Europejski Rzecznik Praw Obywatelskich

uwzględniając

1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE („rozporządzenie”)^[1], a w szczególności jego art. 45 ust. 3,

2) Stanowisko Europejskiego Inspektora Ochrony Danych („EIOD”) w sprawie roli inspektora ochrony danych w instytucjach i organach UE,

postanowił, co następuje:

Artykuł 1 Wyznaczenie inspektora ochrony danych

1. Europejski Rzecznik Praw Obywatelskich wyznacza inspektora ochrony danych spośród personelu Europejskiego Rzecznika Praw Obywatelskich na podstawie jego cech osobistych i kwalifikacji zawodowych, zwłaszcza wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań. Można wyznaczyć zastępcę inspektora ochrony danych, po konsultacji z inspektorem ochrony danych^[2]. Inspektor ochrony danych może mieć personel pomocniczy.

2. Kadencja inspektora ochrony danych trawa pięć lat i może zostać przedłużona.

3. Dane kontaktowe inspektora są przekazywane EIOD i publikowane na stronie internetowej Europejskiego Rzecznika Praw Obywatelskich.

4. Inspektor ochrony danych, który przestał spełniać warunki wymagane do wykonywania swoich obowiązków, może zostać odwołany wyłącznie przez Europejskiego Rzecznika Praw Obywatelskich za zgodą EIOD. Europejski Rzecznik Praw Obywatelskich stwierdza, że inspektor ochrony danych nie spełnia już tych warunków na wniosek Sekretarza Generalnego. W celu uzyskania zgody EIOD na takie zwolnienie zgodnie z art. 44 ust. 8 rozporządzenia, zasięga się opinii EIOD na piśmie. Kopię tej zgody przesyła się inspektorowi ochrony danych.

Artykuł 2 Status inspektora ochrony danych

1. Inspektor ochrony danych podlega Sekretarzowi Generalnemu Europejskiego Rzecznika Praw Obywatelskich.

2. Nie naruszając przepisów ust. 1, inspektor ochrony danych działa w sposób niezależny. Inspektor ochrony danych nie może otrzymywać żadnych instrukcji dotyczących wykonywania swoich zadań ani nie może zostać zwolniony lub ukarany za realizację tych zadań.

3. Europejski Rzecznik Praw Obywatelskich zapewnia, aby:

a) inspektor ochrony danych był odpowiednio i terminowo zaangażowany we wszystkie sprawy związane z ochroną danych;

b) inspektor ochrony danych dysponował czasem i zasobami niezbędnymi do wykonywania swoich zadań oraz do utrzymania swojej wiedzy fachowej;

c) nie istniał żaden konflikt interesów między zadaniami a obowiązkami inspektora ochrony danych jako takiego oraz wszelkimi innymi oficjalnymi zadaniami i obowiązkami, które może wykonywać.

4. Inspektor ochrony danych i powiązany z nim personel pomocniczy są zobowiązani do zachowania tajemnicy lub poufności w odniesieniu do wykonywania swoich zadań, zgodnie z prawem Unii.

Artykuł 3 Zadania, obowiązki i uprawnienia inspektora ochrony danych

1. Inspektor ochrony danych informuje Europejskiego Rzecznika Praw Obywatelskich i doradza mu w kwestiach obowiązków instytucji wynikających z rozporządzenia oraz innych unijnych przepisów o ochronie danych.

2. Inspektor zapewnia, w sposób niezależny, wewnętrzne stosowanie rozporządzenia i monitorowanie zgodności z rozporządzeniem, z innymi mającymi zastosowanie przepisami Unii zawierającymi przepisy o ochronie danych oraz z polityką Europejskiego Rzecznika Praw Obywatelskich w odniesieniu do ochrony danych osobowych, w tym z przydzieleniem obowiązków, zwiększaniem świadomości i szkoleniem personelu zaangażowanego w procesy przetwarzania oraz z powiązanymi audytami.

3. Inspektor ochrony danych zapewnia, by osoby, których dane dotyczą, były informowane o swoich prawach i obowiązkach wynikających z rozporządzenia.

4. Inspektor ochrony danych w razie potrzeby udziela porad dotyczących zapotrzebowania na:

a) powiadomienie EIOD lub powiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

b) ocenę skutków w zakresie ochrony danych, monitorowanie jej wyników oraz konsultowanie się z EIOD w przypadku wątpliwości co do potrzeby przeprowadzenia oceny skutków w zakresie ochrony danych;

c) uprzednią konsultację z EIOD oraz zasięgnięcie opinii EIOD w przypadku wątpliwości co do konieczności przeprowadzenia uprzedniej konsultacji.

5. Inspektor ochrony danych odpowiada na wnioski EIOD oraz, w ramach swoich kompetencji, współpracuje i konsultuje się z EIOD na jego wniosek lub z własnej inicjatywy.

6. Inspektor ochrony danych zapewnia, by operacje przetwarzania, których Europejski Rzecznik Praw Obywatelskich jest administratorem, nie wpłynęły negatywnie na prawa i wolności osób, których dane dotyczą.

7. Inspektor ochrony danych prowadzi centralny rejestr czynności przetwarzania i przypadków naruszenia danych osobowych, za które odpowiada Europejski Rzecznik Praw Obywatelskich. Inspektor ochrony danych zapewnia publiczny dostęp do rejestru operacji przetwarzania danych również drogą elektroniczną. Na żądanie EIOD udostępnia się rejestr czynności przetwarzania prowadzony przez Europejskiego Rzecznika Praw Obywatelskich.

8. Europejski Rzecznik Praw Obywatelskich, Komitet Pracowniczy i każda osoba mogą konsultować się z inspektorem ochrony danych, bez korzystania z kanałów oficjalnych, w każdej sprawie dotyczącej interpretacji lub stosowania rozporządzenia, w zakresie, w jakim odnosi się ona do czynności przetwarzania danych, których administratorem jest Europejski Rzecznik Praw Obywatelskich. W miarę możliwości inspektor ochrony danych udziela informacji zrozumiałych bez specjalistycznej wiedzy.

9. Inspektor ochrony danych może kierować zalecenia do Europejskiego Rzecznika Praw Obywatelskich w celu praktycznej poprawy ochrony danych i udzielać porad w kwestiach dotyczących stosowania przepisów o ochronie danych w odniesieniu do działań związanych z przetwarzaniem danych, których administratorem jest Rzecznik Praw Obywatelskich.

10. Inspektor ochrony danych może, z własnej inicjatywy lub na wniosek Europejskiego Rzecznika Praw Obywatelskich, Sekretarza Generalnego, Komitetu Pracowniczego lub każdej osoby fizycznej, badać sprawy i zdarzenia bezpośrednio związane ze swoimi zadaniami i powiadomić o tym osobę, która zleciła dochodzenie, lub Europejskiego Rzecznika Praw Obywatelskich. Badania spraw są zgodne z zasadą sprawiedliwości i prawem osób uczestniczących do wyrażania swoich opinii na temat faktów ich dotyczących.

11. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych w odniesieniu do wszelkich kwestii związanych z przetwarzaniem ich danych osobowych oraz z korzystaniem z przysługujących im praw.

12. Nikt nie może doznać uszczerbku ze względu na sprawę przekazaną do wiadomości inspektora ochrony danych ze względu na domniemane naruszenie przepisów rozporządzenia.

13. Podczas wykonywania swoich obowiązków inspektor ochrony danych ma zawsze dostęp do danych będących przedmiotem operacji przetwarzania oraz do wszystkich urzędów, instalacji przetwarzania danych i nośników danych.

14. W ramach wykonywania swoich funkcji związanych z przetwarzaniem prowadzonym przez inną instytucję Unii lub organ Unii działający w imieniu Europejskiego Rzecznika Praw Obywatelskich inspektor ochrony danych może współpracować z inspektorem ochrony danych danej instytucji lub danego organu.

Artykuł 4 Wejście w życie

Niniejsza decyzja wchodzi w życie z dniem jej przyjęcia.

Sporządzono w Strasburgu dnia 9 października 2019 r.

Emily O’Reilly

[1] Dz.U. L 295 z 21.11.2018, s. 39.

[2] W przypadku wyznaczenia zastępcy inspektora ochrony danych na podstawie tej procedury wyrażenie „inspektor ochrony danych” oznacza zarówno inspektora ochrony danych, jak i jego zastępcę.