EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020Q0827(01)

Decisão n.o 64 do Conselho de Administração do Gabinete Europeu de Apoio em matéria de Asilo de 6 de julho de 2020 que aprova regras internas relativas à limitação de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da EASO

OJ L 279, 27.8.2020, p. 15–22 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2020/827(2)/oj

27.8.2020   

PT

Jornal Oficial da União Europeia

L 279/15


DECISÃO n.o 64 DO CONSELHO DE ADMINISTRAÇÃO DO GABINETE EUROPEU DE APOIO EM MATÉRIA DE ASILO

de 6 de julho de 2020

que aprova regras internas relativas à limitação de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto do funcionamento da EASO

O CONSELHO DE ADMINISTRAÇÃO DO GABINETE EUROPEU DE APOIO EM MATÉRIA DE ASILO (EASO),

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1), nomeadamente o artigo 25.o,

Tendo em conta o Regulamento (UE) n.o 439/10 do Parlamento Europeu e do Conselho, de 19 de maio de 2010, que cria um Gabinete Europeu de Apoio em matéria de Asilo (2), nomeadamente o artigo 29.o,

Tendo em conta o Parecer da Autoridade Europeia para a Proteção de Dados («AEPD»), de 20 de maio de 2020, e as Orientações da AEPD sobre o artigo 25.o do novo Regulamento e as regras internas,

Após consultar o Comité de Pessoal,

Considerando o seguinte:

(1)

A EASO exerce as suas atividades em conformidade com o Regulamento (UE) n.o 439/10.

(2)

Em conformidade com o artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725, as limitações à aplicação dos artigos 14.o a 21.°, dos artigos 35.o e 36.°, e do artigo 4.o desse regulamento, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.°, devem basear-se nas regras internas a adotar pela EASO, quando não assentem em atos normativos adotados com base nos Tratados.

(3)

Estas regras internas, incluindo as disposições sobre a avaliação da necessidade e da proporcionalidade de uma limitação, não devem aplicar-se nos casos em que um ato normativo adotado com base nos Tratados preveja uma limitação dos direitos do titular dos dados.

(4)

Nos casos em que a EASO desempenha as suas funções relativamente a direitos do titular dos dados na aceção do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.

(5)

No contexto do seu funcionamento administrativo, a EASO pode conduzir inquéritos administrativos e processos disciplinares, levar a cabo atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao Organismo Europeu de Luta Antifraude (OLAF), tratar casos de denúncias, executar procedimentos (formais e informais) de assédio, tratar reclamações internas e externas, realizar auditorias internas, levar a cabo investigações, através do encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, realizar investigações em matéria de segurança (informática) interna e tratar pedidos de acesso por parte de membros do pessoal aos respetivos processos médicos.

A EASO trata várias categorias de dados pessoais, incluindo dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com ou apresentados no âmbito da matéria a que se refere o procedimento ou a atividade).

(6)

A EASO, representada pelo seu diretor executivo, atua como responsável pelo tratamento dos dados, sem prejuízo de subsequentes delegações dessa função no seio da EASO, a fim de refletir as responsabilidades operacionais no que se refere a operações específicas de tratamento de dados pessoais.

(7)

Os dados pessoais são armazenados em segurança num ambiente eletrónico ou em papel, evitando a utilização abusiva e o acesso ou a transferência ilícitos de dados para pessoas que não tenham de os conhecer. Os dados pessoais tratados são conservados apenas durante o tempo necessário e adequado às finalidades do respetivo tratamento, num período especificado nos avisos sobre a proteção de dados ou nos registos da EASO.

(8)

Estas regras internas devem aplicar-se a todas as operações de tratamento realizadas pela EASO no âmbito de inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, procedimentos de denúncia, procedimentos (formais e informais) relativos a casos de assédio, tratamento de reclamações internas e externas, auditorias internas, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, investigações em matéria de segurança (informática) interna, levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE) e tratamento de pedidos de acesso por parte de membros do pessoal aos respetivos processos médicos.

(9)

Estas regras internas devem aplicar-se a operações de tratamento realizadas antes do início dos procedimentos acima referidos, ao longo dos mesmos e durante a monitorização do seguimento dado aos resultados de tais procedimentos. Devem ainda abranger a assistência e a cooperação disponibilizadas pela EASO, fora do âmbito das suas investigações administrativas, a autoridades nacionais e a organizações internacionais.

(10)

Sempre que tais regras internas se apliquem, a EASO deve apresentar justificações em que explique o motivo pelo qual as limitações são estritamente necessárias e proporcionadas numa sociedade democrática, e a forma como respeitam a essência dos direitos e liberdades fundamentais.

(11)

Neste contexto, compete à EASO respeitar tanto quanto possível, durante os procedimentos acima referidos, os direitos fundamentais dos titulares dos dados, em especial os relacionados com o direito de comunicação de informações ao titular dos dados, o direito de acesso pelo titular dos dados, os direitos do titular dos dados à retificação, ao apagamento e à limitação do tratamento e os direitos de comunicação ao titular dos dados de uma violação de dados pessoais e a confidencialidade das comunicações eletrónicas, conforme estabelecido no Regulamento (UE) 2018/1725.

(12)

Contudo, a EASO poderá ser obrigada a limitar o direito de comunicação de informações ao titular dos dados, e outros direitos deste, a fim de proteger, em especial, as suas próprias investigações, as investigações e processos de outras autoridades públicas, bem como os direitos de outras pessoas envolvidas nas suas investigações ou noutros procedimentos.

(13)

A EASO deve verificar regularmente se as condições que justificam a limitação ainda se mantêm e levantar essa limitação assim que deixem de se manter.

(14)

O responsável pelo tratamento deve informar o encarregado da proteção de dados no momento em que a limitação é aplicada e durante os reexames subsequentes e deve envolvê-lo ao longo de todo o procedimento, até ao levantamento da limitação,

ADOTOU A SEGUINTE DECISÃO:

Artigo 1.o

Objeto e âmbito de aplicação

1.   A presente decisão estabelece as regras relativas às condições em que a EASO pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.°, 35.° e 36.°, bem como no artigo 4.o do Regulamento (UE) 2018/1725, no contexto dos procedimentos descritos no artigo 25.o, n.o 2, do mesmo regulamento.

2.   No âmbito do funcionamento administrativo da EASO, a presente decisão aplica-se às operações de tratamento de dados pessoais realizadas pela EASO com as finalidades de realizar inquéritos administrativos e processos disciplinares, bem como atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratar casos de denúncia, executar procedimentos (formais e informais) de assédio, tratar reclamações internas e externas, realizar auditorias internas, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, investigações em matéria de segurança (informática), levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE) e tratar pedidos de acesso por parte de membros do pessoal aos respetivos processos médicos.

3.   As categorias de dados em questão consistem em dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados relacionados com o desempenho e conduta e dados relacionados com ou apresentados no âmbito da matéria a que se refere o procedimento ou a atividade).

4.   Nos casos em que a EASO desempenha as suas funções relativamente a direitos do titular dos dados nos termos do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das exceções previstas nesse regulamento.

5.   Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: direito de comunicação de informações ao titular dos dados, direito de acesso pelo titular dos dados, direitos do titular dos dados à retificação, ao apagamento e à limitação do tratamento e direitos de comunicação de uma violação de dados pessoais ao titular dos dados e confidencialidade das comunicações eletrónicas.

Artigo 2.o

Especificação do responsável pelo tratamento e salvaguardas

1.   A EASO deve criar as salvaguardas seguintes, a fim de evitar a utilização abusiva ou o acesso ou transferência ilícitos:

a)

Os documentos em papel são mantidos em armários de arquivo seguros e estão acessíveis apenas a membros autorizados do pessoal;

b)

Todos os dados eletrónicos são conservados numa aplicação informática segura, de acordo com as regras de segurança da EASO, bem como em pastas eletrónicas específicas, acessíveis apenas a membros autorizados do pessoal. Os níveis adequados de acesso são concedidos individualmente;

c)

O acesso ao ambiente informático da EASO é feito através de um sistema de início de sessão único e associado automaticamente à palavra-passe e ao ID do utilizador. Os registos eletrónicos são mantidos em segurança para salvaguardar a confidencialidade e a privacidade dos dados que contêm;

d)

Todas as pessoas que disponham de acesso aos dados estão sujeitas à obrigação de confidencialidade;

2.   O responsável pelas operações de tratamento é a EASO, representada pelo seu diretor executivo, que pode delegar a função de responsável pelo tratamento. Nos casos em que o Diretor Executivo esteja sujeito a inquérito administrativo, processo disciplinar ou investigação interna, o Conselho de Administração representará o EASO como controlador de dados (como autoridade investida do poder de nomeação do Diretor Executivo). Os titulares dos dados são informados acerca do responsável pelo tratamento delegado por meio dos avisos sobre a proteção de dados ou de registos publicados no sítio Web e na intranet da EASO.

3.   O período de conservação dos dados pessoais mencionado no artigo 1.o, n.o 3, da presente decisão não excede o necessário e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, não excede o período de conservação indicado nos avisos sobre a proteção de dados ou nos registos a que se refere o artigo 3.o, n.o 3, da presente decisão.

4.   Sempre que a EASO pondere aplicar uma limitação, os riscos para os direitos e as liberdades do titular dos dados serão ponderados, em especial face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de anular o efeito de investigações ou procedimentos da EASO, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e o direito a ser ouvido.

Artigo 3.o

Restrições

1.   A EASO apenas aplicará uma limitação com base num ou mais dos motivos enumerados nas alíneas a) a i) do artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725. Nomeadamente no contexto das finalidades do tratamento de dados pessoais indicadas no artigo 1.o, n.o 2, da presente decisão, as limitações devem basear-se nos seguintes motivos:

a)

Para a realização de inquéritos administrativos e de processos disciplinares, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas b), c), g) e h), do Regulamento (UE) 2018/1725;

b)

Para as atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do Regulamento (UE) 2018/1725;

c)

Para os procedimentos de denúncia, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas b), c), f) g) e h), do Regulamento (UE) 2018/1725;

d)

Para os procedimentos (formais e informais) de assédio, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas b), f), h) e i), do Regulamento (UE) 2018/1725;

e)

Para o tratamento de reclamações internas e externas, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas c), e), g) e h), do Regulamento (UE) 2018/1725;

f)

Para as auditorias internas, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725;

g)

Para as investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, as limitações podem basear-se no artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento (UE) 2018/1725;

h)

Para as investigações em matéria de segurança informática, levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE), as limitações podem basear-se no artigo 25.o, n.o 1, alíneas c), d), g) e h), do Regulamento (UE) 2018/1725;

i)

Para o tratamento de pedidos de acesso por parte de membros do pessoal aos respetivos processos médicos, as limitações podem basear-se no artigo 25.o, n.o 1, alínea h), do Regulamento (UE) 2018/1725.

2.   Enquanto aplicação específica das finalidades descritas no n.o 1 supra, a EASO pode aplicar limitações aos direitos a que se refere o artigo 1.o, n.o 5, da presente decisão nas seguintes circunstâncias:

a)

Nos casos em que outra instituição, órgão ou organismo da União tenha o direito de limitar o exercício destes direitos com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725 ou em conformidade com o capítulo IX desse regulamento, ou com os respetivos atos constitutivos, e a finalidade dessa limitação por parte de outra instituição, órgão ou organismo possa ser comprometida caso a EASO não aplique uma limitação equivalente em relação aos mesmos dados pessoais;

b)

Nos casos em que a autoridade competente de um Estado-Membro tenha o direito de limitar o exercício destes direitos com base em atos a que se refere o artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (3), ou nos termos de medidas nacionais de transposição dos artigos 13.o, n.o 3, 15.°, n.o 3, ou 16.°, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (4) e a finalidade dessa limitação por parte dessa autoridade competente de um Estado-Membro possa ser comprometida caso a EASO não aplique uma limitação equivalente em relação aos mesmos dados pessoais;

c)

Nos casos em que o exercício desses direitos possa pôr em causa a cooperação da EASO com países terceiros ou organizações internacionais no exercício das suas funções.

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a EASO deve consultar os serviços competentes da instituição, órgão ou organismo da União, ou a autoridade competente do Estado-Membro, a menos que seja claro para a EASO que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas.

3.   Nos avisos sobre a proteção de dados ou nos registos, na aceção do artigo 31.o do Regulamento (UE) 2018/1725, publicados no seu sítio Web e na intranet para informar os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, a EASO deve incluir informações relacionadas com a eventual limitação desses direitos. As informações devem indicar os direitos passíveis de serem limitados, bem como os motivos e a duração da eventual limitação.

Sem prejuízo do disposto no artigo 5.o, n.o 2, quando tal for proporcionado, a EASO também informará individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela operação de tratamento em causa acerca dos seus direitos no que diz respeito a limitações presentes e futuras.

4.   Qualquer limitação será necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, e respeitará a essência dos direitos e liberdades fundamentais numa sociedade democrática.

5.   Se for ponderada a aplicação de uma limitação, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras. O mesmo é documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.

6.   As limitações devem ser levantadas assim que as circunstâncias que as justificam deixarem de se verificar, em especial se se considerar que o exercício do direito limitado já não anula o efeito da limitação imposta nem afeta negativamente os direitos ou liberdades de outros titulares de dados.

Artigo 4.o

Reexame pelo Encarregado da Proteção de Dados

1.   O encarregado da proteção de dados («o EPD») da EASO deverá ser informado, sem demora injustificada, sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados, ou prorrogue a limitação, em conformidade com a presente decisão. O responsável pelo tratamento deve conceder ao EPD acesso ao registo que contém a avaliação da necessidade e proporcionalidade da limitação, bem como documentar, nesse registo, a data em que informou o EPD. Este deverá ser envolvido ao longo de todo o procedimento, até ao levantamento da limitação.

2.   O EPD pode solicitar por escrito, ao responsável pelo tratamento, o reexame da aplicação das limitações. O responsável pelo tratamento informará o EPD, por escrito, acerca do resultado do reexame solicitado.

3.   O responsável pelo tratamento deve informar o EPD quando a limitação for levantada.

Artigo 5.o

Limitação do direito de comunicação de informações ao titular dos dados

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito de comunicação de informações ao titular dos dados pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento:

a)

Realização de inquéritos administrativos e de processos disciplinares;

b)

Atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;

c)

Procedimentos de denúncia;

d)

Procedimentos (formais e informais) relativos a casos de assédio;

e)

Tratamento de reclamações internas e externas;

f)

Auditorias internas;

g)

Investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;

h)

Investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).

2.   Se a EASO limitar, no todo ou em parte, o direito de comunicação de informações aos titulares dos dados a que se referem os artigos 14.o a 16.° do Regulamento (UE) 2018/1725, deverá documentar o(s) motivo(s) dessa limitação e a base jurídica, em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e proporcionalidade da limitação.

O registo e, se for caso disso, os documentos que contêm os elementos de facto e de direito subjacentes são inscritos. Estes elementos devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

3.   A limitação a que se refere o n.o 2 continua a aplicar-se enquanto se mantiverem os motivos que a justificam.

Quando os motivos para a limitação cessarem, a EASO fornecerá informações ao titular dos dados sobre os principais motivos em que se baseia a aplicação de uma limitação. A EASO informará, simultaneamente, o titular dos dados da possibilidade de, a qualquer momento, apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou intentar uma ação judicial no Tribunal de Justiça da União Europeia (o «Tribunal de Justiça»).

A EASO reexaminará a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento do inquérito, procedimento ou investigação pertinentes. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação. O teste de necessidade e de proporcionalidade a que se refere o artigo 3.o, n.o 5, é realizado igualmente no contexto de cada reexame periódico, na sequência de uma avaliação sobre se os motivos factuais e jurídicos da limitação ainda são aplicáveis.

Artigo 6.o

Limitação do direito de acesso por parte do titular dos dados

1.   Em casos devidamente fundamentados, e nas condições definidas na presente decisão, o direito de acesso por parte do titular dos dados pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e proporcionado:

a)

Realização de inquéritos administrativos e de processos disciplinares;

b)

Atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;

c)

Procedimentos de denúncia;

d)

Procedimentos (formais e informais) relativos a casos de assédio;

e)

Tratamento de reclamações internas e externas;

f)

Auditorias internas;

g)

Investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;

h)

Investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).

i)

Tratamento de pedidos de acesso por parte de membros do pessoal aos respetivos processos médicos.

Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, a EASO restringirá a sua apreciação do pedido unicamente a esses dados pessoais.

2.   Se a EASO limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, tomará as seguintes medidas:

a)

Informar o titular dos dados em causa, na sua resposta ao pedido, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça;

b)

Documentar, numa nota de avaliação interna, os motivos da limitação, incluindo uma avaliação da necessidade e proporcionalidade da limitação e da respetiva duração.

As limitações impostas ao direito de acesso por parte de membros do pessoal aos respetivos processos médicos diz apenas respeito a pedidos de acesso direto por parte de membros do pessoal a dados médicos de natureza psicológica ou psiquiátrica em que uma avaliação feita caso a caso revele que é necessário o acesso indireto para efeitos de proteção do titular dos dados. O acesso a tais dados será feito por intermédio de um médico nomeado pelo titular dos dados em questão. É concedido ao médico escolhido pelo titular dos dados o acesso a todas as informações, bem como o poder discricionário para decidir de que forma e que acesso se deve conceder ao titular dos dados.

A comunicação das informações a que se refere a alínea a) pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725.

A EASO deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento do inquérito, procedimento ou investigação pertinentes. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

O teste de necessidade e de proporcionalidade a que se refere o artigo 3.o, n.o 5, é realizado igualmente no contexto de cada reexame periódico, na sequência de uma avaliação sobre se os motivos factuais e jurídicos da limitação ainda são aplicáveis.

3.   O registo e, se for caso disso, os documentos que contêm os elementos de facto e de direito subjacentes devem ser inscritos. Estes elementos devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

Artigo 7.o

Limitação dos direitos do titular dos dados à retificação, ao apagamento e à limitação do tratamento

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, os direitos do titular dos dados à retificação, ao apagamento e à limitação do tratamento podem ser limitados pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

a)

Realização de inquéritos administrativos e de processos disciplinares;

b)

Atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;

c)

Procedimentos de denúncia;

d)

Procedimentos (formais e informais) relativos a casos de assédio;

e)

Tratamento de reclamações internas e externas;

f)

Auditorias internas;

g)

Investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;

h)

Investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).

2.   Se a EASO limitar, no todo ou em parte, a aplicação dos direitos do titular dos dados à retificação, ao apagamento e à limitação do tratamento a que se referem os artigos 18.o, 19.°, n.o 1, e 20.°, n.o 1, do Regulamento (UE) 2018/1725, respetivamente, tomará as medidas indicadas no artigo 6.o, n.o 2, da presente decisão e procede à inscrição do registo em conformidade com o artigo 6.o, n.o 3.

Artigo 8.o

Limitação dos direitos de comunicação de uma violação de dados pessoais ao titular dos dados e confidencialidade das comunicações eletrónicas

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à comunicação de uma violação de dados pessoais ao titular dos dados pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

a)

Realização de inquéritos administrativos e de processos disciplinares;

b)

Atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;

c)

Procedimentos de denúncia;

d)

Tratamento de reclamações internas e externas;

e)

Auditorias internas;

f)

Investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;

g)

Investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).

2.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à confidencialidade das comunicações eletrónicas pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

a)

Realização de inquéritos administrativos e de processos disciplinares;

b)

Atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;

c)

Procedimentos de denúncia;

d)

Procedimentos formais relativos a casos de assédio;

e)

Tratamento de reclamações internas e externas;

f)

Investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).

3.   Se a EASO limitar os direitos à comunicação de uma violação de dados pessoais ao titular de dados ou a confidencialidade das comunicações eletrónicas a que se referem os artigos 35.o e 36.° do Regulamento (UE) 2018/1725, respetivamente, deve documentar e registar os motivos para a limitação, em conformidade com o artigo 5.o, n.o 2, da presente decisão. Aplica-se igualmente o artigo 5.o, n.o 3, da presente decisão.

Artigo 9.o

Entrada em vigor

A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Valletta Harbour, em 6 de julho de 2020.

Pelo Gabinete Europeu de Apoio em matéria de Asilo

David COSTELLO

Presidente do Conselho de Administração


(1)  JO L 295 de 21.11.2018, p. 39.

(2)  JO L 132 de 29.5.2010, p. 11.

(3)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(4)  Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).


Top