De Europese Ombudsman

Gezien

(1) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (de “verordening”)^[1], en met name artikel 45, lid 3; en

(2) De standpuntnota van de Europese Toezichthouder voor gegevensbescherming (de “EDPS”) over de rol van functionarissen voor gegevensbescherming van de EU-instellingen en -organen,

Besluit:

Artikel 1 Aanstelling van de DPO

1. De Europese Ombudsman stelt een functionaris voor gegevensbescherming (hierna “DPO” genoemd) onder het personeel van de Europese Ombudsman aan op grond van zijn of haar persoonlijke en professionele kwaliteiten, in het bijzonder deskundigheid op het gebied van wetgeving en praktijken inzake gegevensbescherming en het vermogen de taken te vervullen. Een plaatsvervangende DPO kan na overleg met de DPO worden aangesteld^[2]. De DPO kan over ondersteunende medewerkers beschikken.

2. De DPO wordt benoemd voor een termijn van vijf jaar en kan worden herbenoemd.

3. De contactgegevens van de DPO worden aan de EDPS bezorgd en op de website van de Europese Ombudsman bekendgemaakt.

4. Als de DPO niet langer voldoet aan de voorwaarden voor de uitoefening van zijn of haar functie, kan hij of zij alleen met goedkeuring van de EDPS door de Europese Ombudsman worden ontslagen. De Europese Ombudsman stelt op voorstel van de secretaris-generaal vast dat de DPO niet langer aan deze voorwaarden voldoet. De EDPS wordt schriftelijk geraadpleegd teneinde de goedkeuring van de EDPS voor een dergelijk ontslag overeenkomstig artikel 44, lid 8, van de verordening te verkrijgen. Een afschrift van die goedkeuring wordt aan de DPO gezonden.

Artikel 2 Statuut van de DPO

1. De DPO brengt verslag uit aan de secretaris-generaal van de Europese Ombudsman.

2. Onverminderd lid 1 handelt de DPO op onafhankelijke wijze. De DPO mag geen instructies krijgen ten aanzien van de vervulling van zijn of haar taken of worden ontslagen of bestraft voor het uitvoeren van die taken.

3. De Europese Ombudsman zorgt ervoor dat:

(a) de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die betrekking hebben op gegevensbescherming;

(b) de DPO over de nodige tijd en middelen beschikt om zijn of haar taken uit te voeren en zijn of haar deskundigheid in stand te houden; en

(c) er geen belangenconflict bestaat tussen de taken en verplichtingen van de DPO als zodanig en andere officiële taken en verplichtingen die hij of zij kan uitvoeren.

4. De DPO en bijbehorende ondersteunende medewerkers zijn gehouden tot geheimhouding en vertrouwelijkheid ten aanzien van de verrichting van zijn of haar taken, overeenkomstig Uniewetgeving.

Artikel 3 Taken, verplichtingen en bevoegdheden van de DPO

1. De DPO informeert en adviseert de Europese Ombudsman over de verplichtingen van de instelling overeenkomstig de verordening en andere uniale bepalingen inzake gegevensbescherming.

2. De DPO zorgt op onafhankelijke wijze voor de interne toepassing van de verordening en ziet toe op naleving van de verordening, van andere toepasselijke Unierechtelijke gegevensbeschermingsbepalingen en van het beleid van de Europese Ombudsman met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de ermee verband houdende audits.

3. De DPO zorgt ervoor dat de betrokkenen in kennis worden gesteld van hun rechten en verplichtingen op grond van de verordening.

4. De DPO verstrekt waar nodig advies wat betreft de noodzaak van:

(a) een kennisgeving aan de EDPS en/of een mededeling aan de betrokkene over een inbreuk in verband met persoonsgegevens;

(b) een effectbeoordeling met betrekking tot gegevensbescherming, volgt de uitvoering ervan en raadpleegt de EDPS bij twijfel over de noodzaak van een effectbeoordeling met betrekking tot gegevensbescherming; en

(c) een voorafgaand overleg met de EDPS, en raadpleegt de EDPS bij twijfel over de noodzaak van een voorafgaand overleg.

5. De DPO gaat in op verzoeken van de EDPS en werkt, binnen het kader van zijn of haar bevoegdheden, met de EDPS samen en raadpleegt deze, op verzoek van laatstgenoemde of op eigen initiatief.

6. De DPO zorgt ervoor dat de rechten en vrijheden van de betrokkenen niet worden aangetast door verwerkingen onder beheer van de Europese Ombudsman.

7. De DPO houdt een centraal register bij van verwerkingen en inbreuken in verband met persoonsgegevens onder de verantwoordelijkheid van de Europese Ombudsman. De DPO zorgt ervoor dat het register van verwerkingen openbaar toegankelijk is, ook elektronisch. Op verzoek worden gegevens van verwerkingen van de Europese Ombudsman aan de EDPS beschikbaar gesteld.

8. De Europese Ombudsman, het personeelscomité en elk individu mogen de DPO raadplegen, zonder de officiële weg te volgen, over elke kwestie aangaande de uitlegging of toepassing van de verordening, voor zover die betrekking heeft op gegevensverwerkingsactiviteiten onder beheer van de Europese Ombudsman. De DPO verstrekt waar mogelijk informatie die zonder specialistische kennis te begrijpen is.

9. De DPO kan aanbevelingen doen aan de Europese Ombudsman voor de praktische verbetering van gegevensbescherming en advies geven over kwesties aangaande de toepassing van bepalingen inzake gegevensbescherming op gegevensverwerkingsactiviteiten onder beheer van de Europese Ombudsman.

10. De DPO kan, op eigen initiatief of op verzoek van de Europese Ombudsman, de secretaris-generaal, het personeelscomité of elk individu, onderzoek doen naar kwesties en gebeurtenissen die rechtstreeks verband houden met zijn of haar taken en hem of haar ter kennis komt, en verslag uitbrengen aan degene die om het onderzoek heeft verzocht of aan de Europese Ombudsman. Zulke onderzoeken worden uitgevoerd met eerbiediging van het billijkheidsbeginsel en het recht van de betrokkene zich over de hem of haar betreffende feiten uit te spreken.

11. Betrokkenen kunnen zich tot de DPO wenden ten aanzien van alle kwesties aangaande de verwerking van hun persoonsgegevens en om hun rechten uit te oefenen.

12. Niemand mag worden benadeeld vanwege het feit dat een zaak onder de aandacht van de DPO is gebracht wegens een vermeende inbreuk op de bepalingen van de verordening.

13. Bij de uitoefening van zijn of haar functie heeft de DPO te allen tijde toegang tot de gegevens die het voorwerp van verwerking vormen en tot alle kantoren, gegevensverwerkingsapparatuur en gegevensdragers.

14. Bij de vervulling van zijn of haar taken met betrekking tot verwerkingen door een andere instelling of een ander orgaan van de Unie namens de Europese Ombudsman kan de DPO samenwerken met de functionaris voor gegevensbescherming van de betrokken instelling of het betrokken orgaan.

Artikel 4 Inwerkingtreding

Dit besluit treedt in werking op de dag waarop het wordt vastgesteld.

Gedaan te Straatsburg, 09/10/2019

Emily O’Reilly

[1] PB 2018 L 295, blz. 39.

[2] Wanneer een plaatsvervangende DPO volgens deze procedure wordt aangesteld, wordt onder de aanduiding “DPO” zowel de DPO als de plaatsvervangende DPO verstaan.