ANEXĂ

Orientări pentru punerea în aplicare a normelor privind protecția datelor în cadrul Sistemului de cooperare pentru protecția consumatorilor (SCPC)

1.   INTRODUCERE

Cooperarea între autoritățile naționale din domeniul protecției consumatorilor este esențială pentru funcționarea adecvată a pieței interne, deoarece lipsa unei puneri în aplicare eficiente în cazurile transfrontaliere subminează încrederea consumatorilor în ceea ce privește acceptarea ofertelor transfrontaliere și, prin urmare, încrederea acestora în piața internă, determinând, de asemenea, distorsiunea concurenței.

SCPC este un instrument informatic instituit în temeiul Regulamentului CPC și care oferă un mecanism structurat de schimb de informații între autoritățile naționale responsabile cu protecția consumatorilor care fac parte din rețeaua CPC. El permite autorităților publice să solicite sprijinul altor autorități publice din rețeaua CPC în ceea ce privește investigarea și soluționarea unor posibile încălcări ale legislației UE privind protecția consumatorilor, precum și luarea de măsuri de aplicare a legislației pentru a opri practicile comerciale ilegale ale vânzătorilor și ale furnizorilor care afectează consumatorii din alte țări ale UE. Cererile de informații și toate comunicările între autoritățile publice competente în legătură cu aplicarea Regulamentului CPC se realizează prin intermediul SCPC.

Regulamentul CPC are obiectivul de a sprijini punerea în aplicare a legislației privind protecția consumatorilor din cadrul pieței interne prin instituirea unei rețele la nivelul UE a autorităților naționale însărcinate cu aplicarea legislației și de a stabili condițiile la baza cooperării dintre statele membre. Regulamentul CPC a stabilit că aceste schimburi de informații și cereri de asistență reciprocă între autoritățile naționale însărcinate cu aplicarea legislației trebuie realizate prin intermediul unei baze de date desemnate. Astfel, SCPC a fost desemnat în scopul de a facilita cooperarea administrativă și schimbul de informații în vederea punerii în aplicare a legislației UE privind protecția consumatorilor.

Domeniul cooperării este limitat la încălcările intracomunitare ale actelor juridice enumerate în anexa la Regulamentul CPC, care protejează interesele economice colective ale consumatorilor.

2.   DOMENIUL DE APLICARE ȘI OBIECTIVUL ORIENTĂRILOR

Prezentele orientări au obiectivul de a aborda preocuparea centrală referitoare la asigurarea unui echilibru între cooperarea eficientă și eficace între autoritățile competente ale statelor membre, pe de o parte, și respectarea dreptului fundamental la confidențialitate și la protecția datelor cu caracter personal, pe de altă parte.

Datele cu caracter personal sunt definite în Directiva privind protecția datelor (1) ca fiind orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Având în vedere că funcționarii naționali însărcinați cu aplicarea legislației (responsabilii de cazuri), care sunt utilizatorii SCPC, ar putea să nu fie întotdeauna experți în protecția datelor și să nu cunoască întotdeauna suficient de bine cerințele în materie de protecție a datelor impuse de propria legislație națională privind protecția datelor, este recomandabil să se pună la dispoziția utilizatorilor SCPC orientări care explică modul de funcționare a SCPC dintr-o perspectivă practică a protecției datelor și care detaliază garanțiile integrate în sistem și posibilele riscuri asociate cu utilizarea sa.

Orientările au obiectivul de a acoperi cele mai importante aspecte privind protecția datelor în legătură cu SCPC și de a oferi o explicație accesibilă, pe care toți utilizatorii SCPC o pot folosi drept referință. Orientările nu oferă însă o analiză completă a implicațiilor SCPC în ceea ce privește protecția datelor.

Este puternic recomandat ca autoritățile responsabile cu protecția datelor din statele membre să fie consultate, pentru a se garanta că orientările sunt completate de obligațiile specifice stabilite de legislațiile naționale privind protecția datelor. Utilizatorii SCPC pot obține, de asemenea, asistență și îndrumări suplimentare din partea autorităților naționale responsabile cu protecția datelor, pentru a asigura îndeplinirea cerințelor în materie de protecție a datelor. Lista acestor autorități, împreună cu coordonatele de contact și site-urile de internet, poate fi consultată la adresa:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/#eu

Se impune precizarea că prelucrarea datelor cu caracter personal ar trebui efectuată în conformitate cu principiile și condițiile specifice prevăzute de Directiva privind protecția datelor. Responsabilii de cazuri au dreptul, în contextul Regulamentului CPC, să facă schimb de date, inclusiv de date cu caracter personal, prin intermediul SCPC, dacă scopul prelucrării este acela de a împiedica încălcarea actelor legislative ale UE privind protecția consumatorilor enumerate în anexa la Regulamentul CPC. Cu toate acestea, înainte de prelucrarea unor astfel de date este necesară o analiză atentă pentru a se asigura că principiile privind prelucrarea datelor sunt respectate și că prelucrarea este strict necesară pentru a îndeplini obiectivele Regulamentului CPC.

Ținând cont de acestea, va fi necesar ca responsabilii de cazuri care au acces la SCPC să efectueze o evaluare de la caz la caz înainte de efectuarea oricărei prelucrări a datelor personale (2). Prezentele orientări au obiectivul de a sprijini efectuarea acestor evaluări de către responsabilii de cazuri, oferind câteva principii directoare în domeniul protecției datelor care trebuie luate în considerare.

Un alt obiectiv este acela de a clarifica unele dintre aspectele complicate ale arhitecturii SCPC, legate de operațiunile de prelucrare comună și de controlul comun, indicând rolul Comisiei și rolul autorităților competente din statele membre în calitate de „operatori comuni” ai schimburilor de date din cadrul SCPC.

3.   SCPC – UN INSTRUMENT INFORMATIC PENTRU COOPERAREA ÎN DOMENIUL APLICĂRII LEGISLAȚIEI

SCPC este un instrument informatic creat și întreținut de Comisie în cooperare cu statele membre. Scopul SCPC este de a sprijini statele membre în legătură cu punerea în practică a legislației UE din domeniul protecției consumatorilor. El este utilizat de rețeaua CPC, care este formată din autorități publice desemnate de statele membre și de țările SEE pentru a coopera și a face schimb de informații în domeniul legislației privind protecția consumatorilor, astfel cum se prevede în Regulamentul CPC.

Articolul 10 din Regulamentul CPC prevede că:

Articolul 12 alineatul (3) din Regulamentul CPC adaugă că:

SCPC facilitează cooperarea și schimburile de informații limitate la încălcările intracomunitare ale directivelor și regulamentelor enumerate în anexa la Regulamentul CPC, care tratează subiecte foarte variate, printre care practicile comerciale neloiale, vânzarea la distanță, creditul de consum, pachetele de servicii pentru călătorii, clauzele abuzive ale contractelor, timpul partajat și comerțul electronic. SCPC nu poate fi utilizat pentru schimburile de informații în domenii legislative care nu sunt precizate în anexa menționată anterior.

Exemple:

I.

Un comerciant stabilit în Belgia utilizează clauze neloiale în cadrul tranzacțiilor sale cu consumatori cu reședința în Franța, încălcând directiva privind clauzele neloiale din contracte. Autoritatea de protecție a consumatorilor din Franța poate utiliza SCPC pentru a cere autorității de protecție a consumatorilor din Belgia să ia toate măsurile de aplicare necesare disponibile în Belgia împotriva comerciantului respectiv, pentru a opri fără întârziere această încălcare intracomunitară.

II.

Autoritatea de protecție a consumatorilor din Danemarca primește plângeri în legătură cu faptul că un site internet face uz de practici comerciale frauduloase și înșelătoare în detrimentul consumatorilor. Site-ul este găzduit în Suedia. Autoritatea daneză pentru protecția consumatorilor are nevoie de informații privind site-ul. Prin urmare, ea poate utiliza SCPC pentru a cere informații autorității suedeze pentru protecția consumatorilor, care are obligația de a furniza informațiile.

Informațiile sunt introduse de statele membre, stocate în SCPC, accesate de statele membre cărora li se adresează informațiile și șterse de Comisie (3). SCPC este utilizat ca depozit de informații și ca modalitate de a face schimb de informații printr-un sistem de comunicare eficient și sigur.

Din perspectiva protecției datelor, instituirea unei astfel de baze de date creează întotdeauna anumite riscuri în ceea ce privește dreptul fundamental al persoanelor la protecția datelor: comunicarea a mai multe date decât este strict necesar în scopul cooperării eficiente; păstrarea unor date care ar fi trebuit șterse și păstrarea unor date care nu mai sunt exacte sau sunt incorecte; probleme legate de garantarea faptului că drepturile persoanelor vizate și obligațiile operatorilor de date sunt respectate. Prin urmare, este necesar ca aceste riscuri să fie abordate asigurându-se faptul că utilizatorii SCPC sunt bine informați și instruiți în ceea ce privește problemele legate de protecția datelor și sunt capabili să asigure respectarea legislației aplicabile privind protecția datelor.

4.   CADRUL JURIDIC ȘI DE SUPRAVEGHERE ÎN MATERIE DE PROTECȚIE A DATELOR

Din 1995, Uniunea Europeană are un cadru juridic bine stabilit în ceea ce privește protecția datelor: Directiva privind protecția datelor (4), care reglementează prelucrarea datelor cu caracter personal de către statele membre, și Regulamentul privind protecția datelor (5), care reglementează prelucrarea datelor cu caracter personal de către instituțiile și organismele Uniunii Europene. În prezent, aplicarea legislației privind protecția datelor depinde de cine este actorul sau utilizatorul SCPC.

Operațiunile de prelucrare efectuate de Comisie sunt reglementate de Regulamentul privind protecția datelor, iar operațiunile de prelucrare efectuate de responsabilii de cazuri din cadrul autorităților naționale competente sunt reglementate de legislațiile naționale de transpunere a Directivei privind protecția datelor.

Fiind cei doi actori principali cu roluri specifice în cadrul SCPC, atât Comisia, cât și autoritățile competente desemnate, în calitate de operatori comuni, au obligația de a notifica și de a transmite operațiunile lor de prelucrare în vederea unei verificări prealabile de către autoritățile de supraveghere relevante, precum și de a asigura conformitatea cu normele de protecție a datelor. Cu toate acestea, actele legislative naționale care transpun Directiva privind protecția datelor pot prevedea excepții atât de la cerințele privind notificarea, cât și de la cele privind verificarea prealabilă.

Armonizarea legislațiilor privind protecția datelor are scopul de a asigura un nivel ridicat de protecție a datelor și de a proteja drepturile fundamentale ale persoanelor, permițând, în același timp, fluxul liber de date cu caracter personal între statele membre. Dat fiind că măsurile naționale de punere în aplicare pot da naștere unor norme diferite, pentru a asigura conformitatea cu normele de protecție a datelor, utilizatorilor SCPC li se recomandă insistent să discute prezentele orientări cu autoritățile lor de protecție a datelor, deoarece normele pot varia, de exemplu, în ceea ce privește informațiile care trebuie furnizate persoanelor sau obligația de a notifica autorităților de protecție a datelor anumite operațiuni de prelucrare.

O caracteristică importantă a cadrului juridic UE în domeniul protecției datelor este supravegherea acestuia de către autorități independente pentru protecția datelor. Cetățenii au dreptul de a transmite acestor autorități plângeri și de a soluționa prompt preocupările lor în materie de protecție a datelor în afara tribunalelor. Prelucrarea datelor cu caracter personal la nivel național este supravegheată de autoritățile naționale pentru protecția datelor, iar prelucrarea lor de către instituțiile europene este supravegheată de Autoritatea Europeană pentru Protecția Datelor (AEPD) (6). În consecință, Comisia este supravegheată de AEPD, iar ceilalți utilizatori ai SCPC sunt supravegheați de autoritățile naționale pentru protecția datelor.

5.   CARE SUNT ROLURILE ÎN CADRUL SCPC? – CHESTIUNEA CONTROLULUI COMUN

ACPC reprezintă un exemplu clar de operațiuni comune de prelucrare și de control comun. În timp ce numai autoritățile competente din statele membre colectează, înregistrează, comunică și fac schimb de date cu caracter personal, stocarea și ștergerea acestor date pe serverele sale este responsabilitatea Comisiei. Comisia nu are acces la aceste date personale, dar este considerată administrator de sistem și operator al sistemului.

Prin urmare, alocarea diferitelor roluri și responsabilități între Comisie și statele membre poate fi sintetizată după cum urmează:

—	Fiecare autoritate competentă joacă rolul de operator de date în ceea ce privește propriile activități de prelucrare a datelor.

—

Comisia nu este un utilizator, ci operatorul sistemului, fiind în primul rând responsabilă pentru întreținerea și securitatea arhitecturii sistemului. Cu toate acestea, Comisia are de asemenea acces la alerte, la informațiile privind reacțiile și la alte informații legate de cazuri (7). Comisia are acces în scopul de a monitoriza aplicarea Regulamentului CPC și a actelor legislative privind protecția consumatorilor enumerate în anexa la Regulamentul CPC, precum și de a elabora informații statistice relative la îndeplinirea acestor obligații. Comisia nu are însă acces la informațiile incluse în cererile privind asistența reciprocă și aplicarea legislației, pentru că acestea sunt adresate exclusiv autorităților competente din statele membre care tratează un anumit caz. Cu toate acestea, conform Regulamentului CPC, Comisia are posibilitatea de a asista autoritățile competente în cazul anumitor divergențe (8) și de a fi invitată să participe la o investigație coordonată la care participă mai mult de două state membre (9).

—	Actorii SCPC partajează responsabilitatea în legătură cu legitimitatea prelucrării, furnizarea informațiilor și drepturile de acces, obiecție și rectificare.

—	Atât Comisia, cât și autoritățile competente din statele membre în calitatea lor de operatori sunt responsabile individual pentru asigurarea faptului că normele legate de operațiunile de prelucrare a datelor sunt compatibile cu normele privind protecția datelor.

6.   ACTORII ȘI UTILIZATORII SCPC

În cadrul SCPC există diferite profiluri de acces: accesul la baza de date este restricționat și alocat numai unui funcționar numit din cadrul autorității competente (utilizator autentificat) și nu poate fi transferat. Cererile de acces la SCPC pot fi acordate numai unor funcționari notificați Comisiei de autoritățile competente din statele membre. Pentru a intra în sistem, sunt necesare un nume de utilizator și o parolă, care pot fi obținute de biroul unic de legătură.

Numai utilizatorii din cadrul autorităților competente solicitate și solicitante au acces deplin la informațiile complete care fac obiectul schimbului pentru un anumit caz, care includ toate fișierele atașate ale dosarului din SCPS. Birourile unice de legătură pot citi numai informațiile-cheie în legătură cu un caz, pentru a putea identifica autoritatea competentă căreia trebuie să i se transmită cererea. Birourile nu pot citi documentele confidențiale atașate la o cerere sau o alertă.

În cazurile privind aplicarea legislației, schimbul de informații generale se realizează între utilizatorii din cadrul tuturor autorităților competente notificate ca fiind responsabile în legătură cu actele juridice încălcate. Acest lucru se realizează prin intermediul notificărilor. Aceste notificări trebuie să ofere o descriere generală a unui caz și să evite să includă date cu caracter personal. Pot exista excepții, de exemplu pentru numele unui vânzător sau furnizor (dacă este o persoană fizică).

Comisia nu are acces la informații și la cererile privind aplicarea legislației sau la documentele confidențiale, dar primește notificările și alertele.

7.   PRINCIPIILE PROTECȚIEI DATELOR APLICABILE SCHIMBURILOR DE INFORMAȚII

Prelucrarea datelor personale de către utilizatorii SCPC din statele membre poate avea loc numai în condițiile și în conformitate cu principiile stabilite în Directiva privind protecția datelor. Operatorul de date are responsabilitatea de a se asigura că atunci când sunt prelucrate date personale în SCPC se respectă principiile de protecție a datelor.

De asemenea, trebuie precizat că atât normele privind confidențialitatea, cât și normele privind protecția datelor se aplică SCPC. Normele privind confidențialitatea și secretul profesional se aplică tuturor datelor, în timp ce normele privind protecția datelor se aplică numai datelor cu caracter personal.

Este important să se țină cont de faptul că utilizatorii SCPC din statele membre sunt responsabili de multe alte operațiuni de prelucrare de date și pot să nu fie experți în protecția datelor. Respectarea normelor de protecție a datelor în CPCS nu trebuie să creeze complicații nejustificate sau să impună o sarcină administrativă excesivă. De asemenea, nu este necesar ca ea să se aplice în mod perfect uniform. Aceste orientări reprezintă recomandări referitoare la tratarea datelor personale și trebuie amintit că nu toate datele comunicate în SCPC sunt date cu caracter personal.

Înainte de fiecare introducere de informații în SCPC, funcționarii însărcinați cu aplicarea legislației trebuie să analizeze dacă datele personale care urmează să fie trimise sunt strict necesare pentru a îndeplini obiectivele cooperării eficace și să analizeze cui trimit datele cu caracter personal. Funcționarul responsabil cu aplicarea legislației trebuie să se întrebe dacă este strict necesar ca destinatarul să primească informațiile respective în scopul alertei sau al cererii de asistență reciprocă.

Următoarea listă de principii fundamentale de protecție a datelor cu caracter personal are obiectivul de a ajuta funcționarii însărcinați cu aplicarea legislației care au acces la SCPC să analizeze de la caz la caz dacă normele privind protecția datelor legate de prelucrarea datelor cu caracter personal sunt respectate de fiecare dată când ei prelucrează date cu caracter personal în cadrul sistemului. Funcționarii însărcinați cu aplicarea legislației trebuie să țină cont și de faptul că pot exista excepții și restricții la nivel național în legătură cu aplicarea principiilor de protecție a datelor, enumerate mai jos, și sunt invitați să consulte autoritățile naționale pentru protecția datelor (10).

Care sunt principiile privind protecția datelor care trebuie respectate?

Principiile generale privind protecția datelor care trebuie avute în vedere înainte de a efectua prelucrarea oricăror date personale au fost extrase din Directiva privind protecția datelor. Deoarece directiva menționată anterior a fost transpusă în legislațiile naționale, este necesar ca responsabilii de cazuri să consulte autoritățile lor naționale de supraveghere în domeniul protecției datelor în legătură cu aplicarea principiilor enumerate mai jos și este recomandabil ca ei să verifice dacă există excepții sau restricții în legătură cu aplicarea acestor principii.

Principiul transparenței

Conform Directivei privind protecția datelor, persoana vizată are dreptul de a fi informată atunci când datele cu caracter personal sunt prelucrate. Controlorul trebuie să furnizeze numele și adresa sa, scopul prelucrării, destinatarii datelor și toate celelalte informații necesare pentru a garanta că prelucrarea este corectă (11).

Datele pot fi prelucrate numai în următoarele circumstanțe (12):

—	dacă persoana vizată și-a dat consimțământul;

—	dacă prelucrarea este necesară pentru executarea sau încheierea unui contract;

—	dacă prelucrarea este necesară în vederea îndeplinirii unei obligații legale;

—	dacă prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;

—	dacă prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele;

—	dacă prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către persoana sau persoanele terțe cărora li se comunică informațiile.

Principiul legalității și corectitudinii

Datele cu caracter personal nu pot fi colectate sau prelucrate în moduri incorecte sau ilicite și nici să fie utilizate în scopuri care nu sunt compatibile cu obiectivele prevăzute în Regulamentul CPC. Pentru ca prelucrarea să fie legitimă, este necesar ca responsabilii de cazuri să se asigure că au motive clare care justifică necesitatea de prelucrare. Prelucrarea trebuie să se efectueze în scopuri determinate, explicite și legitime, iar datele nu pot fi prelucrate ulterior într-un mod incompatibil cu scopurile respective (13). Aceste scopuri pot fi numai cele prevăzute de Regulamentul CPC.

Pentru ca prelucrarea să fie corectă, persoanele vizate trebuie să fie informate în legătură cu scopurile în care datele lor vor fi prelucrate și în legătură cu existența dreptului la acces, rectificări și obiecții.

Principiul proporționalității, exactitatea și perioadele de păstrare

Este necesar ca informațiile să fie proporționale, adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și/sau prelucrate ulterior. Datele trebuie să fie exacte și, după caz, actualizate; se iau toate măsurile rezonabile pentru a se asigura că datele inexacte sau incomplete, având în vedere scopurile pentru care au fost colectate sau pentru care sunt prelucrate ulterior, sunt șterse sau rectificate; datele cu caracter personal nu trebuie păstrate într-o formă care permite identificarea persoanelor vizate pentru mai mult timp decât este necesar pentru scopurile în care datele au fost colectate sau prelucrate. Este necesară integrarea unor garanții corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai lungă, în scopuri istorice, statistice sau științifice.

Responsabilii de cazuri trebuie să analizeze dacă informațiile pe care le prelucrează sunt strict necesare obiectivelor care trebuie îndeplinite.

Principiul limitării scopului

Este necesar ca datele cu caracter personal să fie colectate în scopuri determinate, explicite și legitime, să nu fie prelucrate ulterior într-un mod incompatibil cu scopurile respective și să fie aduse la atenția persoanei vizate. Responsabilii de cazuri ar trebui să prelucreze date cu caracter personal numai dacă există un temei clar pentru aceasta, și anume dacă în Regulamentul CPC există baze juridice care să justifice transferul respectiv.

Dreptul de acces

Conform Directivei privind protecția datelor (14), persoanele vizate au dreptul de a fi informate în legătură cu faptul că datele lor cu caracter personal sunt prelucrate, cu scopurile prelucrării, cu destinatarii datelor și cu faptul că ele au drepturi specifice, și anume dreptul de informare și de rectificare. Persoana vizată are dreptul de a accesa toate datele prelucrate care o vizează. Persoana vizată are și dreptul de a solicita rectificarea, ștergerea sau blocarea datelor care sunt incomplete, inexacte sau care nu sunt prelucrate în conformitate cu normele privind protecția datelor (15).

Date sensibile

Este interzisă prelucrarea datelor care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, sănătatea, viața sexuală, delictele comise și condamnările penale. Cu toate acestea, Directiva privind protecția datelor (16) prevede anumite excepții de la această regulă, în cazul cărora datele sensibile pot fi prelucrate în anumite condiții (17). Având în vedere că utilizatorii SCPC se pot afla în situații în care manipulează date sensibile (18), este recomandabil ca ei să abordeze acest tip de date cu precauție. Utilizatorilor SCPC li se recomandă să consulte autoritățile naționale de protecție a datelor pentru a se informa dacă există derogări aplicabile prelucrării datelor sensibile.

Excepții

În contextul prevenirii, investigării, detectării și punerii sub urmărire a infracțiunilor, Directiva privind protecția datelor permite anumite excepții. Se recomandă ca responsabilii de cazuri să consulte legislația națională pentru a analiza dacă și în ce măsură sunt posibile astfel de excepții (19). Dacă aceste excepții vor fi utilizate, se recomandă ca acest lucru să fie indicat în mod clar în declarațiile privind confidențialitatea ale fiecărei autorități competente.

Aplicarea principiilor privind protecția datelor

Aplicarea acestor principii privind protecția datelor la funcționarea SCPC conduce la următoarele recomandări:

1.

Utilizarea SCPC ar trebui strict limitată la scopurile prevăzute în Regulamentul CPC. Articolul 13 alineatul (1) din Regulamentul CPC prevede că informațiile comunicate pot fi utilizate numai în scopul de a asigura conformitatea cu actele legislative care protejează interesele consumatorilor. Aceste acte legislative sunt enumerate în anexa la Regulamentul CPC.

2.

Se recomandă ca funcționarii însărcinați cu aplicarea legislației să utilizeze informațiile obținute în urma unei cereri de asistență reciprocă sau a unei alerte în scopurile legate de cazul specific respectiv, în perfectă conformitate cu cerințele juridice privind protecția datelor, evaluând ex ante necesitatea prelucrării în contextul investigațiilor realizate în interesul public mai larg.

3.	Atunci când se transferă date, funcționarii însărcinați cu aplicarea legislației fac o evaluare de la caz la caz pentru a stabili cine ar trebui să fie destinatarii informațiilor care trebuie prelucrate.

4.

Utilizatorii SCPC ar trebui să selecteze cu atenție întrebările pe care le includ în cererea de asistență reciprocă și să nu ceară mai multe informații decât este necesar. Acest lucru nu este numai o chestiune de respectare a principiilor referitoare la calitatea datelor, ci și o chestiune de reducere a sarcinii administrative.

5.

Directiva privind protecția datelor (20) prevede că datele cu caracter personal trebuie să fie exacte și actualizate. Se recomandă ca autorității competente care a furnizat informațiile să-i revină sarcina de a contribui la asigurarea exactității datelor stocate în SCPC. Au fost introduse mesaje pop-up ca o caracteristică a SCPC pentru a reaminti periodic responsabililor de cazuri să verifice dacă datele personale sunt exacte și actualizate.

6.

O modalitate practică de o informa persoanele vizate în legătură cu drepturile lor este prin intermediul unei pagini internet care să conțină o declarație de confidențialitate amănunțită. Se recomandă ca fiecare autoritate competentă să includă o pagină internet cu o declarație de confidențialitate pe site-urile lor de internet. Fiecare declarație de confidențialitate ar trebui să fie conformă cu toate obligațiile în materie de informații stabilite în Directiva privind protecția datelor, să includă un link către pagina internet cu declarația de confidențialitate a Comisiei și să ofere mai multe informații, inclusiv coordonate de contact, privind autoritatea competentă respectivă, precum și orice restricții naționale privind dreptul de acces la informații. Toți operatorii de date implicați au responsabilitatea de a se asigura că declarațiile de confidențialitate sunt publicate.

7.

Persoana vizată poate solicita accesul, rectificarea și ștergerea datelor cu caracter personal din mai multe surse. Deși fiecare autoritate competentă este responsabilă, în calitate de operator de date, pentru propriile operații de prelucrare a datelor, ar trebui să se urmărească oferirea unui răspuns coordonat la cererile referitoare la cazuri transfrontaliere. În astfel de cazuri, se recomandă ca autoritățile competente să informeze celelalte autorități competente implicate în legătură cu primirea cererii. Când o autoritate competentă consideră că aprobarea unei cereri poate afecta investigația sau procedura de aplicare a legislației efectuată de alte autorități competente, autoritatea respectivă ar trebui să ceară avizul acestora înainte de a accepta cererea. De asemenea, persoana vizată poate adresa Comisiei cererea sa. Comisia poate numai aproba o cerere privind date la care ea are acces. La primirea unei cereri, Comisia ar trebui să consulte autoritatea competentă care a furnizat informațiile în cauză. Dacă nu este ridicată nicio obiecție sau dacă autoritatea competentă nu răspunde într-un interval de timp rezonabil, Comisia poate decide în legătură cu aprobarea sau respingerea acestei cereri în temeiul Regulamentului privind protecția datelor. Comisia ar trebui să ceară și avizul autorităților competente ale căror activități de investigare sau de aplicare a legislației pot fi compromise în urma aprobării cererii. Comisia ar trebui să examineze dacă integrarea unor caracteristici tehnice suplimentare în SCPC ar facilita astfel de schimburi.

8.

Decizia 2007/76/CE de punere în aplicare a CPC prevede crearea unor câmpuri de date în cadrul SCPC pentru numele directorilor de societăți. Este necesar ca funcționarii însărcinați cu aplicarea legislației să evalueze dacă includerea acestui tip de date cu caracter personal este necesară pentru rezolvarea cazului. Ar trebui să se realizeze o evaluare de la caz la caz a necesității de a include numele directorului unei societăți în câmpul de date desemnat înainte de fiecare introducere de informații în SCPC și înainte de a trimite o alertă sau o cerere de asistență reciprocă altei autorități competente.

9.

Decizia 2007/76/CE de punere în aplicare a CPC impune autorității competente care introduce informații, cereri privind aplicarea legislației sau alerte să precizeze dacă informațiile trebuie sau nu să fie tratate în regim de confidențialitate. Această evaluare trebuie să se realizeze de la caz la caz. În mod similar, autoritatea solicitată ar trebui să precizeze, atunci când furnizează informațiile, dacă acestea trebuie să fie tratate în regim de confidențialitate. SCPC include o caracteristică de valoare implicită, și anume utilizatorii SCPC trebuie să acorde explicit acces la documente prin debifarea indicatorului de confidențialitate.

8.   SCPC ȘI PROTECȚIA DATELOR

Un mediu favorabil protecției datelor

SCPC a fost creat ținând cont de cerințele impuse de legislația privind protecția datelor:

—

SCPC utilizează s-TESTA, abrevierea pentru Secure Trans-European Services for Telematics between Administrations (Servicii transeuropene securizate de telematică între administrații). El oferă administrațiilor europene și naționale o platformă de comunicare paneuropeană organizată, fiabilă și sigură. Rețeaua s-TESTA se bazează pe o infrastructură privată dedicată complet separată de internet. Măsuri adecvate de securitate sunt incluse în structura sistemului pentru a garanta cea mai bună protecție posibilă a rețelei. Rețeaua face obiectul unei acreditări de securitate, astfel încât ea să fie adecvată pentru transmiterea informațiilor cu acces limitat la nivelul „Acces restricționat UE”.

—

A fost introdusă o serie de caracteristici tehnice: parole sigure și personalizate pentru funcționarii competenți din cadrul autorităților desemnate, utilizarea unei rețele sigure (s-TESTA), mesaje pop-up care amintesc responsabililor de cazuri că este necesar să aibă în vedere normele privind protecția datelor atunci când prelucrează date cu caracter personal, crearea unor profiluri de utilizatori diferite care modifică accesul la informații în funcție de rolul utilizatorului (autoritate competentă, birou unic de legătură sau Comisia), posibilitatea de a limita accesul la documente prin definirea lor ca fiind confidențiale și mesajul de pe pagina de deschidere a SCPC care indică normele de protecție a datelor.

—

Normele de punere în aplicare (21) acoperă aspecte esențiale pentru asigurarea respectării protecției datelor: reguli clare privind ștergerea (care informații; cum și când să se șteargă datele); principii care specifică tipurile de acces la informații (numai autoritățile competente direct implicate au acces deplin, iar celelalte părți au acces numai la informații generale).

—	Orientări operaționale (22) care aduc clarificări suplimentare în legătură cu elementele care trebuie avute în vedere atunci când se completează diferite câmpuri de date și integrarea prezentelor orientări (23).

—

Reexaminări anuale pentru a se asigura că autoritățile competente verifică exactitatea datelor cu caracter personal (marcarea este prevăzută, dar nu a fost încă pusă în aplicare) și că toate cazurile sunt încheiate și/sau șterse conform normelor, astfel încât cazurile să nu fie uitate. Comisia organizează regulat, împreună cu statele membre, o reexaminare sistematică a cazurilor care au rămas deschise pentru o perioadă care depășește substanțial perioada medie de tratare a cazurilor.

—	Ștergerea automată a cererilor de asistență reciprocă după 5 ani de la închiderea cazului, conform prevederilor Regulamentului CPC.

—

SCPC este un instrument informatic în continuă evoluție, care își propune să fie favorabil protecției datelor. Un număr mare de caracteristici de protecție a fost deja integrat în arhitectura sistemului descrisă mai sus. Comisia intenționează să aducă în continuare îmbunătățiri suplimentare, în funcție de necesități.

Câteva recomandări suplimentare

Pentru cât timp ar trebui stocat un caz înainte de a fi închis și șters?

Numai Comisia poate șterge informații din SCPC (24), iar ea face acest lucru în general la cererea unei autorități competente. Când face o astfel de cerere, autoritatea competentă trebuie să specifice motivele cererii de ștergere. Singura excepție este reprezentată de cererile privind aplicarea legislației. Acestea sunt șterse automat de Comisie după 5 ani de la închiderea cazului de către autoritatea care a făcut cererea.

Au fost prevăzute reguli pentru a asigura ștergerea datelor care nu mai sunt necesare, sunt inexacte, se dovedesc a fi nefondate și/sau au atins perioada maximă de stocare.

De ce perioada de păstrare a datelor este fixată la 5 ani?

Perioada de păstrare are obiectivul de a facilita cooperarea dintre autoritățile publice însărcinate cu aplicarea legislației care protejează interesele consumatorilor atunci când acestea se confruntă cu încălcări intracomunitare și de a contribui la buna funcționare a pieței interne, la calitatea și la coerența aplicării legislației care protejează interesele consumatorilor, la monitorizarea protejării intereselor economice ale consumatorilor și la creșterea nivelului și a coerenței aplicării legislației. În cursul perioadei de păstrare, funcționarii autorizați însărcinați cu aplicarea legislației din cadrul unei autorități competente care a tratat inițial un anumit caz pot consulta dosarul pentru a stabili legături cu posibile încălcări repetate, ceea ce contribuie la o aplicare mai bună și mai eficientă a legislației.

Ce informații pot fi incluse în forumul de discuții?

Forumul de discuții este alăturat SCPC și reprezintă un instrument de schimb de informații privind aspecte precum noi competențe de punere în aplicare și bune practici. În general, forumul de discuții, care nu este utilizat frecvent de funcționarii însărcinați cu aplicarea legislației, nu ar trebui să servească pentru schimbul de date legate de cazuri și nu ar trebui să se refere la date cu caracter personal.

Ce tipuri de date pot fi incluse în rezumate și în documentele atașate?

Decizia 2007/76/CE de punere în aplicare a CPC prevede câmpul de date „documente atașate” în cazul alertelor, al cererilor de informații și al cererilor privind aplicarea legislației. Rezumatele sunt câmpuri în care trebuie făcută o descriere a încălcării. Se recomandă ca datele cu caracter personal să nu fie incluse în rezumate, deoarece scopul acestui câmp de date este de a oferi o descriere generală a încălcării. Datele cu caracter personal din documentele atașate care nu sunt strict necesare ar trebui acoperite cu negru sau șterse.

Ce se înțelege prin „suspiciune rezonabilă” privind faptul că a avut loc o încălcare?

Suspiciunea rezonabilă trebuie interpretată în conformitate cu legislația națională. Cu toate acestea, se recomandă ca încălcările suspectate să fie incluse în SCPC numai dacă există elemente de probă în sprijinul afirmației că o încălcare a avut loc sau este probabil să fi avut loc.

Ce trebuie știut în legătură cu transferurile către țări terțe?

Regulamentul CPC (25) prevede că informațiile comunicate în cadrul SCPC pot fi comunicate și unei autorități dintr-o țară terță de către un stat membru care are un acord de asistență reciprocă, dacă autoritatea competentă care a comunicat inițial informațiile și-a dat consimțământul și dacă sunt respectate prevederile privind protecția datelor.

Dacă nu există un acord internațional al Uniunii Europene cu o țară terță privind acordurile de cooperare pentru asistență reciprocă (26), se recomandă ca orice acord bilateral cu o anumită țară terță să prevadă garanții adecvate de protecție a datelor și să fie notificat autorităților relevante de supraveghere a protecției datelor, astfel încât să se poată efectua verificări prealabile, cu excepția cazului în care Comisia a constatat că țara terță garantează un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniune în conformitate cu articolul 25 din Directiva privind protecția datelor.

---

(1)  Articolul 2 litera (a).

(2)  Trebuie precizat că principiile privind protecția datelor se aplică atât datelor stocate electronic, cât și datelor stocate pe hârtie.

(3)  În legătură cu normele specifice privind ștergerea, a se vedea: Decizia 2007/76/CE și „Rețeaua de cooperare pentru protecția consumatorului: orientări privind funcționarea”.

(4)  Directiva 95/46/CE.

(5)  Regulamentul (CE) nr. 45/2001.

(6)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS

(7)  Articolele 8, 9 și 15 din Regulamentul CPC (CE) nr. 2006/2004.

(8)  Articolul 8 alineatul (5) din Regulamentul CPC (CE) nr. 2006/2004.

(9)  Articolul 9 din Regulamentul CPC (CE) nr. 2006/2004.

(10)  Articolul 11 alineatul (2) și articolul 13 din Directiva 95/46/CE.

(11)  Articolele 10 și 11 din Directiva 95/46/CE.

(12)  Articolul 7 din Directiva 95/46/CE.

(13)  Articolul 6 alineatul (1) litera (b) din Directiva 95/46/CE.

(14)  Articolele 10, 11 și 12 din Directiva 95/46/CE.

(15)  Articolul 12 din Directiva 95/46/CE.

(16)  Articolul 8 alineatul (2) din Directiva 95/46/CE.

(17)  Articolul 8 din Directiva 95/46/CE.

(18)  Capitolul 4 din anexa la Decizia 2007/76/CE.

(19)  Avizul 6/2007 privind problemele de protecție a datelor referitoare la Sistemul de cooperare în materie de protecție a consumatorilor (SCPC) 01910/2007/EN – WP 130 – adoptat la 21 septembrie 2007, p. 24-26.

(20)  Articolul 6 alineatul (1) litera (d) din Directiva 95/46/CE.

(21)  Decizia 2007/76/CE.

(22)  Rețeaua de cooperare pentru protecția consumatorului: orientări privind funcționarea – aprobate de Comitetul CPC la 8 iunie 2010.

(23)  Conținutul prezentelor orientări va fi integrat în cadrul unor activități de formare viitoare privind SCPC.

(24)  Articolul 10 din Regulamentul CPC (CE) nr. 2006/2004 și capitolul 2 din anexa la Decizia 2007/76/CE de punere în aplicare a CPC.

(25)  Articolul 14 alineatul (2) din Regulamentul CPC (CE) nr. 2006/2004.

(26)  Articolul 18 din Regulamentul CPC (CE) nr. 2006/2004.