1.   Detta beslut fastställer de allmänna bestämmelserna som genomför förordning (EU) 2018/1725 vad gäller ECB. I synnerhet anges reglerna för utnämning av och rollen för dataskyddsombud (DPO) hos ECB, inbegripet dataskyddsombudets arbetsuppgifter, åligganden och befogenheter.

2.   Detta beslut klargör också vilka roller, arbetsuppgifter och åligganden som registeransvariga och uppgiftsskyddssamordnare har, samt genomför de bestämmelser enligt vilka de registrerade kan utöva sina rättigheter.

1.   Direktionen ska

2.   ECB:s direktion ska se till att dataskyddsombudet kan utföra de uppgifter och åligganden som avses i artikel 45 i förordning (EU) 2018/1725 på ett oberoende sätt utan att ta emot instruktioner om hur uppgifterna ska utföras. Utan att det påverkar detta oberoende

3.   ECB:s direktion får utse ett vice dataskyddsombud på vilket punkterna 1 och 2 är tillämpliga. Vice dataskyddsombudet ska bistå dataskyddsombudet vid utförandet av dennes uppgifter och åligganden samt agera som ställföreträdare i dataskyddsombudets frånvaro.

4.   ECB-anställda som ger stöd till dataskyddsombudet i frågor om uppgiftsskydd ska uteslutande agera på dataskyddsombudets instruktioner och ska vara bundna av sekretess och konfidentialitet i enlighet med artikel 44.5 i förordning (EU) 2018/1725 jämförd med artikel 37 i ECBS-stadgan.

5.   I enlighet med artikel 43.2 i förordning (EU) 2018/1725 får dataskyddsombudet, på ESRB:s begäran, ges tillstånd att även för ESRB:s räkning utföra de uppgifter som anges i artikel 45 i förordning (EU) 2018/1725.

1.   En begäran om en utredning enligt artikel 4 b ska skriftligen riktas till dataskyddsombudet.

2.   Inom sju arbetsdagar efter mottagandet av den begäran som avses i punkt 1 ska dataskyddsombudet skicka ett mottagningsbevis till anmälaren.

3.   Dataskyddsombudet får utreda den aktuella frågan på plats och begära en skriftlig förklaring från en personuppgiftsansvarig. Den berörda personuppgiftsansvariga ska svara dataskyddsombudet inom 20 arbetsdagar efter att han tagit emot dataskyddsombudets begäran. Dataskyddsombudet får när som helst begära ytterligare information eller bistånd från ECB:s avdelningar. Avdelningen ska ge sådan ytterligare information eller ge sådant bistånd inom 20 arbetsdagar från dataskyddsombudets begäran.

4.   Dataskyddsombudet ska opartiskt undersöka frågor och fakta samt visa hänsyn till den registrerades rättigheter. Om så anses lämpligt och om inte annat följer av punkt 5, ska dataskyddsombudet informera alla övriga parter som berörs av utredningen.

5.   Dataskyddsombudet ska säkerställa att en begäran om en utredning förblir sekretessbelagd och endast blir känd i den utsträckning som är nödvändig för utredningen, såvida inte den registrerade ger sitt samtycke till att den inte förblir sekretessbelagd.

6.   Dataskyddsombudet ska återkomma med svar till anmälaren inom tre kalendermånader från det att en begäran togs emot.

1.   En personuppgiftsansvarig ska säkerställa att alla behandlingar som involverar personuppgifter som utförs inom deras ansvarsområde följer bestämmelserna i förordning (EU) 2018/1725 och alla andra av unionens bestämmelser om uppgiftsskydd som är tillämpliga på ECB.

2.   En personuppgiftsansvarig ska utan onödigt dröjsmål säkerställa att dataskyddsombudet informeras om följande:

3.   En personuppgiftsansvarig ska särskilt

4.   När en personuppgiftsansvarig bistår dataskyddsombudet och Europeiska datatillsynsmannen vid utförandet av deras uppgifter, ska den personuppgiftsansvarig ge dem fullständig information, bevilja dem tillgång till personuppgifter samt besvara frågor inom 20 arbetsdagar från mottagandet av begäran.

1.   Uppgiftsskyddssamordnarna bistå de registeransvariga vid utförandet av deras skyldigheter, antingen på de registeransvarigas begäran eller på eget initiativ. Uppgiftsskyddssamordnarna ska upprätthålla kontakt med de registeransvariga som ska ge dem all nödvändig information.

2.   Dataskyddssamordnarna ska bistå dataskyddsombudet med

3.   En dataskyddssamordnare ska normalt vara specialist på informationshantering eller ha relevant sakkunskap och/eller utbildning.

1.   De personuppgiftsansvariga ska överlämna sina register över databehandlingen till dataskyddsombudet, som ska lagra dessa register i ett centralt register.

2.   Det centrala registret ska fungera som en lagringsplats för all behandling av personuppgifter som utförs vid ECB. Det centrala registret ska utgöra en informationskälla för de registrerade och underlätta utövandet av deras rättigheter enligt artiklarna 17–24 i förordning (EU) 2018/1725. Det centrala registret ska göras allmänt tillgängligt. Det centrala registret ska minst innehålla de uppgifter som avses i artikel 31.1 a–g i förordning (EU) 2018/1725.

1.   Respektive skyldigheter i fråga om uppgiftsskydd som gemensamt personuppgiftsansvariga har ska fastställas i enlighet med artikel 28 i förordning (EU) 2018/1725.

2.   Om ECB agerar som en gemensamt personuppgiftsansvarig tillsammans med en eller flera personuppgiftsansvariga, ska de gemensamt personuppgiftsansvarigas ansvar för att uppfylla kraven om uppgiftsskydd fastställas genom arrangemang mellan dem, såvida inte, och i den mån som, detta ansvar fastställs i unionsrätten eller i en medlemsstats nationella lagstiftning som de gemensamt personuppgiftsansvariga omfattas av.

1.   Registrerade personer får kontakta den berörda registeransvarige för att utöva sina rättigheter enligt artiklarna 17–24 i förordning (EU) 2018/1725.

2.   Dessa rättigheter kan endast utövas av den registrerade personen eller dennes befullmäktigade ombud. Dessa personer får utöva alla dessa rättigheter utan kostnad.

3.   En begäranden om att utöva en registrerads rättigheter ska lämnas till den relevanta personuppgiftsansvarige, antingen skriftligen eller, om så är lämpligt, på elektronisk väg. Efter att ha mottagit en begäran från en registrerad ska den relevanta personuppgiftsansvarige skicka ett mottagningsbevis till den registrerade inom fem arbetsdagar, ge dem kontaktuppgifterna till dataskyddsombudet och informera dem om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning.

4.   Om den berörda personuppgiftsansvarige har rimliga skäl att betvivla den registrerades identitet, eller det behöriga ombudets, får den relevanta personuppgiftsansvarige begära ytterligare information som behövs för att identifiera den registrerade eller dennes behöriga ombud. Om den registrerade företräds av ett behörigt ombud ska den relevanta personuppgiftsansvarige också kontrollera ombudets fullmakt. Den relevanta personuppgiftsansvarige får begära in ytterligare information från den registrerade för att förtydliga den registrerades begäran och hantera den på ett ändamålsenligt sätt.

5.   I enlighet med artikel 14.3 och 14.4 i förordning (EU) 2018/1725 ska den personuppgiftsansvarige på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit en begäran informera den registrerade om vilka åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader med hänsyn till hur komplexa och hur många begäranden från registrerade som den relevanta personuppgiftsansvarige mottagit. Den relevanta personuppgiftsansvarige ska underrätta den registrerade om varje förlängning inom en månad från mottagandet av begäran och ange orsakerna till förseningen.

6.   Den relevanta personuppgiftsansvarige ska svara på den registrerades begäran skriftligen, om så är lämpligt, och om den registrerades begäran har lämnats in på elektronisk väg ska den relevanta personuppgiftsansvarige också tillhandahålla den begärda informationen på elektronisk väg.

7.   Den registrerade kan när som helst kontakta dataskyddsombudet, särskilt om

Dataskyddsombudet ska informera den relevanta personuppgiftsansvarige om vilka åtgärder som bör vidtas.

8.   Om en registrerads begäranden är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva karaktär, får den relevanta personuppgiftsansvarige, efter samråd med dataskyddsombudet, vägra att tillmötesgå begäran i enlighet med artikel 14.5 i förordning (EU) 2018/1725 och underrätta den registrerade om detta.