Capitolul v - PROTECŢIA ŞI SECURITATEA DATELOR - Decizia 2009/371/JAI/06-apr-2009 privind înfiinţarea Oficiului European de Poliţie (Europol)
Acte UE
Jurnalul Oficial 121L
Ieşit din vigoare Versiune de la: 15 Mai 2009
CAPITOLUL V:PROTECŢIA ŞI SECURITATEA DATELOR
Art. 27: Nivelul de protecţie a datelor
Fără a aduce atingere dispoziţiilor specifice ale prezentei decizii, Europol ia în considerare principiile Convenţiei Consiliului Europei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal din 28 ianuarie 1981 şi ale Recomandării nr. R (87) 15 a Comitetului de Miniştri al Consiliului Europei din 17 septembrie 1987. Europol respectă aceste principii în prelucrarea datelor cu caracter personal, inter alia, în ceea ce priveşte datele automatizate şi neautomatizate deţinute de către Europol sub formă de fişiere de date, în special a oricărui set structurat de date cu caracter personal accesibil în conformitate cu anumite criterii.
Art. 28: Responsabilul pentru protecţia datelor
(1)Consiliul de administraţie numeşte, la propunerea directorului, un responsabil pentru protecţia datelor care face parte din personalul Europol. În îndeplinirea sarcinilor sale, responsabilul pentru protecţia datelor acţionează independent.
(2)Responsabilul pentru protecţia datelor are, în special, următoarele sarcini:
a)să asigure, în mod independent, respectarea dispoziţiilor prezentei decizii privind prelucrarea datelor cu caracter personal, inclusiv prelucrarea datelor cu caracter personal privind personalul Europol;
b)să se asigure că transmiterea şi primirea datelor cu caracter personal sunt înregistrate în scris, în conformitate cu prezenta decizie;
c)să se asigure că persoanele la care se referă datele sunt informate, la cererea acestora, în legătură cu drepturile lor, în temeiul prezentei decizii;
d)să coopereze cu personalul Europol, responsabil pentru procedurile, formarea şi consilierea privind prelucrarea datelor;
e)să coopereze cu organismul comun de supraveghere;
f)să pregătească un raport anual şi să îl transmită consiliului de administraţie şi organismului comun de supraveghere.
(3)În îndeplinirea sarcinilor sale, responsabilul pentru protecţia datelor are acces la toate datele prelucrate de Europol şi la toate sediile Europol.
(4)În cazul în care responsabilul pentru protecţia datelor consideră că dispoziţiile prezentei decizii privind prelucrarea datelor cu caracter personal nu au fost respectate, acesta îl informează pe director, solicitându-i să soluţioneze cazul de nerespectare a dispoziţiilor într-un anumit termen.
În cazul în care directorul nu soluţionează cazul de nerespectare a dispoziţiilor prezentei decizii referitoare la prelucrarea datelor în termenul stabilit, responsabilul pentru protecţia datelor aduce cazul la cunoştinţa consiliului de administraţie şi convine împreună cu acesta asupra unui termen pentru soluţionare.
În cazul în care consiliul de administraţie nu soluţionează cazul de nerespectare a dispoziţiilor prezentei decizii referitoare la prelucrarea datelor în termenul stabilit, responsabilul pentru protecţia datelor sesizează organismul comun de supraveghere.
(5)Consiliul de administraţie adoptă norme complementare de punere în aplicare cu privire la responsabilul pentru protecţia datelor. Aceste norme de punere în aplicare se referă, în special, la selecţia, revocarea, sarcinile, îndatoririle şi atribuţiile responsabilului pentru protecţia datelor şi la garanţiile de independenţă ale acestuia.
Art. 29: Răspunderea pentru protecţia datelor
(1)Răspunderea pentru datele prelucrate de Europol, în special privind legalitatea culegerii datelor, a transmiterii datelor către Europol, a introducerii acestora în sistem, precum şi exactitatea şi actualitatea acestora şi verificarea termenelor de stocare revine:
a)statelor membre care introduc sau comunică în alt mod datele respective;
b)Europol, în ceea ce priveşte datele comunicate acestuia de către terţi, inclusiv datele comunicate de către părţi private în temeiul articolului 25 alineatul (3) literele (b) şi (c) şi al articolului 25 alineatul (4), precum şi datele transmise prin intermediul punctului de contact al unui stat terţ cu care Europol a încheiat un acord de cooperare în conformitate cu articolul 23 sau care rezultă din analizele efectuate de Europol.
(2)Răspunderea pentru protecţia datelor care au fost transmise către Europol, dar care nu au fost încă incluse într-unul dintre fişierele sale de date Europol revine părţii care transmite datele. Cu toate acestea, Europol are responsabilitatea de a asigura securitatea datelor în conformitate cu articolul 35 alineatul (2) în sensul că, până la introducerea datelor într-un fişier, acestea pot fi consultate doar de personalul Europol autorizat pentru a stabili dacă acestea pot fi prelucrate de Europol, sau de către funcţionarii autorizaţi ai părţii care a comunicat datele. În cazul în care, după examinarea acestora, Europol are motive să creadă că datele comunicate sunt inexacte sau nu mai sunt valabile, acesta informează partea care a comunicat datele.
(3)În plus, sub rezerva altor dispoziţii din prezenta decizie, Europol este responsabil de toate datele prelucrate de acesta.
(4)Dacă Europol deţine dovezi indicând că datele introduse într-unul dintre sistemele sale la care se face referire în capitolul II sunt incorecte sau au fost stocate ilegal, acesta informează statul membru sau altă parte vizată.
(5)Europol stochează datele astfel încât să se poată stabili care stat membru sau terţă parte a furnizat datele respective sau dacă datele respective constituie rezultatul unei analize efectuate de către Europol.
Art. 30: Dreptul de acces al persoanei vizate
(1)Orice persoană are dreptul, la intervale rezonabile de timp, să obţină informaţii privind faptul dacă Europol prelucrează date cu caracter personal care o vizează şi să i se comunice datele respective într-o formă inteligibilă sau să îi fie verificate datele respective, toate acestea în conformitate cu condiţiile prevăzute în prezentul articol.
(2)Orice persoană care doreşte să îşi exercite drepturile în temeiul prezentului articol poate depune o cerere în acest sens, fără ca aceasta să implice costuri excesive pentru statul membru ales, la autoritatea desemnată în acest scop în statul membru ales. Autoritatea în cauză transmite de îndată cererea respectivă către Europol, cel târziu în termen de o lună de la primirea acesteia.
(3)Europol trebuie să răspundă cererii respective fără întârziere şi, în orice caz, în termen de trei luni de la primirea acesteia de către Europol, în conformitate cu prezentul articol.
(4)Europol consultă autorităţile competente din statele membre vizate înainte de a decide asupra răspunsului la cererea formulată în temeiul alineatului (1). O decizie referitoare la accesul la date este condiţionată de strânsa cooperare dintre Europol şi statele membre direct interesate de comunicarea datelor respective. În cazul în care un stat membru ridică obiecţii cu privire la răspunsul propus de către Europol, acesta comunică Europol motivele obiecţiilor sale.
(5)Se refuză comunicarea de informaţii ca răspuns la o cerere formulată în temeiul alineatului (1) în măsura în care acest refuz este necesar:
a)pentru a permite Europol să îşi îndeplinească sarcinile în mod corespunzător;
b)pentru protejarea securităţii şi a ordinii publice în statele membre sau pentru prevenirea fenomenului infracţional;
c)pentru a garanta că nicio anchetă naţională nu va fi pusă în pericol;
d)pentru protejarea drepturilor şi a libertăţilor părţilor terţe.
Atunci când se evaluează aplicabilitatea unei excepţii, sunt luate în considerare interesele persoanei vizate.
(6)În cazul în care se refuză comunicarea de informaţii ca răspuns la o cerere formulată în temeiul alineatului (1), Europol înştiinţează persoana în cauză că a efectuat verificări, fără a-i oferi acesteia vreo informaţie din care ar putea deduce că datele cu caracter personal care o privesc sunt prelucrate de Europol.
(7)Orice persoană are dreptul să solicite organismului comun de supraveghere să verifice, la intervale rezonabile de timp, dacă modul în care sunt culese, stocate, prelucrate şi utilizate datele sale cu caracter personal de către Europol este în conformitate cu dispoziţiile prezentei decizii referitoare la prelucrarea datelor cu caracter personal. Organismul comun de supraveghere înştiinţează persoana în cauză că a efectuat verificări, fără a-i oferi acesteia vreo informaţie din care ar putea deduce că datele cu caracter personal care o privesc sunt prelucrate de Europol.
Art. 31: Dreptul persoanei vizate la corectarea şi ştergerea datelor
(1)Orice persoană are dreptul să solicite Europol corectarea sau ştergerea datelor incorecte care o privesc. În cazul în care se dovedeşte, fie pe baza exercitării acestui drept, fie în alt mod, că datele deţinute de către Europol, care au fost transmise acestuia de către părţi terţe sau sunt rezultatul propriilor analize, sunt incorecte sau că introducerea sau stocarea lor încalcă dispoziţiile prezentei decizii, Europol corectează sau şterge datele respective.
(2)În cazul în care statele membre au furnizat în mod direct către Europol date incorecte sau date care au fost prelucrate cu încălcarea dispoziţiilor prezentei decizii, acestea sunt obligate să corecteze sau să şteargă datele respective în cooperare cu Europol.
(3)În cazul în care datele incorecte sunt transmise printr-un alt mijloc adecvat sau în cazul în care erorile cuprinse în datele furnizate de către statele membre se datorează unei transmiteri defectuoase sau unei transmiteri cu încălcarea dispoziţiilor prezentei decizii, sau se datorează introducerii, preluării sau stocării acestora în mod incorect sau cu încălcarea dispoziţiilor prezentei decizii de către Europol, acesta are obligaţia să corecteze datele respective sau să le şteargă în colaborare cu statele membre implicate.
(4)În situaţiile prevăzute la alineatele (1), (2) şi (3), statele membre sau părţile terţe care au primit datele respective sunt înştiinţate de îndată. De asemenea, statele membre care primesc datele respective şi părţile terţe corectează sau şterg aceste date. În cazul în care nu este posibilă ştergerea, datele sunt blocate pentru a preveni orice prelucrare ulterioară.
(5)Solicitantul, la care se referă datele respective, este informat de Europol în scris, fără întârziere nejustificată, şi în orice caz în termen de trei luni, cu privire la faptul că datele care îl privesc au fost corectate sau şterse.
Art. 32: Căi de atac
(1)În răspunsul dat unei solicitări referitoare la o verificare de date sau la accesul la anumite date sau în răspunsul dat unei cereri de corectare şi ştergere a datelor, Europol aduce la cunoştinţa solicitantului că se poate adresa organismului comun de supraveghere în cazul în care acesta nu este satisfăcut de decizia luată. Solicitantul se poate adresa, de asemenea, organismului comun de supraveghere şi în cazul în care nu a primit niciun răspuns în termenul prevăzut la articolul 30 sau 31.
(2)În cazul în care solicitantul introduce o cale de atac la organismul comun de supraveghere, aceasta este examinată de organismul respectiv.
(3)În cazul în care calea de atac se referă la o decizie menţionată la articolul 30 sau 31, organismul comun de supraveghere consultă organismele naţionale de supraveghere sau organul judiciar competent din statul membru de la care au fost obţinute datele sau din statul membru direct interesat. Decizia organismului comun de supraveghere, care poate cuprinde şi un refuz de a transmite orice informaţie, este luată în strânsă cooperare cu organismul naţional de supraveghere sau cu organul judiciar competent.
(4)În cazul în care calea de atac se referă la accesul la datele introduse de către Europol în sistemul informaţional Europol sau la datele stocate în fişiere de lucru pentru analiză, sau orice alt sistem instituit de către Europol pentru prelucrarea datelor cu caracter personal în temeiul articolului 10 şi în cazul menţinerii unor obiecţii ferme din partea Europol, organismul comun de supraveghere nu poate să respingă aceste obiecţii decât cu o majoritate de două treimi a membrilor săi, după audierea reprezentanţilor Europol şi ai statului membru sau ai statelor membre menţionate la articolul 30 alineatul (4). În cazul în care nu se întruneşte această majoritate, organismul comun de supraveghere înştiinţează solicitantul în legătură cu acest refuz, fără a oferi vreo informaţie care ar putea indica existenţa unor date cu caracter personal referitoare la solicitant.
(5)În cazul în care calea de atac se referă la verificarea datelor introduse de către un stat membru în sistemul informaţional Europol sau la datele stocate în fişierele de lucru pentru analiză, sau în orice alt sistem instituit de către Europol pentru prelucrarea datelor cu caracter personal în temeiul articolului 10, organismul comun de supraveghere se asigură că au fost efectuate verificările necesare în mod corect, în strânsă cooperare cu organismul naţional de supraveghere al statului membru care a introdus datele respective. Organismul comun de supraveghere înştiinţează solicitantul în legătură cu efectuarea verificărilor, fără a furniza vreo informaţie care ar putea indica existenţa unor date cu caracter personal referitoare la solicitant.
(6)În cazul în care calea de atac se referă la verificarea datelor introduse de Europol în sistemul informaţional Europol sau la datele stocate în fişiere de lucru pentru analiză, sau în orice alt sistem instituit de către Europol pentru prelucrarea datelor cu caracter personal în temeiul articolului 10, organismul comun de supraveghere se asigură că Europol a efectuat verificările necesare. Organismul comun de supraveghere înştiinţează solicitantul în legătură cu efectuarea verificărilor, fără a furniza vreo informaţie care ar putea indica existenţa unor date cu caracter personal referitoare la solicitant.
Art. 33: Organismul naţional de supraveghere
(1)Fiecare stat membru desemnează un organism naţional de supraveghere pentru a evalua, în mod independent, în conformitate cu dispoziţiile naţionale, admisibilitatea introducerii, a extragerii şi a oricărei comunicări către Europol de date cu caracter personal de către statul membru respectiv, precum şi pentru a verifica dacă drepturile persoanei la care se referă datele au fost încălcate prin introducerea, extragerea sau comunicarea către Europol a datelor respective. În acest scop, organismul de supraveghere are acces la sediul unităţii naţionale sau al ofiţerilor de legătură, la datele introduse de către statul membru în sistemul informaţional Europol sau în orice alt sistem instituit de Europol în vederea prelucrării datelor cu caracter personal în temeiul articolului 10, în conformitate cu procedurile naţionale aplicabile în statul respectiv.
Pentru desfăşurarea funcţiei lor de supraveghere, organismele naţionale de supraveghere au acces la birourile şi la documentele ofiţerilor de legătură ai statului respectiv la Europol.
În plus, în conformitate cu procedurile naţionale aplicabile în statul respectiv, organismele naţionale de supraveghere monitorizează şi activităţile unităţilor naţionale şi ale ofiţerilor de legătură, în măsura în care activităţile respective sunt relevante pentru protecţia datelor cu caracter personal. De asemenea, acestea informează organismul comun de supraveghere cu privire la toate măsurile luate care au legătură cu Europol.
(2)Orice persoană are dreptul de a solicita organismului naţional de supraveghere să asigure legalitatea introducerii sau a comunicării, sub orice formă, de date privind persoana respectivă către Europol, precum şi legalitatea consultării datelor de către statul membru respectiv.
Acest drept se exercită în conformitate cu dreptul intern al statului membru în care a fost depusă cererea.
Art. 34: Organismul comun de supraveghere
(1)Se înfiinţează un organism comun independent de supraveghere care să monitorizeze, în conformitate cu dispoziţiile prezentei decizii, activităţile desfăşurate de către Europol, pentru a se asigura că drepturile personale nu sunt încălcate prin stocarea, prelucrarea şi utilizarea datelor deţinute de către Europol. În plus, organismul comun de supraveghere monitorizează dacă transmiterea datelor care provin de la Europol este admisibilă. Organismul comun de supraveghere este compus din cel mult doi membri sau reprezentanţi, asistaţi, după caz, de supleanţi, din partea fiecărui organism naţional independent de supraveghere, care deţin abilităţile necesare şi sunt numiţi pentru un mandat de cinci ani de către statul membru pe care îl reprezintă. Fiecare delegaţie are dreptul la un singur vot.
Organismul comun de supraveghere îşi alege un preşedinte dintre membrii săi.
În îndeplinirea sarcinilor care le revin, membrii organismului comun de supraveghere nu primesc instrucţiuni din partea niciunui alt organism.
(2)Europol acordă asistenţă organismului comun de supraveghere în îndeplinirea sarcinilor acestuia. În special, Europol:
a)furnizează informaţiile solicitate de către organismul comun de supraveghere, îi permite accesul la toate documentele şi fişierele pe suport material, precum şi la datele stocate în fişierele de date;
b)acordă organismului comun de supraveghere acces liber, în orice moment, la sediul său;
c)pune în aplicare deciziile organismului comun de supraveghere pronunţate în căile de atac.
(3)Organismul comun de supraveghere are, de asemenea, competenţa de a examina aspecte legate de punerea în aplicare şi de interpretarea activităţilor desfăşurate de Europol privind prelucrarea şi utilizarea datelor cu caracter personal, de a examina aspecte legate de verificările efectuate în mod independent de către organismele naţionale de supraveghere ale statelor membre sau legate de exercitarea dreptului de acces, precum şi de a întocmi propuneri armonizate referitoare la identificarea unor soluţii comune pentru problemele existente.
(4)În cazul în care organismul comun de supraveghere constată încălcări ale dispoziţiilor prezentei decizii referitoare la stocarea, prelucrarea sau utilizarea datelor cu caracter personal, acesta poate depune orice fel de plângere pe care o consideră necesară la directorul Europol, solicitând acestuia un răspuns într-un anumit termen. Directorul informează consiliul de administraţie în legătură cu întreaga procedură. În cazul în care nu este mulţumit cu răspunsul dat de director la cererea sa, organismul comun de supraveghere se adresează consiliului de administraţie.
(5)În vederea îndeplinirii sarcinilor sale şi pentru a contribui la sporirea coerenţei aplicării normelor şi a procedurilor în materie de prelucrare a datelor, organismul comun de supraveghere cooperează, atunci când este necesar, cu alte autorităţi de supraveghere.
(6)Organismul comun de supraveghere redactează periodic rapoarte de activitate. Aceste rapoarte sunt transmise Parlamentului European şi Consiliului. Consiliul de administraţie are posibilitatea de a formula observaţii care sunt anexate rapoartelor.
Organismul comun de supraveghere decide asupra oportunităţii publicării raportului său de activitate şi, în cazul în care se decide publicarea acestuia, hotărăşte şi modalitatea de publicare.
(7)Organismul comun de supraveghere îşi adoptă, cu o majoritate de două treimi din membrii săi, regulamentul de procedură, care este prezentat Consiliului pentru aprobare. Consiliul hotărăşte cu majoritate calificată.
(8)Organismul comun de supraveghere înfiinţează o comisie internă compusă din câte un reprezentant autorizat, cu drept de vot, din partea fiecărui stat membru. Comisia are îndatorirea de a examina căile de atac prevăzute la articolul 32 prin orice mijloace adecvate. Comisia poate audia părţile, care sunt asistate de consilierii lor, în cazul în care acestea doresc şi solicită acest lucru. Deciziile luate în acest context sunt definitive pentru toate părţile implicate.
(9)Pe lângă comisia menţionată la alineatul (8), organismul comun de supraveghere poate înfiinţa şi alte comisii.
(10)Organismul comun de supraveghere este consultat cu privire la partea din bugetul Europol care o priveşte. Avizul acestui organism este anexat la proiectul de buget.
(11)Organismul comun de supraveghere este asistat de un secretariat, ale cărui sarcini sunt stabilite în regulamentul de procedură.
Art. 35: Securitatea datelor
(1)Europol ia toate măsurile tehnice şi organizatorice necesare pentru a asigura punerea în aplicare a prezentei decizii. Aceste măsuri sunt considerate necesare numai în cazul în care eforturile pe care le implică sunt proporţionale cu obiectivele de protecţie pe care trebuie să le aducă la îndeplinire.
(2)În ceea ce priveşte prelucrarea automatizată a datelor de către Europol, fiecare stat membru şi Europol pun în aplicare măsuri menite:
a)să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor cu caracter personal (controlul accesului la echipamente);
b)să împiedice citirea, copierea, modificarea sau eliminarea suportului de date în mod neautorizat (controlul suportului de date);
c)să împiedice introducerea neautorizată de date şi inspectarea, modificarea sau ştergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);
d)să împiedice utilizarea sistemelor de prelucrare automatizată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul utilizării);
e)să se asigure că persoanele autorizate să utilizeze un sistem de prelucrare automatizată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);
f)să se asigure că este posibilă verificarea şi stabilirea căror organisme le pot fi comunicate sau le-au fost comunicate date cu caracter personal prin intermediul echipamentelor de comunicaţii (controlul comunicaţiilor);
g)să asigure posibilitatea de a verifica şi de a stabili ce date cu caracter personal au fost introduse în sistemele automatizate de prelucrare a datelor, precum şi când şi cine a introdus datele respective (controlul introducerii datelor);
h)să împiedice consultarea, copierea, modificarea sau ştergerea neautorizată a datelor cu caracter personal pe parcursul transferurilor de date personale sau pe parcursul transportului suporturilor de date (controlul transportului);
i)să se asigure că funcţionarea sistemelor instalate poate fi imediat remediată după producerea unei întreruperi (recuperare);
j)să asigure funcţionarea fără defecţiuni a sistemului, raportarea imediată a defecţiunilor de funcţionare (fiabilitate) şi să se asigure că datele stocate nu sunt afectate de funcţionarea defectuoasă a sistemului (integritate).