22.7.2008

RO

Jurnalul Oficial al Uniunii Europene

L 193/7

---

DECIZIA COMISIEI

din 3 iunie 2008

de adoptare a dispozițiilor de punere în aplicare privind responsabilul cu protecția datelor în temeiul articolului 24 alineatul (8) din Regulamentul (CE) nr. 45/2001 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date

(2008/597/CE)

COMISIA COMUNITĂȚILOR EUROPENE,

având în vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (1), în special articolul 24 alineatul (8) și anexa la acesta,

întrucât:

(1)	Regulamentul (CE) nr. 45/2001, denumit în continuare „regulamentul”, stabilește principiile și normele aplicabile tuturor instituțiilor și organelor comunitare și prevede numirea unui responsabil cu protecția datelor de către fiecare instituție comunitară sau organ comunitar.

(2)

Articolul 24 alineatul (8) din regulament prevede adoptarea de dispoziții suplimentare de punere în aplicare privind responsabilul cu protecția datelor de către fiecare instituție sau organ comunitar în conformitate cu prevederile din anexă. Dispozițiile de punere în aplicare privesc, în special, sarcinile, atribuțiile și competențele responsabilului cu protecția datelor.

(3)

Decizia C(2002) 510 a Comisiei (2) din 18 februarie 2002 creează postul de responsabil cu protecția datelor (RPD) pentru Comisie și îl însărcinează cu propunerea de dispoziții suplimentare de punere în aplicare ca urmare a consultării cu direcțiile generale conform necesităților și experienței acestora,

DECIDE:

SECȚIUNEA 1

DISPOZIȚII GENERALE

Articolul 1

Definiții

În sensul prezentei decizii și fără a aduce atingere definițiilor prevăzute de regulament:

—

„coordonator pentru protecția datelor” (denumit în continuare „CPD”) înseamnă membrul din cadrul personalului unei direcții generale sau al unui serviciu care a fost numit de către directorul general pentru a coordona toate aspectele privind protecția datelor cu caracter personal din cadrul direcției generale respective;

—	„operator”, astfel cum este definit la articolul 2 litera (d) și menționat la articolul 25 alineatul (2) litera (a), înseamnă funcționarul responsabil pentru unitatea organizațională care a determinat scopul și mijloacele prelucrării datelor cu caracter personal.

Articolul 2

Domeniu de aplicare

Prezenta decizie definește normele și procedurile pentru punerea în aplicare a funcției de responsabil cu protecția datelor (denumit în continuare „RPD”) în cadrul Comisiei, în conformitate cu articolul 24 alineatul (8) din regulament. Aceasta nu se aplică activităților Comisiei în cazul definirii de politici referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal.

SECȚIUNEA 2

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 3

Numire și statut

(1)   Comisia numește un RPD (3) și îl înregistrează în cadrul Autorității Europene pentru Protecția Datelor (denumită în continuare „AEPD”).

(2)   Mandatul RPD este de cinci ani și poate fi reînnoit o singură dată.

(3)   RPD acționează independent în aplicarea internă a prevederilor regulamentului și nu poate primi instrucțiuni cu privire la îndeplinirea atribuțiilor sale.

(4)   RPD este selectat din rândurile personalului Comisiei în urma procedurilor relevante. Pe lângă cerințele de la articolul 24 alineatul (2) din regulament, RPD ar trebui să cunoască foarte bine serviciile Comisiei, precum și structura, normele și procedurile administrative ale acestora. Acesta ar trebui să cunoască bine sistemele, principiile și metodologiile de protecție a datelor și de informații. Acesta trebuie să aibă capacitatea de a demonstra judecăți clare și abilitatea de a menține o poziție imparțială și obiectivă în conformitate cu Statutul personalului.

(5)   În conformitate cu regulamentul, RPD poate fi demis din postul său de către Comisie, dar numai cu consimțământul AEPD, în cazul în care acesta nu mai îndeplinește condițiile necesare pentru exercitarea funcției sale. Comisia, la propunerea Secretariatului general, cu acordul directorului general pentru personal și administrație, stabilește dacă RPD nu mai îndeplinește condițiile cerute pentru îndeplinirea sarcinilor sale.

(6)   Fără a aduce atingere prevederilor relevante din regulament, RPD și personalul acestuia vor fi supuși regulilor și normelor aplicabile funcționarilor Comunităților Europene.

Articolul 4

Sarcini

(1)   Fără a aduce atingere sarcinilor descrise la articolul 24 din regulament și în anexa la acesta, RPD contribuie la crearea unei culturi a protecției datelor cu caracter personal în cadrul Comisiei prin creșterea gradului de conștientizare generală cu privire la aspecte legate de protecția datelor, menținând în același timp un echilibru corect între principiile de protecție a datelor cu caracter personal și transparență.

(2)   RPD păstrează un inventar al tuturor operațiunilor de prelucrare aplicate datelor cu caracter personal din cadrul Comisiei, în care CPD introduc, pentru direcțiile generale respective, toate operațiunile de prelucrare care trebuie notificate. CPD identifică, de asemenea, operatorul responsabil pentru astfel de operațiuni de prelucrare. RPD ajută operatorul în evaluarea gradului de risc al operațiunilor de prelucrare aflate în responsabilitatea sa și monitorizează punerea în aplicare a regulamentului în cadrul Comisiei, în special printr-un raport anual privind situația protecției datelor.

(3)   RPD organizează și prezidează ședințele periodice ale rețelei de CPD.

(4)   RPD întocmește registrul de operațiuni de prelucrare, prevăzut la articolul 26 din regulament, disponibil pe site-urile Internet interne și externe ale Comisiei.

(5)   RPD poate formula recomandări și oferi consiliere Comisiei și operatorilor în aspecte care privesc aplicarea dispozițiilor referitoare la protecția datelor și poate efectua investigații la cerere sau din proprie inițiativă cu privire la aspecte sau cazuri legate direct de sarcinile sale, întocmind un raport pentru persoana care a solicitat investigația, în conformitate cu procedura descrisă la articolul 13 din prezenta decizie. În cazul în care solicitantul este o persoană fizică sau dacă acesta acționează în numele unei persoane fizice, RPD trebuie, în măsura în care este posibil, să garanteze confidențialitatea cererii, cu excepția cazului în care subiectul datelor în cauză îi oferă acestuia un consimțământ clar ca cererea să fie soluționată în alt mod.

(6)   Prelucrarea datelor cu caracter personal de către comitetele pentru personal se încadrează în domeniul de activitate al RPD al Comisiei. În scopul articolului 6 de mai jos, RPD va oferi toate informațiile președintelui comitetului pentru personal în cauză și nu secretarului general, în cazul în care apar întrebări referitoare la operațiunile de prelucrare desfășurate de comitetul pentru personal în cauză.

(7)   Fără a aduce atingere independenței RPD, secretarul general, în numele Comisiei, îi poate cere acestuia să reprezinte instituția în toate aspectele referitoare la protecția datelor; acest lucru ar putea include participarea RPD în comisiile și organismele relevante la nivel internațional.

Articolul 5

Atribuții

(1)   Pe lângă sarcinile generale care trebuie îndeplinite, RPD:

(a)

va prezenta în fiecare an un raport privind situația protecției datelor, destinat Comisiei, către secretarul general și directorul general pentru personal și administrație spre discutare la un nivel adecvat, cum ar fi reuniunea periodică a directorilor generali; raportul va fi pus la dispoziția personalului Comisiei;

(b)	va coopera în exercitarea funcției sale cu RPD ai celorlalte instituții și organisme, în special prin schimburi de experiență și bune practici.

(2)   În ceea ce privește operațiunile de prelucrare a datelor cu caracter personal aflate în răspunderea acestuia, RPD acționează în calitate de operator.

Articolul 6

Competențe

În îndeplinirea sarcinilor și atribuțiilor sale și fără a aduce atingere competențelor conferite prin regulament, RPD:

(a)	poate solicita avize juridice din partea Serviciului Juridic al Comisiei;

(b)	poate, în cazul unui conflict privind interpretarea sau punerea în aplicare a regulamentului, să informeze nivelul decizional competent și secretarul general înainte de a înainta cazul AEPD;

(c)

poate aduce în atenția secretarului general: — orice nerespectare de către un membru al personalului a obligațiilor care îi revin în temeiul regulamentului; — orice nerespectare de către operatori a standardelor de control intern ale Comisiei mai specific legate de obligațiile prevăzute în regulament; și sugerează inițierea unei investigații administrative în scopul unei posibile aplicări a articolului 49 din regulament;

(d)	poate investiga aspecte și cazuri direct legate de sarcinile sale, aplicând principiile adecvate pentru investigații și audit în cadrul Comisiei și procedura descrisă la articolul 13 din prezenta decizie;

(e)	are acces permanent la datele care fac obiectul operațiunilor de prelucrare a datelor cu caracter personal și la toate birourile, instalațiile de prelucrare a datelor și suporturile de date.

Articolul 7

Resurse

Comisia pune la dispoziția RPD toate resursele necesare pentru îndeplinirea atribuțiilor sale.

SECȚIUNEA 3

REGULI ȘI PROCEDURI

Articolul 8

Informații

(1)   RPD este informat imediat de către serviciul responsabil în cazul în care o problemă cu implicații asupra protecției datelor se află în atenția serviciilor Comisiei și cel târziu înainte de adoptarea oricărei decizii.

(2)   În momentul în care Comisia consultă și informează AEPD în temeiul articolelor relevante din regulament și în special în temeiul articolului 28 alineatul (1) și al articolului 28 alineatul (2), RPD este informat. Acesta este, de asemenea, informat cu privire la interacțiunile directe dintre operatorii Comisiei și AEPD în conformitate cu articolele relevante din regulament.

(3)   RPD este informat de către serviciul responsabil sau de către Serviciul Juridic, după caz, cu privire la avizele și documentele de poziție ale Serviciului Juridic direct legate de aplicarea internă a dispozițiilor regulamentului, precum și cu privire la avizele privind interpretarea sau punerea în aplicare a altor acte juridice legate de protecția datelor cu caracter personal și prelucrarea acestora, în special legate de consultarea interdepartamentală, precum și privind accesul la informații.

Articolul 9

Operatorii

(1)   Fără a aduce atingere prevederilor regulamentului privind obligațiile acestora, operatorii:

(a)	pregătesc fără întârziere notificări către RPD pentru toate operațiunile de prelucrare existente care nu au fost încă notificate;

(b)	dacă este cazul, consultă RPD cu privire la conformitatea operațiunilor de prelucrare, în special în cazul în care există îndoieli în ceea ce privește conformitatea;

(c)	cooperează cu CPD pentru a stabili inventarul operațiunilor existente de prelucrare a datelor cu caracter personal ale direcției generale.

(2)   Operatorul poate delega anumite părți ale sarcinilor sale altor persoane care acționează ca operatori delegați sub autoritatea și răspunderea acestuia.

Articolul 10

Persoane împuternicite de către operator

Persoanele împuternicite de către operator din cadrul Comisiei, cărora li se solicită să prelucreze date cu caracter personal în numele operatorilor, acționează exclusiv pe baza instrucțiunilor operatorilor, concretizate într-un acord scris, și prelucrează astfel de date respectând strict regulamentul și orice altă legislație aplicabilă privind protecția datelor. Un acord scris între unitățile organizaționale ale Comisiei este considerat echivalent cu un act juridic cu caracter obligatoriu în sensul articolului 23 alineatul (2) din regulament.

Vor fi încheiate contracte formale cu persoanele externe împuternicite de către operator; astfel de contracte vor conține cerințele specifice menționate la articolul 23 alineatul (2) din regulament.

Articolul 11

Notificări

Operatorii folosesc sistemul online de notificare al Comisiei, care poate fi accesat prin intermediul site-ului RPD din rețeaua intranet a Comisiei, pentru a prezenta notificări către RPD.

Pentru operațiunile simple de prelucrare a datelor cu caracter personal nesensibile, sistemul oferă o notificare simplificată.

Articolul 12

Registru

Registrul electronic al operațiunilor de prelucrare al Comisiei menționat la articolul 4 alineatul (4) din prezenta decizie poate fi accesat prin intermediul site-ului web al RPD din rețeaua intranet a Comisiei de către tot personalul instituțiilor și organismelor comunitare și de pe site-ul web EUROPA de către orice persoană care are acces la Internet. Extrase din registru pot fi solicitate de către orice persoană care nu are acces la Internet prin cerere scrisă adresată RPD, care va răspunde în termen de 10 zile lucrătoare.

Articolul 13

Procedura de investigație

(1)   Solicitările de investigații menționate la articolul 4 alineatul (5) din prezenta decizie sunt adresate în scris RPD. În termen de 15 zile de la primirea acestora, RPD trimite persoanei care solicită investigația o confirmare de primire și verifică dacă cererea trebuie tratată confidențial. În cazul în care este evidentă exercitarea neadecvată a dreptului de a solicita o investigație, RPD nu este obligat să răspundă solicitantului.

(2)   RPD solicită o declarație scrisă privind aspectul în cauză din partea operatorului responsabil pentru operațiunea respectivă de prelucrare a datelor. Operatorul va prezenta răspunsul său către RPD în termen de 15 zile lucrătoare. RPD poate solicita să primească informații suplimentare de la acesta și/sau alte părți în termen de 15 zile. Dacă este cazul, RPD poate solicita un aviz privind aspectul în cauză din partea Serviciului Juridic. RPD va primi avizul în termen de 30 de zile lucrătoare.

(3)   RPD răspunde persoanei care a solicitat investigația în maximum trei luni de la primirea cererii. Această perioadă poate fi suspendată până când RPD obține toate informațiile pe care le-a solicitat.

(4)   Nicio persoană nu va fi prejudiciată ca urmare a unui aspect adus în atenția RPD acuzând o încălcare a prevederilor regulamentului.

Articolul 14

Coordonatorii pentru protecția datelor

(1)   Un CPD este numit în cadrul fiecărei direcții generale sau serviciu de către directorul general sau de către șeful serviciului. În baza unui acord scris, mai multe direcții generale, servicii sau oficii pot, din motive de coerență sau eficiență, să decidă numirea unui CPD comun sau să beneficieze în comun de serviciile unui CPD deja numit în funcție.

(2)   Funcția de CPD poate fi combinată cu alte funcții, după caz. Pentru dobândirea competențelor necesare pentru aceste funcții, coordonatorul pentru protecția datelor trebuie să participe la formarea obligatorie pentru CPD în termen de șase luni de la numire.

(3)   Mandatul CPD nu este limitat. Acesta ar trebui ales, la nivelul ierarhic adecvat, pe baza nivelului înalt de etică profesională, a cunoștințelor și experienței cu privire la funcționarea direcției generale și a motivației sale pentru ocuparea acestei funcții. Acesta ar trebui să cunoască principiile sistemelor de informații.

(4)   Fără a aduce atingere responsabilităților RPD, CPD:

(a)

stabilește un inventar al operațiunilor de prelucrare din cadrul direcției generale, îl reactualizează și contribuie la definirea unui nivel adecvat al riscului pentru fiecare dintre operațiunile de prelucrare; utilizează sistemul online de administrare a inventarelor pentru CPD creat în acest scop de către RPD pe site-ul său web din rețeaua intranet a Comisiei;

(b)	asistă directorul general sau șeful serviciului în identificarea operatorilor respectivi;

(c)	are dreptul de a obține din partea operatorilor informațiile necesare și adecvate. Aceasta nu va include dreptul de acces la date cu caracter personal prelucrate sub răspunderea operatorului.

(5)   Fără a aduce atingere responsabilităților operatorului, CPD:

(a)	asistă operatorii în îndeplinirea obligațiilor lor legale;

(b)	ajută operatorii în stabilirea notificărilor;

(c)	introduce notificările simplificate în sistemul online de notificare al RPD.

(6)   CPD participă la ședințele periodice ale rețelei de CPD, prezidate de RPD, pentru a asigura punerea în aplicare și interpretarea coerentă a regulamentului în cadrul Comisiei și pentru a discuta subiecte de interes comun.

(7)   În exercitarea sarcinilor sale, CPD poate solicita RPD o recomandare, consiliere sau un aviz.

Articolul 15

Administrare și gestiune

(1)   RPD este atașat administrativ de Secretariatul General, iar activitățile sale sunt integrate, în cadrul procesului de întocmire a bugetului pe activități și de gestiune, la activitatea 7 a Secretariatului general: Relații cu societatea civilă, deschidere și informare. În acest context, RPD participă la pregătirea planului anual de gestiune și a proiectului preliminar de buget al Secretariatului general.

(2)   RPD este evaluatorul pentru personalul secretariatului său și responsabilul asistent de protecția datelor. Vice-secretarul general îndeplinește funcția de validator.

(3)   RPD participă la coordonarea gestionării Secretariatului general, după caz.

SECȚIUNEA 4

DISPOZIȚII FINALE

Articolul 16

Intrare în vigoare

Prezenta decizie intră în vigoare la 3 iunie 2008.

---

(1)  JO L 8, 12.1.2001, p. 1.

(2)  Nepublicată încă în Jurnalul Oficial.

(3)  Fiecare trimitere la responsabilul cu protecția datelor din cadrul acestui text va însemna el sau ea și al lui sau al ei.

---