4.5.2007

PL

Dziennik Urzędowy Unii Europejskiej

L 116/64

---

DECYZJA EUROPEJSKIEGO BANKU CENTRALNEGO

z dnia 17 kwietnia 2007 r.

przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym

(EBC/2007/1)

(2007/279/WE)

ZARZĄD EUROPEJSKIEGO BANK CENTRALNEGO,

uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (1), w szczególności art. 24 ust. 8,

a także mając na uwadze, co następuje:

(1)	Rozporządzenie (WE) nr 45/2001 określa zasady ochrony danych oraz reguły postępowania mające zastosowanie do wszystkich instytucji i organów wspólnotowych, jak również przewiduje, iż przy każdej instytucji lub organie wspólnotowym powołuje się inspektora ochrony danych (IOD).

(2)	Zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001 każda wspólnotowa instytucja lub organ ma obowiązek przyjąć dalsze przepisy wykonawcze dotyczące IOD zgodnie z postanowieniami zawartymi w załączniku do wskazanego rozporządzenia,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

ROZDZIAŁ 1

POSTANOWIENIA OGÓLNE

Artykuł 1

Przedmiot i zakres regulacji

1.   Niniejsza decyzja określa ogólne zasady implementacji rozporządzenia (WE) nr 45/2001 w stosunku do Europejskiego Banku Centralnego (EBC). W szczególności uzupełnia ona przepisy rozporządzenia (WE) nr 45/2001 dotyczące powołania oraz statusu IOD, jak również przepisy dotyczące jego zadań, obowiązków oraz uprawnień.

2.   Decyzja uściśla także rolę, zadania i obowiązki administratorów danych oraz koordynatorów ochrony danych, jak również implementuje zasady, na podstawie których podmioty danych mogą wykonywać przysługujące im prawa.

Artykuł 2

Definicje

Dla celów niniejszej decyzji oraz bez uszczerbku dla definicji zawartych w rozporządzeniu (WE) nr 45/2001:

a)	„administrator danych” oznacza członka kadry kierowniczej EBC odpowiedzialnego za jednostkę organizacyjną określającą cele oraz sposoby przetwarzania danych osobowych;

b)	„koordynator ochrony danych” oznacza pracownika wspomagającego administratora danych w wykonywaniu jego obowiązków związanych z ochroną danych. Osoba ta powinna być specjalistą w zakresie zarządzania zasobami danych.

ROZDZIAŁ 2

INSPEKTOR OCHRONY DANYCH

Artykuł 3

Powołanie, status oraz kwestie organizacyjne

1.   Zarząd:

a)	powołuje IOD spośród pracowników EBC posiadających staż zawodowy pozwalający na wypełnienie wymogów art. 24 rozporządzenia (WE) nr 45/2001;

b)	ustala długość kadencji IOD, nie krótszą niż dwa lata i nie dłuższą niż pięć lat; oraz

c)	rejestruje IOD u Europejskiego Inspektora Ochrony Danych (EIOD).

2.   Zarząd zapewnia możliwość wykonywania przez IOD jego zadań i obowiązków w sposób niezależny. Bez uszczerbku dla niezależności IOD:

a)	IOD podlega warunkom zatrudnienia EBC;

b)	dla celów administracyjnych IOD zostanie przypisany jednemu z obszarów działalności EBC (ECB business areas tj. jednej z dyrekcji lub dyrekcji generalnych EBC); oraz

c)	przed dokonaniem oceny wykonywania przez IOD jego zadań i obowiązków, osoby oceniające zasięgają opinii EIOD.

3.   Właściwy administrator danych ma obowiązek zapewnić niezwłoczne powiadomienie IOD o:

a)	zdarzeniach wywołujących lub mogących wywołać skutki w zakresie ochrony danych; oraz

b)	wszelkich kontaktach z podmiotami zewnętrznymi w zakresie zastosowania rozporządzenia (WE) nr 45/2001, w szczególności o kontaktach z EIOD.

4.   Zarząd może powołać zastępcę IOD, do którego mają zastosowanie przepisy ust. 1 i 2. Zastępca IOD wspomaga IOD w wykonywaniu jego zadań i obowiązków oraz zastępuje go w razie jego nieobecności.

5.   Pracownicy wykonujący zadania na rzecz IOD związane z kwestiami ochrony danych działają wyłącznie na podstawie poleceń IOD.

Artykuł 4

Zadania i obowiązki inspektora ochrony danych

Wykonując zadania określone w art. 24 rozporządzenia (WE) nr 45/2001 oraz w załączniku do tego rozporządzenia, IOD wypełnia następujące obowiązki, współpracując przy tym w razie konieczności z właściwymi innymi obszarami działalności EBC:

a)

doradzanie Zarządowi, administratorom danych oraz koordynatorom ochrony danych w zakresie stosowania przepisów dotyczących ochrony danych w EBC. Zarząd, administratorzy danych, Komitet Pracowników, a także jakiekolwiek inne osoby mogą zasięgać opinii IOD w zakresie spraw dotyczących interpretacji oraz stosowania rozporządzenia (WE) nr 45/2001;

b)

przeprowadzanie, z własnej inicjatywy lub na wniosek Zarządu, administratora danych, Komitetu Pracowników lub jakiejkolwiek innej osoby, postępowań wyjaśniających w zakresie spraw oraz zdarzeń, o których IOD powziął wiadomość, a które dotyczą bezpośrednio jego zadań i obowiązków, jak również udzielanie odpowiedzi w tym zakresie podmiotowi wnioskującemu o przeprowadzenie postępowania wyjaśniającego. IOD rozpatruje w sposób bezstronny wszelkie kwestie oraz okoliczności faktyczne, mając należycie na względzie uprawnienia podmiotów danych. IOD powiadamia wszelkie inne zainteresowane strony, jeżeli uzna to za stosowne. W przypadku kiedy wnioskodawca jest osobą fizyczną albo gdy wnioskodawca działa w imieniu osoby fizycznej, IOD zapewnia w najszerszym możliwym zakresie zachowanie poufności wniosku, chyba że zainteresowany podmiot danych jednoznacznie wyrazi zgodę na potraktowanie wniosku w inny sposób;

c)

współdziałanie z inspektorami ochrony danych innych instytucji i organów wspólnotowych, w szczególności w drodze wymiany doświadczeń oraz dzielenia się wiedzą w zakresie stosowanych metod, jak również reprezentowanie EBC we wszelkich dyskusjach dotyczących zagadnień ochrony danych, z wyłączeniem spraw sądowych; oraz

d)	przedstawianie Zarządowi oraz EIOD rocznego programu działania oraz sprawozdania rocznego z działalności IOD.

Artykuł 5

Uprawnienia inspektora ochrony danych

IOD ma prawo:

a)	zwracać się o opinię do każdego obszaru działalności EBC w każdej sprawie dotyczącej zadań i obowiązków IOD;

b)	wydawać opinię w przedmiocie zgodności z prawem istniejących lub proponowanych operacji przetwarzania danych oraz w przedmiocie wszelkich zagadnień dotyczących powiadomień o operacjach przetwarzania;

c)	zawiadamiać Zarząd o każdym przypadku naruszenia przez pracownika przepisów rozporządzenia (WE) nr 45/2001; oraz

d)	wykonywać inne zadania określone w załączniku do rozporządzenia (WE) nr 45/2001.

ROZDZIAŁ 3

ADMINISTRATORZY DANYCH I KOORDYNATORZY OCHRONY DANYCH

Artykuł 6

Zadania i obowiązki administratorów danych i koordynatorów ochrony danych

1.   Administratorzy danych zapewniają zgodność z przepisami rozporządzenia (WE) nr 45/2001 wszelkich operacji przetwarzania obejmujących dane osobowe, przeprowadzanych w ramach ich zakresu właściwości.

2.   W ramach wykonywania obowiązku wspomagania IOD oraz EIOD w wykonywaniu ich funkcji administratorzy danych przekazują IOD oraz EIOD wyczerpujące informacje, zapewniają dostęp do danych osobowych oraz odpowiadają na zapytania w ciągu 20 dni roboczych od otrzymania wniosku.

3.   Bez uszczerbku dla obowiązków administratorów danych:

a)

koordynatorzy ochrony danych wspomagają administratorów danych w wykonywaniu ich obowiązków, bądź to na wniosek administratorów danych bądź z własnej inicjatywy. W tym zakresie koordynatorzy ochrony danych współpracują z pracownikami podległymi administratorom danych, którzy mają obowiązek dostarczania im wszelkich niezbędnych informacji. Powyższe może obejmować, według uznania administratora danych, udzielanie dostępu do danych osobowych przetwarzanych w zakresie jego właściwości;

b)

koordynatorzy ochrony danych wspomagają IOD w zakresie: i) określania właściwych administratorów danych w odniesieniu do operacji przetwarzania obejmujących dane osobowe; ii) rozpowszechniania opinii IOD oraz wspomagania administratorów danych, na podstawie wskazówek IOD; iii) innych elementów programu pracy IOD uzgodnionego pomiędzy IOD oraz kierownictwem koordynatora ochrony danych.

Artykuł 7

Procedura powiadamiania

1.   Przed wprowadzeniem nowych operacji przetwarzania obejmujących dane osobowe właściwy administrator danych zawiadamia IOD przy użyciu elektronicznego interfejsu dostępnego za pośrednictwem strony IOD zamieszczonej w intranecie EBC. Powiadomienie o każdej operacji przetwarzania danych podlegającej kontroli wstępnej na podstawie art. 27 ust. 3 rozporządzenia (WE) nr 45/2001 powinno być dokonane odpowiednio wcześnie przed jej rozpoczęciem, tak aby umożliwić jej uprzednie sprawdzenie przez EIOD.

2.   Administratorzy danych niezwłocznie informują IOD o wszelkich zmianach mających wpływ na informacje zawarte w powiadomieniu przekazanym IOD.

ROZDZIAŁ 4

UPRAWNIENIA PODMIOTÓW DANYCH

Artykuł 8

Rejestr

Rejestr prowadzony przez IOD na podstawie art. 26 rozporządzenia (WE) nr 45/2001 pełni funkcję spisu wszystkich operacji przetwarzania dotyczących danych osobowych przeprowadzonych w EBC. Podmioty danych mogą wykorzystywać informacje zawarte w rejestrze w celu wykonywania przysługujących im uprawnień na podstawie art. 13–19 rozporządzenia (WE) nr 45/2001.

Artykuł 9

Wykonywanie uprawnień przysługujących podmiotom danych

1.   Zgodnie z uprawnieniem do otrzymania odpowiednich informacji w zakresie przetwarzania danych osobowych podmioty danych mogą zwrócić się do odpowiedniego administratora danych w celu realizacji przysługujących im uprawnień na podstawie art. 13–19 rozporządzenia (WE) nr 45/2001, według poniższych zasad:

a)	wskazane uprawnienia mogą być wykonywane wyłącznie przez podmioty danych lub ich odpowiednio ustanowionych przedstawicieli. Wykonywanie uprawnień przez te osoby następuje nieodpłatnie;

b)

wnioski w sprawie wykonywania wskazanych uprawnień należy kierować na piśmie do właściwego administratora danych. Administrator danych przyznaje możliwość wykonywania wnioskowanego uprawnienia jedynie w przypadku, gdy tożsamość wnioskodawcy oraz, w razie potrzeby, jego uprawnienie do reprezentowania podmiotu danych zostały odpowiednio zweryfikowane. Administrator danych niezwłocznie powiadamia na piśmie podmiot danych o uwzględnieniu albo odrzuceniu wniosku. W przypadku odrzucenia wniosku administrator danych uzasadnia powody odrzucenia;

c)	w ciągu trzech miesięcy kalendarzowych od otrzymania wniosku administrator przyznaje dostęp do danych na podstawie art. 13 rozporządzenia (WE) nr 45/2001, umożliwiając podmiotowi danych zapoznanie się z danymi na miejscu bądź też otrzymanie ich kopii, zgodnie z życzeniem wnioskującego;

d)

podmioty danych mogą powiadomić IOD w przypadku niedochowania przez administratora danych terminów przewidzianych w lit. b) lub c). W razie oczywistego nadużycia przez podmiot danych przysługujących mu uprawnień, administrator danych może skierować podmiot danych do IOD. W przypadku skierowania sprawy do IOD, podejmuje on decyzję w przedmiocie zasadności wniosku oraz odpowiednich środków. W przypadku sporu pomiędzy podmiotem danych a administratorem danych obie strony mają prawo do zasięgnięcia opinii IOD.

2.   Pracownicy EBC mają prawo zasięgać opinii IOD przed złożeniem skargi u EIOD na podstawie art. 33 rozporządzenia (WE) nr 45/2001.

Artykuł 10

Wyłączenia i ograniczenia

1.   Po zasięgnięciu opinii IOD administrator danych może w oparciu o przesłanki oraz zgodnie z warunkami wskazanymi w art. 20 rozporządzenia (WE) nr 45/2001 ograniczyć wykonywanie uprawnień wskazanych w art. 13–17 rozporządzenia (WE) nr 45/2001.

2.   Osoba dotknięta takim ograniczeniem może złożyć wniosek o zastosowanie przez EIOD przepisu art. 47 ust. 1 lit. c) rozporządzenia (WE) nr 45/2001.

Artykuł 11

Postępowanie wyjaśniające

1.   Wniosek o wszczęcie postępowania wyjaśniającego na podstawie art. 4 lit. b) powinien być skierowany do IOD w formie pisemnej.

2.   IOD przesyła wnioskodawcy potwierdzenie otrzymania wniosku w ciągu 20 dni roboczych od jego otrzymania.

3.   IOD może zbadać sprawę na miejscu oraz zażądać pisemnych wyjaśnień od administratora danych. Administrator danych przesyła IOD odpowiedź w ciągu 20 dni roboczych od otrzymania zapytania IOD. IOD może zażądać dodatkowych informacji lub wsparcia ze strony jakiegokolwiek obszaru działalności EBC. Dany obszar działalności EBC dostarcza dodatkowych informacji lub udziela wsparcia w ciągu 20 dni roboczych od otrzymania żądania IOD.

4.   IOD udziela wnioskodawcy odpowiedzi w ciągu trzech miesięcy kalendarzowych od otrzymania wniosku.

Artykuł 12

Środki odwoławcze

Obok środków odwoławczych wymienionych w art. 32 rozporządzenia (WE) nr 45/2001, przysługujących wszystkim podmiotom danych, podmiotom danych będącym pracownikami EBC przysługują środki odwoławcze wskazane w Warunkach zatrudnienia EBC.

ROZDZIAŁ 5

PRZEPISY KOŃCOWE

Artykuł 13

Przepis końcowy

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

---

(1)  Dz.U. L 8 z 12.1.2001, str. 1.

---