EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32020Q0224(02)
Rules of Procedure on the Processing and Protection of Personal Data at Eurojust
Regras processuais aplicáveis ao tratamento e proteção de dados pessoais na Eurojust
Regras processuais aplicáveis ao tratamento e proteção de dados pessoais na Eurojust
OJ L 50, 24.2.2020, p. 10–17
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
24.2.2020 |
PT |
Jornal Oficial da União Europeia |
L 50/10 |
REGRAS PROCESSUAIS APLICÁVEIS AO TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS NA EUROJUST
O COLÉGIO DA EUROJUST,
Tendo em conta o Regulamento (UE) 2018/1727 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, que cria a Agência da União Europeia para a Cooperação Judiciária Penal (Eurojust), e que substitui e revoga a Decisão 2002/187/JAI do Conselho, a seguir designado por «Regulamento Eurojust»,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE, a seguir designado por «Regulamento 2018/1725»,
Tendo em conta a aprovação do Regulamento Interno da Eurojust pelo Conselho por via da Decisão de Execução (EU) 2019/2250, de 19 de dezembro de 2019, e adotada pelo Colégio da Eurojust em 20 de dezembro de 2019, nomeadamente no seu artigo 17.o,
Tendo em conta os pareceres da Instância Comum de Controlo emitidos em 28 de outubro de 2019 e em 11 de dezembro de 2019,
Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados emitido em 13 de dezembro de 2019,
Tendo em conta a aprovação do Regulamento Interno da Eurojust pelo Conselho por via da Decisão de Execução (EU) 2019/2250, de 19 de dezembro de 2019.
ADOTOU, EM 20 DE DEZEMBRO DE 2019, AS PRESENTES REGRAS PROCESSUAIS APLICÁVEIS AO TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS NA EUROJUST
TÍTULO I
ÂMBITO DE APLICAÇÃO, ESTRUTURA E DEFINIÇÕES
Artigo 1.o
Âmbito de aplicação e definições
1. As regras processuais aplicáveis ao tratamento e proteção de dados pessoais na Eurojust (a seguir designadas por «regras processuais») dão cumprimento às disposições relativas à proteção de dados do Regulamento Eurojust e do Regulamento 2018/1725.
2. As regras processuais aplicam-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios distintos dos meios automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
3. As regras processuais aplicam-se a todos os dados pessoais tratados pela Eurojust, incluindo os dados pessoais que constam das informações por ela elaboradas ou recebidas e em sua posse sobre questões relativas a políticas, atividades e decisões que se inscrevem no quadro da sua competência.
Artigo 2.o
Estrutura
1. As regras processuais aplicam-se tanto aos dados pessoais operacionais como aos administrativos tratados pela Eurojust.
2. Os dados operacionais são tratados em conformidade com o título II.
3. Os dados administrativos são tratados em conformidade com o título III.
TÍTULO II
REGRAS APLICÁVEIS ÀS OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS OPERACIONAIS
CAPÍTULO I
Princípios gerais do tratamento de dados pessoais operacionais
Artigo 3.o
Responsabilidade pelo tratamento de dados pessoais operacionais na Eurojust
No que diz respeito ao tratamento de dados pessoais operacionais, a Eurojust, enquanto responsável pelo tratamento de dados, atua através dos membros nacionais que, nos termos do artigo 24.o, n.o 1, do Regulamento Eurojust, são responsáveis pela gestão dos processos que abrirem no exercício das suas funções definidas nesse mesmo regulamento, ou que iniciarem caso a Eurojust aja colegialmente nos termos do artigo 5.o, n.o 2, alínea a), desse mesmo regulamento.
Artigo 4.o
Condições específicas do tratamento
Os membros nacionais que recebam dados pessoais operacionais das autoridades nacionais competentes devem cumprir as condições específicas de tratamento por elas impostas nos termos do artigo 9.o, n.os 3 e 4, da Diretiva (UE) 2016/680 e devem também informá-las de quaisquer condições específicas que o direito aplicável da UE lhes imponha e que sejam aplicáveis a dados pessoais operacionais que os membros nacionais forneçam às autoridades nacionais, se for caso disso.
Artigo 5.o
Qualidade dos dados
Se a Eurojust detetar alguma inexatidão que afete os dados recebidos de um Estado-Membro — no âmbito de uma investigação ou ação penal — ou de uma instituição, órgão ou organismo da União, o membro nacional, após consulta às autoridades nacionais, dá instruções para que as informações sejam corrigidas sem demora e informa o respetivo Estado-Membro ou uma instituição, órgão ou organismo da União da proveniência das informações.
Artigo 6.o
Segurança dos dados
Todos os titulares de cargos da Eurojust são devidamente informados acerca da política de segurança da Eurojust e utilizam as medidas técnicas e as regras organizativas à sua disposição, inclusive seguindo a formação necessária, de acordo com as exigências aplicáveis em matéria de proteção e segurança dos dados.
CAPÍTULO II
Direitos dos titulares dos dados
Artigo 7.o
Procedimento para o exercício dos direitos dos titulares dos dados em caso de tratamento de dados pessoais operacionais
1. Os pedidos de exercício dos direitos dos titulares dos dados são tratados pelo ou pelos membros nacionais a que o pedido diga respeito, os quais fornecem uma cópia do pedido ao responsável pela proteção de dados para efeitos de registo.
2. O membro ou os membros nacionais em causa consultam as autoridades competentes dos Estados-Membros sobre a decisão a tomar em resposta a um pedido.
3. O responsável pela proteção de dados deve, se for caso disso, proceder a verificações suplementares a nível do sistema de gestão de processos e informar o membro ou os membros nacionais em causa se, através dessas verificações, tiverem sido encontradas informações suplementares pertinentes. O membro ou os membros nacionais em causa têm em conta as informações fornecidas pelo responsável pela proteção de dados e, quando for adequado, reconsideram a decisão inicial.
4. As razões jurídicas e factuais com base nas quais o membro ou os membros nacionais tomam a decisão são documentadas no ficheiro de trabalho temporário relativo ao pedido no sistema de gestão de processos e são disponibilizadas à AEPD, a pedido desta.
5. O responsável pela proteção de dados comunica ao titular dos dados a decisão tomada pelo membro ou pelos membros nacionais em causa em nome da Eurojust e informa-o da possibilidade de apresentar queixa junto da AEPD caso não fique satisfeito com a decisão, ou de interpor recurso no Tribunal de Justiça.
6. Nos casos em que o pedido tenha sido recebido através de uma autoridade nacional de controlo, a Eurojust informa essa autoridade de uma decisão comunicada ao titular dos dados pelo responsável pela proteção de dados.
Artigo 8.o
Informações a terceiros na sequência de uma retificação, limitação ou apagamento de dados pessoais operacionais
A Eurojust toma as medidas técnicas adequadas a fim de garantir que, nos casos em que tenha procedido à retificação, limitação ou apagamento de dados pessoais na sequência de um pedido, seja automaticamente apresentada uma lista dos fornecedores e destinatários desses dados.
CAPÍTULO III
Sistema de gestão de processos
Artigo 9.o
Ficheiros de trabalho temporários e índice no sistema de gestão de processos
1. O sistema de gestão de processos atribui automaticamente um número de referência único (identificador) a cada novo ficheiro de trabalho temporário que é aberto.
2. Quando um membro nacional responsável pela gestão de um ficheiro de trabalho temporário, na aceção do artigo 24.o, n.o 1, do Regulamento Eurojust, dá acesso a um ficheiro de trabalho temporário ou a parte do mesmo a um ou mais membros nacionais em causa, o sistema de gestão de processos assegura que os utilizadores autorizados no perfil desse gabinete nacional, sob a responsabilidade do membro nacional, tenham acesso às partes relevantes do ficheiro mas não possam alterar os dados inseridos pela pessoa que os introduziu inicialmente. No entanto, os utilizadores autorizados podem introduzir quaisquer informações suplementares pertinentes nas novas partes dos ficheiros de trabalho temporários. Do mesmo modo, as informações constantes do índice podem ser lidas por todos os utilizadores do sistema autorizados, mas só podem ser alteradas pela pessoa que as inseriu inicialmente.
3. O responsável pela proteção de dados é automaticamente informado pelo sistema de gestão de processos da criação de cada novo ficheiro de trabalho que contenha dados pessoais.
4. O sistema de gestão de processos assegura que o membro nacional em causa, que abriu um ficheiro de trabalho temporário, só pode registar no índice, nos termos do artigo 23.o, n.o 4, e do artigo 24.o, n.o 3, do Regulamento Eurojust, os dados pessoais operacionais referidos no n.o 1, alíneas a) a i), k) e m), e no n.o 2 do anexo II desse mesmo regulamento.
5. Quando, nos termos do artigo 23.o, n.o 6, do Regulamento Eurojust, os membros nacionais pretendam conservar temporariamente e analisar dados pessoais, a fim de determinar se os mesmos são relevantes para as funções da Eurojust, criam um projeto de ficheiro de trabalho temporário no perfil do respetivo gabinete a que só eles e as pessoas por si autorizadas têm acesso. Ao fim de três meses, o projeto de ficheiro de trabalho temporário deve ser convertido num ficheiro de trabalho temporário no sistema de gestão de processos ou ser automaticamente apagado pelo sistema. Antes de findar esse prazo, o sistema dá um alerta ao membro nacional em causa para o relembrar de que tem de tomar uma decisão sobre o projeto de ficheiro.
6. O membro ou os membros nacionais em causa asseguram que as informações contidas no índice são suficientes para dar cumprimento às funções da Eurojust definidas no artigo 2.o do Regulamento Eurojust.
Artigo 10.o
Categorias especiais de dados pessoais
1. A Eurojust toma as medidas técnicas adequadas a fim de garantir que o responsável pela proteção de dados seja automaticamente informado dos casos excecionais em que haja recurso ao artigo 27.o, n.o 4, do Regulamento Eurojust. O sistema de gestão de processos garante que tais dados não podem ser incluídos no índice referido no artigo 23.o, n.os 1 e 4, do Regulamento Eurojust.
2. Sempre que esses dados se refiram a testemunhas ou vítimas na aceção do artigo 27.o, n.o 2, do Regulamento Eurojust, essas informações não são inseridas no sistema de gestão de processos, salvo decisão em contrário dos membros nacionais em causa. A decisão de tratar esses dados deve ser documentada.
Artigo 11.o
Tratamento das categorias de dados pessoais operacionais referidas no artigo 27.o, n.os 2 e 3, do Regulamento Eurojust
1. A Eurojust toma as medidas técnicas adequadas a fim de garantir que o responsável pela proteção de dados seja automaticamente informado dos casos excecionais em que, por um período de tempo limitado, haja recurso ao artigo 27.o, n.o 3, do Regulamento Eurojust. O sistema de gestão de processos assinala esses dados de modo a chamar a atenção da pessoa que os inseriu no sistema para a obrigação de os conservar durante um período de tempo limitado.
2. Sempre que esses dados se refiram a testemunhas ou vítimas na aceção do artigo 27.o, n.o 2, do Regulamento Eurojust, essas informações não são inseridas no sistema de gestão de processos, salvo decisão em contrário dos membros nacionais em causa. A decisão de tratar esses dados deve ser documentada.
Artigo 12.o
Acesso autorizado aos dados pessoais operacionais
1. Cada membro nacional da Eurojust documenta e informa o responsável pela proteção de dados sobre a política de acesso por si autorizada, em conformidade com o artigo 34.o do Regulamento Eurojust, no seu gabinete nacional em relação aos dados pessoais operacionais.
2. Os membros nacionais podem, caso a caso, decidir dar uma autorização específica de acesso a um ficheiro de trabalho temporário ou a partes do mesmo a alguém que não seja membro do pessoal da Eurojust, mas que trabalhe em nome desta e pertença a uma categoria específica de titulares de cargos a que o diretor administrativo da Eurojust tenha autorizado previamente que fosse dado acesso ao sistema de gestão de processos, em conformidade com o artigo 24.o, n.o 2, do Regulamento Eurojust.
3. Os membros nacionais asseguram que são tomadas e cumpridas disposições organizacionais nos seus gabinetes e que é feita uma utilização correta das medidas técnicas e organizativas, inclusive seguindo a formação necessária, postas à sua disposição pela Eurojust.
4. Nos termos do artigo 34.o do Regulamento Eurojust, o Colégio pode autorizar outro pessoal da Eurojust a ter acesso aos dados pessoais operacionais, caso seja necessário para o exercício das funções da Eurojust.
Artigo 13.o
Registos das atividades de tratamento
1. O sistema de gestão de processos da Eurojust, na aceção do artigo 23.o do Regulamento Eurojust, funciona como o registo de todas as atividades de tratamento referidas no artigo 35.o desse mesmo regulamento, na medida em que digam respeito aos dados pessoais operacionais.
2. O sistema de gestão de processos da Eurojust contém um registo completo da transmissão e receção dos dados pessoais operacionais, permitindo determinar qualquer transmissão de dados pessoais operacionais e a identificação da autoridade nacional, da organização ou do país terceiro, ou da organização internacional que transmitiu tais informações à Eurojust ou que as recebeu desta.
CAPÍTULO IV
Transferências de dados para países terceiros ou organizações internacionais
Artigo 14.o
Transferências de dados para países terceiros ou organizações internacionais sujeitas a garantias adequadas
1. O Colégio da Eurojust, a pedido do membro ou dos membros nacionais em causa, após uma avaliação efetuada pelo responsável pela proteção de dados, toma uma decisão sobre a transferência de dados pessoais para países terceiros ou organizações internacionais, nos termos do artigo 58.o, n.o 1, do Regulamento Eurojust.
2. O responsável pela proteção de dados apresenta a avaliação a que se refere o n.o 1 no prazo de dez dias úteis. Quando necessário por motivos de urgência indicados pelo membro ou pelos membros nacionais em causa, a avaliação é apresentada o mais rapidamente possível. Em casos particularmente complexos, o responsável pela proteção de dados pode chegar a acordo com o membro ou os membros nacionais em causa sobre um prazo mais longo para concluir a avaliação.
3. A avaliação efetuada pelo responsável pela proteção de dados trata em especial as questões a que se referem os considerandos 51 e 52 do Regulamento Eurojust. Se, no decurso da avaliação da adequação das garantias no caso específico, o responsável pela proteção de dados tiver reservas, pode consultar a AEPD antes de emitir uma avaliação sobre uma determinada transferência.
Artigo 15.o
Registo das transferências internacionais para países terceiros ou organizações internacionais no sistema de gestão de processos
O sistema de gestão de processos documenta quaisquer transferências de dados pessoais para países terceiros ou organizações internacionais, em conformidade com o artigo 58.o, n.o 3, do Regulamento Eurojust e com o artigo 94.o, n.o 4, do Regulamento 2018/1725.
CAPÍTULO V
Prazos
Artigo 16.o
Prazos de conservação de dados pessoais operacionais
1. A Eurojust toma medidas técnicas adequadas para garantir que são cumpridos os prazos de conservação de dados pessoais definidos no artigo 29.o do Regulamento Eurojust e que, quando não for tomada nenhuma decisão justificada sobre a continuação da conservação de dados pessoais operacionais aquando da avaliação, esses dados são apagados automaticamente.
2. O sistema de gestão de processos deve garantir, em especial, que a necessidade de conservação dos dados num ficheiro de trabalho temporário é avaliada de três em três anos após a introdução dos mesmos. Essa avaliação deve ser devidamente documentada no sistema, inclusive mediante fundamentação da decisão tomada sobre a continuação da conservação de dados pessoais operacionais, e comunicada automaticamente ao responsável pela proteção de dados. Os resultados de tal decisão, ou da falta dela, aplicam-se à globalidade do processo, como definido no artigo 29.o, n.o 2, do Regulamento Eurojust.
3. O sistema de gestão de processos deve, em especial, assinalar os dados que são registados durante um período de tempo limitado nos termos do artigo 27.o, n.o 3, bem como os dados a que se refere o artigo 27.o, n.o 4, do Regulamento Eurojust. Se quaisquer dos dados pessoais operacionais a que se refere o artigo 27.o, n.o 4, forem conservados por um período superior a cinco anos, o sistema de gestão de processos gera um alerta para assegurar que tal informação é prestada automaticamente à AEPD.
4. Em casos excecionais, se um membro nacional considerar que os dados pessoais operacionais são necessários para os fins de arquivo no interesse público ou para os fins estatísticos a que se refere o artigo 29.o, n.o 7, alínea e), do Regulamento Eurojust, o Colégio decide, depois de ter ouvido o parecer do responsável pela proteção de dados, da necessidade de conservar os dados, nesse caso específico, para esse fim específico. A AEPD é informada quando se recorra a esse procedimento.
TÍTULO III
REGRAS APLICÁVEIS ÀS OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS ADMINISTRATIVOS
Artigo 17.o
Procedimento para o exercício dos direitos dos titulares dos dados em relação às operações de tratamento de dados pessoais administrativos
1. Os pedidos de exercício de direitos são dirigidos diretamente ao diretor administrativo da Eurojust ou ao responsável pela proteção de dados. Em todo o caso, é fornecida uma cópia do pedido ao responsável pela proteção de dados para efeitos de registo.
2. Se necessário, o responsável pela proteção de dados presta assistência ao titular dos dados e disponibiliza determinados formulários que as pessoas podem utilizar para efetuar os pedidos.
3. O diretor administrativo, com base nas informações prestadas pela entidade administrativa diretamente envolvida no tratamento dos dados pessoais e no parecer do responsável pela proteção de dados, toma uma decisão respeitante ao caso específico.
4. O responsável pela proteção de dados comunica ao titular dos dados a decisão tomada pelo diretor administrativo e informa-o da possibilidade de apresentar queixa junto da AEPD caso não fique satisfeito com a decisão proferida pela Eurojust.
5. O pedido deve ser tratado cabalmente no prazo de um mês a contar da data da receção. Esse prazo pode ser prorrogado por mais dois meses, quando for necessário, tendo em conta o número e a complexidade do pedido. O diretor administrativo informa o titular dos dados de tal prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. O titular dos dados pode apresentar queixa junto da AEPD se, dentro desse prazo, a Eurojust não tiver proferido uma decisão com base no pedido que lhe apresentou.
Artigo 18.o
Prazos para os dados pessoais administrativos
1. Cada operação de tratamento individual de dados pessoais administrativos efetuada na Eurojust deve, à luz da sua finalidade definida e na plena observância do artigo 4.o, n.o 1, alínea d), e do artigo 31.o, n.o 1, alínea f), do Regulamento 2018/1725, ter um prazo de conservação claro e definido para assegurar que os dados sejam conservados apenas pelo tempo necessário para os fins para que são tratados os dados pessoais administrativos. Esse prazo é estabelecido para cada categoria de dados tratados e documentados no registo das atividades de tratamento.
2. A Eurojust conserva os dados pessoais administrativos em conformidade com o n.o 1 durante o tempo necessário e, em todo o caso, sem exceder os prazos indicados para cada categoria de atividades de tratamento no quadro constante do anexo das presentes regras.
3. O conselho executivo, deliberando sob proposta do diretor administrativo, pode determinar prazos de conservação mais curtos do que os incluídos no anexo das presentes regras.
TÍTULO IV
DISPOSIÇÕES FINAIS
Artigo 19.o
Reapreciação das presentes regras processuais
1. As presentes regras são reapreciadas regularmente para avaliar se é necessário proceder a alguma alteração. Qualquer alteração das presentes regras segue o mesmo procedimento estabelecido para a sua aprovação no Regulamento Eurojust.
2. A AEPD submete à apreciação do Colégio toda e qualquer sugestão ou recomendação relativa às alterações das regras processuais.
Artigo 20.o
Entrada em vigor e publicação
As regras processuais são publicadas no Jornal Oficial da União Europeia e entram em vigor no dia seguinte ao da sua publicação.
ANEXO
Prazos máximos de conservação de dados pessoais administrativos
Um ano |
Atividades de tratamento de dados respeitantes à organização e gestão de eventos da Eurojust, à gestão da continuidade das atividades, à gestão da biblioteca da Eurojust e quaisquer outras atividades de tratamento afins. |
Um ano |
Atividades de tratamento de dados respeitantes às relações com os parceiros externos da Eurojust e da RJE, organização da reunião anual do Fórum Consultivo. |
Um ano |
Atividades de tratamento de dados respeitantes ao funcionamento do comité do pessoal da Eurojust e quaisquer outras atividades de tratamento afins. |
Um ano |
Atividades de tratamento de dados respeitantes ao funcionamento do comité social da Eurojust e quaisquer outras atividades de tratamento afins. |
Três anos |
Atividades de tratamento de dados respeitantes ao controlo do cumprimento da legislação em matéria de proteção de dados da Eurojust, incluindo o tratamento dos pedidos dos titulares dos dados, a cooperação com a Autoridade Europeia para a Proteção de Dados e quaisquer outras atividades de tratamento afins. |
Três anos |
Atividades de tratamento de dados respeitantes à gestão de relações públicas, comercialização, imprensa e meios de comunicação social, bem como quaisquer outras atividades de tratamento afins. |
Sete anos |
Atividades de tratamento de dados respeitantes à execução do orçamento da Eurojust de acordo com obrigações legais: decisões do Colégio (p. ex.: sobre o regulamento financeiro aplicável à Eurojust), decisões do diretor administrativo, decisões e políticas da Eurojust, etc., gestão de missões e queixas, bem como quaisquer outras atividades de tratamento afins. |
Sete anos |
Atividades de tratamento de dados respeitantes ao funcionamento do Secretariado da Rede Genocídio, do Secretariado da Rede de EIC, da RJE e quaisquer outras atividades de tratamento afins. |
10 anos |
Atividades de tratamento de dados respeitantes à gestão corrente da administração, à gestão do pessoal, ao funcionamento da presidência e do conselho executivo, às equipas do Colégio, à execução dos documentos de programação plurianual, aos planos e programas de trabalho anuais, à execução do orçamento e das contas, à comercialização e relações públicas, à administração do processo de adjudicação de contratos e dos contratos, à gestão dos contactos comerciais, à aplicação das regras da Eurojust em matéria de acesso a documentos, à participação em vários projetos relacionados com o quadro jurídico e os objetivos estratégicos da Eurojust, bem como quaisquer outras atividades de tratamento afins. |
10 anos |
Atividades de tratamento de dados respeitantes aos serviços de segurança e proteção efetuados para garantir a segurança e o controlo dos acessos para a proteção do edifício da Eurojust e dos principais ativos (ativos físicos, pessoas que trabalham e visitam a Eurojust e informações), bem como quaisquer outras atividades de tratamento afins. |
10 anos |
Atividades de tratamento de dados respeitantes à aplicação do Estatuto dos Funcionários e do Regime Aplicável aos Outros Agentes, às decisões da Comissão, às decisões do diretor administrativo, às decisões e políticas da Eurojust relativas à gestão dos recursos humanos, e quaisquer outras atividades de tratamento afins. |
10 anos |
Atividades de tratamento de dados respeitantes à governação e gestão informáticas da Eurojust e quaisquer outras atividades de tratamento afins. |
120 anos |
Atividades de tratamento de dados respeitantes aos direitos e obrigações subsistentes dos membros do pessoal. |