Zasady dotyczące ochrony danych.

Decyzja Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa

z dnia 8 grudnia 2011 r.

w sprawie zasad dotyczących ochrony danych

(2012/C 308/07)

(Dz.U.UE C z dnia 12 października 2012 r.)

WYSOKI PRZEDSTAWICIEL,

uwzględniając decyzję Rady z dnia 26 lipca 2010 r. określającą organizację i zasady funkcjonowania Europejskiej Służby Działań Zewnętrznych (2010/427/UE), ("decyzja Rady w sprawie ESDZ"), w szczególności jej art. 11 ust. 3,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

SEKCJA  1

PRZEPISY OGÓLNE

Artykuł  1

Przedmiot i zakres regulacji

Niniejsza decyzja określa przepisy wykonawcze do rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady ("rozporządzenie") w odniesieniu do Europejskiej Służby Działań Zewnętrznych ("ESDZ") zgodnie z jego art. 24 ust. 8.

Artykuł  2

Definicje

Do celów niniejszej decyzji i bez uszczerbku dla definicji zawartych w rozporządzeniu:

a)
"administrator danych" oznacza Europejską Służbę Działań Zewnętrznych, jej dyrektorów zarządzających, dyrektorów lub szefów służb o równorzędnej wielkości lub funkcji, jak również szefów delegatur Unii, którzy, samodzielnie lub łącznie z innymi podmiotami, określają cele i sposoby przetwarzania danych osobowych;
b)
"koordynator ds. ochrony danych" oznacza członka personelu Europejskiej Służby Działań Zewnętrznych kategorii AD wyznaczonego do wspomagania i koordynacji spraw dotyczących ochrony danych na poziomie dyrekcji lub służb o równorzędnej wielkości lub funkcji, jak również w delegaturach Unii, o ile zachodzi taka konieczność;
c)
"przetwarzający" oznacza członka personelu Europejskiej Służby Działań Zewnętrznych lub podmioty, którym na podstawie zlecenia administrator danych powierzył przetwarzanie danych;
d)
"personel ESDZ" oznacza, zgodnie z art. 6 decyzji Rady w sprawie ESDZ, urzędników i innych pracowników Unii Europejskiej pracujących dla ESDZ, w tym pracowników korpusów dyplomatycznych państw członkowskich powołanych na czas określony i wyspecjalizowanych oddelegowanych ekspertów narodowych.

SEKCJA  2

INSPEKTOR OCHRONY DANYCH

Artykuł  3

Powoływanie i status inspektora ochrony danych

1.
Dyrektor ds. operacyjnych ("DSO") wybiera i powołuje inspektora ochrony danych zgodnie z art. 24 ust. 2 rozporządzenia i zgłasza go Europejskiemu Inspektorowi Ochrony Danych ("EIOD"). Inspektor ochrony danych podlega bezpośrednio dyrektorowi ds. operacyjnych.
2.
Kadencja inspektora ochrony danych trwa pięć lat i jest odnawialna jednokrotnie.
3.
W wykonywaniu swoich obowiązków inspektor ochrony danych jest niezależny i działa we współpracy z Europejskim Inspektorem Ochrony Danych. W szczególności inspektor ochrony danych nie przyjmuje żadnych instrukcji od organu powołującego Europejskiej Służby Działań Zewnętrznych lub żadnego innego podmiotu w sprawie wewnętrznego stosowania przepisów rozporządzenia lub niniejszej decyzji lub swojej współpracy z Europejskim Inspektorem Ochrony Danych. Inspektor ochrony danych uczęszcza regularnie na szkolenia dotyczące ochrony danych, a dyrektor ds. operacyjnych podejmuje niezbędne środki w tym celu.
4.
Dyrektor ds. operacyjnych ocenia corocznie wykonywanie zadań i obowiązków przez inspektora ochrony danych, zwłaszcza na podstawie rocznego sprawozdania inspektora ochrony danych, po konsultacji z Europejskim Inspektorem Ochrony Danych w stosownych przypadkach. Inspektor ochrony danych może być zwolniony ze stanowiska wyłącznie za zgodą Europejskiego Inspektora Ochrony Danych, jeżeli przestał spełniać warunki konieczne dla wykonywania swoich obowiązków.
5.
Bez uszczerbku dla procedury przewidzianej dla jego powołania, inspektor ochrony danych jest informowany o wszelkich kontaktach ze stronami trzecimi, dotyczącymi stosowania rozporządzenia i niniejszej decyzji, zwłaszcza w odniesieniu do kontaktów z Europejskim Inspektorem Ochrony Danych.
6.
Bez uszczerbku dla odpowiednich postanowień rozporządzenia, inspektor ochrony danych i jego personel podlegają przepisom i zasadom stosowanym wobec urzędników i innych pracowników Unii Europejskiej.
Artykuł  4

Obowiązki

Inspektor ochrony danych:

a)
zapewnia, by administratorzy, koordynatorzy ds. ochrony danych i osoby, których dane dotyczą, byli informowani o swoich prawach i obowiązkach zgodnie z rozporządzeniem i niniejszą decyzją oraz by w wyniku operacji przetwarzania danych nie zostały naruszone prawa i wolności osób, których dane dotyczą. Wykonując swoje obowiązki, w szczególności ustala on formularze do przekazywania informacji i powiadamiania, prowadzi konsultacje z zainteresowanymi stronami i przyczynia się do wzrostu ogólnej świadomości dotyczącej kwestii ochrony danych;
b)
odpowiada na wnioski Europejskiego Inspektora Ochrony Danych oraz, w zakresie swoich kompetencji, współpracuje z Europejskim Inspektorem Ochrony Danych na jego wniosek lub z własnej inicjatywy;
c)
zapewnia w sposób niezależny wewnętrzne stosowanie przepisów rozporządzenia i niniejszej decyzji w Europejskiej Służbie Działań Zewnętrznych;
d)
prowadzi rejestr wszystkich operacji przetwarzania przeprowadzonych przez Europejską Służbę Działań Zewnętrznych i udziela prawa dostępu do niego każdej osobie bezpośrednio lub za pośrednictwem Europejskiego Inspektora Ochrony Danych, zgodnie z art. 14 i 15; rejestr ten może być również prowadzony w formacie elektronicznym;
e)
powiadamia Europejskiego Inspektora Ochrony Danych o operacjach przetwarzania, które stanowią szczególne rodzaje ryzyka, o których mowa w art. 27 ust. 2 rozporządzenia.
Artykuł  5

Zadania

1.
Oprócz obowiązków do wypełnienia określonych w art. 4, inspektor ochrony danych:
a)
działa jako doradca organu powołującego Europejskiej Służby Działań Zewnętrznych oraz administratorów danych w sprawach dotyczących stosowania przepisów rozporządzenia i niniejszej decyzji; inspektor ochrony danych może być konsultowany przez organ powołujący, zainteresowanych administratorów danych i przetwarzających, Komitet Pracowniczy i przez poszczególnych członków personelu Europejskiej Służby Działań Zewnętrznych, drogą nieoficjalną, w każdej sprawie dotyczącej wykładni lub stosowania przepisów rozporządzenia i niniejszej decyzji;
b)
przeprowadza dochodzenie z własnej inicjatywy lub z inicjatywy organu powołującego, administratorów danych, przetwarzających, Komitetu Pracowniczego lub poszczególnych członków personelu Europejskiej Służby Działań Zewnętrznych w zakresie spraw i wydarzeń bezpośrednio dotyczących jego zadań i takich, o których został powiadomiony, oraz zdaje sprawozdanie organowi powołującemu lub osobie, która zleciła takie dochodzenie. O ile jest to stosowne, wszystkie zainteresowane strony zostają odpowiednio poinformowane. Jeżeli wnoszący zażalenie jest osobą fizyczną lub działa w imieniu osoby fizycznej, inspektor ochrony danych musi, w możliwym zakresie, zapewnić poufność wniosku, chyba że zainteresowana osoba, której dane dotyczą, udzieli mu wyraźnej zgody na inny sposób rozpatrzenia tego wniosku;
c)
w wykonywaniu swoich obowiązków współpracuje z inspektorami ochrony danych innych instytucji, organów, urzędów i agencji Unii Europejskiej, w szczególności w zakresie wymiany doświadczeń i najlepszych praktyk;
d)
reprezentuje Wysokiego Przedstawiciela lub Europejską Służbę Działań Zewnętrznych w stosownych przypadkach w sprawie wszystkich kwestii związanych z ochroną danych na szczeblu międzynarodowym, bez uszczerbku dla postanowień Traktatów, w tym zwłaszcza art. 218 Traktatu o funkcjonowaniu Unii Europejskiej;
e)
składa roczne sprawozdanie ze swojej działalności Wysokiemu Przedstawicielowi i udostępnia je personelowi Europejskiej Służby Działań Zewnętrznych.
2.
Bez uszczerbku dla art. 4 lit. b), art. 5 ust. 1 lit. b) i c) oraz art. 15, inspektor ochrony danych i jego personel nie ujawniają informacji ani dokumentów, które uzyskują w ramach swoich obowiązków i zadań.
Artykuł  6

Uprawnienia

Podczas wykonywania swoich obowiązków i zadań inspektor ochrony danych:

a)
ma stały dostęp do danych będących przedmiotem operacji przetwarzania i do wszystkich biur, urządzeń przetwarzających dane i nośników danych;
b)
może wnioskować o przygotowanie opinii prawnych przez Dział Prawny Europejskiej Służby Działań Zewnętrznych;
c)
może korzystać z usług zewnętrznych ekspertów ds. technologii informacyjnej po udzieleniu uprzedniej zgody przez urzędnika zatwierdzającego zgodnie z rozporządzeniem finansowym (rozporządzenie (WE, Euratom) nr 1605/2002) i jego przepisami wykonawczymi;
d)
może, bez uszczerbku dla obowiązków i uprawnień Europejskiego Inspektora Ochrony Danych, przedkładać propozycje dotyczące środków administracyjnych i wydawać ogólne zalecenia w sprawie właściwego stosowania rozporządzenia i niniejszej decyzji;
e)
może przedkładać, w szczególnych przypadkach, inne zalecenia dotyczące praktycznego usprawnienia ochrony danych wyższym szczeblom zarządzania Europejskiej Służby Działań Zewnętrznych lub innym zainteresowanym stronom;
f)
może zwrócić uwagę organu powołującego Europejskiej Służby Działań Zewnętrznych na nieprzestrzeganie przez członka personelu obowiązków ustanowionych na mocy rozporządzenia i niniejszej decyzji i zasugerować wszczęcie dochodzenia administracyjnego, mając na uwadze ewentualne zastosowanie art. 49 rozporządzenia.
Artykuł  7

Zasoby

Inspektor ochrony danych ma zapewniony odpowiedni personel i środki niezbędne do wykonywania swoich obowiązków i zadań.

SEKCJA  3

PRAWA I OBOWIĄZKI PODMIOTÓW W ZAKRESIE OCHRONY DANYCH

Artykuł  8

Organ powołujący

1.
W przypadku zażalenia w rozumieniu art. 90 regulaminu pracowniczego, dotyczącego naruszenia rozporządzenia lub niniejszej decyzji, organ powołujący przeprowadza konsultacje z inspektorem ochrony danych, który przedkłada swoją opinię w formie pisemnej nie później niż w terminie piętnastu dni od otrzymania takiego wniosku. Jeżeli po upływie tego terminu inspektor ochrony danych nie przedstawił swojej opinii organowi powołującemu, nie jest ona już wymagana. Opinia inspektora ochrony danych nie jest wiążąca dla organu powołującego.
2.
Inspektor ochrony danych jest informowany o wszelkich rozpatrywanych sprawach mających lub mogących mieć związek z ochroną danych.
Artykuł  9

Administratorzy danych

1.
Administratorzy danych są odpowiedzialni za dopilnowanie, by wszystkie operacje przetwarzania będące w ich gestii były zgodne z rozporządzeniem i przepisami niniejszej decyzji. Mogą oni, o ile zachodzi taka konieczność, powierzyć zadania przetwarzania danych członkom personelu Europejskiej Służby Działań Zewnętrznych, wykonujących pracę pod ich kierownictwem lub podmiotom na podstawie zlecenia, zgodnie z art. 23 rozporządzenia.
2.
W szczególności administratorzy danych zobowiązani są do:
a)
uprzedniego powiadomienia inspektora ochrony danych o każdej operacji przetwarzania lub zestawie takich operacji przeznaczonych do jednego lub kilku powiązanych ze sobą celów, jak również o każdej istotnej zmianie w istniejącej operacji przetwarzania danych;
b)
pomagają inspektorowi ochrony danych i Europejskiemu Inspektorowi Ochrony Danych w wykonywaniu ich obowiązków, zwłaszcza poprzez udzielanie informacji na ich wnioski najpóźniej w terminie trzydziestu dni;
c)
współpracują z koordynatorami ds. ochrony danych, by ustalić wykaz istniejących operacji przetwarzania danych osobowych;
d)
wdrażają stosowne środki techniczne i organizacyjne oraz udzielają odpowiednich instrukcji przetwarzającym w celu zapewnienia zarówno poufności przetwarzania, jak i poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi to przetwarzanie;
e)
w stosownych przypadkach, przeprowadzają konsultacje z inspektorem ochrony danych w sprawie zgodności operacji przetwarzania danych z rozporządzeniem i niniejsza decyzją, a zwłaszcza wówczas, gdy mają uzasadnione powody, by uznać, że pewne operacje przetwarzania są niezgodne z art. 4-10 rozporządzenia. Mogą również skonsultować się z inspektorem ochrony danych lub wewnętrznymi ekspertami z zakresu bezpieczeństwa technologii informacyjnych w sprawie kwestii związanych z poufnością operacji przetwarzania i środków bezpieczeństwa podjętych na podstawie art. 22 rozporządzenia.
Artykuł  10

Koordynatorzy

1.
Każdy dyrektor zarządzający lub dyrektor lub szef służby o równorzędnej wielkości lub funkcji, jak również szef delegatury Unii, o ile zachodzi taka konieczność, wyznacza koordynatora ds. ochrony danych wykonującego zadania pod jego kierownictwem.

Bez uszczerbku dla obowiązków inspektora ochrony danych każdy koordynator:

a)
pomaga w prowadzeniu wykazu wszystkich istniejących operacji przetwarzania danych i współpracuje z inspektorem ochrony danych w celu ustalenia i aktualizowania wykazu istniejących operacji przetwarzania danych osobowych;
b)
pomaga w określaniu odpowiednich administratorów danych i przetwarzających;
c)
ma prawo do otrzymywania od administratorów danych, przetwarzających i od personelu Europejskiej Służby Działań Zewnętrznych odpowiednich i niezbędnych informacji potrzebnych do wykonywania swoich zadań administracyjnych. Nie obejmuje to prawa dostępu do danych osobowych przetwarzanych pod kierownictwem administratora danych.
d)
zatwierdza powiadomienia danego podmiotu dla inspektora ochrony danych w sprawie rodzajów lub kategorii operacji przetwarzania danych.
2.
Bez uszczerbku dla obowiązków kontrolera koordynator:
a)
wspomaga administratorów danych w wypełnianiu ich obowiązków;
b)
w stosownych przypadkach usprawnia komunikację pomiędzy inspektorem ochrony danych i administratorami danych.
Artykuł  11

Personel Europejskiej Służby Działań Zewnętrznych

1.
Cały personel Europejskiej Służby Działań Zewnętrznych przyczynia się do stosowania zasad poufności i bezpieczeństwa w trakcie przetwarzania danych osobowych, zgodnie z art. 21 i 22 rozporządzenia. Żaden członek personelu Europejskiej Służby Działań Zewnętrznych, który ma dostęp do danych osobowych, nie przetwarza ich bez instrukcji administratora danych, chyba że wymaga tego prawo krajowe lub prawo Unii.
2.
Każdy członek personelu Europejskiej Służby Działań Zewnętrznych może złożyć zażalenie do Europejskiego Inspektora Ochrony Danych dotyczące domniemanego naruszenia przepisów rozporządzenia normujących przetwarzanie danych osobowych, drogą nieoficjalną, zgodnie z zasadami określonymi przez Europejskiego Inspektora Ochrony Danych.
Artykuł  12

Osoby, których dane dotyczą

1.
W nawiązaniu do praw przysługujących osobom, których dane dotyczą, do odpowiedniego poinformowania o przetwarzaniu danych osobowych ich dotyczących, zgodnie z art. 11 i 12 rozporządzenia, osoby, których dane dotyczą, mogą zwrócić się do właściwego administratora danych w celu wykonania swoich praw zgodnie z art. 13-19 rozporządzenia, co zostało określone w sekcji 5 niniejszej decyzji.
2.
Bez uszczerbku dla wszelkich środków zaskarżenia, każda osoba, której dane dotyczą, może wnieść zażalenie do Europejskiego Inspektora Ochrony Danych, jeżeli uważa, że jego prawa wynikające z rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych przez administratorów danych, zgodnie z zasadami określonymi przez Europejskiego Inspektora Ochrony Danych.
3.
Żadna osoba, której dane dotyczą, nie ponosi uszczerbku z tytułu zażalenia złożonego do Europejskiego Inspektora Ochrony Danych lub sprawy, na którą zwrócono uwagę inspektora ochrony danych, dotyczących domniemanego naruszenia przepisów rozporządzenia.

SEKCJA  4

REJESTR ZGŁOSZONYCH OPERACJI PRZETWARZANIA

Artykuł  13

Procedura powiadamiania

1.
Administratorzy danych powiadamiają inspektora ochrony danych o każdej operacji przetwarzania danych osobowych za pomocą formularza powiadomienia dostępnego na stronie intranetowej Europejskiej Służby Działań Zewnętrznych i delegatur Unii (w zakładce "Ochrona danych"). Powiadomienie przekazywane jest do inspektora ochrony danych w formie elektronicznej. Powiadomienie potwierdzające zostaje wysłane do inspektora ochrony danych w formie pisemnej noty w terminie 10 dni roboczych. Po otrzymaniu powiadomienia potwierdzającego inspektor ochrony danych zamieszcza je w rejestrze.
2.
Powiadomienie zawiera wszystkie informacje określone w art. 25 ust. 2 rozporządzenia. Inspektor ochrony danych jest bezzwłocznie powiadamiany o każdej zmianie mającej wpływ na te informacje.
3.
Dalsze zasady i procedury dotyczące procedury powiadamiania, które mają być przestrzegane przez administratorów danych, wchodzą w skład ogólnych zaleceń wydawanych przez inspektora ochrony danych.
Artykuł  14

Zawartość i cel rejestru

1.
Inspektor ochrony danych prowadzi rejestr operacji przetwarzania danych osobowych, który powstaje na podstawie powiadomień otrzymanych od administratorów danych.
2.
Rejestr zawiera co najmniej informacje określone w art. 25 ust. 2 lit. a)-g) rozporządzenia. W wyjątkowych przypadkach informacje wprowadzane do rejestru przez inspektora ochrony danych mogą być jednak ograniczone, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa konkretnej operacji przetwarzania.
3.
Rejestr stanowi wykaz operacji przetwarzania danych osobowych przeprowadzanych przez Europejską Służbę Działań Zewnętrznych. Jest dostępny dla osób, których dane dotyczą, w celu ułatwienia wykonywania przez nie praw określonych w art. 13-19 rozporządzenia i niniejszej decyzji.
Artykuł  15

Dostęp do rejestru

1.
Inspektor ochrony danych podejmuje stosowne środki w celu dopilnowania, by każda osoba, której dane dotyczą, miała dostęp do rejestru, bezpośrednio lub za pośrednictwem Europejskiego Inspektora Ochrony Danych. W szczególności inspektor ochrony danych udziela informacji i pomocy osobom, których dane dotyczą, w sprawie sposobu i miejsca składania wniosków o udzielenie dostępu do rejestru.
2.
Z wyjątkiem przypadków udzielania dostępu w trybie online, wnioski o dostęp do rejestru mogą być złożone w dowolnej formie pisemnej, w tym elektronicznej, w jednym z języków określonych w art. 342 Traktatu o funkcjonowaniu Unii Europejskiej i w odpowiednio precyzyjnej formie, by umożliwić inspektorowi ochrony danych zidentyfikowanie odpowiednich operacji przetwarzania. Do wnioskodawcy przesyłane jest bezzwłocznie potwierdzenie otrzymania wniosku.
3.
Jeżeli wniosek nie jest wystarczająco precyzyjny, inspektor ochrony danych zwraca się do wnioskodawcy o doprecyzowanie wniosku i udziela mu w tym zakresie pomocy. W przypadku gdy wniosek dotyczy bardzo dużej liczby operacji przetwarzania, inspektor ochrony danych może przedyskutować sprawę z wnioskodawcą nieformalnie w celu wypracowania optymalnego rozwiązania.
4.
Każda osoba, której dane dotyczą, może zwrócić się do inspektora ochrony danych z prośbą o wydanie kopii informacji znajdujących się w rejestrze na temat wszelkich operacji przetwarzania, o których powiadomiono.

SEKCJA  5

PROCEDURA WYKONYWANIA PRAW PRZEZ OSOBY, KTÓRYCH DANE DOTYCZĄ

Artykuł  16

Przepisy ogólne

1.
Prawa osób, których dane dotyczą, określone w niniejszej sekcji mogą być wykonywane wyłącznie przez zainteresowane osoby fizyczne albo, w wyjątkowych przypadkach, w ich imieniu na podstawie odpowiedniego upoważnienia. Wnioski kierowane są do właściwego administratora danych w formie pisemnej z kopią do inspektora ochrony danych. Inspektor ochrony danych pomaga osobie, której dane dotyczą, w ustaleniu właściwego administratora danych, o ile zajdzie taka konieczność. Inspektor ochrony danych udostępnia odpowiednie formularze. Administratorzy danych rozpatrują wniosek wyłącznie w przypadku, gdy formularz zawiera kompletne informacje i dane wnioskodawcy zostały odpowiednio zweryfikowane. Osoby, których dane dotyczą, wykonują swoje prawa bezpłatnie.
2.
Właściwy administrator danych wysyła wnioskodawcy potwierdzenie otrzymania wniosku w terminie pięciu dni roboczych od zarejestrowania wniosku. O ile nie ustalono inaczej, administrator danych odpowiada na wniosek nie później niż w terminie piętnastu dni roboczych od zarejestrowania wniosku i pozytywnie rozpatruje wniosek albo podaje w formie pisemnej przyczyny całkowitego lub częściowego odrzucenia wniosku, zwłaszcza gdy wnioskodawca nie jest uznawany za osobę, której dane dotyczą.
3.
W przypadkach nieprawidłowości lub oczywistego nadużycia przez osobę, której dane dotyczą, jej praw oraz gdy osoba, której dane dotyczą, domniemywa, że przetwarzanie jest bezprawne, administrator danych musi przeprowadzić konsultacje z inspektorem ochrony danych w sprawie wniosku lub skierować osobę, której dane dotyczą, do inspektora ochrony danych, który podejmie decyzję w sprawie zasadności wniosku i dalszego właściwego postępowania.
4.
Każda osoba, której dane dotyczą, może w szczególnym przypadku skonsultować się z inspektorem ochrony danych w sprawie wykonywania swoich praw. Bez uszczerbku dla wszelkich środków zaskarżenia, każda osoba, której dane dotyczą, może złożyć zażalenie do Europejskiego Inspektora Ochrony Danych, jeżeli uważa, że jej prawa określone w rozporządzeniu zostały naruszone w wyniku przetwarzania jej danych osobowych.
Artykuł  17

Prawo dostępu

Osoba, której dane dotyczą, ma prawo uzyskania od administratorów danych, bez ograniczeń, w dowolnym momencie w terminie trzech miesięcy od otrzymania wniosku, informacji, o których mowa w art. 13 lit. a)-d) rozporządzenia, albo przez dostęp do danych na miejscu lub uzyskanie kopii, włącznie z kopią w formie elektronicznej, w stosownych przypadkach, zgodnie z wyborem wnioskodawcy.

Artykuł  18

Prawo do poprawienia danych

Każdy wniosek osoby, której dane dotyczą, w sprawie poprawienia nieprawidłowych lub niekompletnych danych osobowych musi precyzyjnie określić, o jakie dane chodzi, jak również wskazać poprawkę, której należy dokonać. Administrator danych bezzwłocznie rozpatruje taki wniosek.

Artykuł  19

Prawo do blokowania danych

Właściwy administrator danych bezzwłocznie rozpatruje wniosek o zablokowanie danych zgodnie z art. 15 rozporządzenia. We wniosku należy podać odpowiednie dane, jak również powody ich blokowania. Administrator danych informuje osobę, której dane dotyczą, a która wniosła wniosek, zanim dane zostaną odblokowane.

Artykuł  20

Prawo do usunięcia danych

Osoba, której dane dotyczą, może się zwrócić do administratorów danych z wnioskiem o bezzwłoczne usunięcie danych w przypadku bezprawnego przetwarzania, w szczególności w przypadkach naruszenia przepisów art. 4-10 rozporządzenia. We wniosku należy podać odpowiednie dane oraz powody lub dowody bezprawnego przetwarzania. W zautomatyzowanych systemach przechowywania danych usuwanie jest co do zasady zapewnione za pomocą wszystkich odpowiednich środków technicznych, bez możliwości dalszego przetwarzania danych, które zostały usunięte. Jeżeli usunięcie nie jest możliwe z przyczyn technicznych, dany administrator danych po konsultacji z inspektorem ochrony danych i z zainteresowaną osobą przystępuje bezzwłocznie do zablokowania takich danych.

Artykuł  21

Powiadomienie stron trzecich

W przypadku poprawienia danych, ich zablokowania lub usunięcia w następstwie wniosku złożonego przez osobę, której dane dotyczą, osoba ta może uzyskać od administratora danych powiadomienie skierowane do stron trzecich, którym udostępnione zostały dane osobowe tej osoby, chyba że okaże się to niemożliwe lub wymaga nieproporcjonalnego wysiłku.

Artykuł  22

Prawo sprzeciwu

Zgodnie z art. 18 rozporządzenia osoba, której dane dotyczą, ma prawo sprzeciwić się przetwarzaniu danych jej dotyczących i udostępnianiu lub wykorzystaniu jej danych osobowych. We wniosku należy podać odpowiednie dane oraz przedstawić jego uzasadnienie. Jeżeli sprzeciw jest uzasadniony, przetwarzanie, o którym mowa, nie może obejmować tych danych.

Artykuł  23

Zautomatyzowane decyzje indywidualne

Osoba, której dane dotyczą, ma prawo nie podlegać zautomatyzowanym decyzjom indywidualnym w rozumieniu art. 19 rozporządzenia, o ile decyzja nie jest wyraźnie uprawniona zgodnie z prawodawstwem krajowym lub unijnym lub przez Europejskiego Inspektora Ochrony Danych w drodze decyzji chroniącej uzasadnione prawnie interesy osoby, której dane dotyczą. W każdym przypadku osoba, której dane dotyczą, ma możliwość uprzedniego przedstawienia swojego punktu widzenia i skonsultowania się z inspektorem ochrony danych.

Artykuł  24

Wyjątki i ograniczenia

1.
W zakresie, w jakim uzasadnione prawnie powody określone w art. 20 rozporządzenia w sposób wyraźny dopuszczają taką możliwość, administratorzy danych mogą ograniczyć prawa określone w art. 17-21 niniejszej decyzji. Z wyjątkiem przypadków absolutnej konieczności, właściwy administrator danych przeprowadza wpierw konsultacje z inspektorem ochrony danych, którego opinia nie jest wiążąca dla Europejskiej Służby Działań Zewnętrznych. Administrator danych bezzwłocznie odpowiada na wnioski dotyczące stosowania wyjątków lub ograniczeń w zakresie wykonywania praw i uzasadnia tę decyzję.
2.
Każda zainteresowana osoba, której dane dotyczą, może zwrócić się do Europejskiego Inspektora Ochrony Danych o zastosowanie art. 47 ust. 1 lit. c) rozporządzenia.

SEKCJA  6

PROCEDURA DOCHODZENIA

Artykuł  25

Wskazówki praktyczne

1.
Wnioski w sprawie wszczęcia dochodzenia kieruje się do inspektora ochrony danych w formie pisemnej przy użyciu odpowiedniego formularza udostępnianego przez niego. W przypadku oczywistego nadużycia prawa do wnioskowania o wszczęcie dochodzenia, na przykład, gdy ta sama osoba fizyczna złożyła ostatnio identyczny wniosek, inspektor ochrony danych nie jest zobowiązany do udzielenia odpowiedzi wnioskującemu.
2.
W terminie piętnastu dni od otrzymania wniosku inspektor ochrony danych wysyła potwierdzenie otrzymania do organu powołującego lub do osoby, która zleciła dochodzenie, i ustala, czy wniosek należy traktować jako poufny.
3.
Inspektor ochrony danych zwraca się do administratora danych, który odpowiada za odnośną operację przetwarzania danych o wydanie pisemnego oświadczenia w tej kwestii. Administrator danych przedstawia swoją odpowiedź inspektorowi ochrony danych w terminie piętnastu dni. Inspektor ochrony danych może wnioskować o informacje uzupełniające od innych służb Europejskiej Służby Działań Zewnętrznych, takich jak Biuro Bezpieczeństwa i Departament Bezpieczeństwa Informacji (Infosec) Europejskiej Służby Działań Zewnętrznych. W stosownych przypadkach może on zwracać się z prośbą o wydanie opinii w tej kwestii do Działu Prawnego Europejskiej Służby Działań Zewnętrznych. Inspektor ochrony danych otrzymuje informacje lub opinię w terminie trzydziestu dni.
4.
Inspektor ochrony danych odpowiada organowi powołującemu i wnioskującej osobie nie później niż w terminie trzech miesięcy od otrzymania wniosku.

SEKCJA  7

POSTANOWIENIA KOŃCOWE

Artykuł  26

W przypadku jakichkolwiek niezgodności między przepisami niniejszej decyzji i rozporządzenia, pierwszeństwo mają przepisy rozporządzenia.

Artykuł  27

Niniejsza decyzja zostaje udostępniona personelowi Europejskiej Służby Działań Zewnętrznych za pośrednictwem odpowiednich środków, szczególnie poprzez opublikowanie na stronie intranetowej Europejskiej Służby Działań Zewnętrznych i delegatur Unii (w zakładce "Ochrona danych").

Artykuł  28

Wejście w życie

Niniejsza decyzja wchodzi w życie z dniem przyjęcia.

Sporządzono w Brukseli dnia 8 grudnia 2011 r.

Wysoki Przedstawiciel

C. ASHTON

Zmiany w prawie

Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy

Przebywanie na zwolnieniu lekarskim w jednej pracy nie wykluczy już możliwości wykonywania pracy i pobierania za nią wynagrodzenia w innej firmie czy firmach. Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało właśnie projekt ustawy, który ma wprowadzić też m.in. definicję pracy zarobkowej - nie będzie nią podpisanie w czasie choroby firmowych dokumentów i nie spowoduje to utraty świadczeń. Zwolnienie lekarskie będzie mogło przewidywać miejsce pobytu w innym państwie. To rewolucyjne zmiany. Zdaniem prawników, te propozycje mają sens, nawet jeśli znajdą się tacy, którzy będą chcieli nadużywać nowych przepisów.

Beata Dązbłaż 29.10.2024
Metryka aktu
Identyfikator:

Dz.U.UE.C.2012.308.8

Rodzaj: Decyzja
Tytuł: Zasady dotyczące ochrony danych.
Data aktu: 08/12/2011
Data ogłoszenia: 12/10/2012
Data wejścia w życie: 08/12/2011