4.5.2007

LT

Europos Sąjungos oficialusis leidinys

L 116/64

---

EUROPOS CENTRINIO BANKO SPRENDIMAS

2007 m. balandžio 17 d.

patvirtinantis duomenų apsaugos Europos centriniame banke įgyvendinimo taisykles

(ECB/2007/1)

(2007/279/EB)

EUROPOS CENTRINIO BANKO VYKDOMOJI VALDYBA,

atsižvelgdama į Europos bendrijos steigimo sutartį, ypač į jos 286 straipsnį,

atsižvelgdama į 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (1), ypač į jo 24 straipsnio 8 dalį,

kadangi:

(1)	Reglamentas (EB) Nr. 45/2001 nustato duomenų apsaugos principus ir taisykles, taikomus visoms Bendrijos institucijoms bei įstaigoms ir numato, kad kiekviena Bendrijos institucija ir įstaiga paskiria duomenų apsaugos pareigūną (DAP).

(2)	Pagal Reglamento (EB) Nr. 45/2001 24 straipsnio 8 dalį kiekviena Bendrijos institucija ir įstaiga privalo priimti papildomas įgyvendinimo taisykles, susijusias su DAP, kaip numato to reglamento priedo nuostatos,

NUSPRENDĖ:

1   SKYRIUS

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir taikymo sritis

1.   Šis sprendimas nustato bendrąsias Reglamentą (EB) Nr. 45/2001 Europos centrinio banko (ECB) atžvilgiu įgyvendinančias taisykles. Konkrečiai, jis papildo Reglamento (EB) Nr. 45/2001 nuostatas dėl DAP paskyrimo ir statuso, taip pat jo uždavinių, pareigų ir įgaliojimų.

2.   Šis sprendimas taip pat paaiškina duomenų valdytojų ir duomenų apsaugos koordinatorių vaidmenis, uždavinius bei pareigas ir įgyvendina taisykles, pagal kurias duomenų subjektai gali naudotis savo teisėmis.

2 straipsnis

Sąvokų apibrėžimai

Šiame sprendime, nepažeidžiant Reglamente (EB) Nr. 45/2001 pateiktų sąvokų apibrėžimų, taikomi šie sąvokų apibrėžimai:

a)	duomenų valdytojas – tai vadovas, atsakingas už organizacinį vienetą, kuris nustato asmens duomenų tvarkymo tikslus ir priemones;

b)	duomenų apsaugos koordinatorius – tai personalo narys, kuris padeda duomenų valdytojui atlikti jo pareigas duomenų apsaugos srityje. Šis asmuo yra įrašų tvarkymo specialistas.

2   SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

3 straipsnis

Paskyrimas, statusas ir organizaciniai klausimai

1.   Vykdomoji valdyba:

a)	paskiria DAP iš personalo narių, kurie turi pakankamą darbo stažą, kad atitiktų Reglamento (EB) Nr. 45/2001 24 straipsnio reikalavimus;

b)	nustato DAP kadenciją nuo dvejų iki penkerių metų; ir

c)	užregistruoja DAP Europos duomenų apsaugos priežiūros pareigūno (EDAPP) institucijoje.

2.   Vykdomoji valdyba užtikrina, kad DAP nepriklausomai galėtų vykdyti DAP uždavinius ir pareigas. Nepažeidžiant tokio nepriklausomumo:

a)	DAP turėtų būti taikomos ECB įdarbinimo sąlygos;

b)	administraciniais tikslais DAP priskiriamas vienai iš ECB veiklos sričių; ir

c)	DAP vertintojai konsultuojasi su EDAPP prieš vertindami, kaip DAP vykdo DAP uždavinius ir pareigas.

3.   Atitinkamas duomenų valdytojas užtikrina, kad DAP nedelsiant būtų informuojamas:

a)	kai atsiranda aplinkybių, kurios turi ar gali turėti įtakos duomenų apsaugai; ir

b)	apie visus kontaktus su išorės subjektais, susijusius su Reglamento (EB) Nr. 45/2001 taikymu, ypač apie bet kokį bendravimą su EDAPP.

4.   Vykdomoji valdyba gali paskirti DAP pavaduotoją, kuriam taikomos šio straipsnio 1 ir 2 dalys. DAP pavaduotojas padeda DAP vykdyti DAP uždavinius ir pareigas ir pavaduoja DAP jam nesant.

5.   Visas DAP pagalbą duomenų apsaugos klausimais teikiantis personalas veikia tik pagal DAP nurodymus.

4 straipsnis

Duomenų apsaugos pareigūno uždaviniai ir pareigos

Spręsdamas uždavinius, nurodytus Reglamento (EB) Nr. 45/2001 24 straipsnyje ir to reglamento priede, DAP vykdo šias pareigas, esant reikalui atsižvelgdamas į atitinkamų veiklos sričių ECB padalinių pateiktą medžiagą:

a)

pataria Vykdomajai valdybai, duomenų valdytojams ir duomenų apsaugos koordinatoriams klausimais, susijusiais su duomenų apsaugos nuostatų taikymu ECB. Bet kuriuo klausimu, susijusiu su Reglamento (EB) Nr. 45/2001 aiškinimu ar taikymu, su DAP gali konsultuotis Vykdomoji valdyba, kiekvienas suinteresuotas duomenų valdytojas, Personalo komitetas ir kiekvienas fizinis asmuo;

b)

paties DAP iniciatyva arba Vykdomosios valdybos, duomenų valdytojo, Personalo komiteto ar bet kurio fizinio asmens prašymu tiria klausimus ir įvykius, tiesiogiai susijusius su DAP uždaviniais ir pareigomis, apie kuriuos DAP sužino, ir atsako asmeniui, kuris inicijavo tyrimą. Klausimus ir faktus DAP nagrinėja nešališkai, tinkamai atsižvelgdamas į duomenų subjektų teises. Jei DAP tai laiko tinkama, jis atitinkamai informuoja visas kitas suinteresuotas šalis. Jei prašymą teikia fizinis asmuo arba jei prašymas teikiamas fizinio asmens vardu, DAP, kiek tai įmanoma, užtikrina, kad prašymas liktų konfidencialus, išskyrus tą atvejį, kai suinteresuotas duomenų subjektas duoda nedviprasmišką sutikimą, kad prašymas būtų traktuojamas kitaip;

c)	bendradarbiauja su kitų Bendrijos institucijų ir įstaigų DAP, ypač keičiantis patirtimi bei dalijantis žiniomis ir atstovaujant ECB visose diskusijose – išskyrus bylas teismuose – duomenų apsaugos klausimais, ir

d)	teikia metinę darbų programą ir metinę ataskaitą apie DAP veiklą Vykdomajai valdybai ir EDAPP.

5 straipsnis

Duomenų apsaugos pareigūno įgaliojimai

DAP gali:

a)	prašyti bet kurios veiklos srities ECB padalinio nuomonės bet kuriuo su DAP uždaviniais ir pareigomis susijusiu klausimu;

b)	pareikšti nuomonę dėl vykdomų ar siūlomų tvarkymo veiksmų teisėtumo ar dėl bet kokio klausimo, susijusio su pranešimu apie tvarkymo veiksmus;

c)	atkreipti Vykdomosios valdybos dėmesį į tuos atvejus, kai personalo nariai pažeidžia Reglamentą (EB) Nr. 45/2001;

d)	spręsti kitus Reglamento (EB) Nr. 45/2001 priede nurodytus uždavinius.

3   SKYRIUS

DUOMENŲ VALDYTOJAI IR DUOMENŲ APSAUGOS KORDINATORIAI

6 straipsnis

Duomenų valdytojų ir duomenų apsaugos koordinatorių uždaviniai ir pareigos

1.   Duomenų valdytojai užtikrina, kad visi asmens duomenų tvarkymo veiksmai, atliekami srityje, už kurią jie atsako, atitiktų Reglamentą (EB) Nr. 45/2001.

2.   Vykdydami savo pareigą padėti DAP ir EDAPP atlikti jų pareigas, duomenų valdytojai teikia jiems visą informaciją, suteikia prieigą prie asmens duomenų ir atsako į paklausimus per 20 darbo dienų nuo prašymo gavimo.

3.   Nepažeidžiant duomenų valdytojų atsakomybės:

a)

Duomenų apsaugos koordinatoriai padeda duomenų valdytojams vykdyti jų pareigas arba valdytojų prašymu, arba savo pačių iniciatyva. Tai darydami, duomenų apsaugos koordinatoriai bendrauja su duomenų valdytojų personalu, kuris teikia jiems visą reikalingą informaciją. Konkretaus duomenų valdytojo sprendimu tai gali apimti leidimą prieiti prie asmens duomenų, už kurių tvarkymą atsako tas duomenų valdytojas.

b)	Duomenų apsaugos koordinatoriai padeda DAP: i) nustatyti konkrečius asmens duomenų tvarkymo veiksmų valdytojus; ii) skleisti DAP patarimus ir, DAP vadovaujant, remti valdytojus; iii) dėl kitų DAP darbų programos dalykų, dėl kurių susitaria DAP ir koordinatorių vadovybė.

7 straipsnis

Pranešimo procedūra

1.   Prieš įvedant naują asmens duomenų tvarkymo veiksmą, atitinkamas duomenų valdytojas praneša apie tai DAP pasinaudodamas per DAP tinklalapį ECB intranete prieinama tinklo sąsaja. Apie kiekvieną tvarkymo veiksmą, kuriam pagal Reglamento (EB) Nr. 45/2001 27 straipsnio 3 dalį turi būti taikoma išankstinė patikra, turi būti pranešta prieš pakankamą laiką iki jo įvedimo, kad EDAPP galėtų atlikti išankstinę patikrą.

2.   Duomenų valdytojai tuoj pat praneša DAP apie bet kokius pasikeitimus, darančius poveikį DAP jau pateiktame pranešime esančiai informacijai.

4   SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS

8 straipsnis

Registras

Pagal Reglamento (EB) Nr. 45/2001 26 straipsnį DAP tvarkomas registras naudojamas kaip visų ECB atliekamų su asmens duomenimis susijusių tvarkymo veiksmų rodyklė. Duomenų subjektai gali pasinaudoti registre esančia informacija naudodamiesi teisėmis, numatytomis Reglamento (EB) Nr. 45/2001 13–19 straipsniuose.

9 straipsnis

Duomenų subjektų naudojimasis savo teisėmis

1.   Be teisės būti tinkamai informuotiems apie bet kokį jų asmens duomenų tvarkymą, duomenų subjektai gali kreiptis į atitinkamą duomenų valdytoją siekdami pasinaudoti savo teisėmis, numatytomis Reglamento (EB) Nr. 45/2001 13–19 straipsniuose, kaip nurodyta toliau.

a)	Šiomis teisėmis gali naudotis tik duomenų subjektas arba jo tinkamai įgaliotas atstovas. Tokie asmenys šiomis teisėmis gali naudotis nemokamai.

b)

Rašytiniai prašymai pasinaudoti šiomis teisėmis pateikiami atitinkamam duomenų valdytojui. Duomenų valdytojas patenkina prašymą tik jei prašytojo tapatybė ir, jei taikytina, įgaliojimai atstovauti asmens duomenų subjektą buvo tinkamai patvirtinti. Duomenų valdytojas nedelsdamas raštu praneša duomenų subjektui, ar jo prašymą buvo nuspręsta patenkinti. Jei buvo nuspręsta prašymo netenkinti, duomenų valdytojas nurodo atsisakymo tenkinti prašymą priežastis.

c)	Duomenų valdytojas per tris kalendorinius mėnesius nuo prašymo gavimo suteikia prieigą pagal Reglamento (EB) Nr. 45/2001 13 straipsnį ir sudaro duomenų subjektui galimybę susipažinti su šiais duomenimis vietoje arba gauti jų nuorašą (pareiškėjo pasirinkimu).

d)

Jeigu duomenų valdytojas nesilaiko kurio nors iš b ir c punktuose nurodytų terminų, duomenų subjektai gali kreiptis į DAP. Jei duomenų subjektas naudodamasis savo teisėmis akivaizdžiai piktnaudžiauja, duomenų valdytojas gali nukreipti duomenų subjektą pas DAP. Jei nukreipiama pas DAP, jis priima sprendimą dėl prašymo esmės ir reikiamų tolesnių priemonių. Duomenų subjekto ir duomenų valdytojo ginčo atveju abi šalys turi teisę konsultuotis su DAP.

2.   ECB personalo nariai gali konsultuotis su DAP prieš pateikdami skundą EDAPP pagal Reglamento (EB) Nr. 45/2001 33 straipsnį.

10 straipsnis

Išimtys ir apribojimai

1.   Su sąlyga, kad su DAP buvo konsultuotasi iš anksto, duomenų valdytojas gali apriboti Reglamento (EB) Nr. 45/2001 13–17 straipsniuose nurodytas teises šio reglamento 20 straipsnyje nurodytais pagrindais ir sąlygomis.

2.   To paveikti asmenys gali prašyti EDAPP taikyti Reglamento (EB) Nr. 45/2001 47 straipsnio 1 dalies c punktą.

11 straipsnis

Tyrimo procedūra

1.   Prašymai atlikti 4 straipsnio b punkte nurodytą tyrimą DAP pateikiami raštu.

2.   DAP išsiunčia prašymo teikėjui patvirtinimą apie prašymo gavimą per 20 darbo dienų nuo prašymo gavimo dienos.

3.   DAP gali tirti klausimą vietoje ir paprašyti duomenų valdytojo pateikti rašytinį paaiškinimą. Duomenų valdytojas pateikia atsakymą DAP per 20 darbo dienų nuo dienos, kurią valdytojas gavo DAP prašymą. DAP gali bet kurios ECB veiklos srities padalinio paprašyti pateikti papildomą informaciją arba suteikti pagalbą. Veiklos srities padalinys tokią papildomą informaciją pateikia ar pagalbą suteikia per 20 darbo dienų nuo DAP prašymo pateikimo dienos.

4.   DAP atsako prašymo teikėjui per tris kalendorinius mėnesius nuo prašymo gavimo dienos.

12 straipsnis

Teisės gynimo priemonės

Be Reglamento (EB) Nr. 45/2001 32 straipsnyje numatytų teisės gynimo priemonių, kuriomis gali naudotis visi duomenų subjektai, tie duomenų subjektai, kurie yra ir ECB personalo nariai, taip pat gali naudotis ECB įdarbinimo sąlygose numatytomis teisės gynimo priemonėmis.

5   SKYRIUS

ĮSIGALIOJIMAS

13 straipsnis

Baigiamoji nuostata

Šis sprendimas įsigalioja dvidešimtąją dieną nuo jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

---

(1)  OL L 8, 2001 1 12, p. 1.

---