ZARZĄD EUROPEJSKIEGO BANKU CENTRALNEGO,uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając Statut Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego, w szczególności art. 11 ust. 6, uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności art. 25,
a także mając na uwadze, co następuje:(1) Zgodnie z art. 3 ust. 4 decyzji Europejskiego Banku Centralnego (UE) 2022/2359 (EBC/2022/42) 2 decyzja administratora o ograniczeniu praw osoby, której dane dotyczą podejmowana jest na poziomie kierownika lub zastępcy kierownika właściwego obszaru organizacyjnego, w ramach którego przeprowadzana jest główna operacja przetwarzania danych osobowych.
(2) Art. 3 ust. 4 decyzji (UE) 2022/2359 (EBC/2022/42) nie określa okoliczności, w których taka decyzja o ograniczeniu praw osoby, której dane dotyczą, powinna być podejmowana na poziomie zastępcy kierownika właściwego obszaru organizacyjnego. Należy zatem doprecyzować, że są to przypadki, w których kierownik danego obszaru organizacyjnego jest niedostępny (na przykład gdy przebywa na urlopie wypoczynkowym lub zwolnieniu lekarskim), zachodzi w jego przypadku faktyczny lub domniemany konflikt interesów, lub też gdy ma dostęp do odpowiednich informacji poufnych.
(3) Ponadto art. 3 ust. 4 decyzji (UE) 2022/2359 (EBC/2022/42) nie uwzględnia przypadku, w którym w danym obszarze organizacyjnym nie ustanowiono zastępcy kierownika tego obszaru. Należy doprecyzować, że w takim przypadku oraz w sytuacji, gdy kierownik danego obszaru organizacyjnego jest niedostępny lub zachodzi w jego przypadku faktyczny lub domniemany konflikt interesów, lub też gdy ma on dostęp do odpowiednich informacji poufnych, decyzję o ograniczeniu praw osoby, której dane dotyczą, należy podjąć na poziomie bezpośredniego przełożonego, który jest właściwy w danych okolicznościach.
(4) Ponadto art. 3 ust. 4 decyzji (UE) 2022/2359 (EBC/2022/42) nie określa poziomu, na jakim podejmowana powinna być decyzja w sprawie ograniczenia praw osoby, której dane dotyczą, w przypadku funkcji, która nie jest przypisana do żadnego obszaru działalności. Należy doprecyzować, że taka decyzja powinna być podejmowana na poziomie osoby pełniącej funkcję, w ramach której prowadzona jest główna operacja przetwarzania danych osobowych. Wyjaśnienie to dotyczy w szczególności funkcji inspektora ochrony danych oraz funkcji głównej jednostki organizacyjnej ds. ładu korporacyjnego i transformacji.
(5) Należy zatem odpowiednio zmienić decyzję (UE) 2022/2359 (EBC/2022/42),
PRZYJMUJE NINIEJSZĄ DECYZJĘ: