Decizia AEPD privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Autoritatea Europeană pentru Protecția Datelor
12 aprilie 2019 | Vlad BERCU
Vlad Bercu
În Jurnalul Oficial al Uniunii Europene, seria L 99l din data de 10 aprilie 2019, a fost publicată Decizia Autorității Europene pentru Protecția Datelor (AEPD) din 2 aprilie 2019 privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Autoritatea Europeană pentru Protecția Datelor.
1. Având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituții, prezenta decizie stabilește normele privind condițiile în care AEPD poate restricționa aplicarea articolelor 14-20, 35 și 36, precum și a articolului 4 din acesta, în temeiul articolul 25 din regulament.
2. Art. 25 alin. (1) stabilește că actele legislative adoptate în baza tratatelor sau, în chestiuni legate de funcționarea instituțiilor și organelor Uniunii, normele interne prevăzute de acestea din urmă pot restricționa aplicarea prevederilor menționate, în cazul în care este necesară garantarea: securitatea națională, securitatea publică sau apărarea statelor membre; prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora etc. (a se vedea pct. (1) integral).
3. În conformitate cu articolul 25 alineatul (1) din regulament, AEPD poate restricționa aplicarea articolelor:
1. Art. 14 – Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate;
2. Art. 15 – Informații care se furnizează în cazul în care date cu caracter personal sunt colectate de la persoana vizată;
3. Art. 16 – Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată;
4. Art. 17 – Dreptul de acces al persoanei vizate;
5. Art. 18 – Dreptul la rectificare;
6. Art. 19 – Dreptul la ștergerea datelor („dreptul de a fi uitat”);
7. Art. 20 – Dreptul la restricționarea prelucrării;
8. Art. 35 – Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal;
9. Art. 36 – Confidențialitatea comunicațiilor electronice;
10. Art. 4 – Principii legate de prelucrarea datelor cu caracter personal.
4. Aceste restricții trebuie însă să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică. Astfel, anterio aplicării restricțiilor urmează a fi efectuat test de necesitate și proporționalitate.
5. AEPD întocmește, în scopul asigurării răspunderii, o evidență în care sunt descrise motivele care stau la baza restricțiilor aplicate și rezultatul testului de necesitate și proporționalitate.
6. Motivele sunt descrise sunt descrise exhaustiv (ori nu regăsim un „…” în cadrul textului normativ) la art. 2 pct. (1):
(a) desfășoară anchete administrative, proceduri disciplinare anticipate, disciplinare și de suspendare, în temeiul articolului 86 din Statutul funcționarilor Uniunii Europene (3) și în conformitate cu anexa IX la acesta, precum și a Deciziei AEPD din 23 aprilie 2015 și poate notifica cazurile la Oficiul de investigație și de disciplină al Comisiei (IDOC) sau la Oficiul European de Luptă Antifraudă (OLAF). Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g) (h) din regulament;
(b) se asigură că membrii personalului AEPD pot raporta faptele în condiții de confidențialitate atunci când consideră că există nereguli grave, astfel cum este reglementat prin Decizia AEPD privind normele interne referitoare la avertizarea în interes public, din 14 iunie 2016. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) litera (h) din regulament;
(c) se asigură că membrii personalului AEPD pot raporta în condiții de confidențialitate unor persoane de încredere în contextul unei proceduri de hărțuire, astfel cum este definită în Decizia AEPD din 10 decembrie 2014. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) litera (h) din regulament;
(d) efectuează anchete legate de subiectul plângerilor privind activitățile de prelucrare desfășurate de instituțiile, organismele, oficiile și agențiile europene, în temeiul articolului 57 alineatul (1) litera (e) din regulament. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g), (h) din regulament;
(e) desfășoară anchete privind aplicarea regulamentului pentru a verifica respectarea acestuia de către instituțiile, organele, oficiile și agențiile UE, în temeiul articolului 57 alineatul (1) litera (f) din regulament. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g), (h) din regulament;
(f) desfășoară anchete privind posibile încălcări ale informațiilor UE clasificate, pe baza Deciziei AEPD de modificare a normelor sale privind securitatea informațiilor UE clasificate, din 18 februarie 2014. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (d),(g),(h) din regulament;
(g) efectuează audituri interne în legătură cu toate activitățile și departamentele AEPD. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g), (h) din regulament;
(h) furnizează asistență și sprijin altor instituții, organe, oficii și agenții ale Uniunii sau primește asistență și sprijin din partea acestora, în cadrul activităților menționate mai sus, astfel cum se prevede în acordurile relevante privind nivelul serviciilor, în memorandumurile de înțelegere și acordurile de cooperare; Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (d), (g), (h) din regulament;
(i) furnizează asistență și sprijin autorităților naționale și organizațiilor internaționale din țările terțe sau primește asistență și sprijin din partea acestora, la cererea lor sau din proprie inițiativă, în conformitate cu articolul 51 din Regulament. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g), (h) din regulament;
(j) furnizează asistență și sprijin altor autorități publice din statele membre ale UE sau primește asistență și sprijin din partea acestora, la cererea lor sau din proprie inițiativă. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) literele (c), (g), (h) din regulament;
(k) prelucrează date cu caracter personal din documente obținute de părți sau de intervenienți în contextul cazului respectiv, când sesizează Curtea de Justiție a Uniunii Europene, în temeiul articolul 58 alineatul (4) din regulament. Restricțiile relevante pot fi întemeiate pe articolul 25 alineatul (1) litera (e) din regulament.
7. AEPD instituie garanții pentru a preveni abuzul sau accesul ilegal sau transferul de date cu caracter personal care pot face obiectul unor restricții.
8. Responsabilul cu protecția datelor de la AEPD este informat fără întârzieri nejustificate ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta decizie și i se acordă acces la evidențe și la documentele care stau la baza elementelor de fapt și de drept. DPO-ul Autorității poate solicita revizuirea aplicării restricției.
9. În cazul în care, în contextul activităților menționate în prezenta decizie, AEPD limitează, integral sau parțial, drepturile persoanelor vizate menționate la articolele 14-16 și 35 din regulament, acestea sunt informate cu privire la principalele motive pe care se întemeiază aplicarea restricției și cu privire la dreptul lor de a depune o plângere la AEPD, precum și de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.
10. În cazul în care, în contextul activităților menționate în prezenta decizie, AEPD limitează, integral sau parțial, drepturile persoanelor vizate menționate la articolele 14-16 și 35 din regulament, acestea sunt informate cu privire la principalele motive pe care se întemeiază aplicarea restricției și cu privire la dreptul lor de a depune o plângere la AEPD, precum și de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.
11. În cazul în care, în contextul activităților menționate în prezenta decizie, AEPD restricționează, integral sau parțial, dreptul de acces la datele cu caracter personal, dreptul de rectificare, ștergere și restricționare a prelucrării, astfel cum se menționează la articolele 17-20 din regulament, aceasta informează persoana vizată în cauză, în răspunsul la cererea acesteia, cu privire la motivele principale pe care se întemeiază aplicarea restricției și cu privire la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.
12. AEPD poate amâna, omite sau refuza furnizarea de informații privind motivele restricției dacă aceasta ar anula efectul restricției. Această evaluare se efectuează de la caz la caz.
Pentru mai multe detalii a se vedea Decizia AEPD integral
Vlad Bercu
Research assistant SĂVESCU & ASOCIAȚII
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
