1.
Europejska Rada Ochrony Danych zapewnia spójne stosowanie niniejszego rozporządzenia. W tym celu z własnej inicjatywy lub w stosownych przypadkach na wniosek Komisji podejmuje w szczególności następujące działania:
a) monitoruje i zapewnia właściwe stosowanie niniejszego rozporządzenia w przypadkach, o których mowa w art. 64 opinia Europejskiej Rady Ochrony Danych i art. 65 rozstrzyganie sporów przez Europejską Radę Ochrony Danych, bez uszczerbku dla zadań krajowych organów nadzorczych;
b) doradza Komisji w sprawach związanych z ochroną danych osobowych w Unii, w tym w sprawie wszelkich proponowanych zmian do niniejszego rozporządzenia;
c) doradza Komisji w sprawie formatu i procedur wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi do celów wiążących reguł korporacyjnych;
d) wydaje wytyczne, zalecenia oraz określa najlepsze praktyki dotyczące usuwania z ogólnodostępnych usług łączności łącz do danych osobowych, kopi tych danych lub ich replikacji, o czym mowa w art. 17 prawo do usunięcia danych („prawo do bycia zapomnianym”) ust. 2;
e) z własnej inicjatywy lub na wniosek jednego ze swoich członków lub Komisji bada wszelkie kwestie dotyczące stosowania niniejszego rozporządzenia i wydaje wytyczne, zalecenia oraz określa najlepsze praktyki, by zachęcić do spójnego stosowania niniejszego rozporządzenia;
f) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by na potrzeby art. 22 zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie ust. 2 doprecyzować kryteria i wymogi dotyczące decyzji opartych na profilowaniu;
g) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu dotyczące stwierdzania naruszenia ochrony danych osobowych i określenia zbędnej zwłoki w rozumieniu art. 33 zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu ust. 1 i 2 oraz szczególnych okoliczności, w których administrator lub podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych;
h) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu wskazujące, w jakich okolicznościach naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych w rozumieniu art. 34 zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych ust. 1;
i) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by doprecyzować kryteria i wymogi względem przekazywania danych osobowych, które opiera się na wiążących regułach korporacyjnych stosowanych przez administratorów i na wiążących regułach korporacyjnych stosowanych przez podmioty przetwarzające, oraz inne konieczne wymogi mające zapewnić ochronę danych osobowych osób, których dane dotyczą, zgodnie z art. 47 wiążące reguły korporacyjnych;
j) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by doprecyzować kryteria i wymogi względem przekazywania danych osobowych na podstawie art. 49 wyjątki w szczególnych sytuacjach ust. 1;
k) opracowuje wytyczne dla organów nadzorczych w sprawie stosowania środków, o których mowa w art. 58 uprawnienia ust. 1, 2 i 3, oraz w sprawie określania wysokości administracyjnych kar pieniężnych zgodnie z art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych;
l) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. e) i f);
m) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by na potrzeby art. 54 zasady ustanawiania organu nadzorczego ust. 2 określić wspólne procedury postępowania w przypadkach zgłaszania przez osoby fizyczne naruszeń niniejszego rozporządzenia;
n) zachęca do sporządzania kodeksów postępowania oraz do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń w tej dziedzinie zgodnie z art. 40 kodeksy postępowania i art. 42 certyfikacja;
o) akredytuje podmioty certyfikujące i dokonuje okresowego przeglądu certyfikacji zgodnie z art. 43 podmiot certyfikujący oraz prowadzi publiczny rejestr podmiotów akredytowanych zgodnie z art. 43 podmiot certyfikujący ust. 6 i administratorów i podmiotów przetwarzających akredytowanych zgodnie z art. 42 certyfikacja ust. 7, mających siedzibę w państwach trzecich;
p) precyzuje wymogi, o których mowa w art. 43 podmiot certyfikujący ust. 3, z myślą o akredytacji podmiotów certyfikujących zgodnie z art. 42 certyfikacja;
q) udziela Komisji opinii w sprawie wymogów certyfikacyjnych, o których mowa w art. 43 podmiot certyfikujący ust. 8;
r) udziela Komisji opinii w sprawie znaków graficznych, o których mowa w art. 12 przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą ust. 7;
s) udziela Komisji opinii na potrzeby oceny, czy stopień ochrony w państwie trzecim lub organizacji międzynarodowej jest odpowiedni, w tym na potrzeby oceny, czy państwo trzecie, terytorium, określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa nie przestały zapewniać odpowiedniego stopnia ochrony. W tym celu Komisja udostępnia Europejskiej Radzie Ochrony Danych wszelką niezbędną dokumentację, w tym korespondencję z rządem państwa trzeciego w odniesieniu do tego państwa trzeciego, terytorium lub określonego sektora lub korespondencję z organizacją międzynarodową;
t) wydaje opinie w sprawie projektów decyzji zgłoszonych przez organy nadzorcze zgodnie z mechanizmem spójności, o którym mowa w art. 64 opinia Europejskiej Rady Ochrony Danych ust. 1, w sprawach przedłożonych jej zgodnie z art. 64 opinia Europejskiej Rady Ochrony Danych ust. 2 oraz wydaje wiążące decyzje zgodnie z art. 65 rozstrzyganie sporów przez Europejską Radę Ochrony Danych, w tym w sprawach, o których mowa w art. 66 tryb pilny;
u) upowszechnia współpracę oraz skuteczną dwustronną i wielostronną wymianę informacji i dobrych praktyk między organami nadzorczymi;
v) upowszechnia wspólne programy szkoleń oraz ułatwia wymianę personelu między organami nadzorczymi, a w stosownych przypadkach – z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;
w) upowszechnia wymianę wiedzy i dokumentów na temat ustawodawstwa i praktyki w dziedzinie ochrony danych z organami nadzorczymi odpowiedzialnymi za ochronę danych na świecie;
x) wydaje opinie na temat kodeksów postępowania opracowywanych na szczeblu Unii zgodnie z art. 40 kodeksy postępowania ust. 9; oraz
y) prowadzi publicznie dostępny elektroniczny rejestr decyzji podjętych przez organy nadzorcze i wyroków sądowych w sprawach rozpatrywanych w ramach mechanizmu spójności.
a) monitoruje i zapewnia właściwe stosowanie niniejszego rozporządzenia w przypadkach, o których mowa w art. 64 opinia Europejskiej Rady Ochrony Danych i art. 65 rozstrzyganie sporów przez Europejską Radę Ochrony Danych, bez uszczerbku dla zadań krajowych organów nadzorczych;
b) doradza Komisji w sprawach związanych z ochroną danych osobowych w Unii, w tym w sprawie wszelkich proponowanych zmian do niniejszego rozporządzenia;
c) doradza Komisji w sprawie formatu i procedur wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi do celów wiążących reguł korporacyjnych;
d) wydaje wytyczne, zalecenia oraz określa najlepsze praktyki dotyczące usuwania z ogólnodostępnych usług łączności łącz do danych osobowych, kopi tych danych lub ich replikacji, o czym mowa w art. 17 prawo do usunięcia danych („prawo do bycia zapomnianym”) ust. 2;
e) z własnej inicjatywy lub na wniosek jednego ze swoich członków lub Komisji bada wszelkie kwestie dotyczące stosowania niniejszego rozporządzenia i wydaje wytyczne, zalecenia oraz określa najlepsze praktyki, by zachęcić do spójnego stosowania niniejszego rozporządzenia;
f) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by na potrzeby art. 22 zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie ust. 2 doprecyzować kryteria i wymogi dotyczące decyzji opartych na profilowaniu;
g) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu dotyczące stwierdzania naruszenia ochrony danych osobowych i określenia zbędnej zwłoki w rozumieniu art. 33 zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu ust. 1 i 2 oraz szczególnych okoliczności, w których administrator lub podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych;
h) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu wskazujące, w jakich okolicznościach naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych w rozumieniu art. 34 zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych ust. 1;
i) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by doprecyzować kryteria i wymogi względem przekazywania danych osobowych, które opiera się na wiążących regułach korporacyjnych stosowanych przez administratorów i na wiążących regułach korporacyjnych stosowanych przez podmioty przetwarzające, oraz inne konieczne wymogi mające zapewnić ochronę danych osobowych osób, których dane dotyczą, zgodnie z art. 47 wiążące reguły korporacyjnych;
j) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by doprecyzować kryteria i wymogi względem przekazywania danych osobowych na podstawie art. 49 wyjątki w szczególnych sytuacjach ust. 1;
k) opracowuje wytyczne dla organów nadzorczych w sprawie stosowania środków, o których mowa w art. 58 uprawnienia ust. 1, 2 i 3, oraz w sprawie określania wysokości administracyjnych kar pieniężnych zgodnie z art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych;
l) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. e) i f);
m) wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by na potrzeby art. 54 zasady ustanawiania organu nadzorczego ust. 2 określić wspólne procedury postępowania w przypadkach zgłaszania przez osoby fizyczne naruszeń niniejszego rozporządzenia;
n) zachęca do sporządzania kodeksów postępowania oraz do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń w tej dziedzinie zgodnie z art. 40 kodeksy postępowania i art. 42 certyfikacja;
o) akredytuje podmioty certyfikujące i dokonuje okresowego przeglądu certyfikacji zgodnie z art. 43 podmiot certyfikujący oraz prowadzi publiczny rejestr podmiotów akredytowanych zgodnie z art. 43 podmiot certyfikujący ust. 6 i administratorów i podmiotów przetwarzających akredytowanych zgodnie z art. 42 certyfikacja ust. 7, mających siedzibę w państwach trzecich;
p) precyzuje wymogi, o których mowa w art. 43 podmiot certyfikujący ust. 3, z myślą o akredytacji podmiotów certyfikujących zgodnie z art. 42 certyfikacja;
q) udziela Komisji opinii w sprawie wymogów certyfikacyjnych, o których mowa w art. 43 podmiot certyfikujący ust. 8;
r) udziela Komisji opinii w sprawie znaków graficznych, o których mowa w art. 12 przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą ust. 7;
s) udziela Komisji opinii na potrzeby oceny, czy stopień ochrony w państwie trzecim lub organizacji międzynarodowej jest odpowiedni, w tym na potrzeby oceny, czy państwo trzecie, terytorium, określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa nie przestały zapewniać odpowiedniego stopnia ochrony. W tym celu Komisja udostępnia Europejskiej Radzie Ochrony Danych wszelką niezbędną dokumentację, w tym korespondencję z rządem państwa trzeciego w odniesieniu do tego państwa trzeciego, terytorium lub określonego sektora lub korespondencję z organizacją międzynarodową;
t) wydaje opinie w sprawie projektów decyzji zgłoszonych przez organy nadzorcze zgodnie z mechanizmem spójności, o którym mowa w art. 64 opinia Europejskiej Rady Ochrony Danych ust. 1, w sprawach przedłożonych jej zgodnie z art. 64 opinia Europejskiej Rady Ochrony Danych ust. 2 oraz wydaje wiążące decyzje zgodnie z art. 65 rozstrzyganie sporów przez Europejską Radę Ochrony Danych, w tym w sprawach, o których mowa w art. 66 tryb pilny;
u) upowszechnia współpracę oraz skuteczną dwustronną i wielostronną wymianę informacji i dobrych praktyk między organami nadzorczymi;
v) upowszechnia wspólne programy szkoleń oraz ułatwia wymianę personelu między organami nadzorczymi, a w stosownych przypadkach – z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;
w) upowszechnia wymianę wiedzy i dokumentów na temat ustawodawstwa i praktyki w dziedzinie ochrony danych z organami nadzorczymi odpowiedzialnymi za ochronę danych na świecie;
x) wydaje opinie na temat kodeksów postępowania opracowywanych na szczeblu Unii zgodnie z art. 40 kodeksy postępowania ust. 9; oraz
y) prowadzi publicznie dostępny elektroniczny rejestr decyzji podjętych przez organy nadzorcze i wyroków sądowych w sprawach rozpatrywanych w ramach mechanizmu spójności.
2.
Jeżeli Komisja zwraca się do Europejskiej Rady Ochrony Danych o konsultację, może zależnie od pilności sprawy wskazać termin udzielenia odpowiedzi.
3.
Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji i komitetowi, o którym mowa w art. 93 procedura komitetowa, oraz podaje je do wiadomości publicznej.
4.
Europejska Rada Ochrony Danych konsultuje się w stosownych przypadkach ze stronami, których sprawa dotyczy, i daje im możliwość przestawienia uwag w rozsądnym terminie. Bez uszczerbku dla art. 76 poufność Europejska Rada Ochrony Danych podaje wyniki procedury konsultacji do wiadomości publicznej.
