- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin
Decizia Ombudsmanului European privind normele interne de restricționare a anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal
Document - Date Monday | 09 November 2020
OMBUDSMANUL EUROPEAN,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (1), în special articolul 25,
după consultarea Autorității Europene pentru Protecția Datelor,
întrucât:
|
(1) |
Ombudsmanul European este împuternicit să desfășoare anchete administrative, proceduri predisciplinare, proceduri disciplinare și suspendări, în conformitate cu Statutul funcționarilor Uniunii Europene, prevăzut de Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (2) („Statutul funcționarilor Uniunii Europene”), și în conformitate cu Decizia Ombudsmanului European din 4 noiembrie 2004 de adoptare a dispozițiilor de punere în aplicare referitoare la desfășurarea anchetelor administrative și a procedurilor disciplinare. Dacă este necesar, Comisia notifică, de asemenea, cazurile către OLAF. |
|
(2) |
Membrii personalului Ombudsmanului European au obligația de a raporta activități potențial ilegale, inclusiv fraudă și corupție, care aduc atingere intereselor Uniunii. Membrii personalului sunt, de asemenea, obligați să raporteze cu privire la îndeplinirea sarcinilor profesionale care pot constitui o încălcare gravă a obligațiilor funcționarilor Uniunii. Acest aspect este reglementat de Decizia Ombudsmanului European din 20 februarie 2015 privind normele interne referitoare la avertizarea în interes public. |
|
(3) |
Ombudsmanul European a instituit o politică de prevenire și gestionare eficace a cazurilor reale sau potențiale de hărțuire psihologică sau sexuală la locul de muncă, astfel cum se prevede în decizia sa din 18 decembrie 2017. Decizia instituie o procedură informală prin care presupusa victimă a hărțuirii poate contacta „corespondenții de etică” ai Ombudsmanului European și/sau comitetul de conciliere. |
|
(4) |
Ombudsmanul European poate, de asemenea, să desfășoare investigații cu privire la posibile încălcări ale normelor de securitate pentru informațiile clasificate ale Uniunii Europene („IUEC”). |
|
(5) |
Ombudsmanul European face obiectul unor audituri interne și externe privind activitățile sale. |
|
(6) |
În contextul unor astfel de anchete administrative, audituri și investigații, Ombudsmanul European cooperează cu alte instituții, organe, oficii și agenții ale Uniunii. |
|
(7) |
Ombudsmanul European poate coopera cu autoritățile naționale și cu organizațiile internaționale din țările terțe, la cererea lor sau din proprie inițiativă. |
|
(8) |
Ombudsmanul European poate coopera și cu autoritățile publice ale statelor membre ale UE, la cererea lor sau din proprie inițiativă. |
|
(9) |
Ombudsmanul European desfășoară anchete cu privire la presupuse cazuri de administrare defectuoasă în activitatea instituțiilor, organelor, oficiilor sau agențiilor Uniunii, cu excepția Curții de Justiție a Uniunii Europene în exercitarea funcției sale jurisdicționale. În acest context, Ombudsmanul European poate fi nevoit să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți. Ombudsmanul European poate, de asemenea, să fie nevoit să protejeze drepturile și libertățile reclamanților, precum și pe cele ale altor persoane implicate. |
|
(10) |
Pentru a-și îndeplini sarcinile, Ombudsmanul European colectează și prelucrează informații relevante și mai multe categorii de date cu caracter personal, inclusiv date de identificare ale unei persoane fizice, date de contact, roluri și sarcini profesionale, informații privind conduita și performanțele private și profesionale, precum și date financiare. Ombudsmanul European acționează în calitate de operator de date. |
|
(11) |
Prin urmare, în temeiul Regulamentului (UE) 2018/1725 („regulamentul”), Ombudsmanul European este obligat să furnizeze persoanelor vizate informații cu privire la aceste activități de prelucrare și să le respecte drepturile în calitate de persoane vizate. |
|
(12) |
Ombudsmanul European ar putea fi obligat să reconcilieze aceste drepturi cu obiectivele anchetelor administrative, ale auditurilor, ale investigațiilor și ale acțiunilor în justiție. De asemenea, ar putea fi obligat să asigure un echilibru între drepturile persoanei vizate și drepturile și libertățile fundamentale ale altor persoane vizate. În acest sens, articolul 25 din regulament îi conferă Ombudsmanului European posibilitatea de a restricționa, în condiții stricte, aplicarea articolelor 14-22, 35 și 36 din regulament, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20. Cu excepția cazului în care sunt prevăzute restricții într-un act juridic adoptat în temeiul tratatelor, trebuie adoptate norme interne în temeiul cărora Ombudsmanul European are dreptul să restricționeze aceste drepturi. |
|
(13) |
Ombudsmanul European ar putea, de exemplu, să fie nevoit să restricționeze informațiile pe care le furnizează unei persoane vizate cu privire la prelucrarea datelor sale personale în etapa de evaluare preliminară a unei anchete administrative sau în cadrul anchetei propriu-zise, înainte de o eventuală revocare a cazului sau în etapa predisciplinară. În anumite situații, furnizarea de asemenea informații poate afecta grav capacitatea Ombudsmanului European de a efectua o anchetă în mod eficace, de exemplu, dacă există riscul ca persoana în cauză să distrugă probe sau să ia legătura cu potențialii martori înainte de audierea acestora. Ombudsmanul European ar putea, de asemenea, să fie nevoit să protejeze drepturile și libertățile martorilor, precum și pe cele ale altor persoane implicate. |
|
(14) |
Ar putea fi necesar să se protejeze anonimatul unui martor sau al unui avertizor de integritate care a solicitat să nu fie identificat. Într-un asemenea caz, Ombudsmanul European ar putea decide să restricționeze accesul la identitatea, declarațiile și alte date personale ale acestor persoane, pentru a le proteja drepturile și libertățile. |
|
(15) |
Ar putea fi necesar să se protejeze informațiile confidențiale referitoare la un membru al personalului care a contactat corespondenții de etică ai Ombudsmanului European și/sau comitetul de conciliere în contextul unei proceduri de hărțuire. Într-un astfel de caz, Ombudsmanul European ar putea fi nevoit să restricționeze accesul la identitatea, declarațiile și alte date personale ale presupusei victime, ale presupusului hărțuitor și ale altor persoane implicate, pentru a proteja drepturile și libertățile tuturor persoanelor implicate. |
|
(16) |
Ombudsmanul European ar putea, de exemplu, să restricționeze informațiile pe care le furnizează unei persoane vizate menționate într-o plângere sau în documentele de anchetă cu privire la prelucrarea datelor sale personale în cursul anchetei privind o presupusă administrare defectuoasă într-o instituție, un organ, un oficiu sau o agenție a UE. Furnizarea unor astfel de informații ar putea afecta grav capacitatea Ombudsmanului European de a desfășura ancheta în mod eficient ori de câte ori, de exemplu, există riscul ca persoana în cauză să pună în pericol ancheta. Ombudsmanul European ar putea, de asemenea, să fie nevoit să protejeze drepturile și libertățile reclamantului, precum și pe cele ale altor persoane implicate. |
|
(17) |
Ombudsmanul European ar trebui să aplice restricții numai dacă acestea respectă esența drepturilor și libertăților fundamentale, dacă sunt strict necesare și constituie o măsură proporțională într-o societate democratică. Ombudsmanul European ar trebui să prezinte motivele care să explice justificarea acestor restricții. |
|
(18) |
Conform principiului responsabilității, Ombudsmanul European trebuie să țină evidența aplicării restricțiilor. |
|
(19) |
Atunci când prelucrează date cu caracter personal transmise altor organizații în contextul sarcinilor care îi revin, Ombudsmanul European se consultă cu organizațiile respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor respective, cu excepția cazului în care acest lucru ar pune în pericol activitățile Ombudsmanului European. |
|
(20) |
Articolul 25 alineatul (6) din regulament obligă operatorul să informeze persoanele vizate cu privire la principalele motive care stau la baza aplicării restricției și cu privire la dreptul lor de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor (AEPD). |
|
(21) |
În temeiul articolului 25 alineatul (8) din regulament, Ombudsmanul European poate amâna, omite sau refuza furnizarea de informații privind motivele aplicării unei restricții persoanei vizate, dacă aceasta ar anula efectul restricției. Ombudsmanul European trebuie să evalueze, de la caz la caz, dacă comunicarea restricției anulează efectul acesteia. |
|
(22) |
Ombudsmanul European trebuie să ridice restricția imediat ce condițiile care justifică restricția nu mai sunt valabile și să evalueze aceste condiții în mod regulat. |
|
(23) |
Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din regulament, responsabilul cu protecția datelor trebuie consultat în timp util cu privire la restricțiile care pot fi aplicate și să verifice respectarea dispozițiilor prezentei decizii. |
|
(24) |
Articolul 16 alineatul (5) și articolul 17 alineatul (4) din regulament prevăd excepții de la exercitarea de către persoanele vizate a dreptului la informare și a dreptului de acces. Dacă se aplică aceste excepții, Ombudsmanul European nu este nevoit să aplice o restricție în temeiul prezentei decizii, |
DECIDE:
Articolul 1- Obiectul și domeniul de aplicare
(1) Prezenta decizie stabilește normele privind condițiile în care Ombudsmanul European poate restricționa aplicarea articolelor 4, 14-22, 35 și 36, în temeiul articolului 25 din regulament.
(2) Biroul Ombudsmanului European, în calitate de operator, este reprezentat de Ombudsmanul European.
Articolul 2- Restricții
(1) Ombudsmanul European poate restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-20:
|
(a) |
în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din regulament, atunci când desfășoară anchete administrative, proceduri predisciplinare sau disciplinare sau suspendări în temeiul articolului 86 și al anexei IX la Statutul funcționarilor Uniunii Europene și în temeiul Deciziei Ombudsmanului European din 4 noiembrie 2004 privind desfășurarea anchetelor administrative și a procedurilor disciplinare, precum și atunci când notifică cazuri la OLAF; |
|
(b) |
în temeiul articolului 25 alineatul (1) litera (h) din regulament, atunci când se asigură că membrii personalului Ombudsmanului European pot raporta faptele în mod confidențial, în cazul în care consideră că există nereguli grave, așa cum se prevede în Decizia Ombudsmanului European din 20 februarie 2015 privind normele interne referitoare la avertizarea în interes public; |
|
(c) |
în temeiul articolului 25 alineatul (1) litera (h) din regulament, atunci când se asigură că membrii personalului Ombudsmanului European sunt în măsură să raporteze corespondenților de etică și/sau comitetului de conciliere în contextul unei proceduri de hărțuire, astfel cum este definită în Decizia Ombudsmanului European privind o politică de prevenire și protecție împotriva hărțuirii în cadrul biroului Ombudsmanului; |
|
(d) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din regulament, atunci când efectuează audituri interne în legătură cu activitățile sau departamentele Ombudsmanului European; |
|
(e) |
în temeiul articolului 25 alineatul (1) literele (c), (d), (g) și (h) din regulament, atunci când acordă asistență altor instituții, organe, oficii și agenții ale Uniunii sau beneficiază de asistență din partea acestora sau cooperează cu acestea în contextul activităților prevăzute la literele (a)-(d) de la prezentul alineat și în temeiul acordurilor relevante privind nivelul serviciilor, al memorandumurilor de înțelegere și al acordurilor de cooperare; |
|
(f) |
în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din regulament, atunci când acordă asistență autorităților naționale și organizațiilor internaționale din țări terțe sau beneficiază de asistență din partea acestora sau cooperează cu aceste autorități și organizații, la cererea lor sau din proprie inițiativă; |
|
(g) |
în temeiul articolului 25 alineatul (1) literele (c), și (h) din regulament, atunci când acordă sau beneficiază de asistență din partea autorităților publice ale statelor membre ale UE și atunci când cooperează cu acestea, la cererea lor sau din proprie inițiativă; |
|
(h) |
în temeiul articolului 25 alineatul (1) litera (e) din regulament, când prelucrează date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor desfășurate în fața Curții de Justiție a Uniunii Europene; |
|
(i) |
în temeiul articolului 25 alineatul (1) litera (h) din regulament, atunci când efectuează anchete cu privire la presupuse cazuri de administrare defectuoasă în activitățile instituțiilor, organelor, oficiilor și agențiilor UE, în conformitate cu articolul 228 din Tratatul privind Funcționarea Uniunii Europene și cu Statutul și dispozițiile de punere în aplicare ale Ombudsmanului. |
(2) Aceste restricții trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică.
(3) Înainte de aplicarea restricțiilor și după caz, se efectuează un test de necesitate și proporționalitate. Restricțiile se limitează la ceea ce este strict necesar pentru atingerea obiectivelor lor.
(4) În scopul asigurării răspunderii, Ombudsmanul European întocmește o evidență în care sunt descrise motivele care stau la baza restricțiilor aplicate, care anume dintre motivele enumerate la alineatul (1) se aplică și rezultatul testului de necesitate și proporționalitate. Evidența respectivă se introduce într-un registru, care este pus, la cerere, la dispoziția AEPD. Ombudsmanul European elaborează rapoarte periodice privind aplicarea articolului 25 din regulament.
(5) Atunci când prelucrează date cu caracter personal primite de la alte organizații în contextul sarcinilor care îi revin, Ombudsmanul European se consultă cu organizațiile respective cu privire la potențialele motive pentru impunerea de restricții și cu privire la necesitatea și proporționalitatea restricțiilor vizate, cu excepția cazului în care acest lucru ar pune în pericol activitățile Ombudsmanului European.
Articolul 3- Riscuri pentru drepturile și libertățile persoanelor vizate
(1) Evaluările riscurilor pentru drepturile și libertățile persoanelor vizate de impunerea de restricții și detaliile referitoare la perioada de aplicare a acestor restricții se înregistrează în evidența activităților de prelucrare desfășurate de Ombudsmanul European în temeiul articolului 31 din regulament. Acestea sunt înregistrate, de asemenea, în orice evaluare a impactului restricțiilor asupra protecției datelor, efectuată în temeiul articolului 39 din regulament.
(2) La evaluarea necesității și proporționalității unei restricții, Ombudsmanul European ia în considerare riscurile potențiale pentru drepturile și libertățile persoanei vizate.
Articolul 4- Garanții și perioade de stocare
(1) Ombudsmanul European instituie garanții pentru a preveni abuzul și accesul ilegal sau transferul de date cu caracter personal care fac sau ar putea face obiectul unor restricții. Astfel de garanții conțin măsuri tehnice și organizatorice, iar dacă este necesar, sunt prezentate în detaliu în deciziile interne, în procedurile și normele de punere în aplicare ale Ombudsmanului European. Garanțiile cuprind:
|
(a) |
o definire adecvată a rolurilor, responsabilităților și etapelor procedurale; |
|
(b) |
dacă este cazul, un mediu electronic securizat care previne accesul ilegal și accidental sau transferul de date electronice către persoane neautorizate; |
|
(c) |
dacă este cazul, stocarea și prelucrarea în condiții de siguranță a documentelor pe suport de hârtie; |
|
(d) |
monitorizarea corespunzătoare a restricțiilor și o revizuire periodică a aplicării lor. |
Revizuirile menționate la litera (d) se efectuează cel puțin o dată la șase luni.
(2) Restricțiile sunt ridicate imediat ce situațiile care le justifică nu mai sunt aplicabile.
(3) Datele cu caracter personal sunt păstrate în conformitate cu normele aplicabile în materie de păstrare ale Ombudsmanului European, care urmează să fie definite în evidențele privind protecția datelor păstrate în temeiul articolului 31 din regulament. La sfârșitul perioadei de păstrare, datele cu caracter personal sunt șterse, anonimizate sau transferate în arhive conform articolului 13 din regulament.
Articolul 5- Implicarea responsabilului cu protecția datelor
(1) Responsabilul cu protecția datelor al Ombudsmanului European este informat fără întârzieri nejustificate ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta decizie. Acesta are acces la evidența asociată și la orice document referitor la contextul faptic sau juridic.
(2) Responsabilul cu protecția datelor al Ombudsmanului European poate solicita revizuirea aplicării restricției. Ombudsmanul European îl informează în scris pe responsabilul cu protecția datelor cu privire la rezultatul analizei.
(3) Ombudsmanul European documentează implicarea responsabilului cu protecția datelor în aplicarea restricțiilor, inclusiv informațiile care îi sunt comunicate.
Articolul 6- Informarea persoanelor vizate cu privire la restricționarea drepturile lor
(1) Ombudsmanul European include în anunțurile privind protecția datelor publicate pe site-ul său o secțiune în care persoanelor vizate li se furnizează informații generale cu privire la posibilitatea ca drepturile lor să fie restricționate în temeiul articolului 2 alineatul (1). Informațiile se referă la drepturile care pot fi restricționate, la motivele pentru care se pot aplica restricții și la durata potențială a acestora.
(2) Ombudsmanul European informează fiecare persoană vizată în parte, în scris și fără întârzieri nejustificate, cu privire la restricțiile prezente sau viitoare ale drepturilor lor. Ombudsmanul European informează persoana vizată cu privire la principalele motive care stau la baza aplicării restricției, la dreptul său de a se consulta cu responsabilul cu protecția datelor în vederea contestării restricției și la dreptul său de a depune o plângere la AEPD.
(3) Ombudsmanul European poate amâna, omite sau refuza furnizarea de informații privind motivele restricției și dreptul de a depune o plângere la AEPD, atâta timp cât aceasta ar anula efectul restricției. Evaluarea caracterului justificat al acestor măsuri se efectuează de la caz la caz. Imediat ce aceasta nu ar mai anula efectul restricției, Ombudsmanul European furnizează informațiile persoanei vizate.
Articolul 7- Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal
(1) În cazul în care Ombudsmanul European are obligația de a comunica o încălcare a securității datelor în temeiul articolului 35 alineatul din regulament, acesta poate, în circumstanțe excepționale, să restricționeze integral sau parțial această comunicare. Ombudsmanul European trebuie să consemneze într-o notă motivele restricției, temeiul juridic al acesteia, în conformitate cu articolul 2, și o evaluare a necesității și proporționalității acesteia. Nota este comunicată la AEPD în momentul notificării încălcării securității datelor cu caracter personal.
(2) În cazul în care motivele restricției nu se mai aplică, Ombudsmanul European comunică persoanei vizate încălcarea securității datelor cu caracter personal și o informează cu privire la motivele principale ale restricției și cu privire la dreptul său de a depune o plângere la AEPD.
Articolul 8- Confidențialitatea comunicațiilor electronice
(1) În circumstanțe excepționale, Ombudsmanul European poate restricționa dreptul la confidențialitatea comunicațiilor electronice în temeiul articolului 36 din regulament. Astfel de restricții sunt în conformitate cu Directiva 2002/58/CE a Parlamentului European și a Consiliului (3).
(2) În cazul în care Ombudsmanul European restricționează dreptul la confidențialitatea comunicațiilor electronice, acesta informează persoana vizată, în răspunsul său la o eventuală cerere a persoanei vizate, cu privire la principalele motive pe care se bazează aplicarea restricției și cu privire la dreptul său de a depune o plângere la AEPD.
(3) Ombudsmanul European poate amâna, omite sau refuza furnizarea de informații privind motivele restricției și dreptul de a depune o plângere la AEPD, atâta timp cât aceasta ar anula efectul restricției. Evaluarea caracterului justificat al acestor măsuri se efectuează de la caz la caz. Imediat ce aceasta nu ar mai anula efectul restricției, Ombudsmanul European furnizează informațiile persoanei vizate.
Articolul 9- Intrarea în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Strasbourg, 9 noiembrie 2020.
Pentru Ombudsmanul European
Emily O’REILLY
(1) JO L 295, 21.11.2018, p. 39.
(2) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(3) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
- Export to PDF
- Get the short link of this page
- Share this page onTwitterFacebookLinkedin