(1)

În contextul funcționării sale, AEPD poate desfășura anchete administrative, proceduri disciplinare anticipate, disciplinare și de suspendare, în temeiul articolului 86 din Statutul funcționarilor Uniunii Europene (2) și în conformitate cu anexa IX la acesta, precum și cu Decizia AEPD din 23 aprilie 2015 de adoptare a dispozițiilor de punere în aplicare referitoare la desfășurarea anchetelor administrative și a procedurilor disciplinare, precum și cu Acordul privind nivelul serviciilor privind colaborarea dintre Direcția Generală Resurse Umane și Securitate (DG HR) a Comisiei Europene și AEPD semnat la 29.1.2016 și poate notifica cazurile la Oficiul de investigație și de disciplină al Comisiei (IDOC) sau la Oficiul European de Luptă Antifraudă (OLAF), ceea ce implică prelucrarea de informații, inclusiv de date cu caracter personal.

(2)

Membrii personalului AEPD au obligația de a raporta posibile activități ilegale, inclusiv fraudă sau corupție, care aduc atingere intereselor Uniunii, sau de conduită în raport cu exercitarea atribuțiilor profesionale care pot constitui o încălcare gravă a obligațiilor funcționarilor Uniunii. Acest aspect este reglementat prin Decizia AEPD privind normele interne referitoare la avertizare în interes public, din 14 iunie 2016.

(3)

AEPD a stabilit o politică de prevenire și de soluționare eficace și eficientă a cazurilor reale sau potențiale de hărțuire morală sau sexuală la locul de muncă, astfel cum se prevede în Decizia din 10 decembrie 2014 de adoptare a măsurilor de punere în aplicare a articolelor 12a și 24 din Statutul funcționarilor privind procedura referitoare la combaterea hărțuirii. Decizia stabilește o procedură informală în care presupusa victimă a hărțuirii poate contacta persoanele de încredere din cadrul AEPD;

(4)

AEPD tratează plângerile privind activitățile de prelucrare desfășurate de instituțiile, organismele, oficiile și agențiile europene în temeiul articolul 57 alineatul (1) litera (e) din regulament. În acest context, AEPD poate efectua investigații privind obiectul plângerii.

(5)

În temeiul articolului 54 alineatul (1) litera (f) din regulament, AEPD desfășoară investigații privind aplicarea regulamentului pentru a verifica respectarea acestuia de instituțiile, organele, oficiile și agențiile UE.

(6)

AEPD poate efectua investigații privind posibile încălcări ale informațiilor clasificate ale UE (IUEC), pe baza Deciziei AEPD de modificare a normelor sale privind securitatea IUEC, din 18 februarie 2014.

(7)

AEPD poate efectua audituri ale activităților sale. Acestea sunt realizate în prezent prin intermediul Serviciului de Audit Intern al Comisiei Europene (denumit în continuare „IAS”), pe baza acordului privind nivelul serviciilor, semnat la 1 iunie 2012, astfel cum a fost reînnoit. De asemenea, pot fi efectuate de coordonatorul de control intern, în capacitatea sa deplină;

(8)

În contextul sarcinilor descrise la considerentele 1-7, AEPD poate furniza asistență și sprijin altor instituții, organe, oficii și agenții ale Uniunii și poate primi asistență și sprijin de la acestea, astfel cum s-a stabilit în acordurile relevante privind nivelul serviciilor, în memorandumuri de înțelegere și acorduri de cooperare;

(9)

AEPD poate furniza asistență și sprijin autorităților naționale și organizațiilor internaționale din țări terțe sau poate primi asistență și sprijin din partea acestora, la cererea lor sau din proprie inițiativă, în conformitate cu articolul 51 din regulament;

(10)

AEPD poate furniza asistență și sprijin autorităților publice ale statelor membre ale UE sau poate primi asistență din partea acestora, la cererea lor sau din proprie inițiativă;

(11)

În temeiul articolul 58 alineatul (4) din regulament, AEPD se poate implica în cauzele aduse în fața Curții de Justiție a Uniunii Europene, fie pentru a sesiza Curtea, fie pentru a apăra deciziile contestate ale AEPD sau pentru a interveni în cazuri relevante pentru sarcinile sale;

(12)

În contextul activităților menționate mai sus, AEPD colectează și prelucrează informații relevante și mai multe categorii de date cu caracter personal, inclusiv date de identificare ale unei persoane fizice, date de contact, roluri și sarcini profesionale, informații privind conduita și performanțele private și profesionale, precum și date financiare. AEPD acționează în calitate de operator de date;

(13)

Există garanții adecvate pentru protecția datelor cu caracter personal și pentru prevenirea accesului sau transferului accidental sau ilegal, indiferent că sunt stocate într-un mediu fizic sau într-un mediu electronic. După prelucrare, datele sunt păstrate în conformitate cu normele aplicabile ale AEPD privind păstrarea datelor, astfel cum sunt definite în evidențele de protecție a datelor, în temeiul articolul 31 din regulament. La sfârșitul perioadei de păstrare, informațiile legate de caz, inclusiv datele cu caracter personal, sunt eliminate, anonimizate sau transferate în arhivele istorice.

(14)

În acest context, AEPD are obligația de a furniza persoanelor vizate informații cu privire la activitățile de prelucrare menționate mai sus și de a respecta drepturile persoanelor vizate, conform prevederilor din regulament.

(15)

Poate fi necesar să se asigure un echilibru între drepturile persoanelor vizate, în conformitate cu regulamentul, și nevoile menționate în activitățile de mai sus, respectând totodată drepturile și libertățile fundamentale ale altor persoane vizate. În acest sens, articolul 25 din regulament prevede, în condiții stricte, posibilitatea de a restricționa aplicarea articolelor 14-20, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20. În acest caz, este necesar să se adopte norme interne conform cărora AEPD să poată restricționa drepturile respective, în conformitate cu același articol din regulament.

(16)

Acest lucru poate fi valabil, în special, dacă se furnizează persoanei vizate informații cu privire la prelucrarea datelor cu caracter personal în etapa de evaluare preliminară a unei anchete administrative sau în timpul anchetei propriu-zise, înaintea unei eventuale revocări a cazului sau a unei etape disciplinare anterioare. În anumite situații, furnizarea unor astfel de informații poate afecta grav capacitatea AEPD de a efectua o anchetă eficace, de exemplu, dacă există riscul ca persoana în cauză să distrugă probe sau să ia legătura cu potențialii martori înainte de audierea acestora. În plus, AEPD poate avea nevoie să-și protejeze propriile drepturi și libertăți, precum și pe cele ale altor persoane implicate.

(17)

Ar putea fi necesar să se protejeze confidențialitatea unui martor sau a unui avertizor de integritate care a solicitat să nu fie identificat. Într-un astfel de caz, pentru a-și proteja drepturile și libertățile, AEPD poate decide să restricționeze accesul la identitatea, declarațiile și alte date cu caracter personal ale avertizorului de integritate, precum și ale altor persoane implicate.

(18)

Ar putea fi necesar să se protejeze confidențialitatea unui membru al personalului care a contactat persoanele de încredere din cadrul AEPD, în contextul unei proceduri de hărțuire. Într-un astfel de caz, AEPD poate decide să restricționeze accesul la identitatea, declarațiile și alte date cu caracter personal ale presupusei victime, ale presupusului hărțuitor și ale altor persoane implicate, pentru a le proteja drepturile și libertățile.

(19)

Atunci când gestionează plângeri privind activitățile de prelucrare desfășurate de instituțiile, organismele, oficiile și agențiile europene, AEPD ar putea, în anumite circumstanțe, să-și păstreze eficacitatea anchetelor și să protejeze, după caz, persoanele implicate, precum și drepturile și libertățile acestora.

(20)

Atunci când efectuează investigații privind aplicarea regulamentului pentru a verifica respectarea prevederilor acestuia de către instituțiile, organele, oficiile și agențiile UE, AEPD poate fi nevoită, în anumite circumstanțe, să-și păstreze eficacitatea anchetelor și să protejeze, după caz, persoanele implicate, precum și drepturile și libertățile acestora.

(21)

Atunci când efectuează investigații cu privire la posibile încălcări ale informațiilor IUEC, AEPD poate fi nevoită, în anumite circumstanțe, să-și păstreze eficacitatea anchetelor și să protejeze, după caz, securitatea internă a instituțiilor, organelor, oficiilor și agențiilor Uniunii, inclusiv a rețelelor lor de comunicații electronice, precum și drepturile și libertățile persoanelor vizate implicate.

(22)

Atunci când furnizează asistență și sprijin altor instituții, organe, oficii și agenții ale Uniunii, autorități publice ale statelor membre ale UE, autorități naționale și organizații internaționale din țările terțe sau primește asistență și sprijin din partea acestora în contextul activităților menționate mai sus, AEPD, în anumite circumstanțe, poate fi nevoită să păstreze eficacitatea anchetelor sale sau a celor desfășurate de entitatea cu care colaborează și să protejeze, după caz, persoanele implicate, precum și drepturile și libertățile acestora.

(23)

Atunci când sesizează Curtea de Justiție a Uniunii Europene sau intervine în fața acesteia, AEPD poate fi nevoită să păstreze confidențialitatea datelor cu caracter personal din documentele obținute de părți sau de intervenienți în contextul cazului respectiv.

(24)

AEPD trebuie să aplice restricții numai dacă acestea respectă esența drepturilor și libertăților fundamentale, dacă sunt strict necesare și constituie o măsură proporțională într-o societate democratică. AEPD trebuie să prezinte justificări care să explice motivele acestor restricții.

(25)

Pe baza principiului responsabilității, AEPD trebuie să țină o evidență a aplicării restricțiilor.

(26)

Atunci când prelucrează date cu caracter personal transmise altor organizații în contextul sarcinilor care îi revin, AEPD trebuie să se consulte cu organizațiile respective și să fie consultată de acestea cu privire la posibile motive relevante pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor, cu excepția cazului în care acest lucru ar pune în pericol activitățile AEPD.

(27)

Articolul 25 alineatul (6) din Regulamentul (UE) 2018/1725 obligă operatorul să informeze persoanele vizate cu privire la principalele motive care stau la baza aplicării restricției și cu privire la dreptul lor de a depune o plângere la AEPD.

(28)

În temeiul articolul 25 alineatul (8) din regulament, AEPD poate amâna, omite sau refuza furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, în cazul în care aceasta ar anula efectul restricției. AEPD trebuie să evalueze, de la caz la caz, dacă comunicarea restricției anulează efectul acesteia.

(29)

AEPD trebuie să ridice restricția imediat ce condițiile care justifică restricția nu mai sunt valabile și să evalueze aceste condiții în mod regulat.

(30)

Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din regulament, responsabilul cu protecția datelor trebuie să fie informat în timp util cu privire la restricțiile aplicate și să verifice respectarea prevederilor prezentei decizii.

(31)

Aplicarea restricțiilor menționate mai sus nu aduce atingere eventualei aplicări a dispozițiilor articolului 16 alineatul (5) și ale articolului 17 alineatul (4) privind dreptul la informare atunci când datele nu au fost obținute de la persoana vizată și, respectiv, dreptul de acces al persoanei vizate.