|
17.3.2021 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 92/6 |
DECIZIA COMITETULUI DIRECTOR
privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Agenția Executivă pentru Educație, Audiovizual și Cultură
COMITETUL DIRECTOR,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 249 alineatul (1),
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (1), în special articolul 25,
având în vedere Decizia de punere în aplicare 2013/776/UE a Comisiei din 18 decembrie 2013 de stabilire a „Agenției Executive pentru Educație, Audiovizual și Cultură” și de abrogare a Deciziei 2009/336/CE (2),
după consultarea Autorității Europene pentru Protecția Datelor,
întrucât:
|
(1) |
Agenția Executivă pentru Educație, Audiovizual și Cultură (denumită în continuare „agenția”) a fost înființată prin Decizia de punere în aplicare 2013/776/UE în vederea îndeplinirii sarcinilor legate de implementarea programelor Uniunii în domeniul educației, al audiovizualului și al culturii (3). |
|
(2) |
În cadrul funcționării sale administrative și operaționale, agenția poate să desfășoare anchete administrative, proceduri predisciplinare, proceduri disciplinare și suspendări, în conformitate cu Statutul funcționarilor Uniunii Europene și Regimul aplicabil celorlalți agenți ai Uniunii Europene, prevăzut de Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (4) („Statutul funcționarilor Uniunii Europene”), și în conformitate cu dispozițiile de punere în aplicare privind desfășurarea anchetelor administrative și a procedurilor disciplinare. Dacă este cazul, agenția poate să desfășoare activități preliminare referitoare la cazurile de fraudă și nereguli potențiale și poate să informeze OLAF cu privire la cazuri. |
|
(3) |
Membrii personalului agenției au obligația de a raporta activități potențial ilegale, inclusiv fraudă și corupție, care aduc atingere intereselor Uniunii. Membrii personalului sunt, de asemenea, obligați să raporteze comportamente legate de îndeplinirea sarcinilor profesionale care pot constitui o încălcare gravă a obligațiilor funcționarilor Uniunii. Această obligație este reglementată prin normele interne sau prin politicile privind avertizarea în interes public. |
|
(4) |
Agenția a stabilit o politică de prevenire și soluționare eficace a cazurilor reale sau potențiale de hărțuire psihologică sau sexuală la locul de muncă, astfel cum se prevede în măsurile de punere în aplicare în conformitate cu Statutul funcționarilor Uniunii Europene, care stabilește o procedură informală prin care presupusa victimă a hărțuirii poate contacta consilierii „confidențiali” din cadrul agenției. |
|
(5) |
De asemenea, agenția poate să desfășoare investigații interne de securitate (informatică) și cu privire la eventualele încălcări ale normelor de securitate pentru informațiile UE clasificate („IUEC”). |
|
(6) |
Agenția face obiectul unor audituri interne, precum și al unor audituri externe privind activitățile sale, cum ar fi cele desfășurate de Serviciile de Audit Intern ale Comisiei Europene și de Curtea de Conturi Europeană. |
|
(7) |
Agenția poate să trateze cereri de la Parchetul European (EPPO), cereri de acces la dosarele de sănătate ale membrilor personalului agenției, să desfășoare investigații prin responsabilul cu protecția datelor, conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725. |
|
(8) |
În contextul acestor anchete administrative, audituri, investigații sau cereri, agenția cooperează cu alte instituții, organe, oficii și agenții ale Uniunii. |
|
(9) |
Agenția poate coopera cu autoritățile naționale din țări terțe și cu organizații internaționale, la cererea lor sau din proprie inițiativă. |
|
(10) |
Agenția poate coopera și cu autoritățile publice ale statelor membre ale UE, la cererea lor sau din proprie inițiativă. |
|
(11) |
Agenția poate să facă obiectul unor plângeri, proceduri sau investigații prin avertizori de integritate sau prin Ombudsmanul European. |
|
(12) |
Agenția poate fi implicată în cauze prezentate în fața Curții de Justiție a Uniunii Europene, când fie sesizează Curtea, fie apără o decizie pe care a luat-o și care a fost contestată în fața Curții, fie intervine în cauze care sunt de competența sa. În acest context, agenția poate fi nevoită să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți. |
|
(13) |
În contextul activităților sale, agenția prelucrează mai multe categorii de date cu caracter personal, inclusiv date de identificare ale persoanelor fizice, date de contact, roluri și sarcini profesionale, informații privind conduita și performanțele din viața privată și activitatea profesională, date financiare și, în anumite cazuri, date sensibile (de exemplu date privind sănătatea). Datele cu caracter personal includ date „concrete” și date „calitative” pentru evaluare. „Datele concrete” sunt date faptice obiective, cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, metadate privind comunicațiile electronice și date privind traficul. „Datele calitative” sunt date subiective și includ în special descrierea și evaluarea situațiilor și a circumstanțelor, opinii, observații referitoare la persoanele vizate, evaluarea conduitei și a performanței persoanelor vizate și raționamente care stau la baza deciziilor individuale referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității desfășurate de agenție conform cadrului juridic aplicabil. Evaluările, observațiile și opiniile sunt considerate date cu caracter personal în sensul articolului 3 alineatul (1) din Regulamentul (UE) 2018/1725. |
|
(14) |
Prin urmare, în temeiul Regulamentului (UE) 2018/1725, agenția este obligată să furnizeze persoanelor vizate informații cu privire la aceste activități de prelucrare și să le respecte drepturile în calitate de persoane vizate. |
|
(15) |
Agenția s-a angajat să respecte, în cea mai mare măsură posibilă, drepturile fundamentale ale persoanelor vizate, în special dreptul de furnizare de informații, dreptul de acces la date și de rectificare a datelor, dreptul de ștergere a datelor, dreptul de restricționare a prelucrării datelor, dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor, astfel cum sunt stabilite prin Regulamentul (UE) 2018/1725. Cu toate acestea, agenția poate fi obligată să restricționeze drepturile și obligațiile persoanei vizate și cu scopul de a proteja activitățile sale și drepturile și libertățile fundamentale ale altor persoane. |
|
(16) |
Prin urmare, articolul 25 alineatele (1) și (5) din Regulamentul (UE) 2018/1725 îi dau agenției posibilitatea de a restricționa, în anumite condiții, aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20. Restricționarea va avea la bază norme interne, adoptate la cel mai înalt nivel de conducere al agenției și publicate în Jurnalul Oficial al Uniunii Europene, dacă nu are la bază acte juridice adoptate în baza tratatelor. |
|
(17) |
Restricțiile pot fi aplicate diferitelor drepturi ale persoanelor vizate, inclusiv dreptului de furnizare de informații persoanelor vizate, dreptului de acces la date, de rectificare a datelor, de ștergere a datelor, de restricționare a prelucrării datelor, de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptului la confidențialitatea comunicațiilor, astfel cum sunt stabilite prin Regulamentul (UE) 2018/1725. |
|
(18) |
Agenția poate fi obligată să reconcilieze aceste drepturi cu obiectivele anchetelor administrative, ale auditurilor, ale investigațiilor și ale acțiunilor în justiție. De asemenea, poate fi obligată să asigure un echilibru între drepturile persoanei vizate și drepturile și libertățile fundamentale ale altor persoane vizate. |
|
(19) |
Agenția poate, de exemplu, să fie nevoită să restricționeze informațiile pe care le furnizează unei persoane vizate cu privire la prelucrarea datelor sale personale în etapa de evaluare preliminară a unei anchete administrative sau în cadrul anchetei propriu-zise, înainte de o eventuală revocare a cazului sau în etapa predisciplinară. În anumite situații, furnizarea unor astfel de informații poate afecta grav capacitatea agenției de a efectua o anchetă în mod eficace, de exemplu, dacă există riscul ca persoana în cauză să distrugă probe sau să ia legătura cu potențialii martori înainte de audierea lor. Agenția poate, de asemenea, să fie nevoită să protejeze drepturile și libertățile martorilor, precum și pe cele ale altor persoane implicate. |
|
(20) |
Ar putea fi necesar ca agenția să protejeze anonimatul unui martor sau al unui avertizor de integritate care a solicitat să nu fie identificat. Într-un asemenea caz, agenția poate decide să restricționeze accesul la identitatea, declarațiile și alte date personale ale acestor persoane, pentru a le proteja drepturile și libertățile. |
|
(21) |
Agenția poate fi nevoită să protejeze informațiile confidențiale ale unui membru al personalului care a contactat consilierii „confidențiali” din cadrul agenției, în contextul unei proceduri de hărțuire. Într-un astfel de caz, agenția poate fi nevoită să restricționeze accesul la identitatea, declarațiile și alte date personale ale presupusei victime, ale presupusului hărțuitor și ale altor persoane implicate, pentru a proteja drepturile și libertățile tuturor persoanelor implicate. |
|
(22) |
În ceea ce privește procedurile de selecție și recrutare, procedurile de evaluare a personalului și procedurile de achiziții publice, dreptul de acces, dreptul la rectificarea, ștergerea și restricționarea datelor pot fi exercitate numai în anumite momente și în condițiile specificate în procedurile relevante, pentru a proteja drepturile altor persoane vizate și pentru a respecta principiul egalității de tratament și pe cel al confidențialității deliberărilor. |
|
(23) |
De asemenea, agenția poate să restricționeze accesul persoanelor la datele lor medicale, de exemplu la cele de natură psihologică sau psihiatrică, din cauza caracterului potențial sensibil al acestor date, iar Serviciul medical al Comisiei ar putea acorda persoanelor vizate numai acces indirect, prin medicul lor. Persoana vizată își poate exercita dreptul la rectificarea evaluărilor sau a opiniilor Serviciului medical al Comisiei, prezentându-și observațiile sau furnizând raportul unui medic ales de aceasta. |
|
(24) |
Agenția, reprezentată de directorul său, îndeplinește rolul de operator de date, fără a ține seama de delegarea ulterioară a rolului de operator în cadrul agenției, prin care se reflectă responsabilitățile operaționale pentru activități specifice de prelucrare a datelor cu caracter personal față de „operatorii de date delegați” competenți. |
|
(25) |
Datele cu caracter personal sunt stocate în siguranță într-un mediu electronic, în conformitate cu Decizia (UE, Euratom) 2017/46 a Comisiei (5) privind securitatea sistemelor informatice și de comunicații în cadrul Comisiei Europene, sau pe suport de hârtie, prevenind accesul ilegal sau transferul de date către persoane care nu au nevoie să le cunoască. Datele cu caracter personal prelucrate sunt păstrate doar atâta timp cât este necesar și oportun în scopurile pentru care sunt prelucrate datele pentru perioada specificată în notificările privind protecția datelor și în evidențele agenției. |
|
(26) |
Agenția aplică restricții numai dacă acestea respectă esența drepturilor și libertăților fundamentale, dacă sunt strict necesare și constituie o măsură proporțională într-o societate democratică. Agenția prezintă motivele care să prezinte justificarea respectivelor restricții și informează în mod corespunzător persoanele vizate cu privire la temeiurile respective și la dreptul lor de a depune o plângere la AEPD, conform prevederilor de la articolul 25 alineatul (6) din Regulamentul (UE) 2018/1725. |
|
(27) |
Conform principiului responsabilității, agenția ține evidența aplicării restricțiilor. |
|
(28) |
Atunci când prelucrează date cu caracter personal transmise altor organizații în contextul sarcinilor care îi revin, agenția se consultă cu organizațiile respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor respective, cu excepția cazului în care acest lucru ar pune în pericol activitățile agenției. |
|
(29) |
Astfel, normele interne se aplică tuturor activităților de prelucrare efectuate de agenție, care implică date cu caracter personal, în desfășurarea de anchete administrative, proceduri disciplinare, activități preliminare legate de cazuri de eventuale nereguli raportate către OLAF, investigații ale Parchetului European (EPPO), proceduri de avertizare în interes public, proceduri (formale și informale) pentru cazuri de hărțuire, prelucrarea de plângeri interne și externe, cereri de acces sau de rectificare a dosarelor medicale proprii, investigații efectuate de responsabilul cu protecția datelor conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, investigații de securitate (informatică) gestionate pe plan intern sau cu implicare externă (de exemplu CERT-UE), audituri, proceduri înaintea Curții de Justiție a Uniunii Europene sau a autorităților publice naționale, proceduri de selecție și de recrutare, evaluări de personal și achiziții publice, astfel cum sunt enumerate mai sus. |
|
(30) |
Aceste norme interne se aplică activităților de prelucrare efectuate înainte de inițierea procedurilor la care s-a făcut referire mai sus, pe durata acestor proceduri, precum și pe durata monitorizării rezultatelor procedurilor. Trebuie să includă, de asemenea, asistența și cooperarea furnizate de agenție altor instituții ale UE, autorităților naționale și organizațiilor internaționale în afara activităților sale administrative. |
|
(31) |
În temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, agenția poate amâna, omite sau refuza furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă aceasta ar anula efectul restricției. Agenția trebuie să evalueze, de la caz la caz, dacă comunicarea restricției anulează efectul acesteia. |
|
(32) |
Agenția va ridica restricția imediat ce condițiile care justifică restricția nu mai sunt valabile și va evalua aceste condiții în mod regulat. |
|
(33) |
Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din Regulamentul (UE) 2018/1725, responsabilul cu protecția datelor al agenției trebuie consultat în timp util înainte de aplicarea oricărei restricții și să verifice dacă aceasta respectă prezenta decizie. |
|
(34) |
Articolul 16 alineatul (5) și articolul 17 alineatul (4) din Regulamentul (UE) 2018/1725 prevăd excepții de la exercitarea de către persoanele vizate a dreptului la informare și a dreptului de acces. Dacă se aplică aceste excepții, agenția nu este nevoită să aplice o restricție în temeiul prezentei decizii, |
ADOPTĂ URMĂTOAREA DECIZIE:
Articolul 1
Obiect și domeniu de aplicare
(1) Prezenta decizie stabilește normele privind condițiile în care Agenția Executivă pentru Educație, Audiovizual și Cultură și orice succesor legal al acesteia (denumită în continuare „agenția”) poate restricționa aplicarea articolelor 4, 14-22, 35 și 36, conform articolului 25 din Regulamentul (UE) 2018/1725.
(2) Agenția, în calitate de operator de date, este reprezentată de directorul agenției, care poate delega mai departe funcția de operator de date.
Articolul 2
Restricții aplicabile
(1) Agenția poate restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4 din Regulamentul (UE) 2018/1725 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20.
(2) Prezenta decizie se aplică prelucrării datelor cu caracter personal de către agenție în cadrul funcționării sale administrative și operaționale:
|
(a) |
în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când desfășoară investigații interne, inclusiv în baza plângerilor externe, anchete administrative, proceduri predisciplinare sau disciplinare sau suspendări în temeiul articolului 86 și al anexei IX la Statutul funcționarilor Uniunii Europene și normele de aplicare a acestuia, investigații de securitate sau investigații OLAF; |
|
(b) |
în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când se asigură că membrii personalului agenției pot raporta faptele în mod confidențial, în cazul în care consideră că există nereguli grave, așa cum se prevede în normele sau politicile interne privind avertizarea în interes public; |
|
(c) |
în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când se asigură că membrii personalului agenției pot raporta consilierilor confidențiali în contextul unei proceduri de hărțuire, astfel cum se definește în normele interne; |
|
(d) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când efectuează audituri interne sau externe în legătură cu activitățile sau funcționarea agenției; |
|
(e) |
în temeiul articolului 25 alineatul (1) literele (d) și (h) din Regulamentul (UE) 2018/1725, atunci când asigură analizele de securitate, inclusiv securitatea cibernetică și abuzurile sistemului informatic, gestionate pe plan intern sau cu implicare externă (de exemplu, CERT-UE), când asigură securitatea internă prin supraveghere video, controlul accesului și în scopuri de investigare, când securizează sistemele de comunicații și informatice și când pune în aplicare contramăsuri de securitate; |
|
(f) |
în temeiul articolului 25 alineatul (1) literele (g) și (h) din Regulamentul (UE) 2018/1725, atunci când responsabilul cu protecția datelor al agenției („RPD”) investighează chestiunile care au legătură directă cu sarcinile sale; |
|
(g) |
în temeiul articolului 25 alineatul (1) literele (b), (g) și (h) din Regulamentul (UE) 2018/1725, în contextul investigațiilor Parchetului European (EPPO); |
|
(h) |
în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când persoanele solicită acces la datele lor medicale sau rectificarea lor, inclusiv dacă acestea sunt păstrate de Serviciul medical al Comisiei; |
|
(i) |
în temeiul articolului 25 alineatul (1) literele (c), (d), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când acordă asistență altor instituții, organe, oficii și agenții ale Uniunii sau beneficiază de asistență din partea acestora sau cooperează cu acestea în contextul activităților prevăzute la literele (a)-(h) de la prezentul alineat și în temeiul acordurilor relevante privind nivelul serviciilor, al memorandumurilor de înțelegere și al acordurilor de cooperare aferente actului de instituire al acestora; |
|
(j) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când acordă asistență autorităților naționale și organizațiilor internaționale din țări terțe sau beneficiază de asistență din partea acestora sau cooperează cu aceste autorități și organizații, la cererea lor sau din proprie inițiativă; |
|
(k) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din Regulamentul (UE) 2018/1725, atunci când acordă și beneficiază de asistență din partea autorităților publice ale statelor membre ale UE și atunci când cooperează cu acestea, la cererea lor sau din proprie inițiativă; |
|
(l) |
în temeiul articolului 25 alineatul (1) litera (e) din Regulamentul (UE) 2018/1725, când prelucrează date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor desfășurate în fața Curții de Justiție a Uniunii Europene. |
În sensul prezentei decizii, activitățile de mai sus includ acțiunile pregătitoare și pe cele subsecvente legate direct de activitatea respectivă.
(3) De asemenea, agenția poate aplica restricții de la caz la caz drepturilor persoanelor vizate menționate în prezenta decizie, în următoarele circumstanțe:
|
(a) |
în cazul în care serviciile Comisiei sau alte instituții, organe, agenții sau oficii ale Uniunii au dreptul de a-și exercita drepturile enumerate, iar scopul unei astfel de restricționări realizate de serviciul, de instituția Uniunii, organul sau agenția respectivă ar fi pus în pericol în cazul în care agenția nu aplică o restricție echivalentă în ceea ce privește respectivele date cu caracter personal; |
|
(b) |
în cazul în care autoritățile competente ale statelor membre au dreptul de a-și exercita drepturile enumerate, iar scopul unei astfel de restricționări realizate de respectiva autoritate a statului membru ar fi pus în pericol în cazul în care agenția nu aplică o restricție echivalentă în ceea ce privește respectivele date cu caracter personal; |
|
(c) |
în cazul în care exercitarea respectivelor drepturi și obligații ar pune în pericol cooperarea agenției cu țări terțe sau cu organizații internaționale în desfășurarea sarcinilor sale, dacă această necesitate de a coopera nu este anulată de interesele sau de drepturile și libertățile fundamentale ale persoanei vizate; |
|
(d) |
înainte de a aplica restricții în temeiul prezentului alineat, agenția va consulta, dacă este cazul, serviciile relevante ale Comisiei, alte instituții, organe, agenții sau oficii ale Uniunii, organizații internaționale sau autoritățile competente ale statelor membre, cu excepția cazului în care este evident că restricția este prevăzută pentru unul dintre actele menționate mai sus sau că o astfel de consultare ar pune în pericol activitățile agenției. |
(4) Categoriile de date cu caracter personal legate de activitățile de mai sus pot să cuprindă date „concrete” și date „calitative” pentru evaluare.
(5) Aceste restricții trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică.
Articolul 3
Evidența și înregistrarea restricțiilor
(1) Operatorul de date întocmește o evidență a restricției, descriind:
|
(a) |
motivele pentru restricțiile aplicate în temeiul prezentei decizii; |
|
(b) |
temeiurile aplicabile dintre cele enumerate la articolul 2; |
|
(c) |
modul în care exercitarea dreptului ar prezenta un risc pentru persoana vizată sau ar pune în pericol scopul sarcinilor agenției sau ar afecta negativ drepturile și libertățile altor persoane vizate; |
|
(d) |
rezultatul evaluării necesității și proporționalității restricției, ținând cont de elementele relevante de la articolul 25 alineatul (2) din Regulamentul (UE) 2018/1725. |
(2) Înainte de aplicarea restricțiilor, se efectuează de la caz la caz un test de necesitate și proporționalitate a acestora. Operatorul de date ia în considerare riscurile potențiale pentru drepturile și libertățile persoanei vizate. Restricțiile se limitează la ceea ce este strict necesar pentru atingerea obiectivelor lor.
(3) Evidența restricției și, dacă este cazul, documentele care conțin elementele de fapt și de drept subiacente sunt consemnate. La cerere, acestea se pun la dispoziția Autorității Europene pentru Protecția Datelor.
Articolul 4
Riscurile pentru drepturile și libertățile persoanelor vizate
(1) Evaluările riscurilor pentru drepturile și libertățile persoanelor vizate de impunerea de restricții și detaliile referitoare la perioada de aplicare a acestor restricții se înregistrează în evidența activităților de prelucrare desfășurate de operatorul de date în temeiul articolului 31 din Regulamentul (UE) 2018/1725. Acestea sunt înregistrate, de asemenea, în orice evaluare a impactului restricțiilor asupra protecției datelor, efectuată în temeiul articolului 39 din Regulamentul (UE) 2018/1725, dacă este cazul.
(2) În momentul în care operatorul de date analizează aplicarea unei restricții, se apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul unui impact negativ asupra investigațiilor sau asupra procedurilor, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate se referă în primul rând la riscurile reputaționale și la riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea.
Articolul 5
Garanții și perioade de stocare
(1) Agenția instituie garanții pentru a preveni abuzul sau accesul ilegal sau transferul de date cu caracter personal care fac sau ar putea face obiectul unor restricții. Astfel de garanții conțin măsuri tehnice și organizatorice, iar dacă este necesar, sunt prezentate în detaliu în deciziile interne, în procedurile și în normele de punere în aplicare ale agenției. Garanțiile cuprind:
|
(a) |
o definire adecvată a rolurilor, responsabilităților și etapelor procedurale; |
|
(b) |
dacă este cazul, un mediu electronic securizat, care previne accesul sau transferul ilegal și accidental de date electronice către persoane neautorizate; |
|
(c) |
dacă este cazul, stocarea și prelucrarea securizată a documentelor pe suport de hârtie; |
|
(d) |
asigurarea respectării obligațiilor de confidențialitate pentru toate persoanele care au acces la datele cu caracter personal. |
(2) Perioada de păstrare a datelor cu caracter personal care fac obiectul unei restricții va fi definită în evidența aferentă în temeiul articolului 31 din Regulamentul (UE) 2018/1725, ținând cont de scopul prelucrării, și va include intervalul necesar pentru controlul administrativ și judiciar. La sfârșitul perioadei de păstrare, datele cu caracter personal sunt șterse, anonimizate sau transferate în arhive conform articolului 13 din Regulamentul (UE) 2018/1725.
Articolul 6
Durata restricțiilor
(1) Restricțiile menționate la articolul 2 continuă să se aplice atâta timp cât motivele care o justifică rămân aplicabile.
(2) Dacă motivele pentru o restricție nu mai sunt aplicabile, operatorul de date ridică restricția, dacă exercitarea dreptului restricționat nu mai are un impact negativ asupra procedurii aplicabile relevante sau nu mai afectează negativ drepturile sau libertățile altor persoane vizate.
(3) În cazul în care persoana vizată cere din nou acces la datele personale în cauză, operatorul de date prezintă persoanei vizate principalele motive ale restricției. În același timp, agenția informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.
(4) Agenția revizuiește aplicarea restricțiilor menționate la articolul 2 o dată la șase luni.
Articolul 7
Implicarea responsabilului cu protecția datelor
(1) Operatorul de date al agenției informează RPD al agenției fără întârzieri nejustificate și înainte de a lua orice decizie de a restricționa drepturile persoanei vizate în conformitate cu prezenta decizie sau de a extinde aplicarea restricției. Operatorul de date îi acordă RPD acces la evidența aferentă și la orice document referitor la contextul faptic sau juridic.
(2) RPD îi poate solicita operatorului de date să revizuiască aplicarea restricțiilor. Operatorul de date informează RPD, în scris, cu privire la rezultatul revizuirii solicitate.
(3) Operatorul de date documentează implicarea RPD în aplicarea restricției, inclusiv ce informații sunt comunicate. Documentele întocmite în temeiul acestui articol fac parte dintr-o evidență privind restricția și sunt puse la dispoziția AEPD la cerere.
Articolul 8
Informarea persoanei vizate cu privire la restricționarea drepturilor
(1) Operatorul de date include în anunțurile și evidențele privind protecția datelor realizate în temeiul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe site-ul său și pe intranet, informații cu caracter general privind restricțiile potențiale aplicate drepturilor persoanelor vizate, conform articolului 2 alineatul (2) din prezenta decizie. Informațiile se referă la drepturile și obligațiile care pot fi restricționate, la motivele pentru care se pot aplica restricții și la durata potențială a acestora.
(2) Operatorul de date informează fiecare persoană vizată în parte, în scris și fără întârzieri nejustificate, cu privire la restricțiile prezente sau viitoare ale drepturilor lor. Operatorul de date informează persoana vizată cu privire la principalele motive care stau la baza aplicării restricției, la dreptul său de a se consulta cu RPD în vederea contestării restricției și la dreptul său de a depune o plângere la AEPD.
(3) Operatorul de date poate amâna, omite sau refuza furnizarea de informații privind motivele restricției și dreptul de a depune o plângere la AEPD, atâta timp cât aceasta ar anula efectul restricției. Evaluarea acestei justificări se realizează de la caz la caz, iar operatorul de date furnizează informațiile persoanei vizate, imediat ce acest lucru nu mai anulează efectul restricției.
Articolul 9
Dreptul de acces al persoanei vizate
(1) În cazurile justificate și în condițiile specificate în prezenta decizie, dreptul de acces în temeiul articolului 17 din Regulamentul (UE) 2018/1725 poate fi restricționat de operatorul de date dacă acest lucru este necesar și proporțional în ceea ce privește activitățile în temeiul prezentei decizii.
(2) În cazul în care persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unei activități specifice de prelucrare menționată la articolul 2 alineatul (2) al prezentei decizii, agenția limitează răspunsul său la datele cu caracter personal prelucrate pentru activitatea respectivă.
(3) Drepturile persoanei vizate de a accesa direct documentele de natură psihologică sau psihiatrică pot fi restricționate. Accesul indirect sau dreptul de rectificare și de comunicare a unei încălcări a securității datelor cu caracter personal nu vor fi limitate prin aceste norme interne. Prin urmare, trebuie să se acorde acces unui medic intermediar, la cererea persoanei vizate, la toate informațiile aferente, precum și putere discreționară în ceea ce privește modul în care se oferă acces persoanei vizate, precum și tipul de acces oferit.
(4) În cazul în care operatorul de date restricționează, integral sau parțial, dreptul de acces la datele cu caracter personal, astfel cum se menționează la articolul 17 din Regulamentul (UE) 2018/1725, acesta informează persoana vizată, în scris, în răspunsul său la cererea de acces, cu privire la restricția aplicată și la principalele motive ale acesteia, precum și la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.
(5) Informațiile privind restricționarea accesului pot fi amânate, omise sau refuzate, dacă aceasta ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.
(6) O restricție în temeiul prezentului articol se va aplica în conformitate cu prezenta decizie.
Articolul 10
Dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor
(1) În cazuri justificate și în condițiile specificate în prezenta decizie, dreptul la rectificare, la ștergere și la prelucrare în temeiul articolului 18, al articolului 19 alineatul (1) și al articolului 20 alineatul (1) din Regulamentul (UE) 2018/1725 pot fi restricționate de operatorul de date dacă acest lucru este necesar și oportun în ceea ce privește activitățile în temeiul articolului 2 alineatul (2) din prezenta decizie.
(2) În ceea ce privește datele medicale, persoanele vizate își pot exercita dreptul la rectificarea evaluării sau a opiniei Serviciului medical al Comisiei, prezentându-și observațiile sau furnizând raportul unui medic ales de acestea, inclusiv direct Serviciului medical al Comisiei.
(3) O restricție în temeiul prezentului articol se va aplica în conformitate cu prezenta decizie.
Articolul 11
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal
(1) În cazul în care operatorul de date are obligația de a comunica o încălcare a securității datelor în temeiul articolului 35 alineatul (1) din Regulamentul (UE) 2018/1725, acesta poate, în circumstanțe excepționale, să restricționeze integral sau parțial această comunicare. Acesta trebuie să consemneze într-o notă motivele restricției, temeiul juridic al acesteia, în conformitate cu articolul 2, și o evaluare a necesității și proporționalității acesteia. Nota trebuie comunicată AEPD în momentul notificării încălcării securității datelor cu caracter personal.
(2) În cazul în care motivele restricției nu se mai aplică, agenția comunică persoanei vizate încălcarea securității datelor cu caracter personal și o informează cu privire la motivele principale ale restricției și cu privire la dreptul său de a depune o plângere la AEPD.
Articolul 12
Confidențialitatea comunicațiilor electronice
(1) În circumstanțe excepționale, agenția poate restricționa dreptul la confidențialitatea comunicațiilor electronice prevăzute la articolul 36 din Regulamentul (UE) 2018/1725. Astfel de restricții sunt în conformitate cu Directiva 2002/58/CE a Parlamentului European și a Consiliului (6).
(2) Fără a aduce atingere prevederilor de la articolul 8 alineatul (3), în cazul în care agenția restricționează dreptul la confidențialitatea comunicațiilor electronice, aceasta informează persoana vizată, în răspunsul său la o eventuală cerere a persoanei vizate, cu privire la principalele motive pe care se bazează aplicarea restricției și cu privire la dreptul său de a depune o plângere la AEPD.
Articolul 13
Intrarea în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Bruxelles, 22 octombrie 2020.
Pentru Comitetul director
Președintele
Themis CHRISTOPHIDOU
(1) JO L 295, 21.11.2018, p. 39.
(2) JO L 343, 19.12.2013, p. 46, astfel cum a fost modificată prin Deciziile de punere în aplicare (UE) 2018/1716 (JO L 286, 14.11.2018, p. 33) și (UE) 2019/1855 (JO L 285, 6.11.2019, p. 14).
(3) Decizia C(2013) 9189 a Comisiei din 18 decembrie 2013 de delegare a competențelor către EACEA, în vederea executării sarcinilor aferente punerii în aplicare a programelor Uniunii în domeniul educației, audiovizualului și culturii, incluzând, în special, executarea creditelor înscrise în bugetul general al Uniunii și a alocărilor FED. Decizia sus-menționată a fost ulterior modificată prin Decizia C(2014) 4084 a Comisiei din 26 iunie 2014, Decizia C(2015) 658 a Comisiei din 12 februarie 2015, Decizia C(2016) 401 a Comisiei din 1 februarie 2016, Decizia C(2016) 1851 a Comisiei din 31 martie 2016, Decizia C(2017) 3049 a Comisiei din 12 mai 2017, Decizia C(2018) 5011 a Comisiei din 1 august 2018, Decizia C(2018) 7435 a Comisiei din 13 noiembrie 2018, Decizia C(2019) 1299 a Comisiei din 19 februarie 2019 și Decizia C(2019) 7856 a Comisiei din 6 noiembrie 2019.
(4) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(5) Decizia (UE, Euratom) 2017/46 a Comisiei din 10 ianuarie 2017 privind securitatea sistemelor informatice și de comunicații în cadrul Comisiei Europene (JO L 6, 11.1.2017, p. 40).
(6) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).