(1)   Unitatea sau serviciul Parlamentului European care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal acționează în calitate de operator cu privire la aceste date în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725.

(2)   În cazul în care operațiunea de prelucrare depășește competențele unei unități sau ale unui serviciu al Parlamentului European, direcția competentă este operatorul în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, cu excepția cazului în care se convine asupra aplicării sistemului operatorilor asociați în conformitate cu articolul 28 din regulamentul respectiv.

(3)   În cazul în care operațiunea de prelucrare depășește competențele unei direcții a Parlamentului European, direcția generală competentă a Parlamentului European este operatorul în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, cu excepția cazului în care se convine asupra aplicării sistemului operatorilor asociați în conformitate cu articolul 28 din regulamentul respectiv.

(4)   În cazul în care mai multe direcții generale ale Parlamentului European stabilesc scopurile și mijloacele unei anumite operațiuni de prelucrare sau în cazul în care una dintre entitățile organizaționale menționate la alineatele (1)-(3) și cel puțin o entitate, alta decât instituțiile și organele Uniunii, stabilesc scopurile și mijloacele unei operațiuni de prelucrare specifice, actorii competenți sunt considerați operatori asociați în sensul articolului 28 alineatul (1) din Regulamentul (UE) 2018/1725.

(5)   Parlamentul European este considerat a fi operatorul în sensul articolului 44 alineatele (3) și (6) din Regulamentul (UE) 2018/1725.

(6)   Operatorul este responsabil de asigurarea faptului că operațiunile de prelucrare sunt efectuate în conformitate cu Regulamentul (UE) 2018/1725 și trebuie să fie în măsură să demonstreze respectarea regulamentului respectiv.

În special, operatorul este responsabil pentru:

(1)   Secretarul general numește responsabilul cu protecția datelor din rândul personalului Parlamentului European, în conformitate cu articolul 43 și cu articolul 44 alineatele (8) și (9) din Regulamentul (UE) 2018/1725. Responsabilul cu protecția datelor este numit în conformitate cu procedura aplicabilă prevăzută în Statutul funcționarilor („Statutul funcționarilor”) sau, după caz, în Regimul aplicabil celorlalți agenți ai Uniunii Europene („Regimul aplicabil celorlalți agenți”) stabilit prin Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (2). Responsabilul cu protecția datelor se numește pe o perioadă de cinci ani, iar mandatul său poate fi reînnoit.

(2)   În scopul îndeplinirii sarcinilor sale în temeiul prezentei decizii, responsabilul cu protecția datelor este scutit de orice alte sarcini în cadrul Parlamentului European. Totuși, secretarul general poate decide să atribuie responsabilului cu protecția datelor sarcini suplimentare specifice, cu condiția ca acestea să nu conducă la un conflict de interese cu rolul de responsabil cu protecția datelor, în special în legătură cu aplicarea dispozițiilor Regulamentului (UE) 2018/1725.

(3)   Responsabilul cu protecția datelor se abține de la orice act incompatibil cu natura atribuțiilor sale.

(4)   Responsabilul cu protecția datelor are obligația de a respecta secretul profesional în conformitate cu articolul 44 alineatul (5) din Regulamentul (UE) 2018/1725, inclusiv după ce și-a încetat atribuțiile.

(5)   Responsabilul cu protecția datelor poate fi eliberat din funcție doar în conformitate cu articolul 44 alineatele (3) și (8) din Regulamentul (UE) 2018/1725. Pentru a se obține acordul Autorității Europene pentru Protecția Datelor cu privire la o astfel de eliberare din funcție în temeiul articolului 44 alineatul (8) din Regulamentul (UE) 2018/1725, Autoritatea Europeană pentru Protecția Datelor este consultată în scris. O copie a acordului respectiv este trimisă responsabilului cu protecția datelor.

(6)   Parlamentul European se asigură că responsabilul cu protecția datelor nu primește nicio instrucțiune cu privire la îndeplinirea sarcinilor sale, astfel cum sunt definite la articolele 44 și 45 din Regulamentul (UE) 2018/1725. În această privință, responsabilul cu protecția datelor nu primește, în special, nicio instrucțiune din partea secretarului general, inclusiv cu privire la cooperarea sa cu Autoritatea Europeană pentru Protecția Datelor necesară în conformitate cu Regulamentul (UE) 2018/1725.

(7)   Responsabilul cu protecția datelor raportează direct secretarului general.

(1)   Responsabilul cu protecția datelor asigură aplicarea Regulamentului (UE) 2018/1725 de către Secretariatul General al Parlamentului European și monitorizează respectarea cadrului juridic aplicabil privind protecția datelor cu caracter personal. Fără a se aduce atingere articolului 13 din prezenta decizie, responsabilul cu protecția datelor nu are, în principiu, competența de a monitoriza aplicarea Regulamentului (UE) 2018/1725 de către deputați individuali ai Parlamentului sau de către grupurile politice ale Parlamentului European.

(2)   Responsabilul cu protecția datelor poate fi consultat sau oferă consultanță în conformitate cu articolul 44 alineatele (4) și (7) și cu articolul 45 alineatul (1) literele (d), (e) și (f) din Regulamentul (UE) 2018/1725 și exercită toate sarcinile suplimentare prevăzute la articolul 45 din regulamentul respectiv.

(3)   Responsabilul cu protecția datelor raportează secretarului general orice încălcare sau orice risc grav de încălcare a dispozițiilor prevăzute în Regulamentul (UE) 2018/1725.

(4)   Responsabilul cu protecția datelor emite, la cerere, un aviz operatorului în cauză cu privire la operațiuni de prelucrare actuale sau propuse, precum și cu privire la proporționalitatea și caracterul adecvat al prelucrării anumitor date sau cu privire la măsurile de securitate. Avizul se poate referi, în particular, la orice aspect legat de analiza riscurilor pentru drepturile și libertățile persoanelor vizate.

(5)   Serviciul competent al Parlamentului European consultă responsabilul cu protecția datelor înainte de aprobarea unor norme interne care specifică cadrul pentru prelucrarea datelor cu caracter personal.

(6)   Responsabilul cu protecția datelor își îndeplinește sarcinile în cooperare cu Autoritatea Europeană pentru Protecția Datelor. Responsabilul cu protecția datelor este punctul de contact între Parlamentul European și Autoritatea Europeană pentru Protecția Datelor și este informat cu privire la toate comunicările dintre cele două instituții în ceea ce privește chestiunile care țin de competența sa.

(7)   Responsabilul cu protecția datelor participă în mod regulat la reuniunile convocate de Autoritatea Europeană pentru Protecția Datelor sau de responsabilii cu protecția datelor din cadrul celorlalte instituții și organe pentru a facilita buna cooperare.

(8)   Responsabilul cu protecția datelor rămâne permanent sub incidența normelor și dispozițiilor prevăzute de Statutul funcționarilor sau, după caz, de Regimul aplicabil celorlalți agenți.

(1)   În caz de încălcare a securității datelor cu caracter personal, operatorul informează fără întârziere responsabilul cu protecția datelor cu privire la incident.

(2)   Responsabilul cu protecția datelor instituie și ține un registru central în scopul documentării acestor cazuri raportate de încălcare a securității datelor cu caracter personal, în conformitate cu articolul 34 alineatul (6) din Regulamentul (UE) 2018/1725. Operatorul care se confruntă cu încălcarea completează registrul cu informațiile solicitate la articolul respectiv.

(3)   Responsabilul cu protecția datelor organizează reuniuni periodice cu responsabilul șef pentru securitatea sistemelor informatice și cu administratorul de risc al Parlamentului European pentru a asigura respectarea articolelor 33-36 din Regulamentul (UE) 2018/1725. Responsabilul cu protecția datelor poate invita și alți participanți, dacă este cazul.

(4)   Pe baza rezultatelor reuniunilor menționate la alineatul (3), responsabilul cu protecția datelor:

(1)   Responsabilul cu protecția datelor este informat de îndată de către operator în cazul în care se instituie o nouă procedură administrativă sau în cazul în care este vizată modificarea unei proceduri administrative existente care afectează prelucrarea datelor cu caracter personal.

(2)   Responsabilul cu protecția datelor are, în orice moment, acces la datele cu caracter personal care sunt prelucrate, la instalațiile de prelucrare a datelor și la suporturile de date.

(1)   Pentru procedurile administrative, măsurile tehnice sau organizatorice noi sau modificate care implică prelucrarea datelor cu caracter personal, responsabilul cu protecția datelor, la cerere sau la inițiativa sa, furnizează informații și asistă operatorul în evaluarea riscurilor privind drepturile și libertățile persoanelor vizate.

(2)   Responsabilul cu protecția datelor consiliază operatorul, după finalizarea evaluării riscurilor menționate anterior, cu privire la necesitatea de a se efectua o evaluare a impactului asupra protecției datelor.

(1)   Responsabilul cu protecția datelor informează operatorul în ceea ce privește evaluarea soluțiilor tehnice și organizatorice pentru punerea în aplicare a operațiunilor de prelucrare.

(2)   Responsabilul cu protecția datelor poate recomanda secretarului general măsuri tehnice sau organizatorice pentru punerea în aplicare a articolului 27 din Regulamentul (UE) 2018/1725 în cazul în care conchide în temeiul unei evaluări că o operațiune de prelucrare nu garantează respectarea deplină a articolului respectiv.

(1)   Responsabilul cu protecția datelor furnizează, la cerere, un aviz operatorului cu privire la stabilirea responsabilităților relevante în contextul unui acord între operatorii asociați în temeiul articolului 28 alineatul (1) din Regulamentul (UE) 2018/1725.

(2)   Responsabilul cu protecția datelor poate, la cerere, să furnizeze un aviz operatorului cu privire la măsurile tehnice și organizatorice adecvate care trebuie garantate de persoana împuternicită de operator sau de o persoană sub-împuternicită de operator în temeiul articolului 29 alineatele (1) și (2) din Regulamentul (UE) 2018/1725.

(1)   Prin derogare de la articolul 4 alineatul (1) din prezenta decizie, deputații în Parlamentul European și grupurile politice ale Parlamentului European pot solicita consiliere din partea responsabilului cu protecția datelor în legătură cu un subiect referitor la aplicarea Regulamentului (UE) 2018/1725. Fără a aduce atingere responsabilității individuale ce revine deputaților în Parlamentul European și grupurilor politice din Parlamentul European de a aplica Regulamentul (UE) 2018/1725 în calitate de operator în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, responsabilul cu protecția datelor poate, la cererea unui deputat în Parlamentul European sau a unui grup politic din Parlamentul European, să ofere consiliere, prin aplicarea mutatis mutandis a dispozițiilor relevante din prezenta decizie.

(2)   Responsabilul cu protecția datelor stabilește de la caz la caz modalitățile detaliate de acordare a asistenței menționate la alineatul (1), în conformitate cu prezenta decizie. Îndeplinirea acestei funcții de consiliere nu trebuie să intre în conflict cu celelalte sarcini ale responsabilului cu protecția datelor.

(1)   Secretarul general poate numi membri ai personalului care să lucreze în cadrul Serviciului pentru protecția datelor pentru a asista responsabilul cu protecția datelor în exercitarea funcțiilor sale.

(2)   Membrii personalului numiți în temeiul alineatului (1) pot reprezenta responsabilul cu protecția datelor în absența acestuia. În acest scop, responsabilul cu protecția datelor poate emite delegări interne ale autorității către membri specifici ai personalului său. Autoritatea Europeană pentru Protecția Datelor și secretarul general sunt notificați prin primirea unei copii a oricărei astfel de delegări a autorității.

(1)   În cadrul Parlamentului European se înființează o rețea de coordonatori pentru protecția datelor, alcătuită din cel puțin un membru din cadrul fiecărei direcții generale, dintr-o persoană care reprezintă coordonarea grupurilor politice și din responsabilul cu protecția datelor.

(2)   Secretarul General poate specifica dispoziții detaliate legate de numirea, de atribuțiile și de sarcinile coordonatorilor pentru protecția datelor.

(3)   Responsabilul cu protecția datelor organizează periodic reuniuni cu coordonatorii pentru protecția datelor.

(1)   Dreptul de a fi informat, dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, drepturile privind notificarea destinatarilor, dreptul la portabilitatea datelor, dreptul la opoziție și drepturile referitoare la procesul decizional automatizat, inclusiv crearea de profiluri, astfel cum se prevede la articolele 14-24 din Regulamentul (UE) 2018/1725, pot fi exercitate doar de persoana vizată sau de reprezentantul autorizat al acestuia.

(2)   Persoana vizată adresează operatorului cererile de exercitare a unuia dintre drepturile sale menționate la primul alineat. În acest scop, pe site-ul Parlamentului European este disponibil un formular-tip neobligatoriu, în format electronic. Cererea cuprinde:

(3)   Cererea poate fi transmisă prin poșta internă sau externă, prin e-mail sau prin orice alt mijloc scris.

(4)   Operatorul solicită eventualele clarificări necesare în cazul cererilor neclare sau incomplete. Până la clarificarea definitivă a acestor aspecte, termenul aplicabil în temeiul articolului 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 nu începe să curgă.

(5)   Operatorul verifică identitatea persoanei vizate în conformitate cu articolul 14 alineatul (6) din Regulamentul (UE) 2018/1725. Identitatea persoanei vizate este verificată în modul cel mai puțin intruziv posibil. În timpul perioadei de verificare a identității, termenul aplicabil în temeiul articolului 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 nu începe să curgă.

(6)   Operatorul răspunde la orice solicitare a persoanelor vizate de a-și exercita drepturile, chiar și în cazurile în care Parlamentul European nu deține date cu caracter personal relevante. În termen de cinci zile lucrătoare de la primirea cererii, persoanei vizate i se trimite o confirmare de primire. Cu toate acestea, în cazul în care în același termen de cinci zile lucrătoare se formulează un răspuns pe fond cu privire la cerere, operatorul este scutit de obligația de a mai trimite o confirmare de primire.

(7)   Răspunsul se trimite persoanei vizate, în termenele prevăzute la articolul 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725, prin aceleași mijloace de comunicare scrisă și în aceeași limbă oficială a Uniunii ca cele utilizate de persoana vizată, cu excepția cazului în care acesta din urmă solicită altfel.

(8)   La prelucrarea unei cereri în temeiul articolului 14 din Regulamentul (UE) 2018/1725, operatorul ține seama de eventuala necesitate de a aplica o excepție, o derogare sau o restricție în temeiul capitolului V din prezenta decizie.

(9)   În cazul unei cereri extrem de complexe sau atunci când prelucrarea corespunzătoare a unei cereri este susceptibilă să genereze un risc pentru drepturile și libertățile altor persoane vizate, operatorul consultă responsabilul cu protecția datelor.

(1)   În conformitate cu articolul 14 din Regulamentul (UE) 2018/1725, operatorul furnizează informațiile menționate la articolele 15 și 16 din regulamentul respectiv, inclusiv în cazul în care se intenționează o prelucrare ulterioară, pe internet sau intranet, într-o formă generalizată.

(2)   Dacă este posibil și fără a aduce atingere mijloacelor alternative de comunicare menționate la articolul 14 alineatele (1) și (7) din Regulamentul (UE) 2018/1725, informațiile menționate la articolele 15 și 16 din regulamentul respectiv sunt furnizate persoanelor vizate în mod individualizat, fie în scris, fie prin mijloace electronice.

(1)   Fără a se aduce atingere alineatului (2), în cazul în care persoana vizată depune o cerere de acces la datele sale cu caracter personal, datele relevante sunt obținute de către operator din locul de stocare a acestora, inclusiv în cazul documentelor electronice sau pe suport de hârtie, și sunt puse la dispoziția persoanei vizate prin oricare dintre următoarele mijloace:

(2)   În conformitate cu articolul 17 alineatul (3) din Regulamentul (UE) 2018/1725, în cazul în care persoana vizată depune o cerere de acces pe cale electronică și cu excepția cazului în care se solicită altfel, informațiile sunt furnizate de către operator într-un format electronic utilizat în mod curent.

(1)   În cererile de rectificare se specifică datele cu caracter personal care trebuie rectificate sau completate, demonstrându-se inexactitatea sau caracterul incomplet al datelor, și se indică modificarea care se impune. Dacă este cazul, cererea poate fi însoțită de documente justificative.

(2)   Persoana vizată este informată cu privire la realizarea cu succes a rectificării. În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

(1)   În cererile de ștergere se precizează datele cu caracter personal care trebuie șterse și se indică motivele ștergerii în sensul articolului 19 alineatul (1) din Regulamentul (UE) 2018/1725.

(2)   Persoana vizată este informată cu privire la realizarea cu succes a ștergerii. În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

(3)   Operația de ștergere are ca rezultat dispariția fizică a datelor cu caracter personal, fără a fi necesar ca acestea să se înlocuiască cu un cod.

(1)   În cererile de restricționare a prelucrării se precizează datele cu caracter personal în cauză și motivele restricționării, astfel cum sunt prevăzute la articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725.

(2)   Persoana vizată este informată cu privire la restricționarea cu succes a prelucrării. În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

(1)   După finalizarea uneia dintre procedurile prevăzute la articolele 19-21 din prezenta decizie, operatorul lansează fără întârziere procedura prevăzută la articolul 21 din Regulamentul (UE) 2018/1725.

(2)   În cazul în care notificarea către destinatari se dovedește imposibilă sau implică un efort disproporționat, operatorul informează în scris persoana vizată, precizând motivele.

(1)   În cererile formulate în temeiul articolului 22 din Regulamentul (UE) 2018/1725 se precizează datele cu caracter personal în cauză.

(2)   În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

(1)   În caz de opoziție, se precizează datele cu caracter personal vizate și motivele legate de situația personală care stau la baza opoziției.

(2)   În cazul respingerii opoziției, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

(1)   Înainte de aplicarea unei restricții în temeiul secțiunii 2 din prezentul capitol, operatorul analizează dacă se aplică vreuna dintre excepțiile prevăzute în Regulamentul (UE) 2018/1725, în special în temeiul articolului 15 alineatul (4), al articolului 16 alineatul (5), al articolului 19 alineatul (3) și al articolului 35 alineatul (3) din regulamentul respectiv.

(2)   În cazul prelucrării în scopuri de arhivare în interes public, precum și al prelucrării în scopuri de cercetare științifică sau istorică ori în scopuri statistice, operatorul analizează dacă se aplică excepții în temeiul articolului 16 alineatul (5) litera (b) și al articolului 19 alineatul (3) litera (d) din Regulamentul (UE) 2018/1725.

(1)   În cazul prelucrării în scopuri de arhivare în interes public, operatorul poate aplica derogări în conformitate cu articolul 25 alineatul (4) din Regulamentul (UE) 2018/1725. În acest scop, operatorul poate deroga de la drepturile menționate la articolele 17, 18, 20, 21, 22 și 23 din Regulamentul (UE) 2018/1725, în conformitate cu condițiile prevăzute la articolul 25 alineatul (4) din regulamentul respectiv.

(2)   În cazul prelucrării în scopuri de cercetare științifică sau istorică ori în scopuri statistice, operatorul poate aplica derogări în conformitate cu articolul 25 alineatul (3) din Regulamentul (UE) 2018/1725. În acest scop, operatorul poate deroga de la drepturile menționate la articolele 17, 18, 20 și 23 din Regulamentul (UE) 2018/1725 în conformitate cu condițiile prevăzute la articolul 25 alineatul (3) din regulamentul respectiv.

(3)   Derogările fac obiectul unor garanții adecvate, în conformitate cu articolul 13 din Regulamentul (UE) 2018/1725 și cu articolul 28 alineatele (1) și (2) din prezenta decizie. Măsurile tehnice și organizatorice se pun în practică în conformitate cu articolul 2 alineatul (6) litera (a) și cu articolul 10 din prezenta decizie, în special pentru a asigura respectarea principiului reducerii la minimum a datelor și, după caz, a principiului pseudonimizării.

(1)   Prezenta secțiune prevede condițiile generale în care operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din regulamentul menționat, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în conformitate cu articolul 25 din regulamentul respectiv.

Condițiile generale menționate la primul paragraf sunt completate de dispozițiile anexelor la prezenta decizie, care precizează condițiile în care Parlamentul European poate restricționa drepturile persoanelor vizate în cazul fiecăreia dintre activitățile și procedurile sale atunci când sunt prelucrate date cu caracter personal și ar putea fi necesare restricții.

(2)   Prezenta secțiune se aplică prelucrării datelor cu caracter personal în scopul activităților și procedurilor desfășurate de Parlamentul European, astfel cum se prevede în anexele la prezenta decizie.

(3)   În scopul fiecărei prelucrări și restricții, operatorul competent se stabilește în temeiul articolului 2 din prezenta decizie.

(1)   Datele cu caracter personal vizate de o restricție sunt stocate într-un mediu fizic sau electronic sigur, care previne accesul sau transferul ilegal al datelor către persoane care nu au nevoie să le cunoască.

(2)   După încheierea prelucrării, documentele care conțin datele cu caracter personal sunt păstrate în conformitate cu normele aplicabile ale Parlamentului European (3).

(3)   Înainte de a se aplica o restricție, se evaluează dacă restricția este necesară și proporțională și se evaluează riscurilor pentru persoanele vizate, în conformitate cu articolul 35 din prezenta decizie.

(1)   Sub rezerva articolelor 30-36 și a specificațiilor prevăzute în anexele la prezenta decizie, operatorul poate impune restricții cu privire la drepturile persoanei vizate care sunt menționate în mod explicit în anexele aplicabile, în cazul în care exercitarea acestor drepturi ar pune în pericol scopul uneia dintre activitățile sau procedurile prevăzute în anexele respective.

(2)   Operatorul consemnează și înregistrează motivele care stau la baza restricției în conformitate cu articolul 35 din prezenta decizie.

(1)   Parlamentul European publică pe site-ul său anunțuri privind protecția datelor prin care informează toate persoanele vizate cu privire la activitățile sale care implică prelucrarea datelor lor cu caracter personal și la o eventuală restricționare a drepturilor lor în acest context. Informațiile specifică drepturile care pot fi restricționate, motivele unor astfel de restricții, durata lor potențială și căile de atac posibile.

(2)   Dacă este posibil, operatorul informează în mod direct, fără întârzieri nejustificate și în formatul cel mai adecvat, fiecare persoană vizată cu privire la drepturile sale în raport cu aceste restricții, care se stabilesc de la caz la caz. Informațiile specifică drepturile care pot fi restricționate, motivele unor astfel de restricții, durata lor potențială și căile de atac posibile.

(1)   În cazul în care operatorul restricționează dreptul la informare menționat la articolele 15 și 16 din Regulamentul (UE) 2018/1725, persoanele vizate sunt informate, în conformitate cu articolul 25 alineatul (6) din regulamentul respectiv, cu privire la principalele motive care stau la baza aplicării restricției și cu privire la dreptul lor de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor.

(2)   Cu toate acestea, furnizarea de informații poate fi amânată, omisă sau refuzată, în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725, atât timp cât ar anula efectul restricției.

(3)   În cazul în care operatorul amână, omite sau refuză, total sau parțial, furnizarea de informații persoanelor vizate în sensul alineatului (2) din prezentul articol, acesta consemnează și înregistrează motivele corespunzătoare în conformitate cu articolul 35 din prezenta decizie.

(1)   În cazul în care operatorul restricționează, integral sau parțial, dreptul de acces la datele cu caracter personal de către persoanele vizate, dreptul de rectificare, dreptul de ștergere sau dreptul de restricționare a prelucrării, astfel cum se menționează la articolele 17, 18, 19 și, respectiv, 20 din Regulamentul (UE) 2018/1725, precum și obligația de notificare în temeiul articolului 21 din regulamentul respectiv, operatorul informează persoana vizată, în răspunsul său la cererea de acces, de rectificare, de ștergere sau de restricționare a prelucrării, cu privire la restricția aplicată și la principalele motive care stau la baza acesteia, precum și cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene (denumită în continuare „Curtea de Justiție”).

(2)   Furnizarea de informații privind motivele restricției menționate la alineatul (1) poate fi amânată, omisă sau refuzată atât timp cât ar anula efectul restricției.

(3)   Operatorul înregistrează motivele amânării, omisiunii sau refuzului în conformitate cu articolul 35 din prezenta decizie.

(4)   În cazul în care dreptul de acces este restricționat integral sau parțial, iar persoana vizată și-a exercitat dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor, aceasta din urmă informează persoana vizată, și nicio altă persoană, dacă datele au fost prelucrate corect sau, în caz contrar, dacă au fost efectuate corecții în conformitate cu articolul 25 alineatul (7) din Regulamentul (UE) 2018/1725.

(1)   Înainte de aplicarea oricăror restricții specifice, operatorul evaluează dacă restricțiile sunt necesare și proporționale, luând în considerare elementele relevante prevăzute la articolul 25 alineatul (2) din Regulamentul (UE) 2018/1725. Evaluarea respectivă include, de asemenea, o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate în cauză, în special a riscului ca datele lor cu caracter personal să fie prelucrate în continuare fără știrea lor, precum și ca persoanele vizate să fie împiedicate să-și exercite drepturile în conformitate cu Regulamentul (UE) 2018/1725. Evaluarea respectivă se documentează printr-o notă de evaluare internă și este efectuată de la caz la caz.

(2)   Operatorul consemnează motivele care stau la baza oricărei restricții aplicate în temeiul prezentei decizii, inclusiv evaluarea efectuată în temeiul alineatului (1).

În acest scop, în consemnare se precizează modul în care exercitarea drepturilor persoanei vizate ar periclita scopul uneia dintre activitățile sau procedurile desfășurate de Parlamentul European, astfel cum sunt definite în anexele la prezenta decizie.

(3)   Atunci când, în temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, operatorul amână, omite sau refuză informarea unei persoane vizate cu privire la aplicarea unei restricții, operatorul consemnează, de asemenea, dacă este cazul, motivele pe care se bazează.

(4)   Consemnarea și, dacă este cazul, documentele care conțin elemente faptice și juridice subiacente sunt păstrate într-un registru central. Acestea sunt puse, la cerere, la dispoziția Autorității Europene pentru Protecția Datelor.

(1)   Restricțiile menționate la articolele 29 și 31-34 din prezenta decizie, coroborate cu anexele la prezenta decizie aplicabile, se aplică atât timp cât motivele care le justifică rămân aplicabile.

(2)   În cazul în care motivele care stau la baza unei restricții menționate la articolele 29 și 31-34 din prezenta decizie, coroborate cu anexele la prezenta decizie aplicabile, încetează să existe, operatorul ridică restricția respectivă. În același timp, operatorul furnizează persoanei vizate principalele motive care stau la baza restricției și informează persoana vizată cu privire la posibilitatea de a depune în orice moment o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție.

(3)   Operatorul evaluează aplicarea restricțiilor menționate la articolele 29 și 31-34 din prezenta decizie, coroborate cu anexele la prezenta decizie aplicabile, din șase în șase luni de la adoptarea acesteia și la încheierea procedurii relevante. Ulterior, în scopul activităților și procedurilor prevăzute în anexele I, II, V, VI, VII, VIII, IX și X la prezenta decizie, operatorul monitorizează nevoia de a menține fiecare dintre restricții o dată pe an.

(1)   Responsabilul cu protecția datelor este informat, fără întârzieri nejustificate, ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta secțiune.

La cerere, responsabilului cu protecția datelor i se asigură accesul la consemnare și la orice documente care conțin elemente faptice și juridice subiacente.

(2)   Responsabilul cu protecția datelor poate solicita operatorului o reexaminare a restricțiilor. Responsabilul cu protecția datelor este informat în scris cu privire la rezultatul reexaminării solicitate.

(3)   Toate schimburile de informații cu responsabilul cu protecția datelor pe tot parcursul procedurii, în conformitate cu alineatele (1) și (2), se înregistrează într-o formă adecvată.

(1)   Orice membru al personalului Parlamentului European poate depune o plângere la Autoritatea Europeană pentru Protecția Datelor în temeiul articolului 68 din Regulamentul (UE) 2018/1725. Depunerea unei astfel de plângeri nu are drept efect suspendarea termenului de depunere a plângerilor în conformitate cu articolul 90 din Statutul funcționarilor.

(2)   Independent de dreptul menționat la alineatul (1), orice membru al personalului Parlamentului European poate depune la autoritatea împuternicită să facă numiri, în temeiul articolului 90 din Statutul funcționarilor, plângeri având drept obiect prelucrarea datelor cu caracter personal. În plângerea sa, membrul personalului indică dacă a fost depusă o plângere la Autoritatea Europeană pentru Protecția Datelor în paralel cu plângerea prezentată în temeiul Statutului funcționarilor.

În cazul unei plângeri în temeiul articolului 90 alineatul (2) din Statutul funcționarilor, responsabilul cu protecția datelor este consultat de către serviciile competente ale Parlamentului European.

(1)   Normele de aplicare a Regulamentului (CE) nr. 45/2001 al Parlamentului European și al Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date, stabilite prin decizia Biroului din 22 iunie 2005 (4), se abrogă cu efect de la data intrării în vigoare a prezentei decizii.

(2)   Decizia Biroului Parlamentului European din 3 aprilie 2019 privind normele de punere în aplicare privind restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește transferul de date cu caracter personal de către Parlamentul European autorităților naționale în contextul anchetelor penale sau financiare (5) se abrogă cu efect de la data intrării în vigoare a prezentei decizii.