COMISIA EUROPEANĂ
Bruxelles, 11.5.2023
COM(2023) 244 final
2023/0143(COD)
Propunere de
REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
de modificare a Deciziei 2009/917/JAI a Consiliului în ceea ce privește alinierea acesteia la normele Uniunii privind protecția datelor cu caracter personal
EXPUNERE DE MOTIVE
1.CONTEXTUL PROPUNERII
•Motivele și obiectivele propunerii
Directiva (UE) 2016/680 1 [Directiva privind protecția datelor în materie de asigurare a respectării legii – Data Protection Law Enforcement Directive (LED)] a intrat în vigoare la 6 mai 2016, iar statele membre au avut termen până la 6 mai 2018 pentru a o transpune în legislația națională. Directiva menționată anterior a abrogat și a înlocuit Decizia-cadru 2008/977/JAI a Consiliului 2 , fiind însă un instrument mult mai cuprinzător de protecție a datelor cu caracter personal. În principal, directiva menționată anterior se aplică atât prelucrării interne, cât și prelucrării transfrontaliere a datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor și al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora [articolul 1 alineatul (1)].
Articolul 62 alineatul (6) din LED prevede obligația Comisiei de a revizui, până la 6 mai 2019, alte acte juridice ale UE care reglementează prelucrarea datelor cu caracter personal de către autoritățile competente în scopul aplicării legii pentru a evalua necesitatea de a le alinia la LED și, după caz, de a face propuneri de modificare a acestora pentru a asigura coerența în ceea ce privește protecția datelor cu caracter personal care intră în domeniul de aplicare al LED.
Comisia și-a prezentat rezultatele revizuirii în comunicarea intitulată „Calea de urmat pentru alinierea acquis-ului din fostul al treilea pilon la normele privind protecția datelor” (24 iunie 2020) 3 , care menționa zece acte juridice care ar trebui aliniate la LED. Printre aceste acte se număra Decizia 2009/917/JAI a Consiliului privind utilizarea tehnologiei informației în domeniul vamal 4 .
Propunerea urmărește să alinieze normele privind protecția datelor din Decizia 2009/917/JAI a Consiliului la principiile și normele stabilite în LED pentru a asigura un cadru solid și coerent în materie de protecție a datelor cu caracter personal în Uniune.
•Coerența cu dispozițiile existente în domeniul de politică vizat
Sistemul de informații al vămilor (SIV) instituit în temeiul Deciziei 2009/917/JAI a Consiliului este un sistem de informații automat care răspunde necesităților vamale, având obiectivul de a ajuta la prevenirea, investigarea și urmărirea penală a încălcărilor grave ale legislațiilor naționale, printr-o mai rapidă difuzare a informațiilor și de a spori eficacitatea administrațiilor vamale. Propunerea urmărește să alinieze normele privind protecția datelor din Decizia 2009/917/JAI a Consiliului la principiile și normele stabilite în LED pentru a asigura un cadru solid și coerent în materie de protecție a datelor cu caracter personal în Uniune.
•Coerența cu alte politici ale Uniunii
Nu se aplică.
2.TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE
•Temei juridic
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal constituie un drept fundamental, consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”).
Propunerea are la bază articolul 16 alineatul (2) din Tratatul privind funcționarea Uniunii Europene (TFUE), care este temeiul juridic cel mai adecvat, deoarece atât obiectivul, cât și conținutul modificării propuse se limitează în mod clar la protecția datelor cu caracter personal.
Articolul 16 alineatul (2) din TFUE permite adoptarea unor norme privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente din statele membre atunci când acestea desfășoară activități de prevenire, investigare, depistare sau urmărire penală a infracțiunilor sau de executare a sancțiunilor penale care intră în domeniul de aplicare al dreptului UE. Articolul menționat anterior permite, de asemenea, adoptarea de norme privind libera circulație a datelor cu caracter personal, inclusiv pentru schimburile de date cu caracter personal efectuate de autoritățile competente în cadrul UE.
În conformitate cu articolul 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la TUE și la TFUE, Danemarca nu va avea obligații în temeiul normelor stabilite pe baza articolului 16 din TFUE care se referă la prelucrarea datelor cu caracter personal atunci când se desfășoară activități care intră în domeniul de aplicare al părții a treia titlul IV capitolele 4 și 5 din TFUE. Prin urmare, Danemarca nu va avea obligații în temeiul regulamentului propus în prezent și va continua să aplice decizia Consiliului în forma sa actuală, și anume fără modificările propuse în prezent.
Aceasta înseamnă, printre altele, că autoritatea comună de control menționată la articolul 25 din decizia Consiliului va continua să existe în mod formal numai în ceea ce privește Danemarca. Totodată, ca urmare a propunerii de eliminare a articolului respectiv și a propunerii de modificare a articolului 26 care introduce modelul de supraveghere coordonată prevăzut la articolul 62 din Regulamentul (UE) 2018/1725, menținerea autorității menționate anterior nu are niciun efect în ceea ce privește celelalte state membre sau Sistemul de informații al vămilor. Întrucât prezenta propunere se limitează la alinierea deciziei Consiliului la LED, acest rezultat este consecința inevitabilă a exercițiului de aliniere prevăzut în temeiul LED și a constrângerilor care decurg din Protocolul nr. 22. Atunci când, în viitor, se va justifica o evaluare mai amplă a deciziei Consiliului, Comisia va reexamina această chestiune.
În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, Irlanda nu are obligații în temeiul normelor stabilite pe baza articolului 16 din TFUE, în măsura în care Irlandei nu îi revin obligații în temeiul normelor privind formele de cooperare judiciară în materie penală sau de cooperare polițienească care necesită respectarea dispozițiilor stabilite pe baza articolului 16 din TFUE. Întrucât Irlanda participă la Decizia 2009/917/JAI a Consiliului, Irlanda va participa, prin urmare, și la adoptarea prezentei propuneri.
•Subsidiaritate (în cazul competențelor neexclusive)
Obiectul prezentului regulament intră în sfera de competență exclusivă a Uniunii, deoarece numai Uniunea poate adopta norme care reglementează prelucrarea datelor cu caracter personal de către autoritățile competente în scopul aplicării legii. Numai Uniunea poate alinia actele UE la normele prevăzute în LED. Prin urmare, numai Uniunea poate adopta un act legislativ de modificare a Deciziei 2009/917/JAI.
•Proporționalitate
Propunerea se limitează la ceea ce este necesar pentru a alinia Decizia 2009/917/JAI la legislația Uniunii privind protecția datelor cu caracter personal (LED), fără a modifica în vreun fel domeniul de aplicare al deciziei Consiliului. Propunerea nu depășește ceea ce este necesar pentru realizarea obiectivelor urmărite, în conformitate cu articolul 5 alineatul (4) din Tratatul privind Uniunea Europeană.
•Alegerea instrumentului
Scopul propunerii este modificarea unei decizii a Consiliului, care a fost adoptată înainte de intrarea în vigoare a Tratatului de la Lisabona în 2009. Dispozițiile relevante ale Deciziei 2009/917/JAI a Consiliului care instituie Sistemul de informații al vămilor și care stabilesc normele de funcționare și utilizare a sistemului sunt direct aplicabile.
Prin urmare, instrumentul cel mai adecvat pentru modificarea deciziei Consiliului menționate anterior în temeiul articolului 16 alineatul (2) din TFUE este un regulament al Parlamentului European și al Consiliului.
3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI
•Evaluările ex post/verificarea adecvării legislației existente
Propunerea este urmarea rezultatelor revizuirii efectuate de Comisie în temeiul articolului 62 alineatul (6) din LED, astfel cum sunt prezentate în Comunicarea din 2020 intitulată „Calea de urmat pentru alinierea acquis-ului din fostul al treilea pilon la normele privind protecția datelor”. Comunicarea enumeră șase puncte specifice cu privire la care este necesară alinierea Deciziei 2009/917/JAI a Consiliului la LED, și anume:
–în legătură cu „încălcările grave” cărora li se aplică decizia Consiliului;
–clarificarea condițiilor de colectare și înregistrare a datelor cu caracter personal și instituirea obligației ca datele cu caracter personal să poată să fie introduse în SIV numai în cazul în care există motive întemeiate, în special pe baza unor activități ilegale anterioare, care sugerează că persoana respectivă a comis sau că este în curs de a comite ori că va comite o infracțiune;
–introducerea unor cerințe suplimentare referitoare la securitatea prelucrării, aliniind lista măsurilor de securitate necesare la articolul 29 din LED, și anume prin adăugarea unor cerințe privind restabilirea, fiabilitatea și integritatea sistemului;
–restricționarea prelucrării ulterioare a datelor înregistrate în SIV în alte scopuri decât cele pentru care au fost colectate datele cu caracter personal, astfel încât prelucrarea ulterioară să poată avea loc numai în condițiile prevăzute de LED;
–condiționarea prelucrării datelor cu caracter personal în temeiul Deciziei 2009/917/JAI a Consiliului de respectarea modelului de supraveghere coordonată prevăzut la articolul 62 din Regulamentul (UE) 2018/1725 5 . Decizia Consiliului este singurul act juridic care mai prevede că supravegherea prelucrării datelor cu caracter personal se efectuează de către autoritatea comună de control, care a devenit caducă;
–actualizarea trimiterii generale la Decizia-cadru 2008/977/JAI a Consiliului prin trimiterea la aplicabilitatea LED. Ar trebui să se elimine, pe motiv că este depășită și caducă, orice dispoziție care se suprapune cu LED (cum ar fi definițiile sau dispozițiile privind drepturile persoanelor vizate sau existența unei căi de atac în justiție și a răspunderii juridice). Ar trebui să se actualizeze trimiterile la dispozițiile specifice din Deciziacadru 2008/977/JAI a Consiliului cu trimiteri corespunzătoare specifice la LED.
Propunerea se limitează la ceea ce este necesar pentru a aborda punctele de mai sus.
•Consultările cu părțile interesate
Nu se aplică.
•Obținerea și utilizarea expertizei
În cadrul revizuirii sale în temeiul articolului 62 alineatul (6) din LED, Comisia a luat în considerare un studiu realizat în cadrul proiectului-pilot intitulat „Analiza respectării drepturilor fundamentale de către instrumentele și programele UE de colectare a datelor” 6 . Studiul a cartografiat actele Uniunii care intră sub incidența articolului 62 alineatul (6) din LED și a identificat dispoziții care ar putea necesita alinierea în ceea ce privește aspectele legate de protecția datelor.
•Evaluarea impactului
Impactul prezentei propuneri se limitează la prelucrarea datelor cu caracter personal de către autoritățile competente în cazurile specifice reglementate de Decizia 2009/917/JAI a Consiliului. Impactul noilor obligații care decurg din LED a fost evaluat în contextul lucrărilor pregătitoare pentru LED. Astfel, este inutil să se efectueze în mod expres o evaluare a impactului pentru prezenta propunere.
•Adecvarea reglementărilor și simplificarea
Propunerea nu face parte din Programul privind o reglementare adecvată și funcțională (REFIT).
•Drepturile fundamentale
Dreptul la protecția datelor cu caracter personal este prevăzut la articolul 8 din cartă și la articolul 16 din TFUE. Așa cum a subliniat Curtea de Justiție a Uniunii Europene 7 , dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția sa în societate 8 . De asemenea, protecția datelor cu caracter personal este strâns legată de respectarea vieții private și a celei de familie, protejată prin articolul 7 din cartă.
Prezenta propunere garantează că orice prelucrare a datelor cu caracter personal în temeiul Deciziei 2009/917/JAI a Consiliului face obiectul principiilor și normelor „orizontale” din cadrul legislației UE privind protecția datelor cu caracter personal, consolidând astfel punerea în aplicare a articolului 8 din cartă. Legislația UE menționată anterior are scopul de a asigura un nivel ridicat de protecție a datelor cu caracter personal. Clarificarea faptului că normele LED se aplică prelucrării datelor cu caracter personal în temeiul deciziei Consiliului, precum și precizarea modului în care normele respective se aplică vor avea un impact pozitiv în ceea ce privește drepturile fundamentale privind protecția vieții private și a datelor cu caracter personal.
4.IMPLICAȚIILE BUGETARE
Nu se aplică.
5.ALTE ELEMENTE
•Planuri de punere în aplicare și modalități de monitorizare, evaluare și raportare
Nu se aplică.
•Explicații detaliate cu privire la dispozițiile specifice ale propunerii
Articolul 1 identifică dispozițiile relevante ale Deciziei 2009/917/JAI a Consiliului care trebuie modificate pe baza revizuirii efectuate de Comisie în temeiul articolului 62 alineatul (6) din LED și prezentate în comunicarea sa din 2020. Aceste dispoziții sunt următoarele:
·articolul 1 – alineatul (2) se modifică pentru a înlocui conceptul de „încălcări grave ale legislațiilor naționale” cu trimiterea la „infracțiuni prevăzute de legislațiile naționale”, astfel încât să crească gradul de claritate, asigurând în același timp alinierea la LED;
·articolul 2 – punctul 2 privind definiția „datelor cu caracter personal” se elimină, deoarece se aplică definiția datelor cu caracter personal de la articolul 3 punctul 1 din LED;
·articolul 3 – alineatul (2) se modifică pentru a clarifica rolurile Comisiei și, respectiv, ale statelor membre în ceea ce privește datele cu caracter personal. Se introduce, de asemenea, un considerent în acest scop;
·articolul 4 – alineatul (5) este actualizat pentru a înlocui trimiterea la lista anumitor categorii de date cu caracter personal care nu pot fi introduse în sistem în temeiul Deciziei-cadru 2008/977/JAI cu o trimitere la lista corespunzătoare în temeiul LED;
·articolul 5 – alineatul (2) este actualizat pentru a clarifica condițiile de colectare și înregistrare a datelor cu caracter personal și a institui obligația ca datele cu caracter personal să poată fi introduse în SIV numai în cazul în care există motive întemeiate, în special pe baza unor activități ilegale anterioare, care sugerează că persoana respectivă a comis sau că este în curs de a comite ori că va comite una din infracțiunile prevăzute de actele legislative naționale vizate;
·articolul 7 – alineatul (3) este actualizat pentru a se clarifica condițiile în care accesul la SIV al organizațiilor internaționale sau regionale poate fi permis în temeiul LED;
·articolul 8 – alineatul (1) este actualizat pentru a restricționa prelucrarea ulterioară a datelor cu caracter personal înregistrate în SIV, în conformitate cu principiul limitării scopului, astfel cum este reglementat în LED. La același alineat se clarifică, de asemenea, condițiile în care datele fără caracter personal pot fi prelucrate în alte scopuri. Alineatul (4) este reformulat pentru a clarifica condițiile în care pot avea loc transmiterile și transferurile internaționale de date cu caracter personal și de date fără caracter personal;
·articolul 14 privind păstrarea datelor cu caracter personal este actualizat pentru a introduce o perioadă maximă de păstrare în conformitate cu articolul 4 alineatul (1) litera (e) din LED și pentru a simplifica procedura anterioară. De asemenea, se introduce un considerent pentru a explica mai în detaliu motivele care stau la baza acestei actualizări;
·articolul 15 – alineatul (3) este înlocuit pentru a alinia conceptul de „încălcări grave ale legislațiilor naționale” cu trimiterea la „infracțiuni prevăzute de legislațiile naționale”, astfel cum s-a introdus la noul alineat (2) de la articolul 1;
·articolul 20 – acest articol se înlocuiește pentru a actualiza trimiterea generală la Decizia-cadru 2008/977/JAI cu trimiterea la LED;
·articolul 22 privind drepturile de acces, de rectificare, de ștergere sau de blocare se elimină întrucât dispozițiile sunt depășite și caduce;
·articolul 23 privind drepturile persoanelor vizate la nivel național se elimină întrucât dispozițiile sunt depășite și caduce;
·articolul 24 privind desemnarea uneia sau mai multor autorități naționale de supraveghere se elimină întrucât dispozițiile sunt depășite și caduce;
·articolul 25 privind înființarea unei autorități comune de control se elimină întrucât dispozițiile sunt depășite și caduce;
·articolul 26 – acest articol este actualizat astfel încât prelucrarea datelor cu caracter personal să intre sub incidența modelului de supraveghere coordonată prevăzut la articolul 62 din Regulamentul (UE) 2018/1725;
·articolul 28 – alineatul (2) se modifică pentru a prevedea cerințe suplimentare referitoare la securitatea prelucrării, aliniind lista măsurilor de securitate necesare la articolul 29 din LED, și anume prin adăugarea unor cerințe privind restabilirea, fiabilitatea și integritatea sistemului;
·articolul 30 – alineatul (1) se elimină întrucât dispozițiile sunt depășite și caduce.
Articolul 2 stabilește data intrării în vigoare a prezentului regulament.
2023/0143 (COD)
Propunere de
REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
de modificare a Deciziei 2009/917/JAI a Consiliului în ceea ce privește alinierea acesteia la normele Uniunii privind protecția datelor cu caracter personal
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2),
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naționale,
hotărând în conformitate cu procedura legislativă ordinară,
întrucât:
(1)Directiva (UE) 2016/680 a Parlamentului European și a Consiliului 9 prevede norme armonizate pentru protecția și libera circulație a datelor cu caracter personal prelucrate în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau în scopul executării sancțiunilor penale, inclusiv în scopul protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. Directiva menționată anterior prevede obligația Comisiei de a revizui alte acte relevante din dreptul Uniunii pentru a evalua necesitatea alinierii acestora la directiva menționată anterior și de a prezenta, dacă este necesar, propuneri de modificare a actelor respective pentru a asigura o abordare coerentă în ceea ce privește protecția datelor cu caracter personal care intră în domeniul de aplicare al directivei menționate anterior.
(2)Decizia 2009/917/JAI a Consiliului 10 privind utilizarea tehnologiei informației în domeniul vamal instituie Sistemul de informații al vămilor (SIV) cu scopul de a ajuta la prevenirea, investigarea și urmărirea penală a încălcărilor grave ale legislațiilor naționale, printr-o difuzare mai rapidă a informațiilor și de a spori eficacitatea administrațiilor vamale. Pentru a se asigura o abordare coerentă în ceea ce privește protecția datelor cu caracter personal în Uniune, respectiva decizie ar trebui modificată pentru a o alinia la Directiva (UE) 2016/680. În special, normele privind protecția datelor cu caracter personal ar trebui să respecte principiul specificării scopului, să se limiteze la anumite categorii de persoane vizate și categorii de date cu caracter personal, să respecte cerințele de securitate a datelor, să includă o protecție suplimentară pentru categoriile speciale de date cu caracter personal și să respecte condițiile pentru prelucrarea ulterioară. De asemenea, ar trebui să se prevadă modelul de supraveghere coordonată, astfel cum a fost introdus prin articolul 62 din Regulamentul (UE) 2018/1725 11 .
(3)În special, pentru a asigura o abordare clară și coerentă care să asigure o protecție adecvată a datelor cu caracter personal, termenul „încălcări grave” ar trebui înlocuit cu „infracțiuni”, având în vedere faptul că interzicerea unui anumit comportament în temeiul dreptului penal al unui stat membru implică, în sine, un anumit grad de gravitate a încălcării. De asemenea, obiectivul SIV ar trebui să se limiteze în continuare la acordarea de asistență în legătură cu prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor prevăzute în actele legislative naționale, astfel cum sunt definite în Decizia 2009/917/JAI a Consiliului, și anume actele legislative naționale care intră în sfera de competență a administrațiilor vamale naționale și care, prin urmare, sunt deosebit de relevante în context vamal. Așadar, deși încadrarea la infracțiune este o cerință necesară, nu toate infracțiunile ar trebui considerate ca fiind vizate. De exemplu, printre infracțiunile vizate se numără traficul ilicit de droguri, traficul ilicit de arme și spălarea de bani. Totodată, prin introducerea termenului de „infracțiuni”, această modificare nu ar trebui înțeleasă ca aducând atingere cerințelor specifice prevăzute în decizia Consiliului menționată anterior privind stabilirea și transmiterea unei liste de infracțiuni prevăzute în legislația națională care îndeplinesc anumite condiții, cerințele respective referindu-se numai la scopul specific al bazei de date pentru identificarea dosarelor vamale.
(4)Este necesar să se clarifice rolurile Comisiei și, respectiv, ale statelor membre în ceea ce privește datele cu caracter personal. Comisia este considerată persoana împuternicită de operator care acționează în numele autorităților naționale desemnate de fiecare stat membru, acestea din urmă fiind considerate operatori ai datelor cu caracter personal.
(5)Pentru a asigura conservarea optimă a datelor, reducând în același timp sarcina administrativă pentru autoritățile competente, procedura care reglementează păstrarea datelor cu caracter personal în SIV ar trebui simplificată prin eliminarea obligației de revizuire anuală a datelor și prin stabilirea unei perioade maxime de păstrare de cinci ani, care poate fi prelungită, în cazuri justificate, cu o perioadă suplimentară de doi ani. Această perioadă de păstrare este necesară și proporțională având în vedere durata obișnuită a procedurilor penale și necesitatea disponibilității datelor pentru desfășurarea operațiunilor vamale comune și a investigațiilor.
(6)În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană (TUE) și la TFUE, Irlanda are obligații în temeiul Deciziei 2009/917/JAI a Consiliului și, prin urmare, participă la adoptarea prezentului regulament.
(7)În conformitate cu articolele 1, 2 și 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu participă la adoptarea prezentului regulament, nu are obligații în temeiul acestuia și nu face obiectul aplicării sale.
(8)Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 din Regulamentul (UE) 2018/1725 și a emis un aviz la XX/XX/202X.
(9)Prin urmare, Decizia 2009/917/JAI a Consiliului ar trebui să fie modificată în consecință,
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Decizia 2009/917/JAI a Consiliului se modifică după cum urmează:
(1)Articolul 1 alineatul (2) se înlocuiește cu următorul text:
„(2) Obiectivul Sistemului de informații al vămilor este de a asista autoritățile competente din statele membre în prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor prevăzute în actele legislative naționale, prin punerea mai rapidă a informațiilor la dispoziție, întărind astfel eficacitatea procedurilor de cooperare și de control ale autorităților vamale ale statelor membre.”
(2)La articolul 2, punctul 2 se elimină.
(3)La articolul 3 alineatul (2), după prima teză se adaugă o nouă teză, după cum urmează:
„În ceea ce privește prelucrarea datelor cu caracter personal în Sistemul de informații al vămilor, Comisia este considerată persoana împuternicită de operator, în sensul articolului 3 punctul 12 din Regulamentul (UE) 2018/1725, acționând în numele autorităților naționale desemnate de fiecare stat membru, care sunt considerate operatori de date cu caracter personal.”
(4)Articolul 4 alineatul (5) se înlocuiește cu următorul text:
„(5) În niciun caz, în Sistemul de informații al vămilor nu se introduc datele cu caracter personal menționate la articolul 10 din Directiva (UE) 2016/680.”
(5)Articolul 5 alineatul (2) se înlocuiește cu următorul text:
„(2) În sensul acțiunilor menționate la alineatul (1), datele cu caracter personal din oricare dintre categoriile menționate la articolul 3 alineatul (1) pot fi introduse în Sistemul de informații al vămilor numai în cazul în care există motive temeinice, în special pe baza unor activități ilegale anterioare, care sugerează că persoana respectivă a comis sau că este în curs de a comite ori că va comite infracțiuni prevăzute în actele legislative naționale.”
(6)Articolul 7 alineatul (3) se înlocuiește cu următorul text:
„(3) În pofida alineatelor (1) și (2), Consiliul poate, în mod excepțional, printr-o decizie unanimă și după consultarea Comitetului european pentru protecția datelor, să permită accesul unor organizații internaționale sau regionale la Sistemul de informații al vămilor dacă sunt îndeplinite cumulativ cele două condiții de mai jos:
(a)accesul respectă principiile generale privind transferurile de date cu caracter personal prevăzute la articolul 35 sau, după caz, la articolul 39 din Directiva (UE) 2016/680;
(b)accesul are la bază fie o decizie privind caracterul adecvat al nivelului de protecție adoptată în temeiul articolului 36 din directiva respectivă, fie face obiectul unor garanții adecvate în temeiul articolului 37 din directiva respectivă.”
(7)Articolul 8 alineatul (1) se înlocuiește cu următorul text:
„(1) Statele membre, Europol și Eurojust pot prelucra datele cu caracter personal obținute din Sistemul de informații al vămilor numai pentru atingerea obiectivului menționat la articolul 1 alineatul (2), în conformitate cu normele aplicabile ale dreptului Uniunii privind prelucrarea datelor cu caracter personal.
Statele membre, Europol și Eurojust pot prelucra date fără caracter personal obținute din Sistemul de informații al vămilor în vederea atingerii obiectivului menționat la articolul 1 alineatul (2) sau în alte scopuri, inclusiv în scopuri administrative, în conformitate cu orice condiții impuse de statul membru care a introdus datele fără caracter personal în sistemul respectiv.”
(8)Articolul 8 alineatul (4) se înlocuiește cu următorul text:
„(4) Datele cu caracter personal obținute din Sistemul de informații al vămilor pot, cu autorizarea prealabilă a statului membru care a introdus aceste date în sistemul respectiv și sub rezerva respectării oricăror condiții impuse de statul membru respectiv, să fie:
(a)transmise autorităților naționale, altele decât cele desemnate în temeiul alineatului (2), și prelucrate ulterior de acestea, în conformitate cu normele aplicabile ale dreptului Uniunii privind prelucrarea datelor cu caracter personal sau
(b)transferate autorităților competente din țări terțe și organizațiilor internaționale sau regionale și prelucrate ulterior de acestea, în conformitate cu capitolul V din Directiva (UE) 2016/680 și, după caz, cu capitolul V din Regulamentul (UE) 2018/1725.
Datele fără caracter personal obținute din Sistemul de informații al vămilor pot fi transferate și prelucrate ulterior de alte autorități naționale decât cele desemnate în temeiul alineatului (2), de țări terțe și organizații internaționale sau regionale, în conformitate cu orice condiții impuse de statul membru care a introdus datele fără caracter personal în sistemul respectiv.”
(9)Articolul 14 se înlocuiește cu următorul text:
„Datele cu caracter personal introduse în Sistemul de informații al vămilor se păstrează numai pe perioada necesară atingerii obiectivului menționat la articolul 1 alineatul (2) și nu pot fi păstrate mai mult de cinci ani. Cu toate acestea, în mod excepțional, datele respective pot fi păstrate pentru o perioadă suplimentară de cel mult doi ani, dacă și în măsura în care se stabilește, într-un caz individual, o necesitate strictă de a realiza acest obiectiv.”
(10)Articolul 15 alineatul (3) se înlocuiește cu următorul text:
„(3) În scopul bazei de date pentru identificarea dosarelor vamale, fiecare stat membru transmite celorlalte state membre, Europol, Eurojust și comitetului menționat la articolul 27, o listă a infracțiunilor prevăzute în legislația națională.
Această listă cuprinde numai infracțiunile care se pedepsesc:
(a)cu o pedeapsă privativă de libertate sau cu o măsură de siguranță privativă de libertate a cărei limită maximă este de cel puțin 12 luni sau
(b)cu o amendă de cel puțin 15 000 EUR.”
(11)Articolul 20 se înlocuiește cu următorul text:
„Directiva (UE) 2016/680 se aplică prelucrării datelor cu caracter personal în temeiul prezentei decizii.”
(12)Articolele 22, 23, 24 și 25 se elimină.
(13)Articolul 26 se înlocuiește cu următorul text:
„Se asigură supravegherea coordonată între autoritățile naționale de supraveghere și Autoritatea Europeană pentru Protecția Datelor în conformitate cu articolul 62 din Regulamentul (UE) 2018/1725.”
(14)La articolul 28 alineatul (2), se adaugă următoarele litere:
„(i) a asigura posibilitatea restabilirii sistemelor instalate în cazul unei întreruperi;
(j) a asigura funcționarea sistemului, raportarea defecțiunilor de funcționare apărute și imposibilitatea coruperii datelor cu caracter personal stocate din cauza funcționării defectuoase a sistemului.”
(15)La articolul 30, alineatul (1) se elimină.
Articolul 2
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în statele membre în conformitate cu tratatele.
Adoptat la Bruxelles,
Pentru Parlamentul European, Pentru Consiliu,
Președintele Președintele