Capitolul 6 - DISPOZIŢII GENERALE PRIVIND PROTECŢIA DATELOR - Decizia 2008/615/JAI/23-iun-2008 privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului şi a criminalităţii transfrontaliere
Acte UE
Jurnalul Oficial 210L
În vigoare Versiune de la: 25 Aprilie 2024
CAPITOLUL 6:DISPOZIŢII GENERALE PRIVIND PROTECŢIA DATELOR
Art. 24: Definiţii şi domeniu de aplicare
(1)În înţelesul prezentei decizii:
a)"prelucrarea datelor cu caracter personal" înseamnă orice operaţiune sau set de operaţiuni care sunt efectuate cu privire la datele cu caracter personal, indiferent dacă se realizează sau nu prin mijloace automatizate, precum culegerea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, sortarea, recuperarea, consultarea, utilizarea, divulgarea prin furnizare, diseminarea sau punerea la dispoziţie în alt mod, alinierea, combinarea, blocarea, ştergerea sau distrugerea datelor. Prelucrarea, în sensul prezentei decizii, include comunicarea, indiferent dacă există sau nu "hit" (răspuns pozitiv);
b)"procedura de căutare automatizată" înseamnă accesul direct la bazele de date automatizate ale altui organism, în cazul în care răspunsul în urma procedurii de căutare este complet automatizat;
c)"catalogare" înseamnă marcarea datelor cu caracter personal stocate, fără a avea ca scop limitarea prelucrării lor ulterioare;
d)"blocare" înseamnă marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea lor ulterioară.
(2)Următoarele dispoziţii se aplică datelor care sunt sau au fost furnizate în conformitate cu prezenta decizie, cu excepţia cazului în care se prevede altfel în capitolele anterioare.
Art. 25: Nivelul de protecţie a datelor
(1)În privinţa prelucrării datelor cu caracter personal, care sunt sau au fost furnizate conform prezentei decizii, fiecare stat membru garantează un nivel de protecţie a datelor cu caracter personal în legislaţia sa naţională, cel puţin egal cu cel rezultat din Convenţia Consiliului Europei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal din 28 ianuarie 1981 şi din Protocolul său adiţional din 8 noiembrie 2001, luând astfel în considerare Recomandarea nr. R (87) 15 din 17 septembrie 1987 a Comitetului de Miniştri al Consiliului Europei către statele membre care reglementează utilizarea datelor cu caracter personal în domeniul poliţienesc, chiar şi în cazul în care datele nu sunt prelucrate automatizat.
(2)Transmiterea datelor cu caracter personal reglementată de prezenta decizie nu poate avea loc decât după ce dispoziţiile prezentului capitol au fost puse în aplicare în legislaţia naţională aplicabilă pe teritoriile statelor membre implicate în această transmitere. Consiliul decide în unanimitate dacă această condiţie a fost îndeplinită.
(3)Alineatul (2) nu se aplică acelor state membre în care transmiterea de date cu caracter personal reglementată de prezenta decizie a început deja ca urmare a Tratatului de la Prum din 27 mai 2005 încheiat între Regatul Belgiei, Republica Federală Germania, Regatul Spaniei, Republica Franceză, Marele Ducat al Luxemburgului, Regatul Ţărilor de Jos şi Republica Austria privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului, a criminalităţii transfrontaliere şi a migraţiei ilegale ("Tratatul de la Prum").
Art. 26: Scopul
(1)Prelucrarea datelor cu caracter personal de către statul membru destinatar este permisă doar pentru scopul pentru care au fost furnizate, în conformitate cu prezenta decizie. Prelucrarea în alt scop este permisă numai cu autorizarea prealabilă a statului membru care administrează fişierul şi doar cu respectarea legislaţiei naţionale a statului membru destinatar. O astfel de autorizaţie poate fi acordată cu condiţia ca prelucrarea în alte scopuri să fie permisă de legislaţia naţională a statului membru care administrează fişierul.
(2)Prelucrarea datelor furnizate conform articolelor 3, 4 şi 9 de către statul membru care efectuează căutarea sau compararea este permisă doar pentru:
a)a stabili dacă profilurile ADN sau datele dactiloscopice comparate concordă;
b)a pregăti şi înainta o cerere formulată de organele de poliţie sau judiciare în vederea acordării de asistenţă juridică în concordanţă cu legislaţia naţională, dacă aceste date concordă;
c)a efectua o înregistrare, în sensul articolului 30.
Statul membru care administrează fişierul poate prelucra datele furnizate în conformitate cu articolele 3, 4 şi 9 numai atunci când este necesar în scopul comparării, al furnizării răspunsurilor automatizate la căutări sau al înregistrării în conformitate cu articolul 30. Datele furnizate sunt şterse îndată după compararea datelor sau după răspunsurile automatizate la căutări, în afara cazului în care este necesară continuarea prelucrării datelor în scopurile menţionate la literele (b) şi (c) din primul paragraf.
(3)Datele furnizate în conformitate cu articolul 12 pot fi utilizate de către statul membru care administrează fişierul numai atunci când acest lucru este necesar în scopul furnizării răspunsurilor automatizate la procedurile de căutare sau al înregistrării în conformitate cu articolul 30. Datele furnizate sunt şterse îndată după transmiterea răspunsurilor automatizate la căutări, în afara cazului în care este necesară continuarea prelucrării în vederea înregistrării în conformitate cu articolul 30. Statul membru care efectuează căutarea poate folosi datele primite ca răspuns numai pentru procedura pentru care a fost efectuată căutarea.
Art. 27: Autorităţile competente
Datele cu caracter personal furnizate pot fi prelucrate doar de către autorităţile, organismele şi instanţele cu atribuţii care servesc realizării scopurilor prevăzute la articolul 26. În special, datele pot fi furnizate altor entităţi doar cu autorizarea prealabilă din partea statului membru furnizor şi în conformitate cu legislaţia statului membru destinatar.
Art. 28: Acurateţea, relevanţa actuală şi perioada de stocare a datelor
(1)Statele membre asigură acurateţea şi relevanţa actuală a datelor cu caracter personal. Dacă ex officio sau dintr-o notificare a persoanei vizate rezultă că au fost furnizate date incorecte sau date care nu ar fi trebuit să fie furnizate, acest fapt este notificat de îndată statului sau statelor membre destinatare. Statul sau statele membre în cauză sunt obligate să corecteze sau să şteargă datele. De asemenea, datele cu caracter personal furnizate sunt corectate dacă se descoperă că sunt incorecte. Dacă organismul destinatar are motive să creadă că datele furnizate sunt incorecte sau ar trebui şterse, autoritatea care le-a furnizat este informată de îndată despre aceasta.
(2)Datele a căror acurateţe este contestată de persoana vizată sau a căror acurateţe sau lipsă de acurateţe nu poate fi stabilită trebuie să fie marcate cu un steguleţ la cererea persoanei vizate, în conformitate cu legislaţia naţională a statelor membre. Dacă există un steguleţ, acesta poate fi înlăturat în conformitate cu legislaţia naţională a statelor membre şi numai cu permisiunea persoanei vizate sau pe baza unei hotărâri a instanţei judecătoreşti competente sau a autorităţii independente de protecţie a datelor.
(3)Datele cu caracter personal furnizate care nu ar fi trebuit furnizate sau primite se şterg. Datele care sunt legal furnizate şi primite se şterg:
a)dacă nu sunt sau nu mai sunt necesare pentru scopul pentru care au fost furnizate; dacă datele cu caracter personal au fost furnizate fără a fi solicitate, organismul destinatar verifică de îndată dacă sunt necesare în scopul pentru care au fost furnizate;
b)după expirarea termenului maxim de păstrare a datelor prevăzut de legislaţia naţională a statului membru care furnizează datele, atunci când organismul care a furnizat datele a informat organismul destinatar cu privire la acel termen maxim la momentul furnizării datelor.
Atunci când există motive să se creadă că ştergerea ar prejudicia interesele persoanei vizate, datele sunt blocate, în loc să fie şterse, în conformitate cu legislaţia naţională. Datele blocate pot fi furnizate sau utilizate doar în scopul care a împiedicat ştergerea lor.
Art. 29: Măsuri tehnice şi organizatorice de asigurare a protecţiei şi securităţii datelor
(1)Organismele care furnizează date şi organismele destinatare iau măsurile necesare pentru a asigura protecţia eficientă a datelor cu caracter personal împotriva distrugerii accidentale sau neautorizate, pierderii accidentale, accesului neautorizat, modificării neautorizate sau accidentale şi divulgării neautorizate.
(2)Elementele specificaţiilor tehnice ale procedurii de căutare automatizată sunt reglementate prin măsurile de punere în aplicare menţionate la articolul 33, care garantează că:
a)sunt luate măsuri tehnice de ultimă generaţie în vederea asigurării protecţiei şi securităţii datelor, în special a confidenţialităţii şi integrităţii acestora;
b)atunci când se recurge la reţele general accesibile sunt utilizate proceduri de criptare şi autorizare recunoscute de autorităţile competente; şi
c)poate fi verificată admisibilitatea căutărilor, în conformitate cu articolul 30 alineatele (2), (4) şi (5).
Art. 30: Introducerea în evidenţă şi înregistrarea; norme speciale care reglementează transmiterea automatizată şi neautomatizată
(1)Fiecare stat membru garantează că fiecare transmitere neautomatizată şi fiecare primire neautomatizată de date cu caracter personal de către organismul care administrează fişierul şi de către organismul care efectuează căutarea este introdusă într-o evidenţă pentru a verifica admisibilitatea transmiterii. Luarea în evidenţă oferă următoarele informaţii:
a)motivul furnizării datelor;
b)datele furnizate;
c)data furnizării; şi
d)numele sau codul de identificare al organismului care efectuează căutarea şi al organismului care administrează fişierul.
(2)Următoarele dispoziţii se aplică în cazul căutărilor automatizate de date în temeiul articolelor 3, 9 şi 12 şi al comparaţiilor automatizate de date în conformitate cu articolul 4:
a)numai agenţii punctelor naţionale de contact, posesori ai unei autorizaţii speciale, pot efectua căutări sau comparaţii automatizate de date. Lista agenţilor autorizaţi să efectueze căutări sau comparaţii automatizate de date se pune la dispoziţie la cerere autorităţilor de supraveghere menţionate la alineatul (5), precum şi celorlalte state membre.
b)fiecare stat membru se asigură că fiecare transmitere şi primire de date cu caracter personal de către organismul care administrează fişierul şi de către organismul care efectuează căutarea este înregistrată, comunicând, de asemenea, existenţa sau lipsa unui "hit" (răspuns pozitiv). Înregistrarea conţine următoarele informaţii:
(i)datele furnizate;
(ii)data şi ora exactă a furnizării; şi
(iii)numele sau codul de identificare al organismului care efectuează căutarea şi al organismului care administrează fişierul.
Organismul care efectuează căutarea înregistrează, de asemenea, motivul căutării sau al transmiterii, precum şi semnul de identificare al agentului care a efectuat căutarea şi al celui care a solicitat căutarea sau transmiterea.
(3)La cererea autorităţilor competente în domeniul protecţiei datelor din statele membre în cauză, organismul de înregistrare comunică de îndată datele înregistrate, în cel mult patru săptămâni de la data primirii cererii. Datele înregistrate pot fi utilizate doar în următoarele scopuri:
a)monitorizarea protecţiei datelor;
b)asigurarea securităţii datelor.
(4)Datele înregistrate sunt protejate prin adoptarea unor măsuri adecvate împotriva utilizării neautorizate şi a altor forme de utilizare incorectă şi sunt păstrate timp de doi ani. După expirarea perioadei de păstrare a datelor, datele înregistrate sunt şterse imediat.
(5)Responsabilitatea controalelor juridice în ceea ce priveşte transmiterea sau primirea de date cu caracter personal aparţine autorităţilor independente de protecţie a datelor sau, dacă este cazul, autorităţilor judiciare din statele membre în cauză. Oricine poate solicita acestor autorităţi să verifice legalitatea prelucrării datelor în legătură cu propria persoană, în conformitate cu legislaţia naţională. În afara unor astfel de solicitări, aceste autorităţi şi organismele de înregistrare efectuează controale prin sondaj în ceea ce priveşte legalitatea furnizărilor, folosind bazele de date respective.
Autorităţile independente de protecţie a datelor păstrează pentru inspecţie rezultatele unor astfel de controale timp de 18 luni. După expirarea acestei perioade, rezultatele în cauză sunt şterse de îndată. Fiecărei autorităţi de protecţie a datelor i se poate solicita de către autoritatea independentă de protecţie a datelor dintr-un alt stat membru să îşi exercite atribuţiile în conformitate cu legislaţia naţională. Autorităţile independente de protecţie a datelor din statele membre îndeplinesc sarcinile de inspecţie necesare cooperării, în special prin intermediul unui schimb de informaţii relevante.
Art. 31: Drepturile la informaţii şi despăgubiri ale persoanelor vizate
(1)La cererea persoanei vizate, în conformitate cu legislaţia naţională, acesteia îi sunt oferite informaţii, în conformitate cu legislaţia naţională, după dovedirea identităţii sale, fără cheltuieli excesive, folosind un limbaj inteligibil şi fără întârzieri inacceptabile, privind datele prelucrate în ceea ce priveşte persoana sa şi originea acestor date, destinatarul sau grupul de destinatari, scopul prelucrării şi, în cazul în care acest lucru e necesar în conformitate cu legislaţia naţională, temeiul juridic al prelucrării. De asemenea, persoana vizată are dreptul de a solicita ca datele inexacte să fie corectate şi ca datele prelucrate în mod ilegal să fie şterse. Mai mult decât atât, statele membre se asigură că, în cazul încălcării drepturilor sale legate de protecţia datelor, persoana vizată poate adresa în mod efectiv o plângere unei instanţe judecătoreşti independente în sensul articolului 6 alineatul (1) din Convenţia europeană a drepturilor omului sau unei autorităţi independente de supraveghere, în sensul articolului 28 din Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (1), fiindu-i oferită posibilitatea de a solicita despăgubiri sau de a căuta o altă formă de reparaţie legală. Normele detaliate privind procedura de exercitare a acestor drepturi şi motivele restrângerii dreptului de acces sunt reglementate prin dispoziţiile relevante ale legislaţiei naţionale a statului membru în care persoana vizată îşi exercită drepturile.
(1)JO L 281, 23.11.1995, p. 31. Directivă modificată prin Regulamentul (CE) nr. 1882/2003 (JO L 284, 31.10.2003, p. 1).
(2)În cazul în care un organism dintr-un stat membru a furnizat date cu caracter personal în temeiul prezentei decizii, organismul destinatar dintr-un alt stat membru nu poate invoca inexactitatea datelor furnizate drept motiv pentru a se sustrage răspunderii care îi revine faţă de partea vătămată, în conformitate cu legislaţia naţională. În cazul în care organismul destinatar este obligat la plata de despăgubiri ca urmare a faptului că a utilizat date incorecte furnizate, organismul care a furnizat datele restituie organismului destinatar întreaga sumă plătită ca despăgubiri.
Art. 32: Informaţii solicitate de statele membre
Statul membru destinatar informează, la cerere, statul membru care furnizează datele cu privire la prelucrarea datelor cu caracter personal furnizate şi la rezultatele obţinute.