Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2020.152.13

Decyzja EBC/2020/28 (2020/655) przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym i uchylająca decyzję EBC/2007/1

DECYZJA EUROPEJSKIEGO BANKU CENTRALNEGO (UE) 2020/655
z dnia 5 maja 2020 r.
przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym i uchylająca decyzję EBC/2007/1 (EBC/2020/28)

ZARZĄD EUROPEJSKIEGO BANKU CENTRALNEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając Statut Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego, w szczególności art. 11 ust. 6,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności art. 45 ust. 3,

a także mając na uwadze, co następuje:

(1) W rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 2  ustanowiono ogólne zasady mające na celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych oraz zapewnienie swobodnego przepływu danych osobowych w Unii.

(2) Rozporządzenie (UE) 2018/1725 uchyla rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 45/2001 3  oraz określa zasady ochrony danych mające zastosowanie do wszystkich instytucji, organów, urzędów i agencji Unii.

(3) W celu zapewnienia spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych w Unii należy w jak największym stopniu ujednolicić przepisy o ochronie danych mające zastosowanie do instytucji i organów Unii z przepisami o ochronie danych przyjętymi w odniesieniu do sektora publicznego w państwach członkowskich. W każdym przypadku gdy przepisy rozporządzenia (UE) 2018/1725 opierają się na tych samych zasadach, co przepisy rozporządzenia (UE) 2016/679, te dwa zestawy przepisów należy interpretować jednolicie, w szczególności dlatego, że system wprowadzony przez rozporządzenie (UE) 2018/1725 należy rozumieć jako odpowiednik rozporządzenia (UE) 2016/679.

(4) Art. 43 rozporządzenia (UE) 2018/1725 nakłada na każdą instytucję lub organ Unii obowiązek wyznaczenia inspektora ochrony danych. Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2018/1725 każda instytucja i każdy organ Unii ma obowiązek przyjęcia dalszych przepisów wykonawczych dotyczących inspektora ochrony danych. Takie przepisy wykonawcze muszą w szczególności dotyczyć zadań, obowiązków i uprawnień inspektora ochrony danych.

(5) Ze względu na wymóg efektywności i zgodnie z dotychczasową praktyką inspektor ochrony danych Europejskiego Banku Centralnego (EBC) może zostać upoważniony do zajmowania się kwestiami ochrony danych również w odniesieniu do Europejskiej Rady ds. Ryzyka Systemowego (ERRS), jeżeli Rada Generalna ERRS zdecyduje o wyznaczeniu inspektora ochrony danych EBC jako inspektora ochrony danych ERRS.

(6) W przepisach wykonawczych należy również określić, w jaki sposób osoby, których dane dotyczą, mogą korzystać ze swoich praw oraz w jaki sposób osoby odpowiedzialne za przetwarzanie danych osobowych powinny wypełniać swoje obowiązki w instytucjach i organach Unii.

(7) O ile EBC jest podmiotem prawnym odpowiedzialnym za ochronę osób fizycznych w związku z przetwarzaniem danych osobowych na mocy zarówno rozporządzenia (UE) 2018/1725, jak i niniejszej decyzji, operacje przetwarzania mogą w praktyce być prowadzone przez różne jednostki organizacyjne w EBC.

(8) Rozporządzenie (UE) 2018/1725 określa środki zaskarżenia dotyczące ochrony danych przysługujące osobom, których dane dotyczą, przeciwko instytucjom Unii, w tym prawo do wniesienia skargi do Europejskiego Inspektora Ochrony Danych przewidziane w art. 63 i 68 tego rozporządzenia. W związku z tym po rozpoczęciu stosowania niniejszej decyzji pracownicy EBC, składając skargi dotyczące ochrony danych jako osoby, których dane dotyczą, powinni korzystać ze środków określonych w tym rozporządzeniu, a nie ze środków dostępnych na mocy Warunków zatrudnienia pracowników Europejskiego Banku Centralnego.

(9) EBC zamierza odrębnie uregulować ograniczenia dotyczące poszczególnych zasad, praw i obowiązków w zakresie ochrony danych w określonych, precyzyjnie zdefiniowanych okolicznościach przewidzianych w art. 25 rozporządzenia (UE) 2018/1725, w związku z czym stosowanie niniejszej decyzji powinno rozpocząć się z dniem 1 listopada 2020 r., tak aby odrębne uregulowanie tych ograniczeń było możliwe.

(10) Z uwagi na uchylenie rozporządzenia (WE) nr 45/2001 rozporządzeniem (UE) 2018/1725 należy uchylić decyzję EBC/2007/1 4  i zastąpić ją niniejszą decyzją,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

SEKCJA  1

POSTANOWIENIA OGÓLNE

Artykuł  1

Przedmiot i zakres regulacji

1. 
Niniejsza decyzja ustanawia ogólne zasady wdrażające rozporządzenie (UE) 2018/1725 w odniesieniu do EBC. W szczególności niniejsza decyzja określa zasady powoływania i rolę inspektora ochrony danych w EBC, w tym jego zadania, obowiązki i uprawnienia.
2. 
Niniejsza decyzja określa również role, zadania i obowiązki administratorów i koordynatora ds. ochrony danych oraz wdraża zasady, zgodnie z którymi osoby, których dane dotyczą, mogą korzystać ze swoich praw.
Artykuł  2

Definicje

Użyte w niniejszej decyzji określenia oznaczają:

1)
"administrator" - EBC, a w szczególności jednostkę organizacyjną EBC, która - samodzielnie lub wspólnie z innymi jednostkami - określa cele i sposoby przetwarzania danych osobowych;
2)
"koordynator ds. ochrony danych" - pracownika EBC, który pomaga administratorowi i inspektorowi ochrony danych w wypełnianiu ich zadań i obowiązków wynikających z rozporządzenia (UE) 2018/1725 i niniejszej decyzji;
3)
"osoba, której dane dotyczą" - zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
4)
"przetwarzanie" - przetwarzanie w rozumieniu art. 3 pkt 3 rozporządzenia (UE) 2018/1725;
5)
"instytucje i organy Unii" - instytucje i organy Unii w rozumieniu art. 3 pkt 10 rozporządzenia (UE) 2018/1725;
6)
"podmiot przetwarzający" - podmiot przetwarzający w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725;
7)
"dane osobowe" - dane osobowe w rozumieniu art. 3 pkt 1 rozporządzenia (UE) 2018/1725;
8)
"zgoda" - zgodę w rozumieniu art. 3 pkt 15 rozporządzenia (UE) 2018/1725.

SEKCJA  2

INSPEKTOR OCHRONY DANYCH

Artykuł  3

Powołanie, status i kwestie organizacyjne

1. 
Zarząd:
a)
powołuje inspektora ochrony danych na podstawie kwalifikacji osobistych i zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyki w dziedzinie ochrony danych, a także na podstawie zdolności do wypełniania zadań, o których mowa w art. 45 rozporządzenia (UE) 2018/1725 i w niniejszej decyzji;
b)
przypisuje do stanowiska inspektora ochrony danych umowę na czas określony, na okres od trzech do pięciu lat, której nie można przekształcić na umowę na czas nieokreślony i która może być przedłużana do momentu osiągnięcia ogólnego limitu dziesięciu lat, zgodnie z Warunkami zatrudnienia pracowników Europejskiego Banku Centralnego; oraz
c)
dokonuje rejestracji inspektora ochrony danych EBC u Europejskiego Inspektora Ochrony Danych, zgodnie z art. 44 ust. 9 rozporządzenia (UE) 2018/1725.
2. 
Zarząd zapewnia, aby inspektor ochrony danych był w stanie wykonywać zadania i obowiązki, o których mowa w art. 45 rozporządzenia (UE) 2018/1725, bez otrzymywania instrukcji co do tego, w jaki sposób te zadania powinny być wykonywane. Bez uszczerbku dla tak określonej niezależności:
a)
inspektor ochrony danych podlega Warunkom zatrudnienia pracowników Europejskiego Banku Centralnego;
b)
do celów administracyjnych oraz do celów stosowania ram zatrudnienia EBC inspektor ochrony danych zostaje przydzielony do Dyrekcji Generalnej Służb Prawnych EBC;
c)
przełożony dokonujący oceny wykonywania przez inspektora ochrony danych jego zadań i obowiązków przed przeprowadzeniem tej oceny zasięga opinii Europejskiego Inspektora Ochrony Danych oraz może zwracać się o przedstawienie stanowiska do innych zainteresowanych podmiotów w ramach EBC. Inspektor ochrony danych nie ponosi negatywnych konsekwencji działań stanowiących należyte wykonywanie jego zadań i obowiązków;
d)
inspektor ochrony danych podlega odwołaniu przez Zarząd, jeżeli przestał spełniać warunki wymagane do wykonywania jego obowiązków a jego odwołanie zostało uprzednio zatwierdzone przez Europejskiego Inspektora Ochrony Danych zgodnie z art. 44 ust. 8 rozporządzenia (UE) 2018/1725.
3. 
Zarząd może powołać zastępcę inspektora ochrony danych, do którego stosuje się ust. 1 i 2. Zastępca inspektora ochrony danych wspomaga inspektora w wykonywaniu przez niego zadań i obowiązków oraz zastępuje go w razie nieobecności.
4. 
Każdy pracownik EBC, który udziela inspektorowi ochrony danych wsparcia w zakresie kwestii związanych z ochroną danych, działa wyłącznie zgodnie z instrukcjami inspektora ochrony danych oraz jest zobowiązany do zachowania tajemnicy służbowej i poufności zgodnie z art. 44 ust. 5 rozporządzenia (UE) 2018/1725 w związku z art. 37 Statutu ESBC.
5. 
Zgodnie z art. 43 ust. 2 rozporządzenia (UE) 2018/1725 na wniosek ERRS inspektor ochrony danych może być również upoważniony do wypełniania zadań określonych w art. 45 rozporządzenia (UE) 2018/1725 w odniesieniu do ERRS.
Artykuł  4

Zadania inspektora ochrony danych

Inspektor ochrony danych wykonuje zadania określone w art. 45 rozporządzenia (UE) 2018/1725, w szczególności:

a)
w odniesieniu do kwestii związanych z interpretacją i stosowaniem przepisów dotyczących ochrony danych w EBC - zapewnia informacje i doradztwo na rzecz Zarządu, administratorów, Komitetu Pracowniczego i koordynatorów ds. ochrony danych oraz odpowiada na konsultacje prowadzone przez te podmioty lub przez osoby, których dane dotyczą;
b)
prowadzi postępowanie wyjaśniające co do spraw i incydentów związanych z ochroną danych, z własnej inicjatywy lub na wniosek Zarządu, administratora danych, Komitetu Pracowniczego lub osoby, której dane dotyczą, oraz składa sprawozdanie podmiotowi wnioskującemu o przeprowadzenie takiego postępowania;
c)
prowadzi centralny rejestr czynności przetwarzania w EBC zgodnie z art. 31 rozporządzenia (UE) 2018/1725 i art. 9 niniejszej decyzji;
d)
pomaga administratorowi na jego wniosek w sporządzaniu ocen skutków dla ochrony danych i dokumentacji na potrzeby uprzednich konsultacji z Europejskim Inspektorem Ochrony Danych zgodnie z art. 39 i 40 rozporządzenia (UE) 2018/1725;
e)
odpowiada na wnioski Europejskiego Inspektora Ochrony Danych i - w ramach swoich kompetencji - współpracuje z Europejskim Inspektorem Ochrony Danych;
f)
współpracuje z inspektorami ochrony danych innych instytucji i organów Unii, krajowych banków centralnych i właściwych organów krajowych, w szczególności poprzez: (i) dzielenie się wiedzą i know-how na podstawie doświadczeń; (ii) reprezentowanie EBC w odpowiednich dyskusjach dotyczących kwestii związanych z ochroną danych, z wyłączeniem spraw sądowych; oraz (iii) uczestnictwo w międzyinstytucjonalnych komitetach i organach;
g)
zapewnia w sposób niezależny stosowanie rozporządzenia (UE) 2018/1725 w EBC poprzez monitorowanie zgodności z rozporządzeniem (UE) 2018/1725, z innymi mającymi zastosowanie przepisami Unii zawierającymi przepisy o ochronie danych oraz z polityką EBC i jego administratorów w odniesieniu do ochrony danych osobowych, w tym z przydziałem obowiązków, zwiększaniem świadomości i szkoleniem pracowników EBC uczestniczących w procesach przetwarzania i powiązanych audytach.
Artykuł  5

Uprawnienia inspektora ochrony danych

W ramach wykonywania swoich zadań zgodnie z art. 4 inspektor ochrony danych:

a)
może zwracać się o informacje do dowolnych działów EBC w sprawach związanych z zadaniami i obowiązkami inspektora ochrony danych;
b)
ma w dowolnym momencie dostęp do przetwarzanych danych osobowych, wszystkich części siedziby EBC oraz wszelkich informacji, operacji przetwarzania danych i baz danych;
c)
może wydawać opinie na temat zgodności z prawem rzeczywistych lub proponowanych operacji przetwarzania danych, na temat środków wymaganych w celu zapewnienia zgodności takich operacji z prawem oraz na temat właściwości lub adekwatności środków ochrony danych lub wszelkich kwestii związanych z operacjami przetwarzania;
d)
może zwracać uwagę Zarządu na wszelkie kwestie związane z ochroną danych, w tym na nieprzestrzeganie przez pracownika EBC przepisów rozporządzenia (UE) 2018/1725 lub innych unijnych przepisów o ochronie danych mających zastosowanie do EBC;
e)
może wnioskować o dodanie do porządku obrad Zarządu punktów dotyczących ochrony danych i przedkładać w tym celu odpowiednią dokumentację;
f)
może wykonywać kontrole zgodności operacji przetwarzania danych przeprowadzanych przez administratora danych lub w jego imieniu;
g)
może ograniczać przetwarzanie danych niezgodne z przepisami rozporządzenia (UE) 2018/1725, niniejszą decyzją lub z innymi unijnymi przepisami dotyczącymi ochrony danych;
h)
może informować Europejskiego Inspektora Ochrony Danych o wszelkich kwestiach związanych z ochroną danych, które wymagają stanowiska lub wytycznych ze strony Europejskiego Inspektora Ochrony Danych.
Artykuł  6

Inspektor ochrony danych i postępowanie wyjaśniające

1. 
Wnioski o wszczęcie postępowania wyjaśniającego na podstawie art. 4 lit. b) kieruje się do inspektora ochrony danych na piśmie.
2. 
W terminie siedmiu dni roboczych od otrzymania wniosku, o którym mowa w ust. 1, inspektor ochrony danych przesyła wnioskodawcy potwierdzenie otrzymania wniosku.
3. 
Inspektor ochrony danych może zbadać sprawę będącą przedmiotem wniosku na miejscu i zażądać pisemnego oświadczenia od administratora danych. Właściwy administrator danych przesyła inspektorowi odpowiedź w terminie 20 dni roboczych od otrzymania wniosku. Inspektor ochrony danych może w każdej chwili zwrócić się o dodatkowe informacje lub wsparcie z dowolnego działu EBC. Taki dział EBC zapewnia dodatkowe informacje lub wsparcie w ciągu 20 dni roboczych od otrzymania wniosku inspektora ochrony danych.
4. 
Inspektor rozpatruje wszelkie kwestie oraz okoliczności faktyczne związane z wyjaśnianą sprawą w sposób bezstronny, przy odpowiednim uwzględnieniu uprawnień osób, których dane dotyczą. Jeżeli zostanie to uznane za stosowne oraz z zastrzeżeniem ust. 5, inspektor ochrony danych informuje inne zainteresowane strony o toczącym się postępowaniu wyjaśniającym.
5. 
Inspektor ochrony danych zapewnia poufne traktowanie wniosku o przeprowadzenie postępowania wyjaśniającego i jego ujawnianie jedynie w zakresie niezbędnym do celów postępowania, chyba że osoba, której dane dotyczą, wyraziła zgodę na ujawnienie wniosku.
6. 
Inspektor udziela wnioskodawcy odpowiedzi w terminie trzech miesięcy kalendarzowych od otrzymania wniosku.

SEKCJA  3

INSPEKTOR OCHRONY DANYCH, ADMINISTRATORZY DANYCH I KOORDYNATORZY DS. OCHRONY DANYCH

Artykuł  7

Zadania i obowiązki administratora

1. 
Administrator zapewnia zgodność wszystkich operacji przetwarzania danych osobowych wykonywanych w ramach jego zakresu odpowiedzialności z przepisami rozporządzenia (UE) 2018/1725 oraz wszelkimi innymi unijnymi przepisami dotyczącymi ochrony danych mającymi zastosowanie do EBC.
2. 
Administrator zapewnia poinformowanie inspektora ochrony danych bez zbędnej zwłoki o:
a)
zdarzeniach wywołujących lub mogących wywołać skutki w zakresie ochrony danych;
b)
wszelkich opiniach, dokumentach, politykach lub decyzjach wewnętrznych, które mogą mieć wpływ na przestrzeganie przez EBC przepisów w zakresie ochrony danych - przed ich przyjęciem;
c)
wszelkich naruszeniach dotyczących ochrony danych osobowych lub innych incydentach związanych z ochroną danych;
d)
wszelkich bezpośrednich interakcjach między administratorem a Europejskim Inspektorem Ochrony Danych.
3. 
Administrator ma w szczególności obowiązek:
a)
zasięgania opinii inspektora ochrony danych w sprawie wszelkich działań związanych z przetwarzaniem danych osobowych lub wszelkich innych kwestii związanych z ochroną danych;
b)
przeprowadzania i zatwierdzania ocen skutków dla ochrony danych we współpracy z inspektorem ochrony danych i na podstawie art. 39 rozporządzenia (UE) 2018/1725;
c)
przestrzegania polityk wewnętrznych dotyczących przetwarzania danych osobowych lub wszelkich innych kwestii związanych z ochroną danych;
d)
prowadzenia, zgodnie z art. 31 ust. 5 rozporządzenia (UE) 2018/1725 oraz we współpracy z koordynatorami ds. ochrony danych, regularnie aktualizowanego rejestru czynności przetwarzania zgodnego z wzorem rejestru zatwierdzonym przez inspektora ochrony danych.
4. 
W ramach wspierania inspektora ochrony danych oraz Europejskiego Inspektora Ochrony Danych w wykonywaniu ich funkcji administratorzy danych przekazują im wyczerpujące informacje, zapewniają dostęp do danych osobowych oraz odpowiadają na zapytania w terminie 20 dni roboczych od ich otrzymania.
Artykuł  8

Koordynatorzy ds. ochrony danych

1. 
Koordynatorzy ds. ochrony danych wspierają administratorów danych w wykonywaniu ich obowiązków - na wniosek administratorów bądź z własnej inicjatywy. W tym zakresie koordynatorzy ds. ochrony danych współpracują z administratorami danych, którzy mają obowiązek dostarczania im wszelkich niezbędnych informacji.
2. 
Koordynatorzy ds. ochrony danych wspierają inspektora ochrony danych w zakresie:
a)
wskazywania administratora danych właściwego w odniesieniu do operacji przetwarzania obejmujących dane osobowe;
b)
propagowania i szerzenia wiedzy na temat doradztwa inspektora ochrony danych i wspierania właściwego administratora danych zgodnie z wytycznymi inspektora ochrony danych;
c)
wspierania właściwego administratora w prowadzeniu rejestru działalności przetwarzania zgodnie z art. 31 rozporządzenia (UE) 2018/1725 oraz zapewnienia, aby jego zapisy były dokładne i aktualne;
d)
realizacji innych kwestii dotyczących zadań inspektora uzgodnionych pomiędzy inspektorem a przełożonymi koordynatorów ds. ochrony danych.
3. 
Koordynator ds. ochrony danych jest co do zasady specjalistą w dziedzinie zarządzania danymi lub posiada odpowiednią wiedzę fachową lub wykształcenie.
Artykuł  9

Centralny rejestr działalności przetwarzania

1. 
Administratorzy danych przekazują zapisy rejestru czynności przetwarzania inspektorowi ochrony danych, który umieszcza te zapisy w rejestrze centralnym.
2. 
Rejestr centralny stanowi repozytorium wszystkich czynności przetwarzania danych osobowych prowadzonych w EBC. Rejestr centralny stanowi źródło informacji dla osób, których dane dotyczą, i ułatwia korzystanie z ich praw na mocy art. 17-24 rozporządzenia (UE) 2018/1725. Rejestr centralny jest dostępny publicznie. Rejestr centralny zawiera co najmniej informacje, o których mowa w art. 31 ust. 1 lit. a)-g) rozporządzenia (UE) 2018/1725.
Artykuł  10

Współadministratorzy

1. 
Obowiązki współadministratorów w zakresie ochrony danych ustanawia się zgodnie z art. 28 rozporządzenia (UE) 2018/1725.
2. 
W przypadku gdy EBC pełni rolę współadministratora danych wraz z jednym lub większą liczbą innych administratorów, zadania współadministratorów w zakresie przestrzegania obowiązków dotyczących ochrony danych określa się w drodze uzgodnień między współadministratorami, chyba że zadania te są określone przez prawo Unii lub prawo państwa członkowskiego, któremu podlegają współadministratorzy.

SEKCJA  4

UPRAWNIENIA OSÓB, KTÓRYCH DANE DOTYCZĄ

Artykuł  11

Wykonywanie uprawnień przez osoby, których dane dotyczą

1. 
Osoby, których dane dotyczą, mogą kontaktować się z właściwym administratorem, aby korzystać ze swoich praw na podstawie art. 17-24 rozporządzenia (UE) 2018/1725.
2. 
Uprawnienia osób, których dane dotyczą, mogą być wykonywane wyłącznie przez te osoby lub ich odpowiednio umocowanych przedstawicieli. Wykonywanie uprawnień przez te osoby jest nieodpłatne.
3. 
Wnioski o skorzystanie z praw osób, których dane dotyczą, przedkłada się właściwemu administratorowi w formie pisemnej lub, w stosownych przypadkach, w formie elektronicznej. Po otrzymaniu wniosku od osoby, której dane dotyczą, właściwy administrator przesyła takiej osobie w ciągu pięciu dni roboczych potwierdzenie otrzymania wniosku, przekazuje jej dane kontaktowe inspektora ochrony danych oraz informuje o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych i dochodzenia odszkodowania na drodze sądowej.
4. 
Jeżeli właściwy administrator ma uzasadnione wątpliwości co do tożsamości osoby, której dane dotyczą, lub jej upoważnionego przedstawiciela, może zażądać dodatkowych informacji niezbędnych do zidentyfikowania osoby, której dane dotyczą, lub jej upoważnionego przedstawiciela. Jeżeli osoba, której dane dotyczą, jest reprezentowana przez upoważnionego przedstawiciela, właściwy administrator weryfikuje również odpowiednie upoważnienie. Właściwy administrator danych może zażądać od osoby, której dane dotyczą, dalszych informacji w celu wyjaśnienia wniosku tej osoby oraz jego skutecznego rozpatrzenia.
5. 
Zgodnie z art. 14 ust. 3 i 4 rozporządzenia (UE) 2018/1725 właściwy administrator przekazuje osobie, której dane dotyczą, informacje na temat wszelkich działań podjętych w związku z wnioskiem bez zbędnej zwłoki a najpóźniej w terminie jednego miesiąca od otrzymania wniosku. W razie konieczności okres ten może zostać przedłużony o kolejne dwa miesiące, biorąc pod uwagę złożoność i liczbę wniosków osób, których dane dotyczą, otrzymanych przez właściwego administratora. Właściwy administrator informuje osobę, której dane dotyczą, o każdym przedłużeniu terminu w ciągu jednego miesiąca od otrzymania wniosku oraz podaje przyczyny opóźnienia.
6. 
Właściwy administrator udziela pisemnej odpowiedzi na wniosek osoby, której dane dotyczą, a jeżeli wniosek ten został złożony drogą elektroniczną, odpowiedni administrator udostępnia również żądane informacje za pomocą środków elektronicznych.
7. 
Osoba, której dane dotyczą, może w dowolnym momencie kontaktować się z inspektorem ochrony danych, w szczególności jeżeli:
a)
odpowiedni administrator danych nie przestrzega terminów określonych w ust. 3 i 5;
b)
osoba, której dane dotyczą, nie jest usatysfakcjonowana działaniami podjętymi przez właściwego administratora; lub
c)
osoba, której dane dotyczą, zamierza złożyć skargę do Europejskiego Inspektora Ochrony Danych.

Inspektor ochrony danych doradza właściwemu administratorowi co do odpowiedniego kierunku działań.

8. 
W przypadku gdy wniosek osoby, której dane dotyczą, jest w sposób oczywisty nieuzasadniony lub nadmierny, w szczególności ze względu na jego powtarzający się charakter, właściwy administrator danych może, po konsultacji z inspektorem ochrony danych, odmówić podjęcia działań w sprawie wniosku zgodnie z art. 14 ust. 5 rozporządzenia (UE) 2018/1725 i odpowiednio informuje o tym osobę, której dane dotyczą.
Artykuł  12

Środki ochrony prawnej

Do skarg dotyczących ochrony danych nie mają zastosowania środki ochrony prawnej przysługujące pracownikom EBC na mocy Warunków zatrudnienia pracowników Europejskiego Banku Centralnego.

SEKCJA  5

POSTANOWIENIA KOŃCOWE

Artykuł  13

Utrata mocy obowiązującej

Z dniem 1 listopada 2020 r. traci moc decyzja EBC/2007/1. Odniesienia do decyzji EBC/2007/1 należy rozumieć jako odniesienia do niniejszej decyzji i odczytywać zgodnie z tabelą korelacji zawartą w załączniku.

Artykuł  14

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejszą decyzję stosuje się od dnia 1 listopada 2020 r.
Sporządzono we Frankfurcie nad Menem dnia 5 maja 2020 r.
Prezes EBC
Christine LAGARDE

ZAŁĄCZNIK

TABELA KORELACJI

Decyzja EBC/2007/1 Niniejsza decyzja
Artykuły 1-5 Artykuły 1-5
Artykuł 6 ust. 1 Artykuł 7 ust. 1
- Artykuł 7 ust. 2
- Artykuł 7 ust. 3
Artykuł 6 ust. 2 Artykuł 7 ust. 4
Artykuł 6 ust. 3 lit. a) Artykuł 8 ust. 1
Artykuł 6 ust. 3 lit. b) Artykuł 8 ust. 2
Artykuł 7 ust. 1 Artykuł 4 ust. 4
Artykuł 7 ust. 2 -
- Artykuł 9 ust. 1
Artykuł 8 Artykuł 9 ust. 2
- Artykuł 10
Artykuł 9 ust. 1 Artykuł 11 ust. 1
Artykuł 9 ust. 1 lit. a) Artykuł 11 ust. 2
Artykuł 9 ust. 1 lit. b) Artykuł 11 ust. 3
Artykuł 9 ust. 1 lit. c) -
- Artykuł 11 ust. 4
- Artykuł 11 ust. 5
- Artykuł 11 ust. 6
Artykuł 9 ust. 1 lit. d) Artykuł 11 ust. 7 lit. a) i b)
Artykuł 9 ust. 2 Artykuł 11 ust. 7 lit. c)
Artykuł 10 -
Artykuł 11 ust. 1, 2 i 3 Artykuł 6 ust. 1, 2 i 3
- Artykuł 6 ust. 4 i 5
Artykuł 11 ust. 4 Artykuł 6 ust. 6
Artykuł 12 Artykuł 12
Artykuł 13 Artykuł 13
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
3 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
4 Decyzja EBC/2007/1 z dnia 17 kwietnia 2007 r. przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym (Dz.U. L 116 z 4.5.2007, s. 64).

Zmiany w prawie

Ważne zmiany w zakresie ZFŚS
Ważne zmiany w zakresie ZFŚS

W piątek, 19 grudnia 2025 roku, Senat przyjął bez poprawek uchwalone na początku grudnia przez Sejm bardzo istotne zmiany w przepisach dla pracodawców obowiązanych do tworzenia Zakładowego Funduszu Świadczeń Socjalnych. Odnoszą się one do tych podmiotów, w których nie działają organizacje związkowe. Ustawa trafi teraz na biurko prezydenta.

Marek Rotkiewicz 19.12.2025
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy

Nowe okresy wliczane do okresu zatrudnienia mogą wpłynąć na wymiar urlopów wypoczynkowych osób, które jeszcze nie mają prawa do 26 dni urlopu rocznie. Pracownicy nie nabywają jednak prawa do rozliczenia urlopu za okres sprzed dnia objęcia pracodawcy obowiązkiem stosowania art. 302(1) Kodeksu pracy, wprowadzającego zaliczalność m.in. okresów prowadzenia działalności gospodarczej czy wykonywania zleceń do stażu pracy.

Marek Rotkiewicz 19.12.2025
To będzie rewolucja u każdego pracodawcy
To będzie rewolucja u każdego pracodawcy

Wszyscy pracodawcy, także ci zatrudniający choćby jednego pracownika, będą musieli dokonać wartościowania stanowisk pracy i określić kryteria służące ustaleniu wynagrodzeń pracowników, poziomów wynagrodzeń i wzrostu wynagrodzeń. Jeszcze więcej obowiązków będą mieli średni i duzi pracodawcy, którzy będą musieli raportować lukę płacową. Zdaniem prawników, dla mikro, małych i średnich firm dostosowanie się do wymogów w zakresie wartościowania pracy czy ustalenia kryteriów poziomu i wzrostu wynagrodzeń wymagać będzie zewnętrznego wsparcia.

Grażyna J. Leśniak 18.12.2025
Są rozporządzenia wykonawcze do KSeF
Są rozporządzenia wykonawcze do KSeF

Minister finansów i gospodarki podpisał cztery rozporządzenia wykonawcze dotyczące funkcjonowania KSeF – potwierdził we wtorek resort finansów. Rozporządzenia określają m.in.: zasady korzystania z KSeF, w tym wzór zawiadomienia ZAW-FA, przypadki, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, a także zasady wystawiania faktur uproszczonych.

Krzysztof Koślicki 16.12.2025
Od stycznia nowe zasady prowadzenia PKPiR
Od stycznia nowe zasady prowadzenia PKPiR

Od 1 stycznia 2026 r. zasadą będzie prowadzenie podatkowej księgi przychodów i rozchodów przy użyciu programu komputerowego. Nie będzie już można dokumentować zakupów, np. środków czystości lub materiałów biurowych, za pomocą paragonów bez NIP nabywcy. Takie zmiany przewiduje nowe rozporządzenie w sprawie PKPiR.

Marcin Szymankiewicz 15.12.2025
Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2020.152.13
Rodzaj: Decyzja
Tytuł: Decyzja EBC/2020/28 (2020/655) przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym i uchylająca decyzję EBC/2007/1
Data aktu: 05/05/2020
Data ogłoszenia: 15/05/2020
Data wejścia w życie: 01/11/2020, 04/06/2020