(1)   Prezenta decizie prevede norme și proceduri pentru aplicarea Regulamentului (UE) 2018/1725 de către Comisie și stabilește normele de aplicare privind responsabilul cu protecția datelor pentru Comisie („RPD”).

(2)   De asemenea, prezenta decizie stabilește normele pe care trebuie să le respecte Comisia în legătură cu sarcinile de monitorizare, investigare, audit sau consultative ale RPD, pentru a informa persoanele vizate în legătură cu prelucrarea datelor lor cu caracter personal în conformitate cu articolele 14, 15 și 16 din Regulamentul (UE) 2018/1725.

(3)   Totodată, prezenta decizie stabilește condițiile în care Comisia, în ceea ce privește sarcinile de monitorizare, investigare, audit sau consultative ale RPD, poate restricționa aplicarea articolelor 4, 14-17, 19, 20 și 35 din Regulamentul (UE) 2018/1725, în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h) din acesta.

(4)   Prezenta decizie se aplică prelucrării datelor cu caracter personal de către Comisie în scopul sarcinilor RPD menționate la articolul 45 din Regulamentul (UE) 2018/1725, în special al sarcinilor de monitorizare, investigare, audit sau consultative ale RPD sau în legătură cu aceste sarcini.

(1)   RPD contribuie la crearea unei culturi a protecției datelor cu caracter personal în cadrul Comisiei pe baza evaluării riscurilor și a asumării răspunderii.

(2)   RPD monitorizează punerea în aplicare a Regulamentului (UE) 2018/1725 în cadrul Comisiei, printre altele, stabilind și efectuând anual un program de lucru privind inspecțiile și auditurile.

(3)   RPD organizează și prezidează ședințele periodice ale CPD.

(4)   RPD păstrează evidențele Comisiei privind activitățile de prelucrare într-un registru central și îl pune la dispoziția publicului.

De asemenea, RPD ține un registru intern al Comisiei privind încălcarea securității datelor cu caracter personal în sensul articolului 3 alineatul (16) din Regulamentul (UE) 2018/1725.

(5)   În vederea exercitării funcției sale, RPD cooperează cu RPD desemnați de celelalte instituții și organisme ale Uniunii.

(6)   Se consideră că RPD este operatorul delegat în scopul deciziilor individuale referitoare la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725 în legătură cu operațiunile de prelucrare ale RPD.

(1)   Operatorul delegat desemnează un CPD și, dacă este cazul, unul sau mai mulți coordonatori asistenți pentru protecția datelor în cadrul direcției generale sau al serviciului aflat în responsabilitatea sa. Doi sau mai mulți operatori delegați pot, din motive de coerență sau eficiență, să decidă numirea unui CPD comun sau a unui coordonator asistent pentru protecția datelor comun sau să beneficieze în comun de serviciile unui CPD sau ale unui coordonator asistent pentru protecția datelor deja numit în funcție. Operatorii delegați în cauză își înregistrează în scris acordul în acest sens.

(2)   CPD desemnat de o direcție generală sau de un serviciu are, de asemenea, atribuții pentru cabinetul responsabil pentru direcția generală sau serviciul în cauză. CPD desemnat pentru Secretariatul General are atribuții pentru Cabinetul președintelui, precum și pentru cabinetele pentru care Secretariatul General este singurul serviciu de sprijin. În cazul în care un cabinet este responsabil pentru mai multe direcții generale sau servicii, operatorii delegați decid care dintre coordonatorii pentru protecția datelor respectivi urmează să aibă atribuții pentru cabinetul în cauză.

(3)   CPD, personalul direcției generale relevante sau al serviciului relevant și cabinetul relevant sunt informați ori de câte ori este numit un nou CPD.

Coordonatorii pentru protecția datelor nou-desemnați urmează formarea necesară pentru a dobândi competențele necesare pentru rolul de CPD în termen de șase luni de la desemnare. Un CPD care a deținut anterior o funcție de CPD în cadrul altei direcții generale sau al altui serviciu sau care a fost membru de personal al RPD în intervalul de doi ani anterior desemnării în calitate de CPD este scutit de această cerință de formare.

(4)   Operatorii delegați adoptă măsuri adecvate pentru a asigura faptul că CPD este implicat în mod adecvat și în timp util în toate aspectele legate de protecția datelor din cadrul direcției lor generale sau al serviciului lor și că avizele emise de CPD sunt aduse imediat în atenția operatorului delegat la cererea CPD.

(5)   Coordonatorii pentru protecția datelor sunt aleși pe baza cunoștințelor și a experienței lor cu privire la funcționarea direcției generale respective sau a serviciului respectiv, a motivației lor pentru ocuparea acestei funcții, a competențelor lor legate de protecția datelor, a înțelegerii de către aceștia a principiilor sistemelor de informații, precum și pe baza aptitudinilor lor de comunicare.

(6)   Funcția CPD poate fi combinată cu alte funcții. Operatorul delegat asigură faptul că aceste funcții sunt compatibile cu funcția CPD.

(7)   Funcția CPD face parte din fișa postului fiecărui membru al personalului numit în calitate de CPD. În raportul anual de evaluare se face trimitere la responsabilitățile și realizările acestora.

(8)   CPD acționează în calitate de punct de contact între operatorul delegat, operatorul operațional și persoana împuternicită de operator și CPD.

(9)   Coordonatorii pentru protecția datelor au dreptul de a obține orice informații din cadrul direcției lor generale sau al serviciului lor în măsura în care acestea sunt necesare pentru îndeplinirea sarcinilor CPD. Coordonatorii pentru protecția datelor au acces la date cu caracter personal numai dacă acest lucru este necesar pentru îndeplinirea sarcinilor lor.

(10)   CPD păstrează evidențe și furnizează direcției generale, serviciului sau cabinetului statistici anonimizate cu privire la cererile adresate de persoanele vizate, specificând numerele cererilor și numărul de cereri respinse complet sau parțial. RPD precizează categoriile de cereri pentru care se păstrează statistici. RPD poate preciza ce alte detalii trebuie să fie furnizate.

CPD păstrează statistici anonimizate ale încălcărilor securității datelor cu caracter personal gestionate de direcția generală, de serviciu sau de cabinet, specificând numărul total de încălcări ale securității datelor cu caracter personal, numărul de încălcări ale securității datelor cu caracter personal notificate către AEPD și numărul de încălcări ale securității datelor cu caracter personal comunicate persoanelor vizate.

(11)   CPD sensibilizează cu privire la aspectele legate de protecția datelor din cadrul direcției sale general sau al serviciului său și acordă consultanță sau asistență operatorilor delegați și operatorilor operaționali în vederea îndeplinirii obligațiilor lor, în special în ceea ce privește:

(12)   Coordonatorii pentru protecția datelor participă la ședințe și, dacă este necesar, la grupurile de lucru ale coordonatorilor pentru protecția datelor.

(13)   RPD emite orientări suplimentare cu privire la responsabilitățile și funcțiile CPD.

(1)   Operatorii delegați acționează în numele Comisiei în calitate de operatori în scopul aplicării Regulamentului (UE) 2018/1725.

(2)   Operatorii delegați și operatorii operaționali:

(3)   Operatorul delegat:

Acordurile menționate la primul paragraf litera (b) stabilesc responsabilitățile acestora pentru îndeplinirea obligațiilor lor privind protecția datelor. Acestea vor include, în special, identificarea operatorului delegat, stabilind mijloacele și scopurile operațiunii de prelucrare, precum și operatorul operațional pentru operațiunea de prelucrare și, dacă este cazul, persoana și/sau entitățile care asistă operatorul operațional, printre altele, cu informații în cazul încălcărilor securității datelor cu caracter personal sau pentru a permite respectarea drepturilor persoanelor vizate.

(4)   Operatorul operațional:

(1)   RPD asigură faptul că registrul operațiunilor de prelucrare al Comisiei poate fi accesat prin intermediul site-ului web al RPD din rețeaua intranet a Comisiei și prin intermediul site-ului web al RPD de pe site-ul web Europa.

(2)   Operatorii delegați notifică responsabilului cu protecția datelor evidențele operațiunilor lor de prelucrare, prin intermediul coordonatorului lor pentru protecția datelor, utilizând sistemul online de notificare al Comisiei, care poate fi accesat prin intermediul site-ului web al RPD din rețeaua intranet a Comisiei.

(1)   Solicitările de investigații menționate la articolul 6 litera (e) sunt adresate în scris RPD. În termen de 15 zile de la primirea acestora, RPD trimite persoanei care solicită investigația o confirmare de primire și verifică dacă cererea trebuie tratată confidențial pentru a asigura confidențialitatea care guvernează solicitarea, cu excepția cazului în care persoanele vizate își dau consimțământul neechivoc pentru a trata solicitarea în alt mod. În cazul în care este evidentă exercitarea abuzivă a dreptului de a solicita o investigație, RPD nu este obligat să răspundă solicitantului.

(2)   RPD solicită o declarație scrisă privind aspectul în cauză din partea operatorului delegat responsabil pentru operațiunea de prelucrare a datelor respectivă. Operatorul delegat prezintă răspunsul său către RPD în termen de 15 zile lucrătoare. RPD poate solicita informații suplimentare de la operatorul delegat, de la persoana împuternicită de operator sau de la alte părți în termen de 15 zile lucrătoare.

(3)   RPD răspunde persoanei care a solicitat investigația în termen maxim de trei luni de la primirea cererii. Această perioadă poate fi suspendată până când RPD obține toate informațiile necesare pe care le-a solicitat.

(4)   Nu se va aduce atingere niciunei persoane ca urmare a unui aspect adus în atenția RPD prin care se acuză o încălcare a prevederilor Regulamentului (UE) 2018/1725.

(1)   În scopuri administrative, RPD este atașat Secretariatului General. În acest context, RPD participă la pregătirea planului anual de gestiune și a proiectului preliminar de buget al Secretariatului General.

(2)   RPD este evaluatorul pentru personalul Biroului pentru protecția datelor. Secretarul general adjunct îndeplinește funcția de validator. RPD participă la coordonarea gestionării Secretariatului General, după caz.

(1)   Atunci când își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, Comisia analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul respectiv.

(2)   Sub rezerva articolelor 14-18 din prezenta decizie, Comisia poate restricționa aplicarea articolelor 14-17, 19, 20 și 35 din Regulamentul (UE) 2018/1725, precum și a principiului transparenței prevăzut la articolul 4 alineatul (1) litera (a) din regulamentul respectiv în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-17, 19 și 20 din Regulamentul (UE) 2018/1725, în cazul în care exercitarea acestor drepturi și obligații ar periclita scopul sarcinilor RPD, printre altele prin dezvăluirea instrumentelor și a metodelor sale de investigare sau de auditare sau ar afecta în mod negativ drepturile și libertățile altor persoane vizate în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h).

(3)   Sub rezerva articolelor 14-18 din prezenta decizie, Comisia poate restricționa drepturile și obligațiile prevăzute la alineatul (2) din prezentul articol, în legătură cu datele cu caracter personal obținute de RPD de la serviciile Comisiei sau de la alte instituții și organisme ale Uniunii. Comisia poate proceda astfel în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de respectivele servicii ale Comisiei sau instituții sau organisme ale Uniunii pe baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv ori în conformitate cu Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului (6) sau cu Regulamentul (UE) 2017/1939 al Consiliului (7).

Înainte de a aplica restricții în situațiile menționate la primul paragraf, Comisia consultă instituțiile sau organismele relevante ale Uniunii, cu excepția cazului în care are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la paragraful respectiv.

(4)   Orice restricționare a aplicării drepturilor și obligațiilor menționată la alineatul (2) al prezentului articol trebuie să fie necesară și proporțională, ținând seama de riscurile la adresa drepturilor și libertăților persoanelor vizate.

(1)   Comisia publică pe site-ul său web anunțuri privind protecția datelor prin care informează toate persoanele vizate în legătură cu sarcinile RPD care implică prelucrarea datelor lor cu caracter personal.

(2)   Comisia informează în mod individual, într-un format adecvat, orice persoană fizică pe care o consideră ca persoană vizată de sarcinile RPD sau ca informator.

(3)   În cazul în care Comisia restricționează, integral sau parțial, furnizarea informațiilor către persoanele vizate menționate la alineatul (2), aceasta consemnează și înregistrează motivele restricției în conformitate cu articolul 17.

(1)   În cazul în care restricționează, integral sau parțial, dreptul de acces la datele personale al persoanelor vizate, dreptul la ștergerea datelor sau dreptul la restricționarea prelucrării menționate la articolele 17, 19 și, respectiv, 20 din Regulamentul (UE) 2018/1725, Comisia informează persoana vizată, în răspunsul său la cererea acesteia privind accesul, ștergerea sau restricționarea prelucrării, privire la restricția aplicată și la principalele motive ale acesteia, precum și cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(2)   Furnizarea de informații cu privire la motivele restricției menționată la alineatul (1) poate fi amânată, omisă sau refuzată atât timp cât furnizarea acestor informații ar submina scopul restricției.

(3)   Comisia consemnează și înregistrează motivele restricției în conformitate cu articolul 17.

(4)   În cazul în care dreptul de acces este restricționat integral sau parțial, persoana vizată este îndreptățită să își exercite dreptul de acces prin intermediul AEPD, în conformitate cu articolul 25 alineatele (6), (7) și (8) din Regulamentul (UE) 2018/1725.

(1)   Comisia consemnează motivele oricărei restricții aplicate în temeiul prezentei decizii, inclusiv o evaluare de la caz la caz a necesității și a proporționalității restricției, ținând seama de elementele relevante prevăzute la articolul 25 alineatul (2) din Regulamentul (UE) 2018/1725.

În acest scop, consemnarea precizează modul în care exercitarea dreptului ar periclita scopul sarcinilor RPD prevăzute în prezenta decizie sau a restricțiilor aplicate în temeiul articolului 13 alineatul (2) sau (3) ori ar afecta în mod negativ drepturile și libertățile altor persoane vizate.

(2)   Evidențele și, dacă este cazul, documentele care conțin elementele de fapt și de drept aferente se înregistrează. La cerere, ele sunt puse la dispoziția AEPD.

(1)   Restricțiile menționate la articolele 14, 15 și 16 continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.

(2)   În cazul în care motivele unei restricții menționate la articolul 14 sau 16 nu se mai aplică, Comisia ridică restricția și informează persoana vizată cu privire la motivele restricției. În același timp, Comisia informează persoana vizată cu privire la posibilitatea de a depune o plângere la AEPD în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(3)   Comisia examinează aplicarea restricțiilor menționate la articolele 14 și 16 o dată la șase luni de la adoptarea acestora și, în orice caz, la încheierea activității relevante a RPD. Ulterior, Comisia monitorizează anual dacă este necesar să se mențină vreo restricție sau amânare.

(1)   În cazul în care alte servicii ale Comisiei concluzionează că drepturile unei persoane vizate ar trebui să fie restricționate în temeiul prezentei decizii, acestea informează RPD. De asemenea, acestea acordă RPD acces la evidențe și la orice documente care conțin elemente de fapt și de drept aferente.

(2)   DPO îi poate solicita operatorului delegat al serviciului în cauză al Comisiei să analizeze aplicarea restricțiilor. Operatorul delegat sau serviciul în cauză al Comisiei informează RPD în scris cu privire la rezultatul analizei solicitate.