1.   Šiame sprendime nustatomos bendrosios Reglamento (ES) 2018/1725 įgyvendinimo taisyklės Europos Centriniame Banke. Visų pirma jame įtvirtinamos taisyklės, susijusios su ECB duomenų apsaugos pareigūno (DAP) paskyrimu ir vaidmeniu, įskaitant DAP uždavinius, pareigas ir įgaliojimus.

2.   Šiuo sprendimu taip pat nustatomi duomenų valdytojų ir duomenų apsaugos koordinatoriaus vaidmenys, užduotys ir pareigos ir įgyvendinamos taisyklės, pagal kurias duomenų subjektai gali naudotis savo teisėmis.

1.   Vykdomoji valdyba:

2.   Vykdomoji valdyba užtikrina, kad duomenų apsaugos pareigūnas galėtų nepriklausomai vykdyti Reglamento (ES) 2018/1725 45 straipsnyje nurodytas užduotis ir pareigas, negaudamas jokių nurodymų, kaip vykdyti savo užduotis. Nepažeidžiant tokio nepriklausomumo:

3.   Vykdomoji valdyba gali paskirti DAP pavaduotoją, kuriam taikomos 1 ir 2 dalys. DAP pavaduotojas padeda DAP vykdyti DAP uždavinius ir pareigas ir pavaduoja DAP jam nesant.

4.   Bet kuris ECB personalo narys, padedantis DAP duomenų apsaugos klausimais, veikia tik pagal DAP nurodymus ir yra saistomas profesinės paslapties ir konfidencialumo pagal Reglamento (ES) 2018/1725 44 straipsnio 5 dalį kartu su ECBS statuto 37 straipsniu.

5.   Pagal Reglamento (ES) 2018/1725 43 straipsnio 2 dalį ESRV prašymu duomenų apsaugos pareigūnui taip pat gali būti leista vykdyti su ESRV susijusias užduotis, nustatytas Reglamento (ES) 2018/1725 45 straipsnyje.

1.   Prašymai atlikti 4 straipsnio b punkte nurodytą tyrimą DAP pateikiami raštu.

2.   Gavęs 1 dalyje nurodytą prašymą, DAP per septynias darbo dienas išsiunčia gavimo patvirtinimą prašymą pateikusiam asmeniui.

3.   Klausimą, dėl kurio pateiktas prašymas, DAP gali ištirti vietoje ir paprašyti duomenų valdytojo pateikti rašytinį pareiškimą. Atitinkamas duomenų valdytojas atsako DAP per 20 darbo dienų nuo DAP prašymo gavimo. DAP gali bet kuriuo metu prašyti papildomos informacijos ar pagalbos iš bet kurios ECB veiklos srities padalinių. Tos veiklos srities padaliniai suteikia tokią papildomą informaciją ar pagalbą per 20 darbo dienų nuo DAP prašymo pateikimo.

4.   Su tyrimu susijusius klausimus ir faktus DAP nagrinėja nešališkai, tinkamai atsižvelgdamas į duomenų subjektų teises. Jei tinkama ir laikantis 5 dalies nuostatų, DAP informuoja visas kitas su tyrimu susijusias šalis.

5.   DAP užtikrina, kad prašymas išliktų konfidencialus ir būtų atskleistas tik tiek, kiek tai būtina tyrimo tikslais, išskyrus atvejus, kai atitinkamas duomenų subjektas sutinka, kad prašymas nebūtų laikomas konfidencialiu.

6.   DAP atsako prašymo teikėjui per tris kalendorinius mėnesius nuo prašymo gavimo dienos.

1.   Duomenų valdytojas užtikrina, kad visos jo atsakomybės srityje atliekamos duomenų tvarkymo operacijos, susijusios su asmens duomenimis, atitiktų Reglamento (ES) 2018/1725 nuostatas ir visas kitas ECB taikomas Sąjungos duomenų apsaugos nuostatas.

2.   Duomenų valdytojas užtikrina, kad duomenų apsaugos pareigūnui nedelsiant būtų pranešta apie:

3.   Duomenų valdytojas visų pirma:

4.   Padėdami DAP ir EDAPP atlikti jų pareigas, duomenų valdytojai teikia jiems visą informaciją, suteikia prieigą prie asmens duomenų ir atsako į klausimus per 20 darbo dienų nuo prašymo gavimo.

1.   Duomenų apsaugos koordinatoriai padeda duomenų valdytojams vykdyti jų pareigas arba duomenų valdytojų prašymu, arba savo pačių iniciatyva. Duomenų apsaugos koordinatoriai bendrauja su duomenų valdytojais, kurie teikia jiems visą reikalingą informaciją.

2.   Duomenų apsaugos koordinatoriai padeda DAP:

3.   Duomenų apsaugos koordinatorius paprastai yra informacijos valdymo specialistas arba turi atitinkamos patirties ir (arba) yra baigęs atitinkamus mokymus.

1.   Duomenų valdytojai savo duomenų tvarkymo veiklos įrašus pateikia duomenų apsaugos pareigūnui, kuris tuos įrašus saugo centriniame registre.

2.   Centrinis registras veikia kaip visos ECB vykdomos asmens duomenų tvarkymo veiklos saugykla. Centrinis registras yra informacijos šaltinis duomenų subjektams ir padeda jiems naudotis savo teisėmis pagal Reglamento (ES) 2018/1725 17–24 straipsnius. Centrinis registras yra viešai prieinamas. Centriniame registre pateikiama bent Reglamento (ES) 2018/1725 31 straipsnio 1 dalies a–g punktuose nurodyta informacija.

1.   Atitinkamos kiekvieno iš bendrų duomenų valdytojų pareigos duomenų apsaugos srityje nustatomos pagal Reglamento (ES) 2018/1725 28 straipsnį.

2.   Tuo atveju, kai ECB veikia kaip bendras duomenų valdytojas kartu su vienu ar daugiau duomenų valdytojų, bendrų duomenų valdytojų atsakomybė už duomenų apsaugos prievolių laikymąsi nustatoma jų tarpusavio susitarimu, išskyrus atvejus ir tiek, kiek ta atsakomybė nustatyta Sąjungos ar valstybės narės teisėje, kuri taikoma bendriems duomenų valdytojams.

1.   Duomenų subjektai gali susisiekti su atitinkamu duomenų valdytoju, kad pasinaudotų savo teisėmis pagal Reglamento (ES) 2018/1725 17–24 straipsnius.

2.   Duomenų subjektų teisėmis gali naudotis tik duomenų subjektas arba jo tinkamai įgaliotas atstovas. Tokie asmenys šiomis teisėmis gali naudotis nemokamai.

3.   Prašymai pasinaudoti duomenų subjektų teisėmis atitinkamam duomenų valdytojui pateikiami raštu arba, kai tinkama, elektroninėmis priemonėmis. Gavęs duomenų subjekto prašymą, atitinkamas duomenų valdytojas per penkias darbo dienas išsiunčia duomenų subjektui gavimo patvirtinimą, suteikia jam DAP kontaktinius duomenis ir informuoja jį apie galimybę pateikti skundą EDAPP ir naudotis teisminėmis teisių gynimo priemonėmis.

4.   Jei atitinkamam duomenų valdytojui kyla pagrįstų abejonių dėl duomenų subjekto arba jo įgaliotojo atstovo tapatybės, atitinkamas duomenų valdytojas gali prašyti pateikti papildomos informacijos, reikalingos duomenų subjekto arba jo įgaliotojo atstovo tapatybei nustatyti. Jei duomenų subjektui atstovauja įgaliotasis atstovas, atitinkamas duomenų valdytojas taip pat patikrina atitinkamą įgaliojimą. Atitinkamas duomenų valdytojas gali paprašyti duomenų subjekto pateikti papildomos informacijos duomenų subjekto prašymui patikslinti ir veiksmingai jį išnagrinėti.

5.   Pagal Reglamento (ES) 2018/1725 14 straipsnio 3 ir 4 dalis ir atitinkamas duomenų valdytojas nedelsdamas ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos duomenų subjektui pateikia informaciją apie visus veiksmus, kurių imtasi dėl prašymo. Prireikus šis laikotarpis gali būti pratęstas dar dviem mėnesiais, atsižvelgiant į atitinkamo duomenų valdytojo gautų duomenų subjektų prašymų sudėtingumą ir skaičių. Atitinkamas duomenų valdytojas informuoja duomenų subjektą apie bet kokį pratęsimą per vieną mėnesį nuo prašymo gavimo dienos ir nurodo vėlavimo priežastis.

6.   Atitinkamas duomenų valdytojas prireikus raštu atsako į duomenų subjekto prašymą ir, jei duomenų subjekto prašymas buvo pateiktas elektroninėmis priemonėmis, atitinkamas duomenų valdytojas prašomą informaciją taip pat pateikia elektroninėmis priemonėmis.

7.   Duomenų subjektas gali bet kuriuo metu susisiekti su DAP, ypač jei:

DAP pataria atitinkamam duomenų valdytojui dėl tinkamų veiksmų.

8.   Jeigu duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, atitinkamas duomenų valdytojas, pasikonsultavęs su duomenų apsaugos pareigūnu, gali atsisakyti imtis veiksmų dėl prašymo pagal Reglamento (ES) 2018/1725 14 straipsnio 5 dalį ir atitinkamai informuoja duomenų subjektą.