(1)   Prezenta decizie stabilește norme generale privind condițiile în care, în temeiul articolului 25 alineatul (1) din RPDUE, operatorii de date pot limita, după caz, aplicarea articolelor 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 și 36 din EUDPR, precum și a articolului 4 din EUDPR, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22 din EUDPR.

(2)   În sensul prezentei decizii, se aplică următoarele definiții:

(a)

„date cu caracter personal” înseamnă orice informații referitoare la o persoană vizată care sunt prelucrate atunci când se desfășoară activități sau proceduri care nu fac obiectul părții a treia titlul V capitolul 4 sau capitolul 5 din Tratatul privind funcționarea Uniunii Europene, spre deosebire de datele operaționale cu caracter personal, în sensul articolului 3 punctul 2 din RPDUE;

(b)

„operator de date” înseamnă entitatea care, în mod individual sau împreună cu altele, stabilește efectiv scopurile și mijloacele de prelucrare a datelor cu caracter personal în contextul activităților și procedurilor desfășurate de Comitet, indiferent dacă această responsabilitate a fost delegată sau nu.

(3)   Prezenta decizie se aplică în cazul prelucrării datelor cu caracter personal în scopurile activităților și procedurilor desfășurate de Comitet. Ea nu se aplică în cazul în care un act juridic adoptat în temeiul tratatelor prevede o restricționare a drepturilor persoanelor vizate.

(4)   În sensul articolului 3 punctul 8 din RPDUE, operatorul este Comitetul, care poate delega responsabilitatea pentru stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal.

(5)   În scopul fiecărei prelucrări, restricționări și amânări, omiteri sau respingeri a informațiilor, operatorul de date responsabil se stabilește în conformitate cu deciziile, procedurile și normele de punere în aplicare interne relevante ale Comitetului.

(1)   Înainte de a aplica orice restricție în temeiul articolului 3 punctul 1, operatorii de date analizează dacă se aplică vreuna dintre excepțiile sau derogările prevăzute în regulament, în special cele prevăzute la articolul 15 alineatul (4), articolul 16 alineatul (5), articolul 19 alineatul (3), articolul 25 alineatele (3) și (4) și articolul 35 alineatul (3) din RPDUE.

(2)   Aplicarea derogărilor face obiectul garanțiilor adecvate în conformitate cu articolul 13 din RPDUE și cu articolul 6 din prezenta decizie.

(1)   Operatorii de date pot limita, după caz, aplicarea articolelor 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 și 36 din RPDUE, precum și a articolului 4 din RPDUE, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22 din RPDUE, în cazul în care exercitarea de către persoanele vizate a drepturilor lor ar afecta scopul sau rezultatul uneia sau al mai multora dintre activitățile sau procedurile desfășurate de Comitet, în special:

(a)

în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din RPDUE, atunci când autoritatea împuternicită să facă numiri și autoritatea împuternicită să încheie contractele de muncă ale Comitetului („autoritatea împuternicită să facă numiri”) efectuează proceduri disciplinare, anchete administrative și investigații privind aspecte legate de personal în conformitate cu articolul 86 din Statutul funcționarilor Uniunii Europene („Statutul funcționarilor”) și cu anexa IX la Statutul funcționarilor, precum și cu articolele 50a și 119 din Regimul aplicabil celorlalți agenți ai Uniunii Europene (6) („Regimul aplicabil celorlalți agenți”), precum și investigații în contextul cererilor de asistență transmise în temeiul articolului 24 din Statutul funcționarilor și al articolelor 11 și 81 din Regimul aplicabil celorlalți agenți și cu privire la presupusele cazuri de hărțuire în sensul articolului 12a din Statutul funcționarilor;

(b)

în temeiul articolului 25 alineatul (1) literele (b), (c), (f) și (h) din RPDUE, atunci când autoritatea împuternicită să facă numiri evaluează cererile și plângerile transmise de funcționari și de alți agenți ai Comitetului (denumiți în continuare „membri ai personalului”) în conformitate cu articolul 90 din Statutul funcționarilor și cu articolele 46 și 117 din Regimul aplicabil celorlalți agenți;

(c)	în temeiul articolului 25 alineatul (1) literele (c) și (h) din RPDUE, atunci când autoritatea împuternicită să facă numiri pune în aplicare politica Comitetului privind personalul efectuând proceduri de selecție (recrutare), evaluare și promovare;

(d)

în temeiul articolului 25 alineatul (1) literele (c), (f), (g) și (h) din RPDUE, atunci când ordonatorul de credite al Comitetului (denumit în continuare „ordonatorul de credite”) pune în aplicare secțiunea privind Comitetul din bugetul general al Uniunii Europene efectuând proceduri de atribuire în conformitate cu normele financiare aplicabile bugetului general al Uniunii (7) („Regulamentul financiar” sau „RF”);

(e)

în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din RPDUE, atunci când ordonatorul de credite desfășoară acțiuni de monitorizare și investigații privind legalitatea tranzacțiilor financiare efectuate de Comitet și în cadrul Comitetului, privind drepturile financiare (8) ale membrilor și ale membrilor supleanți ai Comitetului („membrii Comitetului”) și privind finanțarea activităților și evenimentelor organizate sau co-organizate de Comitet și tratează neregulile financiare constatate la nivelul unui membru al personalului în temeiul articolului 93 din RF;

(f)

în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din RPDUE, atunci când Comitetul furnizează informații și documente Oficiului European de Luptă Antifraudă (OLAF), la cererea acestuia sau din proprie inițiativă, îi notifică acestuia cazuri sau prelucrează informații și documente primite de la OLAF (9);

(g)	în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din RPDUE, atunci când Comitetul efectuează audituri interne în scopurile enunțate în articolele 118 și 119 din RF și în legătură cu activitățile și procedurile departamentelor sale;

(h)

în temeiul articolului 25 alineatul (1) literele (c), (d) și (h) din RPDUE, atunci când Comitetul efectuează evaluări interne ale riscurilor, controale ale accesului, inclusiv verificări ale antecedentelor, măsuri de prevenție și investigații ale incidentelor de siguranță și securitate, inclusiv incidente în care sunt implicați membrii Comitetului sau membri ai personalului, precum și incidente legate de infrastructura și de tehnologia informației și comunicațiilor din cadrul Comitetului, dar și anchete de securitate și investigații auxiliare, inclusiv asupra rețelei sale de comunicații electronice, din proprie inițiativă sau la cererea terților;

(i)

în temeiul articolului 25 alineatul (1) literele (c), (d) și (h) din RPDUE, atunci când responsabilul cu protecția datelor, din proprie inițiativă sau la cererea terților, efectuează investigații asupra unor aspecte și evenimente legate direct de sarcinile sale de care a luat cunoștință, în conformitate cu articolul 45 alineatul (2) din RPDUE;

(j)

în temeiul articolului 25 alineatul (1) litera (h) din RPDUE, atunci când operatorii de date prelucrează date cu caracter personal obținute în contextul raportării de către un membru al personalului, cu bună credință, a unor elemente factuale care indică fie existența unor posibile activități ilegale, inclusiv a fraudei și a corupției, care sunt nocive pentru interesele Uniunii („nereguli grave”), fie comportamente legate de îndeplinirea îndatoririlor profesionale care pot constitui o încălcare gravă a obligațiilor membrilor personalului (denumite în continuare „abateri grave”);

(k)	în temeiul articolului 25 alineatul (1) litera (h) din RPDUE, atunci când operatorii de date prelucrează date cu caracter personal obținute de consilieri confidențiali în contextul procedurii informale pentru cazurile de presupusă hărțuire;

(l)

în temeiul articolului 25 alineatul (1) litera (h) din RPDUE, atunci când operatorii de date prelucrează date cu caracter personal referitoare la starea de sănătate („date medicale”) a unui membru al Comitetului sau a unui membru al personalului, inclusiv cu caracter psihologic sau psihiatric, care se regăsesc în dosarul medical deținut de Comitet privind persoana vizată în cauză;

(m)

în temeiul articolului 25 alineatul (1) litera (e) din RPDUE, atunci când operatorii de date prelucrează date cu caracter personal din documentele redactate sau obținute de părți sau de intervenienți în contextul procedurilor desfășurate în fața Curții de Justiție a Uniunii Europene („Curtea de Justiție”);

(n)

în temeiul articolului 25 alineatul (1) literele (b), (c), (d), (g) și (h) din RPDUE, atunci când Comitetul acordă asistență altor instituții, organe, oficii și agenții ale Uniunii sau beneficiază de asistență din partea acestora ori cooperează cu acestea în contextul activităților sau procedurilor prevăzute la alineatul (1) literele (a)-(m) și în conformitate cu acordurile aplicabile privind nivelul serviciilor, cu memorandumurile de înțelegere și cu acordurile de cooperare;

(o)

în temeiul articolului 25 alineatul (1) literele (b), (c), (g) și (h) din RPDUE, atunci când Comitetul acordă asistență autorităților statelor membre, autorităților din țări terțe sau organizațiilor internaționale sau beneficiază de asistență din partea acestora ori cooperează cu aceste autorități și organizații, la cererea lor sau din proprie inițiativă;

(p)	în temeiul articolului 25 alineatul (1) literele (a), (b), (e) și (f) din RPDUE, atunci când Comitetul furnizează autorităților statelor membre, autorităților din țări terțe sau organizațiilor internaționale informații și documente solicitate de acestea în contextul investigațiilor.

(2)   Restricțiile menționate la alineatul (1) se pot referi la date cu caracter personal obiective („hard data”) și subiective („soft data”) deopotrivă, în special la una sau mai multe dintre următoarele categorii, dar nu numai:

(a)	date de identificare;

(b)	date de contact;

(c)	date profesionale (10);

(d)	date financiare;

(e)	date de supraveghere (11);

(f)	date privind traficul (12);

(g)	date medicale (13);

(h)	date genetice (13);

(i)	date biometrice (13);

(j)	date privind viața sexuală sau orientarea sexuală a unei persoane fizice (13);

(k)	date care dezvăluie originea rasială sau etnică, convingerile religioase sau filosofice, opiniile politice sau afilierea politică ori apartenența sindicală (13);

(l)	date care dezvăluie activitățile sau conduita persoanelor fizice care participă la proceduri de selecție (recrutare), evaluare sau promovare (14);

(m)	date privind prezența persoanelor fizice;

(n)	date privind activitățile externe ale persoanelor fizice;

(o)	date privind suspiciuni de contravenții, contravenții, condamnări penale sau măsuri de securitate;

(p)	comunicații electronice;

(q)	toate celelalte date legate de subiectul activității sau procedurii relevante care necesită prelucrarea datelor respective.

(3)   Orice restricție trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică și este limitată la ceea ce este strict necesar pentru atingerea obiectivului.

(4)   Orice restricționare a aplicării articolului 36 din EUDPR (Confidențialitatea comunicațiilor electronice), fie ea totală sau parțială, în conformitate cu alineatul (1), respectă dreptul aplicabil al Uniunii privind confidențialitatea comunicațiilor electronice (15).

(5)   Operatorii de date evaluează periodic aplicarea restricțiilor menționate la alineatul (1), cel puțin o dată la șase luni de la adoptarea acestora, dar și atunci când se modifică elemente esențiale și decisive ale cazului și la finalizarea sau încetarea activității sau procedurii care a generat restricțiile. Ulterior, aceștia monitorizează anual necesitatea de a menține restricțiile.

(6)   Restricțiile menționate la alineatul (1) continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile. Atunci când motivele unei restricții menționate la alineatul (1) nu mai există, operatorii de date ridică restricția respectivă.

(7)   Atunci când prelucrează date cu caracter personal primite de la părți terțe în contextul sarcinilor Comitetului, operatorii de date se consultă cu părțile terțe respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor vizate, cu excepția cazului în care acest lucru ar afecta activitățile sau procedurile Comitetului.

(1)   Înainte de a aplica orice restricții, operatorii de date evaluează, pentru fiecare caz, dacă restricțiile analizate sunt necesare și proporționale.

(2)   La evaluarea necesității și proporționalității unei restricții, operatorii de date iau de fiecare dată în considerare riscurile potențiale pentru drepturile și libertățile persoanelor vizate.

(3)   Evaluările riscurilor pentru drepturile și libertățile persoanelor vizate ce rezultă din impunerea restricțiilor, în special riscul ca datele cu caracter personal ale acestora să poată fi prelucrate ulterior fără știrea lor și riscul ca acestea să nu-și poată exercita drepturile în conformitate cu regulamentul, precum și detaliile privind perioada de aplicare a restricțiilor respective se înregistrează în evidența activităților de prelucrare ținută de operatorii de date în temeiul articolului 31 alineatul (1) din RPDUE. Acestea sunt înregistrate, de asemenea, în orice evaluare a impactului restricțiilor asupra protecției datelor, efectuată în temeiul articolului 39 din RPDUE.

(1)   Ori de câte ori aplică restricții, operatorii de date consemnează:

(a)	motivele aplicării restricțiilor;

(b)	temeiul juridic al aplicării restricțiilor;

(c)	modul în care exercitarea drepturilor persoanelor vizate ar afecta scopul sau rezultatul uneia sau al mai multor activități sau proceduri desfășurate de Comitet;

(d)	rezultatul evaluării menționate la articolul 4 alineatul (1).

(2)   Evidențele menționate la alineatul (1) fac parte din registrul central prevăzut la articolul 31 alineatul (5) din RPDUE și sunt puse la dispoziția AEPD, la cerere.

(3)   Atunci când operatorii de date restricționează aplicarea articolului 35 din RPDUE (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal), evidența menționată la alineatul (1) este inclusă în notificarea AEPD prevăzută la articolul 34 alineatul (1) din RPDUE.

(1)   Operatorii de date pun în aplicare garanții pentru a preveni abuzul legat de datele cu caracter personal care fac sau ar putea face obiectul unor restricții în temeiul articolului 3 alineatul (1), accesul ilegal la astfel de date sau transferul lor. Astfel de garanții conțin măsuri tehnice și organizatorice adecvate, iar dacă este necesar, sunt detaliate în deciziile, procedurile și normele de punere în aplicare interne relevante ale Comitetului.

(2)   Garanțiile menționate la alineatul (1) includ:

(a)	o definire clară a rolurilor, responsabilităților și etapelor procedurale;

(b)	dacă este cazul, un mediu electronic securizat care previne accesarea datelor electronice de către persoane neautorizate sau transferul acestora către persoane neautorizate, în mod ilegal sau accidental;

(c)	dacă este cazul, stocarea și prelucrarea în condiții de siguranță a documentelor pe suport de hârtie;

(d)	monitorizarea corespunzătoare a restricțiilor și o revizuire periodică a aplicării lor.

(3)   Datele cu caracter personal sunt păstrate în conformitate cu normele aplicabile privind păstrarea datelor ale Comitetului (16), care urmează să fie prevăzute în evidențele ținute de operatorii de date în temeiul articolului 31 alineatul (1) din RPDUE. La încheierea perioadei de păstrare, datele cu caracter personal sunt șterse, anonimizate astfel încât persoana vizată să nu fie sau să nu mai fie identificabilă sau sunt transferate în arhivele Comitetului, conform articolului 13 din RPDUE, după caz.

(1)   Anunțurile privind protecția datelor publicate pe site-ul web public al Comitetului și pe paginile sale de intranet includ o secțiune în care persoanelor vizate li se furnizează informații generale cu privire la posibilitatea ca drepturile lor să fie restricționate în contextul activităților și procedurilor Comitetului care implică prelucrarea datelor lor cu caracter personal. Această secțiune specifică drepturile care pot fi restricționate, motivele pentru care se pot aplica restricțiile, durata potențială a acestor restricții și căile de atac administrative și juridice aflate la dispoziția persoanelor vizate.

(2)   Ori de câte ori aplică restricții, operatorii de date informează fiecare persoană vizată, fără întârzieri nejustificate și în formatul cel mai adecvat, cu privire la:

(a)	orice restricții existente sau viitoare asupra drepturilor lor;

(b)	principalele motive pe care se bazează aplicarea restricției;

(c)	dreptul de a consulta responsabilul cu protecția datelor în vederea contestării restricției;

(d)	dreptul de a depune o plângere la AEPD;

(e)	dreptul la o cale de atac în fața Curții de Justiție.

(3)   Fără a aduce atingere dispozițiilor de la alineatul (2), atunci când operatorii de date restricționează, în cazuri excepționale, aplicarea articolului 35 din RPDUE (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal), aceștia comunică persoanei vizate încălcarea securității datelor cu caracter personal și furnizează informațiile menționate la alineatul (2) literele (b), (d) și (e), de îndată ce motivele pentru restricționarea acestei informări nu mai există.

(4)   Fără a aduce atingere dispozițiilor de la alineatul (2), atunci când operatorii de date restricționează, în cazuri excepționale, aplicarea articolului 36 din RPDUE (Confidențialitatea comunicațiilor electronice), aceștia furnizează informațiile menționate la alineatul (2) în răspunsul lor la orice solicitare din partea persoanei vizate.

(5)   Operatorii de date pot amâna, omite sau refuza furnizarea informațiilor menționate la alineatul (2) („amânarea, omiterea sau refuzarea informațiilor”) atât timp cât acest lucru ar anula efectul restricției. Ei furnizează persoanei vizate informațiile menționate la alineatul (2) de îndată ce acest lucru nu ar mai conduce la ineficacitatea restricției.

(6)   Articolele 4 și 5 se aplică prin analogie în ceea ce privește orice situație de amânare, omitere sau refuzare a informațiilor.

(1)   Operatorii de date informează responsabilul cu protecția datelor în scris, fără întârzieri nejustificate, ori de câte ori restricționează drepturile unei persoane vizate în temeiul articolului 3 alineatul (1), efectuează evaluările periodice menționate la articolul 3 alineatul (5), ridică restricțiile conform prevederilor articolului 3 alineatul (6) sau amână, omit ori refuză furnizarea informațiilor menționate la articolul 7 alineatul (2) în temeiul articolului 7 alineatul (5). La cerere, responsabilul cu protecția datelor primește acces la evidențele asociate și la orice document care conține elemente factuale și juridice subiacente.

(2)   Responsabilul cu protecția datelor poate solicita operatorilor de date să revizuiască orice restricții existente, precum și amânările, omisiunile sau refuzurile de a furniza informații și aplicarea acestora. Responsabilul cu protecția datelor este informat în scris cu privire la rezultatul revizuirii solicitate.

(3)   Implicarea responsabilului cu protecția datelor prevăzută la alineatele (1) și (2) în ceea ce privește aplicarea restricțiilor și a amânărilor, omisiunilor sau refuzurilor de a furniza informații este documentată în mod adecvat de operatorii de date, inclusiv în ceea ce privește informațiile comunicate responsabilului cu protecția datelor.

(4)   La cerere, responsabilul cu protecția datelor furnizează operatorilor de date avizul său privind stabilirea responsabilităților acestora în contextul unui acord privind exercitarea în comun a competenței de operator în temeiul articolului 28 alineatul (1) din RPDUE.

(1)   În funcție de necesități, secretarul general poate emite instrucțiuni sau poate adopta măsuri de punere în aplicare pentru a detalia și a pune în aplicare, după caz, orice dispoziție a prezentei decizii, în conformitate cu aceasta.

(2)   Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.