(1)

Oficiul European de Luptă Antifraudă („Oficiul”) a fost instituit prin Decizia 1999/352/CE, CECO, Euratom a Comisiei (1) ca serviciu al Comisiei. Oficiul efectuează investigații în condiții de deplină independență.

(2)

Oficiul efectuează investigații administrative pentru a combate frauda, corupția și orice alte activități ilegale care afectează interesele financiare ale Uniunii în conformitate cu Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului (2). În acest scop, exercită competențele de investigare conferite Comisiei prin actele relevante ale Uniunii în statele membre, precum și în conformitate cu acordurile de cooperare și asistență reciprocă și cu orice alt instrument juridic în vigoare, în țările terțe și la sediile organizațiilor internaționale.

(3)

De asemenea, Oficiul efectuează investigații administrative în cadrul instituțiilor, organelor, oficiilor și agențiilor înființate prin tratate sau în temeiul acestora. În cadrul mandatului său de investigare, Oficiul colectează informații de interes pentru investigații, inclusiv date cu caracter personal, din diferite surse – autorități publice, entități private și persoane fizice – și face schimb de informații cu instituțiile, organele, oficiile și agențiile Uniunii, cu autoritățile competente din statele membre și din țări terțe, precum și cu organizațiile internaționale înainte, în timpul și după activitățile de investigare sau coordonare.

(4)

În cadrul activităților sale, Oficiul prelucrează mai multe categorii de date cu caracter personal, în special date de identificare, date de contact, date profesionale și date privind rolul jucat în cazul respectiv. Oficiul, reprezentat de directorul său general, acționează în calitate de operator. Datele cu caracter personal sunt stocate într-un mediu electronic securizat care împiedică accesul ilegal sau transferul ilegal de date către persoane care nu au nevoie să le cunoască. Datele cu caracter personal prelucrate sunt păstrate timp de cincisprezece ani de la respingerea cazului ori de la încheierea investigației sau a cazului de coordonare printr-o decizie a directorului general. La finalul perioadei de păstrare, informațiile legate de caz, inclusiv datele cu caracter personal, sunt transferate în arhivele istorice.

(5)

În îndeplinirea atribuțiilor sale, Oficiul este obligat să respecte drepturile persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, recunoscute prin articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și prin articolul 16 alineatul (1) din Tratat, precum și prin acte juridice bazate pe aceste dispoziții. În același timp, Oficiul trebuie să respecte normele stricte privind confidențialitatea și secretul profesional menționate la articolul 10 din Regulamentul (UE, Euratom) nr. 883/2013 și să garanteze respectarea drepturilor procedurale ale persoanelor vizate și ale martorilor, menționate la articolul 9 din regulamentul respectiv, în special dreptul persoanelor vizate la prezumția de nevinovăție.

(6)

Mediul electronic securizat în care sunt păstrate datele cu caracter personal, precum și garanțiile procedurale și normele stricte privind confidențialitatea și secretul profesional, menționate la articolele 9 și 10 din Regulamentul (UE, Euratom) nr. 883/2013, asigură un nivel ridicat de protecție împotriva riscurilor la adresa drepturilor și libertăților persoanelor vizate de prelucrarea datelor.

(7)

În anumite împrejurări, este necesar să se concilieze drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului (3) cu nevoile investigațiilor și confidențialitatea schimburilor de informații cu alte autorități publice competente, precum și cu respectarea deplină a drepturilor și libertăților fundamentale ale altor persoane vizate. În acest sens, articolul 25 din acest regulament oferă Oficiului posibilitatea de a restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22.

(8)

În temeiul articolului 10 alineatul (4) din Regulamentul (UE, Euratom) nr. 883/2013, Oficiul a desemnat un responsabil cu protecția datelor, în conformitate cu articolul 24 din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (4).

(9)

Pentru a asigura confidențialitatea și eficacitatea investigațiilor și a altor activități operaționale desfășurate de Oficiu, respectând totodată standardele de protecție a datelor cu caracter personal prevăzute în Regulamentul (UE) 2018/1725, este necesar să se adopte norme interne prin care Oficiul să poată restricționa drepturile persoanelor vizate, în conformitate cu articolul 25 din regulamentul respectiv.

(10)

Domeniul de aplicare al acestui act juridic trebuie să acopere toate operațiunile de prelucrare efectuate de Oficiu în exercitarea funcției sale de investigare independentă. Aceste norme ar trebui să se aplice operațiunilor de prelucrare efectuate înainte de deschiderea unei investigații, pe durata investigațiilor interne și externe, după cum se menționează la articolele 3 și 4 din Regulamentul (UE, Euratom) nr. 883/2013, precum și pe durata monitorizării rezultatelor investigațiilor. Aceste norme ar trebui să se aplice operațiunilor de prelucrare care fac parte din activitățile legate de funcția de investigare, cum ar fi sistemul de raportare a fraudelor, analizele operaționale, bazele de date privind cooperarea internațională, precum și operațiunile care pot conține date privind investigațiile, de exemplu în cadrul gestionării investigațiilor responsabilului cu protecția datelor (RPD) sau al altor proceduri de tratare a plângerilor efectuate de Oficiu. De asemenea, aceste norme ar trebui să includă asistența și cooperarea furnizate de Oficiu autorităților naționale și organizațiilor internaționale în afara investigațiilor administrative.

(11)

Pentru a se conforma articolelor 14, 15 și 16 din Regulamentul (UE) 2018/1725, Oficiul ar trebui să informeze toate persoanele vizate în legătură cu activitățile sale care implică prelucrarea datelor lor cu caracter personal și cu drepturile lor, într-un mod transparent și coerent, sub formă de declarații privind protecția datelor publicate pe site-ul Oficiului, precum și să informeze individual persoanele fizice relevante pentru investigație – persoane vizate, martori și informatori – utilizând mijloacele adecvate.

(12)

Fără a aduce atingere aplicării excepțiilor prevăzute de Regulamentul (UE) 2018/1725, este posibil ca Oficiul să fie nevoit să impună restricții în ceea ce privește furnizarea de informații persoanelor vizate și aplicarea altor drepturi ale acestora, pentru a proteja propriile investigații, investigațiile și procedurile autorităților publice din statele membre, instrumentele și metodele de investigare, precum și drepturile altor persoane legate de investigațiile sale.

(13)

În anumite cazuri, furnizarea unor informații specifice persoanelor vizate sau dezvăluirea existenței unei investigații ar putea să facă imposibilă operațiunea de prelucrare sau să afecteze grav scopul acesteia și capacitatea Oficiului sau a autorităților naționale competente și a instituțiilor, organelor, oficiilor și agențiilor Uniunii de a efectua o investigație în mod eficace în viitor.

(14)

Mai mult, Oficiul este obligat să protejeze identitatea informatorilor, inclusiv a denunțătorilor și martorilor, care nu trebuie să sufere repercusiuni negative ca urmare a cooperării lor cu Oficiul.

(15)

Din aceste motive, este posibil ca Oficiul să fie nevoit să aplice anumite restricții, menționate la articolul 25 din Regulamentul (UE) 2018/1725, operațiunilor de prelucrare a datelor efectuate în cadrul atribuțiilor Oficiului prevăzute la articolul 2 din Decizia 1999/352/CE, CECO, Euratom.

(16)

În plus, pentru a menține o cooperare eficace, Oficiul ar putea fi nevoit să aplice restricții privind drepturile persoanelor vizate de a proteja informațiile care conțin date cu caracter personal care provin de la serviciile Comisiei sau de la alte instituții, organisme, oficii și agenții ale Uniunii, de la autoritățile competente ale statelor membre și ale țărilor terțe, precum și de la organizațiile internaționale. În acest sens, Oficiul ar trebui să consulte serviciile, instituțiile, organismele, oficiile, agențiile, autoritățile și organizațiile internaționale respective cu privire la motivele relevante, necesitatea și proporționalitatea restricțiilor.

(17)

În cadrul funcției sale de investigare, Oficiul face adesea schimb de informații, inclusiv de date cu caracter personal, printre alții cu serviciile Comisiei și cu agențiile executive care asistă serviciile Comisiei în punerea în aplicare a programelor lor. În conformitate cu articolul 25 alineatul (5) din Regulamentul (UE) 2018/1725 – care prevede ca normele interne să fie adoptate la cel mai înalt nivel de conducere din instituțiile, organele, agențiile și oficiile Uniunii vizate – prezenta decizie acoperă prelucrarea datelor cu caracter personal care figurează în informațiile pe care trebuie să le transmită Oficiului. Prin urmare, toate serviciile Comisiei și agențiile executive care prelucrează date cu caracter personal, în virtutea obligației lor de a informa Oficiul, în conformitate cu articolul 8 alineatul (1) din Regulamentul (UE, Euratom) nr. 883/2013, sau în cazul în care aceste date cu caracter personal sunt prelucrate de Oficiu în îndeplinirea sarcinilor sale, ar trebui să aplice normele stabilite în prezenta decizie în vederea protejării operațiunilor de prelucrare efectuate de Oficiu. În aceste circumstanțe, serviciile Comisiei și agențiile executive în cauză ar trebui, prin urmare, să consulte Oficiul cu privire la motivele relevante pentru restricții, precum și cu privire la necesitatea și proporționalitatea acestora, pentru a asigura aplicarea lor coerentă.

(18)

Oficiul și, dacă este cazul, serviciile Comisiei și agențiile executive ar trebui să prelucreze toate restricțiile în mod transparent și să consemneze fiecare cerere de restricții în sistemul de înregistrare corespunzător.

(19)

În temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, operatorii pot să amâne sau să omită furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă acest lucru ar compromite în vreun fel scopul restricției. În special, în cazul în care se aplică o restricție privind drepturile prevăzute la articolele 16 și 35, notificarea unei astfel de restricții ar compromite scopul restricției. Pentru a garanta că dreptul persoanei vizate de a fi informată în conformitate cu articolele 16 și 38 din Regulamentul (UE) 2018/1725 este restricționat doar atâta timp cât sunt valabile motivele care au stat la baza amânării, Oficiul ar trebui să își revizuiască periodic poziția.

(20)

În cazul în care se aplică o restricționare a drepturilor altor persoane vizate, operatorul ar trebui să evalueze, de la caz la caz, dacă notificarea restricției ar compromite scopul acesteia.

(21)

Responsabilul cu protecția datelor din cadrul Oficiului și, după caz, responsabilul cu protecția datelor din cadrul Comisiei sau al agenției executive în cauză ar trebui, la rândul lor, să efectueze o analiză independentă privind aplicarea restricțiilor, pentru a asigura respectarea prezentei decizii.

(22)

Regulamentul (UE) 2018/1725 înlocuiește Regulamentul (CE) nr. 45/2001, fără perioadă de tranziție, de la data intrării sale în vigoare. Posibilitatea de a aplica restricții pentru anumite drepturi a fost prevăzută de Regulamentul (CE) nr. 45/2001. Pentru a evita compromiterea scopului investigațiilor din sfera de competență a Oficiului și pentru a nu aduce atingere drepturilor și libertăților altora, prezenta decizie ar trebui să se aplice de la data intrării în vigoare a Regulamentului (UE) 2018/1725.

(23)

Autoritatea Europeană pentru Protecția Datelor a fost consultată la data de 23 noiembrie 2018,