Capitolul xix - PROTECŢIA DATELOR, GESTIONAREA DATELOR ŞI DREPTUL DE PROPRIETATE ASUPRA SISTEMELOR ELECTRONICE ŞI SECURITATEA ACESTORA - Regulamentul 512/13-mar-2025 privind modalităţile tehnice pentru dezvoltarea, întreţinerea şi utilizarea sistemelor electronice destinate schimbului şi stocării de informaţii în temeiul Regulamentului (UE) nr. 952/2013 al Parlamentului European şi al Consiliului
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 20 Martie 2025
CAPITOLUL XIX:PROTECŢIA DATELOR, GESTIONAREA DATELOR ŞI DREPTUL DE PROPRIETATE ASUPRA SISTEMELOR ELECTRONICE ŞI SECURITATEA ACESTORA
Art. 114: Protecţia datelor cu caracter personal
(1)Datele cu caracter personal înregistrate în sistemele electronice sunt prelucrate în scopul punerii în aplicare a legislaţiei vamale şi a altor acte legislative menţionate în cod, ţinând seama de obiectivele specifice ale fiecăruia dintre sistemele electronice prevăzute la articolul 4, la articolul 7 alineatul (1), la articolul 16 alineatul (1), la articolul 21 alineatul (1), la articolul 30, la articolul 35 alineatul (1), la articolul 42 alineatul (1), la articolul 50 alineatul (1), la articolul 57 alineatul (1), la articolul 65 alineatul (1), la articolul 70 alineatul (1), la articolul 74 alineatul (1), la articolul 80 alineatul (1), la articolul 87 alineatul (1), la articolul 93 alineatul (1), la articolul 100 alineatul (1) şi la articolul 104 alineatul (1) din prezentul regulament.
(2)Autorităţile naţionale de supraveghere ale statelor membre în domeniul protecţiei datelor cu caracter personal şi Autoritatea Europeană pentru Protecţia Datelor cooperează, în conformitate cu articolul 62 din Regulamentul (UE) 2018/1725, pentru a asigura supravegherea coordonată a prelucrării datelor cu caracter personal înregistrate în sistemele electronice.
(3)Orice cerere din partea unei persoane vizate înregistrate în sistemul REX de a-şi exercita drepturile în temeiul capitolului III din Regulamentele (UE) 2016/679 şi (UE) 2018/1725 se transmite mai întâi autorităţilor competente din ţara terţă sau autorităţilor vamale din statul membru care a înregistrat datele cu caracter personal.
În cazul în care o persoană vizată a înaintat o astfel de cerere Comisiei fără să fi încercat să îşi obţină drepturile de la autorităţile competente din ţara terţă sau de la autorităţile vamale din statul membru care a înregistrat datele cu caracter personal, Comisia transmite cererea respectivă autorităţilor competente din ţara terţă sau autorităţilor vamale din statul membru care a înregistrat datele respective.
În cazul în care exportatorul înregistrat nu îşi obţine drepturile de la autorităţile competente din ţara terţă sau de la autorităţile vamale din statul membru care a înregistrat datele cu caracter personal, exportatorul înregistrat prezintă o astfel de cerere Comisiei, care acţionează în calitate de operator, astfel cum este definit la articolul 4 punctul 7 din Regulamentul (UE) 2016/679 şi la articolul 3 punctul 8 din Regulamentul (UE) 2018/1725.
Art. 115: Actualizarea datelor în sistemele electronice
(1)Statele membre se asigură că datele înregistrate la nivel naţional corespund datelor înregistrate în componentele comune şi că ele sunt ţinute la zi.
(2)Prin derogare de la alineatul (1), în ceea ce priveşte ICS2, statele membre se asigură că următoarele date sunt ţinute la zi şi corespund datelor din registrul comun ICS2:
a)datele înregistrate la nivel naţional şi comunicate din sistemul naţional de intrare în registrul comun ICS2;
b)datele primite de sistemul naţional de intrare din registrul comun ICS2.
Art. 116: Limitarea accesului la date şi a prelucrării datelor
(1)Datele înregistrate în componentele comune ale sistemelor electronice de către un stat membru pot fi accesate sau prelucrate de către statul membru respectiv. Un alt stat membru care este implicat în prelucrarea unei cereri sau în gestionarea unei decizii la care se referă datele poate, de asemenea, să acceseze şi să prelucreze datele respective.
(2)Datele înregistrate în componentele comune ale sistemelor electronice de către un operator economic sau de către o altă persoană pot fi accesate sau prelucrate de către operatorul economic respectiv sau de către acea altă persoană. Un stat membru implicat în prelucrarea unei cereri sau în gestionarea unei decizii la care se referă datele poate, de asemenea, să acceseze şi să prelucreze datele respective.
(3)Datele din componenta comună a ICS2 comunicate către sau înregistrate în interfaţa comună pentru comercianţi de către un operator economic sau de către o altă persoană pot fi accesate sau prelucrate de către operatorul economic respectiv sau de către acea altă persoană.
(4)Datele înregistrate în sistemul ITOE central de către un stat membru pot fi prelucrate de către statul membru respectiv. Un alt stat membru care este implicat în prelucrarea unei cereri la care se referă datele poate, de asemenea, să le prelucreze, inclusiv prin intermediul unei consultări între autorităţile vamale ale statelor membre în conformitate cu articolul 26 din prezentul regulament. Autorităţile vamale ale statelor membre pot accesa datele respective în scopul articolului 25 alineatul (2) din prezentul regulament, iar Comisia poate accesa datele respective în scopul articolului 21 alineatul (1) din prezentul regulament.
(5)Datele înregistrate în sistemul ITOE central de către un operator economic sau de către o altă persoană pot fi accesate sau prelucrate de către operatorul economic respectiv sau de către persoana respectivă. Autorităţile vamale ale statelor membre pot accesa datele respective în scopul articolului 25 alineatul (2) din prezentul regulament, iar Comisia poate accesa datele respective în scopul articolului 21 alineatul (1) din prezentul regulament.
(6)Datele înregistrate în componenta comună a sistemului EORI pot fi accesate şi prelucrate de către Comisie. Statul membru care a înregistrat datele respective poate, de asemenea, să le acceseze şi să le prelucreze.
(7)Datele din componentele comune ale ICS2:
a)comunicate unui stat membru de către un operator economic sau de către o altă persoană prin intermediul interfeţei comune pentru comercianţi în registrul comun ICS2 pot fi accesate şi prelucrate de statul membru respectiv în registrul comun ICS2 şi, dacă este necesar, statul membru respectiv poate accesa, de asemenea, datele care sunt înregistrate în interfaţa comună pentru comercianţi;
b)comunicate către sau înregistrate în registrul comun ICS2 de către un stat membru pot fi accesate sau prelucrate de către statul membru respectiv;
c)menţionate la literele (a) şi (b) pot fi, de asemenea, accesate şi prelucrate de un alt stat membru în cazul în care acesta, în conformitate cu articolul 186 alineatul (2) literele (a), (b) şi (d), cu articolul 186 alineatele (5), (7) şi (7a) şi cu articolul 189 alineatele (3) şi (4) din Regulamentul de punere în aplicare (UE) 2015/2447, este implicat în analiza de risc sau în procesul de control sau în ambele, la care se referă datele, cu excepţia datelor înregistrate în sistem de către autorităţile vamale ale altor state membre în legătură cu informaţiile privind riscurile în materie de securitate şi siguranţă menţionate la articolul 186 alineatul (2) litera (a) din Regulamentul de punere în aplicare (UE) 2015/2447;
d)pot fi prelucrate de Comisie în cooperare cu statele membre în scopurile menţionate la articolul 43 alineatul (2) din prezentul regulament şi la articolul 182 alineatul (1) litera (c) din Regulamentul de punere în aplicare (UE) 2015/2447, iar rezultatele acestei prelucrări pot fi accesate de Comisie şi de statele membre;
e)pot fi accesate şi prelucrate de statele membre şi de Comisie în scopurile menţionate la articolul 43 alineatul (3) din prezentul regulament, în condiţiile menţionate la articolul 119 din prezentul regulament şi în conformitate cu acordurile specifice de proiect care detaliază operaţiunile de prelucrare dintre statele membre şi Comisie.
(8)Datele din componenta comună a ICS2 înregistrate în registrul comun ICS2 de către Comisie pot fi accesate şi prelucrate de Comisie şi de statele membre.
(9)Datele din sistemul de supraveghere pot fi accesate şi prelucrate de Comisie şi de statele membre.
(10)Datele înregistrate în sistemul REX central pentru statele membre pot fi accesate în scopul punerii în aplicare şi al monitorizării regimurilor comerciale preferenţiale ale Uniunii de către autorităţile vamale ale statelor membre şi de către Comisie.
(11)Datele înregistrate în sistemul REX central pentru ţările terţe cu care Uniunea are un regim comercial preferenţial pot fi accesate de către:
a)autorităţile competente din ţara terţă în care au fost înregistrate datele;
b)autorităţile vamale ale statelor membre, în scopul verificării declaraţiilor vamale în conformitate cu articolul 188 din cod sau în scopul controlului vamal ulterior acordării liberului de vamă în conformitate cu articolul 48 din cod;
c)Comisie, în scopul punerii în aplicare şi al monitorizării regimurilor comerciale preferenţiale ale Uniunii.
(12)În cazul în care statele membre raportează incidente şi probleme în procesele operaţionale pentru furnizarea serviciilor sistemelor în cazul cărora Comisia acţionează în calitate de persoană împuternicită de operator, Comisia poate avea acces la date numai în scopul soluţionării unui incident sau a unei probleme înregistrate. Comisia asigură confidenţialitatea acestor date în conformitate cu articolul 12 din cod.
(13)Datele înregistrate în componentele comune ale CRMS de către un stat membru, Elveţia, Norvegia sau de către Comisie pot fi accesate sau prelucrate de statul membru respectiv, Elveţia, Norvegia, un alt stat membru sau de Comisie pentru a asigura punerea în aplicare a cadrului comun de gestionare a riscurilor în conformitate cu articolul 46 alineatul (5) din cod şi cu articolul 36 din Regulamentul de punere în aplicare (UE) 2015/2447.
(14)Datele înregistrate în sistemul PoUS central pot fi accesate sau prelucrate de către:
a)autorităţile vamale ale statelor membre, în conformitate cu articolul 93 din prezentul regulament;
b)Comisie, în scopuri statistice.
(15)În contextul Cadrului Windsor, reprezentanţii Uniunii pot accesa datele din ICS2 în ceea ce priveşte Irlanda de Nord.
Art. 117: Dreptul de proprietate asupra sistemului
(1)Comisia este proprietarul sistemului pentru componentele comune.
(2)Statele membre sunt proprietarii sistemului pentru componentele naţionale corespunzătoare.
Art. 118: Securitatea sistemului
(1)Comisia asigură securitatea componentelor comune. Statele membre asigură securitatea componentelor naţionale.
În aceste scopuri, Comisia şi statele membre iau măsurile necesare:
a)pentru a împiedica orice persoană neautorizată să acceseze instalaţiile utilizate la prelucrarea datelor;
b)pentru a împiedica introducerea de date, precum şi orice fel de consultare, modificare sau ştergere a datelor de către persoane neautorizate;
c)pentru a detecta oricare dintre activităţile menţionate la literele (a) şi (b).
(2)Comisia şi statele membre se informează reciproc cu privire la orice activitate care ar putea provoca o încălcare sau o suspiciune de încălcare a securităţii sistemelor electronice.
(3)Comisia şi statele membre stabilesc planuri de securitate pentru toate sistemele electronice.
Art. 119: Operatorul şi persoana împuternicită de operator pentru sisteme
Pentru sistemele menţionate la articolul 1 din prezentul regulament şi în legătură cu prelucrarea datelor cu caracter personal:
(a)statele membre acţionează în calitate de operatori, astfel cum sunt definiţi la articolul 4 punctul 7 din Regulamentul (UE) 2016/679, şi respectă obligaţiile prevăzute în regulamentul respectiv;
(b)Comisia acţionează în calitate de persoană împuternicită de operator, astfel cum este definită la articolul 3 punctul 12 din Regulamentul (UE) 2018/1725, şi respectă obligaţiile prevăzute în regulamentul respectiv;
(c)prin derogare de la litera (b), Comisia acţionează în calitate de operator asociat împreună cu statele membre în cadrul ICS2 atunci când prelucrează datele pentru monitorizarea şi evaluarea punerii în aplicare a criteriilor şi standardelor comune privind riscurile în materie de securitate şi siguranţă şi a măsurilor de control şi a controlului prioritar în conformitate cu articolul 116 alineatul (7) litera (d) din prezentul regulament;
(d)prin derogare de la litera (b), Comisia acţionează în calitate de operator asociat împreună cu statele membre în cadrul ICS2 atunci când prelucrează datele în scopul colectării, al stocării, al prelucrării sau al analizării unor elemente suplimentare de informaţii în legătură cu declaraţiile sumare de intrare, precum şi în scopul furnizării de sprijin pentru procesele de gestionare a riscurilor menţionate la articolul 43 alineatul (3) din prezentul regulament, în condiţiile prevăzute la articolul 116 alineatul (7) litera (e) din prezentul regulament;
(e)prin derogare de la litera (b), Comisia acţionează, de asemenea, în calitate de operator asociat împreună cu statele membre în cadrul CRMS;
(f)prin derogare de la litera (b), Comisia acţionează în calitate de operator asociat împreună cu statele membre în cadrul sistemului REX în următoarele cazuri:
(i)atunci când prelucrează datele în vederea sincronizării cu un sistem naţional;
(ii)atunci când prelucrează datele pentru a accesa datele în scopul verificării declaraţiilor vamale în conformitate cu articolul 188 din cod sau în scopul controlului vamal ulterior acordării liberului de vamă în conformitate cu articolul 48 din cod;
(iii)atunci când prelucrează datele în scopuri statistice şi de monitorizare privind utilizarea sistemului REX pentru statele membre;
(iv)atunci când prelucrează datele în scopuri statistice şi de monitorizare privind utilizarea sistemului REX pentru ţări terţe;
(g)prin derogare de la litera (b), Comisia acţionează în calitate de operator asociat împreună cu statele membre în cadrul sistemului de supraveghere.
Art. 120: Perioade de păstrare a datelor
(1)Perioadele de păstrare a datelor pentru sistemele pentru care statele membre sunt operatori, astfel cum se prevede la articolul 119 din prezentul regulament, se stabilesc de către statele membre respective, ţinând seama de cerinţele legislaţiei vamale. Statele membre informează Comisia cu privire la aceste perioade de păstrare.
(2)Următoarele perioade de păstrare a datelor se aplică următoarelor sisteme pentru care Comisia şi statele membre sunt operatori asociaţi:
a)pentru ICS2, pentru monitorizarea şi evaluarea punerii în aplicare a criteriilor şi standardelor comune privind riscurile în materie de securitate şi siguranţă, a măsurilor de control şi a domeniilor de control prioritare menţionate la articolul 43 alineatul (2) şi pentru sprijinirea proceselor de gestionare a riscurilor menţionate la articolul 43 alineatul (3) din prezentul regulament, o perioadă de păstrare de 10 ani începând din momentul în care datele sunt prelucrate pentru prima dată în sistemul central;
b)pentru sistemul REX, pentru a permite notificarea datoriei vamale pentru o perioadă maximă de 10 ani în conformitate cu articolul 103 alineatul (2) din cod, o înregistrare revocată se păstrează în sistemul REX pentru o perioadă maximă de 10 ani începând cu data de 1 ianuarie a anului următor anului în care a avut loc revocarea, iar după expirarea perioadei respective, autoritatea competentă a unei ţări terţe sau autorităţile vamale ale statului membru care a revocat înregistrarea şterg datele referitoare la înregistrare. Cu toate acestea, dacă toate înregistrările dintr-o ţară beneficiară a sistemului generalizat de preferinţe au fost revocate în conformitate cu articolul 90 alineatul (1) din Regulamentul de punere în aplicare (UE) 2015/2447 şi dacă ţara beneficiară nu a beneficiat de sistemul generalizat de preferinţe al Norvegiei, al Elveţiei sau al Turciei de mai mult de 10 ani, Comisia şterge datele referitoare la înregistrare;
c)pentru CRMS, pentru a asigura protecţia securităţii şi a siguranţei cetăţenilor şi protecţia intereselor financiare ale Uniunii şi ale statelor sale membre, o perioadă de păstrare de 10 ani începând din momentul în care datele sunt prelucrate pentru prima dată în sistemul central;
d)pentru sistemul de supraveghere, pentru a asigura protecţia intereselor financiare ale Uniunii şi ale statelor sale membre, precum şi a politicilor comerciale şi a tuturor celorlalte politici ale Uniunii care se bazează pe datele extrase prin intermediul supravegherii, o perioadă de păstrare de 10 ani începând din momentul în care datele sunt prelucrate pentru prima dată în sistemul central.
Cu toate acestea, în cazul în care a fost lansată o procedură judiciară sau o cale de atac care implică date stocate în sistemele electronice menţionate la literele (a)-(d), datele respective se păstrează până la încheierea procedurii căii de atac sau a procedurii judiciare.
(3)Perioada de păstrare a datelor se aplică tuturor datelor acoperite de sistemele electronice.