This document is an excerpt from the EUR-Lex website
Document 32019Q1111(01)
Decision of the management board of the european union agency for law enforcement training of 5 August 2019 laying down internal rules concerning the restriction of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of CEPOL
Decizia Consiliului de Administrație al Agenției Uniunii Europene pentru Formare în Materie de Aplicare a Legii din 5 august 2019 privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul funcționării CEPOL
Decizia Consiliului de Administrație al Agenției Uniunii Europene pentru Formare în Materie de Aplicare a Legii din 5 august 2019 privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul funcționării CEPOL
JO L 290, 11.11.2019, p. 34–41
(ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
JO L 290, 11.11.2019, p. 35–42
(BG)
In force
11.11.2019 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 290/34 |
DECIZIA CONSILIULUI DE ADMINISTRAȚIE AL AGENȚIEI UNIUNII EUROPENE PENTRU FORMARE ÎN MATERIE DE APLICARE A LEGII
din 5 august 2019
privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul funcționării CEPOL
CONSILIUL DE ADMINISTRAȚIE,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (1), în special articolul 25,
având în vedere Regulamentul (UE) 2015/2219 al Parlamentului European și al Consiliului din 25 noiembrie 2015 privind Agenția Uniunii Europene pentru Formare în Materie de Aplicare a Legii (CEPOL) și de înlocuire și de abrogare a Deciziei 2005/681/JAI a Consiliului (2),
având în vedere avizul AEPD din 20 iunie 2019 și orientările AEPD cu privire la articolul 25 din noul regulament și normele interne (3),
întrucât:
(1) |
CEPOL își desfășoară activitățile în conformitate cu Regulamentul (UE) 2015/2219. |
(2) |
În conformitate cu articolul 25 alineatul (1) din Regulamentul (UE) 2018/1725, restricționarea aplicării articolelor 14-22, 35 și 36, precum și a articolului 4 din acest regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-22, trebuie să se bazeze pe normele interne care urmează să fie adoptate de agenție, în cazul în care acestea nu se bazează pe actele legislative adoptate în temeiul tratatelor. |
(3) |
Aceste norme interne, inclusiv dispozițiile privind evaluarea necesității și a proporționalității unei restricții, nu trebuie să se aplice în cazul în care un act legislativ adoptat în temeiul tratatelor prevede o restricționare a drepturilor persoanelor vizate. |
(4) |
În îndeplinirea atribuțiilor sale cu privire la drepturile persoanelor vizate în conformitate cu Regulamentul (UE) 2018/1725, Agenția analizează dacă se aplică oricare dintre derogările prevăzute în acest regulament. |
(5) |
În cadrul funcționării sale administrative, agenția poate derula anchete administrative, proceduri disciplinare, activități preliminare privind cazuri de posibile nereguli raportate OLAF, poate prelucra cazuri de denunțare, proceduri (oficiale și neoficiale) pentru cazuri de hărțuire, plângeri interne și externe, poate derula audituri interne, investigații prin responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725, și investigații interne de securitate (IT). În plus, agenția poate gestiona cererile de acces la dosarul medical al membrilor personalului. Agenția prelucrează mai multe categorii de date cu caracter personal, inclusiv date concrete (date „obiective” precum date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, comunicații electronice și date privind traficul) și/sau date mai puțin concrete (date „subiective” referitoare la caz precum argumente, date comportamentale, evaluări, date privind performanța și conduita și date legate de obiectul procedurii sau al activității sau corelate cu acesta). |
(6) |
Agenția, reprezentată de directorul său executiv, acționează în calitate de operator de date, indiferent de orice alte delegări ale rolului de operator în cadrul agenției, pentru a reflecta responsabilitățile operaționale referitoare la operațiuni specifice de prelucrare a datelor cu caracter personal. |
(7) |
Datele cu caracter personal sunt stocate în siguranță într-un mediu electronic sau pe hârtie pentru a preveni accesul ilegal la acestea sau transferul acestora către persoane care nu au nevoie să le cunoască. Dosarele medicale sunt stocate de către furnizorul extern de servicii utilizat de agenție. Datele cu caracter personal prelucrate nu sunt păstrate mai mult timp decât este necesar și adecvat îndeplinirii scopurilor în care sunt prelucrate pe perioada specificată în anunțurile privind protecția datelor, în declarațiile de confidențialitate sau în evidențele agenției. |
(8) |
Normele interne trebuie să se aplice tuturor operațiunilor de prelucrare efectuate de agenție în cadrul derulării anchetelor administrative, procedurilor disciplinare, activităților preliminare privind cazuri de posibile nereguli raportate OLAF, procedurilor de denunțare, procedurilor (oficiale și neoficiale) pentru cazuri de hărțuire, prelucrării plângerilor interne și externe, auditurilor interne, investigațiilor efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725, investigațiilor de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE), precum și pentru gestionarea cererilor de acces la dosarul medical personal. |
(9) |
Acestea trebuie să se aplice operațiunilor de prelucrare efectuate înainte de deschiderea procedurilor menționate mai sus, în timpul acestor proceduri și în timpul monitorizării rezultatelor procedurilor. Trebuie să includă, de asemenea, asistența și cooperarea furnizate de agenție autorităților naționale și organizațiilor internaționale în afara activităților sale administrative. |
(10) |
În cazurile în care se aplică aceste norme interne, agenția trebuie să ofere justificări explicând motivele pentru care restricționările sunt strict necesare și proporționale într-o societate democratică și trebuie să respecte esența drepturilor și libertăților fundamentale. |
(11) |
În acest cadru, agenția are obligația să respecte, în cea mai mare măsură posibil, drepturile fundamentale ale persoanelor vizate în timpul procedurilor de mai sus, în special, cele privind dreptul de informare, de acces și de rectificare, dreptul de ștergere a datelor, dreptul de restricționare a prelucrării datelor, dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor, astfel cum sunt instituite prin Regulamentul (UE) 2018/1725. |
(12) |
Cu toate acestea, agenția poate fi obligată să restricționeze informarea persoanei vizate și exercitarea altor drepturi ale acesteia pentru a-și proteja, în special, propriile investigații, investigațiile și procedurile altor autorități publice, precum și drepturile altor persoane în legătură cu investigațiile sale sau cu alte proceduri. |
(13) |
Agenția poate astfel să restricționeze informarea, în scopul protejării investigației și a drepturilor fundamentale și libertăților altor persoane vizate. |
(14) |
Agenția trebuie să verifice cu regularitate dacă se aplică condițiile care justifică restricția și să ridice restricția în măsura în care acestea nu se mai aplică. |
(15) |
Operatorul trebuie să informeze responsabilul cu protecția datelor în momentul amânării și pe durata revizuirilor, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Obiect și domeniu de aplicare
(1) Prezenta decizie stabilește normele referitoare la condițiile în care agenția poate restricționa, în cadrul procedurilor sale menționate la alineatul (2), aplicarea drepturilor instituite prin articolele 14-21, 35 și 36, precum și prin articolul 4, în conformitate cu articolul 25 din Regulamentul (UE) 2018/1725.
(2) În cadrul funcționării administrative a agenției, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal de către oficiu în scopul derulării anchetelor administrative, procedurilor disciplinare, activităților preliminare privind cazuri de posibile nereguli raportate OLAF, prelucrării cazurilor de denunțare, procedurilor (oficiale și neoficiale) pentru cazuri de hărțuire, prelucrării plângerilor interne și externe, derulării auditurilor interne, investigațiilor efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725, și investigațiilor de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE), precum și pentru gestionarea cererilor de acces la dosarul medical personal.
(3) Categoriile de date vizate sunt date concrete (date „obiective” precum date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, comunicații electronice și date privind traficul) și/sau date mai puțin concrete (date „subiective” referitoare la caz precum argumente, date comportamentale, evaluări, date privind performanța și conduita și date legate de obiectul procedurii sau al activității sau corelate cu acesta).
(4) În îndeplinirea atribuțiilor sale cu privire la drepturile persoanelor vizate în conformitate cu Regulamentul (UE) 2018/1725, agenția analizează dacă se aplică oricare dintre derogările prevăzute în acest regulament.
(5) Sub rezerva condițiilor stabilite în prezenta decizie, restricțiile se pot aplica următoarelor drepturi: dreptul de informare a persoanelor vizate, dreptul de acces, de rectificare, de ștergere a datelor, dreptul de restricționare a prelucrării datelor, dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor.
Articolul 2
Menționarea operatorului și a garanțiilor
(1) Garanțiile instituite în vederea evitării încălcării securității datelor, a scurgerilor sau divulgării neautorizate de date sunt următoarele:
(a) |
documentele pe suport de hârtie se păstrează în dulapuri securizate, accesibile numai personalului autorizat; |
(b) |
toate datele electronice se stochează conform practicii Agenției, precum și în dosare electronice specifice, accesibile numai personalului autorizat. Se acordă niveluri corespunzătoare de acces în mod individual; |
(c) |
sistemul IT al agenției este accesibil în baza unui sistem de autentificare unic ce se conectează automat cu numele de utilizator și parola. Este strict interzisă înlocuirea utilizatorilor. Evidențele electronice se stochează în siguranță, astfel încât să se asigure protecția și confidențialitatea datelor; |
(d) |
furnizorul extern de servicii care stochează dosarele medicale are obligații, conform clauzelor contractuale specific, în ceea ce privește confidențialitatea și prelucrarea datelor cu caracter personal; |
(e) |
toate persoanele care au acces la date au obligația de a păstra confidențialitatea acestora. |
(2) Operatorul pentru prelucrarea datelor este agenția, reprezentată de directorul său executiv, care poate delega funcția operatorului de date. Persoanele vizate sunt informate cu privire la operatorul de date delegat prin intermediul anunțurilor privind protecția datelor sau al evidențelor publicate pe website-ul agenției și circulate în interiorul acesteia.
(3) Perioada de păstrare a datelor cu caracter personal, menționate la articolul 1 alineatul (3), nu este mai mare decât este necesar și adecvat îndeplinirii scopurilor în care sunt prelucrate datele. În niciun caz nu depășește perioada de păstrare specificată în anunțurile privind protecția datelor, declarațiile de confidențialitate sau evidențele menționate la articolul 5 alineatul (1).
(4) În cazul în care se are în vedere aplicarea unei restricții, agenția apreciază riscul față de drepturile și libertățile persoanei vizate, în special în raport cu riscul față de drepturile și libertățile altor persoane vizate și riscul de anula efectul investigațiilor sau a procedurilor agenției, de exemplu prin distrugerea dovezilor. Riscurile față de drepturile și libertățile persoanei vizate privesc, în primul rând, dar fără a se limita la acestea, riscurile de imagine și riscurile față de dreptul la apărare și dreptul a fi audiat
Articolul 3
Restricții
(1) Orice restricție se aplică numai de către agenție pentru a garanta:
(a) |
prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora; |
(b) |
securitatea internă a instituțiilor și organelor Uniunii, inclusiv a rețelelor lor de comunicații electronice; |
(c) |
protejarea independenței judiciare și a procedurilor judiciare; |
(d) |
prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate; |
(e) |
protecția persoanei vizate sau a drepturilor și libertăților altora; |
(f) |
punerea în aplicare a pretențiilor de drept civil. |
(2) În aplicarea specifică a scopurilor descrise la alineatul (1) de mai sus, agenția poate aplica restricții în legătură cu datele cu caracter personal care fac obiectul schimburilor cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autoritățile competente ale statelor membre, cu țări terțe sau organizații internaționale, în următoarele situații:
(a) |
în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de serviciile Comisiei sau de către alte instituții, organe, agenții și oficii ale Uniunii, pe baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din acest regulament sau cu actele de instituire a altor instituții, organe, agenții și oficii ale Uniunii; |
(b) |
în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de către autoritățile competente ale statelor membre pe baza actelor menționate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4) sau în temeiul unor măsuri naționale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (5); |
(c) |
în cazul în care exercitarea acestor drepturi și obligații ar putea periclita cooperarea agenției cu țări terțe sau cu organizații internaționale în îndeplinirea atribuțiilor sale; |
(d) |
Înainte de a aplica restricții în situațiile menționate la primul paragraf literele (a) și (b), agenția consultă serviciile relevante ale Comisiei, instituțiile, organele, agențiile și oficiile Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care agenția are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective. |
(3) Orice restricție este necesară și proporțională având în vedere riscurile față de drepturile și libertățile persoanelor vizate și respectă esența drepturilor și libertăților fundamentale într-o societate democratică.
(4) Dacă se are în vedere aplicarea unei restricții, se efectuează un test de necesitate și proporționalitate pe baza prezentelor norme. Acesta este documentat, de la caz la caz, printr-o notă de evaluare internă, în scopul asigurării răspunderii.
(5) Restricțiile sunt ridicate imediat ce situațiile care le justifică nu se mai aplică. În special, în cazul în care se consideră că exercitarea unei drept restricționat nu ar mai anula efectul restricției impuse sau nu ar mai afecta negativ drepturile sau libertățile altor persoane vizate.
Articolul 4
Reexaminarea de către responsabilul cu protecția datelor
(1) Agenția își informează responsabilul cu protecția datelor („RPD”) fără întârzieri nejustificate, ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau extinde restricția, în conformitate cu prezenta decizie. Operatorul asigură accesul responsabilului cu protecția datelor la consemnările care conțin evaluarea necesității și proporționalității restricției și consemnează data de informare a responsabilului.
(2) RPD poate solicita operatorului, în scris, reexaminarea aplicării restricțiilor. Operatorul informează RPD, în scris, cu privire la rezultatul reexaminării solicitate.
(3) Operatorul informează RPD atunci când restricția a fost ridicată.
Articolul 5
Furnizarea de informații către persoana vizată
(1) În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de acces poate fi restricționat de către operator, în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proportional:
(a) |
derularea de investigații administrative și proceduri disciplinare; |
(b) |
activități preliminare privind cazuri de posibile nereguli raportate OLAF; |
(c) |
proceduri de denunțare; |
(d) |
proceduri (oficiale și neoficiale) privind cazuri de hărțuire; |
(e) |
prelucrarea de plângeri interne și externe; |
(f) |
audituri interne; |
(g) |
investigații efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725; |
(h) |
investigații de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE). |
Agenția include în anunțurile privind protecția datelor, în declarațiile de confidențialitate sau în evidențele sale, în sensul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe website-ul său web și/sau circulate intern, prin care informează persoanele vizate cu privire la drepturilor lor în cadrul unei anumite proceduri, informații cu privire la posibila restricționare a acestor drepturi. Informațiile acoperă drepturile care pot fi restricționate, motivele restricționării și posibila durată a acesteia
(2) Fără a aduce atingere dispozițiilor de la alineatul (3), agenția, în limitele proporționalității, informează în mod individual toate persoanele vizate, considerate persoane în cauză în operațiunea de prelucrare specifică, cu privire la drepturile lor în legătură cu restricțiile actuale sau viitoare, fără întârzieri nejustificate și în scris.
(3) În cazul în care agenția restricționează, în totalitate sau în parte, furnizarea de informații persoanelor vizate menționate la alineatul (2), aceasta consemnează motivele restricționării, temeiul juridic, în conformitate cu articolul 3 din această decizie, inclusiv o evaluare a necesității și proporționalității restricției.
Consemnarea și, după caz, documentele care conțin elemente faptice și juridice de sprijin se înregistrează. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.
(4) Restricția menționată la alineatul (3) continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.
În cazul în care motivele restricționării nu se mai aplică, agenția informează persoana vizată cu privire la principalele motive ale aplicării restricției. În același timp, agenția informează persoana vizată cu privire la dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.
Agenția reexaminează aplicarea restricției la fiecare șase luni de la adoptarea acesteia, precum și la încheierea anchetei, procedurii sau investigației relevante. Ulterior, operatorul verifică la fiecare șase luni dacă este necesară menținerea restricției.
Articolul 6
Dreptul de acces la date al persoanei vizate
(1) În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de acces poate fi restricționat de către operator, în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proportional:
(a) |
derularea de investigații administrative și proceduri disciplinare; |
(b) |
activități preliminare privind cazuri de posibile nereguli raportate OLAF; |
(c) |
proceduri de denunțare; |
(d) |
proceduri (oficiale și neoficiale) privind cazuri de hărțuire; |
(e) |
prelucrarea de plângeri interne și externe; |
(f) |
audituri interne; |
(g) |
investigații efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725; |
(h) |
investigații de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE); |
(i) |
Procesarea cererilor de acces la dosarul medical personal. |
În cazul în care persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, agenția își limitează evaluarea cererii numai la aceste date cu caracter personal.
(2) În cazul în care agenția restricționează, în totalitate sau în parte, dreptul de acces, menționat la articolul 17 din Regulamentul (UE) 2018/1725, aceasta ia următoarele măsuri:
(a) |
informează persoana vizată – în răspunsul său la cererea acesteia – cu privire la restricția aplicată și la principalele motive ale acesteia, precum și cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene; |
(b) |
consemnează într-o notă de evaluare internă motivele restricționării, inclusiv o evaluare a necesității și proporționalității restricției, și durata acesteia. |
Restricțiile impuse în legătură cu accesul la propriul dosar medical se referă numai la cererile de acces direct în legătură cu datele medicale personale de natură psihologică sau psihiatrică, în cazul în care accesul la aceste date poate reprezenta un risc pentru sănătatea persoanei vizate. Această restricție va fi proporțională în raport cu ceea ce este strict necesar pentru a proteja persoana vizată. Accesul la aceste informații va fi asigurat unui medic ales de către persoana vizate.
Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată, dacă ar anula efectul restricției, în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.
Agenția reexaminează aplicarea restricției la fiecare șase luni de la adoptarea acesteia și la încheierea investigației relevante. Ulterior, operatorul verifică la fiecare șase luni dacă este necesară menținerea eventualei restricții.
(3) Consemnarea și, după caz, documentele care conțin elemente faptice și juridice de sprijin se înregistrează. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.
Articolul 7
Dreptul de rectificare, ștergere a datelor și de restricționare a prelucrării acestora
(1) În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de rectificare, ștergere și restricționare a datelor poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:
(a) |
derularea de investigații administrative și proceduri disciplinare; |
(b) |
activități preliminare privind cazuri de posibile nereguli raportate OLAF; |
(c) |
proceduri de denunțare; |
(d) |
proceduri (oficiale și neoficiale) privind cazuri de hărțuire; |
(e) |
prelucrarea de plângeri interne și externe; |
(f) |
audituri interne; |
(g) |
investigații efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725; |
(h) |
investigații de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE). |
(2) În cazul în care agenția restricționează, în totalitate sau în parte, aplicarea dreptului de rectificare și ștergere a datelor sau a dreptului de restricționare a prelucrării acestora, menționate la articolul 18, articolul 19 alineatul (1) și articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725, aceasta ia măsurile prevăzute la articolul 6 alineatul (2) din prezenta decizie și înregistrează consemnarea în conformitate cu articolul 6 alineatul (3) din această decizie.
Articolul 8
Comunicarea cu privire la încălcarea securității datelor cu caracter personal persoanei vizate și confidențialitatea comunicațiilor electronice
(1) În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de informare cu privire la încălcarea securității datelor cu caracter personal poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:
(a) |
derularea de investigații administrative și proceduri disciplinare; |
(b) |
activități preliminare privind cazuri de posibile nereguli raportate OLAF; |
(c) |
proceduri de denunțare; |
(d) |
prelucrarea de plângeri interne și externe; |
(e) |
audituri interne; |
(f) |
investigații efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725; |
(g) |
investigații de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE). |
(2) În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul la confidențialitatea comunicațiilor electronice poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:
(a) |
derularea de investigații administrative și proceduri disciplinare; |
(b) |
activități preliminare privind cazuri de posibile nereguli raportate OLAF; |
(c) |
proceduri de denunțare; |
(d) |
proceduri oficiale privind cazuri de hărțuire; |
(e) |
prelucrarea de plângeri interne și externe; |
(f) |
investigații de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE). |
(3) În cazul în care agenția restricționează dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor electronice, menționate la articolele 35 și 36 din Regulamentul (UE) 2018/1725, aceasta consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatul (3) din prezenta decizie. Se aplică articolul 5 alineatul (4) din prezenta decizie.
Articolul 9
Intrarea în vigoare
Prezenta decizie intră în vigoare în ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Tampere, 5 august 2019.
Pentru Consiliul de Administrație
Kimmo HIMBERG
Președintele Consiliului de Administrație
(1) JO L 295, 21.11.2018, p. 39.
(2) JO L 319, 4.12.2015, p. 1.
(3) https://edps.europa.eu/sites/edp/files/publication/18-12-20_guidance_on_article_25_en.pdf
(4) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(5) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).