FOR PREVIEWING & TESTING PURPOSES ONLY.
This notification will disappear once the page will be published.
This link is available for less than 30 minutes.
  • Easy to read
  • Text size

You have a complaint against an EU institution or body?

Current language: 
  • Română
Source language: 
Available languages: 
The translation of this page has been generated by machine translation.
Machine translations can contain errors potentially reducing clarity and accuracy; the Ombudsman accepts no liability for any discrepancies. For the most reliable information and legal certainty, please refer to the source version in English linked above.
For more information please consult our language and translation policy.

Politica Ombudsmanului privind furnizarea de informații părții terțe vizate în cadrul unei plângeri sau al unei anchete

1. Introducere

Pe lângă prelucrarea datelor cu caracter personal ale persoanelor fizice care depun plângeri, Ombudsmanul poate fi nevoit, în funcție de faptele cauzei, să prelucreze date cu caracter personal referitoare la alte persoane („persoane vizate terțe”).

La primirea unei plângeri, Ombudsmanul evaluează dacă informațiile furnizate conțin date cu caracter personal ale unor părți terțe, și anume orice informații referitoare la o persoană fizică identificată sau identificabilă, alta decât reclamantul.

Conceptul de date cu caracter personal este foarte larg [1]. De exemplu, aceasta include informații privind identitatea și caracteristicile personale ale unei persoane, declarații și opinii, precum și statutul civil și profesional [2].

Prezenta politică se referă la modul în care Ombudsmanul pune în aplicare obligația de a informa persoanele vizate cu privire la prelucrarea datelor lor cu caracter personal în contextul unei plângeri sau al unei anchete, în cazul în care datele nu au fost obținute de la persoanele vizate respective. La elaborarea prezentei politici, Ombudsmanul a ținut seama de orientările Autorității Europene pentru Protecția Datelor ("AEPD")[3].

2. Obligația de a informa

Atunci când datele cu caracter personal ale unei părți terțe vizate sunt incluse într-o plângere sau în alte documente legate de anchetă, Ombudsmanul are obligația de a furniza persoanei în cauză anumite informații [4], și anume:

(a) identitatea și datele de contact ale operatorului, și anume ale Ombudsmanului [5];

(b) datele de contact ale responsabilului cu protecția datelor din cadrul Ombudsmanului;

(c) scopul operațiunii de prelucrare (de exemplu, tratarea unei plângeri) și temeiul juridic al prelucrării (de exemplu, normele referitoare la prelucrarea datelor cu caracter personal de către instituțiile UE [6] și/sau Statutul Ombudsmanului [7]);

(d) categoriile de date vizate (de exemplu, identitatea și statutul profesional al persoanei în cauză);

(e) destinatarii datelor [8];

(f) după caz, intenția Ombudsmanului de a transfera datele cu caracter personal către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate sau corespunzătoare și a mijloacelor de a obține o copie a acestora sau în cazul în care acestea au fost puse la dispoziție; și

(g) următoarele informații suplimentare, necesare pentru a garanta prelucrarea echitabilă și transparentă a datelor cu caracter personal ale persoanei:

(i) termenele pentru stocarea datelor relevante;

(ii) faptul că persoana are dreptul de a solicita accesul la datele sale cu caracter personal, rectificarea, ștergerea sau restricționarea prelucrării acestora sau dreptul de a se opune prelucrării [9];

(iii) dreptul persoanei de a recurge la AEPD și

(iv) originea datelor (inclusiv, dacă este cazul, sursele aflate la dispoziția publicului).

3. Politica

A - Plângeri în afara mandatului

În cazul în care Ombudsmanul constată că o plângere care conține date cu caracter personal ale unor terți nu intră sub incidența mandatului său, acesta informează reclamantul în consecință și îl consiliază, dacă este posibil, cu privire la organismul care ar putea trata plângerea. În cazul în care reclamantul a fost de acord cu transferul plângerii sale în cazul în care Ombudsmanul nu este în măsură să o trateze, Ombudsmanul transmite plângerea organismului competent (de exemplu, un Ombudsman național).

În astfel de cazuri, Ombudsmanul nu consideră că este necesară furnizarea informațiilor individuale menționate la punctul 2 de mai sus, deoarece (i) scopul în care Ombudsmanul prelucrează aceste date cu caracter personal (evaluarea măsurii în care plângerea se încadrează în mandatul Ombudsmanului și, în caz contrar, posibilul transfer al plângerii către un alt organism) nu necesită identificarea persoanei terțe vizate de către Ombudsman [10]; și (ii) informarea individuală a persoanelor vizate terțe cu privire la faptul că Ombudsmanul poate prelucra date care le privesc, chiar dacă este posibil, ar duce la o multiplicare inutilă a datelor cu caracter personal și, prin urmare, ar implica un efort disproporționat [11].

În schimb, Ombudsmanul publică pe site-ul său web o notă de informare prin care informează publicul larg că este posibil să prelucreze date cu caracter personal ale altor persoane decât reclamantul în contextul tratării plângerilor. Prezenta notă include un link către această politică și o declarație privind prelucrarea datelor cu caracter personal în contextul tratării plângerilor și anchetelor de către Ombudsman. Prezenta notă, prezenta politică și declarația sunt considerate suficiente pentru a furniza toate informațiile relevante persoanelor ale căror date cu caracter personal pot fi prelucrate de Ombudsman [12] și pentru a le permite să solicite accesul, rectificarea, ștergerea și restricționarea prelucrării datelor lor cu caracter personal, dacă doresc acest lucru [13].

B - În cadrul mandatului, dar inadmisibile și admisibile fără motive

În cazurile de mai sus, Ombudsmanul nu consideră că este necesară furnizarea de informații individuale menționate la punctul 2 de mai sus, deoarece informarea individuală a persoanelor vizate terțe cu privire la faptul că Ombudsmanul poate prelucra date care le privesc, chiar dacă este posibil, ar duce la o multiplicare inutilă a datelor cu caracter personal care, având în vedere acțiunile limitate implicate, și anume absența oricărui transfer al plângerii în afara biroului Ombudsmanului, ar implica un efort disproporționat [14].

Nota de informare publicată pe site-ul Ombudsmanului și prezenta politică, precum și declarația sunt considerate suficiente pentru a furniza toate informațiile relevante persoanelor ale căror date cu caracter personal pot fi prelucrate de Ombudsman [15] și pentru a le permite să solicite accesul, rectificarea, ștergerea și restricționarea prelucrării datelor lor cu caracter personal, dacă doresc acest lucru [16].

C - Anchete

În cazurile de mai sus, Ombudsmanul trebuie să decidă mai întâi dacă datele referitoare la terți sunt sau nu relevante pentru obiectul anchetei. O modalitate de a face acest lucru este de a examina dacă Ombudsmanul ar trata ancheta în mod diferit în cazul în care persoana vizată terță nu ar fi fost menționată sau identificată în dosarul anchetei.

Datele relevante ar putea fi, de exemplu, cele referitoare la experiența profesională anterioară a funcționarului Uniunii care este membru al unei comisii de evaluare despre care se pretinde că se află într-un conflict de interese. Datele irelevante ar putea fi, de exemplu, cele legate de starea civilă a funcționarului UE respectiv. Alte date irelevante care ar putea fi colectate în timpul anchetei Ombudsmanului într-un mod pur incidental sunt, de exemplu, numele altor funcționari ai UE menționați în deciziile instituției relevante și documentele colectate în timpul anchetei Ombudsmanului.

Decizia privind relevanța datelor respective și analiza subiacentă vor fi prezentate în rezumatul care este înregistrat în dosarul relevant al sistemului Ombudsmanului de gestionare a cazurilor (CMS).

Date irelevante

În cazurile în care datele sunt irelevante pentru obiectul anchetei, Ombudsmanul nu consideră că este necesară furnizarea de informații individuale părții terțe deoarece (i) întrucât datele sunt irelevante, scopul pentru care Ombudsmanul prelucrează aceste date cu caracter personal (tratarea plângerii/anchetei) nu necesită identificarea părților terțe vizate de către Ombudsman [17]; și (ii) informarea individuală a acestor persoane vizate terțe, chiar dacă este posibil, ar conduce la o multiplicare inutilă a datelor cu caracter personal și ar implica eforturi disproporționate având în vedere faptul că Ombudsmanul nu utilizează datele în cauză în contextul anchetei sale [18]. Datele vădit irelevante incluse în textul plângerii nu vor fi prelucrate ulterior de Ombudsman [19].

Nota de informare publicată pe site-ul Ombudsmanului, prezenta politică și declarația sunt considerate suficiente pentru a furniza toate informațiile relevante persoanelor ale căror date cu caracter personal pot fi prelucrate de Ombudsman [20] și pentru a le permite să solicite accesul, rectificarea, ștergerea și restricționarea prelucrării datelor lor cu caracter personal, dacă doresc acest lucru [21].

Date relevante

În cazul în care datele sunt relevante, Ombudsmanul ia în considerare furnizarea informațiilor de la punctul 2 de mai sus către partea terță vizată.

Cu toate acestea, în cazul în care evaluarea plângerii permite să se concluzioneze că partea terță vizată deține deja informațiile (atunci când, de exemplu, funcționarul UE despre care se presupune că are un conflict de interese deține o copie completă a plângerii și a documentelor justificative)[22] sau că furnizarea informațiilor este imposibilă sau implică eforturi disproporționate (atunci când, de exemplu, persoana în cauză a părăsit între timp serviciul și nu poate fi urmărită)[23], Ombudsmanul înregistrează evaluarea detaliată care conduce la această concluzie în rezumatul cazului din CMS, iar nota publicată pe site-ul web al Ombudsmanului, împreună cu prezenta politică și declarație, sunt considerate suficiente pentru a furniza informațiile necesare persoanelor ale căror date cu caracter personal Ombudsmanul le poate prelucra [24] și pentru a le permite să solicite accesul, rectificarea, ștergerea și restricționarea prelucrării datelor lor cu caracter personal, dacă doresc acest lucru [25].

În cazurile în care persoana vizată terță nu deține informațiile și în care informarea acesteia este posibilă și nu implică un efort disproporționat, Ombudsmanul examinează dacă informarea persoanei vizate terțe este de natură să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective, și anume investigarea în mod corespunzător și luarea unei decizii cu privire la posibila administrare defectuoasă în activitățile instituțiilor, organelor, oficiilor sau agențiilor UE, în urma exercitării unui drept fundamental (o plângere adresată Ombudsmanului) sau din proprie inițiativă a Ombudsmanului [26].

Acest lucru ar fi valabil în cazul în care, de exemplu, persoana vizată terță ar fi în măsură să influențeze investigația: prin ascunderea unor elemente de probă importante, de exemplu, sau prin represalii împotriva reclamantului pentru că și-a exercitat un drept fundamental (de a depune o plângere la Ombudsman), acest lucru având un impact asupra anchetei (reclamantul nemaifiind dispus să contribuie la anchetă, de exemplu).

În cazul în care, în urma analizei de mai sus, Ombudsmanul concluzionează că furnizarea de informații către partea terță vizată este de natură să facă imposibilă sau să afecteze grav ancheta și capacitatea Ombudsmanului de a lua o decizie cu privire la acuzațiile de administrare defectuoasă, evaluarea și concluzia care rezultă vor fi înregistrate în dosarul cazului în CMS. Nota publicată pe site-ul Ombudsmanului, împreună cu prezenta politică și declarație, sunt considerate suficiente pentru a furniza informațiile necesare persoanelor ale căror date cu caracter personal pot fi prelucrate de Ombudsman în astfel de cazuri excepționale [27] și pentru a le permite să solicite accesul, rectificarea, ștergerea și restricționarea prelucrării datelor lor cu caracter personal, dacă doresc acest lucru [28].

În cazul în care, dimpotrivă, Ombudsmanul concluzionează că furnizarea de informații către partea terță vizată nu este de natură să facă imposibilă sau să afecteze grav ancheta și capacitatea Ombudsmanului de a lua o decizie cu privire la acuzațiile de administrare defectuoasă, acesta furnizează părții terțe vizate informațiile menționate la punctul 2 de mai sus de îndată ce examinarea plângerii este finalizată și instituția este informată [29].

4. Contribuții ca răspuns la consultările publice ale Ombudsmanului

Principiile stabilite în această politică se aplică, de asemenea, oricăror date cu caracter personal primite în contextul consultărilor publice ale Ombudsmanului.

 
   

 

Emily O'Reilly

Strasbourg, 16/07/2019

 

[1] Articolul 3 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE, JO 2018, L 295, p. 39: „«date cu caracter personal» înseamnă orice informații referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

[2] Pentru o analiză detaliată a conceptului de date cu caracter personal, vă rugăm să consultați avizul 4/2007 al Grupului de lucru „Articolul 29” privind protecția datelor, disponibil la adresa: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf

[3] https://secure.edps.europa.eu/EDPSWEB/

[4] Articolul 16 alineatele (1) și (2) din Regulamentul 2018/1725.

[5] Articolul 3 alineatul (8) din Regulamentul 2018/1725: „«operator» înseamnă instituția sau organul Uniunii ori direcția generală sau orice altă entitate organizațională care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei astfel de prelucrări sunt stabilite printr-un act specific al Uniunii, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute de dreptul Uniunii.”

[6] Articolul 5 din Regulamentul 2018/1725.

[7] Decizia Parlamentului European din 9 martie 1994 privind statutul și condițiile generale pentru exercitarea funcțiilor Ombudsmanului (94/262/CECO, CE, Euratom), JO 1994, L 113, p. 15, modificată prin deciziile sale din 14 martie 2002, JO 2002, L 92, p. 13, și din 18 iunie 2008, JO 2008, L 189, p. 25.

[8] Articolul 3 alineatul (13) din Regulamentul 2018/1725: "destinatar"înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.”

[9] Articolele 17-20 și articolul 23 din Regulamentul 2018/1725.

[10] Articolul 12 alineatul (1) din Regulamentul 2018/1725: „În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu este obligat să păstreze, să obțină sau să prelucreze informații suplimentare în vederea identificării persoanei vizate exclusiv în scopul respectării prezentului regulament”.

[11] Articolul 16 alineatul (5) litera (b) din Regulamentul 2018/1725: „Alineatele (1)-(4) nu se aplică în cazul și în măsura în care: [...] furnizarea acestor informații se dovedește imposibilă sau ar implica un efort disproporționat [...]”

[12] Articolul 16 alineatul (6) din Regulamentul 2018/1725: „În cazurile menționate la alineatul (5) litera (b), operatorul ia măsurile corespunzătoare pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv prin punerea informațiilor la dispoziția publicului.”

[13] Articolul 12 alineatul (2) din Regulamentul 2018/1725: „În cazul în care, în cazurile menționate la alineatul (1) din prezentul articol, operatorul este în măsură să demonstreze că nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în consecință, dacă este posibil. În astfel de cazuri, articolele 17-22 nu se aplică, cu excepția cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul articolelor respective, furnizează informații suplimentare care permit identificarea sa”. Acesta ar putea fi cazul, de exemplu, atunci când o persoană vizată terță solicită acces la datele sale cu caracter personal prelucrate de Ombudsman și, după o căutare în sistemul Ombudsmanului de gestionare a cazurilor (CMS), Ombudsmanul o informează că datele sale nu au putut fi găsite. Cu toate acestea, în cazul în care persoana vizată furnizează ulterior informații suplimentare, cum ar fi numărul plângerii sau numele reclamantului, de exemplu, acest lucru poate permite identificarea sa în dosarele Ombudsmanului și luarea unei decizii de către Ombudsman cu privire la cerere.

[14] Articolul 16 alineatul (5) litera (b) din Regulamentul 2018/1725.

[15] Articolul 16 alineatul (6) din Regulamentul 2018/1725.

[16] Articolul 12 alineatul (2) din Regulamentul 2018/1725. A se vedea nota de subsol 13 de mai sus.

[17] Articolul 12 alineatul (1) din Regulamentul 2018/1725

[18] Articolul 16 alineatul (5) litera (b) din Regulamentul 2018/1725.

[19] Este posibil ca datele care nu pot fi considerate relevante pentru obiectul unei anchete în stadiile incipiente ale acesteia să poată fi totuși utilizate în final în scopul anchetei și să aibă un impact asupra rezultatului acesteia.

[20] Articolul 16 alineatul (6) din Regulamentul 2018/1725.

[21] Articolul 12 alineatul (2) din Regulamentul 2018/1725. A se vedea nota de subsol 13 de mai sus.

[22] Articolul 16 alineatul (5) litera (a) din Regulamentul 2018/1725: „Alineatele (1)-(4) nu se aplică în cazul și în măsura în care:  persoana vizată deține deja informațiile...”

[23] Articolul 16 alineatul (5) litera (b) din Regulamentul 2018/1725: „Alineatele (1)-(4) nu se aplică în cazul și în măsura în care: [...] furnizarea unor astfel de informații se dovedește imposibilă sau ar implica un efort disproporționat [...]”

[24] Articolul 16 alineatul (6) din Regulamentul 2018/1725.

[25] Articolul 12 alineatul (2) din Regulamentul 2018/1725. A se vedea nota de subsol 13 de mai sus.

[26] Articolul 16 alineatul (5) litera (b) din Regulamentul 2018/1725: „Alineatele (1)-(4) nu se aplică în cazul și în măsura în care: [...] obligația menționată la alineatul (1) din prezentul articol este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective [...]”

[27] Articolul 16 alineatul (6) din Regulamentul 2018/1725.

[28] Articolul 12 alineatul (2) din Regulamentul 2018/1725. A se vedea nota de subsol 13 de mai sus.

[29] Articolul 16 alineatul (3) din Regulamentul 2018/1725: „Operatorul furnizează informațiile menționate la alineatele (1) și (2): (c) în cazul în care se are în vedere o divulgare către un alt destinatar, cel târziu la data la care datele cu caracter personal sunt divulgate pentru prima dată.

What did you think of this automatic translation? Give us your opinion!