Decizia-Cadru 2008/977/JAI/27-nov-2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală
Acte UE
Jurnalul Oficial 350L
Ieşit din vigoare Versiune de la: 21 Februarie 2014
Decizia-Cadru 2008/977/JAI/27-nov-2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală
Dată act: 27-nov-2008
Emitent: Consiliul Uniunii Europene
CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind Uniunea Europeană, în special articolul 30, articolul 31 şi articolul 34 alineatul (2) litera (b),
având în vedere propunerea Comisiei,
având în vedere avizul Parlamentului European (1),
(1)JO C 125 E, 22.5.2008, p. 154.
întrucât:
(1)Uniunea Europeană şi-a stabilit obiectivul de a menţine şi de a dezvolta Uniunea ca spaţiu de libertate, securitate şi justiţie în cadrul căruia se va asigura un înalt nivel de siguranţă prin acţiunea comună a statelor membre în domeniul cooperării poliţieneşti şi judiciare în materie penală.
(2)Acţiunea comună în domeniul cooperării poliţieneşti în temeiul articolului 30 alineatul (1) litera (b) din Tratatul privind Uniunea Europeană şi acţiunea comună pentru cooperarea judiciară în materie penală în temeiul articolului 31 alineatul (1) litera (a) din Tratatul privind Uniunea Europeană implică necesitatea prelucrării unor informaţii relevante care ar trebui să facă obiectul unor dispoziţii corespunzătoare privind protecţia datelor cu caracter personal.
(3)Legislaţia care intră sub incidenţa titlului VI din Tratatul privind Uniunea Europeană ar trebui să favorizeze cooperarea poliţienească şi judiciară în materie penală cu privire la eficienţa, precum şi la legitimitatea şi conformitatea acesteia cu drepturile fundamentale şi, în special, cu dreptul la viaţă privată şi la protecţia datelor cu caracter personal. Adoptarea de standarde comune privind prelucrarea şi protecţia datelor cu caracter personal prelucrate în scopul prevenirii şi a combaterii crimei contribuie la realizarea ambelor obiective.
(4)Programul de la Haga pentru consolidarea libertăţii, securităţii şi justiţiei în Uniunea Europeană adoptat de Consiliul European la 4 noiembrie 2004 a subliniat necesitatea unei abordări inovatoare a schimbului transfrontalier de informaţii privind punerea în aplicare a legii, cu stricta respectare a principalelor condiţii din domeniul protecţiei datelor şi a invitat Comisia să înainteze propuneri în acest sens până la sfârşitul anului 2005. Aspectul menţionat a fost reflectat în Planul de acţiune al Consiliului şi al Comisiei de punere în aplicare a Programului de la Haga pentru consolidarea libertăţii, securităţii şi justiţiei în Uniunea Europeană (2).
(2)JO C 198, 12.8.2005, p. 1.
(5)Schimbul de date personale în cadrul cooperării poliţieneşti şi judiciare în materie penală, în special în conformitate cu principiul disponibilităţii informaţiei, astfel cum a fost enunţat în Programul de la Haga, ar trebui sprijinit prin norme clare care să sporească încrederea reciprocă între autorităţile competente şi să asigure protecţia informaţiilor relevante, astfel încât să se excludă orice discriminare în ceea ce priveşte această cooperare între statele membre, cu respectarea, în acelaşi timp a drepturilor fundamentale ale persoanelor fizice. Instrumentele existente la nivel european nu sunt suficiente. Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal şi la libera circulaţie a acestor date (3) nu se aplică în cazul prelucrării datelor cu caracter personal în cursul unei activităţi care nu se circumscrie domeniului de aplicare a legislaţiei comunitare, astfel cum sunt cele prevăzute la titlul VI din Tratatul privind Uniunea Europeană şi nici, în orice caz, operaţiilor de prelucrare privind securitatea publică, apărarea, siguranţa de stat şi activităţile statului în domeniul legii penale.
(3)JO L 281, 23.11.1995, p. 31.
(6)Prezenta decizie-cadru se aplică numai în cazul datelor colectate sau prelucrate de autorităţi competente, în scopul prevenirii, cercetării, descoperirii sau urmăririi penale a infracţiunilor sau al executării pedepselor. Prezenta decizie-cadru ar trebui să lase la latitudinea statelor membre determinarea mai exactă, la nivel naţional, a celorlalte obiective considerate ca fiind incompatibile cu scopul pentru care au fost colectate iniţial datele personale. În general, prelucrarea suplimentară în scopuri de cercetare istorică, statistice sau de cercetare ştiinţifică nu ar trebui să fie considerată incompatibilă cu scopul iniţial al prelucrării.
(7)Domeniul de aplicare al prezentei decizii-cadru se limitează la prelucrarea datelor cu caracter personal transmise sau puse la dispoziţie între statele membre. Nu ar trebui să se poată deduce nicio concluzie din această restricţie privind competenţa Uniunii de a adopta acte privind colectarea şi prelucrarea datelor cu caracter personal la nivel naţional sau privind oportunitatea unei asemenea acţiuni din partea Uniunii în viitor.
(8)Pentru a facilita schimburile de date în cadrul Uniunii, statele membre urmăresc să asigure faptul că standardele de protecţie a datelor realizate în prelucrarea datelor la nivel naţional corespund celor prevăzute de prezenta decizie-cadru. În ceea ce priveşte prelucrarea datelor la nivel naţional, prezenta decizie-cadru nu împiedică statele membre să asigure garanţii ale protecţiei datelor cu caracter personal la un nivel mai ridicat decât cel prevăzut prin prezenta decizie-cadru.
(9)Prezenta decizie-cadru nu ar trebui să se aplice în cazul unor date cu caracter personal pe care un stat membru le-a obţinut în temeiul prezentei decizii-cadru şi care provin din statul membru respectiv.
(10)Armonizarea legislaţiilor statelor membre nu ar trebui să aibă ca rezultat scăderea nivelului de protecţie a datelor pe care îl oferă statele respective, ci ar trebui, dimpotrivă, să urmărească asigurarea unui înalt nivel de protecţie în cadrul Uniunii.
(11)Este necesar să fie precizate obiectivele de protecţie a datelor în cadrul activităţilor poliţieneşti şi judiciare şi să se instituie norme privind legalitatea prelucrării datelor cu caracter personal pentru a se asigura că orice informaţie care poate face obiectul unui schimb a fost prelucrată în mod legal şi în conformitate cu principiile fundamentale privind calitatea datelor. În acelaşi timp, activităţile legitime ale poliţiei, ale autorităţilor vamale, judiciare şi ale altor autorităţi competente nu trebuie să fie periclitate în niciun fel.
(12)Principiul exactităţii datelor se aplică ţinând cont de natura şi scopul prelucrării în cauză. De exemplu, în special în cursul procedurilor judiciare, datele se bazează pe percepţia subiectivă a indivizilor şi, în unele cazuri, sunt imposibil de verificat. Prin urmare, exigenţa exactităţii nu se referă la exactitatea declaraţiei, ci la faptul că o anumită declaraţie a fost făcută.
(13)Arhivarea într-un set separat de date ar trebui să fie permisă numai dacă datele nu mai sunt necesare şi nu mai sunt utilizate în scopul prevenirii, al cercetării, al descoperirii sau al urmăririi penale a infracţiunilor sau al executării pedepselor. Arhivarea într-un set separat de date ar trebui, de asemenea, să fie permisă dacă datele arhivate sunt stocate într-o bază de date împreună cu alte date într-un mod care face imposibilă utilizarea lor în continuare în scopul prevenirii, al cercetării, al descoperirii sau al urmăririi penale a infracţiunilor sau al executării pedepselor. Termenul de arhivare corespunzător ar trebui să depindă de scopurile arhivării şi de interesele legitime ale persoanei vizate. În cazul arhivării în scopuri de cercetare istorică, se poate avea în vedere un termen foarte lung.
(14)De asemenea, datele se pot şterge prin distrugerea suportului de date.
(15)În ceea ce priveşte datele inexacte, incomplete sau perimate transmise altui stat membru sau puse la dispoziţia acestora şi prelucrate în continuare de autorităţi cvasi-judiciare, şi anume de autorităţi împuternicite să emită decizii cu forţă juridică obligatorie, rectificarea, ştergerea sau blocarea acestora ar trebui să se realizeze în conformitate cu legislaţia naţională.
(16)Asigurarea unui înalt nivel de protecţie a datelor cu caracter personal ale persoanelor fizice necesită dispoziţii comune pentru stabilirea legalităţii şi a calităţii datelor prelucrate de autorităţile competente în alte state membre.
(17)Este oportun să se instituie la nivel european condiţiile care să permită autorităţilor competente ale statelor membre să transmită şi să pună la dispoziţia autorităţilor şi entităţilor private din statele membre datele cu caracter personal primite din celelalte state membre. În numeroase situaţii, este necesar ca datele cu caracter personal să fie transmise entităţilor private de către autorităţile judiciare, poliţieneşti sau vamale pentru urmărirea infracţiunilor sau pentru prevenirea unei ameninţări imediate şi grave a siguranţei publice şi pentru prevenirea vătămării grave a drepturilor persoanelor fizice, de exemplu, prin emiterea de alerte cu privire la falsificarea garanţiilor financiare către bănci şi instituţii de credit sau, în cazul criminalităţii din domeniul autovehiculelor, prin comunicarea de date cu caracter personal companiilor de asigurări pentru a preveni traficul ilicit de autovehicule furate sau pentru a îmbunătăţi condiţiile de recuperare a autovehiculelor furate din străinătate. Acest lucru nu este echivalent cu transferul sarcinilor poliţieneşti şi judiciare către entităţile private.
(18)Normele prezentei decizii-cadru privind transmiterea datelor cu caracter personal de către autorităţile judiciare, poliţieneşti sau vamale către entităţi private nu se aplică în cazul dezvăluirii datelor către entităţi private (precum avocaţii apărării şi victimele) în contextul procedurilor penale.
(19)Prelucrarea suplimentară a datelor cu caracter personal primite sau puse la dispoziţie de autoritatea competentă a altui stat membru, în special transmiterea sau punerea la dispoziţie ulterioară a acestor date, trebuie să se supună normelor comune la nivel european.
(20)În cazul unei posibilităţi de prelucrare suplimentară a datelor cu caracter personal, după ce statul membru de la care au fost obţinute datele şi-a dat acordul, fiecare stat membru ar trebui să poată să determine modalităţile aferente acestui acord, inclusiv, de exemplu, printr-un acord general pentru anumite categorii de informaţii sau pentru anumite categorii de prelucrare suplimentară.
(21)În cazul unei posibilităţi de prelucrare suplimentară a datelor cu caracter personal în cadrul unor proceduri administrative, aceste proceduri includ, de asemenea, activităţile desfăşurate de organismele de reglementare şi de control.
(22)Activităţile legitime ale poliţiei, vămilor, autorităţilor judiciare şi ale altor autorităţi competente pot necesita transmiterea de informaţii către autorităţile unor state terţe sau ale unor organisme internaţionale, care au obligaţia prevenirii, cercetării, depistării sau urmăririi penale a infracţiunilor sau a executării pedepselor.
(23)În cazul transferului de date cu caracter personal de la un stat membru către state terţe sau către organisme internaţionale, datele respective ar trebui să beneficieze, în principiu, de un nivel corespunzător de protecţie.
(24)În cazul transferului de date cu caracter personal de la un stat membru către state terţe sau către organisme internaţionale, acest transfer ar trebui să poată fi efectuat, în principiu, numai după ce statul membru de la care au fost obţinute datele şi-a dat acordul în ceea ce priveşte transferul. Fiecare stat membru ar trebui să poată să stabilească modalităţile aferente acestui acord, de exemplu, printr-un acord general pentru anumite categorii de informaţii sau pentru anumite state terţe.
(25)Interesele unei cooperări eficace cu privire la aplicarea legii impun ca, în cazul în care există un pericol imediat la adresa securităţii publice a unui stat membru sau a unui stat terţ, astfel încât este imposibil să se obţină la timp acordul prealabil, autoritatea competentă ar trebui să poată transfera datele cu caracter personal pertinente către statul terţ interesat, fără acest acord prealabil. Aceeaşi situaţie s-ar putea aplica în cazul în care sunt în joc alte interese fundamentale, de importanţă similară, ale unui stat membru, ca de exemplu un pericol grav şi iminent pentru infrastructura critică a unui stat membru sau o perturbare gravă a sistemului financiar al unui stat membru.
(26)Poate fi necesară informarea persoanelor vizate cu privire la prelucrarea datelor acestora, în special în cazul în care a existat o încălcare gravă a drepturilor persoanelor respective ca urmare a măsurilor de colectare a datelor secrete, pentru a se asigura posibilitatea unei protecţii juridice eficiente a persoanelor vizate.
(27)Statul membru ar trebui să asigure faptul că persoana vizată este informată că datele cu caracter personal ar putea fi sau sunt colectate, prelucrate sau transmise unui alt stat membru în scopul prevenirii, cercetării, descoperirii sau urmăririi penale a infracţiunilor sau al executării pedepselor. Modalităţile aferente dreptului persoanei vizate de a fi informată, precum şi excepţiile de la acesta, ar trebui să fie reglementate de legislaţia naţională. Acest lucru poate să se prezinte sub o formă generală, de exemplu, prin intermediul legislaţiei sau prin publicarea unei liste cu operaţiile de prelucrare.
(28)Pentru a asigura protecţia datelor cu caracter personal fără a periclita interesul cercetărilor penale, este necesar să se definească drepturile persoanei vizate.
(29)Unele state membre au asigurat, în materie penală, dreptul de acces al persoanei vizate prin intermediul unui sistem prin care autoritatea naţională de supraveghere, în locul persoanei vizate, are acces la toate datele cu caracter personal privind persoana vizată fără nicio restricţie şi poate rectifica, şterge sau actualiza datele inexacte. Într-un astfel de caz de acces indirect, legislaţia naţională a acestor state membre poate prevedea că autoritatea naţională de supraveghere trebuie să informeze persoana vizată numai în legătură cu faptul că au fost efectuate toate verificările necesare. Cu toate acestea, statele membre respective prevăd, de asemenea, posibilitatea unui acces direct al persoanelor vizate, în anumite situaţii, precum accesul la cazierele judiciare, pentru a se obţine copii ale propriilor caziere judiciare sau documente referitoare la propriile audieri efectuate de către serviciile de poliţie.
(30)Este oportună instituirea de norme comune privind confidenţialitatea şi securitatea prelucrării, răspunderea juridică şi sancţiunile pentru utilizarea nelegală de către autorităţile competente, precum şi căile de atac de care dispune persoana vizată. Cu toate acestea, natura normelor de responsabilitate delictuală şi a sancţiunilor aplicabile în cazul încălcării dispoziţiilor interne privind protecţia datelor rămâne să fie stabilită de fiecare stat membru.
(31)Prezenta decizie-cadru permite punerea în aplicare a principiilor prevăzute, cu respectarea principiului accesului publicului la documentele oficiale.
(32)În cazul în care se impune protecţia datelor cu caracter personal în ceea ce priveşte prelucrarea, care, din cauza amplorii sau a tipului acesteia, prezintă riscuri specifice pentru drepturile şi libertăţile fundamentale, ca de exemplu prelucrarea prin intermediul noilor tehnologii, mecanisme sau proceduri, este important să se garanteze că autorităţile naţionale de supraveghere competente sunt consultate înainte de crearea unui sistem de evidenţă destinat prelucrării acestor date.
(33)Instituirea în statele membre a unor autorităţi de supraveghere care să-şi exercite atribuţiile în deplină independenţă este un element esenţial al protecţiei datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare între statele membre.
(34)Autorităţile de supraveghere deja instituite în statele membre în temeiul Directivei 95/46/CE ar trebui, de asemenea, să poată prelua răspunderea pentru sarcinile care urmează a fi îndeplinite de către autorităţile naţionale de supraveghere instituite prin prezenta decizie-cadru.
(35)Autorităţile de supraveghere respective ar trebui să dispună de mijloacele necesare pentru a-şi îndeplini atribuţiile, inclusiv de competenţe de cercetare şi de intervenţie, în special în cazul reclamaţiilor din partea persoanelor fizice, precum şi competenţa de a acţiona în justiţie. Autorităţile de supraveghere menţionate ar trebui să ajute la asigurarea transparenţei prelucrării în statele membre de a căror jurisdicţie aparţin. Cu toate acestea, competenţele acestora nu ar trebui să afecteze normele specifice stabilite pentru procedurile penale sau independenţa justiţiei.
(36)Articolul 47 din Tratatul privind Uniunea Europeană prevede că niciuna dintre dispoziţiile sale nu aduce atingere tratatelor de instituire a Comunităţilor Europene sau tratatele şi actele ulterioare de modificare sau completare a acestora. În consecinţă, prezenta decizie-cadru nu afectează protecţia datelor cu caracter personal prevăzută în dreptul comunitar, în special astfel cum a fost reglementată prin Directiva 95/46/CE, Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (1) şi Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor cu caracter personal şi protejarea confidenţialităţii în sectorul comunicaţiilor electronice (Directiva privind confidenţialitatea şi comunicaţiile electronice) (2).
(1)JO L 8, 12.1.2001, p. 1.
(2)JO L 201, 31.7.2002, p. 37.
(37)Prezenta decizie-cadru nu aduce atingere normelor privind accesul ilicit la date, instituite de Decizia-cadru 2005/222/JAI a Consiliului din 24 februarie 2005 privind atacurile împotriva sistemelor informatice (3).
(3)JO L 69, 16.3.2005, p. 67.
(38)Prezenta decizie-cadru nu aduce atingere obligaţiilor şi angajamentelor care revin statelor membre sau Uniunii în temeiul unor acorduri bilaterale şi/sau multilaterale cu state terţe. Acordurile viitoare ar trebui să respecte normele privind schimburile cu statele terţe.
(39)Mai multe acte adoptate în temeiul titlului VI din Tratatul privind Uniunea Europeană includ dispoziţii specifice privind protecţia datelor cu caracter personal comunicate sau, în alte cazuri, prelucrate în conformitate cu aceste acte. În anumite cazuri, aceste dispoziţii reprezintă un set complet şi coerent de norme care tratează toate aspectele relevante privind protecţia datelor cu caracter personal (principiul calităţii datelor, normele referitoarea la securitatea datelor, reglementarea drepturilor şi garanţiilor persoanelor vizate, organizarea supravegherii şi a răspunderii) şi reglementează aceste chestiuni mai amănunţit decât prezenta decizie-cadru. Setul relevant de dispoziţii privind protecţia datelor cu caracter personal din aceste acte, în special acelea care reglementează funcţionarea Europol, a Eurojust, a Sistemului de Informaţii Schengen (SIS) şi a Sistemului de Informaţii al Vămilor (CIS), ca şi acelea care introduc accesul direct pentru autorităţile statelor membre la anumite sisteme de date ale altor state membre, nu ar trebui să aducă atingere prezentei decizii-cadru. De asemenea, acest lucru este valabil şi în ceea ce priveşte dispoziţiile privind datele cu caracter personal care reglementează transferul automat între statele membre al profilurilor ADN, al datelor dactiloscopice şi al datelor naţionale privind înmatricularea vehiculelor, în conformitate cu Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului şi al criminalităţii transfrontaliere (4).
(4)JO L 210, 6.8.2008, p. 1.
(40)În celelalte cazuri, domeniul de aplicare al dispoziţiilor privind protecţia datelor cu caracter personal din acte, adoptate în temeiul titlului VI din Tratatul privind Uniunea Europeană, este mai restrâns. Aceste dispoziţii stabilesc deseori condiţii specifice privind scopurile în care pot fi utilizate de către statul membru informaţiile care conţin datele cu caracter personal pe care acesta le primeşte de la un alt stat membru, dar fac trimitere, în ceea ce priveşte celelalte aspecte ale protecţiei datelor cu caracter personal, la Convenţia Consiliului Europei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal din 28 ianuarie 1981 sau la legislaţia internă. În măsura în care dispoziţiile acelor acte care impun condiţii statelor membre destinatare privind utilizarea datelor cu caracter personal sau transferul acestora mai departe sunt mai restrictive decât cele conţinute în dispoziţiile corespunzătoare ale prezentei decizii-cadru, vechile dispoziţii ar trebui să rămână neschimbate. Cu toate acestea, în ceea ce priveşte toate celelalte aspecte, ar trebui să se aplice normele stabilite în prezenta decizie-cadru.
(41)Prezenta decizie-cadru nu aduce atingere Convenţiei Consiliului Europei pentru protecţia persoanelor fizice cu privire la prelucrarea automatizată a datelor cu caracter personal, Protocolul adiţional la această Convenţie din 8 noiembrie 2001 sau convenţiile Consiliului Europei privind cooperarea juridică în materie penală.
(42)Întrucât obiectivele prezentei decizii-cadru, respectiv stabilirea unor norme comune pentru protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală, nu pot fi suficient realizate de statele membre acţionând unilateral şi, prin urmare, datorită dimensiunii şi efectelor măsurii menţionate, pot fi mai bine realizate la nivelul Uniunii, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este instituit la articolul 5 din Tratatul de instituire a Comunităţii Europene şi menţionat la articolul 2 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporţionalităţii, astfel cum a fost enunţat, de asemenea, la articolul 5 din Tratatul de instituire a Comunităţii Europene, prezenta decizie-cadru nu depăşeşte ceea ce este necesar pentru a atinge obiectivele menţionate.
(43)Regatul Unit participă la prezenta decizie-cadru, în conformitate cu articolul 5 din Protocolul de integrare a acquis-ului Schengen în cadrul Uniunii Europene anexat la Tratatul privind Uniunea Europeană şi la Tratatul de instituire a Comunităţii Europene şi cu articolul 8 alineatul (2) din Decizia 2000/365/CE a Consiliului din 29 mai 2000 privind cererea Regatului Unit al Marii Britanii şi Irlandei de Nord de a participa la anumite dispoziţii ale acquis-ului Schengen (1).
(1)JO L 131, 1.6.2000, p. 43.
(44)Irlanda participă la prezenta decizie-cadru, în conformitate cu articolul 5 din Protocolul de integrare a acquis-ului Schengen în cadrul Uniunii Europene anexat la Tratatul privind Uniunea Europeană şi la Tratatul de instituire a Comunităţii Europene şi cu articolul 6 alineatul (2) din Decizia 2002/192/CE a Consiliului din 28 februarie 2002 privind cererea Irlandei de a participa la anumite dispoziţii ale acquis-ului Schengen (2).
(2)JO L 64, 7.3.2002, p. 20.
(45)În ceea ce priveşte Islanda şi Norvegia, prezenta decizie-cadru reprezintă o dezvoltare a dispoziţiilor acquis-ului Schengen în înţelesul Acordului încheiat de Consiliul Uniunii Europene şi Republica Islanda şi Regatul Norvegiei privind asocierea acestor două state la transpunerea, punerea în aplicare şi dezvoltarea acquis-ului Schengen (3), circumscrise sferei menţionate la articolul 1 punctele H şi I din Decizia 1999/437/CE a Consiliului (4) privind anumite modalităţi de aplicare a acordului menţionat.
(3)JO L 176, 10.7.1999, p. 36.
(4)JO L 176, 10.7.1999, p. 31.
(46)În ceea ce priveşte Elveţia, prezenta decizie-cadru reprezintă o dezvoltare a dispoziţiilor acquis-ului Schengen în înţelesul Acordului încheiat între Uniunea Europeană, Comunitatea Europeană şi Confederaţia Elveţiană privind asocierea Confederaţiei Elveţiene la transpunerea, punerea în aplicare şi dezvoltarea acquis-ului Schengen (5), circumscrise sferei menţionate la articolul 1 punctele H şi I din Decizia 1999/437/CE coroborat cu articolul 3 din Decizia 2008/149/JAI a Consiliului (6) privind încheierea, în numele Uniunii Europene, a acordului respectiv.
(5)JO L 53, 27.2.2008, p. 52.
(6)JO L 53, 27.2.2008, p. 50.
(47)În ceea ce priveşte Liechtenstein, prezenta decizie-cadru reprezintă o dezvoltare a dispoziţiilor acquis-ului Schengen în înţelesul Protocolului semnat între Uniunea Europeană, Comunitatea Europeană, Confederaţia Elveţiană şi Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană şi Confederaţia Elveţiană privind asocierea Confederaţiei Elveţiene la transpunerea, punerea în aplicare şi dezvoltarea acquis-ului Schengen, circumscrise sferei menţionate la articolul 1 punctele H şi I din Decizia 1999/437/CE, coroborat cu articolul 3 din Decizia 2008/262/JAI a Consiliului (7) privind semnarea, în numele Uniunii Europene, a protocolului respectiv.
(7)JO L 83, 26.3.2008, p. 5.
(48)Prezenta decizie-cadru respectă drepturile fundamentale şi se conformează principiilor recunoscute în special de Carta drepturilor fundamentale a Uniunii Europene (8). Prezenta decizie-cadru urmăreşte să asigure respectarea deplină a drepturilor la viaţă privată şi la protecţia datelor cu caracter personal reflectate în articolele 7 şi 8 din Cartă,
(8)JO C 303, 14.12.2007, p. 1.
ADOPTĂ PREZENTA DECIZIE-CADRU:
-****-
Art. 1: Obiectivul şi domeniul de aplicare
(1)Obiectivul prezentei decizii-cadru îl constituie asigurarea unui înalt nivel de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi în special a dreptului acestora la o viaţă privată, în ceea ce priveşte prelucrarea datelor cu caracter personal în cadrul cooperării poliţieneşti şi judiciare în materie penală, prevăzute la titlul VI din Tratatul privind Uniunea Europeană, cu garantarea, în acelaşi timp, a unui înalt nivel de securitate publică.
(2)În conformitate cu prezenta decizie-cadru, statele membre protejează drepturile şi libertăţile fundamentale ale persoanelor fizice, şi în special dreptul acestora la o viaţă privată în cazul în care, în scopul prevenirii, al cercetării, al descoperirii sau al urmării penale a infracţiunilor sau al executării pedepselor, datele cu caracter personal:
a)sunt sau au fost transmise sau puse la dispoziţie între statele membre;
b)sunt sau au fost transmise sau puse la dispoziţia autorităţilor sau a sistemelor informatice instituite în temeiul titlului VI din Tratatul privind Uniunea Europeană, de către statele membre; sau
c)sunt sau au fost transmise sau puse la dispoziţia autorităţilor competente din statele membre de către autorităţile sau a sistemelor informatice instituite în baza Tratatului privind Uniunea Europeană sau a Tratatului de instituire a Comunităţii Europene.
(3)Prezenta decizie-cadru se aplică în cazul prelucrării, prin mijloace integral sau parţial automatizate, a datelor cu caracter personal, precum în cazul prelucrării cu alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau sunt destinate să facă parte dintr-un sistem de evidenţă.
(4)Prezenta decizie-cadru nu aduce atingere intereselor naţionale fundamentale în materie de securitate şi nici activităţilor specifice ale serviciilor de informaţii în domeniul siguranţei naţionale.
(5)Prezenta decizie-cadru nu împiedică statele membre să asigure, pentru protecţia datelor cu caracter personal colectate sau prelucrate la nivel naţional, măsuri de garantare la un nivel mai ridicat decât cel prevăzut prin prezenta decizie-cadru.
Art. 2: Definiţii
În înţelesul prezentei decizii-cadru:
a)"date cu caracter personal" înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un cod numeric personal sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b)"prelucrarea datelor cu caracter personal" şi "prelucrare" înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau prin punerea la dispoziţie în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;
c)"blocare" înseamnă marcarea unor date cu caracter personal stocate în scopul limitării prelucrării pe viitor;
d)"sistem de evidenţă a datelor cu caracter personal" şi "sistem de evidenţă" înseamnă orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
e)"operator de prelucrare" înseamnă orice organism care prelucrează date cu caracter personal în numele inspectorului;
f)"destinatar" înseamnă orice organism căruia îi sunt comunicate date;
g)"consimţământul persoanei vizate" înseamnă orice manifestare de voinţă, liberă, specifică şi informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc;
h)"autorităţi competente" înseamnă agenţiile sau organismele instituite în temeiul unor acte juridice adoptate de Consiliu, în conformitate cu titlul VI din Tratatul privind Uniunea Europeană, precum şi autorităţile poliţieneşti, vamale, judiciare şi alte autorităţi competente din statele membre care sunt autorizate în cadrul legislaţiei naţionale să prelucreze date cu caracter personal, în temeiul prezentei decizii-cadru;
i)"inspector" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau oricare alt organism care individual sau în comun cu alte organisme stabileşte scopurile şi modalităţile prelucrării datelor cu caracter personal;
j)"atribuirea de referinţe" înseamnă marcarea datelor cu caracter personal stocate, fără a avea ca scop limitarea prelucrării lor ulterioare;
k)prin "transformarea în date anonime" se înţelege modificarea datelor cu caracter personal, astfel încât detaliile privind circumstanţele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile sau să permită atribuirea doar în condiţiile unei investiţii disproporţionate de timp, costuri şi forţă de muncă.
Art. 3: Principii de legalitate, proporţionalitate şi scop
(1)Datele cu caracter personal pot fi colectate de autorităţile competente numai în scopuri specifice, explicite şi legitime în cadrul sarcinilor lor şi pot fi prelucrate doar în scopurile pentru care au fost colectate. Prelucrarea datelor trebuie să fie legală şi adecvată, relevantă şi să nu fie excesivă în raport cu scopurile pentru care au fost colectate.
(2)Prelucrarea suplimentară pentru un alt scop este permisă în măsura în care:
a)este compatibilă cu scopul în care au fost colectate datele;
b)autorităţile competente sunt autorizate să prelucreze astfel de date în acest alt scop, în conformitate cu dispoziţiile legale aplicabile; şi
c)prelucrarea este necesară şi proporţională în raport cu acest alt scop.
Autorităţile competente pot, de asemenea, să prelucreze suplimentar datele cu caracter personal transmise, în scopuri de cercetare istorică, statistice sau de cercetare ştiinţifică, sub rezerva furnizării de către statele membre a unor garanţii corespunzătoare, cum ar fi cele privind transformarea în date anonime.
Art. 4: Rectificarea, ştergerea şi blocarea
(1)Datele cu caracter personal se rectifică dacă nu sunt exacte şi, în cazul în care este posibil şi necesar, se completează şi se actualizează.
(2)Datele cu caracter personal se şterg sau se trec în anonimat atunci când nu mai sunt necesare în scopurile în care au fost colectate în mod legal sau sunt, în mod legal, prelucrate suplimentar. Prezenta dispoziţie nu afectează arhivarea acelor date într-un set separat de date pentru o perioadă de timp corespunzătoare, în conformitate cu dreptul intern.
(3)În loc să fie şterse, datele cu caracter personal se blochează atunci când există motive întemeiate să se considere că ştergerea lor ar putea afecta interesele legitime ale persoanei vizate. Datele blocate se prelucrează doar în scopul care a împiedicat ştergerea lor.
(4)În cazul în care datele cu caracter personal sunt conţinute într-o hotărâre judecătorească sau într-un cazier judiciar referitor la emiterea unei hotărâri judecătoreşti, rectificarea, ştergerea sau blocarea sunt efectuate în conformitate cu reglementările naţionale privind procedurile judiciare.
Art. 5: Stabilirea de termene pentru ştergere şi revizuire
Se stabilesc termene corespunzătoare pentru ştergerea datelor cu caracter personal sau pentru o revizuire periodică a necesităţii de stocare a datelor. Respectarea acestor termene este asigurată prin instituirea unor măsuri procedurale.
Art. 6: Prelucrarea unor categorii speciale de date
Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea datelor privind sănătatea sau viaţa sexuală este permisă numai în cazul în care este strict necesară şi când legislaţia naţională prevede garanţii corespunzătoare.
Art. 7: Deciziile individuale bazate pe prelucrarea automatizată
Deciziile care produc un efect juridic advers asupra persoanei vizate sau care o afectează în mod semnificativ şi care sunt bazate exclusiv pe prelucrarea automatizată a datelor în scopul evaluării anumitor aspecte cu caracter personal referitoare la persoana vizată sunt permise numai dacă sunt permise de legislaţia care stabileşte şi măsuri pentru protecţia persoanei vizate.
Art. 8: Verificarea calităţii datelor transmise sau puse la dispoziţie
(1)Autorităţile competente iau toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, incomplete sau perimate nu sunt transmise sau puse la dispoziţie. În acest scop, autorităţile competente verifică, în măsura în care este posibil, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziţie. În măsura în care acest lucru este posibil, în cadrul tuturor transmiterilor de date, se adaugă informaţii disponibile care să permită statului membru destinatar să evalueze gradul de exactitate, caracterul integral, gradul de actualitate şi fiabilitate. În cazul transmiterii de date cu caracter personal care nu au fost solicitate, autoritatea destinatară verifică de îndată dacă datele respective sunt necesare în scopul în care au fost transmise.
(2)În cazul în care se constată transmiterea unor date inexacte sau transmiterea unor date în mod ilegal, acest lucru trebuie comunicat de îndată destinatarului. Datele trebuie să fie rectificate, şterse sau blocate fără întârziere în conformitate cu articolul 4.
Art. 9: Termenele
(1)După transmiterea sau la punerea la dispoziţie a datelor, autoritatea care transmite datele poate să indice termenele pentru reţinerea datelor, în conformitate cu legislaţia naţională şi cu articolele 4 şi 5, iar după expirarea termenelor respective, destinatarul are obligaţia de a şterge sau de a bloca datele sau să verifice dacă acestea mai sunt sau nu necesare. Această obligaţie nu se aplică dacă, la expirarea acestor termene, sunt necesare pentru o cercetare aflată în curs, urmărirea penală a infracţiunilor sau executarea pedepselor.
(2)În cazul în care autoritatea care transmite datele nu a indicat un termen în conformitate cu alineatul (1), se aplică termenele menţionate la articolele 4 şi 5 pentru reţinerea datelor furnizate în conformitate cu legislaţia naţională a statului membru destinatar.
Art. 10: Luarea în evidenţă şi documentarea
(1)Orice transmitere de date cu caracter personal se ia în evidenţă sau se documentează pentru verificarea legalităţii prelucrării datelor, pentru monitorizare proprie şi pentru asigurarea integrităţii şi a securităţii corespunzătoare a datelor.
(2)Luarea în evidenţă sau documentarea prevăzute la alineatul (1) se comunică la cerere autorităţii competente de supraveghere pentru controlul protecţiei datelor. Autoritatea competentă de supraveghere utilizează informaţiile respective numai pentru controlul protecţiei datelor şi pentru asigurarea prelucrării corespunzătoare a datelor, precum şi integritatea şi securitatea datelor.
Art. 11: Prelucrarea datelor cu caracter personal primite sau puse la dispoziţie de un alt stat membru
Datele cu caracter personal primite de la autoritatea competentă a altui stat membru în conformitate cu cerinţele articolului 3 alineatul (2) sau puse la dispoziţie de către aceasta pot fi prelucrate suplimentar numai în următoarele scopuri, altele decât cele pentru care au fost transmise sau puse la dispoziţie:
a)prevenirea, cercetarea, descoperirea sau urmărirea penală a infracţiunilor sau executarea pedepselor, altele decât cele pentru care au fost transmise sau puse la dispoziţie;
b)alte proceduri judiciare sau administrative direct legate de prevenirea, cercetarea, descoperirea şi urmărirea penală a infracţiunilor sau executarea pedepselor;
c)prevenirea unui pericol iminent şi grav la adresa securităţii publice; sau
d)orice alt scop doar cu consimţământul prealabil al statului membru care transmite sau cu consimţământul persoanei vizate, în conformitate cu legislaţia naţională.
Autorităţile competente pot, de asemenea, să prelucreze suplimentar datele cu caracter personal transmise, în scopuri de cercetare istorică, statistice sau de cercetare ştiinţifică, sub rezerva furnizării de către statele membre a unor garanţii corespunzătoare, cum ar fi, de exemplu, cele privind transformarea în date anonime.
Art. 12: Respectarea restricţiilor naţionale privind prelucrarea
(1)Atunci când, în conformitate cu legislaţia statului membru care efectuează transmiterea datelor, se aplică, în anumite circumstanţe, restricţii specifice privind prelucrarea schimburilor de date între autorităţile competente din statul membru respectiv, autoritatea care efectuează transmiterea informează destinatarul în privinţa acestor restricţii. Destinatarul se asigură că aceste restricţii privind prelucrarea sunt respectate.
(2)Atunci când aplică alineatul (1), statele membre nu aplică restricţii în ceea ce priveşte transmiterea de date către alte state membre sau către agenţiile sau organismele instituite în conformitate cu titlul VI din Tratatul privind Uniunea Europeană, altele decât cele aplicabile transmiterii similare de date la nivel naţional.
Art. 13: Transferul către autorităţi competente din state terţe sau către organisme internaţionale
(1)Statele membre dispun ca datele cu caracter personal transmise sau puse la dispoziţie de autorităţile competente ale unui alt stat membru să poată fi transferate către state terţe sau organisme internaţionale numai dacă:
a)se impune pentru prevenirea, cercetarea, descoperirea sau urmărirea penală a infracţiunilor sau executarea pedepselor;
b)autorităţii destinatare din statul terţ sau organismului internaţional destinatar îi revine răspunderea pentru prevenirea, cercetarea, descoperirea şi urmărirea penală a infracţiunilor sau pentru executarea pedepselor;
c)statul membru de la care au fost obţinute datele şi-a dat acordul de a le transfera în conformitate cu legislaţia naţională; şi
d)statul terţ sau organismul internaţional în cauză asigură un nivel corespunzător de protecţie pentru prelucrarea de date urmărită.
(2)Transferul fără acordul prealabil în conformitate cu alineatul (1) este permis numai dacă transferul de date este esenţial pentru prevenirea unui pericol iminent şi grav la adresa securităţii publice a unui stat membru sau a unui stat terţ sau a intereselor fundamentale ale unui stat membru, iar consimţământul prealabil nu poate fi dat în timp util. Autoritatea responsabilă de acordarea consimţământului este informată fără întârziere.
(3)Prin derogare de la alineatul (1) litera (d), datele cu caracter personal se pot transfera în cazul în care:
a)legislaţia naţională a statului membru care transferă datele prevede acest lucru, având în vedere:
(i)interesele legitime specifice ale persoanei vizate; sau
(ii)interesele legitime prioritare, în special interese publice importante; sau
b)statul terţ destinatar sau organismul internaţional destinatar furnizează garanţii considerate a fi corespunzătoare de către statul membru interesat, în conformitate cu legislaţia naţională a acestuia.
(4)Caracterul adecvat al nivelului de protecţie menţionat la alineatul (1) litera (d), este evaluat în lumina tuturor factorilor prezenţi într-o operaţiune sau într-un ansamblu de operaţiuni de transfer de date. Se acordă o atenţie deosebită tipului de date, scopului şi duratei prelucrării sau a prelucrărilor propuse, statului de origine şi statului sau organismului internaţional de destinaţie finală a datelor, normelor de drept, atât generale, cât şi sectoriale aplicabile statului terţ sau organismului internaţional în cauză, precum şi normelor profesionale şi măsurilor de securitate aplicabile.
Art. 14: Transmiterea către entităţile private din statele membre
(1)Statele membre dispun ca datele cu caracter personal primite de la autoritatea competentă dintr-un alt stat membru sau puse la dispoziţie de către aceasta pot fi transmise entităţilor private numai dacă:
a)autoritatea competentă din statul membru din care datele au fost obţinute şi-a dat acordul pentru efectuarea transmiterii în conformitate cu legislaţia naţională;
b)niciun interes specific legitim al persoanei vizate nu împiedică transmiterea; şi
c)în cazuri specifice, transferul este esenţial pentru autoritatea competentă care transmite date unei entităţi private pentru:
(i)îndeplinirea unei sarcini în mod legal atribuite acesteia;
(ii)prevenirea, cercetarea, descoperirea sau urmărirea penală a infracţiunilor sau executarea pedepselor;
(iii)prevenirea unui pericol iminent şi grav la adresa securităţii publice; sau
(iv)prevenirea unei vătămări grave a drepturilor persoanei.
(2)Autoritatea competentă care transmite datele unei entităţi private o informează pe aceasta din urmă cu privire la scopurile pentru care, în mod exclusiv, pot fi utilizate datele.
Art. 15: Informaţii la cererea autorităţii competente
La cerere, destinatarul informează autoritatea competentă care a transmis sau a pus la dispoziţie date cu caracter personal asupra prelucrării lor.
Art. 16: Informaţii pentru persoana vizată
(1)Statele membre se asigură că persoana vizată este informată în legătură cu colectarea sau prelucrarea datelor cu caracter personal de către autorităţile competente, în conformitate cu legislaţia naţională.
(2)Atunci când au fost transmise sau puse la dispoziţie date cu caracter personal între state membre, fiecare stat membru poate, în conformitate cu prevederile legislaţiei naţionale menţionate la alineatul (1), să ceară celuilalt stat membru să nu informeze persoana vizată. În acest caz, statul respectiv nu informează persoana vizată fără consimţământul prealabil al celuilalt stat.
Art. 17: Dreptul de acces
(1)Fiecare persoană vizată are dreptul, la cerere şi la intervale rezonabile, să primească fără constrângere şi fără întârzieri sau cheltuieli excesive:
a)cel puţin o confirmare din partea inspectorului sau a autorităţilor naţionale de supraveghere privind transmiterea sau punerea la dispoziţie a datelor care o privesc, sau lipsa acestor acţiuni, şi informaţii cu privire la destinatarii sau categoriile de destinatari cărora li s-au dezvăluit datele şi comunicarea datelor care fac obiectul prelucrării; sau
b)cel puţin o confirmare din partea autorităţii naţionale de supraveghere că toate verificările necesare au fost efectuate.
(2)Statele membre pot adopta măsuri legislative care să restricţioneze accesul la informaţii în conformitate cu alineatul (1) litera (a), în cazul în care o astfel de restricţie, cu respectarea intereselor legitime ale persoanei vizate, reprezintă o măsură necesară şi proporţională:
a)pentru a evita obstrucţionarea anchetelor, cercetărilor sau procedurilor oficiale sau legale;
b)pentru a evita compromiterea prevenirii, a descoperirii, a cercetării şi a urmăririi penale a infracţiunilor sau a executării pedepselor;
c)pentru a proteja securitatea publică;
d)pentru a proteja siguranţa naţională;
e)pentru a proteja persoana vizată sau drepturile şi a libertăţile celorlalţi.
(3)Orice refuz sau restricţionare a accesului se comunică în scris persoanei vizate. În acelaşi timp, trebuie comunicate persoanei vizate şi motivele de fapt sau de drept care au stat la baza deciziei. În cazul existenţei unui motiv în temeiul alineatului (2) literele (a)-(e), comunicarea menţionată poate lipsi. În toate aceste cazuri, persoana vizată este informată că poate înainta o plângere pe lângă autoritatea naţională de supraveghere competentă, pe lângă o autoritate judiciară sau unei curţi.
Art. 18: Dreptul la rectificare, ştergere sau blocare
(1)Persoana vizată are dreptul de a pretinde inspectorului să îşi îndeplinească obligaţiile în conformitate cu articolele 4, 8 şi 9 cu privire la rectificarea, ştergerea sau blocarea de date cu caracter personal prevăzute de prezenta decizie-cadru. Statele membre pot să stabilească dacă persoana vizată poate exercita acest drept în mod direct împotriva inspectorului sau prin intermediul autorităţii naţionale de supraveghere competente. În cazul în care inspectorul refuză rectificarea, ştergerea sau blocarea, refuzul trebuie comunicat în scris persoanei vizate, iar aceasta trebuie să fie informată în legătură cu posibilităţile prevăzute de legislaţia naţională pentru depunerea unei plângeri sau exercitarea unei căi de atac. După examinarea plângerii sau a căii de atac, persoana vizată este informată dacă inspectorul a acţionat sau nu corespunzător. Statele membre pot dispune, de asemenea, ca persoana vizată să fie informată de către autoritatea naţională de supraveghere competentă în legătură cu efectuarea revizuirii.
(2)În cazul în care exactitatea unor date cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu se poate stabili cu certitudine, acestora li se pot atribui referinţe.
Art. 19: Dreptul la compensaţie
(1)Orice persoană care a suferit prejudicii ca urmare a unei prelucrări nelegale sau a oricărei acţiuni incompatibile cu dispoziţiile legislaţiei naţionale adoptate în temeiul prezentei decizii-cadru are dreptul să obţină despăgubiri pentru prejudiciul suferit de la inspector sau de la o altă autoritate competentă conform legislaţiei naţionale.
(2)În cazul în care o autoritate competentă dintr-un stat membru a transmis date cu caracter personal, destinatarul nu poate invoca inexactitatea datelor furnizate drept motiv pentru a se sustrage răspunderii care îi revine faţă de partea vătămată în conformitate cu legislaţia naţională. În cazul în care destinatarul plăteşte despăgubiri pentru prejudiciile create ca urmare a utilizării unor date inexacte furnizate, autoritatea competentă care a transmis datele rambursează în totalitate destinatarului suma plătită ca despăgubiri, ţinând cont de orice eroare imputabilă destinatarului.
Art. 20: Căile de atac
Fără a aduce atingere niciunei căi de atac administrative care poate fi prevăzută anterior sesizării autorităţii judiciare, persoana vizată are dreptul la exercitarea unei căi de atac în cazul oricărei încălcări a drepturilor care îi sunt garantate prin legislaţia naţională aplicabilă.
Art. 21: Confidenţialitatea prelucrării
(1)Orice persoană care are acces la datele cu caracter personal aparţinând domeniului prezentei decizii-cadru poate prelucra datele respective numai dacă face parte sau dacă acţionează potrivit dispoziţiilor unei autorităţi competente, cu excepţia cazului în care există dispoziţii legale în acest sens.
(2)Persoanele cărora li se solicită să lucreze pentru o autoritate competentă a unui stat membru au obligaţia de a respecta toate normele pentru protecţia datelor care se aplică autorităţii competente în cauză.
Art. 22: Securitatea prelucrărilor
(1)Statele membre dispun aplicarea obligatorie de către autorităţile competente a unor măsuri tehnice şi organizatorice adecvate pentru protecţia datelor cu caracter personal împotriva distrugerii accidentale sau nelegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special în cazul în care prelucrarea presupune transmiterea datelor într-o reţea sau punerea la dispoziţie prin acordarea accesului direct automat, precum şi împotriva oricărei alte forme de prelucrare nelegală, având în vedere riscurile speciale pe care le prezintă prelucrarea datelor pentru care este necesară protecţia, precum şi natura acestora. Având în vedere cele mai noi tehnici din sector şi costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate corespunzător riscurilor pe care le prezintă prelucrarea datelor pentru care este necesară protecţia, precum şi natura acestor date.
(2)În ceea ce priveşte prelucrarea automatizată a datelor, fiecare stat membru pune în aplicare măsuri destinate:
a)să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor cu caracter personal (controlul accesului la echipamente);
b)să împiedice citirea, copierea, modificarea sau eliminarea suportului de date în mod neautorizat (controlul suportului de date);
c)să împiedice introducerea neautorizată de date şi inspectarea, modificarea sau ştergerea neautorizată a datelor cu caracter personal (controlul stocării);
d)să împiedice utilizarea sistemelor de prelucrare automatizată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul asupra utilizatorilor);
e)să asigure că persoanele autorizate care utilizează un sistem de prelucrare automatizată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);
f)să asigure posibilitatea verificării sau stabilirii identităţii autorităţilor cărora li s-au transmis sau li se pot transmite sau li se pun la dispoziţie date cu caracter personal cu ajutorul echipamentelor de comunicaţii pentru date (controlul asupra comunicaţiilor);
g)să asigure posibilitatea verificării sau stabilirii ulterioare a datelor cu caracter personal care au fost introduse în sisteme automatizate de prelucrarea datelor, precum şi a datei şi persoanei care a introdus datele (controlul asupra introducerii datelor);
h)să împiedice citirea, copierea, modificarea sau ştergerea neautorizate de date cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportului suporturilor de date (control asupra transportului);
i)să asigure posibilitatea repunerii în funcţiune a sistemelor instalate în cazul unei defecţiuni (recuperarea);
j)să asigure funcţionarea sistemului, raportarea incidenţei oricăror erori ale funcţiilor (fiabilitate) şi că nicio disfuncţionalitate a sistemului nu poate duce la coruperea datelor stocate (integritate).
(3)Statele membre dispun că operatorii de prelucrare pot fi desemnaţi numai în cazul în care aceştia garantează respectarea măsurilor tehnice şi organizaţionale în temeiul alineatului (1) şi respectarea instrucţiunilor în temeiul articolului 21. Autoritatea competentă monitorizează operatorul de prelucrare în acest sens.
(4)Datele cu caracter personal pot fi prelucrate de un operator de prelucrare doar în temeiul unui act juridic sau a unui contract scris.
Art. 23: Consultarea prealabilă
Statele membre asigură că autorităţile naţionale de supraveghere competente sunt consultate înainte de prelucrarea datelor cu caracter personal care vor face parte dintr-un nou sistem de evidenţă care urmează a fi creat, în cadrul căruia:
a)urmează a fi prelucrate categorii speciale de date menţionate la articolul 6, sau
b)tipul de prelucrare, în special cel care implică utilizarea de noi tehnologii, mecanisme sau proceduri, prezintă în caz contrar riscuri specifice pentru drepturile şi libertăţile fundamentale ale persoanei vizate, şi în special pentru viaţa privată a acesteia.
Art. 24: Sancţiuni
Statele membre adoptă măsurile corespunzătoare pentru a asigura aplicarea integrală a dispoziţiilor prezentei decizii-cadru şi, în special, stabilesc sancţiuni eficace, proporţionale şi disuasive, care urmează să fie aplicate în caz de încălcare a dispoziţiilor adoptate în temeiul prezentei decizii-cadru.
Art. 25: Autorităţile naţionale de supraveghere
(1)Fiecare stat membru dispune ca una sau mai multe dintre autorităţile publice să răspundă de informarea şi monitorizarea punerii în aplicare pe teritoriul său a dispoziţiilor adoptate de statele membre în conformitate cu decizia-cadru. Aceste autorităţi acţionează în deplină independenţă în exercitarea funcţiilor încredinţate lor.
(2)Fiecare autoritate este învestită, în special, cu următoarele:
a)competenţe de cercetare, competenţe de acces la datele care fac obiectul unei prelucrări şi competenţe de colectare a tuturor informaţiilor necesare pentru îndeplinirea atribuţiilor de supraveghere;
b)competenţe efective de intervenţie, cum ar fi, de exemplu, competenţa de a emite avize înainte ca operaţiunile de prelucrare să fie efectuate şi de a asigura publicarea corespunzătoare a acestor avize sau de a ordona blocarea, ştergerea sau distrugerea datelor, de a impune interdicţia temporară sau definitivă de prelucrare, de a adresa inspectorului un avertisment sau o mustrare sau de a sesiza parlamentele naţionale sau alte instituţii politice;
c)competenţa de a acţiona în justiţie, în cazul încălcării dispoziţiilor legislaţiei naţionale adoptate în temeiul prezentei decizii-cadru sau de a sesiza autorităţile judiciare cu privire la această încălcare. Deciziile autorităţilor de supraveghere care fac obiectul unor plângeri pot fi atacate în justiţie.
(3)Fiecare autoritate de supraveghere poate fi sesizată de orice persoană printr-o plângere privind protecţia drepturilor şi libertăţilor sale în ceea ce priveşte prelucrarea datelor cu caracter personal. Persoana vizată este informată asupra modului în care s-a soluţionat plângerea.
(4)Statele membre prevăd obligaţia care revine membrilor şi personalului autorităţii de supraveghere de a respecta dispoziţiile privind protecţia datelor cu caracter personal aplicabile respectivei autorităţi de supraveghere şi faptul că, chiar şi după încetarea activităţii acestora, acestora le revine obligaţia de a păstra secretul profesional în ceea ce priveşte informaţiile confidenţiale la care au acces.
Art. 26: Legătura cu acordurile încheiate cu state terţe
Prezenta decizie-cadru nu aduce atingere niciunei obligaţii şi niciunui angajament care revin statelor membre sau Uniunii în temeiul unor acorduri bilaterale şi/sau multilaterale cu state terţe, existente în momentul adoptării deciziei-cadru.
Pentru aplicarea acestor acorduri, transferul către un stat terţ a datelor cu caracter personal obţinute de la un alt stat membru se efectuează în conformitate cu articolul 13 alineatul (1) litera (c) şi, după caz, alineatul (2).
Art. 27: Evaluare
(1)Statele membre raportează Comisiei în legătură cu măsurile naţionale adoptate pentru a asigura deplina conformitate cu prezenta decizie-cadru şi, în special, cu privire la acele dispoziţii care trebuie să fie deja respectate la colectarea datelor, până la 27 noiembrie 2013. Comisia examinează cu precădere impactul dispoziţiei asupra domeniului de aplicare al prezentei decizii-cadru, prevăzut la articolul 1 alineatul (2).
(2)În termen de un an de la rezultatul evaluării menţionate la alineatul (1), Comisia prezintă un raport Parlamentului European şi Consiliului, raportul fiind însoţit de propuneri corespunzătoare de modificare a prezentei decizii-cadru.
Art. 28: Legătura cu actele anterioare adoptate de Uniune
Atunci când în actele adoptate în temeiul titlului VI din Tratatul privind Uniunea Europeană înaintea datei intrării în vigoare a prezentei decizii-cadru şi care reglementează schimbul de date cu caracter personal între statele membre sau accesul autorităţilor desemnate ale statelor membre la sistemele informatice instituite în temeiul Tratatului de instituire a Comunităţii Europene au fost introduse condiţii specifice privind utilizarea acestor date de către statul membru destinatar, aceste condiţii prevalează în faţa dispoziţiilor din prezenta decizie-cadru referitoare la utilizarea datelor primite sau puse la dispoziţie de către un alt stat membru.
Art. 29: Punerea în aplicare
(1)Statele membre iau măsurile necesare pentru a se conforma dispoziţiilor prezentei decizii-cadru până la 27 noiembrie 2010.
(2)Statele membre comunică, până la aceeaşi dată, Secretariatului General al Consiliului şi Comisiei textul dispoziţiilor care transpun în legislaţiile lor naţionale obligaţiile impuse prin prezenta decizie-cadru, precum şi informaţii privind desemnarea autorităţilor de supraveghere prevăzute la articolul 25. Pe baza unui raport întocmit de Comisie în temeiul acestor informaţii, Consiliul evaluează până la 27 noiembrie 2011 modul în care statele membre au luat măsurile necesare pentru a se conforma prezentei decizii-cadru.
Art. 30: Intrarea în vigoare
Prezenta decizie-cadru intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
-****-
Adoptată la Bruxelles, 27 noiembrie 2008.
Pentru Consiliu Preşedintele M. ALLIOT-MARIE |
Publicat în Jurnalul Oficial cu numărul 350L din data de 30 decembrie 2008