Capitolul vi - AUTORITATEA EUROPEANĂ PENTRU PROTECŢIA DATELOR - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
CAPITOLUL VI:AUTORITATEA EUROPEANĂ PENTRU PROTECŢIA DATELOR
Art. 52: Autoritatea Europeană pentru Protecţia Datelor
(1)Se instituie prin prezenta Autoritatea Europeană pentru Protecţia Datelor.
(2)În ceea ce priveşte prelucrarea datelor cu caracter personal, Autoritatea Europeană pentru Protecţia Datelor răspunde de asigurarea respectării de către instituţiile şi organele Uniunii a drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi, în special, a dreptului acestora la protecţia datelor.
(3)Autoritatea Europeană pentru Protecţia Datelor răspunde de monitorizarea şi asigurarea aplicării dispoziţiilor prezentului regulament şi a oricărui alt act al Uniunii referitor la protecţia drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal efectuată de către o instituţie sau un organ al Uniunii, precum şi de consilierea instituţiilor şi organelor Uniunii şi a persoanelor vizate cu privire la toate aspectele legate de prelucrarea de date cu caracter personal. În aceste scopuri, Autoritatea Europeană pentru Protecţia Datelor îndeplineşte sarcinile prevăzute la articolul 57 şi exercită competenţele care i-au fost conferite prin articolul 58.
(4)Regulamentul (CE) nr. 1049/2001 se aplică documentelor deţinute de Autoritatea Europeană pentru Protecţia Datelor. Autoritatea Europeană pentru Protecţia Datelor adoptă norme detaliate pentru aplicarea Regulamentului (CE) nr. 1049/2001 cu privire la documentele respective.
Art. 53: Numirea Autorităţii Europene pentru Protecţia Datelor
(1)Parlamentul European şi Consiliul numesc de comun acord Autoritatea Europeană pentru Protecţia Datelor pentru un mandat de cinci ani, pe baza unei liste întocmite de Comisie în urma unui anunţ public de depunere a candidaturilor. Anunţul de depunere a candidaturilor le permite tuturor părţilor interesate din întreaga Uniune să-şi prezinte candidatura. Lista candidaţilor întocmită de Comisie este publică şi conţine cel puţin trei candidaţi. Pe baza listei întocmite de Comisie, comisia competentă a Parlamentului European poate decide organizarea unei audieri care să îi permită să îşi exprime preferinţa pentru un candidat.
(2)Lista candidaţilor menţionată la alineatul (1) este alcătuită din personalităţi care oferă toate garanţiile de independenţă şi care posedă cunoştinţe de specialitate în domeniul protecţiei datelor, precum şi experienţa şi competenţele necesare îndeplinirii atribuţiilor de Autoritate Europeană pentru Protecţia Datelor.
(3)Mandatul Autorităţii Europene pentru Protecţia Datelor poate fi reînnoit o singură dată.
(4)Atribuţiile Autorităţii Europene Pentru Protecţia Datelor încetează în următoarele situaţii:
a)dacă Autoritatea Europeană pentru Protecţia Datelor este înlocuită;
b)dacă Autoritatea Europeană pentru Protecţia Datelor demisionează;
c)în cazul în care Autoritatea Europeană pentru Protecţia Datelor este eliberată din funcţie sau i se cere să se pensioneze din oficiu.
(5)Autoritatea Europeană pentru Protecţia Datelor poate fi demisă sau decăzută din dreptul la pensie sau la alte avantaje echivalente de către Curtea de Justiţie, la cererea Parlamentului European, a Consiliului sau a Comisiei, dacă nu mai îndeplineşte condiţiile necesare pentru exercitarea atribuţiilor sale sau dacă a săvârşit o greşeală gravă.
(6)În cazul înlocuirii obişnuite sau a demisiei voluntare, Autoritatea Europeană pentru Protecţia Datelor rămâne totuşi în funcţie până la numirea unui înlocuitor.
(7)Articolele 11-14 şi 17 din Protocolul privind privilegiile şi imunităţile Uniunii Europene se aplică şi Autorităţii Europene pentru Protecţia Datelor.
Art. 54: Statutul şi condiţiile generale de exercitare a atribuţiilor de către Autoritatea Europeană pentru Protecţia Datelor, resurse umane şi financiare
(1)Autoritatea Europeană pentru Protecţia Datelor este asimilată unui judecător al Curţii de Justiţie în ceea ce priveşte stabilirea remuneraţiei, a indemnizaţiilor, a pensiei pentru limită de vârstă şi a oricăror altor prestaţii care ţin loc de remuneraţie.
(2)Autoritatea bugetară se asigură că Autoritatea Europeană pentru Protecţia Datelor dispune de resursele umane şi financiare necesare îndeplinirii îndatoririlor sale.
(3)Bugetul Autorităţii Europene pentru Protecţia Datelor figurează la o rubrică bugetară separată a secţiunii referitoare la cheltuielile administrative din bugetul general al Uniunii.
(4)Autoritatea Europeană pentru Protecţia Datelor este asistată de un secretariat. Funcţionarii şi ceilalţi membri ai personalului din cadrul secretariatului sunt numiţi de Autoritatea Europeană pentru Protecţia Datelor, iar superiorul lor ierarhic este Autoritatea Europeană pentru Protecţia Datelor. Aceştia se află exclusiv sub conducerea sa. Numărul lor este stabilit în fiecare an în cadrul procedurii bugetare. Articolul 75 alineatul (2) din Regulamentul (UE) 2016/679 se aplică personalului Autorităţii Europene pentru Protecţia Datelor implicat în îndeplinirea sarcinilor conferite Comitetului european pentru protecţia datelor de dreptul Uniunii.
(5)Funcţionarii şi ceilalţi membri de personal ai secretariatului Autorităţii Europene pentru Protecţia Datelor intră sub incidenţa normelor şi reglementărilor aplicabile funcţionarilor şi altor agenţi ai Uniunii.
(6)Sediul Autorităţii Europene pentru Protecţia Datelor este la Bruxelles.
Art. 55: Independenţa
(1)Autoritatea Europeană pentru Protecţia Datelor beneficiază de independenţă deplină în îndeplinirea sarcinilor sale şi în exercitarea competenţelor sale în conformitate cu prezentul regulament.
(2)Autoritatea Europeană pentru Protecţia Datelor, în cadrul îndeplinirii sarcinilor şi al exercitării competenţelor sale în conformitate cu prezentul regulament, rămâne independentă de orice influenţă externă directă sau indirectă şi nici nu solicită, nici nu acceptă instrucţiuni de la o parte externă.
(3)Autoritatea Europeană pentru Protecţia Datelor se abţine de la orice act incompatibil cu caracterul atribuţiilor sale şi, pe durata mandatului, nu poate exercita nici o altă activitate, remunerată sau nu.
(4)După încetarea mandatului său, Autoritatea Europeană pentru Protecţia Datelor este obligată să manifeste integritate şi discreţie în ceea ce priveşte acceptarea anumitor funcţii sau beneficii.
Art. 56: Secretul profesional
Autoritatea Europeană pentru Protecţia Datelor, precum şi personalul acesteia, atât pe durata mandatului, cât şi după încetarea acestuia, au obligaţia să respecte secretul profesional cu privire la informaţiile confidenţiale la care au avut acces în îndeplinirea îndatoririlor lor.
Art. 57: Sarcini
(1)Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, Autoritatea Europeană pentru Protecţia Datelor:
a)monitorizează şi asigură aplicarea prezentului regulament de către instituţiile şi organele Uniunii, cu excepţia prelucrării de date cu caracter personal de către Curtea de Justiţie în exercitarea atribuţiilor sale judiciare;
b)promovează acţiuni de sensibilizare şi de înţelegere în rândul publicului a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare. Se acordă atenţie specială activităţilor care se adresează în mod specific copiilor;
c)promovează acţiuni de sensibilizare a operatorilor şi a persoanelor împuternicite de aceştia cu privire la obligaţiile care le revin în temeiul prezentului regulament;
d)la cerere, furnizează informaţii oricărei persoane vizate în legătură cu exercitarea drepturilor sale prevăzute în prezentul regulament şi, dacă este cazul, cooperează cu autorităţile naţionale de supraveghere în acest scop;
e)tratează plângerile depuse de o persoană vizată, un organism, o organizaţie sau o asociaţie în conformitate cu articolul 67 şi investighează într-o măsură adecvată obiectul plângerii şi informează reclamantul cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu o altă autoritate de supraveghere;
f)desfăşoară investigaţii privind aplicarea prezentului regulament, inclusiv pe baza unor informaţii primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
g)oferă consiliere, din proprie iniţiativă sau la cerere, tuturor instituţiilor şi organelor Uniunii cu privire la măsurile legislative şi administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal;
h)monitorizează noutăţile care prezintă interes, dacă acestea au incidenţă asupra protecţiei datelor cu caracter personal, în special evoluţia tehnologiei informaţiilor şi a comunicaţiilor;
i)adoptă clauzele contractuale standard menţionate la articolul 29 alineatul (8) şi la articolul 48 alineatul (2) litera (c);
j)întocmeşte şi menţine la zi o listă în legătură cu cerinţa privind evaluarea impactului asupra protecţiei datelor, în conformitate cu articolul 39 alineatul (4);
k)participă la activităţile Comitetului european pentru protecţia datelor;
l)asigură secretariatul Comitetului european pentru protecţia datelor, în conformitate cu articolul 75 din Regulamentul (UE) 2016/679;
m)oferă consiliere cu privire la operaţiunile de prelucrare menţionate la articolul 40 alineatul (2);
n)autorizează clauzele şi dispoziţiile contractuale menţionate la articolul 48 alineatul (3);
o)menţine la zi evidenţe interne privind încălcările prezentului regulament şi măsurile luate în conformitate cu articolul 58 alineatul (2);
p)îndeplineşte orice alte sarcini legate de protecţia datelor cu caracter personal; şi
q)îşi elaborează regulamentul de procedură.
(2)Autoritatea Europeană pentru Protecţia Datelor facilitează depunerea plângerilor menţionate la alineatul (1) litera (e) printr-un formular de depunere a plângerii care poate fi completat şi în format electronic, fără a exclude alte mijloace de comunicare.
(3)Îndeplinirea sarcinilor de către Autoritatea Europeană pentru Protecţia Datelor este gratuită pentru persoana vizată.
(4)În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Autoritatea Europeană pentru Protecţia Datelor poate refuza să le dea curs. Sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii revine Autorităţii Europene pentru Protecţia Datelor.
Art. 58: Competenţe
(1)Autoritatea Europeană pentru Protecţia Datelor deţine următoarele competenţe de investigare:
a)de a da dispoziţii operatorului şi persoanei împuternicite de operator să furnizeze orice informaţii pe care le solicită în vederea îndeplinirii sarcinilor sale;
b)de a efectua investigaţii sub formă de audituri privind protecţia datelor;
c)de a notifica operatorul sau persoana împuternicită de operator cu privire la o presupusă încălcare a prezentului regulament;
d)de a obţine, din partea operatorului şi a persoanei împuternicite de operator, accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale;
e)de a obţine accesul la oricare dintre incintele operatorului şi ale persoanei împuternicite de operator, inclusiv la orice echipamente şi mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii.
(2)Autoritatea Europeană pentru Protecţia Datelor deţine următoarele competenţe corective:
a)de a emite avertizări în atenţia unui operator sau a unei persoane împuternicite de operator cu privire la probabilitatea ca operaţiunile de prelucrare prevăzute să încalce dispoziţiile prezentului regulament;
b)de a emite mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operaţiunile de prelucrare au încălcat dispoziţiile prezentului regulament;
c)de a sesiza operatorul sau persoana împuternicită de operator în cauză şi, dacă este necesar, Parlamentul European, Consiliul şi Comisia;
d)de a da dispoziţii operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-şi exercita drepturile în temeiul prezentului regulament;
e)de a da dispoziţii operatorului sau persoanei împuternicite de operator să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentului regulament, specificând, după caz, modalitatea şi termenul-limită pentru aceasta;
f)de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal;
g)de a impune o limitare temporară sau definitivă, inclusiv o interdicţie asupra prelucrării;
h)de a dispune rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării, în temeiul articolelor 18, 19 şi 20, precum şi notificarea acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 19 alineatul (2) şi cu articolul 21;
i)de a aplica amenzi administrative în temeiul articolului 66 în cazul în care o instituţie sau un organ al Uniunii nu respectă una dintre măsurile menţionate la literele (d)-(h) şi (j) de la prezentul alineat, în funcţie de circumstanţele fiecărui caz în parte;
j)de a dispune suspendarea fluxurilor de date către un destinatar dintr-un stat membru, dintr-o ţară terţă sau către o organizaţie internaţională.
(3)Autoritatea Europeană pentru Protecţia Datelor deţine următoarele competenţe de autorizare şi de consiliere:
a)de a oferi consiliere persoanelor vizate în ceea ce priveşte exercitarea drepturilor acestora;
b)de a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă menţionată la articolul 40, în conformitate cu articolul 41 alineatul (2);
c)de a emite avize, din proprie iniţiativă sau la cerere, adresate instituţiilor şi organelor Uniunii, precum şi publicului, cu privire la orice aspect legat de protecţia datelor cu caracter personal;
d)de a adopta clauzele standard în materie de protecţie a datelor menţionate la articolul 29 alineatul (8) şi la articolul 48 alineatul (2) litera (c);
e)de a autoriza clauzele contractuale menţionate la articolul 48 alineatul (3) litera (a);
f)de a autoriza acordurile administrative menţionate la articolul 48 alineatul (3) litera (b).
g)de a autoriza operaţiuni de prelucrare în conformitate cu acte de punere în aplicare adoptate în temeiul articolului 40 alineatul (4).
(4)Autoritatea Europeană pentru Protecţia Datelor are competenţa de a sesiza Curtea de Justiţie în condiţiile prevăzute de tratate şi de a interveni în acţiunile introduse la Curtea de Justiţie.
(5)Exercitarea competenţelor conferite Autorităţii Europene pentru Protecţia Datelor în temeiul prezentului articol face obiectul unor garanţii adecvate, inclusiv căi de atac judiciare eficiente şi procese echitabile, prevăzute în dreptul Uniunii.
Art. 59: Obligaţia operatorilor şi a persoanelor împuternicite de operator de a răspunde la acuzaţii
În cazul în care Autoritatea Europeană pentru Protecţia Datelor îşi exercită competenţele prevăzute la articolul 58 alineatul (2) literele (a), (b) şi (c), operatorul sau persoana împuternicită de operator în cauză informează Autoritatea Europeană pentru Protecţia Datelor cu privire la opinia sa într-un termen rezonabil care urmează să fie precizat de către Autoritatea Europeană pentru Protecţia Datelor ţinând cont de circumstanţele fiecărui caz în parte. Răspunsul conţine, de asemenea, o descriere a măsurilor întreprinse, dacă acestea există, ca răspuns la observaţiile Autorităţii Europene pentru Protecţia Datelor.
Art. 60: Raport de activitate
(1)Autoritatea Europeană pentru Protecţia Datelor prezintă Parlamentului European, Consiliului şi Comisiei un raport anual privind activităţile sale, pe care îl publică în acelaşi timp.
(2)Autoritatea Europeană pentru Protecţia Datelor trimite raportul menţionat la alineatul (1) celorlalte instituţii şi organe ale Uniunii, care pot prezenta observaţii în vederea unei posibile examinări a raportului de către Parlamentul European.