|
6.5.2021 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 158/17 |
DECIZIA nr. 5/2020 A CONSILIULUI DE ADMINISTRAȚIE
din 21 octombrie 2020
privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Agenția Uniunii Europene pentru Siguranță a Aviației
CONSILIUL DE ADMINISTRAȚIE AL AGENȚIEI UNIUNII EUROPENE PENTRU SIGURANȚĂ A AVIAȚIEI,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (1), în special articolul 25,
având în vedere Regulamentul (UE) 2018/1139 al Parlamentului European și al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviației civile și de înființare a Agenției Uniunii Europene pentru Siguranța Aviației, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 și a Directivelor 2014/30/UE și 2014/53/UE ale Parlamentului European și ale Consiliului, precum și de abrogare a Regulamentelor (CE) nr. 552/2004 și (CE) nr. 216/2008 ale Parlamentului European și ale Consiliului și a Regulamentului (CEE) nr. 3922/91 al Consiliului (2), precum și, în special, articolul 132,
având în vedere regulamentul de procedură al Consiliului de administrație al Agenției Uniunii Europene pentru Siguranță a Aviației,
după consultarea Autorității Europene pentru Protecția Datelor,
după informarea Comitetului de personal,
întrucât:
|
(1) |
Agenția Uniunii Europene pentru Siguranță a Aviației („AESA”) este împuternicită să desfășoare anchete administrative, proceduri predisciplinare, proceduri disciplinare și suspendări, în conformitate cu Statutul funcționarilor Uniunii Europene, prevăzut de Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (Statutul funcționarilor Uniunii Europene) (3) și cu Decizia nr. 2011/216/E a directorului executiv AESA din 16 decembrie 2011, care adoptă prevederi de implementare referitoare la desfășurarea de anchete administrative și proceduri disciplinare. Dacă este cazul, agenția înștiințează și OLAF despre aceste cazuri. |
|
(2) |
Membrii personalului AESA au obligația de a raporta activități potențial ilegale, inclusiv fraudă și corupție, care aduc atingere intereselor Uniunii. Membrii personalului sunt, de asemenea, obligați să raporteze cu privire la îndeplinirea sarcinilor profesionale care pot constitui o încălcare gravă a obligațiilor funcționarilor Uniunii. Această obligație este reglementată prin Decizia AESA 15-2018 a Consiliului de administrație din 14 decembrie 2018. |
|
(3) |
AESA a stabilit o politică de prevenire și soluționare eficace a cazurilor reale sau potențiale de hărțuire psihologică sau sexuală la locul de muncă, astfel cum se prevede în Decizia nr. 2008/180/A a directorului executiv AESA din 5 august 2009 prin care se adoptă măsuri de implementare conform regulamentelor privind personalul. |
|
(4) |
Decizia stabilește o procedură informală prin intermediul căreia declarata victimă a hărțuirii poate contacta consilierii „de încredere” ai AESA. |
|
(5) |
AESA poate, de asemenea să desfășoare anchete cu privire la eventualele încălcări ale normelor de securitate pentru informațiile UE clasificate („IUEC”), în conformitate cu Decizia AESA nr. 2020/010/ED a directorului executiv AESA din 17 februarie 2020 referitoare la regulile de securitate AESA cu privire la protecția informațiilor clasificate din Uniunea Europeană. |
|
(6) |
AESA face obiectul unor audituri interne și externe privind activitățile sale. |
|
(7) |
În contextul unor astfel de anchete administrative, audituri și investigații, AESA cooperează cu alte instituții, organe, oficii și agenții ale Uniunii. |
|
(8) |
AESA poate coopera cu autoritățile naționale și cu organizațiile internaționale din țările terțe la cererea lor sau din proprie inițiativă. |
|
(9) |
AESA poate coopera și cu autoritățile publice ale statelor membre ale UE, la cererea lor sau din proprie inițiativă. |
|
(10) |
AESA este implicată în cauzele prezentate în fața Curții de Justiție a Uniunii Europene în cazul în care fie sesizează Curtea, fie apără o decizie pe care a luat-o și care a fost contestată în fața Curții, fie intervine în cauze care sunt de competența sa. În acest context, AESA ar putea fi nevoită să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți. |
|
(11) |
AESA este împuternicită să desfășoare inspecții, alte activități de monitorizare și investigații în conformitate cu articolul 75 alineatul (2) litera (e) din Regulamentul (UE) 2018/1139. |
|
(12) |
AESA este împuternicită să desfășoare investigații de securitate IT interne sau cu implicare externă (de exemplu, CERT-EU), în conformitate cu articolul 75 alineatul (2) litera (d) din Regulamentul (UE) 2018/1139. |
|
(13) |
Responsabilul AESA cu protecția datelor („DPO”) este împuternicit să se ocupe de reclamațiile interne și externe și să desfășoare audituri și investigații interne, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725. |
|
(14) |
Pentru a-și îndeplini sarcinile, AESA colectează și prelucrează informații și mai multe categorii de date cu caracter personal, inclusiv datele de identificare ale persoanelor fizice, date de contact, roluri și sarcini profesionale, informații privind conduita și performanțele din viața privată și activitatea profesională, precum și date financiare. AESA acționează în calitate de operator de date. |
|
(15) |
Prin urmare, în temeiul Regulamentului (UE) 2018/1725, AESA este obligat să furnizeze persoanelor vizate informații cu privire la aceste activități de prelucrare și să le respecte drepturile în calitate de persoane vizate. |
|
(16) |
AESA ar putea fi obligat să reconcilieze aceste drepturi cu obiectivele anchetelor administrative, ale auditurilor, ale anchetelor și ale acțiunilor în justiție. De asemenea, ar putea fi obligat să asigure un echilibru între drepturile persoanei vizate și drepturile și libertățile fundamentale ale altor persoane vizate. În acest sens, articolul 25 din Regulamentul (UE) 2018/1725 îi conferă AESA posibilitatea de a restricționa, în condiții stricte, aplicarea articolelor 14-22, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20. Cu excepția cazului în care sunt prevăzute restricții într-un act juridic adoptat în temeiul tratatelor, trebuie adoptate norme interne în temeiul cărora AESA are dreptul să restricționeze aceste drepturi. |
|
(17) |
AESA ar putea, de exemplu, să fie nevoit să restricționeze informațiile pe care le furnizează unei persoane vizate cu privire la prelucrarea datelor sale personale în etapa de evaluare preliminară a unei anchete administrative sau în cadrul anchetei propriu-zise, înainte de o eventuală revocare a cazului sau în etapa predisciplinară. În anumite situații, furnizarea de asemenea informații poate afecta grav capacitatea AESA de a efectua o anchetă în mod eficace, de exemplu, dacă există riscul ca persoana în cauză să distrugă probe sau să ia legătura cu potențialii martori înainte de audierea acestora. AESA ar putea, de asemenea, să fie nevoit să protejeze drepturile și libertățile martorilor, precum și pe cele ale altor persoane implicate. |
|
(18) |
Ar putea fi necesar să se protejeze anonimatul unui martor sau al unui avertizor de integritate care a solicitat să nu fie identificat. Într-un asemenea caz, AESA ar putea decide să restricționeze accesul la identitatea, declarațiile și alte date personale ale acestor persoane, pentru a le proteja drepturile și libertățile. |
|
(19) |
Ar putea fi necesar să se protejeze informațiile confidențiale ale unui membru al personalului care a contactat persoanele de încredere din cadrul AESA, în contextul unei proceduri de hărțuire. Într-un astfel de caz, AESA ar putea fi nevoit să restricționeze accesul la identitatea, declarațiile și alte date personale ale presupusei victime, ale presupusului hărțuitor și ale altor persoane implicate, pentru a proteja drepturile și libertățile tuturor persoanelor implicate. |
|
(20) |
AESA ar trebui să aplice restricții numai dacă acestea respectă esența drepturilor și libertăților fundamentale, dacă sunt strict necesare și constituie o măsură proporțională într-o societate democratică. AESA ar trebui să prezinte motivele care să explice justificarea acestor restricții. |
|
(21) |
Conform principiului responsabilității, AESA trebuie să țină evidența aplicării restricțiilor. |
|
(22) |
Atunci când prelucrează date cu caracter personal transmise altor organizații în contextul sarcinilor care îi revin, AESA se consultă cu organizațiile respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor respective, cu excepția cazului în care acest lucru ar pune în pericol activitățile AEPD. |
|
(23) |
Articolul 25 alineatul (6) din Regulamentul (UE) 2018/1725 obligă operatorul să informeze persoanele vizate cu privire la principalele motive care stau la baza aplicării restricției și cu privire la dreptul lor de a depune o plângere la AEPD. |
|
(24) |
În temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, AESA poate amâna, omite sau refuza furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă aceasta ar anula efectul restricției. AESA trebuie să evalueze, de la caz la caz, dacă comunicarea restricției anulează efectul acesteia. |
|
(25) |
AESA trebuie să ridice restricția imediat ce condițiile care justifică restricția nu mai sunt valabile și să evalueze aceste condiții în mod regulat. |
|
(26) |
Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din Regulamentul (UE) 2018/1725, responsabilul cu protecția datelor trebuie să fie consultat în timp util cu privire la restricțiile care pot fi aplicate și să verifice respectarea dispozițiilor prezentei decizii. |
|
(27) |
Articolul 16 alineatul (5) și articolul 17 alineatul (4) din Regulamentul (UE) 2018/1725 prevăd excepții de la exercitarea de către persoanele vizate a dreptului la informare și a dreptului de acces. Dacă se aplică aceste excepții, AESA nu este nevoit să aplice o restricție în temeiul prezentei decizii, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Obiectul și domeniul de aplicare
(1) Prezenta decizie stabilește normele privind condițiile în care AESA poate restricționa aplicarea articolelor 4, 14-22, 35 și 36, în temeiul articolului 25 din Regulamentul (UE) 2018/1725.
(2) AESA, în calitate de operator, este reprezentată de directorul său executiv.
Articolul 2
Restricții
(1) AESA poate restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20:
|
(a) |
în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când desfășoară anchete administrative, proceduri predisciplinare sau disciplinare sau suspendări în temeiul articolului 86 și al anexei IX din Statutul funcționarilor Uniunii Europene și în temeiul Deciziei nr. 2011/216/E a directorului executiv AESA din 16 decembrie 2011, precum și atunci când notifică cazuri la OLAF; |
|
(b) |
în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când se asigură că membrii personalului AESA pot raporta faptele în mod confidențial, în cazul în care consideră că există nereguli grave, așa cum se prevede în Decizia 15-2018 a Consiliului de administrație AESA din 14 decembrie 2018; |
|
(c) |
în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când se asigură că membrii personalului AESA pot raporta persoanelor de încredere în contextul unei proceduri de hărțuire, așa cum se prevede în Decizia nr. 2008/180/A a directorului executiv AESA din 5 august 2009; |
|
(d) |
în temeiul articolului 25 alineatul (1) literele (b), (c), (d), (f), (g) și (h), atunci când efectuează investigații ale unor potențiale încălcări ale regulilor de securitate pentru informațiile clasificate din Uniunea Europeană („EUCI”), în baza Deciziei AESA nr. 2020/010/ED a directorului executiv AESA din 17 februarie 2020 referitoare la regulile de securitate AESA cu privire la protecția informațiilor clasificate din Uniunea Europeană; |
|
(e) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când efectuează audituri interne în legătură cu activitățile sau departamentele AESA; |
|
(f) |
în temeiul articolului 25 alineatul (1) literele (c), (d), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când acordă asistență altor instituții, organe, oficii și agenții ale Uniunii sau beneficiază de asistență din partea acestora sau cooperează cu acestea în contextul activităților prevăzute la literele (a)-(d) de la prezentul alineat și în temeiul acordurilor relevante privind nivelul serviciilor, al memorandumurilor de înțelegere și al acordurilor de cooperare; |
|
(g) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când acordă asistență autorităților naționale și organizațiilor internaționale din țări terțe sau beneficiază de asistență din partea acestora sau cooperează cu aceste autorități și organizații, la cererea lor sau din proprie inițiativă; |
|
(h) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când acordă și beneficiază de asistență din partea autorităților publice ale statelor membre ale UE și atunci când cooperează cu acestea, la cererea lor sau din proprie inițiativă; |
|
(i) |
în temeiul articolului 25 alineatul (1) litera (e) din Regulamentul (UE) 2018/1725, când prelucrează date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor desfășurate în fața Curții de Justiție a Uniunii Europene; |
|
(j) |
în temeiul articolului 25 aliniatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, când prelucrează date cu caracter personal pe parcursul efectuării de inspecții, alte activități de monitorizare și investigații în conformitate cu articolul 75 aliniatul (2) litera (e) din Regulamentul (UE) 2018/1139; |
|
(k) |
în temeiul articolului 25 aliniatul (1) literele (b), (c), (d), (f), (g) și (h) din Regulamentul (UE) 2018/1725, când prelucrează date cu caracter personal pe parcursul efectuării de inspecții de securitate IT interne sau cu implicare externă (de exemplu, CERT-EU), în conformitate cu articolul 75 aliniatul (2) litera (d) din Regulamentul (UE) 2018/1139. |
(2) În temeiul articolului 25 aliniatul (1) literele (b), (c), (f), (g) și (h) din Regulamentul (UE) 2018/1725, DPO poate restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4 în măsura în care prevederile lor corespund drepturilor și obligațiilor prevăzute la articolele 14-20, în cursul prelucrării reclamațiilor interne și externe și desfășurării de audituri interne și investigații în conformitate cu articolul 45 litera (2) din Regulamentul (UE) 2018/1725.
(3) Aceste restricții trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică.
(4) Înainte de aplicarea restricțiilor și după caz, se efectuează un test de necesitate și proporționalitate. Restricțiile se limitează la ceea ce este strict necesar pentru atingerea obiectivelor lor.
(5) În scopul asigurării răspunderii, AESA întocmește o evidență în care sunt descrise motivele care stau la baza restricțiilor aplicate, care anume dintre motivele enumerate la alineatul (1) se aplică și rezultatul testului de necesitate și proporționalitate. Evidența respectivă se introduce într-un registru, care este pus, la cerere, la dispoziția AEPD. AESA elaborează rapoarte periodice privind aplicarea articolului 25 din Regulamentul (UE) 2018/1725.
(6) Atunci când prelucrează date cu caracter personal primite de la alte organizații în contextul sarcinilor care îi revin, AESA se consultă cu organizațiile respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor vizate, cu excepția cazului în care acest lucru ar pune în pericol activitățile AESA.
Articolul 3
Riscurile pentru drepturile și libertățile persoanelor vizate
(1) Evaluările riscurilor pentru drepturile și libertățile persoanelor vizate de impunerea de restricții și detaliile referitoare la perioada de aplicare a acestor restricții se înregistrează în evidența activităților de prelucrare desfășurate de AESA în temeiul articolului 31 din Regulamentul (UE) 2018/1725. Acestea sunt înregistrate, de asemenea, în orice evaluare a impactului restricțiilor asupra protecției datelor, efectuată în temeiul articolului 39 din Regulamentul (UE) 2018/1725.
(2) La evaluarea necesității și proporționalității unei restricții, AESA ia în considerare riscurile potențiale pentru drepturile și libertățile persoanei vizate.
Articolul 4
Garanții și perioade de stocare
(1) AESA instituie garanții pentru a preveni abuzul sau accesul ilegal sau transferul de date cu caracter personal care fac sau ar putea face obiectul unor restricții. Astfel de garanții conțin măsuri tehnice și organizatorice, iar dacă este necesar, sunt prezentate în detaliu în deciziile interne, în procedurile și normele de punere în aplicare ale AESA. Garanțiile cuprind:
|
(a) |
o definire adecvată a rolurilor, responsabilităților și etapelor procedurale; |
|
(b) |
dacă este cazul, un mediu electronic securizat care să împiedice accesul la sau transferul ilegal și accidental al datelor electronice către persoane neautorizate; |
|
(c) |
dacă este cazul, păstrarea și procesarea securizată a documentelor pe hârtie; |
|
(d) |
monitorizarea corespunzătoare a restricțiilor și o revizuire periodică a aplicării lor. |
Revizuirile menționate la litera (d) se efectuează cel puțin o dată la șase luni.
(2) Restricțiile sunt ridicate imediat ce situațiile care le justifică nu mai sunt aplicabile.
(3) Datele cu caracter personal vor fi păstrate în conformitate cu normele aplicabile ale AESA privind păstrarea datelor, care urmează să fie definite în evidența privind protecția datelor ținută în conformitate cu articolul 31 din Regulamentul (UE) 2018/1725. La sfârșitul perioadei de păstrare, datele cu caracter personal sunt șterse, anonimizate sau transferate în arhive conform articolului 13 din Regulamentul (UE) 2018/1725.
Articolul 5
Implicarea responsabilului cu protecția datelor
(1) Responsabilul cu protecția datelor al AESA este informat fără întârzieri nejustificate ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta decizie. Acesta are acces la evidența asociată și la orice document referitor la contextul faptic sau juridic.
(2) Responsabilul cu protecția datelor al AESA poate solicita revizuirea aplicării restricției. AESA îl informează în scris pe responsabilul cu protecția datelor cu privire la rezultatul analizei.
(3) AESA documentează implicarea responsabilului cu protecția datelor în aplicarea restricțiilor, inclusiv informațiile care îi sunt comunicate.
Articolul 6
Informarea persoanelor vizate cu privire la restricționarea drepturilor
(1) AESA include în anunțurile privind protecția datelor publicate pe site-ul/intranetul său o secțiune în care persoanelor vizate li se furnizează informații generale cu privire la posibilitatea ca drepturile lor să fie restricționate în temeiul articolului 2 alineatul (1). Informațiile se referă la drepturile care pot fi restricționate, la motivele pentru care se pot aplica restricții și la durata potențială a acestora.
(2) AESA informează fiecare persoană vizată în parte, în scris și fără întârzieri nejustificate, cu privire la restricțiile prezente sau viitoare ale drepturilor lor. AESA informează persoana vizată cu privire la principalele motive care stau la baza aplicării restricției, la dreptul său de a se consulta cu responsabilul cu protecția datelor în vederea contestării restricției și la dreptul său de a depune o plângere la AEPD.
(3) AESA poate amâna, omite sau refuza furnizarea de informații privind motivele restricției și dreptul de a depune o plângere la AEPD, atâta timp cât aceasta ar anula efectul restricției. Evaluarea caracterului justificat al acestor măsuri se efectuează de la caz la caz. Imediat ce aceasta nu ar mai anula efectul restricției, AESA furnizează informațiile persoanei vizate.
Articolul 7
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal
(1) În cazul în care AESA are obligația de a comunica o încălcare a securității datelor în temeiul articolului 35 alineatul (1) din Regulamentul (UE) 2018/1725, acesta poate, în circumstanțe excepționale, să restricționeze integral sau parțial această comunicare. AESA trebuie să consemneze într-o notă motivele restricției, temeiul juridic al acesteia, în conformitate cu articolul 2, și o evaluare a necesității și proporționalității acesteia. Nota este comunicată la AEPD în momentul notificării încălcării securității datelor cu caracter personal.
(2) În cazul în care motivele restricției nu se mai aplică, AESA comunică persoanei vizate încălcarea securității datelor cu caracter personal și o informează cu privire la motivele principale ale restricției și cu privire la dreptul său de a depune o plângere la AEPD.
Articolul 8
Confidențialitatea comunicațiilor electronice
(1) În circumstanțe excepționale, AESA poate restricționa dreptul la confidențialitatea comunicațiilor electronice în temeiul articolului 36 din Regulamentul (UE) 2018/1725. Astfel de restricții sunt în conformitate cu Directiva 2002/58/CE a Parlamentului European și a Consiliului (4).
(2) În cazul în care AESA restricționează dreptul la confidențialitatea comunicațiilor electronice, acesta informează persoana vizată, în răspunsul său la o eventuală cerere a persoanei vizate, cu privire la principalele motive pe care se bazează aplicarea restricției și cu privire la dreptul său de a depune o plângere la AEPD.
(3) AESA poate amâna, omite sau refuza furnizarea de informații privind motivele restricției și dreptul de a depune o plângere la AEPD, atâta timp cât aceasta ar anula efectul restricției. Evaluarea caracterului justificat al acestor măsuri se efectuează de la caz la caz.
Articolul 9
Intrarea în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Varșovia, 21 octombrie 2020.
Piotr SAMSON
Președintele Consiliului de administrație
(1) JO L 295, 21.11.2018, p. 39.
(2) JO L 212, 22.8.2018, p. 1.
(3) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(4) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).