9.2.2012   

RO

Jurnalul Oficial al Uniunii Europene

C 35/1

1.

La 12 octombrie 2011, Comisia a adoptat următoarele propuneri (denumite în continuare „propunerile”) privind politica agricolă comună (denumită în continuare „PAC”) după 2013, care au fost transmise AEPD spre consultare în aceeași zi:

2.

AEPD salută faptul că este consultată oficial de către Comisie și că în preambulurile propuse ale Regulamentului privind plățile directe, ale Regulamentului privind OCP unică, ale Regulamentului privind dezvoltarea rurală și ale Regulamentului orizontal este inclusă o trimitere la prezentul aviz.

3.

Propunerile sunt menite să asigure un cadru pentru: 1. producția alimentară viabilă; 2. gestionarea durabilă a resurselor naturale și acțiunile de combatere a schimbărilor climatice; și 3. dezvoltarea teritorială echilibrată. În acest scop, propunerile instituie mai multe scheme de sprijin pentru fermieri, precum și alte măsuri de stimulare a dezvoltării agricole și rurale.

4.

Pe parcursul acestor programe se prelucrează date cu caracter personal – referitoare în principal la beneficiarii ajutoarelor, dar și la terți – în diferite etape (prelucrarea cererilor de ajutor, asigurarea transparenței plăților, controlul și combaterea fraudei etc.). Deși operațiunile de prelucrare sunt derulate în cea mai mare parte de către statele membre și sub responsabilitatea acestora, Comisia poate să acceseze majoritatea acestor date. Beneficiarii și în unele cazuri terții – de exemplu în scopul efectuării controalelor în cazuri de fraudă – trebuie să ofere informații autorităților competente desemnate.

5.

Relevanța protecției datelor în contextul PAC a fost evidențiată de Curtea de Justiție în hotărârea pronunțată în cauza Schecke, prin care se anulează legislația UE referitoare la publicarea numelor beneficiarilor fondurilor agricole (10). AEPD este conștientă că, în cazul de față, aspectele legate de protecția datelor nu fac parte din esența propunerilor. Cu toate acestea, în măsura în care propunerile se referă la prelucrarea datelor cu caracter personal, se impun câteva comentarii pertinente.

6.

Scopul prezentului aviz nu este de a analiza întregul set de propuneri, ci de a oferi contribuții și îndrumări pentru proiectarea procesului de prelucrare a datelor cu caracter personal necesar în vederea administrării PAC într-un mod care să respecte drepturile fundamentale la viață privată și la protecția datelor și să asigure, în același timp, administrarea eficientă a ajutorului, prevenirea și investigarea cazurilor de fraudă și efectuarea cheltuielilor într-o manieră transparentă și responsabilă.

7.

În acest scop, prezentul aviz este structurat în două părți: o primă parte, mai generală, cuprinde o analiză și recomandări relevante pentru majoritatea propunerilor. Aceasta se referă în principal la comentariile privind competențele delegate și de executare conferite Comisiei. Apoi, în cea de a doua parte, se discută dispozițiile specifice cuprinse în mai multe dintre propuneri (11) și se oferă recomandări pentru abordarea problemelor identificate în acestea.

8.

După cum am menționat, majoritatea operațiunilor de prelucrare sunt derulate de către statele membre. Cu toate acestea, în multe cazuri Comisia poate să aibă acces la datele cu caracter personal. Prin urmare, AEPD salută faptul că în preambulurile propunerilor relevante sunt incluse trimiteri la aplicabilitatea Directivei 95/46/CE și a Regulamentului (CE) nr. 45/2001 (12).

9.

În general, se observă că multe chestiuni fundamentale pentru protecția datelor nu sunt incluse în prezentele propuneri, însă urmează să fie reglementate prin acte de punere în aplicare sau delegate. Acest lucru este valabil, de exemplu, pentru măsurile care urmează să fie adoptate în legătură cu monitorizarea ajutorului, instituirea sistemelor informatice, transferurile de informații către țări terțe și controalele la fața locului (13).

10.

Articolul 290 din TFUE stabilește condițiile de exercitare a competențelor delegate de către Comisie. Comisiei i se poate conferi competența de a „completa sau modifica anumite elemente neesențiale ale actului legislativ”. De asemenea, „obiectivele, conținutul, domeniul de aplicare și durata delegării” sunt definite în mod expres. În ceea ce privește competențele de executare, articolul 291 din TFUE stabilește că acestea pot fi conferite Comisiei în cazul în care „sunt necesare condiții unitare de punere în aplicare a actelor obligatorii din punct de vedere juridic ale Uniunii”. Statele membre asigură controale corespunzătoare.

11.

AEPD consideră că aspectele fundamentale ale prelucrării avute în vedere în propuneri și garanțiile necesare în materie de protecție a datelor nu pot fi considerate „elemente neesențiale”. Prin urmare, pentru a spori securitatea juridică, în textele legislative principale ar trebui să fie reglementate deja cel puțin următoarele elemente (14):

12.

După specificarea acestor elemente în propunerile legislative principale, ar putea fi folosite acte delegate sau de punere în aplicare în vederea aplicării mai detaliate a acestor garanții specifice. AEPD se așteaptă să fie consultată în legătură cu actele de punere în aplicare și delegate care abordează aspecte privind relevanța protecției datelor.

13.

În anumite cazuri este posibil să fie prelucrate date cu privire la anumite infracțiuni (prezumtive) (de exemplu legate de fraudă). Întrucât legislația aplicabilă privind protecția datelor prevede măsuri speciale de protecție a acestor date (17), ar putea fi necesar ca APD naționale competente sau AEPD să efectueze o verificare prealabilă (18).

14.

În sfârșit, ar trebui să se prevadă măsuri de securitate, în special în ceea ce privește bazele de date și sistemele electronice. De asemenea, ar trebui să se țină seama de principiul responsabilității și principiul luării în considerare a vieții private încă din momentul conceperii.

15.

Articolul 157 din Regulamentul privind OPC unică conferă Comisiei competența de a institui acte de punere în aplicare privind cerințele în materie de comunicare în diferite scopuri (precum asigurarea transparenței pieței, controlul măsurilor PAC sau punerea în aplicare a acordurilor internaționale) (19)„ținând seama de necesarul de date și de sinergiile dintre posibilele surse de date” (20). AEPD recomandă ca această dispoziție să specifice sursele de date care vor fi folosite și scopurile specifice în care vor fi folosite acestea. În această privință, AEPD ar dori să reamintească riscul ca interconectarea între bazele de date să contravină principiului limitării scopului (21), conform căruia datele cu caracter personal nu trebuie să fie prelucrate ulterior într-un mod incompatibil cu scopul inițial al colectării (22).

16.

Articolul 77 din Regulamentul privind dezvoltarea rurală prevede un nou sistem electronic de informații care va fi „instituit prin cooperare între Comisie și statele membre” în scopul monitorizării și evaluării. Sistemul implică prelucrarea datelor privind „caracteristicile principale ale beneficiarului și ale proiectului” furnizate chiar de către beneficiari (articolul 78). În măsura în care aceste „informații-cheie” includ date cu caracter personal, prevederea ar trebui să specifice acest lucru. În plus, trebuie să fie definite categoriile de date ce urmează să fie prelucrate, iar AEPD să fie consultată în legătură cu actele de punere în aplicare prevăzute la articolul 74.

17.

De asemenea, articolul 92 din aceeași propunere prevede instituirea unui nou sistem de informare „de către Comisie, în colaborare cu statele membre” în vederea unui schimb securizat de „date de interes comun”. Definiția categoriilor de date care urmează să facă obiectul schimbului este prea amplă și ar trebui restrânsă în cazul în care urmează să fie transferate date cu caracter personal folosind acest sistem. În plus, relația dintre articolul 77 și articolul 92 ar trebui să fie, de asemenea, clarificată, întrucât nu este clar dacă aceste articole au același scop și domeniu de aplicare.

18.

Considerentul 40 din Regulamentul orizontal prevede că statele membre ar trebui să opereze un sistem integrat de administrare și control (23) pentru anumite plăți și „să fie autorizate să utilizeze, de asemenea, sistemul integrat menționat și pentru alte sisteme de sprijin ale Uniunii” pentru a „îmbunătăți eficacitatea și monitorizarea sprijinului acordat de Uniune”. Această dispoziție ar trebui să fie clarificată, în special în cazul în care nu se referă doar la exploatarea sinergiilor din punct de vedere al infrastructurii, ci și la valorificarea informațiilor stocate în acest sistem în scopul monitorizării altor scheme de sprijin.

19.

În conformitate cu articolul 73 alineatul (1) litera (c) din Regulamentul orizontal, cererile de ajutor trebuie să cuprindă, pe lângă informații despre parcele și drepturile la plată, și „orice altă informație prevăzută în prezentul regulament sau necesară în vederea aplicării legislației sectoriale agricole relevante sau solicitată de statul membru în cauză” (24). În cazul în care se preconizează că aceste informații vor cuprinde date cu caracter personal, ar trebui specificate categoriile de date solicitate.

20.

Regulamentul orizontal stabilește o serie de organisme pentru aplicarea practică a PAC și atribuie sarcinile acestora (articolele 7-15). În ceea ce privește Comisia, sunt prevăzute următoarele competențe (titlurile IV-VII):

21.

Prima sarcină menționată la paragraful anterior va implica prelucrarea de date cu caracter personal, în timp ce pentru cea de a doua sarcină nu există o nevoie prima facie de prelucrare a datelor cu caracter personal: o evaluare generală a măsurilor poate fi efectuată și pe baza datelor agregate sau anonimizate. În cazul în care Comisia nu oferă o justificare adecvată pentru nevoia de prelucrare a datelor cu caracter personal în acest context, ar trebui clarificat faptul că nu trebuie să se furnizeze Comisiei niciun fel de date cu caracter personal în scopul evaluării generale a măsurilor.

22.

Articolele 49-52 și 61-63 din Regulamentul orizontal stabilesc normele pentru verificările la fața locului (27). Propunerea prevede că acestea sunt efectuate în principal de către autoritățile competente din statele membre, în special în ceea ce privește vizitele la domiciliu sau interogarea formală a persoanelor, însă Comisia are acces la informațiile obținute în acest mod. Aici legiuitorul ar trebui să specifice că doar atunci când este necesar în scopuri de control Comisia are acces la aceste date. De asemenea, ar trebui precizate categoriile de date cu caracter personal care urmează să fie accesate de către Comisie.

23.

În scopul monitorizării ajutorului, Regulamentul orizontal stabilește un sistem de administrare și control (28) (articolele 68-78) care conține o serie de baze de date:

24.

Baza de date electronică cuprinde o singură bază de date per stat membru (și, opțional, bazele de date descentralizate din interiorul acestora). Ea înregistrează datele obținute de la fiecare beneficiar prin cererile de ajutor și de plată. Dat fiind faptul că nu toate datele colectate prin cererile de ajutor pot fi necesare în scopuri de control, ar trebui să se analizeze posibilitățile de a reduce la minimum prelucrarea datelor cu caracter personal în această privință.

25.

Accesul la sistemul de administrare și control nu este reglementat în mod explicit. Similar cu cele afirmate în legătură cu verificările la fața locului, AEPD recomandă legiuitorului să stabilească norme delimitate clar pentru accesul la acest sistem.

26.

În ceea ce privește verificările, Regulamentul orizontal prevede controlul documentelor comerciale, inclusiv ale terților (articolele 79-88) (29). Aceste documente pot să includă date cu caracter personal cu privire la terți. În cadrul instrumentului ar trebui specificate condițiile în care terților li se cere să dezvăluie documentele lor comerciale (30).

27.

Articolul 87 din aceeași propunere stabilește că funcționarii Comisiei au acces la toate documentele „elaborate în vederea sau ca urmare a controalelor organizate”„în conformitate cu dispozițiile legislative naționale relevante”. Prevederea se aplică atât cazurilor în care aceștia pot să participe la control [alineatul (2)], cât și cazurilor în care anumite acțiuni sunt rezervate funcționarilor desemnați de legislația statului membru în care se desfășoară controlul [alineatul (4)]. În ambele cazuri trebuie să se garanteze că funcționarii Comisiei accesează aceste date numai atunci când este necesar (respectiv în scopuri de control), precum și în cazurile în care dreptul național ar permite accesul în alte scopuri. AEPD încurajează legiuitorul să introducă în text precizări în acest sens.

28.

În conformitate cu articolul 102 din Regulamentul orizontal, statele membre transmit Comisiei anumite categorii de informații, declarații și documente. Printre acestea se numără și „un rezumat al rezultatelor tuturor auditurilor și controalelor realizate și disponibile” [articolul 102 alineatul (1) litera (c) punctul (v)]. În acest caz ar trebui să se specifice fie că în aceste rezumate nu vor fi incluse date cu caracter personal, fie scopul în care aceste date trebuie să fie comunicate, în cazul în care sunt necesare.

29.

Articolul 70 alineatul (1) din Regulamentul orizontal prevede că baza de date electronică permite consultarea „prin intermediul autorității competente a statului membru” a datelor începând din anul 2000 și „consultarea directă și imediată” a datelor referitoare la cel puțin cinci ani calendaristici consecutivi anteriori (31).

30.

Sistemul de identificare și înregistrare a drepturilor la plată permite „verificarea drepturilor și controale încrucișate privind cererile de ajutor și sistemul de identificare a parcelelor agricole”. Articolul 72 alineatul (2) din Regulamentul orizontal stabilește că sunt disponibile date privind o perioadă de „cel puțin” patru ani (32).

31.

În legătură cu aceste două sisteme, AEPD reamintește articolul 6 alineatul (1) litera (e) din Directiva 95/46/CE și articolul 4 alineatul (1) litera (e) din Regulamentul (CE) nr. 45/2001, care stabilesc că datele nu trebuie păstrate într-o formă care să permită identificarea pe o perioadă mai lungă decât este necesar în vederea atingerii scopului pentru care au fost colectate. Acest lucru implică faptul că este necesară o definire a perioadelor de păstrare maxime, nu doar a perioadelor de păstrare minime.

32.

Articolul 157 alineatul (1) al doilea paragraf din Regulamentul privind OCP unică prevede că datele pot fi transmise țărilor terțe și organizațiilor internaționale. AEPD dorește să reamintească faptul că transferul datelor cu caracter personal care nu asigură o protecție adecvată ar putea fi justificat doar de la caz la caz dacă se aplică una dintre excepțiile prevăzute la articolul 26 din Directiva 95/46/CE sau la articolul 9 alineatul (6) din Regulamentul (CE) nr. 45/2001 (de exemplu, în cazul în care transferul este necesar sau impus prin lege din motive legate de un interes public important).

33.

În acest caz ar trebui să se precizeze scopul specific al transferului (de exemplu, în legătură cu punerea în aplicare a acordurilor internaționale) (33). Acordurile internaționale relevante ar trebui să includă garanții specifice în ceea ce privește protecția vieții private și a datelor cu caracter personal și exercitarea acestor drepturi de către persoanele vizate. În plus, în cazul în care datele trebuie transmise de către Comisie, transferul ar trebui să fie autorizat de AEPD (34).

34.

Considerentul 70 din Regulamentul orizontal prevede că noile norme privind publicarea informațiilor referitoare la beneficiari „ținând cont de obiecțiile exprimate de Curtea de Justiție” în cauza Schecke  (35) sunt în curs de elaborare.

35.

AEPD dorește să reamintească faptul că normele privind publicarea informațiilor referitoare la beneficiari ar trebui să respecte principiul proporționalității. După cum a confirmat Curtea de Justiție (36), trebuie găsit un echilibru just între drepturile fundamentale la viața privată și protecția datelor ale beneficiarilor și interesul Uniunii Europene de a garanta transparența și a asigura o administrare optimă a fondurilor publice.

36.

Acest aspect este relevant și în ceea ce privește articolul 157 alineatul (1) al doilea paragraf din Regulamentul privind OCP unică, conform căruia datele „pot fi făcute publice sub rezerva protecției datelor cu caracter personal și a interesului legitim al întreprinderilor în protejarea secretelor lor de afaceri”. Prin articolul 157 alineatul (2) litera (d) și alineatul (3) litera (c) se împuternicește Comisia să adopte acte delegate privind „condițiile și mijloacele de publicare a informațiilor” și acte de punere în aplicare a mecanismelor pentru punerea la dispoziția publicului a informațiilor și documentelor.

37.

AEPD salută faptul că publicarea informațiilor și documentelor se va face sub rezerva protecției datelor cu caracter personal. Cu toate acestea, elemente esențiale precum scopul publicării și categoriile de date care urmează să fie publicate ar trebui să fie specificate în propuneri, și nu prin acte de punere în aplicare sau delegate.

38.

Ar trebui să se specifice drepturile persoanelor vizate, în special cu privire la dreptul la informație și dreptul de acces. Acest lucru este în special relevant în ceea ce privește articolul 81 din Regulamentul orizontal, conform căruia pot fi verificate documentele comerciale ale beneficiarilor, dar și ale furnizorilor, clienților, transportatorilor și altor terți. Deși este posibil ca beneficiarii să știe că datele lor sunt prelucrate, ar trebui ca și terții să fie informați corespunzător asupra posibilității ca datele lor să fie folosite în scopuri de control (de exemplu, printr-o declarație de confidențialitate dată în momentul colectării și prin furnizarea de informații pe toate site-urile internet și în toate documentele relevante). Obligația de informare a persoanelor vizate, inclusiv a terților, ar trebui să fie inclusă în propuneri.

39.

Ar trebui să se prevadă măsuri de securitate, în special în ceea ce privește bazele de date și sistemele electronice. Ar trebui să se țină seama de principiul responsabilității și principiul luării în considerare a vieții private încă din momentul conceperii. O listă a măsurilor de securitate ce trebuie adoptate în legătură cu aceste baze de date și sisteme electronice ar putea fi introdusă cel puțin prin acte delegate și de punere în aplicare. Acest aspect este cu atât mai important cu cât datele cu caracter personal prelucrate în contextul verificărilor și controalelor ar putea cuprinde date privind infracțiunile prezumtive.

40.

AEPD salută cerințele prevăzute la articolul 103 din Regulamentul orizontal privind confidențialitatea și secretul profesional în vederea controlului în sensul articolelor 79-88 din același regulament.

41.

AEPD consideră că, pentru a spori securitatea juridică, aspectele fundamentale ale operațiunilor de prelucrare avute în vedere în propuneri și garanțiile necesare în materie de protecție a datelor ar trebui să fie reglementate în textele legislative principale, și nu în actele delegate sau de punere în aplicare:

42.

Aceste elemente ar putea fi detaliate ulterior în acte delegate sau de punere în aplicare. AEPD se așteaptă să fie consultată în această privință.

43.

În plus, ar trebui să fie prevăzute măsuri de securitate cel puțin prin intermediul unor acte de punere în aplicare și acte delegate, în special în ceea ce privește bazele de date și sistemele electronice. De asemenea, ar trebui să se țină seama de principiul responsabilității și principiul luării în considerare a vieții private încă din momentul conceperii.

44.

În sfârșit, având în vedere faptul că în anumite cazuri este posibil să fie prelucrate date privind anumite infracțiuni (prezumtive) (de exemplu legate de fraudă), ar putea fi necesar ca APD naționale competente sau AEPD să efectueze o verificare prealabilă.