Decizia 2608/25-nov-2025 privind gestionarea registrelor şi arhivelor [2025/2608]
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 23 Decembrie 2025
Decizia 2608/25-nov-2025 privind gestionarea registrelor şi arhivelor [2025/2608]
Dată act: 25-nov-2025
Emitent: Autoritatea Europeana Pentru Protectia Datelor
AUTORITATEA EUROPEANĂ PENTRU PROTECŢIA DATELOR,
având în vedere Regulamentul (CEE, Euratom) nr. 354/83 al Consiliului din 1 februarie 1983 privind deschiderea către public a arhivelor istorice ale Comunităţii Economice Europene şi ale Comunităţii Europene a Energiei Atomice (1), astfel cum a fost modificat prin Regulamentul (CE, Euratom) nr. 1700/2003 al Consiliului (2) şi prin Regulamentul (UE) 2015/496 al Consiliului (3), în special articolele 1, 2, 8 şi articolul 9 alineatul (1) din acesta,
(1)JO L 43, 15.2.1983, p. 1, ELI: http://data.europa.eu/eli/reg/1983/354/oj.
(2)Regulamentul (CE, Euratom) nr. 1700/2003 al Consiliului din 22 septembrie 2003 de modificare a Regulamentului (CEE, Euratom) nr. 354/83 privind deschiderea către public a arhivelor istorice ale Comunităţii Economice Europene şi ale Comunităţii Europene a Energiei Atomice (JO L 243, 27.9.2003, p. 1, ELI: http://data.europa.eu/eli/reg/2003/1700/oj).
(3)Regulamentul (UE) 2015/496 al Consiliului din 17 martie 2015 de modificare a Regulamentului (CEE, Euratom) nr. 354/83 în ceea ce priveşte depozitarea arhivelor istorice ale instituţiilor la Institutul Universitar European din Florenţa (JO L 79, 25.3.2015, p. 1, ELI: http://data.europa.eu/eli/reg/2015/496/oj).
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (4), în special articolul 13 şi articolul 25 alineatul (4),
(4)JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
Întrucât:
(1)Potrivit Regulamentului (CEE, Euratom) nr. 354/83, astfel cum a fost modificat prin Regulamentele (CE, Euratom) nr. 1700/2003 şi (UE) 2015/496, instituţiile Uniunii sunt obligate să îşi constituie arhivele istorice, să le deschidă către public după 30 de ani şi să adopte norme interne de aplicare a regulamentului. Aceste norme interne includ dispoziţii privind conservarea şi punerea la dispoziţia publicului a arhivelor istorice, precum şi privind protecţia datelor cu caracter personal conţinute în acestea.
(2)În avizul său din 10 octombrie 2012 privind propunerea Comisiei de regulament al Consiliului de modificare a Regulamentului (CEE, Euratom) nr. 354/83, Autoritatea Europeană pentru Protecţia Datelor (denumită în continuare "AEPD") a subliniat necesitatea de a adopta norme de punere în aplicare adecvate pentru a asigura că preocupările legate de protecţia datelor sunt abordate în mod eficient în contextul păstrării legitime a evidenţelor în scopuri juridice, financiare, administrative şi de arhivare, în conformitate cu normele privind protecţia datelor aplicabile instituţiilor şi organelor Uniunii.
(3)Evidenţele păstrate de AEPD stau la baza operaţiunilor şi a activităţii sale zilnice. Ele fac parte din activele organizatorice ale AEPD şi constituie surse importante de informaţii administrative, probatorii şi istorice. Sunt esenţiale pentru organizaţie în operaţiunile sale actuale şi viitoare, în scopul asumării răspunderii şi al transparenţei, precum şi pentru conştientizarea şi înţelegerea istoriei şi a procedurilor sale. Prin urmare, trebuie gestionate în conformitate cu norme eficiente aplicabile tuturor serviciilor şi întregului personal.
(4)Normele interne privind gestionarea evidenţelor şi a arhivelor trebuie să ţină seama de obligaţiile relevante în materie de securitate a informaţiilor, astfel cum sunt prevăzute în special în Decizia AEPD din 9 martie 2020 (adaptată la 11 noiembrie 2022) privind normele de securitate aplicabile protecţiei informaţiilor clasificate ale Uniunii, precum şi de acţiunile AEPD în domeniul transformării digitale. Acestea ar trebui să valorifice soluţiile digitale existente de gestionare a documentelor şi să includă cele mai recente evoluţii în ceea ce priveşte integritatea şi arhivarea electronică, precum şi standardele internaţionale şi cele mai bune practici.
(5)Instituţiile, organele, oficiile şi agenţiile Uniunii sunt încurajate să recunoască identificarea electronică şi serviciile de încredere care intră sub incidenţa Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului (5) în scopul cooperării administrative, valorificând în special bunele practici existente şi rezultatele proiectelor în curs în domeniile reglementate de prezentul regulament.
(5)Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj), astfel cum a fost modificat prin Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183).
(6)Evidenţele AEPD ar trebui să fie în mod implicit electronice, deşi excepţiile sunt posibile. AEPD păstrează evidenţe care sunt create, primite şi gestionate în cursul activităţilor sale. Toate evidenţele, indiferent de formatul şi mediul tehnologic în care sunt colectate, create sau primite, sunt înregistrate şi păstrate într-un registru oficial electronic de evidenţe.
(7)Normele interne privind gestionarea evidenţelor şi a arhivelor trebuie să acopere ciclul de viaţă al evidenţelor şi să asigure autenticitatea, fiabilitatea, integritatea şi posibilitatea de utilizare a evidenţelor şi a metadatelor acestora de-a lungul timpului.
(8)Gestionarea eficientă şi adecvată a evidenţelor şi a arhivelor permite AEPD: să asigure un proces decizional eficient şi în cunoştinţă de cauză; să pună în aplicare principiul responsabilităţii acţiunilor publice; să respecte obligaţiile de transparenţă şi să se conformeze obligaţiilor legale; să gestioneze riscurile asociate activităţilor pe care le desfăşoară; să protejeze drepturile şi obligaţiile AEPD; să furnizeze sprijin probatoriu în litigii; şi să păstreze memoria instituţională.
(9)Normele interne privind gestionarea evidenţelor şi arhivele ar trebui aliniate la obligaţia de a acorda acces la documentele deţinute de AEPD în conformitate cu principiile, modalităţile şi limitele prevăzute în Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului (6).
(6)Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului şi ale Comisiei (JO L 145, 31.5.2001, p. 43, ELI: http://data.europa.eu/eli/reg/2001/1049/oj).
(10)Normele interne privind gestionarea evidenţelor şi arhivele ar trebui, de asemenea, să respecte obligaţiile în materie de protecţie a datelor prevăzute în Regulamentul (UE) 2018/1725. În temeiul regulamentului respectiv, AEPD are obligaţia de a furniza persoanelor vizate informaţii cu privire la prelucrarea datelor lor cu caracter personal şi facilitează exercitarea drepturilor persoanelor vizate prevăzute la articolele 17-24. Aceste drepturi trebuie puse în balanţă cu scopurile de arhivare în interes public.
(11)Toţi membrii personalului trebuie să fie răspunzători pentru crearea şi gestionarea corectă a evidenţelor referitoare la politicile, procesele, procedurile şi acţiunile de care sunt responsabili în conformitate cu normele şi procedurile aplicabile.
(12)Datele şi informaţiile din cadrul AEPD sunt puse la dispoziţie şi sunt partajate cât mai larg posibil pentru a facilita colaborarea în rândul personalului AEPD, pentru a îmbunătăţi extragerea şi reutilizarea datelor şi a informaţiilor şi pentru a promova sinergia resurselor în vederea îmbunătăţirii eficienţei globale.
(13)Accesul la date şi informaţii poate fi restricţionat în cazul în care informaţiile sensibile sau obligaţiile legale impun limitarea accesului. În special, măsurile de protecţie legate de nivelul de confidenţialitate a informaţiilor, a datelor cu caracter personal sau alte motive clar definite pot necesita un acces mai limitat şi mai bine direcţionat pe baza principiului nevoii de a şti.
(14)Funcţiile independente ale AEPD, şi anume responsabilul cu protecţia datelor şi Serviciul juridic, au fost consultate cu privire la măsurile luate prin prezenta decizie.
(15)Autoritatea Europeană pentru Protecţia Datelor, în calitate de autoritate de supraveghere pentru instituţiile, organele şi agenţiile Uniunii, a fost consultată în conformitate cu articolul 41 alineatul (2) din Regulamentul (UE) 2018/1725 şi a emis un aviz la 3 octombrie 2025 (7).
(7)Avizul de supraveghere 14/2025 din 3 octombrie 2025 referitor la proiectul de decizie a AEPD privind gestionarea evidenţelor şi arhivelor.
(16)Din motive de claritate şi securitate juridică, politicile anterioare ale AEPD privind gestionarea evidenţelor şi arhivele ar trebui abrogate şi înlocuite cu prezenta decizie,
ADOPTĂ PREZENTA DECIZIE:
-****-
Art. 1: Obiect şi domeniu de aplicare
(1)Prezenta decizie stabileşte norme privind gestionarea evidenţelor şi a arhivelor AEPD pe suport de hârtie sau în format electronic, precum şi păstrarea şi deschiderea către public a arhivelor AEPD.
(2)Prezenta decizie se aplică evidenţelor deţinute de AEPD şi arhivelor sale, indiferent de formatul, suportul, vechimea sau locul unde se află acestea.
(3)Prezenta decizie se aplică tuturor membrilor personalului AEPD care intră sub incidenţa Statutului funcţionarilor şi a Regimului aplicabil celorlalţi agenţi ai Uniunii, respectiv funcţionarilor, agenţilor temporari şi agenţilor contractuali. Decizia se aplică, de asemenea, experţilor naţionali detaşaţi şi stagiarilor.
(4)Prezenta decizie nu se aplică membrilor personalului secretariatului Comitetului european pentru protecţia datelor (denumit în continuare "CEPD"). Astfel cum se specifică în secţiunea IV alineatul (2) punctul (iv) din Memorandumul de înţelegere dintre Comitetul european pentru protecţia datelor şi Autoritatea Europeană pentru Protecţia Datelor (8), gestionarea evidenţelor este inclusă în lista sarcinilor care trebuie îndeplinite de secretariatul CEPD în conformitate cu articolul 75 alineatul (6) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (9).
(8)Memorandumul de înţelegere dintre Comitetul european pentru protecţia datelor şi Autoritatea Europeană pentru Protecţia Datelor din 25 mai 2018.
(9)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Art. 2: Definiţii
În sensul prezentei decizii, se aplică următoarele definiţii:
a)"arhive" înseamnă evidenţe care trebuie păstrate permanent pentru valoarea lor administrativă, fiscală, juridică, istorică sau informativă;
b)"autenticitate" înseamnă faptul că se poate dovedi că o înregistrare este ceea ce se pretinde a fi, că a fost creată sau trimisă de persoana despre care se presupune că a creat-o sau că a trimis-o şi că a fost creată sau trimisă atunci când se pretinde că a fost creată sau trimisă;
c)"document" înseamnă orice conţinut, indiferent de suportul acestuia (scris pe hârtie sau stocat sub formă electronică ori ca înregistrare sonoră, vizuală sau audiovizuală) privind un subiect referitor la politicile, activităţile şi deciziile care intră în sfera de responsabilitate a AEPD;
d)"AEPD" înseamnă Autoritatea Europeană pentru Protecţia Datelor ca organ al Uniunii;
e)"semnătură electronică" înseamnă date în format electronic, anexate sau asociate logic cu alte date în format electronic şi care sunt utilizate de semnatar pentru a semna;
f)"marcă temporală electronică" înseamnă date în format electronic care leagă alte date în format electronic de un anumit moment, constituind dovezi că acestea din urmă au existat la acel moment;
g)"Autoritatea Europeană pentru Protecţia Datelor" sau "autoritatea" înseamnă persoana numită în calitate de Autoritate Europeană pentru Protecţia Datelor de către Parlamentul European şi Consiliu în conformitate cu articolul 53 din Regulamentul (UE) 2018/1725;
h)"dosar" înseamnă un set de evidenţe şi alte documente conexe cu privire la o anumită activitate, organizate în scopul valorii probatorii, al răspunderii sau al informării şi al memoriei instituţionale interne pentru a sprijini eficienţa activităţii respective;
i)"plan de evidenţă" sau "sistem de clasificare" înseamnă instrumentul de corelare a evidenţelor cu contextul creării lor. Este prezentat ca o structură ierarhică a nivelurilor de clasificare şi se bazează pe activităţile comerciale care generează evidenţe într-un cadru organizaţional comercial specific;
j)"integritate" înseamnă faptul că o evidenţă este completă şi nemodificată;
k)"metadate" înseamnă informaţii structurate sau semistructurate, care permit crearea, gestionarea şi utilizarea evidenţelor în timp, în cadrul domeniilor şi între domenii;
l)"registru electronic oficial de evidenţe" înseamnă sistemul (sistemele) de evidenţe în care sunt colectate şi organizate evidenţele deţinute de AEPD pentru a permite recuperarea, distribuirea, utilizarea, eliminarea sau păstrarea acestora;
m)"păstrare" înseamnă procesele şi operaţiunile tehnice care permit păstrarea evidenţelor în timp, menţinerea integrităţii şi autenticităţii acestora şi garantarea accesului la conţinutul lor;
n)"sigiliu electronic calificat" înseamnă un sigiliu electronic avansat, care este creat de un dispozitiv calificat de creare a sigiliului electronic şi care se bazează pe un certificat calificat pentru sigiliul electronic;
o)"semnătură electronică calificată" înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat şi care se bazează pe un certificat calificat pentru semnăturile electronice;
p)"evidenţă (evidenţe)" înseamnă informaţii, indiferent de formă sau de suport, create, primite şi păstrate ca probe şi ca active de către AEPD, în vederea îndeplinirii obligaţiilor legale sau în cursul desfăşurării activităţii;
q)"sistem de evidenţă" sau "sistem de gestionare a evidenţelor" înseamnă un sistem informatic care înregistrează, gestionează şi oferă acces la evidenţe în timp. Un sistem de evidenţă poate consta în elemente tehnice, precum software, şi elemente fără caracter tehnic, inclusiv politici, proceduri, persoane şi alţi agenţi, precum şi responsabilităţi atribuite;
r)"înregistrare" înseamnă actul de a înregistra o evidenţă, împreună cu metadatele relevante, într-un sistem de evidenţe; de a stabili că este completă şi constituită în mod corespunzător din punct de vedere administrativ şi/sau juridic; de a certifica faptul că a fost trimisă de un autor unui destinatar la o anumită dată şi/sau a fost încorporată într-unul din registrele oficiale ale AEPD;
s)"fiabilitate" înseamnă faptul că conţinutul unei evidenţe poate fi considerat cu încredere ca fiind o reprezentare completă şi exactă a tranzacţiilor, a activităţilor şi a faptelor pe care le atestă şi că se poate conta pe evidenţa respectivă în cursul tranzacţiilor sau activităţilor ulterioare;
t)"calendar de păstrare" înseamnă o instrucţiune cuprinzătoare care acoperă perioada de păstrare a evidenţelor până la eliminarea lor, pentru a asigura că sunt păstrate cât timp este necesar în funcţie de valoarea lor administrativă, fiscală, juridică, istorică sau informativă;
u)"posibilitatea de utilizare" înseamnă faptul că o evidenţă poate fi localizată, extrasă, prezentată şi interpretată într-un termen considerat rezonabil de către părţile interesate.
Art. 3: Crearea evidenţelor
(1)Evidenţele AEPD sunt create sub formă de evidenţe electronice şi sunt păstrate în registrele sale electronice oficiale. Cu toate acestea, în circumstanţe excepţionale, de exemplu ca urmare a unor obligaţii legale sau de protocol, când nu este posibilă digitalizarea unui document din cauza formatului/dimensiunii sau din cauza valorii specifice şi unice a versiunii analogice, evidenţele pot fi create pe un suport diferit sau păstrate într-un format diferit.
(2)Evidenţele în format analogic create sau primite de AEPD sunt digitalizate în mod sistematic şi înregistrate într-un registru electronic oficial. Versiunea digitalizată electronică rezultată înlocuieşte validitatea formatului analogic începând din acel moment.
(3)Serviciile AEPD se asigură că evidenţele prin e-mail care furnizează dovezi şi informaţii cu privire la activităţile şi tranzacţiile lor sunt identificate, gestionate şi păstrate în conformitate cu cerinţele de păstrare a evidenţelor prevăzute în prezenta decizie.
(4)Toate evidenţele create sau primite de un membru al personalului în legătură cu activitatea oficială a AEPD sau ca urmare a acesteia sunt proprietatea AEPD.
Art. 4: Înregistrarea evidenţelor
(1)Serviciile AEPD revizuiesc regulat tipurile de informaţii create sau primite în cadrul activităţilor lor respective, pentru a identifica acele informaţii care trebuie înregistrate într-un registru electronic oficial şi, ţinând seama de contextul în care au fost produse, pentru a organiza gestionarea lor pe parcursul întregului ciclu de viaţă.
(2)Evidenţele înregistrate nu pot fi modificate. Acestea pot fi eliminate sau înlocuite cu versiuni ulterioare până la închiderea dosarului căruia îi aparţin.
Art. 5: Înregistrarea documentelor
(1)Documentele întocmite sau primite de AEPD trebuie înregistrate într-unul din sistemele de gestionare a evidenţelor dacă conţin informaţii importante, care nu sunt de scurtă durată, sau dacă pot implica o acţiune sau un demers ulterior din partea serviciilor AEPD.
(2)Orice document sau conţinut provenit de pe platformele de lucru colaborative care îndeplineşte criteriile prevăzute la alineatul (1) trebuie înregistrat într-unul din sistemele oficiale de gestionare a evidenţelor AEPD.
(3)Sistemele de gestionare a evidenţelor trebuie să genereze identificatori unici pentru evidenţele înregistrate.
(4)Documentele clasificate sunt înregistrate exclusiv în sistemele de gestionare a evidenţelor aprobate, concepute pentru gestionarea documentelor corespunzătoare nivelului de clasificare relevant.
Art. 6: Plan de evidenţă
(1)AEPD utilizează şi menţine un plan de evidenţă care reflectă activităţile pe care le desfăşoară.
(2)Evidenţele înregistrate sunt organizate în dosare, iar dosarele respective sunt legate de partea din planul de evidenţă care descrie activităţile în contextul creării lor.
(3)Trebuie întocmit un singur dosar oficial pentru fiecare chestiune care intră în sfera de competenţă a unui anumit serviciu al AEPD. Fiecare dosar oficial trebuie completat cu evidenţe create sau primite în legătură cu aspectul respectiv.
Art. 7: Sisteme şi procese electronice
Serviciile AEPD îşi păstrează şi îşi gestionează evidenţele prin intermediul proceselor electronice şi al sistemelor şi structurilor electronice cu interfeţe pentru a asigura stocarea, accesul şi recuperarea evidenţelor, cu excepţia cazului în care normele aplicabile ale AEPD prevăd altfel.
Art. 8: Valabilitatea documentelor şi procedurilor
(1)Un document creat sau primit de AEPD este considerat valabil sau admisibil în scopul înregistrării atunci când sunt îndeplinite următoarele condiţii:
a)persoana de la care provine este identificată;
b)contextul în care a fost creat documentul este fiabil, iar documentul îndeplineşte condiţiile care îi garantează integritatea;
c)documentul respectă cerinţele formale prevăzute în dreptul Uniunii sau în dreptul intern aplicabil;
d)în cazul unui document electronic, documentul este creat într-un mod care garantează integritatea, fiabilitatea şi posibilitatea de utilizare a conţinutului său şi a metadatelor care îl însoţesc.
(2)O versiune electronică obţinută prin digitalizarea unui document analogic creat sau primit de AEPD este considerată valabilă sau admisibilă în scopul înregistrării atunci când sunt îndeplinite următoarele condiţii:
a)nu este necesară nicio semnătură în temeiul unei dispoziţii a dreptului Uniunii sau a dreptului statului membru ori al ţării terţe în cauză;
b)formatul său oferă garanţii de integritate, fiabilitate, durabilitate, lizibilitate în timp şi acces facil la informaţiile pe care le conţine.
În cazul în care nu este necesar un document analogic semnat, o astfel de versiune electronică poate fi utilizată pentru orice schimb de informaţii şi pentru orice procedură în cadrul AEPD.
(3)În cazul în care o dispoziţie a dreptului Uniunii sau a dreptului intern impune semnarea în original a unui document, un document întocmit sau primit de AEPD îndeplineşte această cerinţă dacă documentul conţine oricare dintre următoarele:
a)una sau mai multe semnături olografe ori semnături electronice calificate;
b)una sau mai multe semnături electronice, altele decât cele calificate, care oferă garanţii suficiente cu privire la identificarea semnatarului şi la exprimarea voinţei sale în documentul semnat.
(4)În cazul în care o procedură specifică AEPD necesită semnătura unei persoane autorizate sau aprobarea unei persoane într-una sau mai multe etape ale procedurii, procedura poate fi gestionată prin sisteme informatice, cu condiţia ca fiecare persoană să fie identificată în mod clar şi neechivoc şi ca sistemul în cauză să ofere garanţii că conţinutul nu este modificat în timpul procedurii.
Art. 9: Semnături electronice, sigilii, mărci temporale
(1)În cazul în care o procedură implică AEPD şi alte entităţi şi necesită semnătura unei persoane autorizate sau aprobarea unei persoane într-una sau mai multe etape ale procedurii, aceasta poate fi gestionată prin sisteme informatice în situaţia în care condiţiile de utilizare şi garanţiile tehnice sunt stabilite prin acordul părţilor implicate.
(2)Semnăturile electronice, simple, avansate sau calificate, înlocuiesc semnăturile olografe ori de câte ori este posibil.
(3)AEPD stabileşte, pe lângă cerinţele legale existente, categoriile de documente care pot necesita o semnătură avansată sau calificată.
(4)O semnătură electronică calificată are efectul juridic echivalent al unei semnături olografe.
(5)Un sigiliu electronic calificat beneficiază de prezumţia integrităţii datelor şi a corectitudinii originii datelor cu care este asociat.
(6)O marcă temporală electronică calificată beneficiază de prezumţia exactităţii datei şi orei pe care le indică şi a integrităţii datelor la care se raportează data şi ora.
(7)La punerea în aplicare a prezentului articol şi a altor articole referitoare la semnătura electronică, AEPD aplică Regulamentul (UE) nr. 910/2014, astfel cum a fost modificat prin Regulamentul (UE) 2024/1183.
Art. 10: Securitatea şi protecţia informaţiilor
(1)Evidenţele, dosarele, sistemele de informaţii şi arhivele sunt gestionate în conformitate cu politica AEPD în materie de securitate a informaţiilor şi cu politicile aplicabile asociate.
(2)Informaţiile clasificate trebuie prelucrate în conformitate cu normele aplicabile ale AEPD.
Art. 11: Criterii de păstrare şi stocare
(1)Perioada de păstrare a diferitelor categorii de dosare se stabileşte în cazul AEPD prin decizii administrative, de exemplu calendare de păstrare elaborate pe baza contextului organizatoric, a legislaţiei existente şi a obligaţiilor legale ale AEPD.
(2)Stocarea şi păstrarea evidenţelor, pentru durata necesară, se realizează în următoarele condiţii:
a)evidenţele sunt stocate în forma în care au fost create, trimise sau primite sau într-o formă care păstrează autenticitatea, fiabilitatea şi integritatea conţinutului lor şi a metadatelor care le însoţesc;
b)conţinutul evidenţelor şi metadatele relevante ale acestora trebuie să fie lizibile pe toată perioada de stocare de către orice persoană autorizată să aibă acces la acestea;
c)în cazul în care evidenţele sunt trimise sau primite pe cale electronică, informaţiile necesare pentru a stabili originea sau destinaţia evidenţei, precum şi data şi ora primirii sau înregistrării fac parte din metadatele minime care trebuie stocate;
d)în ceea ce priveşte procedurile electronice gestionate de sistemele informatice, informaţiile cu privire la etapele formale ale procedurii şi la fluxurile de lucru pentru aprobarea acesteia se stochează în condiţii care să asigure că etapele respective, precum şi autorii şi participanţii pot fi identificaţi atât timp cât este necesar în conformitate cu cerinţele financiare, juridice şi administrative aplicabile.
Art. 12: Strategia de păstrare digitală
AEPD stabileşte şi pune în aplicare o strategie de păstrare digitală pentru a asigura accesul pe termen lung la evidenţele electronice pe baza calendarelor de păstrare menţionate la articolul 11 alineatul (1). AEPD se asigură că sunt instituite procese, instrumente şi resurse pentru a garanta autenticitatea, fiabilitatea şi integritatea evidenţelor şi accesibilitatea lor pentru perioada necesară.
Art. 13: Evaluarea
(1)Evaluarea evidenţelor şi a dosarelor AEPD se efectuează periodic pentru a aprecia dacă trebuie transferate în arhive sau eliminate.
(2)Un set de metadate privind evidenţele şi dosarele evaluate se păstrează în registrul electronic oficial ca dovadă a acestor evidenţe şi dosare şi a transferului lor în arhive sau a eliminării lor şi pentru a putea răspunde cererilor de căutare interne sau externe.
(3)Evidenţele şi dosarele considerate a avea valoare istorică sunt pregătite în vederea păstrării permanente şi a transferului către arhivele istorice.
(4)Responsabilitatea unui serviciu pentru conţinutul intelectual al oricărei evidenţe sau al oricărui dosar continuă după transferul către arhivele AEPD.
Art. 14: Prelucrarea datelor cu caracter personal conţinute în arhivele AEPD
(1)Atunci când prelucrează date cu caracter personal în scopuri de arhivare în interes public, AEPD pune în aplicare garanţii adecvate pentru a asigura respectarea articolului 13 din Regulamentul (UE) 2018/1725. Astfel de garanţii cuprind măsurile tehnice şi organizatorice necesare pentru a se asigura în special respectarea principiului reducerii la minimum a datelor. Garanţiile cuprind:
a)selectarea evidenţelor şi a dosarelor în vederea transferului către arhivele istorice se efectuează pe baza calendarelor de păstrare ale AEPD. Înainte de închiderea şi transferul oricărei evidenţe sau al oricărui dosar, departamentul responsabil trebuie să evalueze, în cadrul procedurii administrative de închidere, dacă sunt păstrate numai datele cu caracter personal necesare şi proporţionale în scopul arhivării istorice. Această evaluare se efectuează de la caz la caz în conformitate cu principiul reducerii la minimum a datelor. Modalităţile şi criteriile acestei evaluări sunt precizate mai în detaliu în normele de punere în aplicare a prezentei decizii. Toate celelalte dosare, inclusiv dosarele structurate de date cu caracter personal, precum dosarele personale şi medicale sau cele menţionate la articolul 26 din Statutul funcţionarilor Uniunii şi Regimul aplicabil celorlalţi agenţi (10), nu sunt transferate în arhivele istorice, ci sunt eliminate la sfârşitul perioadei de păstrare administrativă a acestora, astfel cum se stabileşte în normele aplicabile relevante şi în conformitate cu normele de punere în aplicare a prezentei decizii;
(10)Regulamentul nr. 31 (CEE), nr. 11 (CEEA) de stabilire a Statutului funcţionarilor şi a Regimului aplicabil celorlalţi agenţi ai Comunităţii Economice Europene şi ai Comunităţii Europene a Energiei Atomice (JO 45, 14.6.1962, p. 1385/62, ELI: http://data.europa.eu/eli/reg/1962/31(1)/oj).
b)calendarele de păstrare ale AEPD autorizează eliminarea administrativă a anumitor tipuri de evidenţe, identificate în acestea, înainte de expirarea perioadei de păstrare administrativă care se aplică dosarelor corespunzătoare. În consecinţă, aceste tipuri de evidenţe sunt excluse de la prelucrarea în scopuri de arhivare în interes public;
c)înainte de a evalua dosarele care urmează a fi transferate în arhivele AEPD, serviciile AEPD evaluează posibila prezenţă a evidenţelor care conţin categorii speciale de date cu caracter personal [astfel cum sunt definite la articolul 10 alineatul (1) din Regulamentul (UE) 2018/1725]. În plus, acestea evaluează necesitatea şi proporţionalitatea prelucrării în scopuri de arhivare în interes public şi se consultă cu serviciul de arhive al AEPD pentru a stabili măsurile specifice adecvate care trebuie puse în aplicare în conformitate cu articolul 10 alineatul (2) litera (j).
(2)În conformitate cu articolul 25 alineatul (4) din Regulamentul (UE) 2018/1725, AEPD poate aplica derogări de la drepturile persoanelor vizate menţionate la articolul 17 (Dreptul de acces al persoanei vizate), articolul 18 (Dreptul la rectificare), articolul 20 (Dreptul la restricţionarea prelucrării), articolul 21 (Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării) şi articolul 23 (Dreptul la opoziţie) din Regulamentul (UE) 2018/1725, sub rezerva condiţiilor şi garanţiilor adecvate prevăzute la articolul 13 din Regulamentul (UE) 2018/1725, în măsura în care aplicarea unei derogări este necesară pentru îndeplinirea scopurilor de arhivare în interes public şi pentru păstrarea integrităţii arhivelor istorice ale AEPD. În conformitate cu dispoziţiile articolului 25 alineatul (4) din Regulamentul (UE) 2018/1725, se pot aplica derogări de la următoarele drepturi ale persoanelor vizate:
a)dreptul de acces, astfel cum prevede articolul 17 din Regulamentul (UE) 2018/1725, în măsura în care exercitarea acestui drept este de natură să facă imposibilă sau să afecteze grav realizarea scopurilor specifice în care sunt prelucrate datele cu caracter personal în scopuri de arhivare în interes public, iar o astfel de derogare este necesară pentru îndeplinirea acestor scopuri. La evaluarea şi documentarea acţiunii care urmează să fie întreprinsă cu privire la cererea persoanei vizate, se acordă o atenţie deosebită informaţiilor furnizate de persoana vizată, precum şi naturii, întinderii şi dimensiunii evidenţelor care ar putea fi afectate;
b)dreptul la rectificare, astfel cum prevede articolul 18 din Regulamentul (UE) 2018/1725, în măsura în care rectificarea face imposibilă păstrarea integrităţii şi autenticităţii evidenţelor selectate pentru păstrarea permanentă în arhivele istorice. Aceasta nu aduce atingere posibilităţii de a adăuga o declaraţie suplimentară sau o notă la evidenţa în cauză, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau implică un efort administrativ disproporţionat;
c)dreptul la restricţionarea prelucrării, astfel cum este prevăzut la articolul 20 din Regulamentul (UE) 2018/1725, în măsura în care datele cu caracter personal sunt cuprinse în evidenţe selectate pentru păstrarea permanentă în arhivele istorice ale AEPD ca parte integrantă şi indispensabilă a evidenţelor respective;
d)obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării, astfel cum este prevăzută la articolul 21 din Regulamentul (UE) 2018/1725, în măsura în care această notificare este de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice de arhivare în interes public, iar o astfel de derogare este necesară pentru îndeplinirea acestor scopuri. La evaluarea şi documentarea acţiunii care trebuie întreprinsă cu privire la cerinţa de notificare, se acordă o atenţie deosebită informaţiilor disponibile, precum şi naturii specifice şi sferei evidenţelor care ar putea fi vizate;
e)dreptul de a se opune prelucrării, astfel cum este prevăzut la articolul 23 din Regulamentul (UE) 2018/1725, în măsura în care datele cu caracter personal sunt cuprinse în evidenţe selectate pentru păstrare permanentă în arhivele istorice ale AEPD ca parte integrantă şi indispensabilă a evidenţelor respective.
(3)AEPD depune, în scopul răspunderii, o evidenţă care descrie motivele care stau la baza derogărilor aplicate, dreptul persoanei vizate în raport cu care se aplică derogarea şi rezultatul evaluării efectuate. Evidenţele respective şi, după caz, documentele referitoare la contextul factual sau juridic fac parte dintr-un registru ad-hoc, care, la cerere, este pus la dispoziţia Autorităţii Europene pentru Protecţia Datelor, în calitate de autoritate de supraveghere a protecţiei datelor.
(4)AEPD se consultă cu responsabilul cu protecţia datelor (RPD) atunci când analizează aplicarea derogărilor de la drepturile persoanelor vizate în conformitate cu prezenta decizie într-o anumită situaţie şi, în orice caz, înainte de a lua o decizie de aplicare a unei astfel de derogări în temeiul prezentei decizii. Responsabilului cu protecţia datelor i se acordă acces la evidenţe şi la orice documente care stau la baza elementelor de fapt şi de drept. Implicarea responsabilului cu protecţia datelor în acest proces este documentată în mod corespunzător.
Art. 15: Depozitarea arhivelor istorice ale AEPD la Institutul Universitar European (IUE)
(1)În conformitate cu articolul 8 alineatul (1) din Regulamentul (CEE, Euratom) nr. 354/83, astfel cum a fost modificat prin Regulamentul (UE) 2015/496, AEPD depune la IUE documentele care fac parte din arhivele sale istorice şi pe care le-a deschis către public.
(2)Depunerea poate fi fizică în cazul dosarelor originale pe suport de hârtie sau electronică în cazul evidenţelor create şi păstrate digital. În acest din urmă caz, se iau măsuri specifice pentru a se asigura că IUE din Florenţa are acces la arhivele electronice ale AEPD, în conformitate cu articolul 1 din anexa la Regulamentul (CEE, Euratom) nr. 354/83, astfel cum a fost modificat prin Regulamentul (UE) 2015/496.
(3)AEPD oferă IUE, când este posibil, acces la copii digitalizate ale evidenţelor păstrate pe suport analogic, pentru a promova consultarea online şi transparenţa arhivelor istorice ale AEPD.
(4)Se va ţine seama în mod corespunzător de evidenţele care conţin documente clasificate sau de evidenţele care fac obiectul excepţiilor referitoare la viaţa privată şi integritatea persoanelor sau la interesele comerciale ale unei persoane fizice sau juridice, inclusiv proprietatea intelectuală, astfel cum se menţionează la articolul 2 din Regulamentul (CEE, Euratom) nr. 354/83, astfel cum a fost modificat prin Regulamentul (CE, Euratom) nr. 1700/2003.
(5)IUE este principalul punct de acces la arhivele istorice ale AEPD care sunt deschise către public.
(6)Responsabilul cu evidenţele şi arhivele din cadrul AEPD trimite IUE descrieri ale arhivelor care fac obiectul depozitării la IUE. Pentru a facilita schimbul de metadate cu IUE, interoperabilitatea este utilizată în conformitate cu standardele internaţionale.
(7)IUE exercită prelucrarea datelor, în conformitate cu articolul 8 alineatul (11) din Regulamentul (CEE, Euratom) nr. 354/83, astfel cum a fost modificat prin Regulamentul (UE) 2015/496, pe baza instrucţiunilor AEPD, care acţionează în calitate de operator al datelor cu caracter personal conţinute în arhivele sale istorice depozitate la IUE.
(8)AEPD furnizează instrucţiunile necesare pentru prelucrarea datelor cu caracter personal conţinute în arhivele depozitate la IUE şi monitorizează modul de îndeplinire a acestora.
Art. 16: Structurile interne ale AEPD
(1)AEPD se asigură că sunt instituite structurile organizatorice, administrative şi fizice necesare pentru punerea în aplicare a prezentei decizii, a normelor sale de punere în aplicare şi a oricărei proceduri conexe.
(2)Se desemnează un responsabil cu evidenţele şi arhivele (denumit în continuare "REA"), cu competenţe şi aptitudini relevante în domeniu, pentru a promova şi a menţine procese şi sisteme eficiente de gestionare a evidenţelor şi pentru a asigura coordonarea cu toate serviciile.
(3)Se desemnează un responsabil adjunct cu evidenţele şi arhivele (denumit în continuare "RAEA") pentru a sprijini REA în îndeplinirea tuturor atribuţiilor sale şi pentru a asigura continuitatea funcţiei în absenţa acestuia.
(4)Fiecare serviciu are un corespondent pentru gestionarea evidenţelor şi a arhivelor (denumit în continuare "CGEA") responsabil cu coordonarea punerii în aplicare a prezentei decizii şi a normelor sale de punere în aplicare.
CGEA din cadrul diferitelor servicii vor constitui o reţea internă prezidată de REA şi de RAEA.
Reţeaua se va reuni periodic pentru a aborda problemele comune şi pentru a împărtăşi bune practici.
(5)REA va colabora cu responsabilul local cu securitatea (denumit în continuare "RLS"), cu responsabilul local cu securitatea cibernetică, cu responsabilul local cu securitatea informaţiilor (denumit în continuare "RLSI"), cu responsabilul cu protecţia datelor (denumit în continuare "RPD") sau cu orice altă funcţie în legătură cu aspectele şi responsabilităţile de gestionare a evidenţelor pentru a asigura o abordare coerentă şi consecventă şi un flux eficient de informaţii.
Art. 17: Roluri şi responsabilităţi
(1)Şeful secretariatului AEPD este responsabil de asigurarea punerii în aplicare a prezentei decizii şi a normelor sale de punere în aplicare, precum şi a procedurilor asociate.
(2)Toate serviciile AEPD şi membrii individuali ai personalului au obligaţia de a gestiona într-un mod responsabil şi adecvat documentele şi evidenţele pe care le creează sau le utilizează, în conformitate cu prezenta decizie, cu alte proceduri în vigoare şi cu atribuţiile lor respective.
(3)REA:
a)coordonează şi monitorizează punerea în aplicare a prezentei decizii şi a normelor conexe şi se asigură că acestea sunt aplicate în mod consecvent la nivelul întregii AEPD;
b)este responsabil de stabilirea şi menţinerea planului de evidenţă şi a calendarelor de păstrare ale AEPD în colaborare cu reţeaua CGEA;
c)oferă îndrumări şi sprijin serviciilor AEPD cu privire la aspecte legate de gestionarea evidenţelor şi a arhivelor;
d)prezidează reţeaua CGEA;
e)răspunde de administrarea evidenţelor informatice ale AEPD/sistemele de gestionare a cazurilor;
f)reprezintă AEPD (în calitate de organ al Uniunii) în alte foruri externe;
g)se asigură că evidenţele şi dosarele sunt transferate în arhivele istorice ale AEPD şi că, la cerere, sunt puse la dispoziţia departamentelor AEPD;
h)efectuează, atunci când este necesar şi în cooperare cu serviciul emitent sau cu un serviciu echivalent sau cu succesorul acestuia, o a doua revizuire a evidenţelor, a dosarelor şi a arhivelor transferate;
i)asigură depozitarea arhivelor istorice ale AEPD la IUE, pentru a pune la dispoziţia publicului arhivele mai vechi de 30 de ani.
Adjunctul REA sprijină REA în sarcinile menţionate mai sus şi îl înlocuieşte în caz de absenţă.
(4)CGEA asigură schimbul de informaţii şi coordonarea în materie de gestionare a evidenţelor şi de arhivare în cadrul serviciilor lor respective şi coordonează punerea în aplicare a prezentei decizii şi a normelor sale de punere în aplicare.
Art. 18: Informare, formare şi sprijin
REA lucrează în coordonare cu responsabilul cu protecţia datelor, cu responsabilul local cu securitatea şi cu toate funcţiile relevante, pentru a se asigura că serviciile AEPD dispun de măsurile de informare, formare şi sprijin necesare pentru aplicarea prezentei decizii şi a normelor de punere în aplicare aferente.
Art. 19: Norme de punere în aplicare
Prezenta decizie este însoţită de norme de punere în aplicare.
Secretarul general este responsabil de adoptarea normelor de punere în aplicare în coordonare cu serviciile şi asigură punerea lor în aplicare.
Art. 20: Revizuire şi actualizare
Prezenta decizie şi normele sale de punere în aplicare sunt revizuite şi actualizate periodic, ţinând seama în special de:
a)evoluţiile în ceea ce priveşte gestionarea evidenţelor şi a arhivelor, inclusiv apariţia unor standarde relevante;
b)obligaţiile AEPD în ceea ce priveşte transparenţa, accesul public la documente şi deschiderea către public a arhivelor;
c)evoluţiile din domeniul tehnologiei informaţiei şi comunicaţiilor;
d)normele aplicabile privind valoarea probatorie a evidenţelor electronice;
e)orice noi obligaţii care pot fi impuse AEPD.
Art. 21: Abrogarea politicilor anterioare ale AEPD privind gestionarea evidenţelor şi arhivele
Politica AEPD de gestionare a evidenţelor şi politica AEPD privind arhivele se abrogă şi se înlocuiesc cu prezenta decizie.
Art. 22: Intrarea în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
-****-
Adoptată la Bruxelles, 25 noiembrie 2025.
Pentru AEPD Wojciech Rafal WIEWIOROWSKI Autoritatea Europeană pentru Protecţia Datelor |
Publicat în Jurnalul Oficial seria L din data de 23 decembrie 2025