EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021Q0507(01)
Decision No 2021-096 Rev 1 of the Management Board of the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice of 16 April 2021 on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of the functioning of the European Union Agency for the Operational Management of the Large-Scale IT Systems in the Area of Freedom, Security and Justice
Decisão n.o 2021-096 REV 1 do Conselho de Administração da Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça de 16 de abril de 2021 sobre as regras internas relativas a limitações de determinados direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça
Decisão n.o 2021-096 REV 1 do Conselho de Administração da Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça de 16 de abril de 2021 sobre as regras internas relativas a limitações de determinados direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça
JO L 161 de 7.5.2021, p. 9–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
7.5.2021 |
PT |
Jornal Oficial da União Europeia |
L 161/9 |
DECISÃOn.o 2021-096REV 1 DO CONSELHO DE ADMINISTRAÇÃO DA AGÊNCIA DA UNIÃO EUROPEIA PARA A GESTÃO OPERACIONAL DE SISTEMAS INFORMÁTICOS DE GRANDE ESCALA NO ESPAÇO DE LIBERDADE, SEGURANÇA E JUSTIÇA
de 16 de abril de 2021
sobre as regras internas relativas a limitações de determinados direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça
O CONSELHO DE ADMINISTRAÇÃO DA AGÊNCIA DA UNIÃO EUROPEIA PARA A GESTÃO OPERACIONAL DE SISTEMAS INFORMÁTICOS DE GRANDE ESCALA NO ESPAÇO DE LIBERDADE, SEGURANÇA E JUSTIÇA (EU-LISA), doravante «eu-LISA»,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1), nomeadamente o seu artigo 25.o [doravante «Regulamento (UE) 2018/1725»],
Tendo em conta o Regulamento (UE) 2018/1726 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo à Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), que altera o Regulamento (CE) n.o 1987/2006 e a Decisão 2007/533/JAI do Conselho, e que revoga o Regulamento (UE) n.o 1077/2011 (2), nomeadamente o seu artigo 35.o [doravante «Regulamento (UE) 2018/1726»],
Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados (AEPD), de 11 de março de 2021, e as suas Orientações relativas ao artigo 25.o do Regulamento (UE) 2018/1725 e às regras internas que limitam os direitos dos titulares dos dados [«Guidance on Article 25 of the Regulation (EU) 2018/1725 and internal rules restricting data subjects rights»] (3),
Após consulta do Comité do Pessoal,
Considerando o seguinte:
|
(1) |
A eu-LISA exerce as suas atividades em conformidade com o Regulamento (UE) 2018/1726. |
|
(2) |
A eu-LISA está habilitada a proceder a inquéritos administrativos, a processos pré-disciplinares, disciplinares e de suspensão, em conformidade com o Estatuto dos Funcionários da União Europeia e o Regime Aplicável aos Outros Agentes da União Europeia, estabelecidos no Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho («Estatuto dos Funcionários») (4), e com a Decisão n.o 2014-080 do Conselho de Administração da eu-LISA, de 28 de janeiro de 2015, relativa à adoção de regras de execução do Estatuto dos Funcionários que estabelece disposições de execução relativas à condução dos inquéritos administrativos e dos processos disciplinares. Se necessário, notifica igualmente os processos ao OLAF. |
|
(3) |
Os membros do pessoal da eu-LISA têm a obrigação de comunicar atividades potencialmente ilegais, incluindo a fraude e a corrupção, que sejam lesivas dos interesses da União. Os membros do pessoal estão também obrigados a comunicar os atos relacionados com o exercício de atividades profissionais que sejam suscetíveis de constituir um incumprimento grave das obrigações dos funcionários da União. Esta obrigação é regulada pela Decisão da eu-LISA sobre as regras internas em matéria de denúncia de irregularidades, de 26 de junho de 2018. |
|
(4) |
A eu-LISA estabeleceu uma política de prevenção e tratamento eficaz de casos reais ou potenciais de assédio psicológico ou sexual no local de trabalho, tal como previsto na sua Decisão n.o 2018-174 do Conselho de Administração, de 6 de dezembro de 2018, sobre a política da eu-LISA em matéria de proteção da dignidade da pessoa e de prevenção do assédio psicológico e sexual que adota medidas de execução nos termos do Estatuto dos Funcionários. A decisão estabelece um procedimento informal em que a alegada vítima do assédio pode contactar os conselheiros confidenciais da eu-LISA. |
|
(5) |
A eu-LISA pode igualmente realizar investigações sobre potenciais violações às regras de segurança em matéria de informações classificadas da União Europeia («ICUE»), com base na sua Decisão n.o 2019-273, de 20 de novembro de 2019, que altera as respetivas regras de segurança para a proteção das ICUE. |
|
(6) |
A eu-LISA é objeto de auditorias internas e externas relativas às suas atividades. |
|
(7) |
No contexto desses inquéritos administrativos, auditorias e investigações, a eu-LISA coopera com outras instituições, órgãos, organismos e agências da União. |
|
(8) |
A eu-LISA pode cooperar com as autoridades nacionais de países terceiros e organizações internacionais, em conformidade com o disposto no artigo 43.o do Regulamento (UE) 2018/1726. |
|
(9) |
A eu-LISA pode também cooperar com as autoridades públicas dos Estados-Membros da UE, quer a pedido destas, quer por iniciativa própria. |
|
(10) |
A eu-LISA intervém em processos no Tribunal de Justiça da União Europeia quando submete uma questão à apreciação do Tribunal de Justiça, quando defende uma decisão adotada pela eu-LISA e contestada perante o Tribunal de Justiça ou quando intervém em processos relevantes para as suas funções. Neste contexto, a eu-LISA poderá ter de preservar a confidencialidade dos dados pessoais contidos em documentos obtidos pelas partes ou pelos intervenientes. |
|
(11) |
Para cumprir as suas funções, a eu-LISA recolhe e trata informações e diversas categorias de dados pessoais, incluindo os dados de identificação de pessoas singulares, os dados de contacto, as funções e tarefas profissionais, as informações sobre conduta e desempenho privados e profissionais e os dados financeiros. A eu-LISA atua como responsável pelo tratamento dos dados. |
|
(12) |
Por conseguinte, nos termos do Regulamento (UE) 2018/1725, a eu-LISA é obrigada a prestar informações aos titulares dos dados sobre essas atividades de tratamento e a respeitar os seus direitos enquanto titulares de dados. |
|
(13) |
A eu-LISA poderá ser obrigada a conciliar esses direitos com os objetivos dos inquéritos administrativos, auditorias, investigações e processos judiciais. Pode igualmente ser-lhe exigido que pondere os direitos de um titular dos dados em face dos direitos e liberdades fundamentais de outros titulares de dados. Para o efeito, o artigo 25.o do Regulamento (UE) 2018/1725 atribui à eu-LISA, sob condições estritas, a possibilidade de limitar a aplicação dos artigos 14.o a 22.o, 35.o e 36.o do Regulamento (UE) 2018/1725, bem como do artigo 4.o, na medida em que as suas disposições correspondam aos direitos e às obrigações previstos nos artigos 14.o a 20.o. A menos que as limitações estejam previstas num ato jurídico adotado com base nos Tratados, é necessário adotar regras internas que atribuam à eu-LISA o direito de limitar esses direitos. |
|
(14) |
A eu-LISA poderá, por exemplo, ter de limitar as informações que fornece a um titular de dados acerca do tratamento dos seus dados pessoais durante a fase de avaliação preliminar de um inquérito administrativo ou durante o próprio inquérito, antes de um eventual arquivamento do processo ou na fase pré-disciplinar. Em determinadas circunstâncias, a prestação dessas informações pode afetar seriamente a capacidade da eu-LISA para conduzir o inquérito de forma eficaz, sempre que, por exemplo, exista o risco de o titular de dados destruir provas ou interferir com potenciais testemunhas antes de estas serem inquiridas. A eu-LISA poderá também ter de proteger os direitos e liberdades das testemunhas, bem como os de outras pessoas envolvidas. |
|
(15) |
Poderá ser necessário proteger o anonimato de uma testemunha ou de um denunciante que tenha pedido para não ser identificado. Nesse caso, a eu-LISA pode decidir limitar o acesso à identidade, às declarações e a outros dados pessoais dessas pessoas, a fim de proteger os seus direitos e liberdades. |
|
(16) |
Poderá ser necessário proteger as informações confidenciais de um membro do pessoal que tenha contactado os conselheiros confidenciais da eu-LISA no contexto de um procedimento de assédio. Nesse caso, a eu-LISA pode decidir limitar o acesso à identidade, às declarações e a outros dados pessoais da alegada vítima, do alegado autor do assédio e de outras pessoas envolvidas, a fim de proteger os direitos e liberdades de todas as partes em causa. |
|
(17) |
A eu-LISA só deve aplicar limitações quando estas respeitem a essência dos direitos e liberdades fundamentais, sejam estritamente necessárias e constituam uma medida proporcionada numa sociedade democrática. A eu-LISA deve apresentar justificações que expliquem os motivos dessas limitações. |
|
(18) |
Em cumprimento do princípio da responsabilização, a eu-LISA deve manter um registo da sua aplicação das limitações. |
|
(19) |
Ao tratar dados pessoais trocados com outras organizações no âmbito das suas funções, a eu-LISA e essas organizações deverão consultar-se mutuamente sobre os motivos potenciais para impor limitações e sobre a necessidade e proporcionalidade dessas limitações, a menos que tal comprometa as atividades da eu-LISA. |
|
(20) |
O artigo 25.o, n.o 6, do Regulamento (UE) 2018/1725 impõe ao responsável pelo tratamento a obrigação de informar os titulares dos dados sobre os principais motivos de aplicação da limitação e sobre o seu direito de apresentar uma reclamação à AEPD. |
|
(21) |
Nos termos do artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725, a eu-LISA pode adiar, omitir ou recusar a comunicação de informações ao titular dos dados sobre os motivos para a aplicação de uma limitação, caso se presuma que tal anule de algum modo o efeito da limitação. A eu-LISA deve avaliar, caso a caso, se a comunicação da limitação anularia o seu efeito. |
|
(22) |
A eu-LISA deve levantar a limitação logo que as condições que a justificam deixem de ser aplicáveis, bem como deve avaliar essas condições com regularidade. |
|
(23) |
A fim de garantir a máxima proteção dos direitos e liberdades dos titulares dos dados e em conformidade com o artigo 44.o, n.o 1, do Regulamento (UE) 2018/1725, o encarregado da proteção de dados da eu-LISA deve ser consultado em tempo útil acerca de quaisquer limitações que possam ser aplicadas e deve verificar a sua conformidade com a presente decisão. |
|
(24) |
Os artigos 16.o, n.o 5, e 17.o, n.o 4, do Regulamento (UE) 2018/1725 preveem exceções ao direito à informação e ao direito de acesso dos titulares de dados. Caso estas exceções sejam aplicáveis, não será necessário que a eu-LISA aplique uma limitação nos termos da presente decisão. |
|
(25) |
Nos termos do artigo 35.o, n.o 2, do Regulamento (UE) 2018/1726, o Conselho de Administração deve adotar medidas para a aplicação do Regulamento (UE) 2018/1725 pela Agência, incluindo as regras internas a que se refere o artigo 25.o, n.os 1, 3 e 4, do Regulamento (UE) 2018/1725, após consulta da AEPD, |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
Objeto e âmbito de aplicação
1. A presente decisão estabelece regras relativas às condições em que a eu-LISA pode limitar a aplicação dos artigos 4.o, 14.o a 22.o, 35.o e 36.o, nos termos do artigo 25.o do Regulamento (UE) 2018/1725, no contexto dos procedimentos previstos no n.o 2, em conformidade com o artigo 25.o do referido Regulamento.
2. A eu-LISA, na qualidade de responsável pelo tratamento, é representada pelo respetivo diretor-executivo.
Artigo 2.o
Limitações
1. A eu-LISA pode limitar a aplicação dos artigos 14.o a 22.o, 35.o e 36.o do Regulamento, bem como do seu artigo 4.o, na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 20.o:
|
a) |
nos termos do artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do Regulamento (UE) 2018/1725, na condução de inquéritos administrativos, de processos pré-disciplinares, disciplinares ou de suspensão ao abrigo do artigo 86.o e do anexo IX do Estatuto dos Funcionários, e da Decisão n.o 2014-080 da eu-LISA, de 28 de janeiro de 2015, bem como aquando da notificação dos processos ao OLAF; |
|
b) |
nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento (UE) 2018/1725, ao assegurar que os membros do pessoal da eu-LISA possam comunicar factos confidencialmente sempre que considerem que existem irregularidades graves, tal como previsto na Decisão n.o 2018-122 da eu-LISA, de 26 de junho de 2018, sobre as regras internas em matéria de denúncia de irregularidades; |
|
c) |
nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento (UE) 2018/1725, ao assegurar que os membros do pessoal da eu-LISA possam contactar os conselheiros confidenciais no contexto de um procedimento de assédio, conforme definido na Decisão n.o 2018-174 da eu-LISA, de dezembro de 2018; |
|
d) |
nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725, ao realizar auditorias internas relativamente a atividades ou departamentos da eu-LISA; |
|
e) |
nos termos do artigo 25.o, n.o 1, alíneas c), d), g) e h), do Regulamento (UE) 2018/1725, ao prestar assistência a outras instituições, órgãos, organismos e agências da União, ao receber assistência destes ou ao cooperar com estes no contexto das atividades previstas nas alíneas a) a d) do presente número, e nos termos dos acordos de nível de serviço, memorandos de entendimento e acordos de cooperação pertinentes; |
|
f) |
nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725, ao prestar assistência às autoridades nacionais de países terceiros e organizações internacionais, ao receber assistência destas ou ao cooperar com tais autoridades e organizações, sem prejuízo do disposto no artigo 43.o do Regulamento (UE) 2018/1726; |
|
g) |
nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725, ao prestar assistência e cooperação às autoridades públicas dos Estados-Membros da UE ou ao receber assistência e cooperação destas, quer a seu pedido, quer por iniciativa própria; |
|
h) |
nos termos do artigo 25.o, n.o 1, alínea e), do Regulamento (UE) 2018/1725, no tratamento de dados pessoais em documentos obtidos pelas partes ou pelos intervenientes no âmbito de um processo no Tribunal de Justiça da União Europeia. |
2. Qualquer limitação deve respeitar a essência dos direitos e das liberdades fundamentais e constituir uma medida necessária e proporcionada numa sociedade democrática.
3. Deve ser efetuado um teste da necessidade e da proporcionalidade, caso a caso, antes da aplicação de limitações. As limitações devem limitar-se ao estritamente necessário para alcançar os seus objetivos.
4. A eu-LISA deve elaborar, para efeitos de responsabilização, um relatório que descreva os motivos das limitações aplicadas, que identifique os motivos enumerados no n.o 1 que são aplicáveis e que indique os resultados do teste da necessidade e da proporcionalidade. Esse documento deve ser incluído num registo, que será facultado à AEPD, a pedido desta. A eu-LISA deve elaborar relatórios periódicos sobre a aplicação do artigo 25.o do Regulamento (UE) 2018/1725.
5. Ao proceder ao tratamento de dados pessoais recebidos de outras organizações no âmbito das suas funções, a eu-LISA deve consultar essas organizações sobre os eventuais motivos para a imposição de limitações e sobre a necessidade e proporcionalidade das limitações em causa, a menos que tal comprometa as atividades da eu-LISA.
Artigo 3.o
Riscos para os direitos e liberdades dos titulares de dados
1. As avaliações dos riscos para os direitos e liberdades dos titulares de dados decorrentes da imposição de limitações e os pormenores sobre o período de aplicação dessas limitações devem ser registados no registo das atividades de tratamento conservado pela eu-LISA nos termos do artigo 31.o do Regulamento. Devem igualmente ser registados em quaisquer avaliações de impacto sobre a proteção de dados relativas a essas limitações realizadas nos termos do artigo 39.o do Regulamento (UE) 2018/1725.
2. Sempre que a eu-LISA avalie a necessidade e a proporcionalidade de uma limitação, deve considerar os potenciais riscos para os direitos e liberdades do titular dos dados.
Artigo 4.o
Garantias e prazos de conservação
1. A eu-LISA deve aplicar garantias destinadas a evitar abusos e o acesso ou a transferência ilegais dos dados pessoais relativamente aos quais se aplicam ou podem ser aplicadas limitações. Estas garantias incluem medidas técnicas e organizativas e, se necessário, são descritas nas decisões, procedimentos e normas de execução internas da eu-LISA. As garantias incluem:
|
a) |
uma definição adequada das funções, responsabilidades e etapas processuais; |
|
b) |
se adequado, um ambiente eletrónico seguro que impeça o acesso ilícito e acidental ou a transferência de dados eletrónicos para pessoas não autorizadas; |
|
c) |
se for caso disso, a conservação segura e o tratamento de documentos em papel; |
|
d) |
a monitorização adequada das limitações e uma revisão periódica da sua aplicação. |
As revisões referidas na alínea d) devem ser realizadas pelo menos de seis em seis meses.
2. As limitações devem ser levantadas assim que cessarem as circunstâncias que as justificam.
3. Os dados pessoais devem ser conservados em conformidade com as regras de conservação aplicáveis da eu-LISA, a ser definidas nos registos de proteção de dados conservados nos termos do artigo 31.o do Regulamento (UE) 2018/1725. No termo do período de conservação, os dados pessoais devem ser apagados, anonimizados ou transferidos para arquivos em conformidade com o artigo 13.o do Regulamento (UE) 2018/1725.
Artigo 5.o
Participação do encarregado da proteção de dados
1. O encarregado da proteção de dados da eu-LISA deve ser informado sem demora injustificada sempre que os direitos dos titulares dos dados sejam ou se destinem a ser objeto de limitações em conformidade com a presente decisão. Ser-lhe-á concedido acesso aos registos conexos e a quaisquer documentos relativos ao contexto factual ou jurídico.
2. O encarregado da proteção de dados da eu-LISA pode solicitar o reexame da aplicação de uma limitação. A eu-LISA deve informar por escrito o seu encarregado da proteção de dados acerca do resultado do reexame.
3. A eu-LISA deve documentar a intervenção do encarregado da proteção de dados na aplicação das limitações, incluindo as informações que lhe são comunicadas.
4. Na prática, a pessoa que atua em nome do responsável pelo tratamento («responsável pelo tratamento de facto») (5)deve informar o encarregado da proteção de dados da eu-LISA quando a limitação tiver sido levantada.
Artigo 6.o
Informação aos titulares dos dados sobre as limitações aos seus direitos
1. A eu-LISA deve incluir nos avisos sobre a proteção de dados publicados no seu sítio Web ou Intranet uma secção que presta informações gerais aos titulares dos dados sobre a eventual limitação dos direitos dos titulares de dados nos termos do artigo 2.o, n.o 1. As informações devem abranger os direitos que podem ser limitados, os motivos que podem justificar a aplicação das limitações e a duração da eventual limitação.
2. A eu-LISA deve informar individualmente os titulares dos dados, por escrito e sem demora injustificada, acerca das limitações atuais ou futuras aos seus direitos. A eu-LISA deve informar o titular dos dados acerca dos principais motivos em que se baseia a aplicação da limitação, do seu direito de consultar o encarregado da proteção de dados com vista a contestar a limitação e do seu direito de apresentar uma reclamação à AEPD.
3. A eu-LISA pode adiar, omitir ou recusar a comunicação de informações sobre os motivos de uma limitação e o direito de apresentar uma reclamação à AEPD enquanto se presuma que tal anule o efeito da limitação. A avaliação de tal justificação deve ser efetuada caso a caso. A eu-LISA deve fornecer as informações ao titular dos dados assim que isso deixe de ser suscetível de anular o efeito da limitação.
Artigo 7.o
Comunicação de violações de dados pessoais ao titular dos dados
1. Sempre que esteja obrigada a comunicar uma violação de dados nos termos do artigo 35.o, n.o 1, do Regulamento (UE) 2018/1725, a eu-LISA pode, em circunstâncias excecionais, limitar total ou parcialmente essa comunicação. Deve documentar em nota os motivos da limitação, o seu fundamento jurídico nos termos do artigo 2.o e uma avaliação da sua necessidade e proporcionalidade. A nota deve ser comunicada à AEPD no momento da notificação da violação de dados pessoais.
2. Se os motivos da limitação deixarem de se aplicar, a eu-LISA deve comunicar a violação dos dados pessoais ao titular dos dados em causa e informá-lo dos principais motivos da limitação e do seu direito de apresentar uma reclamação à AEPD.
Artigo 8.o
Confidencialidade das comunicações eletrónicas
1. Em circunstâncias excecionais, a eu-LISA pode limitar o direito à confidencialidade das comunicações eletrónicas estabelecido no artigo 36.o do Regulamento (UE) 2018/1725. Tais limitações devem cumprir o disposto na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (6).
2. Quando a eu-LISA limita o direito à confidencialidade das comunicações eletrónicas, deve informar o titular dos dados em causa, na sua resposta a qualquer pedido deste, acerca dos principais motivos em que se baseia a aplicação da limitação e do seu direito de apresentar uma reclamação à AEPD.
3. A eu-LISA pode adiar, omitir ou recusar a comunicação de informações sobre os motivos de uma limitação e o direito de apresentar uma reclamação à AEPD enquanto se presuma que tal anule o efeito da limitação. A avaliação de tal justificação deve ser efetuada caso a caso.
Artigo 9.o
Entrada em vigor
A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Taline, em 16 de abril de 2021.
Pelo Conselho de Administração
O Presidente
Zsolt SZOLNOKI
(1) JO L 295 de 21.11.2018, p. 39.
(2) JO L 295 de 21.11.2018, p. 99.
(3) Orientações da AEPD relativas ao artigo 25.o do Regulamento (UE) 2018/1725 e às regras internas que limitam os direitos dos titulares dos dados (atualização em 24 de junho de 2020) — https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en
(4) Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime Aplicável aos Outros Agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1).
(5) Orientações da AEPD relativas à documentação das operações de tratamento para instituições, órgãos e agências da UE — Responsabilização no terreno Parte I [«Accountability on the ground Part I»] — «a gestão de topo é responsável pelo cumprimento das regras; contudo, a responsabilidade é geralmente assumida a um nível inferior (“pessoa que atua em nome do responsável pelo tratamento”/“responsável pelo tratamento de facto”)».
(6) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).