EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32020Q0424(01)
Decision of the Management Board of the Agency for Support for BEREC (BEREC Office) of 10 September 2019 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the BEREC Office
Decizia Consiliului de administrație al Agenției de sprijin pentru OAREC (Oficiul OAREC) din 10 septembrie 2019 de stabilire a normelor interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Oficiul OAREC
Decizia Consiliului de administrație al Agenției de sprijin pentru OAREC (Oficiul OAREC) din 10 septembrie 2019 de stabilire a normelor interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Oficiul OAREC
OJ L 130, 24.4.2020, p. 28–32
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
24.4.2020 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 130/28 |
DECIZIA CONSILIULUI DE ADMINISTRAȚIE AL AGENȚIEI DE SPRIJIN PENTRU OAREC (OFICIUL OAREC)
din 10 septembrie 2019
de stabilire a normelor interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Oficiul OAREC
CONSILIUL DE ADMINISTRAȚIE,
având în vedere Regulamentul (UE) 2018/1971 al Parlamentului European și al Consiliului din 11 decembrie 2018 de instituire a Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (OAREC) și a Agenției de sprijin pentru OAREC (Oficiul OAREC) și de modificare a Regulamentului (UE) 2015/2120 și de abrogare a Regulamentului (CE) nr. 1211/2009 (1), în special articolul 36 alineatul (4),
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (2), în special articolul 25,
întrucât:
|
(1) |
În contextul funcționării sale, Oficiul OAREC poate desfășura anchete administrative, proceduri disciplinare anticipate, disciplinare și de suspendare, în conformitate cu anexa IX la Statutul funcționarilor Uniunii Europene și Regimul aplicabil celorlalți agenți ai Uniunii Europene (3) și în conformitate cu Decizia MC/2012/3 a Comitetului de gestionare al Oficiului Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) de stabilire a dispozițiilor generale de punere în aplicare referitoare la desfășurarea anchetelor administrative și a procedurilor disciplinare, ceea ce implică prelucrarea de informații, inclusiv de date cu caracter personal. |
|
(2) |
Membrii personalului Oficiului OAREC au obligația de a raporta eventuale activități ilegale, inclusiv frauda sau corupția, care aduc atingere intereselor Uniunii, sau de conduită în raport cu exercitarea atribuțiilor profesionale care pot constitui o încălcare gravă a obligațiilor funcționarilor Uniunii. Acest aspect este reglementat prin Decizia nr. MC/2018/11 a Comitetului de gestionare a Oficiului Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) de stabilire a orientărilor privind avertizarea în interes public a Oficiului OAREC. |
|
(3) |
Oficiul OAREC a stabilit o politică de prevenire și soluționare eficace și eficientă a cazurilor reale sau potențiale de hărțuire morală sau sexuală la locul de muncă, astfel cum se prevede în Decizia nr. MC/2016/15 a Comitetului de gestionare al Oficiului Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) privind politica sa în domeniul protecției demnității persoanei și al prevenirii hărțuirii psihologice și sexuale. |
|
(4) |
În contextul activităților menționate mai sus, Oficiul OAREC culege și prelucrează informații relevante și mai multe categorii de date cu caracter personal, inclusiv date de identificare ale unei persoane fizice, date de contact, roluri și sarcini profesionale, informații privind conduita și performanțele private și profesionale, precum și date financiare. Oficiul OAREC acționează în calitate de operator de date. |
|
(5) |
Există garanții adecvate pentru protejarea datelor cu caracter personal și pentru prevenirea accesului sau a transferului accidental sau ilegal, indiferent că sunt stocate într-un mediu fizic sau într-un mediu electronic. După prelucrare, datele sunt păstrate în conformitate cu normele aplicabile ale Oficiului OAREC privind păstrarea datelor, astfel cum sunt definite în evidențele de protecție a datelor în temeiul articolului 31 din regulament. La sfârșitul perioadei de păstrare, informațiile legate de caz, inclusiv datele cu caracter personal, sunt eliminate, anonimizate sau transferate în arhivele istorice. |
|
(6) |
În acest context, Oficiul OAREC are obligația de a furniza persoanelor vizate informații cu privire la activitățile de prelucrare menționate mai sus și de a respecta drepturile persoanelor vizate, conform prevederilor din regulament. |
|
(7) |
Poate fi necesar să se asigure un echilibru între drepturile persoanelor vizate, în conformitate cu regulamentul, și nevoile activităților menționate mai sus, respectând pe deplin drepturile și libertățile fundamentale ale altor persoane vizate. În acest sens, articolul 25 din regulament prevede, în condiții stricte, posibilitatea de a restricționa aplicarea articolelor 14‐20, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-20. În acest caz, este necesar să se adopte norme interne în temeiul cărora Oficiul OAREC să poată restricționa drepturile respective, în conformitate cu același articol din regulament. |
|
(8) |
Acest lucru poate fi valabil, în special, dacă se furnizează persoanei vizate informații cu privire la prelucrarea datelor cu caracter personal în etapa de evaluare preliminară a unei anchete administrative sau în timpul anchetei propriu-zise, înaintea unei eventuale revocări a cazului sau a unei etape disciplinare anterioare. În anumite situații, furnizarea unor astfel de informații ar putea afecta grav capacitatea Oficiului OAREC de a efectua o anchetă eficace, de exemplu, dacă există riscul ca persoana respectivă să distrugă probe sau să ia legătura cu potențialii martori înainte de audiere. În plus, Oficiul OAREC poate avea nevoie să-și protejeze propriile drepturi și libertăți, precum și pe cele ale altor persoane implicate. |
|
(9) |
Ar putea fi necesar să se protejeze confidențialitatea unui martor sau a unui denunțător care a solicitat să nu fie identificat. Într-un astfel de caz, pentru a-și proteja drepturile și libertățile, Oficiul OAREC poate decide să restricționeze accesul la identitatea, declarațiile și alte date cu caracter personal ale denunțătorului, precum și ale altor persoane implicate. |
|
(10) |
Ar putea fi necesar să se protejeze confidențialitatea unui membru al personalului care a contactat persoanele de încredere din cadrul Oficiului OAREC în contextul unei proceduri de hărțuire. Într-un astfel de caz, Oficiul OAREC poate decide să restricționeze accesul la identitatea, declarațiile și alte date cu caracter personal ale presupusei victime, ale presupusului hărțuitor și ale altor persoane implicate, pentru a le proteja drepturile și libertățile. |
|
(11) |
Oficiul OAREC poate aplica restricții numai atunci când respectă esența drepturilor și libertăților fundamentale și dacă sunt strict necesare și constituie o măsură proporțională într-o societate democratică. Oficiul OAREC trebuie să ofere justificări care să explice motivele acestor restricții. |
|
(12) |
Pe baza principiului responsabilității, Oficiul OAREC trebuie să țină evidența aplicării restricțiilor. |
|
(13) |
Articolul 25 alineatul (6) din regulament obligă operatorul să informeze persoanele vizate cu privire la motivele principale care stau la baza aplicării restricției și cu privire la dreptul lor de a depune o plângere la AEPD. |
|
(14) |
În temeiul articolului 25 alineatul (8) din regulament, Oficiul OAREC poate amâna, omite sau refuza furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă acest lucru ar anula în orice mod efectul restricției. Oficiul OAREC trebuie să evalueze, de la caz la caz, dacă comunicarea restricției îi anulează efectul. |
|
(15) |
Oficiul OAREC trebuie să ridice restricția imediat ce condițiile care o justifică nu se mai aplică și să evalueze aceste condiții în mod regulat. |
|
(16) |
Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din regulament, responsabilul cu protecția datelor trebuie informat în timp util cu privire la restricțiile aplicate și trebuie să verifice respectarea prevederilor prezentei decizii. |
|
(17) |
Aplicarea restricțiilor menționate mai sus nu aduce atingere eventualei aplicări a dispozițiilor articolului 16 alineatul (5) și ale articolului 17 alineatul (4) din regulament, privind dreptul la informare, atunci când datele nu au fost obținute de la persoana vizată, și dreptul de acces al persoanei vizate. |
|
(18) |
Autoritatea Europeană pentru Protecția Datelor („AEPD”) a fost consultată la 27 mai 2019, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Obiectul și domeniul de aplicare
Prezenta decizie stabilește norme referitoare la condițiile în care Oficiul OAREC poate restricționa aplicarea articolelor 14-20, 35 și 36, precum și a articolului 4, în temeiul articolului 25 din regulament.
Articolul 2
Restricții
(1) În conformitate cu articolul 25 alineatul (1) din regulament, Oficiul OAREC poate restricționa aplicarea articolelor 14-20, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile corespund drepturilor și obligațiilor prevăzute la articolele 14-20, în cazul în care:
|
(a) |
desfășoară anchete administrative, proceduri disciplinare anticipate, disciplinare și de suspendare, în conformitate cu anexa IX la Statutul funcționarilor Uniunii Europene și Regimul aplicabil celorlalți agenți ai Uniunii Europene și cu Decizia MC/2012/3 a Comitetului de gestionare al Oficiului Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) de stabilire a dispozițiilor generale de punere în aplicare privind desfășurarea anchetelor administrative și a procedurilor disciplinare, ceea ce implică prelucrarea de informații, inclusiv de date cu caracter personal. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g) și (h) din regulament; |
|
(b) |
se asigură că membrii personalului Oficiului OAREC pot raporta fapte în condiții de confidențialitate atunci când consideră că există nereguli grave în conformitate cu Decizia nr. MC/2018/11 a Comitetului de gestionare al Oficiului Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) de stabilire a orientărilor privind avertizarea în interes public a Oficiului OAREC. Restricțiile relevante se pot întemeia pe articolul 25 alineatul (1) litera (h) din regulament; |
|
(c) |
se asigură că membrii personalului Oficiului OAREC pot raporta în condiții de confidențialitate unor persoane de încredere în contextul unei proceduri de hărțuire în conformitate cu Decizia nr. MC/2016/15 a Comitetului de gestionare al Oficiului Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) privind politica de protecție a demnității persoanei și de prevenire a hărțuirii psihologice și sexuale. Restricțiile relevante se pot întemeia pe articolul 25 alineatul (1) litera (h) din regulament. |
(2) Categoriile de date cuprind datele de identificare ale unei persoane fizice, datele de contact, rolurile și sarcinile profesionale, informațiile privind conduita și performanțele private și profesionale, precum și date financiare.
(3) Restricțiile trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică.
(4) Înainte de aplicarea restricțiilor și după caz, se efectuează un test de necesitate și proporționalitate. Restricțiile se limitează la ceea ce este strict necesar pentru atingerea obiectivelor stabilite, ținând seama de riscurile pentru drepturile și libertățile persoanelor vizate.
(5) Oficiul OAREC întocmește, în scopul asigurării răspunderii, o evidență în care sunt descrise motivele care stau la baza restricțiilor aplicate, care anume dintre motivele enumerate la punctul 1 se aplică și rezultatul testului de necesitate și proporționalitate. Evidențele respective fac parte dintr-un registru ad hoc, care este pus, la cerere, la dispoziția AEPD. Un raport privind aplicarea articolului 25 din regulament trebuie pus la dispoziție periodic.
Articolul 3
Riscurile pentru drepturile și libertățile persoanelor vizate
Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate ale căror date cu caracter personal pot face obiectul unor restricții, precum și perioada de păstrare a acestora sunt menționate în evidența activităților de prelucrare relevante, în conformitate cu articolul 31 din regulament și, dacă este cazul, în evaluările relevante ale impactului asupra protecției datelor, în temeiul articolului 39 din regulament.
Articolul 4
Perioade de stocare și garanții
Oficiul OAREC instituie garanții pentru a preveni abuzul sau accesul sau transferul ilegal de date cu caracter personal care pot face obiectul unor restricții. Aceste garanții conțin măsuri tehnice și organizatorice și, dacă este necesar, sunt prezentate în detaliu în deciziile interne, procedurile și normele de punere în aplicare ale Oficiului OAREC. Garanțiile cuprind:
|
(a) |
definirea adecvată a rolurilor, responsabilităților și etapelor procedurale; |
|
(b) |
dacă este cazul, un mediu electronic securizat care previne accesul sau transferul ilegal sau accidental de date electronice către persoane neautorizate; |
|
(c) |
dacă este cazul, stocarea și prelucrarea în condiții de siguranță a documentelor pe suport de hârtie; |
|
(d) |
monitorizarea corespunzătoare a restricțiilor și o revizuire periodică, care trebuie efectuate cel puțin o dată la șase luni. Revizuirea se impune și în cazul în care se modifică elemente esențiale ale cazului respectiv. Restricțiile se ridică imediat ce situațiile care le justifică nu se mai aplică. |
Articolul 5
Informarea responsabilului cu protecția datelor și analiza efectuată de acesta
(1) Responsabilul cu protecția datelor al Oficiului OAREC trebuie informat fără întârziere nejustificată ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta decizie și i se acordă acces la evidențe și la documentele care stau la baza elementelor de fapt și de drept.
(2) Responsabilul cu protecția datelor al Oficiului OAREC poate solicita revizuirea aplicării restricției. Oficiul OAREC îl informează în scris pe responsabilul cu protecția datelor cu privire la rezultatul analizei solicitate.
(3) Participarea responsabilului cu protecția datelor al Oficiului OAREC la procedura privind restricțiile, inclusiv la schimburile de informații, este documentată în forma corespunzătoare.
Articolul 6
Informarea persoanelor vizate cu privire la restricționarea drepturilor
(1) Anunțurile privind protecția datelor publicate pe site-ul Oficiului OAREC conțin informații generale pentru persoanele vizate, referitoare la restricțiile potențiale ale drepturilor tuturor persoanelor vizate descrise la articolul 2 alineatul (1) din prezenta decizie. Informațiile se referă la drepturile care pot fi restricționate, motivele și durata posibilă a restricției.
(2) În plus, Oficiul OAREC informează fiecare persoană vizată în parte, fără întârzieri nejustificate și în scris, cu privire la restricțiile prezente sau viitoare ale drepturilor lor, astfel cum se specifică în continuare la articolele 7, 8 și 9 din prezenta decizie.
Articolul 7
Dreptul la informații care trebuie furnizate persoanelor vizate și informarea cu privire la încălcarea securității datelor
(1) În cazul în care, în contextul activităților menționate în prezenta decizie, Oficiul OAREC limitează, integral sau parțial, drepturile persoanelor vizate menționate la articolele 14-16 și 35 din regulament, acestea sunt informate cu privire la principalele motive pe care se întemeiază aplicarea restricției și cu privire la dreptul lor de a depune o plângere la AEPD, precum și de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.
(2) Oficiul OAREC poate amâna, omite sau refuza furnizarea de informații privind motivele restricției menționate la alineatul (1), dacă aceasta ar anula efectul restricției. Această evaluare se efectuează de la caz la caz.
Articolul 8
Dreptul persoanelor vizate de a accesa, a rectifica, a șterge și a restricționa prelucrarea
(1) În cazul în care, în contextul activităților menționate în prezenta decizie, restricționează, integral sau parțial, dreptul de acces la datele cu caracter personal, dreptul de rectificare, ștergere și restricționare a prelucrării, astfel cum se menționează la articolele 17-20 din regulament, Oficiul OAREC informează persoana vizată respectivă, în răspunsul la cererea sa, cu privire la principalele motive care stau la baza aplicării restricției, precum și cu privire la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.
(2) Oficiul OAREC poate amâna, omite sau refuza furnizarea de informații privind motivele restricției menționate la alineatul (1), dacă aceasta ar anula efectul restricției. Această evaluare se efectuează de la caz la caz.
Articolul 9
Confidențialitatea comunicațiilor electronice
(1) În circumstanțe excepționale și în conformitate cu dispozițiile și raționamentul Directivei 2002/58/CE a Parlamentului European și a Consiliului (4), Oficiul OAREC poate limita dreptul la confidențialitatea comunicațiilor electronice, astfel cum se menționează la articolul 36 din regulament. În acest caz, Oficiul OAREC prezintă în detaliu, prin norme interne specifice, circumstanțele, motivele, riscurile relevante și garanțiile conexe.
(2) În cazul în care limitează dreptul la confidențialitatea comunicațiilor electronice, Oficiul OAREC informează persoana vizată, în răspunsul la cererea sa, cu privire la principalele motive care stau la baza aplicării restricției, precum și cu privire la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.
(3) Oficiul OAREC poate amâna, omite sau refuza furnizarea de informații privind motivele restricției menționate la alineatele (1) și (2), dacă aceasta ar anula efectul restricției. Această evaluare se efectuează de la caz la caz.
Articolul 10
Intrarea în vigoare
Prezenta decizie intră în vigoare la data publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Riga, 10 septembrie 2019.
Pentru Agenția de sprijin pentru OAREC
Jeremy GODFREY
Președintele Consiliului de administrație
(1) JO L 321, 17.12.2018, p. 1.
(2) JO L 295, 21.11.2018, p. 39.
(3) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(4) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).