(1)

Agenția Executivă pentru Întreprinderi Mici și Mijlocii (EASME) („agenția”) a fost instituită prin Decizia de punere în aplicare 2013/771/UE în vederea îndeplinirii sarcinilor legate de punerea în aplicare a programelor Uniunii în domeniul energiei, mediului înconjurător, combaterea schimbărilor climatice, competitivitate și IMM-uri, cercetare și inovare și TIC (3).

(2)

În cadrul funcționării sale administrative și operaționale, agenția poate să desfășoare anchete administrative, proceduri predisciplinare, proceduri disciplinare și suspendări, în conformitate cu Statutul funcționarilor Uniunii Europene și Regimul aplicabil celorlalți agenți ai Uniunii Europene, prevăzut de Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului („Statutul funcționarilor Uniunii Europene”) (4), și în conformitate cu dispozițiile de punere în aplicare privind desfășurarea anchetelor administrative și a procedurilor disciplinare. Dacă este cazul, agenția poate să desfășoare activități preliminare referitoare la cazurile de fraudă și nereguli potențiale și poate să informeze OLAF cu privire la cazuri.

(3)

Membrii personalului agenției au obligația de a raporta activități potențial ilegale, inclusiv fraudă și corupție, care aduc atingere intereselor Uniunii. Membrii personalului sunt, de asemenea, obligați să raporteze cu privire la îndeplinirea sarcinilor profesionale care pot constitui o încălcare gravă a obligațiilor funcționarilor Uniunii. Această obligație este reglementată prin normele interne sau prin politicile privind avertizarea în interes public.

(4)

Agenția a stabilit o politică de prevenire și soluționare eficace a cazurilor reale sau potențiale de hărțuire psihologică sau sexuală la locul de muncă, astfel cum se prevede în măsurile de punere în aplicare în conformitate cu Statutul funcționarilor Uniunii Europene, care stabilește o procedură informală prin care presupusa victimă a hărțuirii poate contacta persoanele de încredere din cadrul agenției.

(5)

De asemenea, agenția poate să desfășoare investigații interne de securitate (informatică) și cu privire la eventualele încălcări ale eventualelor încălcări ale normelor de securitate pentru informațiile UE clasificate („IUEC”).

(6)

Agenția face obiectul unor audituri interne, precum și al unor audituri externe privind activitățile sale, inclusiv celor desfășurate de Serviciile de Audit Intern ale Comisiei Europene și de Curtea de Conturi Europeană.

(7)

Agenția poate să trateze cereri de la Parchetul European (EPPO), cereri de acces la dosarele de sănătate ale membrilor personalului agenției, să desfășoare investigații prin responsabilul cu protecția datelor, conform articolului 45 alineatul (2) din regulament.

(8)

În contextul acestor anchete administrative, audituri, investigații sau cereri, agenția cooperează cu alte instituții, organe, oficii și agenții ale Uniunii.

(9)

Agenția poate coopera cu autoritățile naționale din țări terțe și cu organizații internaționale, la cererea lor sau din proprie inițiativă.

(10)

Agenția poate coopera și cu autoritățile publice ale statelor membre ale UE, la cererea lor sau din proprie inițiativă.

(11)

Agenția poate să facă obiectul unor plângeri, proceduri sau investigații prin avertizori de integritate sau prin Ombudsmanul European.

(12)

Agenția poate fi implicată în cauze prezentate în fața Curții de Justiție a Uniunii Europene în cazul în care fie sesizează Curtea, fie apără o decizie pe care a luat-o și care a fost contestată în fața Curții, fie intervine în cauze care sunt de competența sa. În acest context, agenția poate fi nevoită să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți.

(13)

În contextul activităților sale, agenția prelucrează mai multe categorii de date cu caracter personal, inclusiv date de identificare ale persoanelor fizice, date de contact, roluri și sarcini profesionale, informații privind conduita și performanțele din viața privată și activitatea profesională, date financiare și, în anumite cazuri, date sensibile (de exemplu date privind sănătatea). Datele cu caracter personal includ date „concrete” și date „calitative” pentru evaluare.

„Datele concrete” sunt date faptice obiective, cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, metadate privind comunicațiile electronice și date privind traficul.

„Datele calitative” sunt date subiective și includ în special descrierea și evaluarea situațiilor și a circumstanțelor, opinii, observații referitoare la persoanele vizate, evaluarea conduitei și a performanței persoanelor vizate și raționamente care stau la baza deciziilor individuale referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității desfășurate de agenție conform cadrului juridic aplicabil.

Evaluările, observațiile și opiniile sunt considerate date cu caracter personal în sensul articolului 3 alineatul (1) din regulament.

(14)

Prin urmare, în temeiul regulamentului, agenția este obligată să furnizeze persoanelor vizate informații cu privire la aceste activități de prelucrare și să le respecte drepturile în calitate de persoane vizate.

(15)

Agenția s-a angajat să respecte, în cea mai mare măsură posibilă, drepturile fundamentale ale persoanelor vizate, în special dreptul de furnizare de informații, de acces și de rectificare a datelor, dreptul de ștergere a datelor, de restricționare a prelucrării datelor, dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicării, astfel cum sunt stabilite prin regulament. Cu toate acestea, agenția ar putea, de asemenea, să trebuiască să restricționeze drepturile și obligațiile persoanei vizate, cu scopul de a proteja activitățile sale și drepturile și libertățile fundamentale ale altor persoane.

(16)

Prin urmare, articolul 25 alineatele (1) și (5) din regulament îi dau agenției posibilitatea de a restricționa, în anumite condiții, aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20. Aceste restricționări vor avea la bază norme interne, adoptate la cel mai înalt nivel de conducere al agenției și sub rezerva publicării în Jurnalul Oficial al Uniunii Europene, dacă nu au la bază acte juridice adoptate în baza tratatelor.

(17)

Restricționările pot fi aplicabile diferitelor drepturi ale persoanelor vizate, inclusiv furnizării de informații persoanelor vizate, dreptului de acces, de rectificare a datelor, de ștergere a datelor, de restricționare a prelucrării datelor, de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptului la confidențialitatea comunicării, astfel cum sunt stabilite prin regulament.

(18)

Agenția poate fi obligată să reconcilieze aceste drepturi cu obiectivele anchetelor administrative, ale auditurilor, ale investigațiilor și ale acțiunilor în justiție. De asemenea, poate fi obligată să asigure un echilibru între drepturile persoanei vizate și drepturile și libertățile fundamentale ale altor persoane vizate.

(19)

Agenția poate, de exemplu, să fie nevoită să restricționeze informațiile pe care le furnizează unei persoane vizate cu privire la prelucrarea datelor sale personale în etapa de evaluare preliminară a unei anchete administrative sau în cadrul anchetei propriu-zise, înainte de o eventuală revocare a cazului sau în etapa predisciplinară. În anumite situații, furnizarea unor astfel de informații poate afecta grav capacitatea agenției de a efectua o anchetă în mod eficace, de exemplu, dacă există riscul ca persoana în cauză să distrugă probe sau să ia legătura cu potențialii martori înainte de audierea lor. Agenția poate, de asemenea, să fie nevoită să protejeze drepturile și libertățile martorilor, precum și pe cele ale altor persoane implicate.

(20)

Ar putea fi necesar ca agenția să protejeze anonimatul unui martor sau al unui avertizor de integritate care a solicitat să nu fie identificat. Într-un asemenea caz, agenția poate decide să restricționeze accesul la identitatea, declarațiile și alte date personale ale acestor persoane, pentru a le proteja drepturile și libertățile.

(21)

Agenția poate fi nevoită să protejeze informațiile confidențiale ale unui membru al personalului care a contactat persoanele de încredere din cadrul agenției, în contextul unei proceduri de hărțuire. Într-un astfel de caz, agenția poate fi nevoită să restricționeze accesul la identitatea, declarațiile și alte date personale ale presupusei victime, ale presupusului hărțuitor și ale altor persoane implicate, pentru a proteja drepturile și libertățile tuturor persoanelor implicate.

(22)

În ceea ce privește procedurile de selecție și recrutare, procedurile de evaluare a personalului și procedurile de achiziții publice, dreptul de acces, dreptul la rectificarea, ștergerea și restricționarea datelor pot fi exercitate numai în anumite momente și în condițiile specificate în procedurile relevante, pentru a proteja drepturile altor persoane vizate și pentru a respecta principiul egalității de tratament și pe cel al confidențialității deliberărilor.

(23)

De asemenea, agenția poate să restricționeze accesul persoanelor la datele lor medicale, de exemplu la cele de natură psihologică sau psihiatrică, din cauza caracterului potențial sensibil al acestor date, iar cabinetul medical al Comisiei poate să dorească să le acorde persoanelor vizate numai acces indirect, prin medicul lor. Persoana vizată își poate exercita dreptul la rectificarea evaluărilor sau a opiniilor cabinetului medical al Comisiei, prezentându-și observațiile sau un raport al unui medic pe care îl aleg.

(24)

Agenția, reprezentată de directorul său, îndeplinește rolul de operator de date, fără a ține seama de delegarea ulterioară a rolului de operator în cadrul agenției, prin care se reflectă responsabilitățile operaționale pentru activități specifice de prelucrare a datelor cu caracter personal față de „operatorii de date delegați” competenți.

(25)

Datele cu caracter personal sunt stocate în siguranță într-un mediu electronic în conformitate cu Decizia (UE, Euratom) 2017/46 a Comisiei (5) sau pe suport de hârtie, prevenind accesul ilegal sau transferul de date către persoane care nu au nevoie să le știe. Datele cu caracter personal prelucrate sunt păstrate doar atâta timp cât este necesar și oportun în scopurile pentru care sunt prelucrate datele pentru perioada specificată în notificările privind protecția datelor și în evidențele agenției.

(26)

Agenția aplică restricții numai dacă acestea respectă esența drepturilor și libertăților fundamentale, dacă sunt strict necesare și constituie o măsură proporțională într-o societate democratică. Agenția prezintă motivele care să prezinte justificarea respectivelor restricții și informează în mod corespunzător persoanele vizate cu privire la temeiurile respective și la dreptul lor de a depune o plângere la AEPD, conform celor prevăzute de articolul 25 alineatul (6) din regulament.

(27)

Conform principiului responsabilității, agenția ține evidența aplicării restricțiilor.

(28)

Atunci când prelucrează date cu caracter personal transmise altor organizații în contextul sarcinilor care îi revin, agenția se consultă cu organizațiile respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor respective, cu excepția cazului în care acest lucru ar pune în pericol activitățile agenției.

(29)

Astfel, normele interne se aplică tuturor activităților de prelucrare efectuate de agenție, care implică date cu caracter personal, în desfășurarea de anchete administrative, proceduri disciplinare, activități preliminare legate de cazuri de eventuale nereguli raportate către OLAF, investigații ale Parchetului European (EPPO), proceduri de avertizare în interes public, proceduri (formale și informale) pentru cazuri de hărțuire, prelucrarea de plângeri interne și externe, cereri de acces sau de rectificare a dosarelor medicale proprii, investigații efectuate de responsabilul cu protecția datelor conform articolului 45 alineatul (2) din regulament, investigații de securitate (informatică) gestionate pe plan intern sau cu implicare externă (de exemplu CERT-UE), audituri, proceduri înaintea Curții de Justiție a Uniunii Europene sau a autorităților publice naționale, proceduri de selecție și de recrutare, evaluări de personal și achiziții publice, astfel cum sunt enumerate mai sus.

(30)

Aceste norme interne se aplică activităților de prelucrare efectuate înainte de inițierea procedurilor la care s-a făcut referire mai sus, pe durata acestor proceduri, precum și pe durata monitorizării rezultatelor procedurilor. Trebuie să includă, de asemenea, asistența și cooperarea furnizate de agenție altor instituții ale UE, autorităților naționale și organizațiilor internaționale în afara activităților sale administrative.

(31)

În temeiul articolul 25 alineatul (8) din regulament, agenția poate amâna, omite sau refuza furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă aceasta ar anula efectul restricției. Agenția trebuie să evalueze, de la caz la caz, dacă comunicarea restricției anulează efectul acesteia.

(32)

Agenția va ridica restricția imediat ce condițiile care justifică restricția nu mai sunt valabile și va evalua aceste condiții în mod regulat.

(33)

Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din regulament, responsabilul cu protecția datelor al agenției trebuie consultat în timp util înainte de aplicarea oricărei restricții și să verifice dacă aceasta respectă prezenta decizie.

(34)

Articolul 16 alineatul (5) și articolul 17 alineatul (4) din regulament prevăd excepții de la exercitarea de către persoanele vizate a dreptului la informare și a dreptului de acces. Dacă se aplică aceste excepții, agenția nu este nevoită să aplice o restricție în temeiul prezentei decizii,