Europeiska ombudsmannen har antagit detta beslut

med beaktande av

1) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (nedan kallad förordningen), särskilt artikel 45.3, och

2) Europeiska datatillsynsmannens ståndpunktsdokument om dataskyddsombudens roll i EU:s institutioner och organ.

Härigenom föreskrivs följande.

Artikel 1 Utnämning av dataskyddsombud

1. Europeiska ombudsmannen ska bland de anställda utse ett dataskyddsombud (nedan kallat dataskyddsombudet) på grundval av personlig profil och yrkesmässiga kvalifikationer. Framför allt ska expertkunskaper inom dataskyddslagstiftning och -praxis samt förmåga att fullgöra arbetsuppgifterna i fråga bedömas vid valet av kandidater. Ett biträdande dataskyddsombud kan utses i samråd med dataskyddsombudet^[1]. Dataskyddsombudet kan även bistås av assisterande personal.

2. Mandatperioden för dataskyddsombudet ska vara fem år och mandatet ska kunna förnyas.

3. Dataskyddsombudets kontaktuppgifter ska meddelas Europeiska datatillsynsmannen och offentliggöras på Europeiska ombudsmannens webbplats.

4. Om dataskyddsombudet inte längre uppfyller de villkor som krävs för att han eller hon ska kunna fullgöra sitt uppdrag måste Europeiska ombudsmannen ha Europeiska datatillsynsmannens samtycke för att få avsätta honom eller henne. Europeiska ombudsmannen ska på förslag av generalsekreteraren fastställa att dataskyddsombudet inte längre uppfyller dessa villkor. I enlighet med artikel 44.8 i förordningen ska Europeiska datatillsynsmannen tillfrågas skriftligen om samtycke till en sådan uppsägning. En kopia av samtyckesförklaringen ska sändas till dataskyddsombudet.

Artikel 2 Dataskyddsombudet status

1. Dataskyddsombudet rapporterar till Europeiska ombudsmannens generalsekreterare.

2. Dataskyddsombudet ska utan att det påverkar tillämpningen av punkt 1 agera självständigt. Dataskyddsombudet får inte ta emot instruktioner om utförandet av sina arbetsuppgifter och inte heller avskedas eller bestraffas för att han eller hon utför dessa uppgifter.

3. Europeiska ombudsmannen ska se till att

a) dataskyddsombudet på ett korrekt sätt och i rimlig tid deltar i alla ärenden som rör dataskydd,

b) dataskyddsombudet har den tid och de resurser som krävs för att han eller hon ska kunna utföra sina arbetsuppgifter och upprätthålla sin sakkunskap,

c) det inte förekommer några intressekonflikter mellan dataskyddsombudets arbetsuppgifter och skyldigheter å ena sidan och andra officiella uppgifter som han eller hon kan behöva utföra å andra sidan.

4. I enlighet med unionslagstiftningen ska dataskyddsombudet och dess eventuella personal vara bundna av sekretess eller tystnadsplikt vid utförandet av dataskyddsombudets arbetsuppgifter.

Artikel 3 Dataskyddsombudets arbetsuppgifter, skyldigheter och befogenheter

1. Dataskyddsombudet ska informera och ge råd till Europeiska ombudsmannen om organets skyldigheter enligt förordningen och unionens övriga dataskyddsbestämmelser.

2. Dataskyddsombudet ska på ett oberoende sätt säkerställa att förordningen tillämpas internt och övervaka att den efterlevs. Han eller hon ska även övervaka efterlevnaden av annan tillämplig unionsrätt som innehåller dataskyddsbestämmelser, liksom Europeiska ombudsmannens policyer för personuppgiftsskydd, däribland ansvarstilldelning, kunskapsspridning och utbildning av personal som deltar i uppgiftsbehandling, samt tillhörande granskningar.

3. Dataskyddsombudet ska säkerställa att registrerade informeras om sina rättigheter och skyldigheter enligt förordningen.

4. Dataskyddsombudet ska på begäran ge råd om huruvida det finns anledning att

a) göra en anmälan till Europeiska datatillsynsmannen och/eller meddela den registrerade om en personuppgiftsincident,

b) göra en konsekvensbedömning avseende dataskydd och övervaka resultatet av denna bedömning (om inte dataskyddsombudet med säkerhet kan fastställa behovet av en konsekvensbedömning avseende dataskydd ska hon eller han samråda med Europeiska datatillsynsmannen om detta),

c) förhandssamråda med Europeiska datatillsynsmannen (och vid tveksamhet fråga Europeiska datatillsynsmannen om huruvida det krävs ett förhandssamråd eller inte).

5. Dataskyddsombudet ska svara på Europeiska datatillsynsmannens frågor samt inom ramen för sin behörighet samarbeta och samråda med Europeiska datatillsynsmannen på dennes begäran eller på eget initiativ.

6. Dataskyddsombudet ska säkerställa att de registrerades rättigheter och friheter inte påverkas negativt av den uppgiftsbehandling som Europeiska ombudsmannen är registeransvarig för.

7. Dataskyddsombudet ska föra ett centralt register över de behandlingsförfaranden och personuppgiftsincidenter som förekommer inom Europeiska ombudsmannens verksamhet. Dataskyddsombudet ska se till att registret över behandlingsförfaranden är tillgängligt för allmänheten, även på elektronisk väg. På begäran ska registret över Europeiska ombudsmannens uppgiftsbehandling ställas till Europeiska datatillsynsmannens förfogande.

8. Europeiska ombudsmannen, personalkommittén eller enskilda personer ska utan att behöva gå via officiella kanaler kunna rådfråga dataskyddsombudet i alla frågor som rör tolkningen eller tillämpningen av förordningen i fråga om den uppgiftsbehandling som Europeiska ombudsmannen är registeransvarig för. Dataskyddsombudet ska i den mån det är möjligt tillhandahålla information som är begriplig utan expertkunskaper.

9. Dataskyddsombudet får lämna rekommendationer till Europeiska ombudsmannen om hur uppgiftsskyddet ska förbättras i praktiken och ge råd i frågor som rör tillämpningen av uppgiftsskyddsbestämmelserna på den uppgiftsbehandling som Europeiska ombudsmannen är registeransvarig för.

10. På eget initiativ eller på begäran av Europeiska ombudsmannen, generalsekreteraren, personalkommittén eller enskilda personer får dataskyddsombudet utreda sådana ärenden och händelser som har ett direkt samband med hans eller hennes ansvarsområde och som kommer till hans eller hennes kännedom, samt rapportera utredningens resultat till den som beställde utredningen eller till Europeiska ombudsmannen. I denna typ av utredningar ska hänsyn tas till rättviseprincipen och rätten för berörda personer att uttrycka sina åsikter om fakta som rör dem.

11. De registrerade får kontakta dataskyddsombudet i alla typer av ärenden som rör Europeiska ombudsmannens behandling av deras personuppgifter, och för att utöva sina rättigheter.

12. Ingen ska lida förfång för att ha uppmärksammat dataskyddsombudet på en påstådd överträdelse av bestämmelserna i förordningen.

13. I sitt arbete ska dataskyddsombudet alltid ha tillgång till de uppgifter som behandlas och ges tillträde till alla kontor, installationer för uppgiftsbehandling och databärare.

14. När dataskyddsombudet fullgör sina uppgifter i samband med behandling som utförs av en annan unionsinstitution eller ett annat unionsorgan på Europeiska ombudsmannens vägnar, får dataskyddsombudet samarbeta med den berörda institutionens eller det berörda organets dataskyddsombud.

Artikel 4 Ikraftträdande

Detta beslut ska träda i kraft det datum då det antas.

Utfärdat i Strasbourg den 9 oktober 2019.

Emily O’Reilly

[1] Om ett biträdande dataskyddsombud utses i enlighet med detta förfarande ska begreppet ”dataskyddsombud” syfta både på dataskyddsombudet och det biträdande dataskyddsombudet.