(1)   Prezenta decizie stabilește norme și proceduri pentru aplicarea Regulamentului (UE) 2018/1725 de către Consiliu și Secretariatul General al Consiliului (SGC) și stabilește norme complementare de aplicare privind responsabilul cu protecția datelor din cadrul Consiliului (RPD).

(2)   Prezenta decizie stabilește normele pe care trebuie să le respecte Consiliul și SGC în legătură cu sarcinile de monitorizare, investigare, audit sau consultative ale RPD, atunci când informează persoanele vizate despre prelucrarea datelor lor cu caracter personal în conformitate cu articolele 14, 15 și 16 din Regulamentul (UE) 2018/1725.

(3)   Prezenta decizie stabilește condițiile în care Consiliul și SGC pot restricționa, în ceea ce privește sarcinile de monitorizare, investigare, audit sau consultative ale RPD, aplicarea articolelor 4, 14-17, 19, 20 și 35 din Regulamentul (UE) 2018/1725, în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h) din regulamentul menționat.

(4)   Prezenta decizie se aplică prelucrării datelor cu caracter personal de către Consiliu și SGC în scopul exercitării sarcinilor RPD menționate la articolul 45 din Regulamentul (UE) 2018/1725 sau în legătură cu aceste sarcini.

(1)   Secretarul general al Consiliului desemnează RPD din rândul personalului SGC și îl înregistrează la Autoritatea Europeană pentru Protecția Datelor („AEPD”), în conformitate cu articolul 43 din Regulamentul (UE) 2018/1725.

(2)   RPD este selectat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 45 din Regulamentul (UE) 2018/1725. RPD are, de asemenea, o cunoaștere temeinică a SGC, a structurii sale și a normelor și procedurilor sale administrative. În scopul îndeplinirii sarcinilor sale, RPD este eliberat de orice altă sarcină în cadrul SGC.

(3)   RPD este desemnat pentru un mandat de cinci ani și este eligibil pentru o nouă numire.

(4)   RPD și personalul acestuia sunt direct subordonați secretarului general al Consiliului și raportează direct acestuia.

(5)   În îndeplinirea sarcinilor sale, RPD acționează în mod independent și nu primește nicio instrucțiune din partea secretarului general al Consiliului, a operatorilor delegați sau a operatorilor operaționali ori din partea vreunei alte persoane cu privire la aplicarea la nivel intern a dispozițiilor Regulamentului (UE) 2018/1725 sau cu privire la cooperarea sa cu AEPD.

(6)   Consiliul și SGC sprijină RPD în îndeplinirea sarcinilor menționate la articolul 45 din Regulamentul (UE) 2018/1725, asigurându-i resursele necesare pentru executarea acestor sarcini și accesul la datele cu caracter personal și la operațiunile de prelucrare a acestora și oferindu-i posibilitatea de a-și actualiza cunoștințele de specialitate.

(7)   RPD nu este demis sau sancționat pentru îndeplinirea sarcinilor sale. RPD nu poate fi demis decât în conformitate cu articolul 44 alineatul (8) din Regulamentul (UE) 2018/1725. În scopul obținerii acordului AEPD cu privire la o astfel de demitere în temeiul articolului respectiv, AEPD este consultată în scris. O copie a acordului respectiv este transmisă RPD.

(8)   SGC, în special operatorii delegați și operatorii operaționali, se asigură că RPD este implicat în mod corespunzător și în timp util în toate chestiunile legate de protecția datelor cu caracter personal.

(1)   RPD exercită toate sarcinile prevăzute la articolul 45 din Regulamentul (UE) 2018/1725. În special, RPD:

RPD poate fi consultat de către secretarul general al Consiliului, de către operatorii vizați, de către Comitetul pentru personal și de către orice persoană, fără să se recurgă la căile oficiale, în orice problemă privind aplicarea sau punerea în aplicare a Regulamentului (UE) 2018/1725.

(2)   RPD păstrează un registru al evidențelor activităților de prelucrare și îl pune la dispoziția publicului, în conformitate cu articolul 12.

(3)   RPD ține un registru intern privind încălcarea securității datelor cu caracter personal în sensul articolului 3 punctul 16 din Regulamentul (UE) 2018/1725.

(4)   RPD consiliază operatorul delegat, la cerere, cu privire la aplicarea unei restricții referitoare la aplicarea articolelor 14-22, a articolului 35 și a articolului 36, precum și a articolului 4 din Regulamentul (UE) 2018/1725.

(5)   RPD organizează și prezidează reuniunile periodice ale coordonatorilor pentru protecția datelor.

(6)   RPD prezintă un raport anual privind activitățile sale secretarului general al Consiliului și pune acest raport la dispoziția personalului SGC.

(7)   RPD cooperează cu responsabilii cu protecția datelor desemnați de celelalte instituții și organe ale Uniunii și participă în mod regulat la reuniunile convocate de AEPD sau de responsabilii cu protecția datelor din cadrul celorlalte instituții și organe ale Uniunii în vederea facilitării bunei cooperări, în special prin schimbul de experiență și de bune practici.

(8)   RPD este considerat operatorul delegat pentru operațiunile de prelucrare efectuate în exercitarea sarcinilor sale.

(1)   Operatorii implică RPD atunci când planifică și discută o activitate care implică prelucrarea datelor cu caracter personal. RPD este informat cu privire la orice operațiune de prelucrare, precum și cu privire la orice modificare substanțială a unei operațiuni de prelucrare existente.

(2)   RPD este informat cu privire la proiectele de note interne și de decizii din cadrul SGC care au legătură directă cu aplicarea internă a Regulamentului (UE) 2018/1725.

(3)   RPD este informat despre toate contactele cu părțile externe referitoare la aplicarea internă a Regulamentului (UE) 2018/1725 și despre orice interacțiune cu AEPD, în special atunci când AEPD este consultată sau informată în temeiul articolelor 40 și 41 din regulamentul respectiv.

(4)   RPD este consultat cu privire la proiectele de acorduri dintre operatorii asociați și cu privire la proiectele de clauze contractuale privind protecția datelor sau la alte acte juridice atunci când datele cu caracter personal sunt prelucrate de către o persoană împuternicită de operator.

(1)   Operatorii delegați au obligația de a asigura conformitatea cu Regulamentul (UE) 2018/1725 a tuturor operațiunilor de prelucrare aflate sub supravegherea lor.

(2)   În special, operatorii delegați:

(3)   Operatorii delegați se asigură că RPD este implicat în timp util în toate chestiunile legate de datele cu caracter personal și instituie mecanisme adecvate pentru a se asigura că coordonatorul pentru protecția datelor este implicat în mod corespunzător în toate chestiunile legate de protecția datelor în direcția lor generală sau în serviciul lor din cadrul SGC.

(4)   Operatorii delegați se asigură că sunt instituite măsuri tehnice și organizatorice adecvate pentru a demonstra că activitățile de prelucrare respectă Regulamentul (UE) 2018/1725 și dau instrucțiuni adecvate personalului SGC pentru a asigura atât confidențialitatea prelucrării, cât și un nivel de securitate corespunzător riscurilor reprezentate de prelucrare. Aceștia pot consulta RPD pentru a selecta aceste măsuri.

(5)   Operatorii delegați raportează RPD cu privire la tratarea oricărei cereri primite de la o persoană vizată pentru exercitarea drepturilor sale și asistă RPD și AEPD în îndeplinirea atribuțiilor care le revin, în special prin furnizarea de informații ca răspuns la cererile acestora în termen de 30 de zile.

(6)   Operatorii delegați sunt responsabili de aplicarea unei restricții referitoare la aplicarea articolelor 14-22, a articolului 35 și a articolului 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din regulamentul menționat, în conformitate cu normele interne relevante. Operatorii delegați implică RPD pe parcursul întregii proceduri atunci când aplică o astfel de restricție.

(7)   Operatorii delegați se asigură că au fost încheiate acorduri interne cu alte direcții generale sau servicii din cadrul SGC, în cazul în care operatorul delegat efectuează operațiuni de prelucrare în comun cu aceste direcții generale sau servicii din cadrul SGC sau în cazul în care aceste direcții generale sau servicii efectuează o parte a operațiunii de prelucrare a operatorului delegat.

Acordurile menționate la primul paragraf stabilesc responsabilitățile respective ale operatorilor delegați și ale celorlalte direcții generale sau servicii din cadrul SGC pentru îndeplinirea obligațiilor lor privind protecția datelor. Respectivele acorduri includ, în special, identificarea operatorului delegat care stabilește mijloacele și scopurile operațiunii de prelucrare, precum și a operatorului operațional pentru operațiunea de prelucrare și, dacă este cazul, a persoanelor sau a entităților care urmează să asiste operatorul operațional, printre altele, oferind informații în cazul încălcărilor securității datelor sau pentru a permite respectarea drepturilor persoanelor vizate.

(1)   Operatorii operaționali asistă operatorul delegat pentru a asigura conformitatea cu Regulamentul (UE) 2018/1725 a operațiunilor de prelucrare pentru care acesta este responsabil și acționează în calitate de punct principal de contact pentru persoanele vizate.

(2)   În special, operatorii operaționali:

(3)   Operatorii operaționali informează fără întârzieri nejustificate RPD în cazul unor încălcări ale securității datelor cu caracter personal și îi furnizează toate informațiile necesare care să îi permită să se asigure că Consiliul respectă obligațiile legate de încălcările securității datelor cu caracter personal prevăzute la articolele 34 și 35 din Regulamentul (UE) 2018/1725.

(4)   Operatorii operaționali, coordonându-se cu operatorul delegat și cu RPD, notifică AEPD încălcările securității datelor cu caracter personal, dacă este cazul. Aceștia informează, de asemenea, persoanele vizate, dacă este cazul.

(5)   Operatorii operaționali se asigură că coordonatorul pentru protecția datelor este informat cu privire la toate aspectele legate de protecția datelor.

(6)   Operatorii operaționali evaluează riscul pentru drepturile și libertățile persoanei vizate pe care îl prezintă operațiunile de prelucrare pentru care sunt responsabili și, după caz, efectuează o evaluare a impactului asupra protecției datelor. Operatorii operaționali solicită consiliere din partea RPD atunci când efectuează respectivele evaluări ale impactului, precum și cu privire la necesitatea unei consultări prealabile în conformitate cu articolele 39 și 40 din Regulamentul (UE) 2018/1725.

(7)   La cererea operatorului delegat, operatorii operaționali îndeplinesc orice altă sarcină care se încadrează în domeniul de aplicare al prezentei decizii.

(1)   Fiecare direcție generală sau serviciu din cadrul SGC numește, în consultare cu RPD, unul sau mai mulți coordonatori pentru protecția datelor care să asiste operatorul delegat și operatorii operaționali din direcția sa generală sau din serviciul său din cadrul SGC în ceea ce privește toate chestiunile legate de protecția datelor cu caracter personal.

(2)   Coordonatorii pentru protecția datelor sunt aleși pe baza cunoștințelor și a experienței lor în ceea ce privește funcționarea direcției generale respective sau a serviciului respectiv din cadrul SGC, a adecvării lor pentru funcția respectivă, a competențelor lor legate de protecția datelor, a cunoașterii de către aceștia a principiilor sistemelor de informații, precum și pe baza aptitudinilor lor de comunicare. Coordonatorii pentru protecția datelor nou-desemnați urmează, în termen de șase luni de la desemnare, o formare pentru a dobândi competențele necesare în vederea îndeplinirii rolului lor. Sunt exceptați de la această cerință privind formarea coordonatorii pentru protecția datelor care au lucrat în calitate de persoane de contact în alte direcții generale sau servicii din cadrul SGC în ultimii doi ani anteriori desemnării.

(3)   Funcția de coordonator pentru protecția datelor face parte din fișa postului fiecărui membru al personalului SGC numit în calitate de persoană de contact. În raportul anual de evaluare se menționează responsabilitățile și realizările acestora.

(4)   Coordonatorii pentru protecția datelor sunt implicați în mod corespunzător și în timp util în toate chestiunile legate de protecția datelor din cadrul direcției lor generale sau al serviciului lor din cadrul SGC și își îndeplinesc sarcinile în strânsă cooperare cu RPD.

(5)   Coordonatorii pentru protecția datelor au dreptul de a obține de la operatori și de la personal informațiile adecvate care sunt necesare pentru a-și îndeplini sarcinile în cadrul direcției lor generale sau al serviciului lor din cadrul SGC. Acest drept nu include accesul la datele cu caracter personal prelucrate sub responsabilitatea operatorului delegat. Coordonatorii pentru protecția datelor au acces la date cu caracter personal numai dacă acest lucru este necesar pentru îndeplinirea sarcinilor lor.

(6)   Coordonatorii pentru protecția datelor desfășoară acțiuni de sensibilizare cu privire la aspectele legate de protecția datelor și asistă operatorii delegați din cadrul direcției lor generale sau al serviciului lor din cadrul SGC în îndeplinirea obligațiilor care le revin, în special în ceea ce privește:

(7)   Coordonatorii pentru protecția datelor asistă operatorii operaționali din cadrul direcției lor generale sau al serviciului lor din cadrul SGC în îndeplinirea obligațiilor care le revin, în special în ceea ce privește:

(1)   RPD ține un registru al operațiunilor de prelucrare și asigură faptul că registrul este accesibil prin intermediul site-ului web al RPD de pe intranetul SGC și prin intermediul site-ului web al Consiliului.

(2)   Operatorul operațional notifică RPD orice operațiune de prelucrare și transmite evidențele activităților de prelucrare și declarația de confidențialitate aferentă prin intermediul unui formular disponibil pe site-ul intranet al SGC (în cadrul rubricii „Protecția datelor”). Notificarea se transmite RPD prin mijloace electronice. După consultarea RPD, operatorul delegat confirmă înregistrarea și declarația de confidențialitate aferentă, iar RPD le publică în registru.

(3)   Înregistrarea cuprinde toate informațiile menționate la articolul 31 din Regulamentul (UE) 2018/1725. Cu toate acestea, informațiile introduse în registru de RPD pot fi limitate, în situații excepționale, la ceea ce este necesar pentru a asigura securitatea unei anumite operațiuni de prelucrare. RPD este informat în cel mai scurt timp de către operatorul operațional cu privire la orice modificare ce vizează aceste informații.

(1)   Atunci când are loc o încălcare a securității datelor cu caracter personal, operatorul delegat sau operatorul operațional solicită asistența coordonatorului pentru protecția datelor și informează fără întârzieri nejustificate RPD cu privire la incident, furnizându-i toate informațiile necesare care să îi permită să se asigure că Consiliul respectă obligația referitoare la notificare și informare în ceea ce privește încălcarea securității datelor cu caracter personal prevăzută la articolele 34 și 35 din Regulamentul (UE) 2018/1725.

(2)   RPD creează și menține un registru intern al încălcărilor securității datelor cu caracter personal. Operatorii delegați și operatorii operaționali furnizează informațiile necesare pentru a fi introduse în registru.

(3)   Operatorii delegați și operatorii operaționali pregătesc notificarea către AEPD consultându-se cu RPD, cu excepția cazului în care este puțin probabil ca încălcarea securității datelor cu caracter personal să genereze un risc pentru drepturile și libertățile persoanelor fizice.

(1)   RPD poate, din proprie inițiativă sau la cererea operatorului delegat, a operatorului operațional, a persoanei împuternicite de operator, a Comitetului pentru personal sau a oricărei persoane fizice, să investigheze problemele și faptele legate de sarcinile sale, prezentând un raport persoanei care a solicitat investigația sau operatorului delegat, operatorului operațional ori persoanei împuternicite de operator.

(2)   Solicitările de investigații se adresează RPD în scris. În cazul în care dreptul de a solicita o investigație este exercitat într-un mod vădit abuziv, de exemplu atunci când aceeași persoană a mai făcut de curând o cerere identică, RPD nu este obligat să răspundă solicitantului.

(3)   În termen de 15 zile de la primirea unei solicitări de investigație, RPD trimite o confirmare de primire persoanei care a formulat solicitarea și verifică dacă cererea trebuie să fie tratată ca fiind confidențială.

(4)   RPD solicită operatorului delegat care este responsabil de operațiunea de prelucrare a datelor care face obiectul solicitării de investigație un raport cu privire la chestiunea respectivă. Operatorul delegat îi transmite RPD răspunsul în termen de 15 zile. RPD poate solicita informații suplimentare de la operatorul delegat, de la operatorul operațional, de la persoana împuternicită de operator sau de la alte servicii relevante din cadrul SGC. După caz, RPD poate solicita un aviz asupra chestiunii din partea Serviciului juridic al Consiliului. Informațiile solicitate sau avizul i se transmit RPD în termen de 30 de zile.

(5)   RPD răspunde persoanei care a făcut solicitarea de investigație în termen de cel mult trei luni de la primirea acesteia. Acest termen poate fi suspendat până când RPD obține toate informațiile necesare pe care le-a solicitat.

(6)   Nimeni nu poate suferi un prejudiciu ca urmare a unui fapt adus la cunoștința RPD prin care se invocă o încălcare a Regulamentului (UE) 2018/1725.

(1)   Drepturile persoanelor vizate prevăzute la articolele 14-24 din Regulamentul (UE) 2018/1725 pot fi exercitate numai de persoana vizată sau de reprezentantul acesteia mandatat în mod corespunzător.

(2)   Persoana vizată adresează solicitările în scris operatorului operațional, transmițând o copie RPD. Dacă este necesar, RPD acordă asistență persoanei vizate în vederea identificării operatorului operațional în cauză. Solicitarea poate fi adresată în format electronic și conține:

(3)   Operatorul operațional îi trimite persoanei vizate o confirmare de primire în termen de cinci zile lucrătoare de la înregistrarea solicitării. Operatorul operațional cere orice clarificări necesare în cazul în care solicitarea este neclară sau incompletă. Termenele aplicabile prevăzute la articolul 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 încep să curgă doar după ce au fost furnizate toate clarificările necesare.

(4)   Operatorul operațional verifică identitatea persoanei vizate în conformitate cu articolul 14 alineatul (6) din Regulamentul (UE) 2018/1725. Termenele aplicabile prevăzute la articolul 14 alineatele (3) și (4) din regulamentul menționat nu încep să curgă cât timp este verificată identitatea.

(5)   Operatorul operațional fie dă curs solicitării persoanei vizate, fie precizează în scris motivele pentru care solicitarea este respinsă integral sau parțial, în termenele prevăzute la articolul 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725.

(6)   Operatorul operațional consultă RPD în cazul unei solicitări deosebit de complexe, al existenței unor nereguli sau al exercitării vădit abuzive de către persoana vizată a drepturilor sale, atunci când este probabil ca prelucrarea unei solicitări să creeze un risc pentru drepturile și libertățile altor persoane vizate sau în cazul în care persoana vizată susține că prelucrarea este ilegală.

(1)   Atunci când își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, Consiliul sau SGC analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul respectiv.

(2)   Sub rezerva articolelor 18-22 din prezenta decizie, Consiliul sau SGC poate restricționa, în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h) din Regulamentul(UE) 2018/1725, aplicarea articolelor 14-17, 19, 20 și 35 din regulamentul respectiv, precum și a principiului transparenței prevăzut la articolul 4 alineatul (1) litera (a) din regulamentul respectiv în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-17, 19 și 20 din regulamentul menționat, în cazul în care exercitarea acestor drepturi și obligații ar periclita exercitarea sarcinilor RPD, printre altele prin dezvăluirea instrumentelor și a metodelor sale de investigare sau de audit sau ar afecta în mod negativ drepturile și libertățile altor persoane vizate.

(3)   Sub rezerva articolelor 18-22 din prezenta decizie, Consiliul sau SGC poate restricționa drepturile și obligațiile menționate la alineatul (2) al prezentului articol în legătură cu datele cu caracter personal obținute de RPD de la direcțiile generale sau serviciile SGC sau de la alte instituții sau organe ale Uniunii. Consiliul sau SGC poate proceda astfel în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de respectivele direcții generale sau servicii din cadrul SGC sau de alte instituții sau organe ale Uniunii pe baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv ori în conformitate cu Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului (10) sau cu Regulamentul (UE) 2017/1939 al Consiliului (11).

Înainte de a aplica restricții în situațiile menționate la primul paragraf, Consiliul sau SGC consultă instituția relevantă a Uniunii sau organul relevant al Uniunii, cu excepția cazului în care este clar că aplicarea unei restricții este prevăzută de unul dintre actele menționate la paragraful respectiv.

(4)   Orice restricționare a drepturilor și obligațiilor menționată la alineatul (2) trebuie să fie necesară și proporțională, ținând seama de riscurile la adresa drepturilor și libertăților persoanelor vizate.

(1)   SGC publică pe site-ul web al Consiliului avize privind protecția datelor, prin care persoanele vizate sunt informate în legătură cu sarcinile RPD care implică prelucrarea datelor lor cu caracter personal.

(2)   SGC informează în mod individual, într-un format adecvat, orice persoană fizică pe care o consideră ca fiind o persoană vizată de sarcinile RPD.

(3)   În cazul în care SGC restricționează, integral sau parțial, furnizarea informațiilor către persoanele vizate menționate la alineatul (2) din prezentul articol, acesta consemnează și înregistrează motivele restricției, în conformitate cu articolul 21.

(1)   În cazul în care restricționează, integral sau parțial, dreptul de acces la datele personale al persoanelor vizate, dreptul la ștergerea datelor sau dreptul la restricționarea prelucrării menționate la articolele 17, 19 și, respectiv, 20 din Regulamentul (UE) 2018/1725, Consiliul sau SGC informează persoana vizată în cauză, în răspunsul său la o cerere a acesteia privind accesul, ștergerea sau restricționarea prelucrării, cu privire la restricția aplicată și la principalele motive ale acesteia, precum și cu privire la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(2)   Furnizarea informațiilor cu privire la motivele restricției menționate la alineatul (1) poate fi amânată, omisă sau refuzată atât timp cât furnizarea acestor informații ar submina scopul restricției. Consiliul furnizează informațiile persoanei vizate de îndată ce aceste informații nu mai pot submina respectivul scop.

(3)   SGC consemnează și înregistrează motivele restricției în conformitate cu articolul 21.

(1)   SGC consemnează motivele oricărei restricții aplicate în temeiul prezentei decizii, inclusiv o evaluare de la caz la caz a necesității și a proporționalității restricției, ținând seama de elementele relevante prevăzute la articolul 25 alineatul (2) din Regulamentul (UE) 2018/1725.

În acest scop, consemnarea precizează modul în care exercitarea oricărora dintre drepturile menționate la articolele 14-17, 19, 20 și 35 din regulamentul respectiv sau a principiului transparenței prevăzut la articolul 4 alineatul (1) litera (a) din regulamentul respectiv ar periclita activitățile RPD prevăzute în prezenta decizie sau scopul restricțiilor aplicate în temeiul articolului 17 alineatul (2) sau (3) din prezenta decizie ori ar afecta în mod negativ drepturile și libertățile altor persoane vizate.

(2)   Elementele consemnate și, dacă este cazul, documentele care conțin elementele de fapt și de drept aferente se înregistrează. La cerere, ele sunt puse la dispoziția AEPD.

(1)   Restricțiile menționate la articolele 18, 19 și 20 continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.

(2)   În cazul în care motivele unei restricții menționate la articolele 18 și 20 nu se mai aplică, SGC elimină restricția și informează persoana vizată cu privire la motivele restricției. În același timp, SGC informează persoana vizată cu privire la posibilitatea de a depune în orice moment o plângere la AEPD sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(3)   SGC reexaminează aplicarea restricțiilor menționate la articolele 18 și 20 la fiecare șase luni după adoptarea acestora și, în orice caz, la încheierea sarcinii relevante a RPD. După încheierea sarcinii respective, SGC verifică anual dacă este necesar să se mențină restricțiile sau amânările.

(1)   În cazul în care alte direcții generale sau servicii din cadrul SGC concluzionează că drepturile unei persoane vizate ar trebui să fie restricționate în temeiul prezentei decizii, acestea informează RPD. De asemenea, acestea acordă RPD acces la evidențe și la orice documente care conțin elementele de fapt și de drept aferente. Implicarea RPD în aplicarea restricțiilor este documentată în detaliu.

(2)   RPD îi poate solicita operatorului delegat în cauză să reexamineze aplicarea restricțiilor. Operatorul delegat în cauză informează RPD în scris cu privire la rezultatul reexaminării solicitate.