|
22.7.2020 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 236/7 |
DECIZIA nr. 1/2020 A CONSILIULUI DE ADMINISTRAȚIE AL ÎNTREPRINDERII COMUNE SHIFT2RAIL
din 26 martie 2020
de stabilire a normelor interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul funcționării întreprinderii comune S2R
CONSILIUL DE ADMINISTRAȚIE AL ÎNTREPRINDERII COMUNE SHIFT2RAIL (denumită în continuare „întreprinderea comună S2R”),
având în vedere Tratatul privind funcționarea Uniunii Europene (1),
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (2), în special articolul 25,
având în vedere Regulamentul (UE) nr. 642/2014 al Consiliului din 16 iunie 2014 de înființare a întreprinderii comune Shift2Rail (3), în special articolul 8 din statutul anexat la regulamentul respectiv,
având în vedere orientările Autorității Europene pentru Protecția Datelor cu privire la articolul 25 din noul regulament și normele interne,
în urma consultării AEPD la 12 noiembrie 2019, în conformitate cu articolul 41 alineatul (2) din Regulamentul (UE) 2018/1725,
având în vedere recomandările Autorității Europene pentru Protecția Datelor („AEPD”) din 18 decembrie 2019,
după consultarea Comitetului pentru personal al întreprinderii comune S2R,
întrucât:
|
(1) |
Numai actele juridice adoptate în temeiul tratatelor prevăd o restricționare a drepturilor persoanelor vizate. În cazul în care aceste restricții nu se pot baza pe acte juridice adoptate în temeiul tratatelor, Regulamentul (UE) 2018/1725 prevede că, în ceea ce privește aspectele legate de funcționarea întreprinderii comune S2R, restricțiile pot fi impuse prin norme interne, inclusiv prin dispozițiile sale privind evaluarea necesității și proporționalității unei restricții. |
|
(2) |
În conformitate cu articolul 25 alineatul (1) din Regulamentul (UE) 2018/1725, restricționarea aplicării articolelor 14-22, 35 și 36, precum și a articolului 4 din regulamentul respectiv în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-22, trebuie să aibă la bază normele interne care urmează să fie adoptate de întreprinderea comună S2R. |
|
(3) |
În cadrul funcționării sale administrative, întreprinderea comună S2R poate desfășura anchete administrative, proceduri disciplinare, activități preliminare privind cazuri de eventuale nereguli raportate la OLAF, poate prelucra cazuri de avertizare în interes public, proceduri (oficiale și neoficiale) de hărțuire, poate trata plângeri interne și externe, poate desfășura audituri interne, investigații prin responsabilul cu protecția datelor, conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, precum și investigații interne de securitate (IT). |
|
(4) |
Întreprinderea comună S2R prelucrează mai multe categorii de date cu caracter personal, cum ar fi date de identificare, date de contact, date profesionale, date administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul și date referitoare la caz, cum ar fi datele obținute din raționamente și din evaluări, date comportamentale, date privind performanța și conduita și date referitoare la obiectul procedurii sau al activității sau prezentate în legătură cu acesta) (4). |
|
(5) |
Întreprinderea comună S2R reprezentată de directorul său executiv, acționează în calitate de operator de date. |
|
(6) |
Datele cu caracter personal sunt stocate în condiții de siguranță într-un mediu electronic sau pe hârtie, împiedicând-se accesarea ilegală sau transferul de date către persoane care nu au nevoie să le cunoască. Datele cu caracter personal prelucrate sunt păstrate doar cât timp este necesar și adecvat în scopurile pentru care sunt prelucrate datele pentru perioada specificată în notificările privind protecția datelor, în declarațiile de confidențialitate sau în evidențele întreprinderii comune S2R. |
|
(7) |
Normele interne trebuie să se aplice tuturor operațiunilor de prelucrare realizate de întreprinderea comună S2R în desfășurarea anchetelor administrative, a procedurilor disciplinare, a activităților preliminare legate de cazurile de eventuale nereguli raportate la OLAF, a procedurilor de avertizare în interes public, a procedurilor (oficiale și neoficiale) privind cazurile de hărțuire, a tratării plângerilor interne și externe, a desfășurării auditurilor interne, a investigațiilor desfășurate de responsabilul cu protecția datelor conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, a investigațiilor de securitate (IT) gestionate pe plan intern sau cu implicare externă (de exemplu, CERT-UE). |
|
(8) |
Aceste norme interne trebuie să se aplice operațiunilor de prelucrare efectuate înaintea deschiderii procedurilor menționate mai sus, pe durata acestor proceduri, precum și pe durata monitorizării rezultatelor procedurilor. De asemenea, trebuie să includă asistența și cooperarea furnizate de întreprinderea comună S2R autorităților naționale și organizațiilor internaționale în afara anchetelor administrative. |
|
(9) |
În cazurile în care se aplică aceste norme interne, întreprinderea comună S2R trebuie să furnizeze justificări, explicând de ce restricțiile sunt necesare și adecvate într-o societate democratică și să respecte esența drepturilor și libertăților fundamentale. |
|
(10) |
În acest cadru general, întreprinderea comună S2R are obligația de a respecta, în cea mai mare măsură posibilă, drepturile fundamentale ale persoanelor vizate în timpul procedurilor de mai sus, în special pe cele referitoare la dreptul de furnizare de informații, de acces și de rectificare, dreptul de ștergere a datelor, de restricționare a prelucrării lor, dreptul de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării, potrivit dispozițiilor Regulamentului (UE) 2018/1725. |
|
(11) |
Cu toate acestea, este posibil ca întreprinderea comună S2R să fie nevoită să restricționeze informarea persoanei vizate și alte drepturi ale acesteia pentru a proteja în special investigațiile proprii, investigațiile și procedurile altor autorități publice, precum și drepturile altor persoane legate de investigațiile sale sau de alte proceduri. |
|
(12) |
În cazul în care are în vedere aplicarea unei restricții, întreprinderea comună S2R apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul de anulare a efectului investigațiilor sau al procedurilor întreprinderii comune S2R, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate privesc în primul rând la riscurile reputaționale și riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea. |
|
(13) |
Astfel, întreprinderea comună S2R poate restricționa informarea în scopul protejării investigației și a drepturilor și libertăților fundamentale ale altor persoane vizate. |
|
(14) |
Întreprinderea comună S2R trebuie să urmărească periodic dacă se aplică condițiile care justifică restricția și să ridice restricția în măsura în care nu se mai aplică. |
|
(15) |
Operatorul de date trebuie să îl informeze pe responsabilul cu protecția datelor în momentul amânării și pe durata revizuirilor, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Obiectul și domeniul de aplicare
(1) Prezenta decizie stabilește normele referitoare la condițiile în care întreprinderea comună S2R, în cadrul general al procedurilor sale prevăzute la alineatul (2), poate restricționa aplicarea drepturilor consacrate la articolele 14-21, 35 și 36, precum și la articolul 4, în conformitate cu articolul 25 din Regulamentul (UE) 2018/1725.
(2) În cadrul funcționării administrative a întreprinderii comune S2R, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal de întreprinderea comună S2R, în următoarele scopuri: desfășurarea investigațiilor administrative, a procedurilor disciplinare, a activităților preliminare legate de cazurile de eventuale nereguli raportate la OLAF, prelucrarea procedurilor de avertizare în interes public, a procedurilor (oficiale și neoficiale) în cazurile de hărțuire, prelucrarea reclamațiilor interne și externe, desfășurarea auditurilor interne, a investigațiilor desfășurate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725 și a investigațiilor de securitate (TI) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE).
(3) Categoriile de date în cauză cuprind date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul) și/sau date calitative (date „subiective” referitoare la caz, cum ar fi datele obținute din raționamente, date comportamentale, evaluări, date privind performanța și conduita și date referitoare obiectul procedurii sau al activității sau prezentate în legătură cu acesta).
(4) În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, întreprinderea comună S2R analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.
Articolul 2
Specificație privind operatorul
Operatorul pentru prelucrarea datelor este întreprinderea comună S2R, reprezentată de directorul său executiv.
Articolul 3
Specificație privind garanțiile
(1) Întreprinderea comună S2R instituie garanțiile următoare cu scopul de a preveni utilizarea abuzivă, accesul sau transferul ilegal al datelor cu caracter personal:
|
(a) |
documentele pe hârtie se păstrează în dulapuri securizate și sunt accesibile numai personalului autorizat; |
|
(b) |
toate datele electronice se stochează într-o aplicație informatică securizată, conform standardelor de securitate ale întreprinderii comune S2R, precum și în fișiere electronice specifice, accesibile doar personalului autorizat. Se acordă niveluri corespunzătoare de acces în mod individual; |
|
(c) |
baza de date este protejată cu parolă într-un sistem de autentificare unic și este conectată automat la ID-ul de utilizator și la parolă, efectuându-se inclusiv „pseudonimizarea” și/sau „criptarea”, dacă este cazul. Înlocuirea utilizatorilor este strict interzisă. Evidențele electronice se păstrează în condiții de siguranță, pentru a garanta confidențialitatea datelor pe care le conțin; |
|
(d) |
toate persoanele care au acces la date se supun obligației de confidențialitate. |
(2) Conform articolului 6 alineatul (3), garanțiile menționate la alineatul 1 ar trebui să facă obiectul unei evaluări periodice.
(3) Perioada de păstrare a datelor cu caracter personal menționate la articolul 1 alineatul (3) este specificată în anunțurile relevante privind protecția datelor, în declarațiile de confidențialitate sau în evidențele menționate la articolul 7 alineatul (1). Perioada de păstrare nu va fi mai lungă, în niciun caz, decât este necesar și adecvată îndeplinirii scopurilor în care sunt prelucrate datele (5).
Articolul 4
Motive pentru aplicarea restricțiilor
(1) Întreprinderea comună S2R aplică eventualele restricții doar pentru a garanta:
|
(a) |
securitatea națională, securitatea publică sau apărarea statelor membre; |
|
(b) |
prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora; |
|
(c) |
alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special obiectivele politicii externe și de securitate comune ale Uniunii sau un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale; |
|
(d) |
securitatea internă a instituțiilor și a organelor Uniunii, inclusiv a rețelelor lor de comunicații electronice; |
|
(e) |
prevenirea, investigarea, depistarea și urmărirea penală a încălcării etice în cazul profesiilor reglementate; |
|
(f) |
o funcție de monitorizare, de inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(c); |
|
(g) |
protecția persoanei vizate sau a drepturilor și libertăților altor persoane; |
|
(h) |
executarea hotărârilor pronunțate în acțiuni în pretenții formulate în temeiul dreptului civil. |
(2) În cazuri de aplicare specifică a scopurilor descrise la alineatul (1) de mai sus, întreprinderea comună S2R poate să aplice restricții în următoarele situații:
|
(a) |
în legătură cu datele cu caracter personal care fac obiectul schimburilor cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii;
|
|
(b) |
în ceea ce privește schimbul de date cu caracter personal cu autoritățile competente ale statelor membre;
|
|
(c) |
în ceea ce privește schimbul de date cu caracter personal cu țările terțe sau cu organizații internaționale, în cazul în care există dovezi clare că exercitarea acestor drepturi și obligații ar putea periclita cooperarea întreprinderii comune S2R cu țări terțe sau cu organizații internaționale în îndeplinirea atribuțiilor sale. |
Înainte de a aplica restricții în situațiile menționate la primul paragraf literele (a) și (b), întreprinderea comună S2R consultă serviciile Comisiei, instituțiile, organele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care întreprinderea comună S2R are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.
Articolul 5
Restricții și drepturi ale persoanelor vizate
(1) În cazuri justificate și în condițiile stabilite în prezenta decizie, următoarele drepturi pot fi restricționate de operator în contextul operațiunilor de prelucrare enumerate la articolul 1 alineatul (2) și la alineatul (2) prezentat mai jos, dacă este necesar și proporțional:
|
(a) |
dreptul la informare; |
|
(b) |
dreptul de acces; |
|
(c) |
dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor; |
|
(d) |
dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal; |
|
(e) |
dreptul la confidențialitatea comunicațiilor electronice; |
(2) În cazuri justificate și pentru a proteja scopurile menționate la articolul 4 alineatul (1), operatorul poate aplica restricții în contextul următoarelor operațiuni de prelucrare menționate la articolul 1 alineatul (2):
|
(a) |
efectuarea anchetelor administrative și a procedurilor disciplinare; |
|
(b) |
activități preliminare legate de cazurile de eventuale nereguli raportate la OLAF; |
|
(c) |
proceduri de avertizare în interes public; |
|
(d) |
proceduri (oficiale și neoficiale) în cazurile de hărțuire; |
|
(e) |
prelucrarea reclamațiilor interne și externe; |
|
(f) |
audituri interne; |
|
(g) |
investigații efectuate de responsabilul cu protecția datelor conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725; |
|
(h) |
investigații de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE); |
|
(i) |
în contextul gestionării granturilor sau al procedurii de atribuire a contractelor, după expirarea termenului de depunere a cererilor de propuneri sau de depunere a ofertelor. |
(3) În contextul procedurii pentru cazurile de hărțuire, drepturile menționate la alineatul (1) pot fi restricționate în aceleași condiții, fără a se aduce atingere dreptului de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal, menționat la alineatul (1) litera (d).
(4) În contextul gestionării granturilor sau al procedurii de atribuire a contractelor, drepturile menționate la alineatul (1) pot fi limitate în aceleași condiții, fără a se aduce atingere dreptului de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor, menționat la alineatul (1) litera (c)
(5) În cazuri justificate și în condițiile prevăzute în prezenta decizie, dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor pot face obiectul unei restricții impuse de către operator, fără a se aduce atingere drepturilor prevăzute la alineatele (3) și (4).
(6) În cazul în care întreprinderea comună S2R restricționează, total sau parțial, aplicarea drepturilor menționate la alineatele (1), (3), (4) și (5), aceasta ia măsurile prevăzute la articolele 6 și 7 din prezenta decizie.
(7) În cazul în care persoanele vizate solicită acces la datele lor personale prelucrate în contextul unuia sau al mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, întreprinderea comună S2R își limitează evaluarea cererii numai la aceste date cu caracter personal.
Articolul 6
Necesitatea și proporționalitatea restricțiilor
(1) Toate restricțiile prevăzute la articolul 4 sunt necesare și proporționale, ținând seama de riscurile pentru drepturile și libertățile persoanelor vizate și de respectarea esenței drepturilor și libertăților fundamentale într-o societate democratică.
(2) Dacă se analizează aplicarea restricției, se efectuează un test de necesitate și proporționalitate, în baza prezentelor norme. Testul se efectuează, de asemenea, în cadrul evaluării periodice, după ce se reexaminează dacă motivele de fapt sau de drept pe care se întemeiază restricția mai sunt aplicabile. Acesta este documentat printr-o notă de evaluare internă în scopul respectării principiului responsabilității, de la caz la caz.
(3) Restricțiile sunt temporare. Acestea continuă să se aplice cât timp motivele care le justifică rămân aplicabile. În special, în cazul în care se consideră că exercitarea dreptului restricționat nu ar mai anula efectul restricției impuse sau ar aduce atingere drepturilor sau libertăților altor persoane vizate.
Întreprinderea comună S2R evaluează aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la încheierea anchetei, procedurii sau investigației relevante. Ulterior, operatorul monitorizează necesitatea de a menține restricția o dată la șase luni.
(4) În cazul în care întreprinderea comună S2R impune, integral sau parțial, restricții în conformitate cu articolul 4 din prezenta decizie, aceasta înregistrează motivele care stau la baza restricțiilor, temeiul legal în conformitate cu articolul 1 menționat anterior, inclusiv o evaluare a necesității și proporționalității restricției.
Această evidență și, dacă este cazul, documentele care conțin elementele factuale și juridice subiacente sunt consemnate. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.
Articolul 7
Obligația de a informa
(1) Întreprinderea comună S2R include în notificările privind protecția datelor declarații de confidențialitate sau evidențe în sensul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe site-ul său și/sau pe intranet, prin care informează persoanele vizate cu privire la drepturile lor în cadrul unei proceduri date, precum și informații referitoare la eventuala restricționare a acestor drepturi. Informațiile acoperă drepturile care pot fi restricționate, motivele restricționării și posibila durată a acesteia.
Fără a se aduce atingere dispozițiilor prevăzute la articolul 6 alineatul (4), întreprinderea comună S2R, atunci când este proporțional, informează, de asemenea, în mod individual, toate persoanele vizate care sunt considerate persoane interesate în cadrul operațiunii respective de prelucrare, cu privire la drepturile lor legate de restricțiile prezente sau viitoare, fără întârzieri nejustificate și în scris.
(2) În cazul în care întreprinderea comună S2R restricționează, integral sau parțial, drepturile prevăzute la articolul 5, informează persoana vizată cu privire la restricția aplicată și la principalele motive ale acesteia, precum și la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.
Furnizarea informațiilor prevăzute la alineatul (2) menționat anterior poate fi amânată, omisă sau refuzată, dacă aceasta ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.
Articolul 8
Revizuirea de către responsabilul cu protecția datelor
(1) Întreprinderea comună S2R informează, fără întârzieri nejustificate, responsabilul cu protecția datelor („RPD”) al întreprinderii comune S2R, de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau prelungește restricția, în conformitate cu prezenta decizie. Operatorul îi acordă RPD accesul la evidențele care cuprind evaluarea necesității și a proporționalității restricției și consemnează data informării RPD.
(2) RPD îi poate solicita operatorului în scris revizuirea aplicării restricțiilor. Operatorul informează RPD în scris cu privire la rezultatul revizuirii solicitate.
(3) RPD este implicat pe întreaga durată a procedurii. Operatorul informează RPD la ridicarea restricției.
Articolul 9
Intrarea în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Bruxelles, 26 martie 2020.
Pentru Consiliul de administrație al întreprinderii comune S2R
Henrik HOLOLEI
Președintele
(1) JO C 202, 7.6.2016, p. 47.
(2) JO L 295, 21.11.2018, p. 39.
(3) JO L 177, 17.6.2014, p. 9.
(4) În cazurile în care datele privind controlul comun sunt prelucrate în conformitate cu mijloacele și scopurile stabilite în acordul relevant între operatorii asociați, așa cum se prevede la articolul 28 din Regulamentul (UE) 2018/1725.
(5) Politica de păstrare a întreprinderii comune S2R se bazează pe păstrarea dosarelor în cadrul Comisiei, fiind reglementată de lista comună de păstrare, un document de reglementare [ultima versiune fiind SEC(2019) 900] sub forma unui calendar de păstrare care stabilește perioadele de păstrare pentru diferitele tipuri de dosare ale Comisiei.
(6) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(7) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).