Publicat în Jurnalul Oficial L nr. 413 din 19-11-2021

DECIZIA CONSILIULUI DE ADMINISTRAȚIE

privind normele interne de restricționare a anumitor drepturi ale persoanelor vizate referitoare la prelucrarea datelor cu caracter personal în contextul funcționării Agenției pentru Drepturi Fundamentale a Uniunii Europene, de abrogare a Deciziei 2019/05 a Comitetului executiv din 27 septembrie 2019

 

Intrare în vigoare: 22/11/2021

 

CONSILIUL DE ADMINISTRAȚIE AL AGENȚIEI PENTRU DREPTURI FUNDAMENTALE A UNIUNII EUROPENE,

având în vedere:

Tratatul privind funcționarea Uniunii Europene,

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (1), în special articolul 25,

Regulamentul (CE) nr. 168/2007 al Consiliului din 15 februarie 2007 privind înființarea Agenției pentru Drepturi Fundamentale a Uniunii Europene (2), în special articolul 13,

având în vedere avizul Autorității Europene pentru Protecția Datelor (AEPD) din 19 mai 2019 și orientările AEPD privind articolul 25 din noul regulament și normele interne,

întrucât:

(1)

Agenția pentru Drepturi Fundamentale a Uniunii Europene (denumită în continuare „FRA” sau „agenția”) își desfășoară activitatea în conformitate cu Regulamentul (CE) nr. 168/2007.

(2)

În conformitate cu articolul 25 alineatul (1) din Regulamentul (UE) 2018/1725, restricționarea aplicării articolelor 14-22, 35 și 36, precum și a articolului 4 din regulamentul respectiv, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-22, trebuie să se întemeieze pe normele interne care urmează să fie adoptate de FRA, dacă acestea nu se bazează pe actele legislative adoptate în temeiul tratatelor.

(3)

Aceste norme interne, inclusiv dispozițiile privind evaluarea necesității și a proporționalității unei restricții, nu trebuie să se aplice în cazul în care un act legislativ adoptat în temeiul tratatelor prevede o restricționare a drepturilor persoanelor vizate.

(4)

În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, FRA analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.

(5)

În contextul funcționării sale instituționale, FRA poate desfășura anchete administrative, proceduri disciplinare, activități legate de cazuri privind posibile nereguli raportate la OLAF, poate prelucra cazuri de avertizare în interes public, poate prelucra proceduri de hărțuire (formale și informale), poate prelucra reclamații interne și externe, poate desfășura audituri interne/externe, poate desfășura anchete prin responsabilul cu protecția datelor („RPD”), conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, precum și investigații interne de securitate (informatică).

(6)

FRA poate fi implicată în cauze înaintate Curții de Justiție a Uniunii Europene în cazul în care fie sesizează Curtea, fie apără o decizie pe care a luat-o și care a fost contestată în fața Curții, fie intervine în cauze care sunt de competența sa. În acest context, FRA ar putea fi nevoită să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți.

(7)

FRA prelucrează mai multe categorii de date cu caracter personal, inclusiv date concrete (date „obiective”, cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicațiile electronice și date privind traficul) și/sau date mai puțin concrete (date „subiective” referitoare la caz, cum ar fi date obținute din raționamente, din evaluări, date comportamentale, date privind performanța și conduita și date referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității).

(8)

FRA, reprezentată de directorul său executiv, acționează în calitate de operator de date, indiferent de delegarea ulterioară a rolului de operator în cadrul FRA, prin care se reflectă responsabilitățile operaționale pentru operațiuni specifice de prelucrare a datelor cu caracter personal.

(9)

Datele cu caracter personal sunt păstrate în condiții de siguranță într-un mediu electronic sau pe hârtie, împiedicând-se accesarea ilegală sau transferul de date către persoane care nu au nevoie să le cunoască. Datele cu caracter personal prelucrate sunt păstrate doar atât timp cât este necesar și adecvat în scopurile pentru care sunt prelucrate datele pentru perioada specificată în notificările privind protecția datelor, în declarațiile de confidențialitate sau în evidențele FRA.

(10)

Aceste norme interne trebuie să se aplice tuturor operațiunilor de prelucrare efectuate de FRA în desfășurarea anchetelor administrative, a procedurilor disciplinare, a activităților legate de cazuri privind posibile nereguli raportate la OLAF, a procedurilor de avertizare în interes public, a procedurilor (formale și informale) în cazurile de hărțuire, a prelucrării reclamațiilor interne și externe, a auditurilor interne/externe, a anchetelor efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, a investigațiilor de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE).

(11)

Aceste norme interne trebuie să se aplice operațiunilor de prelucrare efectuate înaintea procedurilor la care s-a făcut referire mai sus, pe durata acestor proceduri, precum și pe durata monitorizării rezultatelor procedurilor. De asemenea, trebuie să cuprindă asistența și cooperarea furnizate de FRA autorităților naționale și organizațiilor internaționale, în afara anchetelor administrative ale agenției.

(12)

În cazurile în care aceste norme interne sunt aplicabile, FRA trebuie să ofere justificări, explicând motivele pentru care, într-o societate democratică, restricțiile sunt strict necesare și proporționale și respectă esența drepturilor și libertăților fundamentale.

(13)

În acest context, FRA are obligația de a respecta, cât se poate de mult, drepturile fundamentale ale persoanelor vizate în timpul procedurilor de mai sus, în special pe cele referitoare la dreptul de furnizare de informații, de acces și de rectificare, dreptul de ștergere a datelor, de restricționare a prelucrării lor, dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor, astfel cum sunt prevăzute în Regulamentul (UE) 2018/1725.

(14)

Cu toate acestea, este posibil ca FRA să fie obligată să restricționeze informarea persoanei vizate și alte drepturi ale acesteia pentru a proteja în special anchetele proprii, anchetele și procedurile altor autorități publice, precum și drepturile altor persoane legate de anchetele sale sau de alte proceduri.

(15)

Astfel, FRA poate restricționa informarea în scopul protejării anchetei și a drepturilor și libertăților fundamentale ale altor persoane vizate.

(16)

FRA trebuie să urmărească periodic dacă se aplică condițiile care justifică restricția și să ridice restricția în măsura în care nu se mai aplică.

(17)

Pentru a garanta cea mai mare protecție a drepturilor și libertăților persoanelor vizate și în conformitate cu articolul 44 alineatul (1) din regulament, responsabilul cu protecția datelor (RPD) trebuie să fie consultat în timp util cu privire la restricțiile care pot fi aplicate și să verifice respectarea dispozițiilor prezentei decizii,

DECIDE:

Articolul 1

Obiectul și domeniul de aplicare

(1)   Prezenta decizie stabilește normele referitoare la condițiile în care FRA, în cadrul procedurilor sale prevăzute la alineatul (2), poate restricționa aplicarea drepturilor consacrate la articolele 14-21, 35 și 36, precum și la articolul 4, cu respectarea articolului 25 din Regulamentul (UE) 2018/1725.

(2)   În contextul funcționării instituționale a FRA, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal efectuate de agenție, în următoarele scopuri: desfășurarea de anchete administrative, proceduri predisciplinare, proceduri disciplinare și suspendări în temeiul anexei IX la Statutul funcționarilor, de activități legate de cazurile de posibile nereguli raportate la OLAF, prelucrarea procedurilor de avertizare în interes public, a procedurilor (formale și informale) în cazurile de hărțuire, prelucrarea reclamațiilor interne și externe, desfășurarea de audituri interne/externe, de anchete efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725 și de investigații de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE).

(3)   Prezenta decizie se aplică și operațiunilor de prelucrare a datelor cu caracter personal când FRA este implicată în cauzele înaintate Curții de Justiție a Uniunii Europene în cazul în care fie sesizează Curtea, fie apără o decizie pe care a luat-o și care a fost contestată în fața Curții, fie intervine în cauze care sunt de competența sa. În acest context, FRA ar putea fi nevoită să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți.

(4)   Categoriile de date vizate sunt date concrete (date „obiective”, cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul) și/sau date calitative (date „subiective” referitoare la caz, cum ar fi datele obținute din raționamente, date comportamentale, evaluări, date privind performanța și conduita și date referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității).

(5)   În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, FRA analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.

(6)   Sub rezerva condițiilor prevăzute în prezenta decizie, restricțiile pot fi aplicabile următoarelor drepturi: de furnizare de informații persoanelor vizate, dreptul de acces, de rectificare, de ștergere, de restricționare a prelucrării, de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării.

Articolul 2

Menționarea operatorului și a garanțiilor

(1)   Garanțiile instituite pentru a evita încălcarea securității datelor, scurgerile de date sau divulgarea lor neautorizată sunt următoarele:

(a)

documentele pe hârtie se păstrează în dulapuri securizate și sunt accesibile doar personalului autorizat;

(b)

toate datele electronice se stochează într-o aplicație informatică securizată, conform standardelor de securitate ale FRA, precum și în fișiere electronice specifice, accesibile doar personalului autorizat. Se acordă individual niveluri corespunzătoare de acces;

(c)

baza de date este protejată cu parolă pe baza unui sistem de autentificare unic și este conectată automat la numele de utilizator și parola utilizatorului. Înlocuirea utilizatorilor este strict interzisă. Evidențele electronice se păstrează în condiții de siguranță, pentru a garanta confidențialitatea datelor conținute;

(d)

toate persoanele care au acces la date se supun obligației de confidențialitate.

(2)   Operatorul pentru prelucrarea datelor este FRA, reprezentată de directorul său, care poate delega funcția de operator de date. Persoanele vizate vor fi informate cu privire la operatorul de date delegat prin notificări privind protecția datelor sau prin evidențe publicate pe site-ul și/sau pe intranetul FRA.

(3)   Perioada de păstrare a datelor cu caracter personal la care se face referire la articolul 1 alineatul (3) nu va fi mai lungă decât este necesar și adecvat în scopul în care se prelucrează datele. În orice caz, aceasta nu va fi mai lungă decât perioada de păstrare specificată în notificările privind protecția datelor, în declarațiile de confidențialitate sau în evidențele la care se face referire la articolul 5 alineatul (1).

(4)   În cazul în care are în vedere aplicarea unei restricții, agenția apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul de anulare a efectului anchetelor sau al procedurilor FRA, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate se referă în primul rând la riscurile reputaționale și la riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea.

Articolul 3

Restricții

(1)   FRA aplică restricții doar:

(a)

în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din regulament, atunci când desfășoară anchete administrative, proceduri predisciplinare, proceduri disciplinare, suspendări în temeiul anexei IX la Statutul funcționarilor Uniunii Europene și activități legate de cazurile de eventuale nereguli raportate la OLAF;

(b)

în temeiul articolului 25 alineatul (1) litera (h) din regulament, atunci când prelucrează cazuri de avertizare în interes public și proceduri (formale și informale) de hărțuire, în conformitate cu normele sale interne respective;

(c)

în temeiul articolului 25 alineatul (1) literele (c), (d) și (h), atunci când tratează reclamații interne și externe și desfășoară audituri interne/externe în legătură cu activitățile sau departamentele FRA, anchete efectuate de responsabilul cu protecția datelor în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725 și investigații de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE);

(d)

în temeiul articolului 25 alineatul (1) litera (e) din regulament, când prelucrează date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor înaintate Curții de Justiție a Uniunii Europene.

(2)   Ca aplicare specifică a scopurilor descrise la alineatul (1) de mai sus, FRA poate aplica restricții în ceea ce privește schimbul de date cu caracter personal cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autorități competente ale statelor membre sau cu țări terțe sau organizații internaționale, în următoarele situații:

(a)

în cazul în care exercitarea drepturilor și a obligațiilor respective ar putea fi restricționată de serviciile Comisiei sau de alte instituții, organe, agenții și oficii ale Uniunii, în baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv sau cu actele de instituire a altor instituții, organe, agenții și oficii ale Uniunii;

(b)

în cazul în care exercitarea drepturilor și obligațiilor respective ar putea fi restricționată de autoritățile competente ale statelor membre în baza actelor menționate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (3) sau în conformitate cu alte măsuri naționale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (4);

(c)

în cazul în care exercitarea respectivelor drepturi și obligații ar putea pune în pericol cooperarea FRA cu țări terțe sau cu organizații internaționale în îndeplinirea sarcinilor sale.

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) din primul paragraf, FRA consultă serviciile Comisiei, instituțiile, organele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care FRA are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

(3)   Restricțiile sunt necesare și proporționale, ținând cont de riscurile pentru drepturile și libertățile persoanelor vizate, și respectă esența drepturilor și libertăților fundamentale într-o societate democratică.

(4)   Dacă se ia în considerare aplicarea restricției, se efectuează un test de necesitate și proporționalitate, în baza prezentelor norme. Acesta este documentat, de la caz la caz, printr-o notă de evaluare internă în scopul respectării principiului responsabilității.

(5)   Restricțiile sunt ridicate imediat ce situațiile care le justifică nu mai sunt aplicabile, în special în cazul în care se consideră că exercitarea dreptului restricționat nu ar mai anula efectul restricției impuse și nu ar aduce atingere drepturilor sau libertăților altor persoane vizate.

Articolul 4

Implicarea responsabilului cu protecția datelor

(1)   FRA implică RPD, fără întârzieri nejustificate, pe parcursul tuturor procedurilor relevante stabilite prin prezenta decizie și se asigură că implicarea RPD este documentată. Acest lucru include documentarea în scris a tuturor evaluărilor și avizelor relevante elaborate de RPD cu privire la aplicabilitatea unei restricții pentru un anumit caz.

(2)   În special, agenția informează RPD, fără întârzieri nejustificate, ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau prelungește restricția, în conformitate cu prezenta decizie. Operatorul acordă RPD acces la evidențele care cuprind evaluarea necesității și a proporționalității restricției și menționează în evidențe data la care a fost informat RPD.

(3)   RPD îi poate solicita operatorului în scris revizuirea aplicării restricțiilor. Operatorul informează RPD în scris cu privire la rezultatul revizuirii solicitate.

(4)   Operatorul informează RPD cu privire la ridicarea restricției.

Articolul 5

Furnizarea de informații persoanei vizate

(1)   În cazuri justificate corespunzător și în condițiile stabilite în prezenta decizie, dreptul la furnizarea de informații poate fi restricționat de către operator în contextul următoarelor operațiuni de prelucrare:

(a)

efectuarea de anchete administrative și proceduri disciplinare;

(b)

activități legate de cazuri privind posibile nereguli raportate la OLAF;

(c)

proceduri de avertizare în interes public;

(d)

proceduri (formale și informale) în cazurile de hărțuire;

(e)

prelucrarea reclamațiilor interne și externe;

(f)

audituri interne și externe;

(g)

anchete efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725;

(h)

investigații în materie de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE);

(i)

prelucrarea de date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor înaintate Curții de Justiție a Uniunii Europene.

În sensul articolului 31 din Regulamentul (UE) 2018/1725, FRA include în notificările privind protecția datelor declarații de confidențialitate sau evidențe, publicate pe site-ul său și/sau pe intranet, prin care informează persoanele vizate cu privire la drepturile ce le revin într-o anumită procedură, precum și informații referitoare la eventuala restricționare a acestor drepturi. Informațiile cuprind drepturile care pot fi restricționate, motivele și durata probabilă.

(2)   De asemenea, fără a aduce atingere dispozițiilor de la alineatul (3), în limitele proporționalității, FRA informează individual, fără întârzieri nejustificate și în scris, toate persoanele vizate considerate persoane interesate în acea operațiune de prelucrare, cu privire la drepturile lor legate de restricțiile prezente sau viitoare.

(3)   În cazul în care FRA restricționează, integral sau parțial, furnizarea de informații persoanelor vizate la care se face referire la alineatul (2), agenția înregistrează motivele restricționării, temeiul legal în conformitate cu articolul 3 din prezenta decizie, inclusiv o evaluare a necesității și proporționalității restricției.

Această evidență și, după caz, documentele care conțin elementele subiacente de fapt și de drept sunt consemnate. La cerere, acestea sunt puse la dispoziția AEPD.

(4)   Restricția menționată la alineatul (3) continuă să se aplice atât timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricției nu se mai aplică, FRA furnizează persoanei vizate informații cu privire la principalele motive care stau la baza aplicării unei restricții. În același timp, FRA informează persoana vizată cu privire la dreptul de a depune o plângere la AEPD în orice moment sau de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.

FRA revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea anchetei, procedurii sau investigației relevante. Ulterior, operatorul monitorizează anual necesitatea de a menține restricția.

Articolul 6

Dreptul de acces al persoanei vizate

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la acces poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proporțional:

(a)

efectuarea de anchete administrative și proceduri disciplinare;

(b)

activități legate de cazuri privind posibile nereguli raportate la OLAF;

(c)

proceduri de avertizare în interes public;

(d)

proceduri (formale și informale) în cazurile de hărțuire;

(e)

prelucrarea reclamațiilor interne și externe;

(f)

audituri interne și externe;

(g)

anchete efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725;

(h)

investigații în materie de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE);

(i)

prelucrarea de date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor înaintate Curții de Justiție a Uniunii Europene.

Când persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, FRA își limitează evaluarea cererii exclusiv la aceste date cu caracter personal.

(2)   În cazul în care FRA restricționează, integral sau parțial, dreptul de acces menționat la articolul 17 din Regulamentul (UE) 2018/1725, agenția ia următoarele măsuri:

(a)

informează persoana vizată, în răspunsul oferit la cererea acesteia, cu privire la restricția aplicată și la principalele motive ale restricției, precum și la posibilitatea de a depune plângere la AEPD sau de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene;

(b)

documentează motivele restricționării, într-o notă de evaluare internă, care conține și evaluarea necesității, a proporționalității și durata restricției.

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată, dacă acest lucru ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

FRA revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea anchetei relevante. Ulterior, operatorul monitorizează anual necesitatea de a menține restricția.

(3)   Această evidență și, după caz, documentele care conțin elementele subiacente de fapt și de drept sunt consemnate. La cerere, acestea sunt puse la dispoziția AEPD.

Articolul 7

Dreptul de a rectifica și a șterge date și dreptul de a restricționa prelucrarea lor

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor pot fi restricționate de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(a)

efectuarea de anchete administrative și proceduri disciplinare;

(b)

activități legate de cazuri privind posibile nereguli raportate la OLAF;

(c)

proceduri de avertizare în interes public;

(d)

proceduri (formale și informale) în cazurile de hărțuire;

(e)

prelucrarea reclamațiilor interne și externe;

(f)

audituri interne și externe;

(g)

anchete efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725;

(h)

investigații în materie de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE);

(i)

prelucrarea de date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor înaintate Curții de Justiție a Uniunii Europene.

(2)   În cazul în care FRA restricționează, integral sau parțial, aplicarea dreptului de a rectifica și de a șterge datele și a dreptului de a restricționa prelucrarea datelor astfel cum se menționează la articolul 18, articolul 19 alineatul (1) și articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725, agenția ia măsurile prevăzute la articolul 6 alineatul (2) din prezenta decizie și consemnează înregistrarea în conformitate cu articolul 6 alineatul (3) din respectiva decizie.

Articolul 8

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal și confidențialitatea comunicațiilor electronice

(1)   În cazuri justificate corespunzător și în condițiile stabilite în prezenta decizie, dreptul la informare cu privire la încălcarea securității datelor cu caracter personal poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(a)

efectuarea de anchete administrative și proceduri disciplinare;

(b)

activități legate de cazuri privind posibile nereguli raportate la OLAF;

(c)

proceduri de avertizare în interes public;

(d)

proceduri (formale și informale) în cazurile de hărțuire;

(e)

prelucrarea reclamațiilor interne și externe;

(f)

audituri interne și externe;

(g)

anchete efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725;

(h)

investigații în materie de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE);

(i)

prelucrarea de date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor înaintate Curții de Justiție a Uniunii Europene.

(2)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la confidențialitatea comunicațiilor electronice poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(a)

efectuarea de anchete administrative și proceduri disciplinare;

(b)

activități legate de cazuri privind posibile nereguli raportate la OLAF;

(c)

proceduri de avertizare în interes public;

(d)

proceduri formale în cazuri de hărțuire;

(e)

prelucrarea reclamațiilor interne și externe;

(f)

investigații de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE);

(g)

prelucrarea de date cu caracter personal în documentele obținute de părți sau de intervenienți în contextul procedurilor înaintate Curții de Justiție a Uniunii Europene.

(3)   În cazul în care FRA restricționează informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau confidențialitatea comunicațiilor electronice, așa cum se menționează la articolele 35 și 36 din Regulamentul (UE) 2018/1725, agenția consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatul (3) din prezenta decizie. Se aplică articolul 5 alineatul (4) din prezenta decizie.

Articolul 9

Dispoziții finale

Decizia Comitetului executiv al FRA 2019/05 din 27 septembrie 2019 privind normele interne de restricționare a anumitor drepturi ale persoanelor vizate referitoare la prelucrarea datelor cu caracter personal în contextul funcționării Agenției pentru Drepturi Fundamentale a Uniunii Europene (2019/C 371/06) se abrogă.

Articolul 10

Intrarea în vigoare

Prezenta decizie intră în vigoare în a treia zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Adoptată la Viena, 24 septembrie 2021.

Pentru Agenția pentru Drepturi

Fundamentale a Uniunii Europene

Elise BARBÉ

Președintele Consiliului de administrație


(1)  JO L 295, 21.11.2018, p. 39.

(2)  JO L 53, 22.2.2007, p. 1.

(3)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(4)  Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).