This document is an excerpt from the EUR-Lex website
Document 32019D0802(01)
Decision of the Bureau of the European Parliament of 17 June 2019 on the implementing rules relating to Regulation (EU) 2018/1725 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data by the Union Institutions, Bodies, Offices and Agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC
Decisão da Mesa, de 17 de junho de 2019, sobre as regras de execução do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.° 45/2001 e a Decisão n.° 1247/2002/CE
Decisão da Mesa, de 17 de junho de 2019, sobre as regras de execução do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.° 45/2001 e a Decisão n.° 1247/2002/CE
JO C 259 de 2.8.2019, p. 2–24
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 16/07/2024
2.8.2019 |
PT |
Jornal Oficial da União Europeia |
C 259/2 |
DECISÃO DA MESA
de 17 de junho de 2019
sobre as regras de execução do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE
(2019/C 259/02)
A MESA DO PARLAMENTO EUROPEU,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.o,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (1), nomeadamente o artigo 25.o e o artigo 45.o, n.o 3,
Tendo em conta o artigo 25.o, n.o 2, do Regimento do Parlamento Europeu,
Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados de 2 de maio de 2019, que foi consultada nos termos do artigo 41.o, n.o 2, do Regulamento (UE) 2018/1725 em relação ao capítulo V da presente decisão,
Considerando o seguinte:
(1) |
O Regulamento (UE) 2018/1725 estabelece os princípios e as regras aplicáveis ao tratamento de dados pessoais por todas as instituições e órgãos da União e prevê que cada instituição e órgão da União nomeie um encarregado da proteção de dados. |
(2) |
O objetivo das regras de execução do Parlamento Europeu relativas ao Regulamento (UE) 2018/1725 («regras de execução») consiste em especificar as funções, os deveres e as competências do encarregado da proteção de dados do Parlamento Europeu («encarregado da proteção de dados»). |
(3) |
O objetivo das regras de execução consiste igualmente em estabelecer os procedimentos que permitam aos titulares dos dados exercer os seus direitos e a todas as pessoas que, no Parlamento Europeu, estejam envolvidas no tratamento de dados pessoais cumprir as suas obrigações. |
(4) |
As regras de execução deverão garantir que o Parlamento Europeu respeite devidamente as suas obrigações decorrentes do Regulamento (UE) 2018/1725, sem que tal o impeça de desenvolver corretamente as suas atividades legislativas, orçamentais, políticas, analíticas, de controlo e de comunicação. |
(5) |
Por conseguinte, o Regulamento (UE) 2018/1725 e, em particular, as exceções aplicáveis aos direitos dos titulares dos dados nele previstas, deverão ser interpretados de modo a garantir que o Parlamento Europeu possa exercer plenamente as suas competências, nomeadamente as suas funções legislativas e orçamentais, bem como as suas funções de controlo político e de consulta, como previsto nos Tratados. |
(6) |
Para o efeito, o exercício do direito ao apagamento dos dados previsto no artigo 19.o do Regulamento (UE) 2018/1725 deverá ser interpretado de forma a evitar que a sua aplicação interfira indevidamente com a obrigação do Parlamento Europeu de documentar devidamente as suas atividades parlamentares, de as tornar visíveis e de permitir que sejam seguidas pelo público, nomeadamente no que se refere às sessões plenárias e às atividades dos órgãos parlamentares, de acordo com o princípio da transparência e da abertura e com as regras em vigor em matéria de arquivo. |
(7) |
Além disso, o direito de portabilidade dos dados previsto no artigo 22.o do Regulamento (UE) 2018/1725 só se aplica caso o tratamento se basear no consentimento ou na necessidade de cumprir um contrato e for realizado por meios automatizados. O exercício desse direito encontra-se limitado pela exceção prevista no artigo 22.o, n.o 3, segunda frase, do referido Regulamento, que deverá ser entendida no sentido de isentar o Parlamento Europeu da obrigação de fornecer dados pessoais nos termos do artigo 22.o, n.os 1 e 2, do mesmo Regulamento, a menos que estejam em causa atividades administrativas do Parlamento Europeu. |
(8) |
Adicionalmente, no que diz respeito à aplicação das regras de execução sobre a responsabilidade conjunta pelo tratamento das direções-gerais do Parlamento Europeu com outros órgãos ou instituições, ou entre as direções-gerais do Parlamento Europeu, tal responsabilidade conjunta pelo tratamento deverá existir apenas e na medida em que forem conjuntamente responsáveis pelas mesmas operações de tratamento e não quando intervierem meramente de forma sequencial em operações de tratamento tematicamente próximas, mas distintas. |
(9) |
O artigo 13.o da presente decisão deve ser interpretado no sentido de garantir aos grupos políticos e aos deputados ao Parlamento Europeu a possibilidade de solicitar, a título estritamente voluntário, aconselhamento ao encarregado da proteção de dados sobre questões relacionadas com a aplicação do Regulamento (UE) 2018/1725, tendo em conta, em particular, a interação entre as exigências em matéria de proteção de dados e o livre exercício do seu mandato. Esse aconselhamento não é vinculativo. |
(10) |
É igualmente necessário adotar regras internas que estabeleçam as condições em que o Parlamento Europeu pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, de acordo com o seu artigo 25.o, a fim de garantir que o Parlamento Europeu possa continuar a levar a cabo as suas atividades e os seus procedimentos. |
(11) |
Neste contexto, o Parlamento Europeu, ao aplicar limitações nos termos do capítulo V da presente decisão, está obrigado a respeitar os direitos fundamentais dos titulares dos dados em causa, que se encontram consagrados no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia, no artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia e no Regulamento (UE) 2018/1725. |
(12) |
Para o efeito, o Parlamento Europeu, antes de aplicar determinadas limitações, deve proceder a uma avaliação da necessidade e da proporcionalidade de cada uma das limitações em causa, tendo em conta os riscos para os direitos e as liberdades dos titulares dos dados. |
(13) |
O Parlamento Europeu deve justificar os motivos pelos quais as limitações são estritamente necessárias e proporcionadas numa sociedade democrática e respeitam a essência dos direitos e das liberdades fundamentais. |
APROVOU A PRESENTE DECISÃO:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.o
Objetivo
A presente decisão estabelece as regras gerais de execução do Regulamento (UE) 2018/1725 no Parlamento Europeu, e em particular:
a) |
dá execução às disposições do Regulamento (UE) 2018/1725 respeitantes às funções, os deveres e as competências do encarregado da proteção de dados; |
b) |
estabelece as modalidades de exercício dos direitos dos titulares de dados; |
c) |
estabelece as regras internas que permitem ao Parlamento Europeu aplicar exceções, derrogações ou limitações em relação aos direitos dos titulares dos dados, em particular nos termos do artigo 25.o do Regulamento (UE) 2018/1725. |
Artigo 2.o
Responsável pelo tratamento
1. A unidade ou o serviço do Parlamento Europeu que determina as finalidades e os meios de tratamento dos dados pessoais age como responsável pelo tratamento desses dados, na aceção do artigo 3.o, n.o 8, do Regulamento (UE) 2018/1725.
2. Quando a operação de tratamento exceder as competências de uma unidade ou de um serviço do Parlamento Europeu, a direção competente é responsável pelo tratamento na aceção do artigo 3.o, n.o 8, do Regulamento (UE) 2018/1725, salvo no caso de ser acordada uma responsabilidade conjunta pelo tratamento, nos termos do artigo 28.o do referido Regulamento.
3. Quando a operação de tratamento exceder as competências de uma direção do Parlamento Europeu, a direção-geral competente do Parlamento Europeu é responsável pelo tratamento na aceção do artigo 3.o, n.o 8, do Regulamento (UE) 2018/1725, salvo no caso de ser acordada uma responsabilidade conjunta pelo tratamento, nos termos do artigo 28.o do referido Regulamento.
4. Quando as finalidades e os meios de uma dada operação de tratamento forem determinados por mais de uma direção-geral do Parlamento Europeu ou quando forem determinados por uma das entidades organizativas referidas nos n.os 1 a 3 e por pelo menos uma entidade que não seja uma instituição ou um órgão da União, os atores competentes são considerados responsáveis conjuntos pelo tratamento na aceção do artigo 28.o, n.o 1, do Regulamento (UE) 2018/1725.
5. O Parlamento Europeu é considerado o responsável pelo tratamento para efeitos do artigo 44.o, n.os 3 e 6, do Regulamento (UE) 2018/1725.
6. Cabe ao responsável pelo tratamento assegurar que as operações de tratamento de dados sejam efetuadas em conformidade com o Regulamento (UE) 2018/1725, devendo poder demonstrar que as disposições deste Regulamento são cumpridas.
Incumbem ao responsável pelo tratamento, em particular, as seguintes responsabilidades:
a) |
dar execução a medidas técnicas e organizativas adequadas para efeitos de aplicação dos princípios de proteção dos dados desde a conceção e por defeito; |
b) |
dar ao pessoal sob a sua autoridade instruções adequadas para assegurar a legalidade, a lealdade, a transparência e a confidencialidade do tratamento dos dados e um nível de segurança adequado face aos riscos apresentados por tal tratamento; |
c) |
cooperar com o encarregado da proteção de dados e com a Autoridade Europeia para a Proteção de Dados no exercício das respetivas funções, nomeadamente comunicando-lhes informações em resposta aos seus pedidos; |
d) |
informar e envolver em tempo útil o encarregado da proteção de dados, nomeadamente no que se refere a projetos relativos a novas operações de tratamento de dados ou a alterações significativas das operações existentes. |
CAPÍTULO II
O ENCARREGADO DA PROTEÇÃO DE DADOS
Artigo 3.o
Nomeação, estatuto e independência
1. O Secretário-Geral nomeia o encarregado da proteção de dados de entre os membros do pessoal do Parlamento Europeu nos termos do artigo 43.o e do artigo 44.o, n.os 8 e 9, do Regulamento (UE) 2018/1725. O encarregado da proteção de dados é nomeado de acordo com o procedimento previsto no Estatuto dos Funcionários («Estatuto dos Funcionários») ou no Regime Aplicável aos Outros Agentes da União Europeia («Regime Aplicável aos Outros Agentes»), estabelecido no Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (2), consoante aplicável. O encarregado da proteção de dados é nomeado por um período de cinco anos, que pode ser renovado.
2. Para o exercício das suas funções nos termos da presente decisão, o encarregado da proteção de dados é dispensado de quaisquer outras funções no seio do Parlamento Europeu. O Secretário-Geral pode, contudo, decidir atribuir funções adicionais específicas ao encarregado da proteção de dados, na condição de estas não originarem conflitos de interesses com a função de encarregado da proteção de dados, em especial no âmbito da aplicação das disposições do Regulamento (UE) 2018/1725.
3. O encarregado da proteção de dados abstém-se de qualquer ato incompatível com a natureza das suas funções.
4. O encarregado da proteção de dados está sujeito à obrigação de sigilo profissional, nos termos do artigo 44.o, n.o 5, do Regulamento (UE) 2018/1725, mesmo depois de cessar funções.
5. O encarregado da proteção de dados só pode ser destituído nos termos do artigo 44.o, n.os 3 e 8, do Regulamento (UE) 2018/1725. Para obter o acordo da Autoridade Europeia para a Proteção de Dados em relação a essa destituição, nos termos do artigo 44.o, n.o 8, do Regulamento (UE) 2018/1725, a Autoridade Europeia para a Proteção de Dados é consultada por escrito. É transmitida uma cópia deste acordo ao encarregado da proteção de dados.
6. O Parlamento Europeu deve assegurar que o encarregado da proteção de dados não receba quaisquer instruções em relação ao exercício das suas funções, tal como definidas nos artigos 44.o e 45.o do Regulamento (UE) 2018/1725. Em particular, o encarregado da proteção de dados não aceita instruções do Secretário-Geral, nomeadamente no que diz respeito à sua cooperação com a Autoridade Europeia para a Proteção de Dados, prevista no Regulamento (UE) 2018/1725.
7. O encarregado da proteção de dados presta contas diretamente ao Secretário-Geral.
Artigo 4.o
Funções, deveres e competências
1. O encarregado da proteção de dados garante a aplicação do Regulamento (UE) 2018/1725 por parte do Secretariado-Geral do Parlamento Europeu e controla o respeito do quadro jurídico aplicável em matéria de proteção de dados pessoais. Sem prejuízo do artigo 13.o da presente decisão, o encarregado da proteção de dados não está, em princípio, incumbido de garantir a aplicação do Regulamento (UE) 2018/1725 por parte dos deputados ao Parlamento Europeu ou dos grupos políticos do Parlamento Europeu.
2. O encarregado da proteção de dados pode ser consultado ou prestar aconselhamento, nos termos do artigo 44.o, n.os 4 e 7, e do artigo 45.o, n.o 1, alíneas d), e) e f), do Regulamento (UE) 2018/1725, e exerce todas as outras funções descritas no artigo 45.o desse Regulamento.
3. O encarregado da proteção de dados informa o Secretário-Geral de qualquer violação ou de qualquer risco grave de violação das disposições do Regulamento (UE) 2018/1725.
4. O encarregado da proteção de dados formula, mediante pedido, um parecer destinado ao responsável pelo tratamento sobre operações de tratamento existentes ou propostas e sobre a proporcionalidade e a adequação do tratamento de determinados dados ou sobre medidas de segurança. O parecer pode, em particular, incidir sobre qualquer questão ligada à análise dos riscos para os direitos e as liberdades dos titulares dos dados.
5. O serviço competente do Parlamento Europeu consulta o encarregado da proteção de dados antes da aprovação das regras internas que estabelecem o quadro para o tratamento de dados pessoais.
6. O encarregado da proteção de dados executa as suas funções em cooperação com a Autoridade Europeia para a Proteção de Dados. O encarregado da proteção de dados é o ponto de contacto entre o Parlamento Europeu e a Autoridade Europeia para a Proteção de Dados e é informado de todas as comunicações entre as duas instituições sobre questões da sua competência.
7. O encarregado da proteção de dados participa regularmente em reuniões convocadas pela Autoridade Europeia para a Proteção de Dados e pelos encarregados da proteção de dados das outras instituições e órgãos, a fim de facilitar a boa cooperação.
8. O encarregado da proteção de dados está permanentemente sujeito às regras e disposições do Estatuto dos Funcionários ou do Regime Aplicável aos Outros Agentes, consoante aplicável.
Artigo 5.o
Violações dos dados pessoais e segurança dos dados
1. Sempre que se verifique uma violação de dados pessoais, o responsável pelo tratamento informa sem demora o encarregado da proteção de dados sobre o incidente.
2. O encarregado da proteção de dados cria e mantém um registo central para documentar as violações de dados pessoais assinaladas, nos termos do artigo 34.o, n.o 6, do Regulamento (UE) 2018/1725. O responsável pelo tratamento confrontado com a violação completa o registo com as informações exigidas nesse artigo.
3. O encarregado da proteção de dados organiza reuniões periódicas com o responsável pela segurança informática e com o responsável pela gestão dos riscos do Parlamento Europeu, a fim de assegurar o cumprimento dos artigos 33.o a 36.o do Regulamento (UE) 2018/1725. O encarregado da proteção de dados pode convidar outros participantes, se adequado.
4. Com base nos resultados das reuniões referidas no n.o 3, o encarregado da proteção de dados:
a) |
apresenta anualmente ao Secretário-Geral uma análise dos riscos para a proteção dos dados, que deve ser atualizada à luz da evolução dos fatores de risco; |
b) |
propõe ao Secretário-Geral políticas em matéria de proteção de dados, que incidam, em particular, nos riscos de furto, fuga ou manipulação não autorizada de dados por meios eletrónicos; |
c) |
propõe ao Secretário-Geral medidas técnicas e organizativas adequadas para assegurar um nível de segurança dos dados pessoais adequado face aos riscos ligados à proteção dos dados. |
Artigo 6.o
Registos das atividades de tratamento e registo central
O encarregado da proteção de dados cria e mantém o registo central na aceção do artigo 31.o, n.o 5, do Regulamento (UE) 2018/1725, no qual são conservados os registos das atividades de tratamento. O encarregado da proteção de dados deve assegurar que o registo seja acessível ao público, inclusivamente por via eletrónica. Mediante pedido, é igualmente possível o acesso através da Autoridade Europeia para a Proteção de Dados.
Mediante pedido, os registos das atividades de tratamento do Parlamento Europeu são disponibilizados à Autoridade Europeia para a Proteção de Dados.
Artigo 7.o
Informações e acesso
1. O responsável pelo tratamento informa imediatamente o encarregado da proteção de dados no que concerne à criação de um novo procedimento administrativo ou à alteração de um procedimento administrativo existente que afete operações de tratamento de dados pessoais.
2. O encarregado da proteção de dados tem acesso, em qualquer momento, aos dados pessoais que estão a ser tratados, às instalações de tratamento de dados e aos suportes de informação.
Artigo 8.o
Auditoria interna
O encarregado da proteção de dados colabora com o auditor interno, quando tal lhe for solicitado por este último no âmbito das suas competências, em particular para facilitar a realização de auditorias internas que envolvam o tratamento de dados pessoais no Secretariado-Geral do Parlamento Europeu.
Artigo 9.o
Abordagem baseada nos riscos
1. O encarregado da proteção de dados, mediante pedido ou por sua própria iniciativa, fornece informações sobre procedimentos administrativos novos ou alterados ou sobre medidas técnicas ou organizativas que envolvam o tratamento de dados pessoais e assiste o responsável pelo tratamento na avaliação dos riscos para os direitos e as liberdades dos titulares dos dados.
2. O encarregado da proteção de dados aconselha o responsável pelo tratamento, na sequência da avaliação dos riscos supramencionada, sobre a eventual necessidade de realizar uma avaliação de impacto relativa à proteção de dados.
Artigo 10.o
Medidas técnicas e organizativas
1. O encarregado da proteção de dados aconselha o responsável pelo tratamento relativamente à avaliação de soluções técnicas e organizativas para dar execução às operações de tratamento.
2. O encarregado da proteção de dados pode recomendar ao Secretário-Geral medidas técnicas ou organizativas para dar execução ao artigo 27.o do Regulamento (UE) 2018/1725, caso conclua, com base numa avaliação, que uma operação de tratamento não garante o pleno cumprimento desse artigo.
Artigo 11.o
Responsáveis conjuntos pelo tratamento e subcontratantes
1. Mediante pedido, o encarregado da proteção de dados fornece ao responsável pelo tratamento um parecer sobre a determinação das respetivas responsabilidades no âmbito de um acordo entre os responsáveis conjuntos pelo tratamento, nos termos do artigo 28.o, n.o 1, do Regulamento (UE) 2018/1725.
2. Mediante pedido, o encarregado da proteção de dados pode fornecer ao responsável pelo tratamento um parecer sobre as medidas técnicas e organizativas adequadas que devem ser garantidas pelo subcontratante ou por outro subcontratante contratado pelo subcontratante, nos termos do artigo 29.o, n.os 1 e 2, do Regulamento (UE) 2018/1725.
Artigo 12.o
Relatório anual
O encarregado da proteção de dados elabora um relatório anual de atividades destinado ao Secretário-Geral e à Autoridade Europeia para a Proteção de Dados sobre as atividades desenvolvidas no âmbito da proteção de dados pessoais no Secretariado-Geral do Parlamento Europeu. O encarregado da proteção de dados torna o relatório acessível ao pessoal do Parlamento Europeu.
Artigo 13.o
Deputados ao Parlamento Europeu e grupos políticos do Parlamento Europeu
1. Em derrogação do disposto no artigo 4.o, n.o 1, da presente decisão, os deputados ao Parlamento Europeu e os grupos políticos do Parlamento Europeu podem solicitar aconselhamento ao encarregado da proteção de dados sobre questões relacionadas com a aplicação do Regulamento (UE) 2018/1725. Sem prejuízo da responsabilidade que incumbe aos deputados ao Parlamento Europeu e aos grupos políticos do Parlamento de aplicar o Regulamento (UE) 2018/1725, na qualidade de responsável pelo tratamento na aceção do artigo 3.o, n.o 8, do Regulamento (UE) 2018/1725, o encarregado da proteção de dados pode, a pedido de um deputado ao Parlamento Europeu ou de um grupo político do Parlamento Europeu, oferecer o seu aconselhamento, aplicando, mutatis mutandis, as disposições pertinentes da presente decisão.
2. O encarregado da proteção de dados determina caso a caso as modalidades detalhadas da assistência a que se refere o n.o 1, em conformidade com a presente decisão. O exercício dessa função de aconselhamento não deve colidir com as outras funções do encarregado da proteção de dados.
CAPÍTULO III
PESSOAL DE APOIO E REDES
Artigo 14.o
Pessoal e recursos para a proteção dos dados
1. O Secretário-Geral pode nomear membros do pessoal para o Serviço de Proteção de Dados, para que assistam o encarregado da proteção de dados no exercício das suas funções.
2. Os membros do pessoal nomeados nos termos do n.o 1 podem representar o encarregado da proteção de dados na sua ausência. Para o efeito, o encarregado da proteção de dados pode delegar internamente competências em membros específicos do seu pessoal. A Autoridade Europeia para a Proteção de Dados e o Secretário-Geral são notificados mediante o envio de uma cópia de todas as delegações de competências.
Artigo 15.o
Rede dos coordenadores da proteção dos dados
1. É criada no Parlamento Europeu uma rede dos coordenadores da proteção dos dados, composta por, pelo menos, um membro de cada direção-geral, um representante da coordenação dos grupos políticos e do encarregado da proteção de dados.
2. O Secretário-Geral pode especificar as modalidades detalhadas relativamente à nomeação, aos deveres e às funções dos coordenadores da proteção de dados.
3. O encarregado da proteção de dados organiza periodicamente reuniões com os coordenadores da proteção de dados.
CAPÍTULO IV
EXERCÍCIO DE DIREITOS PELOS TITULARES DOS DADOS
Artigo 16.o
Regras gerais de execução dos artigos 14.o a 24.o do Regulamento (UE) 2018/1725
1. O direito de ser informado, o direito de acesso, o direito de retificação, o direito ao apagamento dos dados, o direito à limitação do tratamento, o direito dos destinatários a serem notificados, o direito de portabilidade dos dados, o direito de oposição e os direitos relativos a decisões automatizadas, incluindo a definição de perfis, estabelecidos nos artigos 14.o a 24.o do Regulamento (UE) 2018/1725, só podem ser exercidos pelo titular dos dados ou pelo seu representante autorizado.
2. O titular dos dados apresenta ao responsável pelo tratamento os pedidos de exercício de um dos seus direitos referidos no n.o 1. Um formulário não obrigatório para o efeito está disponível em formato eletrónico no sítio Web do Parlamento Europeu. Os pedidos devem conter:
a) |
o apelido, o nome próprio e os contactos do titular dos dados; |
b) |
uma indicação do direito que se pretende exercer; |
c) |
documentos que justifiquem o pedido, se for caso disso; |
d) |
a categoria ou as categorias dos dados pessoais em questão; |
e) |
a assinatura do titular dos dados e a data do pedido. |
3. O pedido pode ser apresentado por correio interno ou externo, por correio eletrónico ou por qualquer outro meio escrito.
4. O responsável pelo tratamento solicita os esclarecimentos necessários caso os pedidos sejam pouco claros ou incompletos. Enquanto não forem definitivamente esclarecidas todas as questões, não começa a correr o prazo aplicável nos termos do artigo 14.o, n.os 3 e 4, do Regulamento (UE) 2018/1725.
5. O responsável pelo tratamento verifica a identidade do titular dos dados, nos termos do artigo 14.o, n.o 6, do Regulamento (UE) 2018/1725. A identidade do titular dos dados é verificada da forma menos intrusiva possível. Durante o período de verificação da identidade, não começa a correr o prazo aplicável nos termos do artigo 14.o, n.os 3 e 4, do Regulamento (UE) 2018/1725.
6. O responsável pelo tratamento responde aos pedidos de exercício dos direitos apresentados pelos titulares dos dados, mesmo nos casos em que o Parlamento Europeu não detenha dados pessoais pertinentes. Um aviso de receção é enviado ao titular dos dados no prazo de cinco dias úteis a contar da receção do pedido. No entanto, o responsável pelo tratamento não fica obrigado a enviar um aviso de receção caso, no mesmo prazo de cinco dias úteis, seja dada uma resposta ao pedido quanto à questão de fundo.
7. A resposta é transmitida ao titular dos dados, nos prazos previstos no artigo 14.o, n.os 3 e 4, do Regulamento (UE) 2018/1725, pelo mesmo meio de comunicação escrito e na mesma língua oficial da União utilizada pelo titular dos dados, salvo pedido seu em contrário.
8. Ao tratar um pedido nos termos do artigo 14.o do Regulamento (UE) 2018/1725, o responsável pelo tratamento tem em conta a eventual necessidade de aplicar uma exceção, uma derrogação ou uma limitação nos termos do capítulo V da presente decisão.
9. No caso de um pedido ser particularmente complexo ou se for provável que o seu correto tratamento seja suscetível de constituir um risco para os direitos e as liberdades de outros titulares de dados, o responsável pelo tratamento consulta o encarregado da proteção de dados.
Artigo 17.o
Direito de ser informado
[Artigos 15.o e 16.o do Regulamento (UE) 2018/1725]
1. Nos termos do artigo 14.o do Regulamento (UE) 2018/1725, o responsável pelo tratamento presta as informações a que se referem os artigos 15.o e 16.o desse Regulamento, inclusive quando exista a intenção de proceder ao tratamento posterior, de forma generalizada na Internet ou na Intranet.
2. Se possível, e sem prejuízo dos meios alternativos de comunicação referidos no artigo 14.o, n.os 1 e 7, do Regulamento (UE) 2018/1725, as informações a que se referem os artigos 15.o e 16.o desse Regulamento são transmitidas aos titulares dos dados em questão de maneira individualizada, por escrito ou por meios eletrónicos.
Artigo 18.o
Direito de acesso
[Artigo 17.o do Regulamento (UE) 2018/1725]
1. Sem prejuízo do disposto no n.o 2, quando o titular dos dados apresentar um pedido de acesso aos seus dados pessoais, o responsável pelo tratamento recupera os dados em questão do local onde se encontram conservados, incluindo documentos eletrónicos ou em papel, e disponibiliza-os ao titular dos dados por um dos seguintes meios:
a) |
compilação elaborada pelo responsável pelo tratamento; |
b) |
cópia em papel ou em formato eletrónico; |
c) |
outros meios à disposição do responsável pelo tratamento e adequados à configuração do ficheiro. |
2. Nos termos do artigo 17.o, n.o 3, do Regulamento (UE) 2018/1725, se o titular dos dados apresentar um pedido de acesso por meios eletrónicos, e salvo pedido em contrário, o responsável pelo tratamento faculta as informações num formato eletrónico de uso corrente.
Artigo 19.o
Direito de retificação
[Artigo 18.o do Regulamento (UE) 2018/1725]
1. Os pedidos de retificação devem especificar os dados pessoais a retificar ou a completar, demonstrar o caráter inexato ou incompleto dos dados e indicar a correção que deve ser efetuada. Podem ser acompanhados por documentos justificativos, se for caso disso.
2. O titular dos dados é notificado da realização da retificação. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, por escrito.
Artigo 20.o
Direito ao apagamento dos dados
[Artigo 19.o do Regulamento (UE) 2018/1725]
1. Os pedidos de apagamento de dados devem especificar os dados pessoais a apagar e indicar os motivos do apagamento, nos termos do artigo 19.o, n.o 1, do Regulamento (UE) 2018/1725.
2. O titular dos dados é notificado da realização do apagamento. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, por escrito.
3. O apagamento pressupõe o desaparecimento físico dos dados pessoais sem que seja necessário substitui-los por um código.
Artigo 21.o
Direito à limitação do tratamento
[Artigo 20.o do Regulamento (UE) 2018/1725]
1. Os pedidos de limitação do tratamento devem especificar os dados pessoais em causa e os motivos da limitação, nos termos do artigo 20.o, n.o 1, do Regulamento (UE) 2018/1725.
2. O titular dos dados é notificado da realização da limitação do tratamento. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, por escrito.
Artigo 22.o
Notificação dos destinatários
[Artigo 21.o do Regulamento (UE) 2018/1725]
1. Após a conclusão de um dos procedimentos previstos nos artigos 19.o a 21.o da presente decisão, o responsável pelo tratamento dá início, sem demora, ao procedimento previsto no artigo 21.o do Regulamento (UE) 2018/1725.
2. Se a notificação dos destinatários se revelar impossível ou envolver um esforço desproporcionado, o responsável pelo tratamento informa o titular dos dados, por escrito, sobre os respetivos motivos.
Artigo 23.o
Direito de portabilidade dos dados
[Artigo 22.o do Regulamento (UE) 2018/1725]
1. Os pedidos apresentados nos termos do artigo 22.o do Regulamento (UE) 2018/1725 devem especificar os dados pessoais em questão.
2. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, por escrito.
Artigo 24.o
Direito de oposição
[Artigo 23.o do Regulamento (UE) 2018/1725]
1. Em caso de oposição, é necessário especificar os dados pessoais em questão e os motivos relacionados com a situação pessoal que justificam a oposição.
2. Em caso de rejeição da oposição, o responsável pelo tratamento informa o titular dos dados dos motivos dessa decisão, por escrito.
CAPÍTULO V
EXCEÇÕES, DERROGAÇÕES E LIMITAÇÕES
SECÇÃO 1
Exceções e derrogações
Artigo 25.o
Exceções
1. Antes de aplicar uma limitação nos termos da secção 2 do presente capítulo, o responsável pelo tratamento avalia se se aplica alguma das exceções previstas no Regulamento (UE) 2018/1725, nomeadamente no artigo 15.o, n.o 4, no artigo 16.o, n.o 5, no artigo 19.o, n.o 3, e no artigo 35.o, n.o 3, desse Regulamento.
2. Para o tratamento dos dados para fins de arquivo de interesse público, bem como para fins de investigação científica ou histórica ou para fins estatísticos, o responsável pelo tratamento avalia se se aplicam as exceções previstas no artigo 16.o, n.o 5, alínea b), e no artigo 19.o, n.o 3, alínea d), do Regulamento (UE) 2018/1725.
Artigo 26.o
Derrogações
1. Para o tratamento de dados para fins de arquivo de interesse público, o responsável pelo tratamento pode aplicar derrogações nos termos do artigo 25.o, n.o 4, do Regulamento (UE) 2018/1725. Para esse efeito, o responsável pelo tratamento pode estabelecer uma derrogação aos direitos a que se referem os artigos 17.o, 18.o, 20.o, 21.o, 22.o e 23.o do Regulamento (UE) 2018/1725, de acordo com as condições previstas no artigo 25.o, n.o 4, do mesmo Regulamento.
2. Para o tratamento de dados para fins de investigação científica ou histórica ou para fins estatísticos, o responsável pelo tratamento pode aplicar derrogações nos termos do artigo 25.o, n.o 3, do Regulamento (UE) 2018/1725. Para o efeito, o responsável pelo tratamento pode estabelecer uma derrogação aos direitos a que se referem os artigos 17.o, 18.o, 20.o e 23.o do Regulamento (UE) 2018/1725, de acordo com as condições previstas no artigo 25.o, n.o 3, do mesmo Regulamento.
3. Essas derrogações ficam sujeitas a garantias adequadas, nos termos do artigo 13.o do Regulamento (UE) 2018/1725 e do artigo 28.o, n.os 1 e 2, da presente decisão. São adotadas medidas técnicas e organizativas, nos termos do artigo 2.o, n.o 6, alínea a), e do artigo 10.o da presente decisão, nomeadamente para assegurar o respeito pela minimização dos dados e, quando aplicável, pela pseudonimização.
SECÇÃO 2
Limitações
Artigo 27.o
Objeto e âmbito de aplicação
1. A presente secção estabelece as condições gerais em que o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, de acordo com o seu artigo 25.o.
As condições gerais referidas no primeiro parágrafo são completadas com o disposto nos anexos da presente decisão, que especificam as condições em que o Parlamento Europeu pode limitar os direitos dos titulares dos dados em cada uma das suas atividades e procedimentos que impliquem o tratamento de dados pessoais e possam requerer a aplicação de limitações.
2. A presente secção aplica-se ao tratamento de dados pessoais para efeitos das atividades e dos procedimentos levados a cabo pelo Parlamento Europeu, tal como especificado nos anexos da presente decisão.
3. Para efeitos de cada tratamento e limitação, o responsável pelo tratamento competente é determinado nos termos do artigo 2.o da presente decisão.
Artigo 28.o
Garantias
1. Os dados pessoais que sejam objeto de uma limitação são conservados num ambiente físico ou eletrónico seguro que impeça o acesso ou a transferência ilegais de dados para pessoas que não têm necessidade de os conhecer.
2. Após a conclusão do tratamento, os documentos que contêm dados pessoais são conservados de acordo com as regras aplicáveis do Parlamento Europeu (3).
3. Antes da aplicação de qualquer limitação, é efetuada uma avaliação da necessidade e da proporcionalidade da limitação, bem como dos riscos para os titulares dos dados, nos termos do artigo 35.o da presente decisão.
Artigo 29.o
Limitações aplicáveis
1. Sem prejuízo do disposto nos artigos 30.o a 36.o e das especificações estabelecidas nos anexos da presente decisão, o responsável pelo tratamento pode aplicar limitações no que respeita aos direitos do titular dos dados explicitamente referidos nos anexos aplicáveis, caso o exercício desses direitos possa comprometer a finalidade de uma das atividades ou procedimentos previstos nesses anexos.
2. O responsável pelo tratamento regista os motivos da limitação, nos termos do artigo 35.o da presente decisão.
Artigo 30.o
Comunicação de informações aos titulares de dados
1. O Parlamento Europeu publica no seu sítio Web comunicações sobre a proteção de dados, a fim de informar todos os titulares de dados sobre as atividades que desenvolve que envolvam o tratamento dos seus dados pessoais e sobre uma potencial limitação dos seus direitos neste contexto. As informações especificam os direitos que podem ser limitados, os motivos de tal limitação, a sua potencial duração e as vias de recurso disponíveis.
2. Se possível, o responsável pelo tratamento informa diretamente cada um dos titulares de dados sobre os seus direitos no que respeita a estas limitações, sem demora injustificada e no formato mais adequado, que é determinado caso a caso. As informações especificam os direitos que podem ser limitados, os motivos de tal limitação, a sua potencial duração e as vias de recurso disponíveis.
Artigo 31.o
Direito de ser informado
1. Caso o responsável pelo tratamento limite o direito de informação a que se referem os artigos 15.o e 16.o do Regulamento (UE) 2018/1725, os titulares dos dados são informados, nos termos do artigo 25.o, n.o 6, desse Regulamento, dos principais motivos nos quais a aplicação da limitação se baseia e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.
2. No entanto, esta comunicação de informações pode ser adiada, omitida ou recusada, nos termos do artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725, enquanto a mesma anular o efeito da limitação.
3. Se o responsável pelo tratamento adiar, omitir ou recusar, total ou parcialmente, a comunicação de informações aos titulares dos dados a que se refere o n.o 2 do presente artigo, regista os motivos dessa medida, nos termos do artigo 35.o da presente decisão.
Artigo 32.o
Direito de acesso dos titulares de dados, direito de retificação, direito ao apagamento dos dados, direito à limitação do tratamento e obrigação de notificação
1. Caso o responsável pelo tratamento limite, total ou parcialmente, o direito de acesso aos dados pessoais por parte dos titulares de dados, o direito de retificação, o direito ao apagamento dos dados ou o direito à limitação do tratamento — previstos, respetivamente, nos artigos 17.o, 18.o, 19.o e 20.o do Regulamento (UE) 2018/1725 — e a obrigação de notificação nos termos do artigo 21.o desse Regulamento, deve informar o titular de dados em causa — na sua resposta ao pedido de acesso, retificação, apagamento de dados ou limitação do tratamento — da limitação aplicada e dos principais motivos para a limitação, bem como da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça da União Europeia («Tribunal de Justiça»).
2. A comunicação de informações sobre os motivos da limitação a que se refere o n.o 1 pode ser adiada, omitida ou recusada, enquanto a mesma anular o efeito da limitação.
3. O responsável pelo tratamento regista os motivos do adiamento, da omissão ou da recusa, nos termos do artigo 35.o da presente decisão.
4. Caso o direito de acesso seja total ou parcialmente limitado e caso o titular dos dados tenha exercido o seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados, esta comunica ao titular dos dados, e apenas a este, se os dados foram tratados corretamente e, caso contrário, se foram introduzidas correções nos termos do artigo 25.o, n.o 7, do Regulamento (UE) 2018/1725.
Artigo 33.o
Comunicação de uma violação de dados pessoais ao titular dos dados
Sempre que o responsável pelo tratamento limitar a aplicação do artigo 35.o do Regulamento (UE) 2018/1725, regista os motivos dessa limitação, nos termos do artigo 35.o da presente decisão.
Artigo 34.o
Confidencialidade das comunicações eletrónicas
Sempre que o responsável pelo tratamento limitar a obrigação de o Parlamento Europeu assegurar a confidencialidade das comunicações eletrónicas a que se refere o artigo 36.o do Regulamento (UE) 2018/1725, regista os motivos dessa limitação, nos termos do artigo 35.o da presente decisão.
Artigo 35.o
Avaliação da necessidade e da proporcionalidade e registo das limitações
1. Antes de aplicar quaisquer limitações específicas, o responsável pelo tratamento avalia se as limitações são necessárias e proporcionadas, tendo em conta os elementos aplicáveis do artigo 25.o, n.o 2, do Regulamento (UE) 2018/1725. Essa avaliação inclui também uma avaliação dos riscos para os direitos e as liberdades dos titulares dos dados em causa, nomeadamente o risco de os seus dados pessoais poderem ser objeto de um tratamento posterior sem o seu conhecimento e de os titulares dos dados poderem ser impedidos de exercer os seus direitos nos termos do Regulamento (UE) 2018/1725. A avaliação é documentada através de uma nota de avaliação interna e é efetuada caso a caso.
2. O responsável pelo tratamento regista os motivos das limitações aplicadas nos termos da presente decisão, incluindo a avaliação prevista no n.o 1.
Para o efeito, o registo indica de que forma o exercício dos direitos dos titulares dos dados pode comprometer a finalidade de uma das atividades ou procedimentos levados a cabo pelo Parlamento Europeu, tal como definidos nos anexos da presente decisão.
3. Se, nos termos do artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725, o responsável pelo tratamento adiar, omitir ou recusar a comunicação de informações a um titular de dados sobre a aplicação de uma limitação, o responsável pelo tratamento regista também, se aplicável, os motivos dessa decisão.
4. O registo e, eventualmente, os documentos que contenham elementos factuais e jurídicos subjacentes são conservados num registo central. São colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.
Artigo 36.o
Duração das limitações
1. As limitações a que se referem os artigos 29.o e 31.o a 34.o da presente decisão, conjugados com os anexos aplicáveis da presente decisão, são aplicáveis enquanto os motivos que as justificam se mantiverem aplicáveis.
2. Se os motivos das limitações a que se referem os artigos 29.o e 31.o a 34.o da presente decisão, conjugados com os anexos aplicáveis da presente decisão, deixarem de existir, o responsável pelo tratamento levanta a limitação. Simultaneamente, o responsável pelo tratamento comunica ao titular dos dados os principais motivos da limitação e informa-o da possibilidade de apresentar, em qualquer momento, uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça.
3. O responsável pelo tratamento procede ao reexame da aplicação das limitações a que se referem os artigos 29.o e 31.o a 34.o da presente decisão, conjugados com os anexos aplicáveis da presente decisão, de seis em seis meses a contar da sua adoção e no termo do procedimento em causa. Posteriormente, para efeitos das atividades e dos procedimentos previstos nos anexos I, II, V, VI, VII, VIII, IX e X da presente decisão, o responsável pelo tratamento verifica anualmente a necessidade de se manter qualquer limitação.
Artigo 37.o
Reexame pelo encarregado da proteção de dados
1. O encarregado da proteção de dados é informado, sem demora injustificada, sempre que os direitos dos titulares de dados forem limitados de acordo com a presente secção.
Mediante pedido, é facultado ao encarregado da proteção de dados acesso ao registo e a quaisquer documentos que contenham elementos factuais e jurídicos subjacentes.
2. O encarregado da proteção de dados pode solicitar ao responsável pelo tratamento um reexame das limitações. O encarregado da proteção de dados é informado do resultado do reexame solicitado, por escrito.
3. Todas as trocas de informações com o encarregado da proteção de dados ao longo do procedimento previsto nos n.os 1 e 2 são registadas no formato adequado.
Artigo 38.o
Anexos
Os anexos da presente decisão fazem parte integrante da mesma.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Artigo 39.o
Vias de recurso
1. Qualquer membro do pessoal do Parlamento Europeu pode apresentar à Autoridade Europeia para a Proteção de Dados uma reclamação ao abrigo do artigo 68.o do Regulamento (UE) 2018/1725. A apresentação de tal reclamação não tem por efeito suspender o prazo para a apresentação de uma reclamação ao abrigo do artigo 90.o do Estatuto dos Funcionários.
2. Independentemente do direito referido no n.o 1, qualquer membro do pessoal do Parlamento Europeu pode apresentar uma reclamação à entidade competente para proceder a nomeações, ao abrigo do artigo 90.o do Estatuto dos Funcionários, sobre questões relativas ao tratamento de dados pessoais. Na sua reclamação, o membro do pessoal indica se, paralelamente à reclamação apresentada ao abrigo do Estatuto dos Funcionários, foi apresentada uma reclamação à Autoridade Europeia para a Proteção de Dados.
Caso tenha sido apresentada uma reclamação ao abrigo do artigo 90.o, n.o 2, do Estatuto dos Funcionários, o encarregado da proteção de dados é consultado pelos serviços competentes do Parlamento Europeu.
Artigo 40.o
Atos revogados
1. As disposições de execução do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, aprovadas por decisão da Mesa de 22 de junho de 2005 (4), são revogadas com efeitos a partir da data de entrada em vigor da presente decisão.
2. A Decisão da Mesa do Parlamento Europeu, de 3 de abril de 2019, sobre as regras de execução relativas à limitação de determinados direitos dos titulares dos dados no que diz respeito à transferência de dados pessoais pelo Parlamento Europeu para as autoridades nacionais no contexto de investigações criminais ou financeiras (5) é revogada com efeitos a partir da data de entrada em vigor da presente decisão.
Artigo 41.o
Entrada em vigor
A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
(1) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho de 23 de outubro de 2018 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1274/2002/CE (JO L 295 de 21.11.2018, p. 39).
(2) JO L 56 de 4.3.1968, p. 1).
(3) Decisão da Mesa, de 2 de julho de 2012, relativa à gestão dos documentos do Parlamento Europeu.
ANEXO I
Prevenção e investigação internas de incidentes de segurança, inquéritos de segurança e inquéritos auxiliares
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos dos procedimentos referidos no n.o 2. |
2. |
O presente anexo estabelece as condições específicas em que o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar a segurança interna do Parlamento Europeu, incluindo a das suas redes de comunicações eletrónicas, nos termos do artigo 25.o, n.o 1, alínea d), do mesmo Regulamento, aquando da realização de avaliações de risco internas e de controlos do acesso, incluindo verificação de antecedentes, da aplicação de medidas de prevenção e investigação de incidentes de segurança, incluindo incidentes no domínio das tecnologias da informação e da comunicação (1), e da condução de inquéritos de segurança e de inquéritos auxiliares por sua própria iniciativa ou a pedido de terceiros (2). |
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e obrigações previstos nos artigos 14.o a 21.o desse Regulamento, nos casos em que o exercício desses direitos possa comprometer a realização, pelo Parlamento Europeu, de avaliações de risco internas e de controlos do acesso, incluindo verificação de antecedentes, a aplicação de medidas de prevenção e investigação de incidentes de segurança e a condução de inquéritos de segurança e de inquéritos auxiliares, incluindo das suas próprias redes de comunicações eletrónicas, nomeadamente através da divulgação dos seus instrumentos e métodos de investigação.
(1) Decisão da Mesa, de 7 de setembro de 2015, sobre a política de segurança aplicável aos sistemas de tecnologia de informação e comunicação do Parlamento Europeu.
(2) Decisão da Mesa, de 15 de janeiro de 2018, sobre a regulamentação relativa à segurança e à proteção no Parlamento Europeu.
ANEXO II
Processos disciplinares, inquéritos administrativos e inquéritos sobre questões relacionadas com o pessoal
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos dos procedimentos referidos no n.o 2. |
2. |
O presente anexo estabelece as condições específicas em que, aquando da condução de processos disciplinares, inquéritos administrativos e inquéritos sobre questões relacionadas com o pessoal, nos termos do artigo 86.o e do anexo IX do Estatuto dos Funcionários, bem como de inquéritos no âmbito de pedidos de assistência apresentados ao abrigo do artigo 24.o do Estatuto dos Funcionários e em relação a alegados casos de assédio, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar:
|
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, caso o exercício desses direitos possa comprometer a finalidade e a eficácia dos processos disciplinares, dos inquéritos administrativos e dos inquéritos sobre questões relacionadas com o pessoal, incluindo inquéritos sobre alegados casos de assédio, ou prejudicar os direitos e as liberdades de outros titulares de dados.
ANEXO III
Processos de seleção
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos de condução de processos de seleção. |
2. |
O presente anexo estabelece as condições específicas em que, aquando da condução de processos de seleção (1), o responsável pelo tratamento pode limitar a aplicação do artigo 17.o do Regulamento (UE) 2018/1725 a fim de salvaguardar:
|
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 35.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação do direito de acesso do titular dos dados aos seus dados pessoais, nos termos do artigo 17.o do Regulamento (UE) 2018/1725, nos casos em que o exercício desse direito possa comprometer a finalidade e a eficácia dos processos de seleção, nomeadamente revelando as avaliações efetuadas pelos júris, ou prejudicar os direitos e as liberdades de outros titulares de dados, nomeadamente revelando dados pessoais de outros candidatos.
(3) Duração das limitações
Em derrogação do disposto no artigo 36.o da presente decisão, aplicam-se as seguintes regras no que se refere à duração das limitações:
— |
As limitações aplicadas ao abrigo do presente anexo são aplicáveis enquanto os motivos que as justificam se mantiverem aplicáveis. |
— |
O responsável pelo tratamento levanta a limitação quando os motivos que a justificam deixarem de existir e o titular dos dados solicitar novamente o acesso aos dados pessoais em questão. Simultaneamente, o responsável pelo tratamento comunica ao titular dos dados os principais motivos da limitação e informa-o da possibilidade de apresentar, em qualquer momento, uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça. |
(1) Tal inclui os processos de seleção de agentes temporários e contratuais, bem como concursos internos.
ANEXO IV
Processos médicos
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao acesso aos dados médicos pessoais dos membros do pessoal e dos deputados ao Parlamento Europeu. |
2. |
O presente anexo estabelece as condições específicas em que o responsável pelo tratamento pode limitar a aplicação do artigo 17.o do Regulamento (UE) 2018/1725, a fim de salvaguardar a defesa do titular dos dados aquando do tratamento dos dados médicos dos membros do pessoal, nos termos do Estatuto dos Funcionários, e dos deputados ao Parlamento Europeu, nos termos das Medidas de Aplicação do Estatuto dos Deputados ao Parlamento Europeu (1), nos termos do artigo 25.o, n.o 1, alínea h), do referido Regulamento. |
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
1. |
Sem prejuízo do disposto nos artigos 30.o a 35.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação do direito de acesso direto aos dados médicos pessoais, incluindo os de natureza psicológica ou psiquiátrica relativos ao titular dos dados, que são tratados pelo Parlamento Europeu, caso o acesso a esses dados possa representar um risco para a saúde do titular dos dados. Esta limitação é proporcional ao estritamente necessário para proteger o titular dos dados. O acesso às informações a que o presente número se refere é, por conseguinte, concedido, mediante pedido, a um médico da escolha do titular dos dados. |
2. |
Antes de aplicar a limitação prevista no n.o 1, é necessário que um médico, agindo em nome do Parlamento Europeu, indique os motivos que justificam a limitação, sendo estes inseridos no processo médico da pessoa em questão. |
(3) Duração das limitações
Em derrogação do disposto no artigo 36.o da presente decisão, aplicam-se as seguintes regras no que se refere à duração das limitações:
— |
As limitações aplicadas ao abrigo do presente anexo são aplicáveis enquanto os motivos que as justificam se mantiverem aplicáveis. |
— |
O responsável pelo tratamento levanta a limitação quando os motivos que a justificam deixarem de existir e o titular dos dados solicitar novamente o acesso aos dados médicos pessoais em questão. Simultaneamente, o responsável pelo tratamento comunica ao titular dos dados os principais motivos da limitação e informa-o da possibilidade de apresentar, em qualquer momento, uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça. |
(1) Decisão da Mesa, de 19 de maio e 9 de julho de 2008, sobre as medidas de aplicação do Estatuto dos Deputados ao Parlamento Europeu, alterada pelas decisões da Mesa de 11 de novembro de 2009, 23 de novembro de 2009, 14 de dezembro de 2009, 19 de abril de 2010, 5 de julho de 2010, 13 de dezembro de 2010, 14 de fevereiro de 2011, 23 de março de 2011, 14 de novembro de 2011, 12 de dezembro de 2012, 1 de julho de 2013, 16 de junho de 2014, 15 de setembro de 2014, 15 de dezembro de 2014, 26 de outubro de 2015, 14 de dezembro de 2015, 12 de dezembro de 2016, 13 de dezembro de 2017, 11 de junho de 2018, 2 de julho de 2018 e 10 de dezembro de 2018.
ANEXO V
Exame de reclamações dos membros do pessoal
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos de tratamento de reclamações ao abrigo do Estatuto dos Funcionários. |
2. |
O presente anexo estabelece as condições específicas em que, aquando do exame de reclamações apresentadas por membros do pessoal ao abrigo do artigo 90.o do Estatuto dos Funcionários (1), o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar:
|
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, caso o exercício desses direitos possa comprometer os procedimentos de reclamação ao abrigo do Estatuto dos Funcionários.
(1) Durante o exame de reclamações apresentadas por membros do pessoal nos termos do artigo 90.o do Estatuto dos Funcionários, o Parlamento Europeu pode tratar dados pessoais de membros do pessoal que não o autor da reclamação para efeitos de verificação da conformidade com o princípio da igualdade de tratamento.
ANEXO VI
Auditorias internas
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos de realização de auditorias internas. |
2. |
O presente anexo estabelece as condições específicas em que, aquando da realização de auditorias internas para efeitos do disposto nos artigos 118.o e 119.o do Regulamento (UE, Euratom) 2018/1046 (1) e nos termos da Carta do Auditor Interno, adotada pela Mesa em 14 de janeiro de 2019, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar:
|
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, caso o exercício desses direitos possa comprometer a finalidade da realização de auditorias internas por parte do Parlamento Europeu.
(1) Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho, de 18 de julho de 2018, relativo às disposições financeiras aplicáveis ao orçamento geral da União, que altera os Regulamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 e (UE) n.o 283/2014, e a Decisão n.o 541/2014/UE, e revoga o Regulamento (UE, Euratom) n.o 966/2012 (JO L 193 de 30.7.2018, p. 1).
ANEXO VII
Processos judiciais
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos de processos judiciais. |
2. |
O presente anexo estabelece as condições específicas em que o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar a defesa dos processos judiciais, de acordo com o artigo 25.o, n.o 1, alínea e), do mesmo. |
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, caso o exercício desses direitos possa comprometer a tramitação dos processos judiciais.
ANEXO VIII
Controlos e investigações de caráter financeiro
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais pelo responsável pelo tratamento para efeitos de realização de controlos e investigações de caráter financeiro na aceção do n.o 2. |
2. |
O presente anexo estabelece as condições específicas em que, aquando da realização de controlos e investigações sobre a legalidade das operações financeiras efetuadas pela e na instituição, de controlos e investigações sobre os direitos dos deputados (1), bem como de controlos e investigações sobre o financiamento dos partidos políticos europeus, das fundações políticas europeias e dos grupos políticos europeus, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar:
|
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, caso o exercício desses direitos possa comprometer a finalidade e a eficácia dos controlos e investigações levados a cabo pelo Parlamento Europeu.
(1) Tal inclui, nomeadamente, investigações sobre os subsídios para despesas gerais, subsídios para colaboradores pessoais, subsídios para equipamento e instalações e subsídios de viagem.
ANEXO IX
Cooperação com o Organismo Europeu de Luta Antifraude (OLAF)
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais, em particular à transferência de dados pessoais, pelo responsável pelo tratamento, com o objetivo de transmitir informações e documentos ao OLAF, notificar casos ao OLAF ou tratar informações e documentos transmitidos pelo OLAF. |
2. |
O presente anexo estabelece as condições específicas em que, aquando da transmissão de informações e documentos ao OLAF, a pedido do OLAF ou por sua própria iniciativa, da notificação de casos ao OLAF e do tratamento de informações e documentos transmitidos pelo OLAF, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar:
|
3. |
O presente anexo não é aplicável ao tratamento de dados pessoais nos casos em que o OLAF atua como responsável pelo tratamento, nomeadamente quando o OLAF procede ao tratamento de dados pessoais conservados nas instalações do Parlamento Europeu, nos termos do artigo 4.o, n.o 2, e do artigo 6.o do Regulamento (UE, Euratom) n.o 883/2013 do Parlamento Europeu e do Conselho (1). |
4. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
1. |
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, nos casos em que o exercício desses direitos possa comprometer o objetivo das atividades de investigação do OLAF ou do Parlamento Europeu em cooperação com o OLAF, nomeadamente através da divulgação dos seus instrumentos e métodos de investigação. |
2. |
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o Parlamento Europeu pode limitar os direitos e obrigações referidos no n.o 1 em relação aos dados pessoais obtidos do OLAF nos casos em que o exercício desses direitos e obrigações possa ser limitado pelo OLAF com base no artigo 2.o, n.o 3, da Decisão (UE) 2018/1962 da Comissão (2). |
(1) Regulamento (UE, Euratom) n.o 883/2013 do Parlamento Europeu e do Conselho, de 11 de setembro de 2013, relativo aos inquéritos efetuados pelo Organismo Europeu de Luta Antifraude (OLAF) e que revoga o Regulamento (CE) n.o 1073/1999 do Parlamento Europeu e do Conselho e o Regulamento (Euratom) n.o 1074/1999 do Conselho (JO L 248 de 18.9.2013, p. 1).
(2) Decisão (UE) 2018/1962 da Comissão, de 11 de dezembro de 2018, que estabelece as normas internas para o tratamento dos dados pessoais pelo Organismo Europeu de Luta Antifraude (OLAF) no que respeita à prestação de informações aos titulares dos dados e à limitação de alguns dos direitos destes em conformidade com o artigo 25.o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (JO L 315 de 12.12.2018, p. 41).
ANEXO X
Cooperação com os Estados-Membros no âmbito de investigações criminais e financeiras
(1) Objeto e âmbito de aplicação
1. |
O presente anexo aplica-se ao tratamento de dados pessoais, em particular à transferência destes dados pelo responsável pelo tratamento, com o objetivo de facultar às autoridades nacionais as informações e os documentos por estas solicitados no âmbito de investigações criminais ou financeiras. |
2. |
O presente anexo estabelece as condições específicas em que, aquando da transmissão às autoridades nacionais de informações e documentos por estas solicitados no âmbito de investigações criminais e financeiras, (1) o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, a fim de salvaguardar:
|
3. |
O presente anexo aplica-se às seguintes categorias de dados pessoais:
|
(2) Limitações aplicáveis
Sem prejuízo do disposto nos artigos 30.o a 36.o da presente decisão, o responsável pelo tratamento pode limitar a aplicação dos artigos 14.o a 21.o, dos artigos 35.o e 36.o do Regulamento (UE) 2018/1725, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o desse Regulamento, caso o exercício desses direitos possa comprometer a finalidade das investigações criminais e financeiras nacionais.
(1) O Parlamento Europeu deve facultar às autoridades nacionais as informações e os documentos solicitados, em conformidade com o princípio da cooperação leal consagrado no artigo 4.o, n.o 3, do Tratado da União Europeia.