26.4.2019   

RO

Jurnalul Oficial al Uniunii Europene

LI 112/1


DECIZIA BĂNCII EUROPENE DE INVESTIȚII

din 26 februarie 2019

de stabilire a normelor interne privind prelucrarea datelor cu caracter personal de către Direcția de personal a Băncii Europene de Investiții în ceea ce privește furnizarea de informații către persoanele vizate și restricționarea anumitor drepturi ale acestora

BANCA EUROPEANĂ DE INVESTIȚII („BEI”),

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 309,

având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE,

întrucât:

Conform articolului 38 din Regulamentul personalului BEI I și II, se pot adopta măsuri disciplinare împotriva unor membri ai personalului care nu își îndeplinesc obligațiile față de BEI în conformitate cu procedura prevăzută la articolul 40 din acest Regulament. Conform articolului 41 din Regulamentul personalului BEI I și II, litigiile care nu rezultă din aplicarea măsurilor disciplinare prevăzute la articolul 38 din acest Regulament pot fi înaintate unui Comitet de conciliere. În conformitate cu Politica BEI privind demnitatea în muncă și cu Orientările BEI referitoare la procedura privind contestațiile împotriva evaluării, BEI trebuie să răspundă plângerilor de hărțuire și contestațiilor împotriva evaluărilor performanței.

Organizarea și gestionarea procedurilor prevăzute la articolele 40 și 41 din Regulamentul personalului BEI I și II, precum și în Politica BEI privind demnitatea în muncă și în Orientările BEI referitoare la procedura privind contestațiile împotriva evaluării sunt responsabilitatea principală a Direcției de personal a BEI. În special, Direcția de personal acordă sprijin și acționează ca secretariat juridic pentru organismele responsabile de procedurile respective.

În îndeplinirea atribuțiilor ce îi revin, Direcția de personal este obligată să respecte drepturile persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, recunoscute prin articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și prin articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene, precum și prin acte juridice bazate pe aceste dispoziții. În același timp, Direcția de personal trebuie să respecte normele stricte privind confidențialitatea și secretul profesional, menționate în Regulamentul personalului BEI și în Codul de conduită al personalului BEI, și să garanteze respectarea drepturilor procedurale ale persoanelor vizate și ale martorilor, în special dreptul persoanelor vizate la respectarea garanțiilor procedurale și la prezumția de nevinovăție.

În anumite împrejurări, este necesar să se concilieze drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725 (1) cu scopurile și nevoile Direcției de personal, precum și cu respectarea deplină a drepturilor și libertăților fundamentale ale altor persoane vizate. În acest sens, articolul 25 din Regulament oferă Direcției de personal posibilitatea de a restricționa aplicarea articolelor 14-22 și 35, precum și a articolului 4 din Regulament, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22.

Pentru a asigura eficiența procedurilor desfășurate de Comitetul de disciplină și de Comitetul de conciliere constituite conform articolelor 40 și 41 din Regulamentul personalului BEI I și II și de Comitetul pentru demnitatea în muncă și Comitetul de adjudecare constituite conform Politicii BEI privind demnitatea în muncă și Procedurii privind contestațiile împotriva evaluării, cu respectarea standardelor de protecție a datelor cu caracter personal din Regulamentul (UE) 2018/1725, este necesară adoptarea unor reguli interne în baza cărora Direcția de personal să poată restricționa drepturile persoanelor vizate în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725.

Regulile interne ar trebui să se aplice tuturor operațiunilor de prelucrare desfășurate de Direcția de personal în îndeplinirea mandatului său, conform articolelor 40 și 41 din Regulamentul personalului BEI I și II, Politicii BEI privind demnitatea în muncă și Orientărilor referitoare la procedura privind contestațiile împotriva evaluării. Regulile ar trebui să se aplice operațiunilor de prelucrare desfășurate înainte de inițierea procedurilor efectuate de Comitetul de disciplină, de Comitetul de conciliere, de Comitetul pentru demnitatea în muncă și de Comitetul de adjudecare, atâta timp cât procedurile sunt în desfășurare și pe parcursul urmăririi rezultatului acestor proceduri.

Pentru a se conforma articolelor 14, 15 și 16 din Regulamentul (UE) 2018/1725, operatorul ar trebui să informeze toate persoanele vizate în legătură cu activitățile sale care implică prelucrarea datelor lor cu caracter personal și cu drepturile lor, într-un mod transparent și coerent, sub formă de declarații privind protecția datelor, publicate pe intranetul BEI, precum și să informeze individual persoanele vizate de activitățile sale: persoane afectate direct, părți interesate și martori.

În plus, pentru a menține o cooperare eficace, Direcția de personal ar putea fi nevoită să aplice restricții privind drepturile persoanelor vizate de a proteja informațiile care conțin date cu caracter personal care provin de la alte servicii BEI, de la instituții, organisme, oficii și agenții ale Uniunii Europene, de la autoritățile competente ale statelor membre și ale țărilor terțe, precum și de la organizațiile internaționale. În acest sens, Direcția de personal ar trebui să consulte serviciile BEI, instituțiile, organismele, oficiile, agențiile, autoritățile și organizațiile internaționale respective cu privire la motivele relevante, necesitatea și proporționalitatea restricțiilor.

Direcția de personal ar trebui să prelucreze toate restricțiile în mod transparent și să consemneze fiecare cerere de restricții în sistemul de înregistrare corespunzător.

În temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, operatorii pot să amâne, să omită sau să refuze furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă acest lucru ar compromite în vreun fel scopul restricției. Este vorba, în special, despre restricționarea drepturilor prevăzute în articolele 16 și 35 din Regulamentul (UE) 2018/1725. Pentru a garanta că dreptul persoanei vizate de a fi informată în conformitate cu articolele 16 și 35 din Regulamentul (UE) 2018/1725 este restricționat doar atâta timp cât sunt valabile motivele care au stat la baza amânării, Direcția de personal ar trebui să își revizuiască periodic poziția.

În cazul în care se aplică o restricționare a drepturilor altor persoane vizate, Direcția de personal ar trebui să evalueze, de la caz la caz, dacă notificarea restricției ar compromite scopul acesteia.

Responsabilul cu protecția datelor („RPD”) din cadrul BEI poate să efectueze o analiză independentă privind aplicarea restricțiilor, pentru a asigura respectarea prezentei decizii,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Obiect și domeniu de aplicare

(1)   Prezenta decizie stabilește normele pe care trebuie să le urmeze operatorul, așa cum este acesta definit în articolul 2 alineatul (1), pentru a informa persoanele vizate în legătură cu prelucrarea datelor lor, în conformitate cu articolele 14, 15 și 16 din Regulamentul (UE) 2018/1725.

Acesta stabilește, de asemenea, condițiile în care operatorul poate restricționa aplicarea articolelor 14-22 și 35, precum și articolul 4 din Regulament, în conformitate cu articolul 25 alineatul (1) literele (c), (g) și (h) din regulamentul respectiv.

(2)   Prezenta decizie se aplică prelucrării datelor cu caracter personal de către Direcția de personal în scopul sau în legătură cu activitățile desfășurate pentru îndeplinirea sarcinilor sale precizate în articolele 40 și 41 din Regulamentul personalului BEI I și II, precum și în Politica BEI privind demnitatea în muncă, în Orientările BEI referitoare la procedura privind contestațiile împotriva evaluării și în modificările ulterioare ale acestora.

(3)   În cadrul mandatului său, Direcția de personal prelucrează câteva categorii de date cu caracter personal, în special date de identificare, date de contact, date profesionale și date privind rolul jucat în cazul respectiv.

Articolul 2

Specificarea operatorului și garanții

(1)   Operatorul este directorul general al Direcției de personal.

(2)   Datele cu caracter personal sunt stocate într-un mediu electronic securizat care împiedică accesul ilegal sau transferul ilegal de date către persoane care nu au nevoie să le cunoască.

(3)   Datele cu caracter personal prelucrate se păstrează între șase luni și zece ani. Pentru mai multe detalii despre durata exactă a perioadelor de păstrare în funcție de procedură se găsesc în Programul de păstrare al Direcției de personal.

(4)   În cazuri excepționale și justificate corespunzător, se aplică perioade mai lungi decât cele specificate mai sus, sub rezerva acordului RPD.

Articolul 3

Excepții și restricții aplicabile

(1)   În cazul în care Direcția de personal își exercită atribuțiile în ceea ce privește drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, aceasta analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul respectiv.

(2)   Sub rezerva dispozițiilor de la articolele 4-7 din prezenta decizie, Direcția de personal poate restricționa aplicarea articolelor 14-22 și 35 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din acesta, în măsura în care dispozițiile lor corespund drepturilor și obligațiilor prevăzute la articolele 14-22 din acest regulament, în cazul în care exercitarea acestor drepturi și obligații ar compromite scopul procedurilor prevăzute la articolele 40 și 41 din Regulamentul personalului BEI I și II, precum și în Politica BEI privind demnitatea în muncă și în Orientările BEI referitoare la procedura privind contestațiile împotriva evaluării, sau ar aduce atingere drepturilor și libertăților altor persoane vizate.

(3)   Sub rezerva dispozițiilor de la articolele 4-7 din prezenta decizie, Direcția de personal poate să restricționeze drepturile și obligațiile menționate la alineatul (2) din prezentul articol în ceea ce privește datele cu caracter personal obținute de la alte servicii BEI sau de la instituții, organe, agenții și oficii ale Uniunii Europene, de la autoritățile competente din statele membre sau de la organizații internaționale, în următoarele situații:

(a)

în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de alte servicii BEI, de instituții, organe, agenții și oficii ale Uniunii Europene, pe baza altor acte prevăzute la articolul 25 din Regulament sau în conformitate cu capitolul IX din regulamentul respectiv;

(b)

în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de către autoritățile competente din statele membre pe baza actelor menționate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (2), sau în temeiul unor măsuri naționale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (3);

(c)

în cazul în care exercitarea acestor drepturi și obligații ar compromite cooperarea Direcției de personal cu țările terțe sau cu organizațiile internaționale în îndeplinirea sarcinilor sale.

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) de la primul paragraf, Direcția de personal consultă serviciile relevante ale BEI, instituțiile, organele, agențiile și oficiile Uniunii Europene sau autoritățile competente din statele membre, cu excepția cazului în care este clar pentru Direcția de personal că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

Litera (c) de la primul paragraf nu se aplică dacă interesele sau libertățile și drepturile fundamentale ale persoanelor vizate prevalează asupra interesului Uniunii de a coopera cu țări terțe sau cu organizații internaționale.

(4)   Alineatele 1, 2 și 3 nu aduc atingere aplicării altor decizii ale BEI care stabilesc reguli interne cu privire la furnizarea de informații persoanelor vizate și restricționarea anumitor drepturi conform articolului 25 din Regulamentul (UE) 2018/1725.

Articolul 4

Furnizarea de informații către persoanele vizate

(1)   Direcția de personal publică pe intranetul BEI declarații privind protecția datelor, care informează toate persoanele vizate cu privire la activitățile sale care implică prelucrarea datelor lor cu caracter personal.

(2)   Direcția de personal informează personal persoanele vizate care sunt parte la o procedură, persoanele afectate de o procedură sau martorii.

(3)   În cazul în care Direcția de personal restricționează, în întregime sau parțial, furnizarea de informații către persoanele vizate menționate la alineatul (2), aceasta ține evidența motivelor restricționării, inclusiv evaluarea necesității și a proporționalității restricției.

În acest sens, în această evidență se precizează modul în care furnizarea informațiilor ar compromite scopul procedurii în cauză sau al restricțiilor aplicate în conformitate cu articolul 3 alineatul (3) ori ar aduce atingere drepturilor și libertăților altor persoane vizate.

Această evidență și, dacă este cazul, documentele care conțin elemente factuale și juridice subiacente sunt consemnate. La cerere, acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor (AEPD).

(4)   Restricția menționată la alineatul (3) continuă să se aplice, atât timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricționării nu se mai aplică, Direcția de personal furnizează persoanei vizate informațiile în cauză și motivele care stau la baza restricției. În același timp, Direcția de personal informează persoana vizată cu privire la posibilitatea de a depune o plângere la AEPD în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

Direcția de personal examinează aplicarea restricției la fiecare șase luni de la adoptarea sa și la închiderea procedurii relevante. Ulterior, operatorul monitorizează necesitatea de a menține orice restricție o dată pe an.

Articolul 5

Dreptul de acces de către persoana vizată

(1)   Când persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau al unei anumite operațiuni de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, Direcția de personal își limitează evaluarea cererii doar la aceste date cu caracter personal.

(2)   În cazul în care Direcția de personal restricționează, integral sau parțial, dreptul de acces menționat la articolul 17 din Regulament, aceasta ia următoarele măsuri:

(a)

informează persoana vizată, în răspunsul său la cerere, cu privire la restricția aplicată și la principalele motive ale acesteia, precum și la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene;

(b)

înregistrează motivele restricționării, inclusiv o evaluare a necesității și proporționalității restricției; în acest sens, consemnările precizează modul în care accesul la informații ar compromite scopul procedurii respective sau al restricțiilor aplicate în conformitate cu articolul 3 alineatul (3) ori ar aduce atingere drepturilor și libertăților altor persoane vizate.

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

(3)   Consemnările menționate la alineatul (2) primul paragraf, litera (b) și, dacă este cazul, documentele care conțin elemente factuale și juridice subiacente se includ într-un registru. La cerere, acestea sunt puse la dispoziția AEPD. Se aplică articolul 25 alineatul (7) din Regulamentul (UE) 2018/1725.

Articolul 6

Dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor

În cazul în care Direcția de personal restricționează, integral sau parțial, aplicarea dreptului de a rectifica și de a șterge datele sau a dreptului de a restricționa prelucrarea datelor, menționat la articolele 18, 19 alineatul (1) și 20 alineatul (1) din Regulamentul (UE) 2018/1725, aceasta ia măsurile prevăzute la articolul 5 alineatul (2) din prezenta decizie și consemnează înregistrarea în conformitate cu articolul 5 alineatul (3) din respectiva decizie.

Articolul 7

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

În cazul în care Direcția de personal restricționează informarea unei persoane vizate cu privire la încălcarea securității datelor cu caracter personal, așa cum se menționează la articolul 35 din Regulamentul (UE) 2018/1725, aceasta consemnează și înregistrează motivele restricționării în conformitate cu articolul 4 alineatul (3) din prezenta decizie. Se aplică articolul 4 alineatul (4) din prezenta decizie.

Articolul 8

Revizuirea de către responsabilul cu protecția datelor

Direcția de personal informează imediat RPD ori de câte ori restricționează aplicarea drepturilor persoanelor vizate în conformitate cu prezenta decizie și îi acordă acces la consemnări și la evaluarea necesității și a proporționalității restricției.

RPD poate solicita Direcției de personal, în scris, să revizuiască aplicarea restricțiilor. RPD este informat de Direcția de personal, în scris, cu privire la rezultatul revizuirii solicitate.

Articolul 9

Intrarea în vigoare

Prezenta decizie a fost aprobată de Consiliul de administrație al BEI în data de 26 februarie 2019 și intră în vigoare în ziua publicării sale pe site-ul BEI.

Adoptată la Luxemburg, 26 februarie 2019.

 


(1)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(2)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(3)  Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).