DECIZIA (UE) 2022/722 A CONSILIULUI

din 5 aprilie 2022

de autorizare a statelor membre să semneze, în interesul Uniunii Europene, cel de Al doilea protocol adițional la Convenția privind criminalitatea informatică referitor la cooperarea consolidată și la divulgarea probelor electronice

CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 și articolul 82 alineatul (1), coroborate cu articolul 218 alineatul (5),

având în vedere propunerea Comisiei Europene,

întrucât:

(1)	La 6 iunie 2019, Consiliul a autorizat Comisia să participe, în numele Uniunii, la negocierile privind Al doilea protocol adițional la Convenția Consiliului Europei privind criminalitatea informatică (CETS nr. 185) (denumită în continuare „Convenția privind criminalitatea informatică”).

(2)

Al doilea protocol adițional la Convenția privind criminalitatea informatică referitor la cooperarea consolidată și la divulgarea probelor electronice (denumit în continuare „protocolul”) a fost adoptat de Comitetul de Miniștri al Consiliului Europei la 17 noiembrie 2021 și se preconizează că acesta va fi deschis spre semnare la 12 mai 2022.

(3)

Dispozițiile protocolului se încadrează într-un domeniu reglementat în mare măsură de norme comune în înțelesul articolului 3 alineatul (2) din Tratatul privind funcționarea Uniunii Europene (TFUE), inclusiv instrumente care facilitează cooperarea judiciară în materie penală și care asigură standarde minime privind drepturile procedurale, precum și protecția datelor și a vieții private.

(4)

De asemenea, Comisia a prezentat propuneri legislative referitoare la un regulament privind ordinele europene de divulgare și de păstrare a probelor electronice în materie penală și la o directivă de stabilire a unor norme armonizate privind desemnarea reprezentanților legali în scopul obținerii de probe în cadrul procedurilor penale, prin care se introduc ordinele europene obligatorii transfrontaliere de divulgare și de păstrare a probelor electronice care trebuie adresate direct unui reprezentant al unui prestator de servicii dintr-un alt stat membru.

(5)	Prin participarea sa la negocierile privind protocolul, Comisia a asigurat compatibilitatea acestuia cu normele comune relevante ale Uniunii.

(6)

O serie de rezerve, declarații, notificări și comunicări în legătură cu protocolul sunt necesare pentru a asigura compatibilitatea protocolului cu dreptul și politicile Uniunii. Altele sunt relevante pentru asigurarea aplicării uniforme a protocolului de către statele membre ale Uniunii care sunt părți la protocol (denumite în continuare „statele membre părți”) în relația acestora cu țările terțe care sunt părți la protocol (denumite în continuare „țările terțe părți”), precum și pentru asigurarea aplicării efective a protocolului.

(7)

Rezervele, declarațiile, notificările și comunicările pe baza cărora le sunt oferite orientări statelor membre în anexa la prezenta decizie nu aduc atingere niciunei alte rezerve sau declarații pe care statele membre ar putea dori să o facă în mod individual, în cazul în care protocolul permite acest lucru.

(8)	Statele membre care nu formulează la momentul semnării rezerve, declarații, notificări și comunicări în conformitate cu anexa la prezenta decizie ar trebui să procedeze astfel atunci când depun instrumentul lor de ratificare, acceptare sau aprobare a protocolului.

(9)	După semnarea, ratificarea, acceptarea sau aprobarea protocolului, statele membre ar trebui, în plus, să respecte indicațiile prevăzute în anexa la prezenta decizie.

(10)

Protocolul prevede proceduri rapide care îmbunătățesc accesul transfrontalier la probele electronice și un nivel ridicat de garanții. Prin urmare, intrarea sa în vigoare va contribui la combaterea criminalității informatice și a altor forme de criminalitate la nivel mondial prin facilitarea cooperării dintre statele membre părți și țările terțe părți, va asigura un nivel ridicat de protecție a persoanelor și va soluționa conflictele de legi.

(11)

Protocolul prevede garanții adecvate în concordanță cu cerințele privind transferurile internaționale de date cu caracter personal în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (1) și al Directivei (UE) 2016/680 a Parlamentului European și a Consiliului (2). Prin urmare, intrarea sa în vigoare va contribui la promovarea standardelor Uniunii în materie de protecție a datelor la nivel mondial, va facilita fluxurile de date între statele membre părți și țările terțe părți și va asigura respectarea de către statele membre părți a obligațiilor care le revin în temeiul normelor Uniunii privind protecția datelor.

(12)	Intrarea rapidă în vigoare a protocolului va confirma, de asemenea, rolul Convenției privind criminalitatea informatică ca principal cadru multilateral pentru combaterea criminalității informatice.

(13)	Uniunea nu poate semna protocolul, deoarece numai statele pot fi părți la acesta.

(14)	Prin urmare, statele membre ar trebui să fie autorizate să semneze protocolul, acționând împreună în interesul Uniunii.

(15)	Statele membre sunt încurajate să semneze protocolul în timpul ceremoniei de semnare sau cât mai curând posibil după aceasta.

(16)	Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (3) și a emis un aviz la 21 ianuarie 2022.

(17)

În conformitate cu articolele 1 și 2 din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană (TUE) și la TFUE, și fără a aduce atingere articolului 4 din protocolul respectiv, Irlanda nu participă la adoptarea prezentei decizii, aceasta nu este obligatorie pentru respectivul stat membru și nu i se aplică.

(18)	În conformitate cu articolele 1 și 2 din Protocolul nr. 22 privind poziția Danemarcei, anexat la TUE și la TFUE, Danemarca nu participă la adoptarea prezentei decizii, aceasta nu este obligatorie pentru respectivul stat membru și nu i se aplică.

(19)	Versiunile autentice ale protocolului sunt versiunile în limbile engleză și franceză ale textului, adoptate de Comitetul de Miniștri al Consiliului Europei la 17 noiembrie 2021,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Statele membre sunt autorizate să semneze, în interesul Uniunii, cel de Al doilea protocol adițional la Convenția privind criminalitatea informatică referitor la cooperarea consolidată și la divulgarea probelor electronice (denumit în continuare „protocolul”) (4).

Articolul 2

(1) La momentul semnării protocolului, statele membre pot formula rezerve, declarații, notificări sau comunicări în conformitate cu secțiunile 1-3 din anexa la prezenta decizie.

(2) Statele membre semnatare ale protocolului care nu formulează la momentul semnării protocolului rezerve, declarații, notificări sau comunicări, astfel cum sunt menționate la alineatul (1), procedează astfel atunci când depun instrumentul lor de ratificare, acceptare sau aprobare a protocolului.

(3) După semnarea, ratificarea, acceptarea sau aprobarea protocolului, statele membre respectă, de asemenea, indicațiile prevăzute în secțiunea 4 din anexa la prezenta decizie.

Articolul 3

Prezenta decizie intră în vigoare la data adoptării.

Articolul 4

Prezenta decizie se publică în Jurnalul Oficial al Uniunii Europene.

Articolul 5

Prezenta decizie se adresează statelor membre.

Adoptată la Luxemburg, 5 aprilie 2022.

Pentru Consiliu

Președintele

B. LE MAIRE

(1) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(2) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).

(3) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(4) Textul protocolului se publică împreună cu decizia de autorizare a ratificării acestuia.

ANEXĂ

Prezenta anexă prevede rezervele, declarațiile, notificările, comunicările și indicațiile menționate la articolul 2.

1. Rezerve

În temeiul articolului 19 alineatul (1) din protocol o parte poate să declare că recurge la una sau mai multe dintre rezervele prevăzute în anumite articole din protocol.

În temeiul articolului 7 alineatul (9) litera (a) din protocol o parte poate să își rezerve dreptul de a nu aplica articolul 7 (Divulgarea informațiilor referitoare la abonați). Statele membre se abțin să formuleze o astfel de rezervă.

În temeiul articolului 7 alineatul (9) litera (b) din protocol o parte poate, sub rezerva condițiilor prevăzute la litera respectivă, să își rezerve dreptul de a nu aplica articolul 7 anumitor tipuri de numere de acces. Statele membre pot să formuleze o astfel de rezervă doar în ceea ce privește alte numere de acces decât cele necesare exclusiv identificării utilizatorului.

În temeiul articolului 8 alineatul (13) din protocol o parte poate să își rezerve dreptul de a nu aplica articolul 8 (Punerea în aplicare a ordinelor emise de o altă parte pentru prezentarea accelerată a informațiilor referitoare la abonați și a datelor privind traficul) datelor privind traficul. Statele membre sunt încurajate să se abțină de la formularea unei astfel de rezerve.

În cazul în care articolul 19 alineatul (1) reprezintă un temei pentru alte rezerve, statele membre sunt autorizate să aibă în vedere și să formuleze astfel de rezerve.

2. Declarații

În temeiul articolului 19 alineatul (2) din protocol o parte poate să formuleze declarațiile identificate în anumite articole din protocol.

În temeiul articolului 7 alineatul (2) litera (b) o parte poate să formuleze următoarea declarație în ceea ce privește ordinele adresate prestatorilor de servicii de pe teritoriul său:

„Ordinul prevăzut la articolul 7 alineatul (1) trebuie emis de un procuror sau de o altă autoritate judiciară sau sub supravegherea unui procuror sau a unei alte autorități judiciare sau, în caz contrar, trebuie să fie emis sub supraveghere independentă.”

Statele membre formulează declarația prevăzută la al doilea paragraf de la prezenta secțiune, în ceea ce privește ordinele adresate prestatorilor de servicii de pe teritoriul lor.

În temeiul articolului 9 (Divulgarea accelerată în situații de urgență a datelor informatice stocate) alineatul (1) litera (b) din protocol o parte poate să declare că nu va executa cererile prevăzute la alineatul (1) litera (a) din articolul respectiv care vizează numai divulgarea datelor privind abonații. Statele membre sunt încurajate să se abțină de la a formula o astfel de declarație.

În cazul în care articolul 19 alineatul (2) reprezintă un temei pentru alte declarații, statele membre sunt autorizate să aibă în vedere și să formuleze astfel de declarații.

3. Declarații, notificări sau comunicări

În temeiul articolului 19 alineatul (3) din protocol o parte formulează orice declarații, notificări sau comunicări identificate în anumite articole din protocol în conformitate cu condițiile specificate la alineatul respectiv.

În temeiul articolului 7 alineatul (5) litera (a) din protocol o parte poate să notifice Secretarului General al Consiliului Europei faptul că, atunci când se emite în temeiul alineatului (1) din articolul menționat un ordin adresat unui prestator de servicii care își desfășoară activitatea pe teritoriul său, partea respectivă solicită, în fiecare caz sau în circumstanțe identificate, notificarea simultană a ordinului, a informațiilor suplimentare și a unui rezumat al faptelor legate de anchetă sau de procedură. Prin urmare, statele membre transmit Secretarului General al Consiliului Europei următoarea notificare:

„Atunci când se emite, în temeiul articolului 7 alineatului (1), un ordin adresat unui prestator de servicii care își desfășoară activitatea pe teritoriul [statului membru], [statul membru] solicită în toate cazurile notificarea simultană a ordinului, a informațiilor suplimentare și a unui rezumat al faptelor legate de anchetă sau de procedură.”

În conformitate cu articolul 7 alineatul (5) litera (e) din protocol, statele membre desemnează o autoritate competentă unică care să primească notificarea prevăzută la articolul 7 alineatul (5) litera (a) din protocol și să efectueze acțiunile descrise la articolul 7 alineatul (5) literele (b), (c) și (d) din protocol și, atunci când notificarea Secretarului General al Consiliului Europei în temeiul articolul 7 alineatul (5) litera (a) este efectuată în prealabil, comunică Secretarului General al Consiliului Europei datele de contact ale autorității respective.

În temeiul articolului 8 alineatul (4) din protocol o parte poate să declare că sunt necesare informații justificative suplimentare pentru a da curs ordinelor prevăzute la alineatul (1) din articolul respectiv. Prin urmare, statele membre formulează următoarea declarație:

„Pentru a da curs ordinelor prevăzute la articolul 8 alineatul (1), sunt necesare informații justificative suplimentare. Aceste informații vor depinde de circumstanțele legate de ordin, precum și de ancheta sau procedura conexă.”

În conformitate cu articolul 8 alineatul (10) literele (a) și (b) din protocol, statele membre comunică și actualizează datele de contact ale autorităților desemnate pentru a transmite un ordin în temeiul articolului 8 și, respectiv, ale autorităților desemnate să primească un ordin în temeiul articolului 8. Statele membre care participă la cooperarea consolidată instituită prin Regulamentul (UE) 2017/1939 al Consiliului (1), care pune în aplicare o formă de cooperare consolidată în ceea ce privește instituirea Parchetului European („EPPO”), includ EPPO, în limitele exercitării competențelor sale, astfel cum sunt prevăzute la articolele 22, 23 și 25 din regulamentul respectiv, printre autoritățile care fac obiectul comunicării în temeiul articolului 8 alineatul (10) literele (a) și (b) din protocol și fac acest lucru în mod coordonat.

Prin urmare statele membre formulează următoarea declarație:

„În conformitate cu articolul 8 alineatul (10), [statul membru], în calitate de stat membru al Uniunii Europene care participă la cooperarea consolidată în ceea ce privește instituirea Parchetului European (EPPO), desemnează EPPO, în exercitarea competențelor sale, astfel cum sunt prevăzute la articolele 22, 23 și 25 din Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO), drept autoritate competentă.”

În conformitate cu articolul 14 alineatul (7) litera (c) din protocol, statele membre comunică Secretarului General al Consiliului Europei autoritatea sau autoritățile care trebuie notificate în temeiul articolului 14 alineatul (7) litera (b) din protocol, în scopul capitolului II, secțiunea 2 din protocol, în legătură cu un incident de securitate.

În conformitate cu articolul 14 alineatul (10) litera (b) din protocol, statele membre comunică Secretarului General al Consiliului Europei autoritatea sau autoritățile care acordă autorizația în scopul capitolului II, secțiunea 2 din protocol, în ceea ce privește transferul ulterior al datelor primite în temeiul protocolului către un alt stat sau o organizație internațională.

În cazul în care articolul 19 alineatul (3) din protocol reprezintă un temei pentru alte declarații, notificări sau comunicări, statele membre sunt autorizate să aibă în vedere și să formuleze astfel de declarații, notificări sau comunicări.

4. Alte indicații

Statele membre care participă la cooperarea consolidată instituită prin Regulamentul (UE) 2017/1939 se asigură că EPPO poate, în exercitarea competențelor sale, astfel cum sunt prevăzute la articolele 22, 23 și 25 din regulamentul respectiv, să solicite cooperarea în temeiul protocolului în același mod ca și procurorii naționali ai statelor membre respective.

În ceea ce privește aplicarea articolului 7, în special cu privire la anumite tipuri de numere de acces, statele membre pot supune un ordin în temeiul articolului respectiv controlului unui procuror sau al unei alte autorități judiciare atunci când autoritatea lor competentă primește o notificare simultană a ordinului înainte de divulgarea informațiilor solicitate de către prestator.

În conformitate cu articolul 14 alineatul (11) litera (c) din protocol, statele membre se asigură că, atunci când transferă date în scopul protocolului, partea destinatară este informată privind obligația din cadrul lor juridic intern de a informa în mod personal persoana ale cărei date sunt furnizate.

În ceea ce privește transferurile internaționale efectuate în temeiul Acordului dintre Statele Unite ale Americii și Uniunea Europeană privind protecția informațiilor cu caracter personal în ceea ce privește prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor (2) (denumit în continuare „acordul-cadru”), statele membre comunică autorităților competente din Statele Unite, în sensul articolului 14 alineatul (1) litera (b) din protocol, faptul că acordul-cadru se aplică transferurilor reciproce de date cu caracter personal efectuate în temeiul protocolului între autoritățile competente. Cu toate acestea, statele membre țin seama de faptul că acordul-cadru ar trebui completat cu garanții suplimentare care să țină seama de cerințele unice ale transferului de probe electronice efectuat direct de către prestatorii de servicii față de transferul la nivel de autorități astfel cum se prevede în protocol. Prin urmare, statele membre transmit autorităților competente din Statele Unite următoarea comunicare:

„În sensul articolului 14 alineatul (1) litera (b) din Al doilea protocol adițional la Convenția Consiliului Europei privind criminalitatea informatică, (denumit în continuare «protocolul»), [statul membru] consideră că Acordul dintre Statele Unite ale Americii și Uniunea Europeană privind protecția informațiilor cu caracter personal în ceea ce privește prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor (denumit în continuare «acordul-cadru») se aplică transferurilor reciproce de date cu caracter personal efectuate în temeiul protocolului între autoritățile competente. În ceea ce privește transferurile dintre prestatorii de servicii și autorități în temeiul protocolului, acordul-cadru se aplică numai în combinație cu o altă înțelegere specifică în înțelesul articolului 3 alineatul (1) din acordul-cadru care abordează cerințele unice ale transferului de probe electronice efectuat direct de către prestatorii de servicii, mai degrabă decât între autorități. În absența unui astfel de acord specific de transfer, astfel de transferuri pot avea loc în temeiul protocolului, caz în care se aplică articolul 14 alineatul (1) litera (a) coroborat cu articolul 14 alineatele (2)-(15) din protocol.”

Statele membre se asigură că aplică articolul 14 alineatul (1) litera (c) din protocol numai în cazul în care Comisia Europeană a adoptat, în temeiul articolului 45 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (3) sau al articolului 36 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (4), o decizie privind caracterul adecvat al nivelului de protecție asigurat de țara terță în cauză care se referă la respectivele transferuri de date sau în temeiul unui alt acord care asigură garanții adecvate privind protecția datelor în temeiul articolului 46 alineatul (2) litera (a) din Regulamentul (UE) 2016/679 sau al articolului 37 alineatul (1) litera (a) din Directiva (UE) 2016/680.

(1) Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO) (JO L 283, 31.10.2017, p. 1).

(2) JO L 336, 10.12.2016, p. 3.

(3) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(4) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).