Evropski varuh človekovih pravic je –

ob upoštevanju

(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (v nadaljnjem besedilu: Uredba)^[1] ter zlasti člena 45(3) Uredbe in

(2) dokumenta o stališču Evropskega nadzornika za varstvo podatkov (v nadaljnjem besedilu: ENVP) o vlogi pooblaščenih oseb za varstvo podatkov v institucijah in organih EU –

sprejel naslednji sklep:

Člen 1 Imenovanje pooblaščene osebe za varstvo podatkov

1. Evropski varuh človekovih pravic imenuje pooblaščeno osebo za varstvo podatkov med uslužbenci urada evropskega varuha človekovih pravic na podlagi njenih osebnih in poklicnih odlik, zlasti strokovnega znanja o zakonodaji in praksah na področju varstva podatkov ter zmožnosti za izpolnjevanje zadevnih nalog. Po posvetovanju s pooblaščeno osebo za varstvo podatkov se lahko imenuje njen namestnik^[2]. Pooblaščena oseba za varstvo podatkov ima lahko pomočnike.

2. Pooblaščena oseba za varstvo podatkov se imenuje za obdobje petih let in se lahko zatem ponovno imenuje.

3. Kontaktni podatki pooblaščene osebe za varstvo podatkov se sporočijo ENVP in objavijo na spletni strani evropskega varuha človekovih pravic.

4. Pooblaščeno osebo za varstvo podatkov, ki ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti, lahko evropski varuh človekovih pravic razreši le s soglasjem ENVP. Evropski varuh človekovih pravic ugotovi na predlog generalnega sekretarja, da pooblaščena oseba za varstvo podatkov ne izpolnjuje več teh pogojev. Za pridobitev soglasja ENVP za tako razrešitev v skladu s členom 44(8) Uredbe se z njim posvetuje pisno. Kopija njegovega soglasja se pošlje pooblaščeni osebi za varstvo podatkov.

Člen 2 Status pooblaščene osebe za varstvo podatkov

1. Pooblaščena oseba za varstvo podatkov poroča generalnemu sekretarju evropskega varuha človekovih pravic.

2. Brez poseganja v odstavek 1 pooblaščena oseba za varstvo podatkov deluje neodvisno. Pooblaščena oseba za varstvo podatkov ne sme prejemati nobenih navodil v zvezi z izvajanjem svojih nalog, niti ne sme biti razrešena ali kaznovana zaradi izvajanja teh nalog.

3. Evropski varuh človekovih pravic zagotovi, da:

(a) je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve, ki se nanašajo na varstvo podatkov;

(b) ima pooblaščena oseba za varstvo podatkov na voljo čas in vire, ki jih potrebuje za opravljanje svojih nalog in za ohranjanje svojega strokovnega znanja, in

(c) med nalogami in dolžnostmi pooblaščene osebe za varstvo podatkov in drugimi uradnimi nalogami in dolžnostmi, ki jih morebiti opravlja, ni navzkrižja interesov.

4. Pooblaščena oseba za varstvo podatkov in njeni pomočniki so pri opravljanju svojih nalog zavezani varovati tajnost ali zaupnost v skladu s pravom Unije.

Člen 3 Naloge, dolžnosti in pooblastila pooblaščene osebe za varstvo podatkov

1. Pooblaščena oseba za varstvo podatkov obvešča in svetuje evropskemu varuhu človekovih pravic v zvezi z obveznostmi institucije v skladu z Uredbo in drugimi določbami Unije o varstvu podatkov.

2. Pooblaščena oseba za varstvo podatkov na neodvisni osnovi zagotavlja interno uporabo Uredbe in spremlja skladnost s to uredbo, z drugo veljavno zakonodajo Unije, ki vsebuje določbe o varstvu podatkov, in s politikami evropskega varuha človekovih pravic v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v postopke obdelave, ter s tem povezanimi revizijami.

3. Pooblaščena oseba za varstvo podatkov zagotavlja, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni o svojih pravicah in obveznostih v skladu z Uredbo.

4. Pooblaščena oseba za varstvo podatkov svetuje, kadar je to zahtevano, glede potrebe po

(a) pošiljanju obvestila ENVP in/ali sporočila posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov;

(b) pripravi ocene učinka v zvezi z varstvom podatkov, spremljanju njenega delovanja in posvetovanju z ENVP v primeru dvoma glede potrebe po oceni učinka v zvezi z varstvom podatkov in

(c) predhodnem posvetovanju z ENVP in posvetovanju z njim v primeru dvoma glede potrebe po predhodnem posvetovanju.

5. Pooblaščena oseba za varstvo podatkov odgovarja na zahteve ENVP in v okviru svojih pristojnosti sodeluje z njim na njegovo zahtevo ali na lastno pobudo.

6. Pooblaščena oseba za varstvo podatkov zagotovi, da postopki obdelave, katerih upravljavec je evropski varuh človekovih pravic, nimajo negativnega vpliva na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

7. Pooblaščena oseba za varstvo podatkov vodi centralni register evidenc o postopkih obdelave in kršitev varnosti osebnih podatkov, za katere je odgovoren evropski varuh človekovih pravic. Pooblaščena oseba za varstvo podatkov zagotovi, da je register evidenc o postopkih obdelave javno dostopen, tudi po elektronski poti. Evropskemu nadzorniku za varstvo podatkov se na zahtevo omogoči dostop do registra evidenc o postopkih obdelave evropskega varuha človekovih pravic.

8. Evropski varuh človekovih pravic, odbor uslužbencev in vsak posameznik se lahko posvetujejo s pooblaščeno osebo za varstvo podatkov mimo uradnih kanalov o kateri koli zadevi v zvezi z razlago ali uporabo Uredbe, če se ta nanaša na dejavnosti obdelave podatkov, katerih upravljavec je evropski varuh človekovih pravic. Pooblaščena oseba za varstvo podatkov zagotovi, kolikor je to mogoče, informacije, ki so razumljive tudi osebam brez strokovnega znanja.

9. Pooblaščena oseba za varstvo podatkov lahko daje priporočila evropskemu varuhu človekovih pravic za izboljšanje varstva podatkov v praksi in svetuje v zadevah v zvezi z uporabo določb o varstvu podatkov pri dejavnostih obdelave podatkov, katerih upravljavec je evropski varuh človekovih pravic.

10. Pooblaščena oseba za varstvo podatkov lahko na lastno pobudo ali na zahtevo evropskega varuha človekovih pravic, generalnega sekretarja, odbora uslužbencev ali katerega koli posameznika preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge in za katere izve, ter poroča osebi, ki je zahtevala preiskavo, ali evropskemu varuhu človekovih pravic. Takšne preiskave spoštujejo načelo pravičnosti in pravico vpletenih oseb, da izrazijo svoje mnenje o dejstvih, ki se nanašajo nanje.

11. Posamezniki, na katere se nanašajo osebni podatki, se lahko obrnejo na pooblaščeno osebo za varstvo podatkov v zvezi z vsemi vprašanji, povezanimi z obdelavo njihovih osebnih podatkov, in za uveljavitev svojih pravic.

12. Nihče ne sme utrpeti škodljivih posledic, ker je bila zadeva predložena pooblaščeni osebi za varstvo podatkov z navedbo, da je bila kršena Uredba.

13. Pri opravljanju svojih dolžnosti ima pooblaščena oseba za varstvo podatkov ves čas dostop do podatkov, ki sestavljajo predmet postopkov obdelave, in do vseh pisarn, naprav za obdelavo podatkov in nosilcev podatkov.

14. Pri opravljanju svojih nalog v zvezi z obdelavo, ki jo opravlja druga institucija ali organ Unije v imenu evropskega varuha človekovih pravic, lahko pooblaščena oseba za varstvo podatkov sodeluje s pooblaščeno osebo za varstvo podatkov zadevne institucije ali organa.

Člen 4 Začetek veljavnosti

Ta sklep začne veljati na dan sprejetja.

V Strasbourgu, 9. oktobra 2019

Emily O’Reilly

[1] UL 2018 L 295, str. 39.

[2] Kadar je na podlagi tega postopka imenovan namestnik pooblaščene osebe za varstvo podatkov, se izraz „pooblaščena oseba za varstvo podatkov“ razume za pooblaščeno osebo za varstvo podatkov in tudi za njenega namestnika.