Ombudsmanul European

având în vedere

(1) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE („Regulamentul”)^[1], în special articolul 45 alineatul (3) și

(2) Documentul de poziție al Autorității Europene pentru Protecția Datelor („AEPD”) privind rolul responsabililor cu protecția datelor de la instituțiile și organismele UE,

decide:

Articolul 1 Desemnarea responsabilului cu protecția datelor

1. Ombudsmanul European desemnează un responsabil cu protecția datelor (denumit în continuare „RPD”) din rândul membrilor personalului Ombudsmanului European, pe baza calităților sale personale și profesionale, în special a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile. Se poate desemna și un RPD adjunct, după consultarea cu RPD-ul^[2]. Responsabilul cu protecția datelor poate avea asistenți.

2. RPD-ul are un mandat de cinci ani și este eligibil pentru o nouă numire.

3. Datele de contact ale RPD-ului se comunică AEPD și se publică pe site-ul Ombudsmanului European.

4. Responsabilul cu protecția datelor care nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale poate fi eliberat din funcție doar de Ombudsmanul European, cu acordul AEPD. Ombudsmanul European stabilește că RPD-ul nu mai îndeplinește aceste condiții la propunerea secretarului general. Pentru a obține acordul AEPD cu privire la o astfel de eliberare din funcție în temeiul articolului 44 alineatul (8) din regulament, AEPD este consultată în scris. Responsabilului cu protecția datelor i se trimite o copie a acordului respectiv.

Articolul 2 Statutul responsabilului cu protecția datelor

1. RPD-ul raportează secretarului general al Ombudsmanului European.

2. Fără a aduce atingere punctului 1, RPD-ul acționează în mod independent. Responsabilul cu protecția datelor nu primește instrucțiuni în ceea ce privește exercitarea atribuțiilor sale și nu poate fi eliberat din funcție sau sancționat pentru îndeplinirea sarcinilor respective.

3. Ombudsmanul European se asigură că:

(a) RPD-ul este implicat, în mod corespunzător și în timp util, în toate aspectele legate de protecția datelor;

(b) RPD-ul are timpul și resursele necesare pentru a-și îndeplini sarcinile și a-și actualiza cunoștințele de specialitate și

(c) nu există conflicte de interese între sarcinile și atribuțiile responsabilului cu protecția datelor ca atare și celelalte sarcini și atribuții oficiale pe care le poate îndeplini.

4. RPD-ul și asistenții săi au obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor care le revin, în conformitate cu dreptul Uniunii.

Articolul 3 Sarcinile, atribuțiile și competențele responsabilului cu protecția datelor

1. RPD-ul informează și consiliază Ombudsmanul European în legătură cu obligațiile instituției conform regulamentului și altor dispoziții ale Uniunii privind protecția datelor.

2. RPD-ul asigură, în mod independent, aplicarea internă a regulamentului și monitorizează respectarea regulamentului, a altor dispoziții de drept al Uniunii în vigoare referitoare la protecția datelor și a politicilor Ombudsmanului European în ceea ce privește protecția datelor cu caracter personal, și anume alocarea responsabilităților, acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente.

3. RPD-ul se asigură că persoanele vizate sunt informate cu privire la drepturile și obligațiile care le revin în temeiul regulamentului.

4. RPD-ul oferă consiliere, după caz, cu privire la necesitatea de

(a) notificare a AEPD și/sau comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată;

(b) evaluare a impactului asupra protecției datelor, monitorizare a performanței sale și consultare a AEPD în cazul în care există îndoieli cu privire la necesitatea unei evaluări a impactului asupra protecției datelor și

(c) consultare prealabilă cu AEPD și consultare a AEPD în cazul în care există îndoieli cu privire la necesitatea unei consultări prealabile.

5. RPD-ul răspunde cererilor din partea AEPD și, în sfera sa de competență, cooperează și se consultă cu AEPD, la cererea acesteia sau din proprie inițiativă.

6. RPD-ul se asigură că drepturile și libertățile persoanelor vizate nu sunt afectate negativ de operațiunile de prelucrare în care operatorul este Ombudsmanul European.

7. RPD-ul ține un registru central cu evidențele operațiunilor de prelucrare și ale încălcărilor securității datelor cu caracter personal, aflat în responsabilitatea Ombudsmanului European. RPD-ul se asigură că registrul cu evidențele operațiunilor de prelucrare este accesibil publicului, și în format electronic. La cerere, evidențele activităților de prelucrare ale Ombudsmanului European sunt puse la dispoziția AEPD.

8. Ombudsmanul European, Comitetul pentru personal și persoanele fizice pot consulta responsabilul cu protecția datelor, fără a apela la canalele oficiale, cu privire la orice aspect legat de interpretarea sau aplicarea regulamentului, în măsura în care se referă la activități de prelucrare a datelor în care operatorul este Ombudsmanul European. În măsura posibilului, RPD-ul furnizează informații accesibile fără cunoștințe de specialitate.

9. RPD-ul poate face recomandări Ombudsmanului European în vederea îmbunătățirii practice a protecției datelor și poate oferi consiliere cu privire la aspecte legate de aplicarea dispozițiilor privind protecția datelor în activitățile de prelucrare a datelor în care operatorul este Ombudsmanul.

10. Responsabilul cu protecția datelor poate, din proprie inițiativă sau la cererea Ombudsmanului European, a secretarului general, a Comitetului pentru personal sau a unei persoane fizice, să investigheze chestiuni și evenimente direct legate de sarcinile sale, de care ia cunoștință, și să raporteze persoanei care a solicitat ancheta sau Ombudsmanului European. Aceste anchete respectă principiul echității și dreptul persoanelor implicate de a-și exprima opiniile cu privire la faptele care le privesc.

11. Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate aspectele legate de prelucrarea datelor lor cu caracter personal și de exercitarea drepturilor lor.

12. Nimeni nu suferă prejudicii din cauza unei probleme aduse la cunoștința responsabilului cu protecția datelor, prin care se susține că a avut loc o încălcare a regulamentului.

13. În îndeplinirea atribuțiilor sale, responsabilul cu protecția datelor are acces oricând la datele care fac obiectul operațiunilor de prelucrare și la toate birourile, instalațiile de prelucrare a datelor și suporturile de date.

14. În exercitarea funcției sale legate de prelucrarea efectuată de altă instituție sau de alt organism al Uniunii în numele Ombudsmanului European, RPD-ul poate coopera cu responsabilul cu protecția datelor de la instituția sau organismul în cauză.

Articolul 4 Intrarea în vigoare

Prezenta decizie intră în vigoare la data adoptării.

Adoptată la Strasbourg, la 9.10.2019

Emily O’Reilly

[1] JO 2018 L 295, p. 39.

[2] În cazul în care se desemnează un RPD adjunct în temeiul acestei proceduri, expresia „RPD” va face trimitere atât la RPD, cât și la RPD adjunct.