În vigoare din data de 07 februarie 2019
În Jurnalul Oficial nr. 32L din data de 4 februarie 2019 a fost publicată Decizia 165 din 01 februarie 2019 de stabilire a unor norme interne privind furnizarea de informaţii persoanelor vizate şi privind restricţionarea, de către Comisie, a anumitor drepturi ale acestora în materie de protecţie a datelor în contextul anchetelor administrative, al procedurilor predisciplinare şi disciplinare, precum şi al procedurilor de suspendare, care va intra în vigoare la data de 07.02.2019.
”COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 249 alineatul (1),
întrucât:
(1) Comisia desfăşoară anchete administrative, proceduri predisciplinare şi disciplinare şi proceduri de suspendare în temeiul articolului 86 din Statutul funcţionarilor Uniunii Europene (1) şi în conformitate cu anexa IX la acesta, precum şi cu Decizia C(2004) 1588 a Comisiei (2). Aceste sarcini sunt, în principal, responsabilitatea Oficiului de investigaţie şi de disciplină al Comisiei („IDOC”), care este o direcţie ataşată Direcţiei Generale Resurse Umane şi Securitate. Procedura disciplinară poate include investigaţii efectuate de către comisia de disciplină a Comisiei, în temeiul articolului 17 din anexa IX la Statutul funcţionarilor.
(1) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcţionarilor Comunităţilor Europene şi a Regimului aplicabil celorlalţi agenţi ai acestor comunităţi şi de instituire a unor măsuri speciale tranzitorii aplicabile funcţionarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(2) Decizia C(2004) 1588 a Comisiei de stabilire a dispoziţiilor generale de punere în aplicare privind desfăşurarea anchetelor administrative şi a procedurilor disciplinare.
(2) În contextul acestor activităţi, serviciile relevante ale Comisiei colectează şi prelucrează informaţiile relevante. Aceste informaţii includ date cu caracter personal, în special date de identificare, de contact şi privind comportamentul. Serviciile relevante ale Comisiei transmit date cu caracter personal către alte servicii ale Comisiei, pe baza principiului necesităţii de a cunoaşte.
(3) Datele cu caracter personal sunt stocate într-un mediu fizic şi electronic securizat pentru a preveni accesul sau transferul ilegal al acestora către persoane care nu au nevoie să le cunoască. După încheierea procesului de prelucrare, datele sunt păstrate în conformitate cu normele aplicabile ale Comisiei (3).
(3) Lista comună la nivelul Comisiei privind păstrarea dosarelor Comisiei Europene – SEC (2012) 713.
(4) În îndeplinirea sarcinilor sale, Comisia este obligată să respecte drepturile persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, recunoscute prin articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene şi prin articolul 16 alineatul (1) din tratat, precum şi drepturile prevăzute în Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (4), care a înlocuit Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (5). În acelaşi timp, Comisia trebuie să respecte norme stricte în ceea ce priveşte confidenţialitatea şi secretul profesional şi să asigure respectarea drepturilor procedurale ale persoanelor în cauză şi ale martorilor, în special prezumţia de nevinovăţie a persoanei în cauză.
(4) Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(5) Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).
(5) În anumite circumstanţe, este necesar să se reconcilieze drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725 cu nevoile de eficacitate a anchetelor administrative, a procedurilor predisciplinare şi disciplinare şi a procedurilor de suspendare, precum şi cu respectarea deplină a drepturilor şi libertăţilor fundamentale ale altor persoane vizate. În acest scop, articolul 25 alineatul (1) literele (c), (g) şi (h) din Regulamentul (UE) 2018/1725 îi oferă Comisiei posibilitatea de a restricţiona aplicarea articolelor 14-17, 19, 20 şi 35, precum şi a principiului transparenţei prevăzut la articolul 4 alineatul (1) litera (a), în măsura în care dispoziţiile acestuia din urmă corespund drepturilor şi obligaţiilor prevăzute la articolele 14-17, 19, 20 şi 35 din respectivul regulament.
(6) Acest lucru ar putea fi valabil în special în ceea ce priveşte furnizarea de informaţii privind prelucrarea datelor cu caracter personal către persoana vizată la începutul unei anchete administrative. Furnizarea unor astfel de informaţii ar putea afecta capacitatea Comisiei de a efectua ancheta administrativă, de exemplu pentru că persoana în cauză ar putea distruge probele înainte ca acestea să facă obiectul unei examinări din partea Comisiei sau ar putea să comunice cu eventualii martori înainte ca aceştia să fie audiaţi. În mod similar, dacă se autorizează accesul la datele cu caracter personal pe parcursul diverselor etape ale procedurii în care persoana în cauză nu are acces la dosar, cum ar fi în timpul evaluării preliminare sau al anchetei administrative, ar putea ieşi la iveală informaţii care ar putea afecta buna desfăşurare a anchetei administrative. În ambele cazuri, s-ar impune limitarea drepturilor persoanei în cauză pentru a proteja o funcţie de monitorizare, de inspecţie sau de reglementare legată de exercitarea autorităţii publice atunci când este în joc un obiectiv important de interes public general al Uniunii, şi anume asigurarea faptului că personalul Comisiei îşi respectă obligaţiile statutare şi adoptă un comportament etic.
(7) De asemenea, s-ar putea dovedi necesară limitarea dreptului de acces al persoanei în cauză la datele cu caracter personal atunci când prin accesarea acestor date persoana ar dezvălui informaţii cu privire la un martor sau la un avertizor care a solicitat să nu îi fie dezvăluită identitatea. Într-un astfel de caz, Comisia poate decide să restricţioneze accesul la declaraţia referitoare la persoana în cauză, pentru a proteja drepturile şi libertăţile respectivului martor sau avertizor.
(8) Pentru a asigura confidenţialitatea şi eficacitatea anchetelor administrative, a procedurilor predisciplinare şi disciplinare şi a procedurilor de suspendare, respectând totodată standardele de protecţie a datelor cu caracter personal prevăzute în Regulamentul (UE) 2018/1725, trebuie adoptate norme interne prin care Comisia să poată restricţiona drepturile persoanelor vizate, în conformitate cu articolul 25 alineatul (1) literele (c), (g) şi (h) din Regulamentul (UE) 2018/1725.
(9) Normele interne ar trebui să se aplice în cazul tuturor operaţiunilor de prelucrare efectuate de Comisie în scopul îndeplinirii sarcinilor care îi revin, inclusiv operaţiunilor de prelucrare efectuate înainte de deschiderea unei anchete administrative şi în cadrul asistenţei şi al cooperării furnizate de Comisie autorităţilor naţionale şi organizaţiilor internaţionale în afara activităţilor sale.
(10) Pentru a se conforma articolelor 14, 15 şi 16 din Regulamentul (UE) 2018/1725, Comisia ar trebui să informeze toate persoanele fizice cu privire la activităţile sale care implică prelucrarea datelor lor cu caracter personal şi cu privire la drepturile lor într-un mod transparent şi coerent, prin publicarea unor anunţuri privind protecţia datelor pe site-ul web al Comisiei. În plus, Comisia ar trebui să informeze în mod individual, într-un format adecvat, persoanele vizate care fac obiectul unei anchete administrative, al unei proceduri predisciplinare şi disciplinare sau al unei proceduri de suspendare.
(11) Mai mult, pentru menţinerea unor relaţii de cooperare eficace, s-ar putea să fie necesară restricţionarea, de către Comisie, a aplicării drepturilor persoanelor vizate pentru a proteja operaţiunile de prelucrare desfăşurate de alte instituţii, organisme, oficii şi agenţii ale Uniuni sau de autorităţi ale statelor membre şi ale ţărilor terţe, precum şi de organizaţii internaţionale. În acest scop, Comisia ar trebui să consulte aceste instituţii, organisme, oficii, agenţii, autorităţi şi organizaţii internaţionale cu privire la motivele relevante care duc la impunerea de restricţii şi la necesitatea şi proporţionalitatea restricţiilor, cu excepţia cazului în care acest lucru ar periclita activităţile Comisiei.
(12) De asemenea, Comisia ar putea fi nevoită să restricţioneze furnizarea de informaţii persoanelor vizate şi aplicarea altor drepturi ale persoanelor vizate în ceea ce priveşte datele cu caracter personal primite din partea unor ţări terţe sau a unor organizaţii internaţionale, pentru a-şi îndeplini obligaţia de cooperare cu aceste ţări sau organizaţii şi pentru a proteja astfel un obiectiv important de interes public general al Uniunii. Cu toate acestea, în anumite circumstanţe, interesele sau drepturile fundamentale ale persoanei vizate pot prevala asupra interesului cooperării internaţionale.
(13) Comisia ar trebui să gestioneze toate restricţiile într-un mod transparent şi să înregistreze fiecare aplicare a unei restricţii în sistemul de consemnări corespunzător.
(14) În temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, operatorii pot să amâne, să omită sau să refuze furnizarea de informaţii privind motivele aplicării unei restricţii persoanei vizate în cazul în care furnizarea acestor informaţii ar compromite în vreun fel scopul restricţiei. Este, în special, cazul restricţiilor privind drepturile prevăzute la articolele 16 şi 35 din Regulamentul (UE) 2018/1725.
(15) Comisia ar trebui să revizuiască în mod regulat restricţiile impuse pentru a se asigura că drepturile persoanelor vizate de a fi informate în conformitate cu articolele 16 şi 35 din Regulamentul (UE) 2018/1725 sunt restricţionate numai atât timp cât astfel de restricţii sunt necesare pentru a-i permite Comisiei să îşi desfăşoare anchetele administrative, procedurile predisciplinare şi disciplinare şi procedurile de suspendare.
(16) În cazul în care se restricţionează alte drepturi ale persoanelor vizate, operatorul ar trebui să evalueze, de la caz la caz, dacă informarea cu privire la restricţie ar urma să compromită scopul acesteia.
(17) Responsabilul cu protecţia datelor din cadrul Comisiei Europene ar trebui să efectueze o reexaminare independentă a aplicării restricţiilor, în vederea asigurării conformităţii cu prezenta decizie.
(18) Autoritatea Europeană pentru Protecţia Datelor a emis un aviz la 5 decembrie 2018,
Adoptă prezenta DECIZIE:
Art. 1:
Obiect şi domeniu de aplicare
(1) Prezenta decizie stabileşte normele pe care trebuie să le respecte Comisia pentru a informa persoanele vizate cu privire la prelucrarea datelor lor în conformitate cu articolele 14, 15 şi 16 din Regulamentul (UE) 2018/1725, în cadrul desfăşurării anchetelor administrative, a procedurilor predisciplinare şi disciplinare şi a procedurilor de suspendare.
(2) Aceasta stabileşte, de asemenea, condiţiile în care Comisia poate restricţiona aplicarea articolului 4 alineatul (1) litera (a) şi a articolelor 14-17, 19, 20 şi 35 din Regulamentul (UE) 2018/1725, în conformitate cu articolul 25 alineatul (1) literele (c), (g) şi (h) din respectivul regulament.
(3) Prezenta decizie se aplică prelucrării datelor cu caracter personal de către Comisie în temeiul articolului 86 din Statutul funcţionarilor şi al anexei IX la acesta, precum şi al Deciziei C(2004) 1588.
(4) Prezenta decizie se aplică prelucrării datelor cu caracter personal de către Comisie, în măsura în care aceasta prelucrează date cu caracter personal în scopuri care au legătură cu anchetele administrative, cu procedurile predisciplinare şi disciplinare şi cu procedurile de suspendare.
(5) Categoriile de date cu caracter personal vizate de prezenta decizie includ datele de identificare, de contact şi cele privind comportamentul.
Art. 2:
Excepţii şi restricţii aplicabile
(1) În momentul în care îşi exercită atribuţiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, Comisia analizează dacă se aplică vreuna dintre excepţiile prevăzute în regulamentul menţionat.
(2) Sub rezerva articolelor 3-7 din prezenta decizie, Comisia poate restricţiona aplicarea articolelor 14-17, 19, 20 şi 35 din Regulamentul (UE) 2018/1725, precum şi a principiului transparenţei prevăzut la articolul 4 alineatul (1) litera (a) din acelaşi regulament – în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 14-17, 19, 20 şi 35 din regulamentul respectiv – în cazul în care exercitarea acestor drepturi şi obligaţii ar periclita scopul anchetelor administrative, al procedurilor predisciplinare şi disciplinare şi al procedurilor de suspendare sau ar afecta drepturile şi libertăţile altor persoane vizate.
(3) Sub rezerva articolelor 3-7, Comisia poate restricţiona drepturile şi obligaţiile menţionate la prezentul articol alineatul (2) în ceea ce priveşte datele cu caracter personal obţinute de la alte instituţii, organisme, agenţii şi oficii ale Uniunii, de la autorităţi competente ale statelor membre sau ale ţărilor terţe sau de la organizaţii internaţionale, în următoarele circumstanţe:
a) în cazul în care exercitarea acestor drepturi şi obligaţii ar putea fi restricţionată de către alte instituţii, organisme, agenţii şi oficii ale Uniunii, pe baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv ori în conformitate cu Regulamentul (UE) 2016/794 al Parlamentului European şi al Consiliului (6) sau cu Regulamentul (UE) 2017/1939 al Consiliului (7);
(6) Regulamentul (UE) 2016/794 al Parlamentului European şi al Consiliului din 11 mai 2016 privind Agenţia Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) şi de înlocuire şi de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI şi 2009/968/JAI ale Consiliului (JO L 135, 24.5.2016, p. 53).
(7) Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce priveşte instituirea Parchetului European (EPPO) (JO L 283, 31.10.2017, p. 1).
b) în cazul în care exercitarea acestor drepturi şi obligaţii ar putea fi restricţionată de către autorităţile competente ale statelor membre pe baza actelor menţionate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (8) sau în temeiul unor măsuri naţionale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (9);
(8) Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1).
(9) Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
c) în cazul în care exercitarea acestor drepturi şi obligaţii ar putea periclita cooperarea Comisiei cu ţări terţe sau cu organizaţii internaţionale în ceea ce priveşte desfăşurarea anchetelor administrative, a procedurilor predisciplinare şi disciplinare şi a procedurilor de suspendare.
Înainte de a aplica restricţii în situaţiile menţionate la primul paragraf literele (a) şi (b), Comisia consultă instituţiile, organismele, agenţiile, oficiile relevante ale Uniunii sau autorităţile competente ale statelor membre, cu excepţia cazului în care are certitudinea că aplicarea unei restricţii este prevăzută de unul dintre actele menţionate la literele respective sau a cazului în care o astfel de consultare ar periclita activităţile Comisiei.
Primul paragraf litera (c) nu se aplică în cazul în care interesele sau drepturile şi libertăţile fundamentale ale persoanelor vizate prevalează asupra interesului Comisiei de a coopera cu ţări terţe sau cu organizaţii internaţionale.
Art. 3:
Furnizarea de informaţii persoanelor vizate
(1) Comisia publică pe site-ul său web anunţuri privind protecţia datelor prin care informează toate persoanele vizate în legătură cu activităţile sale care implică prelucrarea datelor lor cu caracter personal.
(2) Comisia informează individual, într-un format adecvat, persoana care face obiectul unei anchete administrative, al unei proceduri predisciplinare şi disciplinare sau al unei proceduri de suspendare, precum şi martorii cărora li se solicită să furnizeze informaţii referitoare la procedurile respective, cu privire la prelucrarea datelor lor cu caracter personal.
(3) În cazul în care restricţionează, în conformitate cu articolul 2 din prezenta decizie, integral sau parţial, furnizarea informaţiilor menţionate la alineatul (2), Comisia consemnează şi înregistrează motivele restricţiei în conformitate cu articolul 6.
Art. 4:
Dreptul de acces al persoanelor vizate, dreptul la ştergerea datelor şi dreptul la restricţionarea prelucrării
(1) În cazul în care restricţionează, integral sau parţial, dreptul de acces la datele personale al persoanelor vizate, dreptul la ştergerea datelor sau dreptul la restricţionarea prelucrării menţionate la articolele 17, 19 şi, respectiv, 20 din Regulamentul (UE) 2018/1725, Comisia informează persoana vizată – în răspunsul său la cererea acesteia privind accesul, ştergerea sau restricţionarea prelucrării – cu privire la restricţia aplicată şi la principalele motive ale acesteia, precum şi cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor sau de a introduce o cale de atac în faţa Curţii de Justiţie a Uniunii Europene.
(2) Transmiterea informaţiilor cu privire la motivele restricţiei menţionate la alineatul (1) poate fi amânată, omisă sau refuzată atât timp cât furnizarea acestor informaţii ar submina scopul restricţiei.
(3) Comisia consemnează şi înregistrează motivele restricţiei în conformitate cu articolul 6 din prezenta decizie.
(4) În cazul în care dreptul de acces este restricţionat integral sau parţial, persoana vizată îşi poate exercita dreptul de acces prin intermediul Autorităţii Europene pentru Protecţia Datelor, în conformitate cu articolul 25 alineatele (6), (7) şi (8) din Regulamentul (UE) 2018/1725.
Art. 5:
Informarea persoanelor vizate cu privire la încălcarea securităţii datelor cu caracter personal
În cazul în care restricţionează informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, astfel cum se menţionează la articolul 35 din Regulamentul (UE) 2018/1725, Comisia consemnează şi înregistrează motivele restricţiei în conformitate cu articolul 6 din prezenta decizie.
Art. 6:
Consemnarea şi înregistrarea restricţiilor
(1) Comisia consemnează motivele oricărei restricţii aplicate în temeiul prezentei decizii, incluzând o evaluare de la caz la caz a necesităţii şi a proporţionalităţii restricţiei.
În acest scop, consemnarea indică modul în care exercitarea dreptului ar periclita scopul anchetei administrative, al procedurii predisciplinare şi disciplinare sau al procedurii de suspendare sau scopul restricţiilor aplicate în temeiul articolului 2 alineatul (2) sau (3) sau modul în care aceasta ar afecta drepturile şi libertăţile altor persoane vizate.
(2) Consemnarea şi, dacă este cazul, documentele care conţin elemente faptice şi juridice subiacente se înregistrează. Acestea sunt puse la dispoziţia Autorităţii Europene pentru Protecţia Datelor, la cerere.
Art. 7:
Durata restricţiilor
(1) Restricţiile menţionate la articolele 3, 4 şi 5 continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.
(2) În cazul în care motivele unei restricţii menţionate la articolele 3 şi 5 nu se mai aplică, Comisia ridică restricţia şi informează persoana vizată cu privire la motivele principale ale restricţiei. În acelaşi timp, Comisia informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor în orice moment sau de a introduce o cale de atac în faţa Curţii de Justiţie a Uniunii Europene.
(3) Comisia examinează aplicarea restricţiilor menţionate la articolele 3 şi 5 din şase în şase luni de la adoptarea acestora şi, în orice caz, la încheierea anchetei administrative, a procedurii predisciplinare şi disciplinare sau a procedurii de suspendare. Ulterior, Comisia verifică anual dacă este necesară menţinerea unor eventuale restricţii.
Art. 8:
Reexaminarea de către responsabilul cu protecţia datelor din cadrul Comisiei Europene
(1) Responsabilul cu protecţia datelor din cadrul Comisiei Europene este informat, fără întârzieri nejustificate, ori de câte ori drepturile persoanelor vizate sunt restricţionate în conformitate cu prezenta decizie. La cerere, responsabilului cu protecţia datelor i se asigură accesul la consemnări şi la orice alte documente care conţin elemente faptice şi juridice subiacente.
(2) Responsabilul cu protecţia datelor poate solicita o reexaminare a restricţiei. Responsabilul cu protecţia datelor este informat cu privire la rezultatul reexaminării solicitate.
Art. 9:
Intrarea în vigoare
Prezenta decizie intră în vigoare în a treia zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Adoptată la Bruxelles, 1 februarie 2019.”
Avocat Gherasim Andrei-Gheorghe