1.   С настоящото решение се определят общите правила за прилагането на Регламент (ЕС) 2018/1725 по отношение на Европейската централна банка (ЕЦБ). В частност то съдържа правилата за назначаването и функциите на длъжностното лице по защита на данните на ЕЦБ (ДЛЗД), включително задачите, задълженията и правомощията му.

2.   С настоящото решение се определят също функциите, задачите и задълженията на администраторите и на координатора за защита на данните и се прилагат правилата, съгласно които субектите на данни могат да упражняват правата си.

1.   Изпълнителният съвет:

2.   Изпълнителният съвет гарантира, че ДЛЗД е в състояние да изпълнява задачите и задълженията, посочени в член 45 от Регламент (ЕС) 2018/1725 по независим начин, без да получава инструкции как да изпълнява задачите си. Без да се засяга тази независимост:

3.   Изпълнителният съвет може да назначи заместник на ДЛЗД, спрямо когото се прилагат параграфи 1 и 2. Заместникът на ДЛЗД подпомага ДЛЗД при изпълнението на задачите и задълженията му и го замества, когато ДЛЗД отсъства.

4.   Членовете на персонала на ЕЦБ, които подпомагат ДЛДЗ по въпроси в областта на защитата на данни, действат единствено съгласно инструкциите на ДЛЗД и са обвързани от задълженията за професионална тайна и поверителност в съответствие с член 44, параграф 5 от Регламент (ЕС) 2018/1725 във връзка с член 37 от Устава на ЕСЦБ.

5.   В съответствие с член 43, параграф 2 от Регламент (ЕС) 2018/1725 по искане на ЕССР ДЛЗД може да бъде оправомощено да изпълнява и във връзка с ЕССР задачите, посочени в член 45 от Регламент (ЕС) 2018/1725.

1.   Всяко искане за разследване съгласно член 4, буква б) се отправя в писмена форма до ДЛЗД.

2.   В срок до седем работни дни от получаването на искането по параграф 1 ДЛЗД изпраща потвърждение за получаване на подалия искането.

3.   ДЛЗД може да разследва въпроса, посочен в искането, на място и да поиска писмено изявление от администратора. Съответният администратор отговаря на ДЛДЗ в срок до 20 работни дни от получаването на искането на ДЛЗД. ДЛЗД може да поиска допълнителна информация или съдействие от структурните звена на ЕЦБ по всяко време. Структурното звено е длъжно да предостави допълнителната информация или съдействие в срок до 20 работни дни от искането на ДЛЗД.

4.   ДЛЗД разглежда въпросите и фактите във връзка с разследването безпристрастно и надлежно взема предвид правата на субектите на данни. Ако счете за необходимо и при спазване на параграф 5, ДЛЗД информира всички други засегнати лица за разследването.

5.   ДЛЗД е длъжно да осигури запазването на поверителността на искането и да гарантира оповестяването му само в необходимата степен за целите на разследването освен в случаите, в които засегнатият субект на данни даде съгласието си да не се запази поверителността на искането.

6.   ДЛЗД докладва по случая на подалия искането не по-късно от три календарни месеца от получаването на искането.

1.   Администраторът е длъжен да гарантира, че всички операции по обработване на лични данни, извършвани в рамките на неговата компетентност, са в съответствие с разпоредбите на Регламент (ЕС) 2018/1725 и на другите приложими към ЕЦБ разпоредби на Съюза в областта на защитата на данните.

2.   Администраторът е длъжен да гарантира, че ДЛЗД е информирано без ненужна забава за следното:

3.   Администраторът е длъжен по-специално:

4.   Когато подпомага ДЛЗД и Европейския надзорен орган по защита на данните при изпълнението на задълженията им, администраторът им предоставя пълна информация, дава им достъп до лични данни и отговаря на въпроси в срок от 20 работни дни от получаването на искането.

1.   Координаторите за защита на данните подпомагат администраторите при изпълнението на задълженията им по искане на администраторите или по собствена инициатива. Координаторите за защита на данните поддържат контакт с администраторите, които са длъжни да им предоставят всяка необходима информация.

2.   Координаторите за защита на данните подпомагат ДЛЗД при:

3.   Координаторът за защита на данните трябва да е специалист в областта на управлението на информация или да притежава съответните експертни познания и/или обучение.

1.   Администраторите представят регистрите си на дейностите по обработване на ДЛЗД, който ги съхранява с централен регистър.

2.   Централният регистър е хранилище на всички дейности по обработване на лични данни, извършени в ЕЦБ. Централният регистър е източник на информация за субектите на данни и спомага за упражняването на правата им съгласно членове 17—24 от Регламент (ЕС) 2018/1725. Централният регистър е общественодостъпен. Централният регистър съдържа най-малкото информацията, посочена в член 31, параграф 1, букви а)—ж) от Регламент (ЕС) 2018/1725.

1.   Задълженията във връзка със защитата на данни на съвместните администратори се определят в съответствие с член 28 от Регламент (ЕС) 2018/1725.

2.   В случай че ЕЦБ действа като съвместен администратор заедно с един или повече администратори, отговорностите на съвместните администратори за изпълнение на задълженията във връзка със защитата на данни се определят въз основа на договореност между тях, освен ако и доколкото тези задължения са определени от правото на Съюза или правото на държава членка, което се прилага спрямо съвместните администратори.

1.   Субектите на данни могат да се свържат със съответния администратор, за да упражняват правата си съгласно членове 17—24 от Регламент (ЕС) 2018/1725.

2.   Правата на субектите на данни могат да се упражняват единствено от субекта на данни или от неговия надлежно упълномощен представител. Тези лица упражняват което и да е от тези права безплатно.

3.   Исканията за упражняване на правата на субектите на данни се подават до съответния администратор в писмена форма или, ако е подходящо, по електронен път. Когато получи искане от субект на данни, съответният администратор изпраща на субекта на данни потвърждение за получаване в срок до пет работни дни, предоставя му данните за връзка с ДЛЗД и го информира за възможността да подаде жалба до Европейския надзорен орган по защита на данните и да потърси защита по съдебен ред.

4.   Ако съответният администратор има основания да се съмнява в самоличността на субекта на данни или на упълномощения му представител, съответният администратор може да поиска да му бъде предоставена допълнителна информация, необходима за определянето на самоличността на субекта на данни или на упълномощения му представител. Ако субектът на данни е представляван от упълномощен представител, съответният администратор проверява и упълномощаването. Съответният администратор може да поиска допълнителна информация от субекта на данни, за да изясни искането на субекта на данни и да предприеме ефективни действия по него.

5.   В съответствие с член 14, параграфи 3 и 4 от Регламент (ЕС) 2018/1725 съответният администратор предоставя на субекта на данни информация относно действията, предприети във връзка с искането, без ненужно забавяне и най-късно в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се вземат предвид сложността и броят на исканията от субекта на данни, получени от съответния администратор. Съответният администратор информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането и посочва причините за забавянето.

6.   Съответният администратор отговаря на искането на субекта на данни в писмена форма, ако е подходящо, а ако искането на субекта на данни е било подадено по електронен път, съответният администратор предоставя поисканата информация и по електронен път.

7.   Субектът на данни може във всеки момент да се свърже с ДЛЗД и по-специално ако:

ДЛЗД е длъжен да посъветва съответния администратор за подходящото действие.

8.   Ако исканията от субект на данни са явно неоснователни или прекомерни, по-специално защото са повтарящи се, след консултация с ДЛЗД съответният администратор може да откаже да действа по искането в съответствие с член 14, параграф 5 от Регламент (ЕС) 2018/1725, като надлежно информира субекта на данни за това.