REGULAMENTUL (UE) 2019/796 AL CONSILIULUI

din 17 mai 2019

privind măsuri restrictive împotriva atacurilor cibernetice care reprezintă o amenințare la adresa Uniunii sau a statelor sale membre

CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 215,

având în vedere Decizia (PESC) 2019/797 din 17 mai 2019 a Consiliului privind măsuri restrictive împotriva atacurilor cibernetice care reprezintă o amenințare la adresa Uniunii sau a statelor sale membre (1),

având în vedere propunerea comună a Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate și a Comisiei Europene,

întrucât:

(1)

Consiliul European a adoptat la 18 octombrie 2018 concluzii prin care solicita ca, în urma concluziilor Consiliului din 19 iunie 2017, să se înregistreze progrese în cadrul lucrărilor privind capacitatea de a descuraja atacurile cibernetice și de a răspunde la acestea prin intermediul măsurilor restrictive ale Uniunii.

(2)

La 17 mai 2019, Consiliul a adoptat Decizia (PESC) 2019/797. Decizia (PESC) 2019/797 stabilește un cadru pentru măsuri restrictive specifice pentru a descuraja și a răspunde la atacurile cibernetice care au efecte semnificative care constituie o amenințare externă la adresa Uniunii sau a statelor sale membre. Persoanele, entitățile și organismele cărora li se aplică măsurile restrictive figurează în anexa la decizia respectivă.

(3)

Prezentul regulament respectă drepturile fundamentale și principiile consacrate în Carta drepturilor fundamentale a Uniunii Europene, mai ales dreptul la o cale de atac eficientă și la un proces echitabil, precum și dreptul la protecția datelor cu caracter personal. Prezentul regulament ar trebui aplicat în conformitate cu aceste drepturi.

(4)	Competența de a întocmi și de a modifica lista prevăzută în anexa I la prezentul regulament ar trebui să fie exercitată de Consiliu în scopul de a asigura coerența cu procesul de întocmire, modificare și revizuire a anexei la Decizia (PESC) 2019/797.

(5)

Pentru punerea în aplicare a prezentului regulament și pentru asigurarea unui nivel maxim de securitate juridică în Uniune, ar trebui să fie făcute publice numele și alte date relevante ale persoanelor fizice și juridice, entităților și organismelor ale căror fonduri și resurse economice se îngheață în conformitate cu prezentul regulament. Orice prelucrare a datelor cu caracter personal ar trebui să respecte Regulamentele (UE) 2016/679 (2) și (UE) 2018/1725 (3).

(6)	Statele membre și Comisia ar trebui să se informeze reciproc cu privire la măsurile luate în temeiul prezentului regulament și cu privire la alte informații relevante de care dispun în legătură cu prezentul regulament.

(7)	Statele membre ar trebui să stabilească norme privind sancțiunile aplicabile în cazul încălcării dispozițiilor prezentului regulament și să ia toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Aceste sancțiuni ar trebui să fie eficace, proporționale și descurajante,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

(1) Prezentul regulament se aplică atacurilor cibernetice care au efecte semnificative, inclusiv tentativelor de atacuri cibernetice care au un efect potențial semnificativ, care constituie o amenințare externă la adresa Uniunii sau a statelor sale membre.

(2) Printre atacurile cibernetice care constituie o amenințare externă se numără cele care:

(a)	provin sau sunt efectuate din exteriorul Uniunii;

(b)	utilizează infrastructură din exteriorul Uniunii;

(c)	sunt efectuate de orice persoană fizică sau juridică, entitate sau organism stabilit în exteriorul Uniunii sau care își desfășoară activitatea în exteriorul acesteia; sau

(d)	sunt efectuate cu sprijinul, sub conducerea sau sub controlul oricărei persoane fizice sau juridice, al oricărei entități sau al oricărui organism care își desfășoară activitatea în exteriorul Uniunii.

(3) În acest scop, atacurile cibernetice constituie acțiuni care implică oricare dintre următoarele:

(a)	accesarea de sisteme de informații;

(b)	interferența cu sisteme de informații;

(c)	interferența cu date; sau

(d)	interceptarea de date,

în cazul în care aceste acțiuni nu sunt autorizate în mod corespunzător de către proprietar sau de către alt titular de drepturi asupra sistemului sau datelor ori asupra unor părți ale acestora sau nu sunt permise în temeiul dreptului Uniunii sau al legislației statului membru în cauză.

(4) Printre atacurile cibernetice care constituie o amenințare pentru statele membre se numără cele care afectează sistemele informatice legate, printre altele, de:

(a)	infrastructura critică, inclusiv cablurile submarine și obiectele lansate în spațiul cosmic, care sunt esențiale pentru menținerea funcțiilor vitale ale societății sau pentru sănătatea, siguranța, securitatea și bunăstarea economică sau socială a oamenilor;

(b)

serviciile necesare pentru menținerea unor activități sociale și/sau economice esențiale, în special în sectoare precum energia (electricitate, petrol și gaze); transporturile (aerian, feroviar, pe apă și rutier); bancar; infrastructurile piețelor financiare; sănătatea (furnizori de asistență medicală, spitale și clinici private); furnizarea și distribuirea de apă potabilă; infrastructura digitală; precum și în orice alt sector care este esențial pentru statul membru în cauză;

(c)

funcții critice ale statului, în special în domeniile apărării, al guvernanței și al funcționării instituțiilor, inclusiv în ceea ce privește alegerile publice sau procesul de votare, al funcționării infrastructurii economice și civile, al securității interne și al relațiilor externe, inclusiv prin misiuni diplomatice;

(d)	stocarea sau prelucrarea de informații clasificate; sau

(e)	echipe guvernamentale de răspuns la situații de urgență.

(5) Atacurile cibernetice care constituie o amenințare pentru Uniune le includ pe cele efectuate împotriva instituțiilor, organelor, oficiilor și agențiilor acesteia, a delegațiilor sale în țări terțe sau la organizații internaționale, a operațiilor și misiunilor din cadrul politicii de securitate și apărare comune (PSAC) și a reprezentanților speciali ai acesteia.

(6) Măsurile restrictive prevăzute de prezentul regulament pot fi de asemenea aplicate ca răspuns la atacuri cibernetice cu efecte semnificative asupra unor state terțe sau organizații internaționale, în cazul în care se consideră că acest lucru este necesar pentru realizarea obiectivelor din cadrul politicii externe și de securitate comună (PESC) din dispozițiile relevante prevăzute la articolul 21 din Tratatul privind Uniunea Europeană.

(7) În sensul prezentului regulament, se aplică următoarele definiții:

(a)

„sisteme de informații” înseamnă un dispozitiv sau un grup de dispozitive interconectate sau omoloage, dintre care unul sau mai multe asigură, prin intermediul unui program, prelucrarea automată a datelor digitale, precum și a datelor digitale stocate, prelucrate, extrase sau transmise de dispozitivul sau grupul de dispozitive respectiv în vederea exploatării, a utilizării, a protecției și a întreținerii lor;

(b)

„interferență cu un sistem informatic” înseamnă obstrucționarea funcționării sau întreruperea funcționării unui sistem de informații prin introducerea de date digitale, prin transmiterea, afectarea, ștergerea, deteriorarea, modificarea sau suprimarea unor astfel de date ori prin transformarea acestora în date inaccesibile;

(c)	„interferență cu date” înseamnă ștergerea, afectarea, deteriorarea, modificarea sau suprimarea de date digitale într-un sistem informatic sau transformarea acestora în date inaccesibile; se încadrează aici și furtul de date, de fonduri, de resurse economice sau de proprietate intelectuală;

(d)

„interceptare de date” înseamnă interceptarea, prin mijloace tehnice, a transmiterilor de date digitale care nu sunt publice, de la un sistem informatic la altul sau în cadrul aceluiași sistem informatic, inclusiv a emisiilor electromagnetice provenite de la un sistem informatic care transmite astfel de date digitale.

(8) În sensul prezentului regulament, se aplică următoarele definiții suplimentare:

(a)

„cerere” înseamnă orice cerere, contencioasă sau necontencioasă, introdusă anterior sau ulterior datei intrării în vigoare a prezentului regulament în temeiul unui contract sau al unei tranzacții sau în legătură cu un contract sau cu o tranzacție și include în special:

(i)	o cerere de executare a unei obligații care rezultă în temeiul unui contract sau al unei tranzacții ori în legătură cu un contract sau cu o tranzacție;

(ii)	o cerere de prelungire sau de plată a unei obligațiuni, a unei garanții financiare ori a unei indemnizații, indiferent de forma acesteia;

(iii)

o cerere de acordare de despăgubiri în temeiul unui contract sau al unei tranzacții;

(iv)	o cerere reconvențională;

(v)	o cerere de recunoaștere sau de executare, inclusiv prin procedura de exequatur, a unei hotărâri judecătorești, a unei hotărâri arbitrale sau a unei hotărâri echivalente, indiferent de locul unde a fost pronunțată;

(b)

„contract sau tranzacție” înseamnă orice tranzacție, indiferent de formă și de legislația aplicabilă, care include unul sau mai multe contracte ori obligații similare stabilite între aceleași părți sau între părți diferite; în acest scop, termenul „contract” include orice obligațiune, garanție sau indemnizație, în special orice garanție financiară sau indemnizație financiară, și orice credit, indiferent dacă este sau nu independent din punct de vedere juridic, precum și orice clauză conexă care rezultă din tranzacția respectivă sau care are legătură cu aceasta;

(c)	„autorități competente” înseamnă autoritățile competente ale statelor membre, astfel cum sunt identificate pe site-urile web care figurează în anexa II;

(d)	„resurse economice” înseamnă activele de orice fel, corporale sau necorporale, mobiliare sau imobiliare, care nu sunt fonduri, dar pot fi utilizate pentru obținerea de fonduri, bunuri sau servicii;

(e)	„înghețarea resurselor economice” înseamnă împiedicarea utilizării resurselor economice pentru obținerea în orice mod de fonduri, bunuri sau servicii, inclusiv, dar nu exclusiv, prin vânzarea, închirierea sau ipotecarea acestora;

(f)

„înghețarea fondurilor” înseamnă împiedicarea oricărui tip de circulație, transfer, modificare, utilizare, accesare sau tranzacționare de fonduri care ar avea drept rezultat orice modificare a volumului, a cuantumului, a locației, a proprietății, a posesiei, a naturii sau a destinației acestora, sau orice altă modificare care ar permite utilizarea fondurilor, inclusiv administrarea portofoliilor;

(g)

„fonduri” înseamnă activele financiare și beneficiile de orice natură, inclusiv, dar fără a se limita la:

(i)	numerar, cecuri, creanțe în numerar, cambii, ordine de plată și alte instrumente de plată;

(ii)	depozite la instituții financiare sau la alte entități, solduri de conturi, creanțe și titluri de creanță;

(iii)

titluri de valoare și instrumente de datorie, inclusiv titluri și acțiuni, certificate reprezentând titluri de valoare, obligațiuni, bilete la ordin, warante, obligațiuni negarantate și contracte derivate, tranzacționate în mod public și privat;

(iv)	dobânzi, dividende sau alte venituri din active sau plusvalori percepute pe active sau generate de acestea;

(v)	credite, drepturi compensatorii, garanții, garanții de bună execuție sau alte angajamente financiare;

(vi)	acreditive, conosamente și contracte de vânzare; și

(vii)

documente care atestă deținerea de cote-părți dintr-un fond sau din resurse financiare;

(h)	„teritoriul Uniunii” înseamnă teritoriile statelor membre cărora li se aplică tratatul, în condițiile prevăzute de acesta, inclusiv spațiul lor aerian.

Articolul 2

Factorii care determină dacă un atac cibernetic are efecte semnificative, astfel cum se menționează la articolul 1 alineatul (1), includ oricare dintre următoarele:

(a)	domeniul de aplicare, amploarea, impactul sau gravitatea perturbării cauzate, inclusiv în ceea ce privește activitățile economice și societale, serviciile esențiale, funcțiile critice ale statului, ordinea publică sau siguranța publică;

(b)	numărul persoanelor fizice sau juridice, a entităților sau a organismelor afectate;

(c)	numărul statelor membre afectate;

(d)	valoarea prejudiciilor economice cauzate de exemplu de furtul de mari dimensiuni de fonduri, de resurse economice sau de proprietate intelectuală;

(e)	beneficiile economice obținute de către autor, pentru sine sau pentru alții;

(f)	volumul sau natura datelor furate sau amploarea încălcării securității datelor, sau

(g)	natura datelor sensibile din punct de vedere comercial accesate.

Articolul 3

(1) Se îngheață toate fondurile și resursele economice care aparțin, se află în proprietatea, sunt deținute sau sunt controlate de oricare dintre persoanele fizice sau juridice, entitățile sau organismele care figurează în anexa I.

(2) Se interzice punerea la dispoziție de fonduri sau resurse economice, direct sau indirect, în beneficiul persoanelor fizice sau juridice, entităților sau organismelor incluse în lista din anexa I.

(3) Anexa I include, astfel cum s-a identificat de Consiliu în conformitate cu articolul 5 alineatul (1) din Decizia (PESC) 2019/797:

(a)	persoanele fizice sau juridice, entitățile sau organismele care sunt responsabile de atacuri cibernetice sau tentative de atacuri cibernetice;

(b)

persoanele fizice sau juridice, entități sau organisme care furnizează sprijin financiar, tehnic sau material pentru atacuri cibernetice sau tentative de atacuri cibernetice sau care sunt implicate în alt mod în acestea, inclusiv prin planificarea sau pregătirea lor, participarea la ele, conducerea lor, oferirea de asistență pentru ele sau încurajarea lor ori facilitarea lor fie prin acțiune, fie prin omisiune;

(c)	persoanele fizice sau juridice, entitățile sau organismele asociate cu persoanele fizice sau juridice, cu entitățile sau cu organismele menționate la literele (a) și (b) din prezentul alineat.

Articolul 4

(1) Prin derogare de la articolul 3, autoritățile competente ale statelor membre pot autoriza deblocarea anumitor fonduri sau resurse economice înghețate sau punerea la dispoziție a anumitor fonduri sau resurse economice, în condițiile pe care le consideră adecvate, după ce au stabilit că fondurile sau resursele economice în cauză:

(a)

sunt necesare pentru satisfacerea necesităților de bază ale persoanelor fizice care figurează în anexa I și ale membrilor de familie care se află în întreținerea respectivelor persoane fizice, inclusiv plățile necesare pentru achitarea unor cheltuieli legate de alimente, chirie sau rate ipotecare, medicamente și tratamente medicale, impozite și taxe, prime de asigurare și servicii de utilități publice;

(b)	sunt destinate exclusiv plății unor onorarii rezonabile sau rambursării cheltuielilor legate de prestarea unor servicii juridice;

(c)	sunt destinate exclusiv plății comisioanelor sau a cheltuielilor corespunzătoare păstrării sau administrării curente a fondurilor sau a resurselor economice înghețate;

(d)

sunt necesare pentru cheltuieli extraordinare, cu condiția ca autoritatea competentă relevantă să fi notificat autorităților competente ale celorlalte state membre și Comisiei, cu cel puțin două săptămâni înainte de acordarea autorizației respective, motivele pentru care consideră că ar trebui acordată o autorizație în cazul în speță; sau

(e)

urmează să fie plătite în sau dintr-un cont al unei misiuni diplomatice sau consulare ori al unei organizații internaționale care beneficiază de imunități în conformitate cu dreptul internațional, în măsura în care astfel de plăți sunt destinate a fi utilizate în scopuri oficiale ale misiunii diplomatice sau consulare ori ale organizației internaționale respective.

(2) Statul membru în cauză informează în termen de două săptămâni celelalte state membre și Comisia atunci când acordă o autorizație în temeiul alineatului (1).

Articolul 5

(1) Prin derogare de la articolul 3 alineatul (1), autoritățile competente ale statelor membre pot autoriza deblocarea anumitor fonduri sau resurse economice înghețate dacă sunt îndeplinite următoarele condiții:

(a)

fondurile sau resursele economice fac obiectul unei hotărâri arbitrale pronunțate anterior datei la care persoana fizică sau juridică, entitatea sau organismul menționat la articolul 3 a fost inclus pe lista din anexa I, al unei hotărâri judecătorești ori al unei decizii administrative pronunțate în Uniune sau al unei hotărâri judecătorești executorii în statul membru în cauză, anterior sau ulterior datei respective;

(b)

fondurile sau resursele economice vor fi utilizate exclusiv pentru a satisface cererile garantate printr-o astfel de hotărâre sau decizie ori a căror valabilitate este recunoscută printr-o astfel de hotărâre sau decizie, în limitele stabilite de actele cu putere de lege și de normele administrative aplicabile ce reglementează drepturile persoanelor care formulează astfel de cereri;

(c)	hotărârea sau decizia nu este în beneficiul unei persoane fizice sau juridice, al unei entități sau al unui organism care figurează în anexa I; și

(d)	recunoașterea hotărârii sau deciziei nu contravine ordinii publice din statul membru respectiv.

(2) Statul membru în cauză informează în termen de două săptămâni celelalte state membre și Comisia atunci când acordă o autorizație în temeiul alineatului (1).

Articolul 6

(1) Prin derogare de la articolul 3 alineatul (1), în cazul în care o persoană fizică sau juridică, o entitate sau un organism inclus pe lista din anexa I trebuie să efectueze o plată în baza unui contract sau a unui acord încheiat de persoana fizică sau juridică, entitatea sau organismul în cauză sau în baza unei obligații care a apărut în sarcina persoanei fizice sau juridice, a entității sau a organismului în cauză anterior datei la care persoana fizică sau juridică, entitatea sau organismul respectiv a fost inclus pe lista din anexa I, autoritățile competente ale statelor membre pot autoriza, în condițiile pe care le consideră adecvate, deblocarea anumitor fonduri sau resurse economice înghețate, cu condiția ca autoritatea competentă în cauză să fi stabilit că:

(a)	fondurile sau resursele economice vor fi utilizate pentru efectuarea unei plăți de către o persoană fizică sau juridică, entitate sau organism care figurează în anexa I; și

(b)	plata nu încalcă dispozițiile articolului 3 alineatul (2).

(2) Statul membru în cauză informează în termen de două săptămâni celelalte state membre și Comisia atunci când acordă o autorizație în temeiul alineatului (1).

Articolul 7

(1) Articolul 3 alineatul (2) nu împiedică creditarea conturilor înghețate de către instituțiile financiare sau de credit care primesc fonduri transferate de terți în contul persoanei fizice sau juridice, al entității sau al organismului inclus pe listă, cu condiția ca toate aceste sume care sunt transferate în conturile respective să fie, de asemenea, înghețate. Instituția financiară sau de credit informează, fără întârziere, autoritatea competentă relevantă cu privire la orice tranzacții de acest tip.

(2) Articolul 3 alineatul (2) nu se aplică sumelor vărsate în conturile înghețate care reprezintă:

(a)	dobânzi sau alte venituri generate de conturile respective;

(b)	plăți cuvenite în baza unor contracte, acorduri sau obligații care au fost încheiate sau au survenit anterior date la care persoana fizică sau juridică, entitatea sau organismul menționat la articolul 3 alineatul (1) a fost inclus pe lista din anexa I; sau

(c)	plăți cuvenite în temeiul unor hotărâri judecătorești, decizii administrative sau hotărâri arbitrale pronunțate într-un stat membru sau care sunt executorii în statul membru respectiv,

cu condiția ca orice astfel de dobânzi, alte venituri și plăți să rămână sub incidența măsurilor prevăzute la articolul 3 alineatul (1).

Articolul 8

(1) Fără a aduce atingere normelor aplicabile în materie de raportare, confidențialitate și secret profesional, persoanele fizice și juridice, entitățile și organismele:

(a)

furnizează de îndată autorității competente a statului membru în care își au reședința sau sunt stabilite toate informațiile care pot facilita respectarea prezentului regulament, în special cu privire la conturile și sumele înghețate în temeiul articolului 3 alineatul (1), și transmit aceste informații Comisiei, direct sau prin intermediul statului membru în cauză; și

(b)	cooperează cu autoritatea competentă în privința oricărei verificări a informațiilor menționate la litera (a).

(2) Orice informații suplimentare primite direct de Comisie se comunică statelor membre.

(3) Orice informații furnizate sau primite în conformitate cu prezentul articol se utilizează exclusiv în scopul pentru care au fost furnizate sau primite.

Articolul 9

Este interzisă participarea în cunoștință de cauză și deliberată la activități care au drept scop sau efect eludarea măsurilor menționate la articolul 3.

Articolul 10

(1) Înghețarea fondurilor și a resurselor economice sau refuzul de a pune la dispoziție aceste fonduri sau resurse economice, cu bună-credință, pe motiv că o astfel de acțiune este conformă cu dispozițiile prezentului regulament, nu angajează în niciun fel răspunderea persoanei fizice sau juridice, a entității sau a organismului care o efectuează ori a personalului de conducere sau a angajaților acestora, cu excepția cazului în care se dovedește că fondurile și resursele economice în cauză au fost înghețate sau reținute din neglijență.

(2) Acțiunile întreprinse de persoane fizice sau juridice, de entități sau de organisme nu angajează în niciun fel răspunderea acestora în cazul în care nu au știut și nu au avut niciun motiv întemeiat să suspecteze că acțiunile lor ar încălca măsurile prevăzute în prezentul regulament.

Articolul 11

(1) Nu se dă curs niciunei cereri legate de orice contract sau tranzacție a cărei executare a fost afectată, în mod direct sau indirect, în totalitate sau parțial, de măsurile impuse în temeiul prezentului regulament, inclusiv cererilor de despăgubire sau oricărei alte cereri de acest tip, cum ar fi cererile de compensare sau cele de chemare în garanție, mai ales cererilor de prelungire sau de plată a unei obligațiuni, a unei garanții sau a unei indemnizații, în special a unei garanții financiare sau a unei indemnizații financiare, indiferent de formă, în cazul în care sunt formulate de:

(a)	persoanele fizice sau juridice, entitățile sau organismele desemnate, care figurează în anexa I;

(b)	orice persoană fizică sau juridică, entitate sau organism care acționează prin intermediul sau în numele uneia dintre persoanele fizice sau juridice, entitățile sau organismele menționate la litera (a).

(2) În cadrul oricărei proceduri de executare a unei cereri, sarcina de a dovedi că satisfacerea cererii nu este interzisă în temeiul alineatului (1) incumbă persoanei fizice sau juridice, entității sau organismului care solicită executarea respectivei cereri.

(3) Prezentul articol nu aduce atingere dreptului persoanelor fizice sau juridice, al entităților sau al organismelor menționate la alineatul (1) la controlul jurisdicțional al legalității neexecutării obligațiilor contractuale în conformitate cu prezentul regulament.

Articolul 12

(1) Comisia și statele membre se informează reciproc cu privire la măsurile luate în temeiul prezentului regulament și fac schimb de orice alte informații relevante de care dispun în legătură cu prezentul regulament, în special de informații cu privire la:

(a)	fondurile înghețate în temeiul articolului 3 și la autorizațiile acordate în temeiul articolelor 4, 5 și 6;

(b)	aspectele referitoare la încălcări și de executare și la hotărârile pronunțate de instanțele naționale.

(2) Statele membre se informează reciproc și informează Comisia imediat cu privire la orice alte informații relevante de care dispun care ar putea afecta punerea în aplicare efectivă a prezentului regulament.

Articolul 13

(1) În cazul în care decide să aplice măsurile menționate la articolul 3 unei persoane fizice sau juridice, unei entități sau unui organism, Consiliul modifică anexa I în consecință.

(2) Consiliul comunică decizia menționată la alineatul (1), inclusiv motivele includerii pe listă, persoanei fizice sau juridice, entității sau organismului vizat(e), fie direct, dacă adresa este cunoscută, fie prin publicarea unui anunț, oferind persoanei fizice sau juridice, entității sau organismului în cauză posibilitatea de a formula observații.

(3) În cazul în care se transmit observații sau se prezintă dovezi substanțiale noi, Consiliul își reexaminează decizia menționată la alineatul (1) și informează în consecință persoana fizică sau juridică, entitatea sau organismul vizat(ă).

(4) Lista din anexa I se revizuiește periodic și cel puțin la fiecare 12 luni.

(5) Comisia este împuternicită să modifice anexa II pe baza informațiilor furnizate de statele membre.

Articolul 14

(1) Anexa I cuprinde motivele includerii pe listă a persoanelor fizice sau juridice, a entităților sau a organismelor vizate.

(2) Anexa I conține, dacă sunt disponibile, informațiile care sunt necesare pentru identificarea persoanelor fizice sau juridice, a entităților sau a organismelor în cauză. În ceea ce privește persoanele fizice, astfel de informații pot include numele și pseudonimele, data și locul nașterii, cetățenia, numărul de pașaport și de carte de identitate, sexul, adresa (dacă este cunoscută) și funcția sau profesia. În ceea ce privește persoanele juridice, entitățile sau organismele, astfel de informații pot cuprinde denumirea, locul și data înregistrării, numărul de înregistrare și sediul.

Articolul 15

(1) Statele membre stabilesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Sancțiunile prevăzute sunt eficace, proporționale și descurajante.

(2) După intrarea în vigoare a prezentului regulament, statele membre notifică fără întârziere Comisiei normele menționate la alineatul (1), precum și toate modificările ulterioare aduse acestora.

Articolul 16

(1) Comisia prelucrează datele cu caracter personal în scopul de a-și exercita atribuțiile conferite în temeiul prezentului regulament. Aceste atribuții includ:

(a)	adăugarea conținutului anexei I la lista consolidată, în format electronic, a persoanelor, a grupurilor și a entităților care fac obiectul sancțiunilor financiare ale Uniunii și în harta interactivă a sancțiunilor, ambele fiind disponibile public;

(b)	prelucrarea informațiilor privind impactul măsurilor prevăzute în prezentul regulament, precum valoarea fondurilor înghețate, și a informațiilor privind autorizațiile acordate de autoritățile competente.

(2) În scopul aplicării prezentului regulament, serviciul din cadrul Comisiei prevăzut în anexa II este desemnat ca „operator” al Comisiei în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, pentru a asigura faptul că persoanele fizice în cauză își pot exercita drepturile ce le revin în temeiul regulamentului menționat.

Articolul 17

(1) Statele membre desemnează autoritățile competente menționate în prezentul regulament și le indică pe site-urile web care figurează în anexa II. Comisiei i se notifică de către statele membre orice modificare a adreselor site-urilor lor web care figurează în anexa II.

(2) După intrarea în vigoare a prezentului regulament, statele membre notifică fără întârziere Comisiei autoritățile lor competente, inclusiv datele de contact ale acestor autorități competente, precum și orice modificare ulterioară adusă în privința acestora.

(3) În cazul în care prezentul regulament prevede o obligație de a notifica, a informa sau a comunica în alt mod cu Comisia, adresa și celelalte date de contact care trebuie utilizate în vederea efectuării acestei comunicări sunt cele indicate în anexa II.

Articolul 18

Prezentul regulament se aplică:

(a)	pe teritoriul Uniunii, inclusiv în spațiul său aerian;

(b)	la bordul oricărei aeronave sau nave aflate sub jurisdicția unui stat membru;

(c)	oricărei persoane fizice aflate pe teritoriul sau în exteriorul teritoriului Uniunii, care este resortisant al unui stat membru;

(d)	oricărei persoane juridice, entități sau organism aflat pe teritoriul sau în exteriorul teritoriului Uniunii care este înregistrat sau constituit în temeiul legislației unui stat membru;

(e)	oricărei persoane juridice, entități sau organism în legătură cu orice activitate desfășurată în întregime sau în parte pe teritoriul Uniunii.

Articolul 19

Prezentul regulament intră în vigoare în ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 17 mai 2019.

Pentru Consiliu

Președintele

E.O. TEODOROVICI

(1) A se vedea pagina 13 din prezentul Jurnal Oficial.

(2) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(3) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).