EUR-Lex De toegang tot het recht van de Europese Unie
Dit document is overgenomen van EUR-Lex
Document 32007D0001(01)
2007/279/EC: Decision of the European Central Bank of 17 April 2007 adopting implementing rules concerning data protection at the European Central Bank (ECB/2007/1)
2007/279/EG: Besluit van de Europese Centrale Bank van 17 april 2007 houdende vaststelling van de uitvoeringsvoorschriften betreffende gegevensbescherming bij de Europese Centrale Bank (ECB/2007/1)
2007/279/EG: Besluit van de Europese Centrale Bank van 17 april 2007 houdende vaststelling van de uitvoeringsvoorschriften betreffende gegevensbescherming bij de Europese Centrale Bank (ECB/2007/1)
PB L 116 van 4.5.2007, blz. 64–67
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Bijzondere uitgave in het Kroatisch: Hoofdstuk 01 Deel 003 blz. 135 - 138
Niet meer van kracht, Datum einde geldigheid: 31/10/2020; opgeheven door 32020D0655
|
4.5.2007 |
NL |
Publicatieblad van de Europese Unie |
L 116/64 |
BESLUIT VAN DE EUROPESE CENTRALE BANK
van 17 april 2007
houdende vaststelling van de uitvoeringsvoorschriften betreffende gegevensbescherming bij de Europese Centrale Bank
(ECB/2007/1)
(2007/279/EG)
DE DIRECTIE VAN DE EUROPESE CENTRALE BANK,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, inzonderheid op artikel 286,
Gelet op Verordening nr. 45/2001 (EG) van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (1), inzonderheid op artikel 24, lid 8,
Overwegende hetgeen volgt:
|
(1) |
Verordening (EG) nr. 45/2001 bepaalt de op alle communautaire instellingen en organen van toepassing zijnde gegevensbeschermingsbeginselen en -voorschriften en voorziet in de aanstelling door elke communautaire instelling en orgaan van een functionaris voor gegevensbescherming (Data Protection Officer — DPO). |
|
(2) |
Krachtens artikel 24, lid 8, van Verordening (EG) nr. 45/2001 moet elke instelling of elk orgaan van de Gemeenschap overeenkomstig de bijlage bij deze verordening nadere uitvoeringsvoorschriften betreffende de DPO vastleggen, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
AFDELING 1
ALGEMENE BEPALINGEN
Artikel 1
Onderwerp en werkingssfeer
1. Dit besluit stelt de algemene regels vast ter uitvoering van Verordening (EG) nr. 45/2001 wat de Europese Centrale Bank (ECB) betreft. Met name vult het de bepalingen in Verordening (EG) nr. 45/2001 aan betreffende de aanstelling en het statuut van de DPO, alsmede zijn taken, verplichtingen en bevoegdheden.
2. Dit besluit verduidelijkt tevens de rol, de taken en de verplichtingen van verwerkingsverantwoordelijken en gegevensbeschermingscoördinatoren en voert de regels uit krachtens welke betrokkenen hun rechten kunnen uitoefenen.
Artikel 2
Definities
Voor de doeleinden van dit besluit en ter aanvulling van de definities uit Verordening (EG) nr. 45/2001 wordt begrepen onder:
|
a) |
„verwerkingsverantwoordelijke”: een manager verantwoordelijk voor een organisatie-eenheid die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; |
|
b) |
„gegevensbeschermingscoördinator”: een personeelslid dat de verwerkingsverantwoordelijke bij de vervulling van diens gegevensbeschermingsverplichtingen bijstaat. Deze persoon is een deskundige in bestandsbeheer. |
AFDELING 2
DE FUNCTIONARIS VOOR GEGEVENSBESCHERMING
Artikel 3
Benoeming, statuut en organisatorische aangelegenheden
1. De directie:
|
a) |
benoemt de DPO onder het personeel van de ECB dat voldoende senior is om te voldoen aan de vereisten van artikel 24 van Verordening (EG) nr. 45/2001; |
|
b) |
bepaalt een ambtstermijn voor de DPO van tussen twee en vijf jaar; en |
|
c) |
registreert de DPO bij de Europese Toezichthouder voor Gegevensbescherming (European Data Protection Supervisor — EDPS). |
2. De directie garandeert dat de DPO zijn DPO-taken en verplichtingen onafhankelijk kan vervullen. Onverminderd een dergelijke onafhankelijkheid:
|
a) |
is de DPO aan de arbeidsvoorwaarden van de ECB onderworpen; |
|
b) |
wordt de DPO voor administratieve doeleinden toegewezen aan één van de ECB-werkeenheden; en |
|
c) |
raadplegen de DPO-beoordelers de EDPS vooraleer de vervulling van de DPO-taken en verplichtingen te beoordelen. |
3. De desbetreffende verwerkingsverantwoordelijke garandeert dat de DPO onverwijld geïnformeerd wordt:
|
a) |
als een probleem zich voordoet dat gevolgen heeft of zou kunnen hebben voor de gegevensbescherming; en |
|
b) |
betreffende alle contacten met externe partijen die verband houden met de toepassing van de Verordening (EG) nr. 45/2001, met name de betrekkingen met de EDPS. |
4. De directie kan een plaatsvervangende DPO benoemen, op wie de leden 1 en 2 toepasselijk zijn. De plaatsvervangende DPO staat de DPO bij de vervulling van diens DPO-taken en verplichtingen bij en vervangt hem bij diens afwezigheid.
5. Een personeelslid dat de DPO ondersteunt met betrekking tot gegevensbeschermingsaangelegenheden, handelt uitsluitend op instructie van de DPO.
Artikel 4
Taken en verplichtingen van de functionaris voor gegevensbescherming
Waar nodig rekening houdend met de input van de desbetreffende ECB-werkeenheid, kwijt de DPO zich bij de vervulling van de in artikel 24 van Verordening (EG) nr. 45/2001 en in de bijlage bij die verordening bepaalde taken van het volgende:
|
a) |
de directie, de verwerkingsverantwoordelijken en de gegevensbeschermingscoördinatoren adviseren over de toepassing van de gegevensbeschermingsbepalingen in de ECB. De directie, een betrokken verwerkingsverantwoordelijke, het personeelscomité of elke natuurlijke persoon kunnen de DPO over elke aangelegenheid betreffende de uitlegging of de toepassing van Verordening (EG) nr. 45/2001 raadplegen; |
|
b) |
op eigen initiatief of op verzoek van de directie, een verwerkingsverantwoordelijke, het personeelscomité of van elke natuurlijke persoon zaken en gebeurtenissen onderzoeken die rechtstreeks verband houden met zijn taken en waarvan hij op de hoogte is, en hierover verslag uitbrengen aan het tot aanstelling bevoegde gezag of aan de persoon die het om onderzoek verzocht heeft. De DPO behandelt aangelegenheden en feiten onpartijdig en rekening houdend met de rechten van de betrokkene. Indien de DPO zulks aangewezen acht, informeert hij alle overige betrokken partijen dienovereenkomstig. Is de verzoeker een natuurlijk persoon, of indien de verzoeker namens een natuurlijk persoon optreedt, zorgt de DPO er voor zover mogelijk voor dat het verzoek vertrouwelijk blijft, tenzij de betrokkene ondubbelzinnig toestemming verleent om het verzoek anders te behandelen; |
|
c) |
samenwerken met de DPO’s van andere instellingen of organen van de Gemeenschap, in het bijzonder door ervaringen uit te wisselen en kennis te delen en de ECB te vertegenwoordigen in alle discussies — behoudens rechtszaken — betreffende gegevensbescherming; en |
|
d) |
jaarlijks bij de directie en de EDPS een werkschema en een verslag indienen over de DPO-activiteiten. |
Artikel 5
Bevoegdheden van de functionaris voor gegevensbescherming
De DPO kan:
|
a) |
van elke ECB-werkeenheid een advies vragen over aangelegenheden betreffende DPO-taken en verplichtingen; |
|
b) |
een advies uitbrengen over de rechtmatigheid van actuele of voorgestelde verwerkingen of elke aangelegenheid betreffende de kennisgeving van gegevensverwerking; |
|
c) |
de aandacht van de directie vestigen op elke niet-naleving door een personeelslid van Verordening (EG) nr. 45/2001; en |
|
d) |
andere in de bijlage bij Verordening (EG) nr. 45/2001 bepaalde taken uitvoeren. |
AFDELING 3
VERWERKINGSVERANTWOORDELIJKEN EN GEGEVENSBESCHERMINGSCOÖRDINATOREN
Artikel 6
Taken en verplichtingen van de verwerkingsverantwoordelijken en de gegevensbeschermingscoördinatoren
1. De verwerkingsverantwoordelijken dragen er zorg voor dat de binnen hun verantwoordelijkheid uitgevoerde verwerkingen van persoonsgegevens voldoen aan Verordening (EG) nr. 45/2001.
2. Als de verwerkingsverantwoordelijken de DPO en de EDPS bij de uitvoering van hun taken bijstaan, verstrekken de eerstgenoemden alle informatie, verlenen toegang tot persoonsgegevens en beantwoorden binnen 20 werkdagen na de ontvangst van het verzoek vragen.
3. Onverminderd de verantwoordelijkheden van de verwerkingsverantwoordelijken:
|
a) |
staan de gegevensbeschermingscoördinatoren de verwerkingsverantwoordelijken bij de vervulling van hun taken bij, hetzij op verzoek van de verwerkingsverantwoordelijken, hetzij op hun eigen initiatief. Daarbij onderhouden de gegevensbeschermingscoördinatoren contact met het personeel van de verwerkingsverantwoordelijken, die hun alle nodige informatie verschaffen. Dit kan, ter beoordeling van de desbetreffende verwerkingsverantwoordelijke, de toegang tot onder de verantwoordelijkheid van die verwerkingsverantwoordelijke verwerkte gegevens omvatten. |
|
b) |
De gegevensbeschermingscoördinatoren verlenen de DPO bijstand bij:
|
Artikel 7
Meldingsprocedure
1. Voor de uitvoering van nieuwe verwerkingen betreffende persoonsgegevens, brengt de desbetreffende verwerkingsverantwoordelijke de DPO daarvan op de hoogte middels de via de DPO-website op het intranet van de ECB toegankelijke online interface. Elke krachtens artikel 27, lid 3, van Verordening (EG) nr. 45/2001 aan voorafgaande controle onderworpen verwerking wordt tijdig voor de uitvoering ervan meegedeeld zodat een voorafgaande controle door de EDPS mogelijk is.
2. De verwerkingsverantwoordelijke informeert de DPO onmiddellijk over informatiewijzigingen betreffende een al aan de DPO meegedeelde kennisgeving.
AFDELING 4
RECHTEN VAN DE BETROKKENEN
Artikel 8
Register
Het door de DPO krachtens artikel 26 van Verordening (EG) nr. 45/2001 bijgehouden register dient als een index van alle in de ECB uitgevoerde verwerkingen van persoonsgegevens. Betrokkenen kunnen de informatie in het register gebruiken om hun rechten krachtens artikel 13 tot 19 van Verordening (EG) nr. 45/2001 uit te oefenen.
Artikel 9
Uitoefening van rechten door de betrokkenen
1. Naast het recht van betrokkenen om naar behoren te worden geïnformeerd over elke hen betreffende persoonsgegevensverwerking, kunnen de betrokkenen de verwerkings-verantwoordelijken benaderen om hun in de artikelen 13 tot en met 19 van de Verordening (EG) nr. 45/2001 genoemde rechten uit te oefenen, zoals hierna bepaald.
|
a) |
Deze rechten mogen uitsluitend worden uitgeoefend door de betrokkenen of hun rechtsgeldig bevoegde vertegenwoordiger. Deze personen mogen deze rechten kosteloos uitoefenen. |
|
b) |
Verzoeken tot uitoefening van deze rechten worden schriftelijk gericht tot de desbetreffende verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke willigt het verzoek pas in nadat de identiteit van de verzoeker en, indien toepasselijk, hun recht om de betrokkene te vertegenwoordigen, naar behoren zijn geverifieerd. De verwerkingsverantwoordelijke deelt de betrokkene onverwijld schriftelijk mee of het verzoek ingewilligd werd. Indien het verzoek werd afgewezen, vermeldt de verwerkingsverantwoordelijke de motieven van de afwijzing. |
|
c) |
De verwerkingsverantwoordelijke verleent de betrokkene telkens binnen drie kalendermaanden na ontvangst van het verzoek, krachtens artikel 13 van Verordening (EG) nr. 45/2001 toegang tot deze gegevens door controle ter plaatse of ontvangst van een kopie ervan, indien de aanvrager dat wenst. |
|
d) |
De betrokkenen kunnen de DPO contacteren als de verwerkingsverantwoordelijke de termijn(en) uit de leden b) en c) schendt. Bij kennelijk misbruik door de betrokkene bij de uitoefening van zijn rechten, kan de verwerkingsverantwoordelijke de betrokkene doorverwijzen naar de DPO. Indien de zaak naar de DPO wordt doorverwezen, besluit deze over de ontvankelijkheid ervan en het passende vervolg erop. De betrokkene en de verwerkingsverantwoordelijke mogen de DPO raadplegen, indien zij het niet eens worden. |
2. ECB-personeelsleden mogen de DPO raadplegen alvorens een klacht in te dienen bij de EDPS krachtens artikel 33 van Verordening (EG) nr. 45/2001.
Artikel 10
Uitzonderingen en beperkingen
1. Op voorwaarde dat de DPO voorafgaandelijk geraadpleegd werd, kan de verwerkingsverantwoordelijke de rechten van artikel 13 tot 17 van Verordening (EG) nr. 45/2001 beperken op grond van en overeenkomstig de in artikel 20 van Verordening (EG) nr. 45/2001 vastgestelde voorwaarden.
2. Elke betrokken persoon kan de EDPS om toepassing van artikel 47, lid 1, onder c), van Verordening (EG) nr. 45/2001 verzoeken.
Artikel 11
Onderzoeksprocedure
1. Een verzoek om een onderzoek krachtens artikel 4, onder b), wordt schriftelijk aan de DPO gericht.
2. Binnen 20 werkdagen na de ontvangst van het verzoek, stuurt de DPO de verzoeker een ontvangstbevestiging.
3. De DPO kan de kwestie ter plaatse onderzoeken en een schriftelijke verklaring van de verwerkingsverantwoordelijke verlangen. De verwerkingsverantwoordelijke antwoordt de DPO binnen 20 dagen na ontvangst van diens verzoek. De DPO kan van een ECB-werkeenheid aanvullende informatie of bijstand verlangen. De werkeenheid verleent de aanvullende informatie of bijstand binnen 20 dagen na het verzoek van de DPO.
4. Binnen 3 kalendermaanden na de ontvangst van het verzoek brengt de DPO aan de verzoeker verslag uit.
Artikel 12
Beroepsmogelijkheden
Naast de voor alle betrokkenen beschikbare beroepsmogelijkheden van artikel 32 van Verordening (EG) nr. 45/2001, beschikken de betrokkenen die personeelsleden van de ECB zijn ook over de rechtsmiddelen zoals bepaald in de arbeidsvoorwaarden van de ECB.
AFDELING 5
INWERKINGTREDING
Artikel 13
Slotbepaling
Dit besluit treedt in werking op de twintigste dag volgende op de publicatie in het Publicatieblad van de Europese Unie.
Gedaan te Frankfurt am Main, 17 april 2007.
De president van de ECB
Jean-Claude TRICHET
(1) PB L 8 van 12.1.2001, blz. 1.