Capitolul xii - Prelucrarea datelor, protecţia datelor şi responsabilitatea - Regulamentul 1358/14-mai-2024 privind instituirea sistemului ''Eurodac'' pentru compararea datelor biometrice în scopul aplicării eficace a Regulamentelor (UE) 2024/1351 şi (UE) 2024/1350 ale Parlamentului European şi ale Consiliului şi a Directivei 2001/55/CE a Consiliului şi al identificării resortisanţilor din ţări terţe şi a apatrizilor în situaţie de şedere ilegală şi privind cererile de comparare cu datele Eurodac prezentate de autorităţile de aplicare a legii din statele membre şi de Europol cu scopul de a asigura respectarea legii, de modificare a Regulamentelor (UE) 2018/1240 şi (UE) 2019/818 ale Parlamentului European şi ale Consiliului şi de abrogare a Regulamentului (UE) nr. 603/2013 al Parlamentului European şi al Consiliului
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 25 Noiembrie 2025
CAPITOLUL XII:Prelucrarea datelor, protecţia datelor şi responsabilitatea
Art. 36: Responsabilitatea pentru prelucrarea datelor
(1)Statul membru de origine are responsabilitatea de a garanta că:
a)datele biometrice şi celelalte date menţionate la articolul 17 alineatele (1) şi (2), articolul 19 alineatul (1), articolul 21 alineatul (1), articolul 22 alineatele (2) şi (3), articolul 23 alineatele (2) şi (3), articolul 24 alineatele (2) şi (3) şi articolul 26 alineatul (2) sunt prelevate cu respectarea dispoziţiilor legale şi sunt transmise către Eurodac cu respectarea dispoziţiilor legale;
b)datele sunt corecte şi la zi atunci când sunt transmise către Eurodac;
c)fără a aduce atingere responsabilităţilor eu-LISA, datele din Eurodac sunt înregistrate, stocate, rectificate şi şterse cu respectarea dispoziţiilor legale;
d)rezultatele comparării datelor biometrice transmise de către Eurodac sunt prelucrate cu respectarea dispoziţiilor legale.
(2)Statul membru de origine asigură securitatea datelor menţionate la alineatul (1) de la prezentul articol înainte de transmiterea către Eurodac şi în timpul transmiterii, astfel cum se prevede la articolul 48, precum şi securitatea datelor pe care le primeşte de la Eurodac.
(3)Statul membru de origine răspunde de identificarea finală a datelor în temeiul articolului 38 alineatul (4).
(4)eu-LISA se asigură că Eurodac funcţionează, inclusiv în scop de testare, în conformitate cu prezentul regulament şi cu normele relevante ale Uniunii privind protecţia datelor. În special, eu-LISA:
a)adoptă măsuri astfel încât toate persoanele care lucrează cu Eurodac, inclusiv contractanţii, să prelucreze datele înregistrate în acesta numai în conformitate cu obiectivele Eurodac, astfel cum se prevede la articolul 1;
b)ia măsurile necesare pentru a asigura securitatea Eurodac în conformitate cu articolul 48;
c)se asigură că numai persoanele autorizate să lucreze cu Eurodac au acces la acesta, fără a aduce atingere competenţelor Autorităţii Europene pentru Protecţia Datelor.
eu-LISA informează Parlamentul European, Consiliul şi Autoritatea Europeană pentru Protecţia Datelor cu privire la măsurile pe care le ia în conformitate cu primul paragraf al prezentului alineat.
Art. 37: Transmiterea
(1)Datele biometrice şi alte date cu caracter personal se prelucrează digital şi se transmit în formatul de date stabilit în documentul convenit de control al interfeţei. În măsura în care este necesar pentru funcţionarea eficientă a Eurodac, eu-LISA stabileşte cerinţele tehnice referitoare la formatul de date care trebuie folosit pentru transmiterea datelor de către statele membre către Eurodac şi viceversa. eu-LISA se asigură că datele biometrice transmise de statele membre pot fi comparate de sistemul automat de recunoaştere a amprentelor digitale şi de recunoaştere facială.
(2)Statele membre transmit pe cale electronică datele menţionate la articolul 17 alineatele (1) şi (2), articolul 19 alineatul (1), articolul 21 alineatul (1), articolul 22 alineatele (2) şi (3), articolul 23 alineatele (2) şi (3), articolul 24 alineatele (2) şi (3) şi articolul 26 alineatul (2). Datele menţionate la articolul 17 alineatele (1) şi (2), articolul 19 alineatul (1), articolul 21 alineatul (1), articolul 22 alineatele (2) şi (3), articolul 23 alineatele (2) şi (3), articolul 24 alineatele (2) şi (3) şi articolul 26 alineatul (2) se înregistrează în mod automat în Eurodac. În măsura în care este necesar pentru funcţionarea eficientă a Eurodac, eu-LISA stabileşte cerinţele tehnice pentru ca datele să poată fi transmise în mod corespunzător pe cale electronică de statele membre către Eurodac şi viceversa.
(3)Statele membre se asigură că numărul de referinţă menţionat la articolul 17 alineatul (1) litera (k), articolul 19 alineatul (1) litera (k), articolul 21 alineatul (1) litera (k), articolul 22 alineatul (2) litera (k), articolul 23 alineatul (2) litera (k), articolul 24 alineatul (2) litera (k), articolul 26 alineatul (2) litera (k) şi articolul 32 alineatul (1) face posibilă corelarea fără echivoc a datelor cu o anumită persoană şi cu statul membru care le transmite; în plus, acesta permite să se indice dacă astfel de date se referă la o persoană astfel cum este menţionată la articolul 15 alineatul (1), articolul 18 alineatul (2), articolul 20 alineatul (1), articolul 22 alineatul (1), articolul 23 alineatul (1), articolul 24 alineatul (1) sau articolul 26 alineatul (1).
(4)Numărul de referinţă menţionat la alineatul (3) de la prezentul articol începe cu litera sau literele de identificare prin care se identifică statul membru care transmite datele. Litera sau literele de identificare sunt urmate de codul de identificare a categoriei de persoane sau de cerere. "1" pentru persoanele menţionate la articolul 15 alineatul (1), "2" pentru datele privind persoanele menţionate la articolul 22 alineatul (1), "3" pentru persoanele menţionate la articolul 23 alineatul (1), "4" pentru cererile menţionate la articolul 33, "5" pentru cererile menţionate la articolul 34, "6" pentru cererile menţionate la articolul 43, "7" pentru cererile menţionate la articolul 18, "8" pentru persoanele menţionate la articolul 20, "9" pentru persoanele menţionate la articolul 24 alineatul (1) şi "10" pentru persoanele menţionate la articolul 26 alineatul (1).
(5)eu-LISA stabileşte procedurile tehnice necesare pentru ca statele membre să asigure primirea de către Eurodac a unor date lipsite de ambiguitate.
(6)Eurodac confirmă primirea datelor transmise cât mai curând posibil. În acest scop, eu-LISA stabileşte cerinţele tehnice necesare pentru a se asigura că statele membre primesc confirmarea de primire, în cazul în care aceasta este cerută.
Art. 38: Compararea şi transmiterea rezultatelor
(1)Statele membre garantează transmiterea unor date biometrice de o calitate corespunzătoare în scopul comparării prin sistemul automat de recunoaştere a amprentelor digitale şi de recunoaştere facială. În măsura în care este necesar să se asigure că rezultatele comparării de către Eurodac ating un nivel foarte ridicat de acurateţe, eu-LISA stabileşte calitatea corespunzătoare a datelor biometrice transmise. Eurodac verifică, cât mai curând posibil, calitatea datelor biometrice transmise. În cazul în care datele biometrice nu pot fi folosite pentru comparare cu ajutorul sistemului automat de recunoaştere a amprentelor digitale şi de recunoaştere facială, Eurodac informează statul membru în cauză despre acest fapt. Statul membru în cauză transmite în consecinţă date biometrice de o calitate corespunzătoare, utilizând acelaşi număr de referinţă ca şi pentru setul anterior de date biometrice.
(2)Eurodac efectuează comparările în ordinea primirii cererilor. Fiecare cerere se prelucrează în 24 de ore de la primirea acesteia. Din motive legate de dreptul său intern, un stat membru poate cere în mod special să se efectueze comparări urgente în termen de o oră. Atunci când aceste termene nu pot fi respectate din cauza unor circumstanţe ce nu ţin de responsabilitatea eu-LISA, Eurodac prelucrează cu prioritate cererile respective de îndată ce respectivele circumstanţe încetează. În astfel de cazuri, în măsura în care este necesar pentru funcţionarea eficientă a Eurodac, eu-LISA stabileşte criteriile pentru a asigura prelucrarea cu prioritate a cererilor.
(3)În măsura în care este necesar pentru funcţionarea eficientă a Eurodac, eu-LISA stabileşte procedurile operaţionale pentru prelucrarea datelor primite şi pentru transmiterea rezultatului comparării.
(4)Atunci când este necesar, un expert în date dactiloscopice din statul membru de primire, astfel cum se defineşte în conformitate cu normele naţionale, care este anume instruit pentru a efectua tipurile de comparări de date dactiloscopice prevăzute în prezentul regulament, verifică de îndată rezultatul comparării datelor dactiloscopice efectuate în temeiul articolului 27.
În cazul în care, în urma comparării atât a datelor dactiloscopice, cât şi a datelor imaginii faciale cu datele înregistrate în baza de date centrală informatizată, Eurodac returnează un rezultat pozitiv privind amprentele digitale şi un rezultat pozitiv privind imaginea facială, statele membre pot verifica rezultatul comparării datelor imaginii faciale.
În scopul prevăzut la articolul 1 alineatul (1) literele (a), (b), (c) şi (j) din prezentul regulament, identificarea finală este făcută de statul membru de origine în cooperare cu celelalte state membre în cauză.
(5)Rezultatul comparării datelor imaginii faciale efectuate în temeiul articolului 27, în cazul obţinerii unui rezultat pozitiv exclusiv pe baza imaginii faciale, şi al articolului 28 este imediat controlat şi verificat în statul membru de primire de către un expert instruit în conformitate cu practica naţională.
În scopul prevăzut la articolul 1 alineatul (1) literele (a), (b), (c) şi (j) din prezentul regulament, identificarea finală este făcută de statul membru de origine în cooperare cu celelalte state membre în cauză.
Informaţiile primite de la Eurodac referitoare la alte date considerate a nu fi fiabile se şterg imediat ce se stabileşte lipsa de fiabilitate a datelor.
(6)În cazul în care identificarea finală în conformitate cu alineatele (4) şi (5) arată că rezultatul comparării primit de la Eurodac nu corespunde cu datele biometrice trimise pentru comparare, statele membre şterg imediat rezultatul comparării şi transmit acest lucru eu-LISA, cât mai curând posibil şi în cel mult trei zile lucrătoare de la primirea rezultatului, şi o informează cu privire la numărul de referinţă al statului membru de origine şi la numărul de referinţă al statului membru care a primit rezultatul.
Art. 39: Comunicarea dintre statele membre şi Eurodac
Datele transmise de statele membre către Eurodac şi viceversa folosesc infrastructura de comunicaţii. În măsura în care este necesar pentru funcţionarea eficientă a Eurodac, eu-LISA stabileşte procedurile tehnice necesare pentru folosirea infrastructurii de comunicaţii.
Art. 40: Accesul la datele înregistrate în Eurodac şi rectificarea sau ştergerea acestor date
(1)Statul membru de origine are acces la datele pe care le-a transmis şi care sunt înregistrate în Eurodac în conformitate cu prezentul regulament.
Stele membre nu efectuează căutări în datele transmise de un alt stat membru şi nici nu primesc astfel de date, cu excepţia datelor care rezultă din compararea prevăzută la articolele 27 şi 28.
(2)Autorităţile statelor membre care, în conformitate cu alineatul (1) de la prezentul articol, au acces la datele înregistrate în Eurodac sunt cele desemnate de fiecare stat membru în scopul prevăzut la articolul 1 alineatul (1) literele (a), (b), (c) şi (j). În cadrul acestei desemnări fiecare stat membru menţionează unitatea exactă responsabilă de îndeplinirea sarcinilor legate de aplicarea prezentului regulament. Fiecare stat membru comunică fără întârziere Comisiei şi eu-LISA o listă a acestor unităţi, precum şi orice modificări ale acesteia. eu-LISA publică lista consolidată în Jurnalul Oficial al Uniunii Europene. În cazul în care există modificări ale listei, eu-LISA publică online, o dată pe an, o listă consolidată actualizată.
(3)Numai statul membru de origine are dreptul de a modifica datele pe care le-a transmis Eurodac prin rectificarea sau completarea acestor date sau de a le şterge, fără a aduce atingere ştergerii realizate în temeiul articolului 29.
(4)Accesul în vederea consultării datelor Eurodac stocate în CIR se acordă personalului autorizat în mod corespunzător din cadrul autorităţilor naţionale din fiecare stat membru şi personalului autorizat în mod corespunzător din cadrul organelor Uniunii care dispun de competenţe în scopurile prevăzute la articolele 20 şi 21 din Regulamentul (UE) 2019/818. Accesul respectiv se limitează la ceea ce este necesar pentru îndeplinirea sarcinilor respectivelor autorităţi naţionale şi organe ale Uniunii şi pentru realizarea scopurilor respective şi este proporţional cu obiectivele urmărite.
(5)În cazul în care un stat membru sau eu-LISA are dovezi care sugerează că datele înregistrate în Eurodac conţin erori de fapt, acesta/aceasta informează statul membru de origine cât mai curând posibil, fără a aduce atingere notificării privind încălcarea securităţii datelor cu caracter personal în temeiul articolului 33 din Regulamentul (UE) 2016/679.
În cazul în care un stat membru are dovezi care sugerează că datele au fost înregistrate în Eurodac cu încălcarea prezentului regulament, acesta informează despre acest fapt eu-LISA, Comisia şi statul membru de origine cât mai curând posibil. Statul membru de origine verifică datele respective şi, dacă este necesar, le modifică sau le şterge fără întârziere.
(6)eu-LISA nu transferă şi nu pune la dispoziţia autorităţilor din nicio ţară terţă date înregistrate în Eurodac. Această interdicţie nu se aplică transferurilor de astfel de date către ţările terţe ce intră sub incidenţa Regulamentului (UE) 2024/1351.
Art. 41: Păstrarea evidenţelor
(1)eu-LISA păstrează evidenţe ale tuturor operaţiunilor de prelucrare a datelor în cadrul Eurodac. Aceste evidenţe arată scopul, data şi ora accesării, datele transmise, datele utilizate pentru interogare şi numele atât al unităţii care introduce sau care extrage datele, cât şi ale persoanelor responsabile.
(2)În sensul articolului 8 din prezentul regulament, eu-LISA păstrează evidenţe ale fiecărei operaţiuni de prelucrare a datelor efectuate în cadrul Eurodac. Evidenţele privind acest tip de operaţiuni includ elementele prevăzute la alineatul (1) de la prezentul articol şi rezultatele pozitive generate în cursul prelucrării automate prevăzute la articolul 20 din Regulamentul (UE) 2018/1240.
(3)În sensul articolului 10 din prezentul regulament, statele membre şi eu-LISA păstrează evidenţe ale fiecărei operaţiuni de prelucrare a datelor efectuate în cadrul Eurodac şi al VIS în conformitate cu prezentul articol şi cu articolul 34 din Regulamentul (CE) nr. 767/2008.
(4)Evidenţele menţionate la alineatul (1) de la prezentul articol pot fi folosite numai pentru controlul, din prisma protejării datelor, al admisibilităţii prelucrării datelor, precum şi pentru a se asigura securitatea datelor în temeiul articolului 46. Evidenţele se protejează prin măsuri corespunzătoare împotriva accesului neautorizat şi se şterg după o perioadă de un an de la expirarea perioadei de stocare menţionate la articolul 29, dacă nu sunt necesare pentru proceduri de control deja iniţiate.
(5)În scopurile prevăzute la articolul 1 alineatul (1) literele (a), (b), (c), (g), (h) şi (j), fiecare stat membru ia măsurile necesare în vederea realizării obiectivelor prevăzute la alineatele (1)-(4) de la prezentul articol în ceea ce priveşte sistemul său naţional. În plus, fiecare stat membru păstrează o evidenţă a personalului autorizat în mod corespunzător să introducă sau să extragă date.
Art. 42: Dreptul la informare
(1)Statul membru de origine informează o persoană care intră sub incidenţa articolului 15 alineatul (1), articolului 18 alineatele (1) şi (2), articolului 20 alineatul (1), articolului 22 alineatul (1), articolului 23 alineatul (1), articolului 24 alineatul (1) sau articolului 26 alineatul (1) din prezentul regulament, în scris şi, dacă este necesar, oral, într-o limbă pe care aceasta o înţelege sau despre care se poate presupune în mod rezonabil că o înţelege, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, cu privire la următoarele:
a)identitatea şi datele de contact ale operatorului în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679 şi ale reprezentantului acestuia, dacă există, şi cu privire la datele de contact ale responsabilului cu protecţia datelor;
b)datele de prelucrat în cadrul Eurodac şi temeiul juridic al prelucrării, inclusiv o descriere a obiectivelor Regulamentului (UE) 2024/1351, în conformitate cu articolul 19 din regulamentul respectiv, şi, dacă este cazul, a obiectivelor Regulamentului (UE) 2024/1350, şi o explicaţie formulată inteligibil referitoare la faptul că Eurodac poate fi accesat de către statele membre şi Europol în scopul asigurării respectării aplicării legii;
c)în ceea ce priveşte o persoană care intră sub incidenţa articolului 15 alineatul (1), articolului 22 alineatul (1), articolului 23 alineatul (1) sau articolului 24 alineatul (1), faptul că, în cazul în care un control de securitate, astfel cum se menţionează la articolul 17 alineatul (2) litera (i), la articolul 22 alineatul (3) litera (d), la articolul 23 alineatul (3) litera (e) şi la articolul 24 alineatul (3) litera (f), arată că aceasta ar putea reprezenta o ameninţare pentru securitatea internă, statul membru de origine este obligat să înregistreze acest fapt în Eurodac;
d)destinatarii datelor sau categoriile de destinatari ai datelor, după caz;
e)în ceea ce priveşte o persoană care intră sub incidenţa articolului 15 alineatul (1), articolului 18 alineatele (1) şi (2), articolului 20 alineatul (1), articolului 22 alineatul (1), articolului 23 alineatul (1), articolului 24 alineatul (1) sau articolului 26 alineatul (1), obligaţia de a i se preleva datele biometrice şi procedura relevantă, inclusiv posibilele implicaţii ale nerespectării respectivei obligaţii;
f)perioada de stocare a datelor în temeiul articolului 29;
g)existenţa dreptului de a solicita operatorului accesul la datele care o privesc, precum şi dreptul de a solicita rectificarea datelor cu caracter personal inexacte, completarea datelor cu caracter personal incomplete sau ştergerea datelor cu caracter personal prelucrate în mod ilegal care privesc persoana vizată ori restricţionarea prelucrării acestora, precum şi dreptul de a primi informaţii cu privire la procedurile pentru exercitarea acestor drepturi, inclusiv datele de contact ale operatorului şi ale autorităţilor menţionate la articolul 44 alineatul (1);
h)dreptul de a depune o plângere la autoritatea de supraveghere.
(2)În cazul unei persoane care intră sub incidenţa articolului 15 alineatul (1), articolului 18 alineatele (1) şi (2), articolului 20 alineatul (1), articolului 22 alineatul (1), articolului 23 alineatul (1), articolului 24 alineatul (1) şi articolului 26 alineatul (1), informaţiile menţionate la alineatul (1) de la prezentul articol îi sunt furnizate la momentul prelevării datelor sale biometrice.
În cazul în care persoana care intră sub incidenţa articolului 15 alineatul (1), articolului 18 alineatele (1) şi (2), articolului 20 alineatul (1), articolului 22 alineatul (1), articolului 23 alineatul (1), articolului 24 alineatul (1) şi articolului 26 alineatul (1) este minoră, informaţiile se furnizează într-un mod adaptat vârstei acesteia.
Procedura de prelevare a datelor biometrice se explică minorilor prin utilizarea de broşuri, grafice informative sau demonstraţii, ori a unei combinaţii a oricărora dintre cele trei tipuri de instrumente, după caz, concepute special astfel încât să se asigure că minorii înţeleg respectiva procedură.
(3)O broşură comună, care conţine cel puţin informaţiile menţionate la alineatul (1) de la prezentul articol şi informaţiile menţionate la articolul 19 alineatul (1) din Regulamentul (UE) 2024/1351, se elaborează în conformitate cu procedura prevăzută la articolul 77 alineatul (2) din regulamentul menţionat.
Broşura este redactată clar şi simplu, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă şi într-o limbă pe care persoana o înţelege sau despre care s-ar putea presupune în mod rezonabil că o înţelege.
Broşura se întocmeşte astfel încât să permită statelor membre să o completeze cu informaţii suplimentare specifice statelor membre. Aceste informaţii specifice statelor membre includ cel puţin măsurile administrative pentru a asigura respectarea obligaţiei de a furniza date biometrice, drepturile persoanelor vizate, posibilitatea de a primi informaţii şi asistenţă din partea autorităţilor naţionale de supraveghere, datele de contact ale biroului operatorului şi ale responsabilului cu protecţia datelor şi datele de contact ale autorităţilor naţionale de supraveghere.
Art. 43: Dreptul de accesare, rectificare, completare, ştergere a datelor cu caracter personal şi de restricţionare a prelucrării acestora
(1)În scopurile prevăzute la articolul 1 alineatul (1) literele (a), (b), (c) şi (j) din prezentul regulament, drepturile persoanelor vizate de a accesa, rectifica, completa şi şterge datele cu caracter personal, precum şi de a restricţiona prelucrarea acestora se exercită în conformitate cu capitolul III din Regulamentul (UE) 2016/679 şi se aplică astfel cum se prevede la prezentul articol.
(2)Dreptul de acces al persoanelor vizate în fiecare stat membru include dreptul de a obţine comunicarea datelor care le privesc înregistrate în Eurodac, inclusiv orice înregistrare care arată că persoana ar putea reprezenta o ameninţare pentru securitatea internă, precum şi a identităţii statului membru care le-a transmis către Eurodac în condiţiile prevăzute în Regulamentul (UE) 2016/679 şi în dreptul intern adoptat în temeiul acestuia. Acest acces la datele cu caracter personal poate fi acordat numai de un stat membru.
Atunci când drepturile de rectificare şi de ştergere ale datelor cu caracter personal sunt exercitate în alt stat membru decât cel sau cele care au transmis datele, autorităţile acelui stat membru contactează autorităţile statului membru sau ale statelor membre care au transmis datele, astfel încât acesta/acestea să poată verifica acurateţea datelor şi legalitatea transmiterii lor şi a înregistrării în Eurodac.
(3)În ceea ce priveşte o înregistrare care arată că persoana ar putea reprezenta o ameninţare pentru securitatea internă, statele membre pot restricţiona drepturile persoanei vizate menţionate la prezentul articol, în conformitate cu articolul 23 din Regulamentul (UE) 2016/679.
(4)Dacă se constată că datele înregistrate în Eurodac conţin erori de fapt sau că au fost înregistrate ilegal, statul membru care le-a transmis rectifică sau şterge datele în conformitate cu articolul 40 alineatul (3). Respectivul stat membru confirmă în scris persoanei vizate că au fost luate măsuri pentru rectificarea, completarea sau ştergerea datelor cu caracter personal care o privesc ori pentru restricţionarea prelucrării acestora.
(5)Dacă statul membru care a transmis datele nu este de acord că datele înregistrate în Eurodac conţin erori de fapt sau au fost înregistrate ilegal, acesta explică în scris persoanei vizate de ce nu intenţionează să rectifice sau să şteargă datele.
Totodată, respectivul stat membru furnizează persoanei vizate informaţii care explică măsurile ce pot fi luate dacă aceasta nu acceptă explicaţia primită. Acestea includ informaţii cu privire la modalitatea de a iniţia o cale de atac sau, după caz, de a depune o plângere în faţa autorităţilor sau instanţelor judecătoreşti competente ale statului membru respectiv şi cu privire la orice formă de asistenţă financiară sau de alt tip care este pusă la dispoziţie în conformitate cu actele cu putere de lege, normele administrative şi procedurile statului membru respectiv.
(6)Orice cerere în temeiul alineatelor (1) şi (2) de accesare, rectificare, completare sau ştergere a datelor cu caracter personal ori de restricţionare a prelucrării acestora conţine toate elementele necesare pentru identificarea persoanei vizate, inclusiv datele biometrice. Aceste date sunt folosite exclusiv pentru a permite exercitarea drepturilor persoanei vizate prevăzute la alineatele (1) şi (2) şi se şterg apoi imediat.
(7)Autorităţile competente ale statelor membre cooperează activ pentru a asigura respectarea drepturilor persoanei vizate de accesare, rectificare, completare, ştergere a datelor cu caracter personal şi de restricţionare a prelucrării acestora.
(8)Atunci când o persoană solicită accesul la date care o privesc, autoritatea competentă păstrează evidenţa acestor cereri sub forma unui document scris care atestă introducerea unei astfel de cereri şi modul în care a fost tratată şi pune de îndată acest document la dispoziţia autorităţilor naţionale de supraveghere.
(9)Autoritatea naţională de supraveghere a statului membru care a transmis datele şi autoritatea naţională de supraveghere a statului membru în care se află persoana vizată îi furnizează acesteia, la cerere, informaţii privind exercitarea drepturilor sale de a solicita operatorului de date acces la datele cu caracter personal care o privesc, precum şi de a solicita ca respectivele date să fie rectificate, completate sau şterse ori ca prelucrarea lor să fie restricţionată. Autorităţile de supraveghere cooperează în conformitate cu capitolul VII din Regulamentul (UE) 2016/679.
Art. 44: Supravegherea de către autorităţile naţionale de supraveghere
(1)Fiecare stat membru se asigură că autoritatea sau autorităţile sale de supraveghere, astfel cum se menţionează la articolul 51 alineatul (1) din Regulamentul (UE) 2016/679, monitorizează legalitatea prelucrării datelor cu caracter personal de către statul membru în cauză în scopurile prevăzute la articolul 1 alineatul (1) literele (a), (b), (c) şi (j) din prezentul regulament, inclusiv transmiterea acestora către Eurodac.
(2)Fiecare stat membru se asigură că autoritatea sa de supraveghere beneficiază de consiliere din partea unor persoane cu suficiente cunoştinţe în domeniul datelor biometrice.
Art. 45: Supravegherea de către Autoritatea Europeană pentru Protecţia Datelor
(1)Autoritatea Europeană pentru Protecţia Datelor se asigură că toate activităţile de prelucrare a datelor cu caracter personal privind Eurodac, în special cele desfăşurate de eu-LISA, sunt efectuate în conformitate cu Regulamentul (UE) 2018/1725 şi cu prezentul regulament.
(2)Autoritatea Europeană pentru Protecţia Datelor garantează că, cel puţin o dată la trei ani, se realizează un audit al activităţilor de prelucrare a datelor cu caracter personal desfăşurate de eu-LISA, în conformitate cu normele internaţionale de audit. Un raport al acestor audituri se trimite Parlamentului European, Consiliului, Comisiei, eu-LISA şi autorităţilor naţionale de supraveghere. eu-LISA are posibilitatea de a face observaţii înainte de adoptarea raportului.
Art. 46: Cooperarea dintre autorităţile naţionale de supraveghere şi Autoritatea Europeană pentru Protecţia Datelor
(1)În conformitate cu articolul 62 din Regulamentul (UE) 2018/1725, autorităţile naţionale de supraveghere şi Autoritatea Europeană pentru Protecţia Datelor, acţionând fiecare în conformitate cu propriile sale competenţe, cooperează activ în cadrul responsabilităţilor lor şi asigură supravegherea coordonată a Eurodac.
(2)Statele membre iau măsurile necesare pentru ca un organism independent să efectueze, în fiecare an, un audit al prelucrării datelor cu caracter personal în scopul asigurării respectării legii, în conformitate cu articolul 47 alineatul (1), inclusiv o analiză a unui eşantion de cereri motivate în format electronic.
Auditul se ataşează la raportul anual al statelor membre menţionat la articolul 57 alineatul (8).
(3)Autorităţile naţionale de supraveghere şi Autoritatea Europeană pentru Protecţia Datelor, acţionând în conformitate cu propriile lor competenţe, fac schimb de informaţii relevante, se asistă reciproc în realizarea activităţilor de audit şi a inspecţiilor, examinează dificultăţile legate de interpretarea sau de aplicarea prezentului regulament, analizează problemele legate de exercitarea supravegherii independente sau a drepturilor persoanelor vizate, formulează propuneri armonizate în vederea găsirii unor soluţii comune la probleme de orice fel şi promovează sensibilizarea în ceea ce priveşte drepturile în materie de protecţie a datelor, după caz.
(4)În sensul alineatului (3), autorităţile naţionale de supraveghere şi Autoritatea Europeană pentru Protecţia Datelor se reunesc cel puţin de două ori pe an în cadrul Comitetului european pentru protecţia datelor. Costurile aferente reuniunilor şi organizarea acestora sunt în sarcina Comitetului european pentru protecţia datelor. Regulamentul de procedură al reuniunilor se adoptă cu ocazia primei astfel de reuniuni. Metodele de lucru suplimentare sunt elaborate de comun acord, dacă este necesar. Din doi în doi ani, Comitetul european pentru protecţia datelor transmite Parlamentului European, Consiliului şi Comisiei un raport comun de activitate. Acest raport include un capitol despre fiecare stat membru, elaborat de autoritatea naţională de supraveghere a statului membru respectiv.
Art. 47: Protejarea datelor cu caracter personal în scopul asigurării respectării legii
(1)Autoritatea sau autorităţile de supraveghere ale fiecărui stat membru menţionate la articolul 41 alineatul (1) din Directiva (UE) 2016/680 monitorizează legalitatea prelucrării datelor cu caracter personal în temeiul prezentului regulament de către statele membre în scopul asigurării respectării legii, inclusiv transmiterea acestora către şi din Eurodac.
(2)Prelucrarea datelor cu caracter personal de către Europol în temeiul prezentului regulament se realizează în conformitate cu Regulamentul (UE) 2016/794 şi este supravegheată de Autoritatea Europeană pentru Protecţia Datelor.
(3)Datele cu caracter personal obţinute în temeiul prezentului regulament din Eurodac în scopul asigurării respectării legii sunt prelucrate doar în scopul prevenirii, depistării sau investigării cazului specific pentru care au fost solicitate datele de către statul membru respectiv sau de către Europol.
(4)Fără a aduce atingere articolului 24 din Directiva (UE) 2016/680, Eurodac, autorităţile desemnate, autorităţile de control şi Europol păstrează evidenţe ale căutărilor, pentru a permite autorităţilor naţionale supraveghere şi Autorităţii Europene pentru Protecţia Datelor să monitorizeze respectarea normelor Uniunii privind protecţia datelor în cadrul prelucrării datelor, inclusiv în scopul păstrării evidenţelor în vederea redactării rapoartelor anuale menţionate la articolul 57 alineatul (8) din prezentul regulament. În afara scopurilor menţionate mai sus, datele cu caracter personal, precum şi evidenţele căutărilor, sunt şterse din toate dosarele naţionale şi dosarele Europol după o perioadă de o lună, cu excepţia cazului în care datele sunt necesare în scopurile investigaţiilor penale specifice în curs pentru care au fost solicitate de către statul membru respectiv sau de către Europol.
Art. 48: Securitatea datelor
(1)Statul membru de origine asigură securitatea datelor înainte şi în timpul transmiterii acestora către Eurodac.
(2)În legătură cu toate datele prelucrate de autorităţile sale competente în conformitate cu prezentul regulament, fiecare stat membru adoptă măsurile necesare, care cuprind şi un plan de securitate a datelor, pentru:
a)a proteja fizic datele, inclusiv prin elaborarea de planuri de rezervă pentru protejarea infrastructurii critice;
b)a refuza accesul persoanelor neautorizate la echipamentul de prelucrare a datelor şi în instalaţiile naţionale în care statul membru desfăşoară operaţiuni în conformitate cu scopurile Eurodac (controlul accesului la echipamente şi verificări la intrarea în instalaţia respectivă);
c)a împiedica citirea, copierea, modificarea sau eliminarea neautorizată a suporturilor de date (controlul suporturilor de date);
d)a împiedica introducerea neautorizată de date şi inspectarea, modificarea sau ştergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);
e)a împiedica utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul utilizatorului);
f)a împiedica prelucrarea neautorizată de date în Eurodac, precum şi modificările sau ştergerile neautorizate ale datelor înregistrate în Eurodac (controlul introducerii datelor);
g)a asigura faptul că persoanele autorizate să acceseze Eurodac au acces numai la datele prevăzute de autorizaţia lor de acces, prin utilizarea unor identităţi de utilizator individuale şi unice şi cu folosirea exclusivă a unor moduri confidenţiale de acces (controlul accesului la date);
h)a asigura faptul că toate autorităţile cu drept de acces la Eurodac creează profiluri care descriu funcţiile şi responsabilităţile persoanelor autorizate să aibă acces la date, să le introducă, să le actualizeze, să le şteargă şi să efectueze căutări în date, precum şi că aceste profiluri, ca orice alte informaţii relevante pe care autorităţile le-ar putea solicita în scopul supravegherii, sunt puse, fără întârziere, la dispoziţia autorităţilor naţionale de supraveghere menţionate la articolul 51 din Regulamentul (UE) 2016/679 şi la articolul 41 din Directiva (UE) 2016/680, la cererea acestora (profiluri ale membrilor personalului);
i)a asigura posibilitatea de a verifica şi de a stabili care sunt organismele cărora le pot fi transmise datele cu caracter personal prin utilizarea echipamentelor de comunicare a datelor (controlul comunicării);
j)a asigura posibilitatea de a verifica şi de a stabili ce date au fost prelucrate în Eurodac, în ce moment, de către cine şi cu ce scop (controlul înregistrării datelor);
k)a împiedica citirea, copierea, modificarea sau eliminarea neautorizată a datelor cu caracter personal pe durata transmiterii acestora către sau din Eurodac sau în timpul transportului suporturilor de date, în special prin intermediul tehnicilor de criptare corespunzătoare (controlul transportului);
l)a asigura posibilitatea restabilirii funcţionării sistemelor instalate, în cazul unei întreruperi (recuperarea);
m)a asigura îndeplinirea funcţiilor Eurodac, raportarea defecţiunilor de funcţionare (fiabilitate) şi imposibilitatea coruperii datelor cu caracter personal stocate din cauza funcţionării defectuoase a sistemului (integritate); şi
n)a monitoriza eficacitatea măsurilor de securitate prevăzute la acest alineat şi a lua măsurile de organizare necesare referitoare la supravegherea internă, pentru a asigura respectarea prevederilor prezentului regulament (audit intern) şi a detecta automat, în termen de 24 de ore, orice evenimente relevante rezultate din aplicarea măsurilor enumerate la literele (b)-(k) care ar putea indica producerea unui incident legat de securitate.
(3)Statele membre şi Europol informează eu-LISA cu privire la incidentele de securitate legate de Eurodac detectate în sistemele lor fără a aduce atingere notificării şi comunicării unei încălcări a securităţii datelor cu caracter personal în temeiul articolelor 33 şi 34 din Regulamentul (UE) 2016/679 şi al articolelor 30 şi 31 din Directiva (UE) 2016/680, precum şi al articolelor 34 şi 35 din Regulamentul (UE) 2016/794. eu-LISA informează statele membre, Europol şi Autoritatea Europeană pentru Protecţia Datelor, fără întârzieri nejustificate, despre incidentele de securitate legate de Eurodac detectate în sistemele lor, fără a aduce atingere articolelor 34 şi 35 din Regulamentul (UE) 2018/1725. Statele membre în cauză, eu-LISA şi Europol colaborează pe durata incidentului legat de securitate.
(4)eu-LISA ia măsurile necesare în vederea realizării obiectivelor stabilite la alineatul (2) de la prezentul articol în ceea ce priveşte funcţionarea Eurodac, incluzând adoptarea unui plan de securitate a datelor.
Înainte de începerea utilizării operaţionale a Eurodac, cadrul de securitate pentru mediul tehnic şi de operarea al Eurodac se actualizează, în conformitate cu articolul 33 din Regulamentul (UE) 2018/1725.
(5)Agenţia Uniunii Europene pentru Azil ia măsurile necesare în scopul punerii în aplicare a articolului 18 alineatul (4), incluzând adoptarea unui plan de securitate a datelor, astfel cum se menţionează la alineatul (2) de la prezentul articol.
Art. 49: Interzicerea transferurilor de date către ţări terţe, organizaţii internaţionale sau entităţi private
(1)Datele cu caracter personal obţinute de un stat membru sau de Europol de la Eurodac în temeiul prezentului regulament nu se transferă şi nu se pun la dispoziţia niciunei ţări terţe, organizaţii internaţionale sau entităţi private stabilite în Uniune sau în afara acesteia. Această interdicţie se aplică şi în cazul în care datele respective sunt prelucrate ulterior în sensul articolului 4 punctul 2 din Regulamentul (UE) 2016/679 şi al articolului 3 punctul 2 din Directiva (UE) 2016/680, la nivel naţional sau între statele membre.
(2)Datele cu caracter personal care provin dintr-un stat membru şi care fac obiectul unui schimb între statele membre în urma unui rezultat pozitiv obţinut în scopul asigurării respectării legii nu se transmit ţărilor terţe dacă există un risc real ca, în urma unui astfel de transfer, persoana vizată să fie supusă torturii, unor tratamente sau pedepse inumane şi degradante sau oricăror alte încălcări ale drepturilor sale fundamentale.
(3)Datele cu caracter personal care provin dintr-un stat membru şi care fac obiectul unui schimb între un stat membru şi Europol în urma unui rezultat pozitiv obţinut în scopul asigurării respectării legii nu se transmit ţărilor terţe dacă există un risc real ca, în urma unui astfel de transfer, persoana vizată să fie supusă torturii, unor tratamente sau pedepse inumane şi degradante sau oricăror alte încălcări ale drepturilor sale fundamentale. În plus, transferurile se efectuează numai atunci când sunt necesare şi proporţionale în cazurile care ţin de competenţa Europol, în conformitate cu capitolul V din Regulamentul (UE) 2016/794 şi sub rezerva consimţământului statului membru de origine.
(4)Niciunei ţări terţe nu i se comunică nicio informaţie despre faptul că s-a prezentat o cerere de protecţie internaţională sau că o persoană a făcut obiectul unei proceduri de admisie într-un stat membru, în ceea ce priveşte persoane menţionate la articolul 15 alineatul (1), articolul 18 alineatele (1) şi (2) sau articolul 20 alineatul (1).
(5)Interdicţiile prevăzute la alineatele (1) şi (2) de la prezentul articol nu aduc atingere dreptului statelor membre de a transfera aceste date în conformitate cu capitolul V din Regulamentul (UE) 2016/679 sau cu normele naţionale adoptate în temeiul capitolului V din Directiva (UE) 2016/680, după caz, către ţările terţe cărora li se aplică Regulamentul (UE) 2024/1351.
Art. 50: Transferul datelor către ţările terţe în scopul returnării
(1)Prin derogare de la articolul 49, datele cu caracter personal referitoare la persoane menţionate la articolul 15 alineatul (1), articolul 18 alineatul (2) litera (a), articolul 20 alineatul (1), articolul 22 alineatul (2), articolul 23 alineatul (1), articolul 24 alineatul (1) şi articolul 26 alineatul (1) obţinute de un stat membru în urma unui rezultat pozitiv în scopurile prevăzute la articolul 1 alineatul (1) litera (a), (b), (c) sau (j) pot fi transferate sau puse la dispoziţia unei ţări terţe cu acordul statului membru de origine.
(2)Transferul datelor către o ţară terţă în temeiul alineatului (1) de la prezentul articol se efectuează în conformitate cu dispoziţiile relevante ale dreptului Uniunii, în special dispoziţiile privind protecţia datelor, inclusiv capitolul V din Regulamentul (UE) 2016/679, şi, după caz, cu acordurile de readmisie, precum şi cu dreptul intern al statului membru care transferă datele.
(3)Transferurile de date către o ţară terţă în temeiul alineatului (1) au loc numai dacă au fost îndeplinite următoarele condiţii:
a)datele sunt transferate sau puse la dispoziţie exclusiv în scopul identificării unui resortisant al unei ţări terţe aflat în situaţie de şedere ilegală şi în scopul emiterii unui document de identificare sau de călătorie pentru acesta, în scopul returnării; şi
b)resortisantul ţării terţe în cauză a fost informat că datele cu caracter personal care îl privesc pot fi transmise autorităţilor ţării terţe respective.
(4)Punerea în aplicare a Regulamentului (UE) 2016/679, inclusiv sub aspectul transferului de date cu caracter personal către ţări terţe în temeiul prezentului articol, şi, îndeosebi, utilizarea, proporţionalitatea şi caracterul necesar al transferurilor bazate pe articolul 49 alineatul (1) litera (d) din respectivul regulament fac obiectul monitorizării de către autoritatea independentă de supraveghere instituită în temeiul capitolului VI din Regulamentul (UE) 2016/679.
(5)Transferurile de date cu caracter personal către ţări terţe în temeiul prezentului articol nu aduc atingere drepturilor persoanelor menţionate la articolul 15 alineatul (1), articolul 18 alineatul (2) litera (a), articolul 20 alineatul (1), articolul 22 alineatul (2), articolul 23 alineatul (1), articolul 24 alineatul (1) şi articolul 26 alineatul (1) din prezentul regulament, în special în ceea ce priveşte nereturnarea sau interdicţia de a divulga sau de a obţine informaţii în conformitate cu articolul 7 din Regulamentul (UE) 2024/1348.
(6)O ţară terţă nu are acces direct la Eurodac pentru a compara sau a transmite date biometrice sau orice alte date cu caracter personal ale unui resortisant al unei ţări terţe sau ale unui apatrid şi nu beneficiază de acces la Eurodac prin intermediul unui punct de acces naţional al unui stat membru.
Art. 51: Înregistrare şi documentare
(1)Statele membre şi Europol se asigură că toate operaţiunile de prelucrare a datelor care rezultă din cererile de comparare cu datele Eurodac în scopul asigurării respectării legii sunt înregistrate sau documentate pentru a verifica admisibilitatea cererii, pentru a monitoriza legalitatea prelucrării datelor, precum şi integritatea şi securitatea acestora, şi în scopul supravegherii interne.
(2)Înregistrarea sau documentarea trebuie să indice, în toate cazurile:
a)scopul exact al cererii de comparare, inclusiv tipul de infracţiune de terorism sau de altă infracţiune gravă care este avut în vedere, iar, pentru Europol, scopul exact al cererii de comparare;
b)motivele întemeiate invocate în conformitate cu articolul 33 alineatul (1) litera (a) din prezentul regulament pentru a nu efectua comparări cu alte state membre în temeiul Deciziei 2008/615/JAI;
c)numărul dosarului naţional;
d)data şi ora exactă a cererii de comparare înaintate de punctul de acces naţional către Eurodac;
e)denumirea autorităţii care a solicitat accesul în vederea comparării şi persoana responsabilă care a introdus cererea şi a prelucrat datele;
f)după caz, utilizarea procedurii de urgenţă prevăzute la articolul 32 alineatul (4) şi decizia luată cu privire la verificarea ex post;
g)datele utilizate pentru comparare;
h)în conformitate cu normele naţionale sau cu Regulamentul (UE) 2016/794, datele de identificare ale funcţionarului care a efectuat căutarea şi ale funcţionarului care a dispus căutarea sau furnizarea;
i)după caz, o menţiune privind utilizarea portalului european de căutare pentru a lansa interogări în Eurodac astfel cum se menţionează la articolul 7 alineatul (2) din Regulamentul (UE) 2019/818.
(3)Înregistrările şi documentaţia sunt folosite doar pentru a monitoriza legalitatea prelucrării datelor şi pentru a garanta integritatea şi securitatea datelor. Înregistrările care conţin date cu caracter personal nu se utilizează pentru monitorizarea şi evaluarea menţionate la articolul 57.
Autorităţile naţionale de supraveghere responsabile de verificarea admisibilităţii cererii şi de monitorizarea legalităţii prelucrării datelor, precum şi a integrităţii şi securităţii datelor, au acces la aceste înregistrări, la cerere, în scopul îndeplinirii sarcinilor care le revin.
Art. 52: Răspunderea
(1)Orice persoană sau stat membru care a suferit un prejudiciu material sau nematerial ca rezultat al unei operaţiuni de prelucrare ilegală sau al unui act incompatibil cu prezentul regulament are dreptul la despăgubire din partea statului membru răspunzător de prejudiciul suferit sau din partea eu-LISA, dacă este răspunzătoare de prejudiciul suferit şi în măsura în care nu şi-a îndeplinit obligaţiile prevăzute în prezentul regulament care îi revin în mod specific sau în cazul în care a acţionat în afara sau contrar instrucţiunilor legale ale statului membru respectiv. Statul membru răspunzător sau eu-LISA este exonerată de responsabilitate, integral sau parţial, dacă dovedeşte că faptul care a cauzat prejudiciul nu îi este imputabil în niciun fel.
(2)În cazul în care un stat membru nu îşi îndeplineşte obligaţiile în conformitate cu prezentul regulament, cauzând astfel prejudicii pentru Eurodac, respectivul stat membru este considerat răspunzător de aceste prejudicii, cu excepţia cazului şi în măsura în care eu-LISA sau un alt stat membru nu a luat măsurile necesare pentru a preveni cauzarea prejudiciului sau pentru a-i minimiza impactul.
(3)Acţiunile în despăgubiri împotriva unui stat membru pentru prejudiciile menţionate la alineatele (1) şi (2) de la prezentul articol sunt reglementate de dispoziţiile de drept intern ale statului membru pârât în conformitate cu articolele 79 şi 80 din Regulamentul (UE) 2016/679 şi cu articolele 54 şi 55 din Directiva (UE) 2016/680. Acţiunile în despăgubiri împotriva eu-LISA pentru prejudiciile menţionate la alineatele (1) şi (2) de la prezentul articol intră sub incidenţa condiţiilor prevăzute în tratate.