1.   A presente decisão estabelece regras e procedimentos para a aplicação do Regulamento (UE) 2018/1725 pela Comissão e estabelece regras de execução relativas ao responsável pela proteção de dados da Comissão («RPD»).

2.   A presente decisão estabelece igualmente as regras a seguir pela Comissão, no âmbito das funções de controlo, investigação, auditoria ou consulta do RPD, para informar os titulares dos dados sobre o tratamento dos seus dados pessoais, em conformidade com os artigos 14.o, 15.° e 16.° do Regulamento (UE) 2018/1725.

3.   A presente decisão estabelece igualmente as condições em que a Comissão, relativamente às funções de controlo, investigação, auditoria ou consulta do RPD, pode limitar a aplicação dos artigos 4.o, 14.° a 17.°, 19.°, 20.° e 35.° do Regulamento (UE) 2018/1725, em conformidade com o artigo 25.o, n.o 1, alíneas c), g) e h), do referido regulamento.

4.   A presente decisão é aplicável ao tratamento de dados pessoais pela Comissão para efeitos das funções do RPD a que se refere o artigo 45.o do Regulamento (UE) 2018/1725, nomeadamente as funções de controlo, investigação, auditoria ou consulta do RPD, ou em relação com essas funções.

1.   O RPD deve contribuir para a criação de uma cultura de proteção dos dados pessoais no âmbito da Comissão, com base na avaliação dos riscos e na responsabilização.

2.   O RPD controla a aplicação do Regulamento (UE) 2018/1725 na Comissão, nomeadamente através do estabelecimento e da execução de um programa de trabalho anual em matéria de inspeções e auditorias.

3.   O RPD organiza e preside a reuniões periódicas dos CPD.

4.   O RPD conserva os registos da Comissão sobre as atividades de tratamento num registo central e torna-o acessível ao público.

O RPD deve igualmente conservar um registo interno da Comissão de violações de dados pessoais, na aceção do artigo 3.o, n.o 16, do Regulamento (UE) 2018/1725.

5.   No exercício das suas funções, o RPD coopera com os responsáveis pela proteção de dados designados pelas outras instituições e organismos da União.

6.   O RPD deve ser considerado o responsável delegado pelo tratamento para efeitos de decisões individuais relativas aos direitos dos titulares de dados ao abrigo do Regulamento (UE) 2018/1725 no que se refere às operações de tratamento de dados do RPD.

1.   O responsável delegado pelo tratamento nomeia um CPD e, se for caso disso, um ou mais CPD adjuntos na direção-geral ou serviço sob a sua responsabilidade. Dois ou mais responsáveis delegados pelo tratamento podem, por motivos de coerência ou eficiência, decidir nomear um CPD ou CPD adjunto comum, ou partilhar os serviços de um CPD ou de um CPD adjunto já nomeado. Os responsáveis delegados pelo tratamento em causa registam o seu acordo neste sentido por escrito.

2.   O CPD nomeado por uma direção-geral ou serviço é igualmente competente para o gabinete responsável por essa direção-geral ou serviço. O CPD nomeado para o secretariado-geral é competente para o gabinete do presidente, bem como para os gabinetes para os quais o secretariado-geral é o único serviço de apoio. Sempre que um gabinete seja responsável por várias direções-gerais ou serviços, os responsáveis delegados pelo tratamento decidem qual dos seus respetivos CPD serão competentes para esse gabinete.

3.   O RPD, o pessoal da direção-geral ou do serviço relevante, bem como do gabinete relevante devem ser informados sempre que seja nomeado um novo CPD.

Os CPD recém-nomeados devem concluir a formação para adquirir as competências necessárias à função de CPD no prazo de seis meses a contar da sua nomeação. Um CPD que tenha anteriormente ocupado um lugar de CPD noutra direção-geral ou serviço ou tenha sido membro do pessoal do RPD nos dois anos anteriores à sua nomeação como CPD está isento da obrigação de formação.

4.   Os responsáveis delegados pelo tratamento devem estabelecer as disposições adequadas para garantir que o CPD está envolvido de forma adequada e atempada em todas as questões relacionadas com a proteção de dados na sua direção-geral ou serviço e que os pareceres emitidos pelo CPD são prontamente levados ao conhecimento do responsável delegado pelo tratamento a pedido do CPD.

5.   Os CPD devem ser escolhidos com base nos seus conhecimentos e experiência do funcionamento da respetiva direção-geral ou serviço, na motivação para a função, nas competências relacionadas com a proteção de dados, na compreensão dos princípios dos sistemas de informação e nas capacidades de comunicação.

6.   A função de CPD pode ser combinada com outras funções. O responsável delegado pelo tratamento assegura que essas funções são compatíveis com a função de CPD.

7.   A função de CPD deve fazer parte da descrição de funções de cada membro do pessoal nomeado como CPD. A referência às suas responsabilidades e realizações será feita no relatório de avaliação anual.

8.   O CPD deve atuar como ponto de contacto entre o responsável delegado pelo tratamento, o responsável operacional pelo tratamento, o subcontratante e o RPD.

9.   Os CPD têm o direito de obter quaisquer informações na sua direção-geral ou serviço, na medida em que tal seja necessário para o desempenho das funções de CPD. Os CPD só têm acesso a dados pessoais se estes forem necessários ao exercício das suas funções.

10.   O CPD deve conservar registos e fornecer estatísticas anonimizadas dos pedidos dos titulares de dados à direção-geral, ao serviço ou ao gabinete, especificando o número de pedidos e o número de pedidos rejeitados, total ou parcialmente. O RPD especifica as categorias de pedidos relativamente os quais são elaboradas estatísticas. O RPD pode especificar quais os pormenores adicionais que devem ser fornecidos.

O CPD deve manter estatísticas anonimizadas das violações de dados pessoais geridas pela direção-geral, serviço ou gabinete, especificando o número total de violações de dados pessoais, o número de violações de dados pessoais notificadas à AEPD e o número de violações de dados pessoais comunicadas aos titulares dos dados.

11.   O CPD deve sensibilizar o pessoal da sua DG ou serviço para as questões relativas à proteção de dados e prestar aconselhamento e assistência aos responsáveis delegados pelo tratamento e aos responsáveis operacionais pelo tratamento no cumprimento das suas obrigações, nomeadamente no que diz respeito:

12.   Os CPD participam nas reuniões e, se necessário, em grupos de trabalho dos CPD.

13.   O RPD emite orientações adicionais sobre as responsabilidades e as funções do CPD.

1.   Os responsáveis delegados pelo tratamento atuam em nome da Comissão como responsáveis pelo tratamento para efeitos do Regulamento (UE) 2018/1725.

2.   Os responsáveis delegados pelo tratamento e os responsáveis operacionais pelo tratamento:

3.   O responsável delegado pelo tratamento:

Os acordos referidos no primeiro parágrafo devem estabelecer as respetivas responsabilidades no cumprimento das suas obrigações em matéria de proteção de dados. Em especial, os referidos acordos devem incluir a identificação do responsável delegado pelo tratamento que determina os meios e finalidades da operação de tratamento de dados, bem como a do responsável operacional pelo tratamento e devem indicar, se for caso disso, a pessoa e/ou entidades que ajudam o responsável operacional pelo tratamento, designadamente a recolher informações em caso de violação de dados ou a dar cumprimento aos direitos dos titulares de dados.

4.   O responsável operacional pelo tratamento:

1.   O RPD deve assegurar que o registo das operações de tratamento da Comissão é acessível através do sítio Web do RPD na Intranet da Comissão e através do sítio Web do RPD no sítio Web Europa.

2.   Os responsáveis delegados pelo tratamento comunicam os registos das suas operações de tratamento, através do seu CPD, ao RPD, utilizando o sistema de notificação em linha da Comissão, acessível através do sítio Web do RPD na Intranet da Comissão.

1.   Os pedidos de investigação referidos no artigo 6.o, alínea e), devem ser apresentados por escrito ao RPD. No prazo de 15 dias úteis a contar da receção do pedido, o RPD envia um aviso de receção à pessoa que solicitou a investigação e verifica se o pedido deve ser tratado como confidencial, a fim de garantir a confidencialidade do pedido, a menos que os titulares dos dados em causa deem o seu consentimento inequívoco para que o pedido seja tratado de outro modo. Em caso de abuso manifesto do direito de apresentar um pedido de investigação, o RPD não é obrigado a responder ao requerente.

2.   O RPD deve solicitar uma declaração escrita sobre o assunto ao responsável delegado pelo tratamento a quem compete a operação de tratamento de dados em questão. O responsável delegado pelo tratamento deve responder ao RPD no prazo de 15 dias úteis. O RPD pode solicitar informações adicionais ao responsável delegado pelo tratamento, ao subcontratante ou a outras partes no prazo de 15 dias úteis.

3.   O RPD deve apresentar os resultados à pessoa que pediu a investigação no prazo de três meses após a receção do pedido. Este prazo pode ser suspenso para permitir que o RPD receba todas as informações necessárias que tiver solicitado.

4.   Ninguém pode ser prejudicado pelo facto de ter alertado o RPD para uma alegada violação das disposições do Regulamento (UE) 2018/1725.

1.   O RPD fica adstrito ao secretariado-geral para efeitos administrativos. Neste contexto, o RPD participa na preparação do plano de gestão anual e do anteprojeto de orçamento do secretariado-geral.

2.   O RPD é o avaliador do pessoal do serviço de proteção de dados. O secretário-geral adjunto é o homologador. O RPD participa na coordenação da gestão do Secretariado-Geral, se for o caso.

1.   Sempre que exerça as suas funções no que respeita aos direitos dos titulares de dados nos termos do Regulamento (UE) 2018/1725, a Comissão verifica se se aplica alguma das exceções previstas nesse regulamento.

2.   Sob reserva do disposto nos artigos 14.o a 18.° da presente decisão, a Comissão pode limitar a aplicação dos artigos 14.o a 17.°, 19.°, 20.° e 35.° do Regulamento (UE) 2018/1725, bem como a aplicação do princípio da transparência previsto no artigo 4.o, n.o 1, alínea a), do referido regulamento, na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 17.°, 19.° e 20.° do Regulamento (UE) 2018/1725, sempre que o exercício desses direitos e obrigações comprometa a consecução da finalidade das funções do RPD, nomeadamente ao revelar os seus instrumentos e métodos de investigação e auditoria, ou prejudique os direitos e liberdades de outros titulares dos dados, em conformidade com o artigo 25.o, n.o 1, alíneas c), g) e h), do regulamento citado.

3.   Sob reserva do disposto nos artigos 14.o a 18.° da presente decisão, a Comissão pode limitar os direitos e obrigações referidos no n.o 2 do presente artigo no que se refere aos dados pessoais obtidos pelo RPD dos serviços da Comissão ou de outras instituições e organismos da União. A Comissão pode fazê-lo sempre que o exercício desses direitos e obrigações seja suscetível de ser limitado por outros serviços da Comissão, outras instituições ou organismos da União, com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725, em conformidade com o capítulo IX do referido regulamento ou em conformidade com o Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (6) ou do Regulamento (UE) 2017/1939 do Conselho (7).

Antes de aplicar limitações nas circunstâncias referidas no primeiro parágrafo, a Comissão deve consultar a instituição ou organismos da União pertinentes, a menos que seja claro para a Comissão que a aplicação de uma limitação está prevista num dos atos referidos no parágrafo citado.

4.   Qualquer limitação na aplicação dos direitos e no cumprimento das obrigações a que se refere o n.o 2 do presente artigo deve ser necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares de dados.

1.   A Comissão publica avisos relativos à proteção de dados no sítio Web da Comissão, a fim de informar todos os titulares de dados das funções do RPD que envolvam o tratamento dos respetivos dados pessoais.

2.   A Comissão informa individualmente, num formato adequado, qualquer pessoa singular que considere afetada pelas funções do RPD ou que considere um informador.

3.   Se a Comissão limitar, total ou parcialmente, a prestação de informações aos titulares de dados a que se refere o n.o 2 do presente artigo, deve registar os motivos da limitação, em conformidade com o artigo 17.o da presente decisão.

1.   Sempre que a Comissão limitar, total ou parcialmente, o direito de acesso aos dados pessoais por parte dos titulares dos dados, o direito ao apagamento ou o direito à limitação do tratamento, a que se referem, respetivamente, os artigos 17.o, 19.° e 20.° do Regulamento (UE) 2018/1725, deve informar o titular de dados em causa, na sua resposta ao pedido de acesso, de apagamento ou de limitação do tratamento, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça da União Europeia.

2.   A comunicação de informações sobre os motivos da limitação a que se refere o n.o 1 pode ser adiada, omitida ou recusada na medida em que seja suscetível de prejudicar a finalidade da limitação.

3.   A Comissão regista os motivos da limitação em conformidade com o artigo 17.o da presente decisão.

4.   Sempre que o direito de acesso for limitado total ou parcialmente, o titular de dados pode exercer o seu direito de acesso por intermédio da AEPD, nos termos do artigo 25.o, n.o s 6, 7 e 8, do Regulamento (UE) 2018/1725.

1.   A Comissão deve registar as razões de qualquer limitação aplicada nos termos da presente decisão, incluindo uma avaliação casuística da necessidade e da proporcionalidade da limitação, tendo em conta os elementos pertinentes do artigo 25.o, n.o 2, do Regulamento (UE) 2018/1725.

Para o efeito, o registo deve indicar de que forma o exercício desse direito prejudicaria as finalidades das funções do RPD realizadas em conformidade com a presente decisão, ou as limitações aplicadas nos termos do artigo 13.o, n.o s 2 ou 3, ou afetaria negativamente os direitos e liberdades de outros titulares de dados.

2.   As informações relativas às limitações e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser consignados num registo. Estes elementos devem ser disponibilizados à AEPD mediante pedido.

1.   As limitações referidas nos artigos 14.o, 15.° e 16.° mantêm-se aplicáveis enquanto subsistirem as razões que as justificam.

2.   Sempre que os motivos para uma limitação referida nos artigos 14.o ou 16.° deixem de existir, a Comissão deve anular a limitação e fornecer os motivos da limitação ao titular dos dados. A Comissão deve, simultaneamente, informar o titular dos dados da possibilidade de apresentar uma reclamação à AEPD em qualquer altura, ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

3.   A Comissão deve reexaminar a aplicação das limitações referidas nos artigos 14.o e 16.° semestralmente a partir da sua adoção e, de qualquer forma, no momento do encerramento da atividade do RPD pertinente. Posteriormente, a Comissão deve controlar a necessidade de manter qualquer limitação ou adiamento numa base anual.

1.   Sempre que outros serviços da Comissão concluam que os direitos do titular dos dados devem ser limitados nos termos da presente decisão, informam o RPD. Esses serviços facultam igualmente ao RPD o acesso ao registo e a quaisquer documentos que contenham elementos factuais e jurídicos subjacentes.

2.   O RPD pode solicitar ao responsável delegado pelo tratamento do serviço da Comissão em causa que reexamine a aplicação das limitações. O responsável delegado pelo tratamento do serviço da Comissão em causa informa o RPD, por escrito, sobre o resultado do reexame solicitado.