείμενο των δεδομένων σε σχέση με ζητήματα ερμηνείας και εφαρμογής των διατάξεων περί προστασίας δεδομένων στην ΕΚΤ· |
|
β) |
με δική του πρωτοβουλία ή κατόπιν αιτήματος της εκτελεστικής επιτροπής, υπευθύνου επεξεργασίας, της επιτροπής προσωπικού ή οπουδήποτε υποκειμένου των δεδομένων, διερευνά ζητήματα και περιστατικά που σχετίζονται με την προστασία των δεδομένων και ενημερώνει σχετικά τον αιτούντα την έρευνα· |
|
γ) |
τηρεί κεντρικό μητρώο με τα αρχεία των δραστηριοτήτων επεξεργασίας στην ΕΚΤ σύμφωνα με το άρθρο 31 του κανονισμού (ΕΕ) 2018/1725 και το άρθρο 9 της παρούσας απόφασης· |
|
δ) |
κατόπιν σχετικού αιτήματος επικουρεί υπεύθυνο επεξεργασίας στην κατάρτιση εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων και παρατηρήσεων για τους σκοπούς της προηγούμενης διαβούλευσης με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, σύμφωνα με τα άρθρα 39 και 40 του κανονισμού (ΕΕ) 2018/1725· |
|
ε) |
απαντά σε αιτήματα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και συνεργάζεται με αυτόν στο πεδίο των αρμοδιοτήτων του· |
|
στ) |
συνεργάζεται με τους υπευθύνους προστασίας δεδομένων άλλων οργάνων και οργανισμών της Ένωσης, εθνικών κεντρικών τραπεζών και εθνικών αρμόδιων αρχών, ιδίως: i) ανταλλάσσοντας γνώσεις και τεχνογνωσία βάσει πείρας· ii) εκπροσωπώντας την ΕΚΤ σε συναφείς συζητήσεις επί ζητημάτων προστασίας δεδομένων, εξαιρουμένων των δικαστικών υποθέσεων· και iii) συμμετέχοντας σε διοργανικές επιτροπές και όργανα· |
|
ζ) |
διασφαλίζει με τρόπο ανεξάρτητο την εφαρμογή του κανονισμού (ΕΕ) 2018/1725 στην ΕΚΤ παρακολουθώντας τη συμμόρφωση με τις διατάξεις του, με άλλες ισχύουσες διατάξεις της ενωσιακής νομοθεσίας περί προστασίας δεδομένων και με τις πολιτικές της ΕΚΤ και των εκτελούντων την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των μελών του προσωπικού της ΕΚΤ που συμμετέχουν σε πράξεις επεξεργασίας και σχετικούς ελέγχους. |
Άρθρο 5
Εξουσίες του υπευθύνου προστασίας δεδομένων
Κατά την εκτέλεση των καθηκόντων του κατά το άρθρο 4 ο υπεύθυνος προστασίας δεδομένων:
|
α) |
μπορεί να ζητεί πληροφορίες από οποιαδήποτε υπηρεσιακή μονάδα της ΕΚΤ για κάθε ζήτημα που άπτεται των καθηκόντων και αρμοδιοτήτων του· |
|
β) |
έχει ανά πάσα στιγμή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σε όλες τις εγκαταστάσεις της ΕΚΤ και σε όλες τις πληροφορίες, πράξεις επεξεργασίας δεδομένων και βάσεις δεδομένων· |
|
γ) |
μπορεί να γνωμοδοτεί σχετικά με τη νομιμότητα τρεχουσών ή προτεινόμενων πράξεων επεξεργασίας, τα μέτρα που απαιτούνται για τη διασφάλιση της νομιμότητάς τους, την καταλληλότητα ή επάρκεια των μέτρων προστασίας των δεδομένων ή κάθε ζήτημα σχετικό με πράξεις επεξεργασίας· |
|
δ) |
μπορεί να θέτει υπόψη της εκτελεστικής επιτροπής κάθε ζήτημα που αφορά την προστασία δεδομένων, περιλαμβανομένης της μη συμμόρφωσης μέλους του προσωπικού της ΕΚΤ με τις διατάξεις του κανονισμού (ΕΕ) 2018/1725 ή με λοιπές αντίστοιχες διατάξεις της Ένωσης που ισχύουν στην ΕΚΤ· |
|
ε) |
μπορεί να ζητεί την προσθήκη θεμάτων προστασίας δεδομένων στην ημερήσια διάταξη της εκτελεστικής επιτροπής και να υποβάλλει προς τούτο κάθε σχετικό έγγραφο· |
|
στ) |
μπορεί να διενεργεί ελέγχους συμμόρφωσης όσον αφορά πράξεις επεξεργασίας δεδομένων που διενεργούνται από τον ίδιο τον υπεύθυνο επεξεργασίας ή για λογαριασμό του· |
|
ζ) |
μπορεί να περιορίζει κάθε επεξεργασία δεδομένων που δεν τηρεί τις διατάξεις του κανονισμού (ΕΕ) 2018/1725, της παρούσας απόφασης ή άλλης ισχύουσας διάταξης της Ένωσης περί προστασίας των δεδομένων· |
|
η) |
μπορεί να ενημερώνει τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για κάθε ζήτημα σχετικό με την προστασία δεδομένων που απαιτεί τη συμβολή ή καθοδήγησή του. |
Άρθρο 6
Υπεύθυνος προστασίας δεδομένων και διαδικασία έρευνας
1. Τα αιτήματα για τη διενέργεια έρευνας βάσει του άρθρου 4 στοιχείο β) απευθύνονται εγγράφως στον υπεύθυνο προστασίας δεδομένων.
2. Εντός επτά εργάσιμων ημερών από την παραλαβή του αιτήματος της παραγράφου 1 ο υπεύθυνος προστασίας δεδομένων αποστέλλει στον αιτούντα αποδεικτικό παραλαβής.
3. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ερευνά επιτόπου το ζήτημα που αφορά το αίτημα και να ζητεί γραπτή δήλωση από τον υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας απαντά στον υπεύθυνο προστασίας δεδομένων εντός 20 εργάσιμων ημερών από την παραλαβή του αιτήματος του τελευταίου. Ο υπεύθυνος προστασίας δεδομένων μπορεί ανά πάσα στιγμή να ζητεί συμπληρωματικές πληροφορίες ή συνδρομή από οποιαδήποτε υπηρεσιακή μονάδα της ΕΚΤ, η οποία υποχρεούται να του τις παρέχει εντός 20 εργάσιμων ημερών από την παραλαβή του αιτήματός του.
4. Ο υπεύθυνος προστασίας δεδομένων εξετάζει τα σχετικά με την έρευνα ζητήματα και περιστατικά με αμεροληψία, λαμβάνοντας δεόντως υπόψη τα δικαιώματα του υποκειμένου των δεδομένων. Εφόσον κρίνεται σκόπιμο και με την επιφύλαξη της παραγράφου 5, ο υπεύθυνος προστασίας δεδομένων ενημερώνει όλα τα υπόλοιπα μέρη τα οποία αφορά η έρευνα.
5. Ο υπεύθυνος προστασίας δεδομένων διασφαλίζει ότι το αίτημα παραμένει εμπιστευτικό και δημοσιοποιείται μόνο στην έκταση που απαιτεί η έρευνα, εκτός εάν το υποκείμενο των δεδομένων συναινέσει σε άρση της εμπιστευτικότητας.
6. Ο υπεύθυνος προστασίας δεδομένων απαντά στον αιτούντα το αργότερο εντός τριών ημερολογιακών μηνών από την παραλαβή του αιτήματος.
ΤΜΗΜΑ 3
ΥΠΕΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ, ΥΠΕΥΘΥΝΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΣΥΝΤΟΝΙΣΤΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Άρθρο 7
Καθήκοντα και αρμοδιότητες του υπευθύνου επεξεργασίας
1. Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι όλες οι πράξεις επεξεργασίας που αφορούν δεδομένα προσωπικού χαρακτήρα και εκτελούνται εντός του πεδίου αρμοδιότητάς του τηρούν τις διατάξεις του κανονισμού (ΕΕ) 2018/1725 και κάθε άλλης ενωσιακής διάταξης περί προστασίας δεδομένων που ισχύει στην ΕΚΤ.
2. Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση σχετικά με τα ακόλουθα:
|
α) |
κάθε ζήτημα που έχει ή μπορεί να έχει επιπτώσεις στην προστασία δεδομένων· |
|
β) |
κάθε γνωμοδότηση, έγγραφο, εσωτερική πολιτική ή εσωτερική απόφαση που μπορεί να επηρεάσει τη συμμόρφωση της ΕΚΤ με την προστασία δεδομένων, πριν από την έγκρισή τους· |
|
γ) |
κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα ή άλλο περιστατικό που αφορά την προστασία των δεδομένων· |
|
δ) |
κάθε ευθεία αλληλεπίδραση μεταξύ του υπευθύνου επεξεργασίας και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. |
3. Ειδικότερα, ο υπεύθυνος επεξεργασίας:
|
α) |
διαβουλεύεται έγκαιρα με τον υπεύθυνο προστασίας δεδομένων αναφορικά με κάθε δραστηριότητα που σχετίζεται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή με άλλα ζητήματα προστασίας δεδομένων· |
|
β) |
διενεργεί και εγκρίνει εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων σε συνεργασία με τον υπεύθυνο προστασίας δεδομένων και σύμφωνα με το άρθρο 39 του κανονισμού (ΕΕ) 2018/1725· |
|
γ) |
συμμορφώνεται με κάθε συναφή εσωτερική πολιτική που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή άλλα ζητήματα προστασίας δεδομένων· |
|
δ) |
σε συνεργασία με τους συντονιστές προστασίας δεδομένων τηρεί τακτικά ενημερούμενα αρχεία των δραστηριοτήτων επεξεργασίας σύμφωνα με το άρθρο 31 παράγραφος 5 του κανονισμού (ΕΕ) 2018/1725, χρησιμοποιώντας το υπόδειγμα που έχει εγκρίνει ο υπεύθυνος προστασίας δεδομένων. |
4. Όταν επικουρεί τον υπεύθυνο προστασίας δεδομένων και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων στην άσκηση των καθηκόντων τους, ο υπεύθυνος επεξεργασίας τούς παρέχει πλήρη πληροφόρηση και πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και απαντά σε ερωτήσεις τους εντός είκοσι εργάσιμων ημερών από την παραλαβή σχετικού αιτήματος.
Άρθρο 8
Συντονιστές προστασίας δεδομένων
1. Οι συντονιστές προστασίας δεδομένων επικουρούν τους υπευθύνους επεξεργασίας στην εκπλήρωση των υποχρεώσεών τους, είτε κατόπιν αιτήματος των τελευταίων είτε με δική τους πρωτοβουλία. Οι ίδιοι επικοινωνούν με τους υπευθύνους επεξεργασίας, οι οποίοι τους παρέχουν κάθε αναγκαία πληροφορία.
2. Οι συντονιστές προστασίας δεδομένων επικουρούν τον υπεύθυνο προστασίας δεδομένων:
|
α) |
στον προσδιορισμό του αρμόδιου υπευθύνου επεξεργασίας για πράξεις επεξεργασίας που αφορούν δεδομένα προσωπικού χαρακτήρα· |
|
β) |
στην προώθηση και ευαισθητοποίηση όσον αφορά τις συμβουλές του υπευθύνου προστασίας δεδομένων και στην υποστήριξη του οικείου υπευθύνου επεξεργασίας υπό την καθοδήγηση του υπευθύνου προστασίας δεδομένων· |
|
γ) |
στην παροχή συνδρομής προς τον οικείο υπεύθυνο επεξεργασίας όσον αφορά την τήρηση των αρχείων των δραστηριοτήτων επεξεργασίας κατά το άρθρο 31 του κανονισμού (ΕΕ) 2018/1725 και τη διασφάλιση ακριβών και ενημερωμένων αρχείων· |
|
δ) |
στην εξέταση άλλων θεμάτων που αφορούν τα καθήκοντα του υπευθύνου προστασίας δεδομένων, όπως έχουν συμφωνηθεί μεταξύ αυτού και της διοίκησης των συντονιστών προστασίας δεδομένων. |
3. Γενικά ο συντονιστής προστασίας δεδομένων πρέπει να είναι ειδικός στη διαχείριση πληροφοριών ή να διαθέτει τη σχετική πείρα και/ή κατάρτιση.
Άρθρο 9
Κεντρικό μητρώο
1. Οι υπεύθυνοι επεξεργασίας υποβάλλουν στον υπεύθυνο προστασίας δεδομένων τα αρχεία των δραστηριοτήτων επεξεργασίας τους, τα οποία εκείνος τηρεί σε κεντρικό μητρώο.
2. Το κεντρικό μητρώο χρησιμεύει ως αποθετήριο όλων των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διεξάγονται στην ΕΚΤ. Το κεντρικό μητρώο αποτελεί πηγή πληροφοριών για τα υποκείμενα των δεδομένων και διευκολύνει την άσκηση των δικαιωμάτων τους κατά τα άρθρα 17 έως 24 του κανονισμού (ΕΕ) 2018/1725. Το κεντρικό μητρώο είναι δημόσια προσβάσιμο και περιέχει τουλάχιστον τις πληροφορίες που αναφέρονται στο άρθρο 31 παράγραφος 1 στοιχεία α) έως ζ) του κανονισμού (ΕΕ) 2018/1725.
Άρθρο 10
Από κοινού υπεύθυνοι επεξεργασίας
1. Οι υποχρεώσεις προστασίας δεδομένων των από κοινού υπεύθυνων επεξεργασίας καθορίζονται σύμφωνα με το άρθρο 28 του κανονισμού (ΕΕ) 2018/1725.
2. Σε περίπτωση που η ΕΚΤ και ένας ή περισσότεροι υπεύθυνοι επεξεργασίας ενεργούν ως από κοινού υπεύθυνοι επεξεργασίας, οι αρμοδιότητές τους ως προς τη συμμόρφωση με τις υποχρεώσεις προστασίας δεδομένων καθορίζονται με μεταξύ τους ρύθμιση, εκτός εάν αυτές καθορίζονται από το δίκαιο της Ένωσης ή κράτους μέλους στου οποίου την εφαρμογή εκείνοι υπόκεινται.
ΤΜΗΜΑ 4
ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Άρθρο 11
Άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων
1. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον οικείο υπεύθυνο επεξεργασίας για να ασκήσουν τα δικαιώματά τους κατά τα άρθρα 17 έως 24 του κανονισμού (ΕΕ) 2018/1725.
2. Τα δικαιώματα των υποκειμένων των δεδομένων μπορούν να ασκούνται μόνον από τα ίδια ή από τον δεόντως εξουσιοδοτημένο εκπρόσωπό τους. Η άσκηση όλων αυτών των δικαιωμάτων γίνεται από τα εν λόγω πρόσωπα ατελώς.
3. Τα αιτήματα άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων υποβάλλονται στον οικείο υπεύθυνος επεξεργασίας κατά περίπτωση εγγράφως ή ηλεκτρονικά. Εντός πέντε εργάσιμων ημερών από την περιέλευση αιτήματος στον οικείο υπεύθυνο επεξεργασίας, αυτός αποστέλλει αποδεικτικό παραλαβής στο υποκείμενο των δεδομένων και παρέχει τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και πληροφορίες για τις δυνατότητες υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και δικαστικής προστασίας.
4. Εφόσον ο οικείος υπεύθυνος επεξεργασίας διατηρεί εύλογες αμφιβολίες ως προς την ταυτότητα του υποκειμένου των δεδομένων ή του εξουσιοδοτημένου εκπροσώπου του, μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την ταυτοποίησή τους. Εάν το υποκείμενο των δεδομένων εκπροσωπείται, ο οικείος υπεύθυνος επεξεργασίας ελέγχει και τη σχετική εξουσιοδότηση. Ο ίδιος μπορεί να ζητήσει περαιτέρω πληροφορίες από το υποκείμενο των δεδομένων προς αποσαφήνιση των στοιχείων και ουσιαστική επεξεργασία του αιτήματός του.
5. Σύμφωνα με το άρθρο 14 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725, ο οικείος υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για οποιαδήποτε ενέργεια σχετική με το αίτημα χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Εφόσον απαιτείται, η εν λόγω προθεσμία μπορεί να παρατείνεται κατά δύο μήνες, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων που έχουν περιέλθει στον υπεύθυνο επεξεργασίας. Εντός μηνός από την παραλαβή του σχετικού αιτήματος ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την τυχόν παράταση και τους λόγους της καθυστέρησης.
6. Ο υπεύθυνος επεξεργασίας απαντά γραπτώς στο αίτημα του υποκειμένου των δεδομένων και, εάν αυτό υποβλήθηκε με ηλεκτρονικά μέσα, παρέχει επίσης τις πληροφορίες που ζητήθηκαν με ηλεκτρονικά μέσα.
7. Το υποκείμενο των δεδομένων μπορεί ανά πάσα στιγμή να επικοινωνεί με τον υπεύθυνο προστασίας δεδομένων, ιδίως εάν:
|
α) |
αυτός δεν τηρεί τις προθεσμίες των παραγράφων 3 και 5· |
|
β) |
το ίδιο δεν είναι ικανοποιημένο με τις ενέργειες του οικείου υπευθύνου επεξεργασίας· |
|
γ) |
το ίδιο επιθυμεί να υποβάλει καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. |
Ο υπεύθυνος προστασίας δεδομένων συμβουλεύει τον οικείο υπεύθυνο επεξεργασίας για τις ενδεδειγμένες ενέργειες.
8. Εάν τα αιτήματα υποκειμένων των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί, κατόπιν διαβούλευσης με τον υπεύθυνο προστασίας δεδομένων, να αρνηθεί να ανταποκριθεί στο αίτημα σύμφωνα με το άρθρο 14 παράγραφος 5 του κανονισμού (ΕΕ) 2018/1725, οπότε και ενημερώνει σχετικά το υποκείμενο των δεδομένων.
Άρθρο 12
Προσφυγές
Οι προσφυγές που έχουν στη διάθεσή τους τα μέλη του προσωπικού της ΕΚΤ βάσει των όρων απασχόλησης του προσωπικού της Ευρωπαϊκής Κεντρικής Τράπεζας δεν ισχύουν για καταγγελίες που αφορούν την προστασία δεδομένων.
ΤΜΗΜΑ 5
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 13
Κατάργηση
Η απόφαση ΕΚΤ/2007/1 καταργείται από την 1η Νοεμβρίου 2020. Οι αναφορές στην απόφαση ΕΚΤ/2007/1 νοούνται ως αναφορές στην παρούσα απόφαση και διαβάζονται σύμφωνα με τον πίνακα αντιστοιχίας του παραρτήματος.
Άρθρο 14
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Εφαρμόζεται από την 1η Νοεμβρίου 2020.
Φρανκφούρτη, 5 Μαΐου 2020.
Η πρόεδρος της ΕΚΤ
Christine LAGARDE
(1) ΕΕ L 295 της 21.11.2018, σ. 39.
(2) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(3) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).
(4) Απόφαση ΕΚΤ/2007/1, της 17ης Απριλίου 2007, για τη θέσπιση διατάξεων εφαρμογής σχετικά με την προστασία δεδομένων στην Ευρωπαϊκή Κεντρική Τράπεζα (ΕΕ L 116 της 4.5.2007, σ. 64).
ΠΑΡΑΡΤΗΜΑ
ΠΊΝΑΚΑΣ ΑΝΤΙΣΤΟΙΧΊΑΣ
|
Απόφαση ΕΚΤ/2007/1 |
Παρούσα απόφαση |
|
Άρθρα 1 έως 5 |
Άρθρα 1 έως 5 |
|
Άρθρο 6 παράγραφος 1 |
Άρθρο 7 παράγραφος 1 |
|
— |
Άρθρο 7 παράγραφος 2 |
|
— |
Άρθρο 7 παράγραφος 3 |
|
Άρθρο 6 παράγραφος 2 |
Άρθρο 7 παράγραφος 4 |
|
Άρθρο 6 παράγραφος 3 στοιχείο α) |
Άρθρο 8 παράγραφος 1 |
|
Άρθρο 6 παράγραφος 3 στοιχείο β) |
Άρθρο 8 παράγραφος 2 |
|
Άρθρο 7 παράγραφος 1 |
Άρθρο 4 παράγραφος 4 |
|
Άρθρο 7 παράγραφος 2 |
— |
|
— |
Άρθρο 9 παράγραφος 1 |
|
Άρθρο 8 |
Άρθρο 9 παράγραφος 2 |
|
— |
Άρθρο 10 |
|
— |
|
|
Άρθρο 9 παράγραφος 1 |
Άρθρο 11 παράγραφος 1 |
|
Άρθρο 9 παράγραφος 1 στοιχείο α) |
Άρθρο 11 παράγραφος 2 |
|
Άρθρο 9 παράγραφος 1 στοιχείο β) |
Άρθρο 11 παράγραφος 3 |
|
Άρθρο 9 παράγραφος 1 στοιχείο γ) |
— |
|
— |
Άρθρο 11 παράγραφος 4 |
|
— |
Άρθρο 11 παράγραφος 5 |
|
— |
Άρθρο 11 παράγραφος 6 |
|
Άρθρο 9 παράγραφος 1 στοιχείο δ) |
Άρθρο 11 παράγραφος 7 στοιχεία α) και β) |
|
Άρθρο 9 παράγραφος 2 |
Άρθρο 11 παράγραφος 7 στοιχείο γ) |
|
Άρθρο 10 |
— |
|
Άρθρο 11 παράγραφοι 1, 2 και 3 |
Άρθρο 6 παράγραφοι 1, 2 και 3 |
|
— |
Άρθρο 6 παράγραφοι 4 και 5 |
|
Άρθρο 11 παράγραφος 4 |
Άρθρο 6 παράγραφος 6 |
|
Άρθρο 12 |
Άρθρο 12 |
|
Άρθρο 13 |
Άρθρο 13 |