(1)   Regulamentul de procedură privind prelucrarea și protecția datelor cu caracter personal în cadrul Eurojust (denumit în continuare „regulamentul de procedură”) pune în aplicare dispozițiile privind protecția datelor din Regulamentul privind Eurojust și din Regulamentul 2018/1725.

(2)   El ar trebui să se aplice prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență.

(3)   Regulamentul de procedură se aplică tuturor datelor cu caracter personal prelucrate de Eurojust, inclusiv acelor date cu caracter personal conținute în informațiile produse sau primite de către acesta și aflate în posesia sa, referitoare la chestiuni privind politicile, activitățile și deciziile care intră în sfera sa de competență.

(1)   Prezentul regulament de procedură se aplică atât datelor operaționale cu caracter personal, cât și datelor administrative cu caracter personal prelucrate de Eurojust.

(2)   Datele operaționale sunt prelucrate în conformitate cu titlul II.

(3)   Datele administrative sunt prelucrate în conformitate cu titlul III.

(1)   Cererile de exercitare a drepturilor persoanei vizate sunt tratate de membrul național sau membrii naționali vizați de cerere, care furnizează o copie a cererii responsabilului cu protecția datelor pentru înregistrarea acesteia.

(2)   Membrul național sau membrii naționali în cauză consultă autoritățile competente ale statelor membre cu privire la decizia care urmează a fi luată ca răspuns la o cerere.

(3)   Responsabilul cu protecția datelor efectuează verificări suplimentare, dacă acest lucru este necesar în cazul respectiv, la nivelul sistemului de gestionare a cazurilor și informează membrul național sau membrii naționali în cauză dacă prin aceste verificări au fost găsite informații suplimentare relevante. Membrul național sau membrii naționali în cauză iau în considerare informațiile furnizate de responsabilul cu protecția datelor și, atunci când este cazul, pot decide să reconsidere decizia inițială.

(4)   Motivele de fapt și de drept pe care se bazează decizia luată de membrul național sau de membrii naționali sunt consemnate în fișierul de lucru temporar privind cererea din sistemul de gestionare a cazurilor și sunt puse la dispoziția AEPD la cerere.

(5)   Responsabilul cu protecția datelor comunică persoanei vizate decizia luată de membrul național sau de membrii naționali în cauză în numele Eurojust și informează persoana vizată cu privire la posibilitatea de a depune o plângere la AEPD, în cazul în care aceasta nu este mulțumită de decizie, sau de a formula o cale de atac la Curtea de Justiție.

(6)   În cazurile în care cererea a fost primită prin intermediul unei autorități naționale de supraveghere, Eurojust informează această autoritate cu privire la o decizie comunicată persoanei vizate de către responsabilul cu protecția datelor.

(1)   Sistemul de gestionare a cazurilor alocă automat un număr de referință unic (identificator) fiecărui nou fișier de lucru temporar creat.

(2)   În cazul în care un membru național responsabil de gestionarea unui fișier de lucru temporar, astfel cum este definit la articolul 24 alineatul (1) din Regulamentul privind Eurojust, permite accesul la un fișier de lucru temporar sau la o parte a acestuia unuia sau mai multor membri naționali implicați, sistemul de gestionare a cazurilor se asigură că utilizatorii autorizați, în cadrul profilului respectivului birou național aflat sub responsabilitatea acelui membru național, au acces la părțile relevante ale fișierului, dar că nu pot modifica datele introduse de autorul inițial. Cu toate acestea, utilizatorii autorizați pot adăuga informații relevante la părțile noi ale fișierelor de lucru temporare. Similar, informațiile cuprinse în index pot fi citite de toți utilizatorii autorizați ai sistemului, dar pot fi modificate numai de autorul inițial.

(3)   Responsabilul cu protecția datelor este informat în mod automat de către sistemul de gestionare a cazurilor cu privire la crearea fiecărui fișier de lucru nou care conține date cu caracter personal.

(4)   Sistemul de gestionare a cazurilor asigură faptul că numai datele operaționale cu caracter personal menționate la punctul 1 literele (a)-(i), (k) și (m) și la punctul 2 din anexa II la Regulamentul privind Eurojust pot fi înregistrate în index de către membrul național în cauză care a creat un fișier de lucru temporar, în conformitate cu articolul 23 alineatul (4) și cu articolul 24 alineatul (3) din Regulamentul privind Eurojust.

(5)   În cazul în care, în conformitate cu articolul 23 alineatul (6) din Regulamentul privind Eurojust, membrii naționali doresc să stocheze temporar și să analizeze date cu caracter personal pentru a stabili dacă aceste date sunt relevante pentru sarcinile Eurojust, aceștia creează un proiect de fișier de lucru temporar care rămâne accesibil numai pentru aceștia și pentru cei autorizați de aceștia în limitele profilului biroului lor. După trei luni, proiectul de fișier de lucru temporar ar trebui să fie transformat într-un fișier de lucru temporar în sistemul de gestionare a cazurilor sau să fie eliminat în mod automat de sistem. Înainte de expirarea acestui termen, sistemul trebuie să transmită o alertă membrului național în cauză prin care să îi reamintească necesitatea de a lua o decizie cu privire la proiectul de fișier.

(6)   Membrul național sau membrii naționali în cauză se asigură că informațiile conținute în index sunt suficiente pentru a îndeplini sarcinile Eurojust, astfel cum sunt definite la articolul 2 din Regulamentul privind Eurojust.

(1)   Eurojust ia măsurile tehnice corespunzătoare pentru a se asigura că responsabilul cu protecția datelor este informat automat cu privire la cazurile excepționale care presupun recurgerea la articolul 27 alineatul (4) din Regulamentul privind Eurojust. Sistemul de gestionare a cazurilor asigură că aceste date nu pot fi incluse în indexul prevăzut la articolul 23 alineatele (1) și (4) din Regulamentul privind Eurojust.

(2)   Atunci când aceste date se referă la martori sau victime în sensul articolului 27 alineatul (2) din Regulamentul privind Eurojust, sistemul de gestionare a cazurilor nu înregistrează aceste informații decât dacă membrii naționali în cauză decid altfel. Decizia de a prelucra astfel de date se documentează.

(1)   Eurojust ia măsurile tehnice corespunzătoare pentru a se asigura că responsabilul cu protecția datelor este informat automat cu privire la cazurile excepționale în care, pentru o perioadă limitată de timp, se recurge la articolul 27 alineatul (3) din Regulamentul privind Eurojust. Sistemul de gestionare a cazurilor marchează aceste date într-un mod care va reaminti persoanei care a introdus datele în sistem obligația de a păstra aceste date pentru o perioadă limitată de timp.

(2)   Atunci când aceste date se referă la martori sau victime în sensul articolului 27 alineatul (2) din Regulamentul privind Eurojust, sistemul de gestionare a cazurilor nu înregistrează aceste informații decât dacă membrii naționali în cauză decid altfel. Decizia de a prelucra astfel de date se documentează.

(1)   Fiecare membru național al Eurojust documentează politica de acces pe care a autorizat-o în conformitate cu articolul 34 din Regulamentul privind Eurojust în cadrul biroului său național cu privire la datele operaționale cu caracter personal și-l informează pe responsabilul cu protecția datelor cu privire la aceasta.

(2)   Membrii naționali pot decide, de la caz la caz, să acorde o autorizație specifică pentru accesul la un fișier de lucru temporar sau la o parte din acesta unei persoane care nu este membru al personalului Eurojust, dar care lucrează în numele Eurojust și aparține unei categorii specifice de responsabili care a fost anterior autorizată de către directorul administrativ al Eurojust în conformitate cu articolul 24 alineatul (2) din Regulamentul privind Eurojust pentru a i se acorda acces la sistemul de gestionare a cazurilor.

(3)   Membrii naționali se asigură că sunt stabilite și respectate modalități organizatorice corespunzătoare în cadrul birourilor lor și că se utilizează adecvat măsurile tehnice și organizatorice, inclusiv să urmeze formările necesare, puse la dispoziția lor de către Eurojust.

(4)   În conformitate cu articolul 34 din Regulamentul privind Eurojust, colegiul poate autoriza alți membri ai personalului Eurojust să aibă acces la date operaționale cu caracter personal atunci când acest lucru este necesar pentru îndeplinirea sarcinilor Eurojust.

(1)   Sistemul Eurojust de gestionare a cazurilor, astfel cum este definit la articolul 23 din Regulamentul privind Eurojust, servește drept evidență a tuturor activităților de prelucrare menționate la articolul 35 din Regulamentul privind Eurojust în măsura în care sunt vizate date operaționale cu caracter personal.

(2)   Sistemul Eurojust de gestionare a cazurilor conține o evidență completă privind transmiterea și primirea datelor operaționale cu caracter personal care permite stabilirea oricărei transmiteri de date operaționale cu caracter personal și identificarea autorității naționale, a organizației sau a țării terțe sau a organizației internaționale care a transmis sau a primit astfel de informații către/de la Eurojust.

(1)   Deciziile privind transferul de date cu caracter personal către țări terțe sau către organizații internaționale în conformitate cu articolul 58 alineatul (1) din Regulamentul privind Eurojust se iau de către colegiul Eurojust la cererea membrului național sau membrilor naționali în cauză, în urma unei evaluări efectuate de responsabilul cu protecția datelor.

(2)   Evaluarea menționată la alineatul (1) este furnizată de responsabilul cu protecția datelor în termen de zece zile lucrătoare. Atunci când este necesar din motive de urgență, indicate de membrul național sau de membrii naționali în cauză, evaluarea este furnizată cât mai curând posibil. În cazuri deosebit de complexe, responsabilul cu protecția datelor poate conveni cu membrul național sau cu membrii naționali în cauză asupra unui termen mai lung pentru finalizarea evaluării.

(3)   Evaluarea efectuată de responsabilul cu protecția datelor se referă în special la aspectele menționate în considerentele 51 și 52 ale Regulamentului privind Eurojust. În cazul în care, în cursul evaluării caracterului adecvat al garanțiilor în cazul specific, responsabilul cu protecția datelor are rezerve, acesta poate consulta AEPD înainte de a emite o evaluare cu privire la un anumit transfer.

(1)   Eurojust pune în aplicare măsuri tehnice adecvate pentru a se asigura că termenele de stocare a datelor operaționale cu caracter personal definite la articolul 29 din Regulamentul privind Eurojust sunt respectate și că, în cazul în care, la momentul verificării, nu se ia nicio decizie justificată cu privire la continuarea stocării datelor operaționale cu caracter personal, datele respective sunt șterse în mod automat.

(2)   Sistemul de gestionare a cazurilor trebuie să asigure în special că o verificare a necesității stocării datelor într-un fișier de lucru temporar se efectuează la fiecare trei ani de la data introducerii lor. Această verificare trebuie să fie documentată corespunzător în sistem, incluzând motivarea deciziei luate cu privire la continuarea stocării datelor operaționale cu caracter personal, iar rezultatul verificării este comunicat automat responsabilului cu protecția datelor. Rezultatele unei astfel de decizii sau inexistența unei astfel de decizii se aplică cazului în ansamblu, astfel cum se prevede la articolul 29 alineatul (2) din Regulamentul privind Eurojust.

(3)   Sistemul de gestionare a cazurilor marchează în special datele înregistrate pentru o perioadă limitată de timp în conformitate cu articolul 27 alineatul (3) din Regulamentul privind Eurojust, precum și datele menționate la articolul 27 alineatul (4) din acest regulament. În cazul în care oricare dintre datele operaționale cu caracter personal menționate la articolul 27 alineatul (4) sunt stocate pentru o perioadă mai mare de cinci ani, sistemul de gestionare a cazurilor va genera o alertă care să asigure faptul că această informație este transmisă automat către AEPD.

(4)   În cazuri excepționale, atunci când un membru național consideră că datele operaționale cu caracter personal sunt încă necesare pentru a fi arhivate în interes public sau în scopuri statistice, astfel cum se menționează la articolul 29 alineatul (7) litera (e) din Regulamentul privind Eurojust, colegiul decide, după ce a ascultat opinia responsabilului cu protecția datelor, cu privire la necesitatea de a păstra datele, în acest caz particular, pentru acest scop specific. AEPD este informată atunci când se recurge la această procedură.

(1)   Cererile de exercitare a drepturilor se adresează direct directorului administrativ al Eurojust sau responsabilului cu protecția datelor. În orice caz, o copie a cererii se transmite responsabilului cu protecția datelor în vederea înregistrării.

(2)   Dacă este necesar, responsabilul cu protecția datelor asistă persoana vizată și pune la dispoziție formulare specifice care pot fi utilizate de către persoane pentru a-și depune cererile.

(3)   Directorul administrativ adoptă o decizie privind cazul specific, pe baza informațiilor furnizate de către entitatea administrativă implicată direct în prelucrarea datelor cu caracter personal și a consilierii oferite de responsabilul cu protecția datelor.

(4)   Responsabilul cu protecția datelor comunică persoanei vizate decizia luată de directorul administrativ și informează persoana vizată cu privire la posibilitatea de a depune o plângere la AEPD, în cazul în care aceasta nu este mulțumită de decizia luată de Eurojust.

(5)   Cererea este tratată integral în termen de o lună de la data primirii. Această perioadă poate fi prelungită cu încă două luni atunci când este necesar, ținându-se seama de numărul și complexitatea solicitărilor. Directorul administrativ informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. Persoana vizată poate depune o plângere la AEPD în cazul în care, în acest termen, Eurojust nu a luat o decizie pe baza cererii sale.

(1)   Fiecărei operațiuni de prelucrare individuală a datelor administrative cu caracter personal care are loc în cadrul Eurojust, având în vedere scopul său definit și în deplină conformitate cu articolul 4 alineatul (1) litera (d) și cu articolul 31 alineatul (1) litera (f) din Regulamentul 2018/1725, îi este asociat un termen clar și definit pentru stocare pentru a se asigura că datele sunt păstrate numai pentru o perioadă care nu depășește perioada necesară scopurilor pentru care sunt prelucrate datele administrative cu caracter personal. Acest termen se stabilește pentru fiecare categorie de date prelucrate și documentate în evidența activităților de prelucrare.

(2)   Eurojust păstrează datele administrative cu caracter personal în conformitate cu alineatul (1), atât timp cât este necesar și, în orice caz, nu depășește perioadele indicate pentru fiecare categorie de activități de prelucrare în tabelul inclus în anexa la prezentul regulament de procedură.

(3)   La propunerea directorului administrativ, Comitetul executiv poate stabili perioade de păstrare mai scurte decât cele incluse în anexa la prezentul regulament de procedură.

(1)   Prezentul regulament este revizuit în mod regulat pentru a se evalua dacă sunt necesare modificări. Orice modificare la regulamentul de procedură urmează aceeași procedură ca cea stabilită pentru aprobarea sa în Regulamentul privind Eurojust.

(2)   AEPD aduce în atenția colegiului sugestii sau recomandări cu privire la modificarea prezentului regulament de procedură.