DECIZIA (UE) 2018/1996 A COMISIEI

din 14 decembrie 2018

de stabilire a normelor interne pentru furnizarea de informații persoanelor vizate și restricționarea anumitor drepturi ale acestora în contextul prelucrării datelor cu caracter personal în scopul anchetelor în materie de apărare comercială și al anchetelor în materie de politică comercială

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 249 alineatul (1),

întrucât:

(1)	În cadrul mandatului său acordat în temeiul Regulamentelor (UE) 2015/478 (1), (UE) 2015/755 (2), (UE) 2016/1036 (3), (UE) 2016/1037 (4) ale Parlamentului European și ale Consiliului, Comisia gestionează politica comercială a Uniunii.

(2)

În special, în cursul anchetelor în materie de apărare comercială, se prelucrează, în mod inevitabil, date cu caracter personal, astfel cum sunt definite la articolul 3 punctul 1 din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (5). Comisia colectează informații de interes pentru anchete, inclusiv date cu caracter personal. Conform cerinței de a proteja informațiile confidențiale, toate informațiile puse la dispoziție de către orice parte implicată într-o anchetă trebuie să fie puse prompt la dispoziția altor părți interesate care participă la o anchetă prin accesul la dosarul neconfidențial. Această transmitere de date este necesară și obligatorie din punct de vedere juridic pentru apărarea drepturilor în instanță ale părților interesate. Sarcinile Comisiei în domeniul politicii comerciale și al apărării comerciale sunt responsabilitatea principală a Direcției Generale Comerț (denumită în continuare „DG Comerț”), ale cărei entități organizaționale acționează în calitate de operator.

(3)

Datele cu caracter personal prelucrate de Comisie sunt, de exemplu, date de identificare, date de contact, date profesionale și date legate de obiectul anchetei sau corelate cu acesta. Datele cu caracter personal sunt stocate într-un mediu electronic securizat pentru a preveni accesul sau transferul ilegal al datelor către persoane din afara Comisiei. Anumite date cu caracter personal pot fi incluse într-un mediu electronic separat destinat accesării de către un număr reglementat de părți interesate de anchetă. Datele cu caracter personal sunt păstrate în serviciile Comisiei responsabile cu ancheta până la sfârșitul anchetei. Perioada de păstrare administrativă este de 5 ani și începe să curgă de la sfârșitul anchetei. La sfârșitul perioadei de păstrare, informațiile legate de caz, inclusiv datele cu caracter personal, sunt transferate în arhivele istorice ale Comisiei (6).

(4)

În îndeplinirea sarcinilor sale, Comisia este obligată să respecte drepturile persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, recunoscute prin articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și prin articolul 16 alineatul (1) din tratat, precum și drepturile prevăzute în Regulamentul (UE) 2018/1725. De asemenea, Comisia trebuie să respecte normele stricte de confidențialitate stabilite la articolul 19 din Regulamentul (UE) 2016/1036, la articolul 29 din Regulamentul (UE) 2016/1037, la articolul 8 din Regulamentul (UE) 2015/478 și la articolul 5 din Regulamentul (UE) 2015/755.

(5)

În anumite circumstanțe, este necesar să se reconcilieze drepturile persoanelor vizate prevăzute în Regulamentul (UE) 2018/1725 cu nevoile în materie de eficacitate a anchetelor, precum și cu respectarea deplină a drepturilor și libertăților fundamentale ale altor persoane vizate. În acest scop, articolul 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725 oferă Comisiei posibilitatea de a restricționa aplicarea articolelor 14-17, 19, 20 și 35, precum și a principiului transparenței stabilit la articolul 4 alineatul (1) litera (a), în măsura în care dispozițiile acestuia din urmă corespund drepturilor și obligațiilor prevăzute la articolele 14-17, 19, 20 și 35 din respectivul regulament.

(6)

Pentru a asigura eficacitatea anchetelor în materie de apărare comercială, respectând totodată standardele de protecție a datelor cu caracter personal prevăzute în Regulamentul (UE) 2018/1725, care a înlocuit Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (7), este necesar să se adopte norme interne prin care Comisia să poată restricționa drepturile persoanelor vizate în conformitate cu articolul 25 alineatul (1) literele (c) (g) și (h) din Regulamentul (UE) 2018/1725.

(7)

Prin urmare, este necesar să se stabilească norme interne care să se aplice tuturor operațiunilor de prelucrare efectuate de Comisie în cadrul exercitării funcției sale de investigare în domeniul apărării comerciale. Normele respective ar trebui să se aplice operațiunilor de prelucrare efectuate înainte de deschiderea unei anchete, în timpul anchetelor și în timpul monitorizării rezultatelor anchetelor.

(8)

Pentru a se conforma articolelor 14, 15 și 16 din Regulamentul (UE) 2018/1725, Comisia ar trebui să informeze toate persoanele fizice cu privire la activitățile sale care implică prelucrarea datelor lor cu caracter personal și cu privire la drepturile lor într-un mod transparent și coerent, prin intermediul unui anunț privind protecția datelor publicat pe site-ul web al Comisiei. După caz, Comisia ar trebui să ofere garanții suplimentare pentru a se asigura că persoanele vizate sunt informate în mod individual într-un format adecvat.

(9)

În temeiul articolului 25 din Regulamentul (UE) 2018/1725, Comisia poate, de asemenea, să limiteze furnizarea de informații persoanelor vizate și exercitarea altor drepturi ale persoanelor vizate pentru a-și proteja propriile anchete în materie de apărare comercială, precum și drepturile altor persoane în legătură cu anchetele sale.

(10)

În plus, pentru a menține o cooperare eficace, s-ar putea să fie necesară restricționarea de către Comisie a aplicării drepturilor persoanelor vizate pentru a proteja operațiunile de prelucrare ale altor instituții, organisme, oficii și agenții ale Uniunii sau ale autorităților competente din statele membre. În acest scop, Comisia ar trebui să consulte aceste instituții, organisme, oficii, agenții și autorități cu privire la motivele relevante pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor.

(11)

De asemenea, Comisia ar putea fi nevoită să restricționeze furnizarea de informații persoanelor vizate și aplicarea altor drepturi ale persoanelor vizate în ceea ce privește datele cu caracter personal primite din partea unor țări terțe sau a unor organizații internaționale, pentru a-și îndeplini obligația de cooperare cu aceste țări sau organizații și pentru a proteja astfel un obiectiv important de interes public general al Uniunii. Cu toate acestea, în anumite circumstanțe, interesele sau drepturile fundamentale ale persoanei vizate pot prevala asupra interesului cooperării internaționale.

(12)	Comisia ar trebui să gestioneze toate restricțiile într-un mod transparent și să înregistreze fiecare aplicare a unei restricții în sistemul de consemnări corespunzător.

(13)

În temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, operatorii pot să amâne, să omită sau să refuze furnizarea de informații privind motivele aplicării unei restricții persoanei vizate în cazul în care acest lucru ar compromite în vreun fel scopul restricției. Este, în special, cazul restricțiilor privind drepturile prevăzute la articolele 16 și 35 din Regulamentul (UE) 2018/1725.

(14)

Comisia ar trebui să revizuiască în mod regulat restricțiile impuse pentru a se asigura că drepturile persoanelor vizate de a fi informate în conformitate cu articolele 16 și 35 din Regulamentul (UE) 2018/1725 sunt restricționate numai atâta timp cât astfel de restricții sunt necesare pentru a permite Comisiei să își desfășoare anchetele în materie de apărare comercială.

(15)	În cazul în care se restricționează alte drepturi ale persoanelor vizate, operatorul ar trebui să evalueze, de la caz la caz, dacă informarea cu privire la restricție ar compromite scopul acesteia.

(16)	Responsabilul cu protecția datelor din cadrul Comisiei Europene ar trebui să efectueze o reexaminare independentă a aplicării restricțiilor, în vederea asigurării conformității cu prezenta decizie.

(17)

Regulamentul (UE) 2018/1725 înlocuiește Regulamentul (CE) nr. 45/2001 fără perioadă de tranziție, de la data intrării sale în vigoare. Posibilitatea de a aplica restricții anumitor drepturi ale persoanelor vizate a fost prevăzută în Regulamentul (CE) nr. 45/2001. Pentru a evita periclitarea politicii comerciale și a desfășurării anchetelor în materie de apărare comercială, prezenta decizie ar trebui să se aplice de la data intrării în vigoare a Regulamentului (UE) 2018/1725.

(18)	Autoritatea Europeană pentru Protecția Datelor a emis un aviz la 30 noiembrie 2018,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Obiect și domeniul de aplicare

(1) Prezenta decizie stabilește normele pe care trebuie să le respecte Comisia pentru a informa persoanele vizate cu privire la prelucrarea datelor lor în conformitate cu articolele 14, 15 și 16 din Regulamentul (UE) 2018/1725, în cadrul desfășurării anchetelor în materie de politică comercială și a anchetelor în materie de apărare comercială.

Aceasta stabilește, de asemenea, condițiile în care Comisia poate restricționa aplicarea articolelor 4, 14-17, 19, 20 și 35 din Regulamentul (UE) 2018/1725, în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h) din același regulament.

(2) Prezenta decizie se aplică prelucrării datelor cu caracter personal de către Comisie în scopul sau în legătură cu activitățile desfășurate pentru îndeplinirea sarcinilor Comisiei în conformitate cu Regulamentele (UE) 2016/1036, (UE) 2016/1037, (UE) 2015/478 și (UE) 2015/755.

(3) Prezenta decizie se aplică prelucrării datelor cu caracter personal de către serviciile Comisiei în măsura în care acestea prelucrează datele cu caracter personal conținute în informațiile pe care sunt obligate să le transmită Comisiei sau datelor cu caracter personal deja prelucrate de aceasta în scopul sau în legătură cu activitățile menționate la alineatul (2) de la prezentul articol.

Articolul 2

Excepții și restricții aplicabile

(1) În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, Comisia analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.

(2) Sub rezerva articolelor 3-7 din prezenta decizie, Comisia poate restricționa aplicarea articolelor 14-17, 19, 20 și 35 din Regulamentul (UE) 2018/1725, precum și a principiului transparenței prevăzut la articolul 4 alineatul (1) litera (a) din același regulament – în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-17, 19, 20 și 35 din regulamentul respectiv – în cazul în care exercitarea acestor drepturi și obligații ar periclita scopul activităților de politică comercială și de apărare comercială ale Comisiei sau ar afecta negativ drepturile și libertățile altor persoane vizate.

(3) Sub rezerva articolelor 3-7 din prezenta decizie, Comisia poate, de asemenea, să limiteze drepturile și obligațiile menționate la alineatul (2) de la prezentul articol în ceea ce privește datele cu caracter personal obținute de la alte instituții, organisme, agenții și oficii ale Uniunii, de la autoritățile competente ale statelor membre sau ale țărilor terțe sau de la organizații internaționale, în următoarele situații:

(a)

în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de către alte instituții, organisme, agenții și oficii ale Uniunii, pe baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv ori în conformitate cu Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului (8) sau cu Regulamentul (UE) 2017/1939 al Consiliului (9);

(b)

în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de către autoritățile competente ale statelor membre pe baza actelor menționate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (10) sau în temeiul unor măsuri naționale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (11);

(c)	în cazul în care exercitarea acestor drepturi și obligații ar putea periclita cooperarea Comisiei cu țări terțe sau cu organizații internaționale în ceea ce privește desfășurarea de anchete în materie de apărare comercială.

Înainte de a aplica restricții în situațiile menționate la primul paragraf literele (a) și (b), Comisia consultă instituțiile, organismele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

Primul paragraf litera (c) nu se aplică în cazul în care interesele sau drepturile fundamentale și libertățile persoanelor vizate prevalează asupra interesului Comisiei de a coopera cu țări terțe sau cu organizații internaționale.

(4) Alineatele (1), (2) și (3) nu aduc atingere aplicării altor decizii ale Comisiei de stabilire a normelor interne privind furnizarea de informații către persoanele vizate și restricționarea unor drepturi în temeiul articolului 25 din Regulamentul (UE) 2018/1725 și nici aplicării articolului 23 din Regulamentul de procedură al Comisiei.

Articolul 3

Furnizarea de informații către persoanele vizate

(1) Comisia publică pe site-ul său web un anunț privind protecția datelor care informează toate persoanele vizate în legătură cu activitățile sale de apărare comercială care implică prelucrarea datelor lor cu caracter personal. După caz, Comisia se asigură că persoanele vizate sunt informate în mod individual într-un format adecvat.

(2) În cazul în care restricționează, integral sau parțial, furnizarea de informații către persoanele vizate ale căror date sunt prelucrate în scopul anchetelor în materie de politică comercială sau al anchetelor în materie de apărare comercială, Comisia consemnează și înregistrează motivele restricției în conformitate cu articolul 6.

Articolul 4

Dreptul de acces al persoanelor vizate, dreptul la ștergerea datelor și dreptul de restricționare a prelucrării

(1) În cazul în care restricționează, integral sau parțial, dreptul de acces la datele cu caracter personal al persoanelor vizate, dreptul la ștergerea datelor sau dreptul la restricționarea prelucrării menționate la articolele 17, 19 și, respectiv, 20 din Regulamentul (UE) 2018/1725, Comisia informează persoana vizată în cauză – în răspunsul său la cererea acesteia privind accesul, ștergerea sau restricționarea prelucrării – cu privire la restricția aplicată și la principalele motive ale acesteia, precum și cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(2) Transmiterea informațiilor cu privire la motivele restricției menționate la alineatul (1) poate fi amânată, omisă sau refuzată atâta timp cât furnizarea acestor informații ar submina scopul restricției.

(3) Comisia înregistrează motivele restricției în conformitate cu articolul 6.

(4) În cazul în care dreptul de acces este restricționat integral sau parțial, persoana vizată își exercită dreptul de acces prin intermediul Autorității Europene pentru Protecția Datelor, în conformitate cu articolul 25 alineatele (6), (7) și (8) din Regulamentul (UE) 2018/1725.

Articolul 5

Informarea persoanelor vizate cu privire la încălcările securității datelor cu caracter personal

În cazul în care restricționează informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, astfel cum se menționează la articolul 35 din Regulamentul (UE) 2018/1725, Comisia consemnează și înregistrează motivele restricției în conformitate cu articolul 6 din prezenta decizie.

Articolul 6

Consemnarea și înregistrarea restricțiilor

(1) Comisia consemnează motivele oricărei restricții aplicate în temeiul prezentei decizii, incluzând o evaluare a necesității și a proporționalității restricției, luând în considerare elementele relevante prevăzute la articolul 25 alineatul (2) din Regulamentul (UE) 2018/1725.

În acest scop, consemnarea indică modul în care exercitarea dreptului ar periclita scopul anchetelor în materie de politică comercială și al anchetelor în materie de apărare comercială sau scopul restricțiilor aplicate în temeiul articolului 2 alineatul (2) sau (3) sau modul în care aceasta ar afecta drepturile și libertățile altor persoane vizate.

(2) Înregistrarea și, dacă este cazul, documentele care conțin elemente de fapt și juridice subiacente se consemnează într-un registru. La cerere, acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor.

Articolul 7

Durata restricțiilor

(1) Restricțiile menționate la articolele 3, 4 și 5 continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.

(2) În cazul în care motivele unei restricții menționate la articolul 3 sau 5 nu se mai aplică, Comisia ridică restricția și informează persoana vizată cu privire la motivele principale ale restricției. În același timp, Comisia informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(3) Comisia revizuiește aplicarea restricției menționate la articolele 3 și 5 la fiecare șase luni de la adoptarea sa, precum și la închiderea anchetei. Ulterior, Comisia/operatorul monitorizează necesitatea de a menține orice restricție/amânare o dată pe an.

Articolul 8

Revizuirea de către responsabilul cu protecția datelor din cadrul Comisiei Europene

(1) Responsabilul cu protecția datelor este informat, fără întârzieri nejustificate, ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta decizie. La cerere, responsabilului cu protecția datelor i se asigură accesul la consemnări și la orice documente care conțin elemente faptice și juridice de sprijin.

(2) Responsabilul cu protecția datelor poate solicita o reexaminare a restricțiilor. Responsabilul cu protecția datelor este informat în scris cu privire la rezultatul reexaminării solicitate.

Articolul 9

Intrarea în vigoare

Prezenta decizie intră în vigoare în ziua publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică începând cu 11 decembrie 2018.

Adoptată la Bruxelles, 14 decembrie 2018.

Pentru Comisie

Președintele

Jean-Claude JUNCKER

(1) Regulamentul (UE) 2015/478 al Parlamentului European și al Consiliului din 11 martie 2015 privind regimul comun aplicabil importurilor (JO L 83, 27.3.2015, p. 16).

(2) Regulamentul (UE) 2015/755 al Parlamentului European și al Consiliului din 29 aprilie 2015 privind regimul comun aplicabil importurilor din anumite țări terțe (JO L 123, 19.5.2015, p. 33).

(3) Regulamentul (UE) 2016/1036 al Parlamentului European și al Consiliului din 8 iunie 2016 privind protecția împotriva importurilor care fac obiectul unui dumping din partea țărilor care nu sunt membre ale Uniunii Europene (JO L 176, 30.6.2016, p. 21).

(4) Regulamentul (UE) 2016/1037 al Parlamentului European și al Consiliului din 8 iunie 2016 privind protecția împotriva importurilor care fac obiectul unor subvenții din partea țărilor care nu sunt membre ale Uniunii Europene (JO L 176, 30.6.2016, p. 55).

(5) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(6) Păstrarea dosarelor în cadrul Comisiei este reglementată de lista comună de păstrare, un document de reglementare [ultima versiune este SEC(2012) 713] sub forma unui calendar de păstrare care stabilește perioadele de păstrare pentru diferitele tipuri de dosare ale Comisiei.

(7) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(8) Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului din 11 mai 2016 privind Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) și de înlocuire și de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI și 2009/968/JAI ale Consiliului (JO L 135, 24.5.2016, p. 53).

(9) Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO) (JO L 283, 31.10.2017, p. 1).

(10) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(11) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).