Besluit 2008/597 - Goedkeuring van uitvoeringsvoorschriften met betrekking tot de functionaris voor gegevensbescherming overeenkomstig artikel 24, lid 8, van Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de gemeenschappelijke instellingen en organen en betreffende het vrije verkeer van die gegevens

1.

Wettekst

22.7.2008   

NL

Publicatieblad van de Europese Unie

L 193/7
 

BESLUIT VAN DE COMMISSIE

van 3 juni 2008

tot goedkeuring van uitvoeringsvoorschriften met betrekking tot de functionaris voor gegevensbescherming overeenkomstig artikel 24, lid 8, van Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens

(2008/597/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (1), en met name artikel 24, lid 8, en de bijlage,

Overwegende hetgeen volgt:

 

(1)

Verordening (EG) nr. 45/2001, hierna „de verordening” genoemd, bevat de beginselen en regels die gelden voor alle communautaire instellingen en organen en voorziet in de benoeming van een functionaris voor gegevensbescherming door iedere instelling en ieder orgaan van de Gemeenschap.
 

(2)

Krachtens artikel 24, lid 8, van de verordening moeten de communautaire instellingen en organen overeenkomstig de bijlage nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming vaststellen. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.
 

(3)

Bij Besluit C(2002) 510 van de Commissie (2) van 18 februari 2002 wordt de post van functionaris voor gegevensbescherming bij de Commissie gecreëerd en wordt die functionaris ermee belast na overleg met de directoraten-generaal overeenkomstig hun behoeften en ervaringen nadere uitvoeringsvoorschriften voor te stellen,

BESLUIT:

AFDELING 1

ALGEMEEN

Artikel 1

Definities

Voor de toepassing van dit besluit en onverminderd de definities in de verordening wordt verstaan onder:

 

„coördinator gegevensbescherming”: het personeelslid van een directoraat-generaal of dienst dat door de directeur-generaal is benoemd om alle aspecten van de bescherming van persoonsgegevens in het directoraat-generaal te coördineren;
 

„verantwoordelijke voor de verwerking” als omschreven in artikel 2, onder d), en bedoeld in artikel 25, lid 2, onder a): de ambtenaar die bevoegd is voor de organisatorische eenheid die de doelstellingen van de persoonsgegevens en de middelen voor het verwerken daarvan heeft vastgesteld.

Artikel 2

Toepassingsgebied

Bij dit besluit worden de regels en procedures voor de uitvoering van de taken van functionaris voor gegevensbescherming bij de Commissie overeenkomstig artikel 24, lid 8, van de verordening vastgesteld. Dit besluit is niet van toepassing op de werkzaamheden van de Commissie voor het vastleggen van beleidslijnen betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

AFDELING 2

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 3

Benoeming en statuut

  • 1. 
    De Commissie benoemt de functionaris voor gegevensbescherming (3) en registreert hem bij de Europese toezichthouder voor gegevensbescherming.
  • 2. 
    De ambtstermijn van de functionaris voor gegevensbescherming is vijf jaar en kan eenmaal worden verlengd.
  • 3. 
    De functionaris voor gegevensbescherming treedt onafhankelijk op met betrekking tot de interne toepassing van de verordening en mag geen instructies in verband met de uitvoering van zijn taken aannemen.
  • 4. 
    De functionaris voor gegevensbescherming wordt geselecteerd uit het personeel van de Commissie overeenkomstig de desbetreffende procedures. Afgezien van de voorschriften van artikel 24, lid 2, van de verordening moet de functionaris voor gegevensbescherming een degelijke kennis hebben van de Commissiediensten, hun structuur en hun administratieve regels en procedures. Hij moet goed op de hoogte zijn van systemen, principes en methoden op het gebied van gegevensbescherming en informatie. Hij moet blijk geven van een goed oordeelsvermogen en een onpartijdig en objectief standpunt overeenkomstig het statuut kunnen innemen.
  • 5. 
    Krachtens de verordening kan de functionaris voor gegevensbescherming alleen met de instemming van de Europese toezichthouder voor gegevensbescherming door de Commissie worden ontslagen wanneer hij niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet. De Commissie bepaalt op voorstel van de secretaris-generaal in overleg met de directeur-generaal voor Personeelszaken en algemeen beheer dat de functionaris voor gegevensbescherming niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet.
  • 6. 
    Onverminderd de desbetreffende bepalingen van de verordening zijn de functionaris voor gegevensbescherming en zijn personeel onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren van de Europese Gemeenschappen.

Artikel 4

Taken

  • 1. 
    Onverminderd de taken omschreven in artikel 24 van de verordening en de bijlage bij de verordening draagt de functionaris voor gegevensbescherming bij tot het creëren van een cultuur van bescherming van persoonsgegevens in de Commissie, door het personeel van de Commissie beter bewust te maken van kwesties in verband met gegevensbescherming en tegelijk een goed evenwicht te bewaren tussen de beginselen van bescherming van persoonsgegevens en van transparantie.
  • 2. 
    De functionaris voor gegevensbescherming houdt een inventaris bij van alle verwerkingen van persoonsgegevens van de Commissie waarin de gegevensbeschermingscoördinatoren voor hun respectieve DG’s alle te melden verwerkingen invoeren. De functionaris voor gegevensbescherming wijst ook de verantwoordelijke voor de verwerking aan. De functionaris voor gegevensbescherming helpt de verantwoordelijke voor de verwerking het risico te beoordelen van de verwerkingen die onder zijn bevoegdheid vallen en de tenuitvoerlegging van de verordening door de Commissie te controleren, met name aan de hand van een jaarlijks verslag over de stand van zaken bij de gegevensbescherming.
  • 3. 
    De functionaris voor gegevensbescherming organiseert de regelmatige bijeenkomsten van het netwerk van gegevensbeschermingscoördinatoren en zit deze voor.
  • 4. 
    De functionaris voor gegevensbescherming stelt het bij artikel 26 van de verordening vastgestelde verwerkingsregister beschikbaar op de interne en externe website van de Commissie.
  • 5. 
    De functionaris voor gegevensbescherming kan aan de Commissie en de verantwoordelijken voor de verwerking aanbevelingen doen en advies verstrekken over aangelegenheden betreffende de toepassing van bepalingen inzake gegevensbescherming en op verzoek of op eigen initiatief onderzoek verrichten naar aangelegenheden en gebeurtenissen die direct verband houden met zijn taken, en overeenkomstig de procedure van artikel 13 verslag uitbrengen bij de persoon die om het onderzoek heeft verzocht. Indien de verzoeker een natuurlijk persoon is of namens een natuurlijk persoon optreedt, moet de functionaris voor gegevensbescherming zorgen voor een zo vertrouwelijk mogelijke behandeling van het verzoek, tenzij de betrokkene ondubbelzinnig instemt met een andere behandelingswijze.
  • 6. 
    De functionaris voor gegevensbescherming van de Commissie is ook bevoegd voor de verwerking van persoonsgegevens door de personeelscomités. Voor de toepassing van artikel 6 verstrekt de functionaris voor gegevensbescherming in geval van vragen betreffende verwerkingen door het desbetreffende personeelscomité, alle informatie aan de voorzitter van het desbetreffende personeelscomité en niet aan de secretaris-generaal.
  • 7. 
    Zonder afbreuk te doen aan de onafhankelijkheid van de functionaris voor gegevensbescherming kan de secretaris-generaal hem namens de Commissie verzoeken de instelling te vertegenwoordigen in verband met alle gegevensbeschermingskwesties; dit kan ook de deelname van de functionaris voor gegevensbescherming aan desbetreffende comités en organen op internationaal niveau omvatten.

Artikel 5

Verplichtingen

  • 1. 
    Afgezien van deze algemene taken dient de functionaris voor gegevensbescherming:
 

a)

jaarlijks aan de secretaris-generaal en de directeur-generaal voor Personeelszaken en algemeen beheer een verslag voor de Commissie over de stand van zaken bij de gegevensbescherming voor te leggen met het oog op bespreking op het passende niveau, bijvoorbeeld op de regelmatige bijeenkomsten van de directeuren-generaal; het verslag wordt ter beschikking van het personeel van de Commissie gesteld;
 

b)

bij het vervullen van zijn taken samen te werken met de functionarissen voor gegevensbescherming van de andere instellingen en organen, in het bijzonder door het uitwisselen van ervaringen en goede praktijken.
  • 2. 
    Voor de verwerking van persoonsgegevens onder zijn verantwoordelijkheid handelt de functionaris voor gegevensbescherming als verantwoordelijke voor de verwerking.

Artikel 6

Bevoegdheden

Bij de uitvoering van zijn taken en onverminderd de bevoegdheden die hem bij de verordening zijn verleend, kan de functionaris voor gegevensbescherming:

 

a)

de juridische dienst van de Commissie om advies verzoeken;
 

b)

bij conflicten over de interpretatie of tenuitvoerlegging van de verordening het bevoegde bestuursniveau en de secretaris-generaal op de hoogte brengen alvorens de aangelegenheid naar de Europese toezichthouder voor gegevensbescherming te verwijzen;
 

c)

de secretaris-generaal ervan in kennis stellen dat:

 

een personeelslid zijn verplichtingen krachtens de verordening niet nakomt;
 

verantwoordelijken voor de verwerking de interne controlenormen van de Commissie die meer in het bijzonder betrekking hebben op de verplichtingen krachtens de verordening, niet nakomen;

en voorstellen dat een administratief onderzoek wordt gestart met het oog op de eventuele toepassing van artikel 49 van de verordening;
 

d)

aangelegenheden en gebeurtenissen onderzoeken die direct verband houden met zijn taken, met toepassing van de passende beginselen voor onderzoeken en audits in de Commissie en van de procedure van artikel 13 van dit besluit;
 

e)

de functionaris voor gegevensbescherming heeft te allen tijde toegang tot de gegevens die het voorwerp zijn van de verwerking van persoonsgegevens en tot alle kantoren, gegevensverwerkingsinstallaties en informatiedragers.

Artikel 7

Middelen

De Commissie verstrekt de functionaris voor gegevensbescherming de nodige middelen voor de uitvoering van zijn taken.

AFDELING 3

REGELS EN PROCEDURES

Artikel 8

Informatie

  • 1. 
    De functionaris voor gegevensbescherming wordt door de leidende dienst onmiddellijk op de hoogte gesteld wanneer de diensten van de Commissie een vraagstuk met gevolgen voor de gegevensbescherming onderzoeken, en ten laatste alvorens een besluit wordt genomen.
  • 2. 
    Wanneer de Commissie de Europese toezichthouder voor gegevensbescherming krachtens de desbetreffende artikelen van de verordening, en met name artikel 28, leden 1 en 2, raadpleegt en informeert, wordt de functionaris voor gegevensbescherming hiervan in kennis gesteld. Hij wordt ook krachtens de desbetreffende artikelen van de verordening in kennis gesteld van directe contacten tussen de verantwoordelijken voor de verwerking van de Commissie en de Europese toezichthouder voor gegevensbescherming.
  • 3. 
    De functionaris voor gegevensbescherming wordt door de leidende dienst of de juridische dienst, al naargelang, in kennis gesteld van adviezen en standpunten van de juridische dienst die direct betrekking hebben op de interne toepassing van de verordening, en van adviezen betreffende de interpretatie of tenuitvoerlegging van andere wetsbesluiten inzake de bescherming en verwerking van persoonsgegevens, meer in het bijzonder met betrekking tot het overleg tussen diensten en de toegang tot informatie.

Artikel 9

Verantwoordelijken voor de verwerking

  • 1. 
    Onverminderd de bepalingen van de verordening betreffende hun verplichtingen dienen de verantwoordelijken voor de verwerking:
 

a)

de functionaris voor gegevensbescherming onverwijld in kennis te stellen van alle reeds plaatsvindende verwerkingen die nog niet zijn gemeld;
 

b)

waar passend, de functionaris voor gegevensbescherming te raadplegen over de naleving van de verwerkingsvoorschriften, in het bijzonder wanneer twijfel daarover bestaat;
 

c)

samen te werken met de gegevensbeschermingscoördinator aan de opstelling van de inventaris van bestaande verwerkingen van persoonsgegevens van het directoraat-generaal.
  • 2. 
    De verantwoordelijke voor de verwerking kan zijn taken gedeeltelijk delegeren aan anderen die onder zijn bevoegdheid en verantwoordelijkheid als gedelegeerd verantwoordelijke voor de verwerking optreden.

Artikel 10

Verwerkers

Verwerkers in de Commissie, die namens de verantwoordelijken voor de verwerking persoonsgegevens moeten verwerken, handelen uitsluitend aan de hand van de in een schriftelijke overeenkomst neergelegde instructies van de verantwoordelijken voor de verwerking en verwerken die persoonsgegevens onder volledige naleving van de verordening en van andere geldende wetgeving betreffende gegevensbescherming. Een schriftelijke overeenkomst tussen organisatorische eenheden van de Commissie wordt gelijkwaardig geacht aan een rechtshandeling in de zin van artikel 23, lid 2, van de verordening.

Met externe verwerkers worden formele contracten gesloten, waarin de specifieke voorschriften van artikel 23, lid 2, zijn opgenomen.

Artikel 11

Meldingen

De verantwoordelijken voor de verwerking zenden hun meldingen aan de functionaris voor gegevensbescherming via het onlinemeldingssysteem van de Commissie, dat toegankelijk is via de website van de functionaris voor gegevensbescherming op het intranet van de Commissie.

Voor eenvoudige verwerkingen van niet-gevoelige persoonsgegevens biedt het systeem de mogelijkheid van een vereenvoudigde melding.

Artikel 12

Register

Het in artikel 4, lid 4, genoemde elektronische verwerkingsregister is voor de personeelsleden van de communautaire instellingen en organen toegankelijk via de website van de functionaris voor gegevensbescherming op het intranet van de Commissie, en voor iedereen met toegang tot het internet op de website Europa. Personen die geen toegang tot het internet hebben, kunnen uittreksels uit het register schriftelijk aanvragen bij de functionaris voor gegevensbescherming, die antwoordt binnen tien werkdagen.

Artikel 13

Onderzoekprocedure

  • 1. 
    De in artikel 4, lid 5, genoemde verzoeken om een onderzoek worden schriftelijk tot de functionaris voor gegevensbescherming gericht. Binnen vijftien dagen na ontvangst zendt de functionaris voor gegevensbescherming een ontvangstbewijs aan de persoon die om het onderzoek heeft verzocht en gaat hij na of het verzoek als vertrouwelijk moet worden behandeld. In geval van duidelijk misbruik van het recht om een onderzoek aan te vragen is de functionaris voor gegevensbescherming niet verplicht verslag bij de verzoeker uit te brengen.
  • 2. 
    De functionaris voor gegevensbescherming verzoekt de verantwoordelijke voor de desbetreffende gegevensverwerking om een schriftelijke verklaring over deze aangelegenheid. De verantwoordelijke voor de verwerking zendt zijn/haar antwoord binnen vijftien werkdagen naar de functionaris voor gegevensbescherming. De functionaris voor gegevensbescherming kan de verantwoordelijke voor de verwerking en/of andere partijen binnen vijftien dagen om aanvullende informatie verzoeken. Indien passend kan de functionaris voor gegevensbescherming de juridische dienst om een advies over deze kwestie verzoeken. Dit advies wordt binnen dertig werkdagen ter kennis van de functionaris voor gegevensbescherming gebracht.
  • 3. 
    De functionaris voor gegevensbescherming brengt uiterlijk drie maanden na ontvangst van het verzoek om een onderzoek verslag uit bij de indiener van dat verzoek. Deze termijn kan worden verlengd tot de functionaris voor gegevensbescherming nadere door hem gevraagde gegevens heeft verkregen.
  • 4. 
    Niemand mag worden benadeeld omdat hij de functionaris voor gegevensbescherming heeft gewezen op een aangelegenheid die volgens hem een inbreuk op de bepalingen van de verordening vormt.

Artikel 14

Gegevensbeschermingscoördinatoren

  • 1. 
    In ieder directoraat-generaal en iedere dienst wordt door de directeur-generaal of het diensthoofd een gegevensbeschermingscoördinator benoemd. Op basis van een schriftelijke overeenkomst kunnen verschillende directoraten-generaal, diensten of eenheden om redenen van coherentie of efficiëntie besluiten een gemeenschappelijke gegevensbeschermingscoördinator te benoemen of gebruik te maken van de diensten van een al benoemde coördinator.
  • 2. 
    De functie van gegevensbeschermingscoördinator kan eventueel met andere functies worden gecombineerd. Om de nodige bevoegdheden voor zijn taken te verwerven, moet de gegevensbeschermingscoördinator binnen zes maanden na zijn benoeming de verplichte opleiding tot gegevensbeschermingscoördinator volgen.
  • 3. 
    De ambtstermijn van de gegevensbeschermingscoördinator is niet beperkt. De coördinator wordt op het passende hiërarchische niveau gekozen op grond van zijn hoogstaande beroepsethiek, zijn kennis en ervaring van de werking van zijn directoraat-generaal en zijn motivatie voor de functie. Hij moet op de hoogte zijn van de beginselen van informatiesystemen.
  • 4. 
    Zonder afbreuk te doen aan de bevoegdheden van de verantwoordelijke voor de verwerking dient de gegevensbeschermingscoördinator:
 

a)

een inventaris van de verwerkingen in het directoraat-generaal op te stellen en bij te houden, en bij te dragen tot de vaststelling van een passend risiconiveau voor de verschillende verwerkingen; gebruik te maken van het onlinesysteem voor inventarisbeheer voor gegevensbeschermingscoördinatoren dat de functionaris voor gegevensbescherming daartoe op zijn website op het intranet van de Commissie heeft geïnstalleerd;
 

b)

de directeur-generaal of het diensthoofd bij te staan bij het aanwijzen van de respectieve verantwoordelijken voor verwerking;
 

c)

de verantwoordelijken voor de verwerking zo nodig te verzoeken om de nodige en adequate informatie. Dit omvat niet het recht op toegang tot persoonsgegevens die worden verwerkt onder het toezicht van de verantwoordelijke voor de verwerking.
  • 5. 
    Onverminderd de bevoegdheden van de verantwoordelijke voor de verwerking dient de gegevensbeschermingscoördinator:
 

a)

de verantwoordelijken voor de verwerking bij te staan bij de naleving van hun verplichtingen;
 

b)

de verantwoordelijken voor de verwerking te helpen bij de opstelling van meldingen;
 

c)

vereenvoudigde meldingen in te voeren in het onlinemeldingssysteem van de functionaris voor gegevensbescherming.
  • 6. 
    De gegevensbeschermingscoördinator neemt deel aan de regelmatige bijeenkomsten van het netwerk van gegevensbeschermingscoördinatoren, dat onder het voorzitterschap van de functionaris voor gegevensbescherming staat, teneinde te zorgen voor de coherente tenuitvoerlegging en interpretatie van de verordening door de Commissie en onderwerpen van gemeenschappelijk belang te bespreken.
  • 7. 
    Bij de uitvoering van zijn taken kan de gegevensbeschermingscoördinator de functionaris voor gegevensbescherming verzoeken om aanbevelingen, adviezen of standpunten.

Artikel 15

Administratie en leiding

  • 1. 
    De functionaris voor gegevensbescherming wordt administratief ingedeeld bij het secretariaat-generaal, en zijn werkzaamheden worden opgenomen in de op activiteiten gebaseerde budgettering en managementtaken die deel uitmaken van taak 7 van het secretariaat-generaal: betrekkingen met het maatschappelijk middenveld, openheid en informatieverstrekking. In dit kader neemt de functionaris voor gegevensbescherming deel aan de opstelling van het jaarlijkse beheersplan en het voorontwerp van begroting van het secretariaat-generaal.
  • 2. 
    De functionaris voor gegevensbescherming fungeert als beoordelaar van het personeel van zijn secretariaat en de plaatsvervangende functionaris voor gegevensbescherming. De plaatsvervangende secretaris-generaal is de medeondertekenaar.
  • 3. 
    De functionaris voor gegevensbescherming neemt waar nodig deel aan de coördinatie van het management van het secretariaat-generaal.

AFDELING 4

SLOTBEPALINGEN

Artikel 16

Inwerkingtreding

Dit besluit treedt in werking op 3 juni 2008.

Gedaan te Brussel, 3 juni 2008.

Voor de Commissie

De voorzitter

José Manuel BARROSO

 
  • (2) 
    Nog niet bekendgemaakt in het Publicatieblad.
  • (3) 
    De benaming „functionaris voor gegevensbescherming” en de daarop betrekking hebbende voornaamwoorden verwijzen zowel naar een mannelijke als een vrouwelijke ambtenaar.
 

Deze samenvatting is overgenomen van EUR-Lex.