2.8.2019   

RO

Jurnalul Oficial al Uniunii Europene

C 259/2


DECIZIA BIROULUI PARLAMENTULUI EUROPEAN

din 17 iunie 2019

privind norme de aplicare referitoare la Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE

(2019/C 259/02)

BIROUL PARLAMENTULUI EUROPEAN,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16,

având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (1), în special articolul 25 și articolul 45 alineatul (3),

având în vedere articolul 25 alineatul (2) din Regulamentul de procedură al Parlamentului European,

având în vedere avizul Autorității Europene pentru Protecția Datelor din 2 mai 2019, care a fost consultată în temeiul articolului 41 alineatul (2) din Regulamentul (UE) 2018/1725 cu privire la capitolul V din prezenta decizie,

întrucât:

(1)

Regulamentul (UE) 2018/1725 stabilește principiile și normele aplicabile prelucrării datelor cu caracter personal de către toate instituțiile și organele Uniunii și dispune numirea unui responsabil cu protecția datelor de către fiecare instituție și organ al Uniunii.

(2)

Scopul normelor de aplicare ale Parlamentului European referitoare la Regulamentul (UE) 2018/1725 („normele de aplicare”) este de a preciza sarcinile, atribuțiile și competențele responsabilului cu protecția datelor din cadrul Parlamentului European („responsabilul cu protecția datelor”).

(3)

Scopul normelor de aplicare este, de asemenea, de a stabili proceduri în baza cărora persoanele vizate să își poată exercita drepturile, iar toate persoanele din cadrul Parlamentului European implicate în prelucrarea datelor cu caracter personal să își îndeplinească îndatoririle.

(4)

Normele de aplicare ar trebui să asigure că Parlamentul European își respectă în mod corespunzător obligațiile care-i revin în temeiul Regulamentului (UE) 2018/1725, într-un mod care să nu împiedice instituția să își desfășoare în mod corespunzător activitățile legislative, bugetare, politice, analitice, de control și de comunicare.

(5)

Regulamentul (UE) 2018/1725, în special excepțiile pe care le conține privind drepturile persoanelor vizate, ar trebui, prin urmare, să fie interpretat de o asemenea manieră încât să asigure capacitatea Parlamentului European de a-și exercita pe deplin competențele, în special funcțiile sale legislative și bugetare, precum și funcțiile sale de control politic și de consultare, astfel cum sunt prevăzute în tratate.

(6)

În acest scop, exercitarea dreptului la ștergerea datelor în temeiul articolului 19 din Regulamentul (UE) 2018/1725 ar trebui interpretată astfel încât aplicarea sa să evite orice interferență nejustificată cu obligația Parlamentului European de a documenta în mod corespunzător activitățile sale parlamentare, de a le face vizibile și de a le asigura trasabilitatea în fața publicului, în special la nivelul ședințelor plenare și al activităților organelor parlamentare, în conformitate cu principiul transparenței și al deschiderii, precum și cu normele aplicabile în materie de arhivare.

(7)

În plus, dreptul la portabilitatea datelor în temeiul articolului 22 din Regulamentul (UE) 2018/1725 se aplică numai în cazul în care prelucrarea se bazează fie pe consimțământ, fie pe necesitatea de a executa un contract și este efectuată prin mijloace automatizate. Exercitarea acestui drept este limitată de o excepție prevăzută la articolul 22 alineatul (3) a doua teză din regulamentul respectiv, care ar trebui să fie interpretată în sensul că, cu excepția cazului în care sunt vizate activitățile administrative ale Parlamentului European, instituția este scutită de obligația de a furniza date cu caracter personal în conformitate cu articolul 22 alineatele (1) și (2) din regulamentul respectiv.

(8)

În plus, în ceea ce privește aplicarea normelor de aplicare cu privire la sistemul operatorilor asociați, eventualul rol de operatori asociați ce revine direcțiilor generale ale Parlamentului European, fie împreună cu alte organe sau instituții, fie cu alte direcții generale ale Parlamentului, ar trebui să existe numai dacă și în măsura în care acestea sunt responsabile în comun pentru aceleași operațiuni de prelucrare unice, și nu în cazul în care ele intervin doar secvențial prin operațiuni de prelucrare apropiate tematic, dar distincte.

(9)

Articolul 13 din prezenta decizie trebuie să fie interpretat în sensul că oferă grupurilor politice și deputaților în Parlamentul European posibilitatea de a solicita consiliere, strict în mod voluntar, din partea responsabilului cu protecția datelor cu privire la aspecte legate de aplicarea Regulamentului (UE) 2018/1725, ținând seama în special de interacțiunea dintre cerințele privind protecția datelor și libera exercitare a mandatului. Avizul astfel obținut nu este obligatoriu.

(10)

De asemenea, este necesar să se adopte norme interne care să prevadă condițiile în care Parlamentul European poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în conformitate cu articolul 25 din același regulament, pentru a garanta că Parlamentul European își poate desfășura în continuare activitățile și procedurile.

(11)

În acest cadru, Parlamentul European, atunci când aplică restricții în temeiul capitolului V din prezenta decizie, are obligația de a respecta drepturile fundamentale ale persoanelor vizate, astfel cum sunt consacrate la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, la articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene și în Regulamentul (UE) 2018/1725.

(12)

În acest scop, Parlamentul European, înainte de a aplica restricții specifice, trebuie să realizeze, de la caz la caz, o evaluare a necesității și a proporționalității restricțiilor respective, ținând seama de riscurile la adresa drepturilor și a libertăților persoanelor vizate.

(13)

Parlamentul European trebuie să justifice de ce restricțiile sunt strict necesare și proporționale într-o societate democratică și trebuie să respecte esența drepturilor și libertăților fundamentale,

ADOPTĂ PREZENTA DECIZIE:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiectiv

Prezenta decizie stabilește normele generale care reglementează aplicarea Regulamentului (UE) 2018/1725 în Parlamentul European și, în special:

(a)

pune în aplicare dispozițiile stabilite în Regulamentul (UE) 2018/1725 referitoare la sarcinile, atribuțiile și competențele responsabilului cu protecția datelor;

(b)

stabilește norme detaliate în temeiul cărora o persoană vizată își poate exercita drepturile;

(c)

stabilește norme interne în temeiul cărora Parlamentul European poate aplica excepții, derogări sau restricții cu privire la drepturile persoanelor vizate, în special conform articolului 25 din Regulamentul (UE) 2018/1725.

Articolul 2

Operatorul

(1)   Unitatea sau serviciul Parlamentului European care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal acționează în calitate de operator cu privire la aceste date în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725.

(2)   În cazul în care operațiunea de prelucrare depășește competențele unei unități sau ale unui serviciu al Parlamentului European, direcția competentă este operatorul în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, cu excepția cazului în care se convine asupra aplicării sistemului operatorilor asociați în conformitate cu articolul 28 din regulamentul respectiv.

(3)   În cazul în care operațiunea de prelucrare depășește competențele unei direcții a Parlamentului European, direcția generală competentă a Parlamentului European este operatorul în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, cu excepția cazului în care se convine asupra aplicării sistemului operatorilor asociați în conformitate cu articolul 28 din regulamentul respectiv.

(4)   În cazul în care mai multe direcții generale ale Parlamentului European stabilesc scopurile și mijloacele unei anumite operațiuni de prelucrare sau în cazul în care una dintre entitățile organizaționale menționate la alineatele (1)-(3) și cel puțin o entitate, alta decât instituțiile și organele Uniunii, stabilesc scopurile și mijloacele unei operațiuni de prelucrare specifice, actorii competenți sunt considerați operatori asociați în sensul articolului 28 alineatul (1) din Regulamentul (UE) 2018/1725.

(5)   Parlamentul European este considerat a fi operatorul în sensul articolului 44 alineatele (3) și (6) din Regulamentul (UE) 2018/1725.

(6)   Operatorul este responsabil de asigurarea faptului că operațiunile de prelucrare sunt efectuate în conformitate cu Regulamentul (UE) 2018/1725 și trebuie să fie în măsură să demonstreze respectarea regulamentului respectiv.

În special, operatorul este responsabil pentru:

(a)

punerea în aplicare a unor măsuri tehnice și organizatorice adecvate în vederea aplicării principiului protecției datelor începând cu momentul conceperii și a principiului protecției implicite a datelor;

(b)

furnizarea către personal, sub autoritatea sa, a unor instrucțiuni corespunzătoare pentru a garanta că prelucrarea este legală, echitabilă, transparentă și confidențială și asigură un nivel adecvat de securitate, având în vedere riscurile pe care le implică prelucrarea;

(c)

cooperarea cu responsabilul cu protecția datelor și cu Autoritatea Europeană pentru Protecția Datelor în vederea îndeplinirii atribuțiilor acestora, în special transmițându-le informații ca răspuns la solicitările lor;

(d)

informarea și implicarea în timp util a responsabilului cu protecția datelor, în special în proiecte care implică noi operațiuni de prelucrare a datelor sau modificări semnificative ale operațiunilor existente.

CAPITOLUL II

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 3

Numire, statut și independență

(1)   Secretarul general numește responsabilul cu protecția datelor din rândul personalului Parlamentului European, în conformitate cu articolul 43 și cu articolul 44 alineatele (8) și (9) din Regulamentul (UE) 2018/1725. Responsabilul cu protecția datelor este numit în conformitate cu procedura aplicabilă prevăzută în Statutul funcționarilor („Statutul funcționarilor”) sau, după caz, în Regimul aplicabil celorlalți agenți ai Uniunii Europene („Regimul aplicabil celorlalți agenți”) stabilit prin Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (2). Responsabilul cu protecția datelor se numește pe o perioadă de cinci ani, iar mandatul său poate fi reînnoit.

(2)   În scopul îndeplinirii sarcinilor sale în temeiul prezentei decizii, responsabilul cu protecția datelor este scutit de orice alte sarcini în cadrul Parlamentului European. Totuși, secretarul general poate decide să atribuie responsabilului cu protecția datelor sarcini suplimentare specifice, cu condiția ca acestea să nu conducă la un conflict de interese cu rolul de responsabil cu protecția datelor, în special în legătură cu aplicarea dispozițiilor Regulamentului (UE) 2018/1725.

(3)   Responsabilul cu protecția datelor se abține de la orice act incompatibil cu natura atribuțiilor sale.

(4)   Responsabilul cu protecția datelor are obligația de a respecta secretul profesional în conformitate cu articolul 44 alineatul (5) din Regulamentul (UE) 2018/1725, inclusiv după ce și-a încetat atribuțiile.

(5)   Responsabilul cu protecția datelor poate fi eliberat din funcție doar în conformitate cu articolul 44 alineatele (3) și (8) din Regulamentul (UE) 2018/1725. Pentru a se obține acordul Autorității Europene pentru Protecția Datelor cu privire la o astfel de eliberare din funcție în temeiul articolului 44 alineatul (8) din Regulamentul (UE) 2018/1725, Autoritatea Europeană pentru Protecția Datelor este consultată în scris. O copie a acordului respectiv este trimisă responsabilului cu protecția datelor.

(6)   Parlamentul European se asigură că responsabilul cu protecția datelor nu primește nicio instrucțiune cu privire la îndeplinirea sarcinilor sale, astfel cum sunt definite la articolele 44 și 45 din Regulamentul (UE) 2018/1725. În această privință, responsabilul cu protecția datelor nu primește, în special, nicio instrucțiune din partea secretarului general, inclusiv cu privire la cooperarea sa cu Autoritatea Europeană pentru Protecția Datelor necesară în conformitate cu Regulamentul (UE) 2018/1725.

(7)   Responsabilul cu protecția datelor raportează direct secretarului general.

Articolul 4

Sarcini, atribuții și competențe

(1)   Responsabilul cu protecția datelor asigură aplicarea Regulamentului (UE) 2018/1725 de către Secretariatul General al Parlamentului European și monitorizează respectarea cadrului juridic aplicabil privind protecția datelor cu caracter personal. Fără a se aduce atingere articolului 13 din prezenta decizie, responsabilul cu protecția datelor nu are, în principiu, competența de a monitoriza aplicarea Regulamentului (UE) 2018/1725 de către deputați individuali ai Parlamentului sau de către grupurile politice ale Parlamentului European.

(2)   Responsabilul cu protecția datelor poate fi consultat sau oferă consultanță în conformitate cu articolul 44 alineatele (4) și (7) și cu articolul 45 alineatul (1) literele (d), (e) și (f) din Regulamentul (UE) 2018/1725 și exercită toate sarcinile suplimentare prevăzute la articolul 45 din regulamentul respectiv.

(3)   Responsabilul cu protecția datelor raportează secretarului general orice încălcare sau orice risc grav de încălcare a dispozițiilor prevăzute în Regulamentul (UE) 2018/1725.

(4)   Responsabilul cu protecția datelor emite, la cerere, un aviz operatorului în cauză cu privire la operațiuni de prelucrare actuale sau propuse, precum și cu privire la proporționalitatea și caracterul adecvat al prelucrării anumitor date sau cu privire la măsurile de securitate. Avizul se poate referi, în particular, la orice aspect legat de analiza riscurilor pentru drepturile și libertățile persoanelor vizate.

(5)   Serviciul competent al Parlamentului European consultă responsabilul cu protecția datelor înainte de aprobarea unor norme interne care specifică cadrul pentru prelucrarea datelor cu caracter personal.

(6)   Responsabilul cu protecția datelor își îndeplinește sarcinile în cooperare cu Autoritatea Europeană pentru Protecția Datelor. Responsabilul cu protecția datelor este punctul de contact între Parlamentul European și Autoritatea Europeană pentru Protecția Datelor și este informat cu privire la toate comunicările dintre cele două instituții în ceea ce privește chestiunile care țin de competența sa.

(7)   Responsabilul cu protecția datelor participă în mod regulat la reuniunile convocate de Autoritatea Europeană pentru Protecția Datelor sau de responsabilii cu protecția datelor din cadrul celorlalte instituții și organe pentru a facilita buna cooperare.

(8)   Responsabilul cu protecția datelor rămâne permanent sub incidența normelor și dispozițiilor prevăzute de Statutul funcționarilor sau, după caz, de Regimul aplicabil celorlalți agenți.

Articolul 5

Încălcarea securității datelor cu caracter personal și securitatea datelor

(1)   În caz de încălcare a securității datelor cu caracter personal, operatorul informează fără întârziere responsabilul cu protecția datelor cu privire la incident.

(2)   Responsabilul cu protecția datelor instituie și ține un registru central în scopul documentării acestor cazuri raportate de încălcare a securității datelor cu caracter personal, în conformitate cu articolul 34 alineatul (6) din Regulamentul (UE) 2018/1725. Operatorul care se confruntă cu încălcarea completează registrul cu informațiile solicitate la articolul respectiv.

(3)   Responsabilul cu protecția datelor organizează reuniuni periodice cu responsabilul șef pentru securitatea sistemelor informatice și cu administratorul de risc al Parlamentului European pentru a asigura respectarea articolelor 33-36 din Regulamentul (UE) 2018/1725. Responsabilul cu protecția datelor poate invita și alți participanți, dacă este cazul.

(4)   Pe baza rezultatelor reuniunilor menționate la alineatul (3), responsabilul cu protecția datelor:

(a)

prezintă anual secretarului general o analiză a riscurilor privind protecția datelor, care este actualizată în funcție de evoluția factorilor de risc;

(b)

propune secretarului general politici de protecție a datelor, abordând în special riscurile de furt, de scurgeri sau de manipulări neautorizate ale datelor prin mijloace electronice;

(c)

propune secretarului general măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate a datelor cu caracter personal adaptat la riscurile legate de protecția datelor.

Articolul 6

Evidențe ale activităților de prelucrare și registrul central

Responsabilul cu protecția datelor creează și ține registrul central în sensul articolului 31 alineatul (5) din Regulamentul (UE) 2018/1725, în care se păstrează evidențele activităților de prelucrare. Responsabilul cu protecția datelor se asigură că registrul este accesibil publicului, inclusiv electronic. La cerere, accesul este, de asemenea, posibil prin intermediul Autorității Europene pentru Protecția Datelor.

La cerere, evidențele activităților de prelucrare ale Parlamentului European sunt puse la dispoziția Autorității Europene pentru Protecția Datelor.

Articolul 7

Informații și acces

(1)   Responsabilul cu protecția datelor este informat de îndată de către operator în cazul în care se instituie o nouă procedură administrativă sau în cazul în care este vizată modificarea unei proceduri administrative existente care afectează prelucrarea datelor cu caracter personal.

(2)   Responsabilul cu protecția datelor are, în orice moment, acces la datele cu caracter personal care sunt prelucrate, la instalațiile de prelucrare a datelor și la suporturile de date.

Articolul 8

Auditul intern

Atunci când acest lucru este solicitat de auditorul intern, acționând în limita competențelor sale, responsabilul cu protecția datelor colaborează cu auditorul intern, în special pentru a facilita efectuarea de audituri interne care implică prelucrarea datelor cu caracter personal în cadrul Secretariatului General al Parlamentului European.

Articolul 9

Abordarea bazată pe riscuri

(1)   Pentru procedurile administrative, măsurile tehnice sau organizatorice noi sau modificate care implică prelucrarea datelor cu caracter personal, responsabilul cu protecția datelor, la cerere sau la inițiativa sa, furnizează informații și asistă operatorul în evaluarea riscurilor privind drepturile și libertățile persoanelor vizate.

(2)   Responsabilul cu protecția datelor consiliază operatorul, după finalizarea evaluării riscurilor menționate anterior, cu privire la necesitatea de a se efectua o evaluare a impactului asupra protecției datelor.

Articolul 10

Măsuri tehnice și organizatorice

(1)   Responsabilul cu protecția datelor informează operatorul în ceea ce privește evaluarea soluțiilor tehnice și organizatorice pentru punerea în aplicare a operațiunilor de prelucrare.

(2)   Responsabilul cu protecția datelor poate recomanda secretarului general măsuri tehnice sau organizatorice pentru punerea în aplicare a articolului 27 din Regulamentul (UE) 2018/1725 în cazul în care conchide în temeiul unei evaluări că o operațiune de prelucrare nu garantează respectarea deplină a articolului respectiv.

Articolul 11

Operatorii asociați și persoanele împuternicite de către operatori

(1)   Responsabilul cu protecția datelor furnizează, la cerere, un aviz operatorului cu privire la stabilirea responsabilităților relevante în contextul unui acord între operatorii asociați în temeiul articolului 28 alineatul (1) din Regulamentul (UE) 2018/1725.

(2)   Responsabilul cu protecția datelor poate, la cerere, să furnizeze un aviz operatorului cu privire la măsurile tehnice și organizatorice adecvate care trebuie garantate de persoana împuternicită de operator sau de o persoană sub-împuternicită de operator în temeiul articolului 29 alineatele (1) și (2) din Regulamentul (UE) 2018/1725.

Articolul 12

Raportul anual

Responsabilul cu protecția datelor întocmește un raport de activitate anual, destinat secretarului general și Autorității Europene pentru Protecția Datelor, referitor la activitățile legate de protecția datelor personale în cadrul Secretariatului General al Parlamentului European. Responsabilul cu protecția datelor pune raportul la dispoziția personalului Parlamentului European.

Articolul 13

Deputații în Parlamentul European și grupurile politice din Parlamentul European

(1)   Prin derogare de la articolul 4 alineatul (1) din prezenta decizie, deputații în Parlamentul European și grupurile politice ale Parlamentului European pot solicita consiliere din partea responsabilului cu protecția datelor în legătură cu un subiect referitor la aplicarea Regulamentului (UE) 2018/1725. Fără a aduce atingere responsabilității individuale ce revine deputaților în Parlamentul European și grupurilor politice din Parlamentul European de a aplica Regulamentul (UE) 2018/1725 în calitate de operator în sensul articolului 3 alineatul (8) din Regulamentul (UE) 2018/1725, responsabilul cu protecția datelor poate, la cererea unui deputat în Parlamentul European sau a unui grup politic din Parlamentul European, să ofere consiliere, prin aplicarea mutatis mutandis a dispozițiilor relevante din prezenta decizie.

(2)   Responsabilul cu protecția datelor stabilește de la caz la caz modalitățile detaliate de acordare a asistenței menționate la alineatul (1), în conformitate cu prezenta decizie. Îndeplinirea acestei funcții de consiliere nu trebuie să intre în conflict cu celelalte sarcini ale responsabilului cu protecția datelor.

CAPITOLUL III

PERSONALUL ȘI REȚELELE DE SPRIJIN

Articolul 14

Personalul și resursele din domeniul protecției datelor

(1)   Secretarul general poate numi membri ai personalului care să lucreze în cadrul Serviciului pentru protecția datelor pentru a asista responsabilul cu protecția datelor în exercitarea funcțiilor sale.

(2)   Membrii personalului numiți în temeiul alineatului (1) pot reprezenta responsabilul cu protecția datelor în absența acestuia. În acest scop, responsabilul cu protecția datelor poate emite delegări interne ale autorității către membri specifici ai personalului său. Autoritatea Europeană pentru Protecția Datelor și secretarul general sunt notificați prin primirea unei copii a oricărei astfel de delegări a autorității.

Articolul 15

Rețeaua coordonatorilor pentru protecția datelor

(1)   În cadrul Parlamentului European se înființează o rețea de coordonatori pentru protecția datelor, alcătuită din cel puțin un membru din cadrul fiecărei direcții generale, dintr-o persoană care reprezintă coordonarea grupurilor politice și din responsabilul cu protecția datelor.

(2)   Secretarul General poate specifica dispoziții detaliate legate de numirea, de atribuțiile și de sarcinile coordonatorilor pentru protecția datelor.

(3)   Responsabilul cu protecția datelor organizează periodic reuniuni cu coordonatorii pentru protecția datelor.

CAPITOLUL IV

EXERCITAREA DREPTURILOR DE CĂTRE PERSOANELE VIZATE

Articolul 16

Norme generale pentru punerea în aplicare a articolelor 14-24 din Regulamentul (UE) 2018/1725

(1)   Dreptul de a fi informat, dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, drepturile privind notificarea destinatarilor, dreptul la portabilitatea datelor, dreptul la opoziție și drepturile referitoare la procesul decizional automatizat, inclusiv crearea de profiluri, astfel cum se prevede la articolele 14-24 din Regulamentul (UE) 2018/1725, pot fi exercitate doar de persoana vizată sau de reprezentantul autorizat al acestuia.

(2)   Persoana vizată adresează operatorului cererile de exercitare a unuia dintre drepturile sale menționate la primul alineat. În acest scop, pe site-ul Parlamentului European este disponibil un formular-tip neobligatoriu, în format electronic. Cererea cuprinde:

(a)

numele, prenumele și datele de contact ale persoanei vizate;

(b)

menționarea dreptului ce urmează a fi exercitat;

(c)

dacă este cazul, documente în sprijinul cererii;

(d)

categoria sau categoriile de date personale despre care este vorba;

(e)

semnătura persoanei vizate și data cererii.

(3)   Cererea poate fi transmisă prin poșta internă sau externă, prin e-mail sau prin orice alt mijloc scris.

(4)   Operatorul solicită eventualele clarificări necesare în cazul cererilor neclare sau incomplete. Până la clarificarea definitivă a acestor aspecte, termenul aplicabil în temeiul articolului 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 nu începe să curgă.

(5)   Operatorul verifică identitatea persoanei vizate în conformitate cu articolul 14 alineatul (6) din Regulamentul (UE) 2018/1725. Identitatea persoanei vizate este verificată în modul cel mai puțin intruziv posibil. În timpul perioadei de verificare a identității, termenul aplicabil în temeiul articolului 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725 nu începe să curgă.

(6)   Operatorul răspunde la orice solicitare a persoanelor vizate de a-și exercita drepturile, chiar și în cazurile în care Parlamentul European nu deține date cu caracter personal relevante. În termen de cinci zile lucrătoare de la primirea cererii, persoanei vizate i se trimite o confirmare de primire. Cu toate acestea, în cazul în care în același termen de cinci zile lucrătoare se formulează un răspuns pe fond cu privire la cerere, operatorul este scutit de obligația de a mai trimite o confirmare de primire.

(7)   Răspunsul se trimite persoanei vizate, în termenele prevăzute la articolul 14 alineatele (3) și (4) din Regulamentul (UE) 2018/1725, prin aceleași mijloace de comunicare scrisă și în aceeași limbă oficială a Uniunii ca cele utilizate de persoana vizată, cu excepția cazului în care acesta din urmă solicită altfel.

(8)   La prelucrarea unei cereri în temeiul articolului 14 din Regulamentul (UE) 2018/1725, operatorul ține seama de eventuala necesitate de a aplica o excepție, o derogare sau o restricție în temeiul capitolului V din prezenta decizie.

(9)   În cazul unei cereri extrem de complexe sau atunci când prelucrarea corespunzătoare a unei cereri este susceptibilă să genereze un risc pentru drepturile și libertățile altor persoane vizate, operatorul consultă responsabilul cu protecția datelor.

Articolul 17

Dreptul de a fi informat

[Articolele 15 și 16 din Regulamentul (UE) 2018/1725]

(1)   În conformitate cu articolul 14 din Regulamentul (UE) 2018/1725, operatorul furnizează informațiile menționate la articolele 15 și 16 din regulamentul respectiv, inclusiv în cazul în care se intenționează o prelucrare ulterioară, pe internet sau intranet, într-o formă generalizată.

(2)   Dacă este posibil și fără a aduce atingere mijloacelor alternative de comunicare menționate la articolul 14 alineatele (1) și (7) din Regulamentul (UE) 2018/1725, informațiile menționate la articolele 15 și 16 din regulamentul respectiv sunt furnizate persoanelor vizate în mod individualizat, fie în scris, fie prin mijloace electronice.

Articolul 18

Dreptul de acces

[Articolul 17 din Regulamentul (UE) 2018/1725]

(1)   Fără a se aduce atingere alineatului (2), în cazul în care persoana vizată depune o cerere de acces la datele sale cu caracter personal, datele relevante sunt obținute de către operator din locul de stocare a acestora, inclusiv în cazul documentelor electronice sau pe suport de hârtie, și sunt puse la dispoziția persoanei vizate prin oricare dintre următoarele mijloace:

(a)

compilație realizată de operator;

(b)

copie tipărită sau în format electronic;

(c)

alte mijloace la îndemâna operatorului, adaptate configurației dosarului.

(2)   În conformitate cu articolul 17 alineatul (3) din Regulamentul (UE) 2018/1725, în cazul în care persoana vizată depune o cerere de acces pe cale electronică și cu excepția cazului în care se solicită altfel, informațiile sunt furnizate de către operator într-un format electronic utilizat în mod curent.

Articolul 19

Dreptul la rectificare

[Articolul 18 din Regulamentul (UE) 2018/1725]

(1)   În cererile de rectificare se specifică datele cu caracter personal care trebuie rectificate sau completate, demonstrându-se inexactitatea sau caracterul incomplet al datelor, și se indică modificarea care se impune. Dacă este cazul, cererea poate fi însoțită de documente justificative.

(2)   Persoana vizată este informată cu privire la realizarea cu succes a rectificării. În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

Articolul 20

Dreptul la ștergerea datelor

[Articolul 19 din Regulamentul (UE) 2018/1725]

(1)   În cererile de ștergere se precizează datele cu caracter personal care trebuie șterse și se indică motivele ștergerii în sensul articolului 19 alineatul (1) din Regulamentul (UE) 2018/1725.

(2)   Persoana vizată este informată cu privire la realizarea cu succes a ștergerii. În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

(3)   Operația de ștergere are ca rezultat dispariția fizică a datelor cu caracter personal, fără a fi necesar ca acestea să se înlocuiască cu un cod.

Articolul 21

Dreptul la restricționarea prelucrării

[Articolul 20 din Regulamentul (UE) 2018/1725]

(1)   În cererile de restricționare a prelucrării se precizează datele cu caracter personal în cauză și motivele restricționării, astfel cum sunt prevăzute la articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725.

(2)   Persoana vizată este informată cu privire la restricționarea cu succes a prelucrării. În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

Articolul 22

Notificarea destinatarilor

[Articolul 21 din Regulamentul (UE) 2018/1725]

(1)   După finalizarea uneia dintre procedurile prevăzute la articolele 19-21 din prezenta decizie, operatorul lansează fără întârziere procedura prevăzută la articolul 21 din Regulamentul (UE) 2018/1725.

(2)   În cazul în care notificarea către destinatari se dovedește imposibilă sau implică un efort disproporționat, operatorul informează în scris persoana vizată, precizând motivele.

Articolul 23

Dreptul la portabilitatea datelor

[Articolul 22 din Regulamentul (UE) 2018/1725]

(1)   În cererile formulate în temeiul articolului 22 din Regulamentul (UE) 2018/1725 se precizează datele cu caracter personal în cauză.

(2)   În cazul respingerii cererii, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

Articolul 24

Dreptul la opoziție

[Articolul 23 din Regulamentul (UE) 2018/1725]

(1)   În caz de opoziție, se precizează datele cu caracter personal vizate și motivele legate de situația personală care stau la baza opoziției.

(2)   În cazul respingerii opoziției, operatorul informează în scris persoana vizată cu privire la motivele respingerii.

CAPITOLUL V

EXCEPȚII, DEROGĂRI ȘI RESTRICȚII

SECȚIUNEA 1

Excepții și derogări

Articolul 25

Excepții

(1)   Înainte de aplicarea unei restricții în temeiul secțiunii 2 din prezentul capitol, operatorul analizează dacă se aplică vreuna dintre excepțiile prevăzute în Regulamentul (UE) 2018/1725, în special în temeiul articolului 15 alineatul (4), al articolului 16 alineatul (5), al articolului 19 alineatul (3) și al articolului 35 alineatul (3) din regulamentul respectiv.

(2)   În cazul prelucrării în scopuri de arhivare în interes public, precum și al prelucrării în scopuri de cercetare științifică sau istorică ori în scopuri statistice, operatorul analizează dacă se aplică excepții în temeiul articolului 16 alineatul (5) litera (b) și al articolului 19 alineatul (3) litera (d) din Regulamentul (UE) 2018/1725.

Articolul 26

Derogări

(1)   În cazul prelucrării în scopuri de arhivare în interes public, operatorul poate aplica derogări în conformitate cu articolul 25 alineatul (4) din Regulamentul (UE) 2018/1725. În acest scop, operatorul poate deroga de la drepturile menționate la articolele 17, 18, 20, 21, 22 și 23 din Regulamentul (UE) 2018/1725, în conformitate cu condițiile prevăzute la articolul 25 alineatul (4) din regulamentul respectiv.

(2)   În cazul prelucrării în scopuri de cercetare științifică sau istorică ori în scopuri statistice, operatorul poate aplica derogări în conformitate cu articolul 25 alineatul (3) din Regulamentul (UE) 2018/1725. În acest scop, operatorul poate deroga de la drepturile menționate la articolele 17, 18, 20 și 23 din Regulamentul (UE) 2018/1725 în conformitate cu condițiile prevăzute la articolul 25 alineatul (3) din regulamentul respectiv.

(3)   Derogările fac obiectul unor garanții adecvate, în conformitate cu articolul 13 din Regulamentul (UE) 2018/1725 și cu articolul 28 alineatele (1) și (2) din prezenta decizie. Măsurile tehnice și organizatorice se pun în practică în conformitate cu articolul 2 alineatul (6) litera (a) și cu articolul 10 din prezenta decizie, în special pentru a asigura respectarea principiului reducerii la minimum a datelor și, după caz, a principiului pseudonimizării.

SECȚIUNEA 2

Restricții

Articolul 27

Obiect și domeniu de aplicare

(1)   Prezenta secțiune prevede condițiile generale în care operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din regulamentul menționat, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în conformitate cu articolul 25 din regulamentul respectiv.

Condițiile generale menționate la primul paragraf sunt completate de dispozițiile anexelor la prezenta decizie, care precizează condițiile în care Parlamentul European poate restricționa drepturile persoanelor vizate în cazul fiecăreia dintre activitățile și procedurile sale atunci când sunt prelucrate date cu caracter personal și ar putea fi necesare restricții.

(2)   Prezenta secțiune se aplică prelucrării datelor cu caracter personal în scopul activităților și procedurilor desfășurate de Parlamentul European, astfel cum se prevede în anexele la prezenta decizie.

(3)   În scopul fiecărei prelucrări și restricții, operatorul competent se stabilește în temeiul articolului 2 din prezenta decizie.

Articolul 28

Garanții

(1)   Datele cu caracter personal vizate de o restricție sunt stocate într-un mediu fizic sau electronic sigur, care previne accesul sau transferul ilegal al datelor către persoane care nu au nevoie să le cunoască.

(2)   După încheierea prelucrării, documentele care conțin datele cu caracter personal sunt păstrate în conformitate cu normele aplicabile ale Parlamentului European (3).

(3)   Înainte de a se aplica o restricție, se evaluează dacă restricția este necesară și proporțională și se evaluează riscurilor pentru persoanele vizate, în conformitate cu articolul 35 din prezenta decizie.

Articolul 29

Restricțiile aplicabile

(1)   Sub rezerva articolelor 30-36 și a specificațiilor prevăzute în anexele la prezenta decizie, operatorul poate impune restricții cu privire la drepturile persoanei vizate care sunt menționate în mod explicit în anexele aplicabile, în cazul în care exercitarea acestor drepturi ar pune în pericol scopul uneia dintre activitățile sau procedurile prevăzute în anexele respective.

(2)   Operatorul consemnează și înregistrează motivele care stau la baza restricției în conformitate cu articolul 35 din prezenta decizie.

Articolul 30

Furnizarea de informații persoanelor vizate

(1)   Parlamentul European publică pe site-ul său anunțuri privind protecția datelor prin care informează toate persoanele vizate cu privire la activitățile sale care implică prelucrarea datelor lor cu caracter personal și la o eventuală restricționare a drepturilor lor în acest context. Informațiile specifică drepturile care pot fi restricționate, motivele unor astfel de restricții, durata lor potențială și căile de atac posibile.

(2)   Dacă este posibil, operatorul informează în mod direct, fără întârzieri nejustificate și în formatul cel mai adecvat, fiecare persoană vizată cu privire la drepturile sale în raport cu aceste restricții, care se stabilesc de la caz la caz. Informațiile specifică drepturile care pot fi restricționate, motivele unor astfel de restricții, durata lor potențială și căile de atac posibile.

Articolul 31

Dreptul de a fi informat

(1)   În cazul în care operatorul restricționează dreptul la informare menționat la articolele 15 și 16 din Regulamentul (UE) 2018/1725, persoanele vizate sunt informate, în conformitate cu articolul 25 alineatul (6) din regulamentul respectiv, cu privire la principalele motive care stau la baza aplicării restricției și cu privire la dreptul lor de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor.

(2)   Cu toate acestea, furnizarea de informații poate fi amânată, omisă sau refuzată, în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725, atât timp cât ar anula efectul restricției.

(3)   În cazul în care operatorul amână, omite sau refuză, total sau parțial, furnizarea de informații persoanelor vizate în sensul alineatului (2) din prezentul articol, acesta consemnează și înregistrează motivele corespunzătoare în conformitate cu articolul 35 din prezenta decizie.

Articolul 32

Dreptul de acces al persoanelor vizate, dreptul la rectificare, dreptul la ștergere, dreptul la restricționarea prelucrării și obligația de notificare

(1)   În cazul în care operatorul restricționează, integral sau parțial, dreptul de acces la datele cu caracter personal de către persoanele vizate, dreptul de rectificare, dreptul de ștergere sau dreptul de restricționare a prelucrării, astfel cum se menționează la articolele 17, 18, 19 și, respectiv, 20 din Regulamentul (UE) 2018/1725, precum și obligația de notificare în temeiul articolului 21 din regulamentul respectiv, operatorul informează persoana vizată, în răspunsul său la cererea de acces, de rectificare, de ștergere sau de restricționare a prelucrării, cu privire la restricția aplicată și la principalele motive care stau la baza acesteia, precum și cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene (denumită în continuare „Curtea de Justiție”).

(2)   Furnizarea de informații privind motivele restricției menționate la alineatul (1) poate fi amânată, omisă sau refuzată atât timp cât ar anula efectul restricției.

(3)   Operatorul înregistrează motivele amânării, omisiunii sau refuzului în conformitate cu articolul 35 din prezenta decizie.

(4)   În cazul în care dreptul de acces este restricționat integral sau parțial, iar persoana vizată și-a exercitat dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor, aceasta din urmă informează persoana vizată, și nicio altă persoană, dacă datele au fost prelucrate corect sau, în caz contrar, dacă au fost efectuate corecții în conformitate cu articolul 25 alineatul (7) din Regulamentul (UE) 2018/1725.

Articolul 33

Comunicarea către persoana vizată a unei încălcări a securității datelor cu caracter personal

În cazul în care operatorul restricționează aplicarea articolului 35 din Regulamentul (UE) 2018/1725, acesta consemnează și înregistrează motivele restricționării în conformitate cu articolul 35 din prezenta decizie.

Articolul 34

Confidențialitatea comunicațiilor electronice

În cazul în care operatorul restricționează obligația Parlamentului European de a asigura confidențialitatea comunicațiilor electronice menționată la articolul 36 din Regulamentul (UE) 2018/1725, operatorul consemnează și înregistrează motivele restricționării în conformitate cu articolul 35 din prezenta decizie.

Articolul 35

Evaluarea necesității și a proporționalității, consemnarea și înregistrarea restricțiilor

(1)   Înainte de aplicarea oricăror restricții specifice, operatorul evaluează dacă restricțiile sunt necesare și proporționale, luând în considerare elementele relevante prevăzute la articolul 25 alineatul (2) din Regulamentul (UE) 2018/1725. Evaluarea respectivă include, de asemenea, o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate în cauză, în special a riscului ca datele lor cu caracter personal să fie prelucrate în continuare fără știrea lor, precum și ca persoanele vizate să fie împiedicate să-și exercite drepturile în conformitate cu Regulamentul (UE) 2018/1725. Evaluarea respectivă se documentează printr-o notă de evaluare internă și este efectuată de la caz la caz.

(2)   Operatorul consemnează motivele care stau la baza oricărei restricții aplicate în temeiul prezentei decizii, inclusiv evaluarea efectuată în temeiul alineatului (1).

În acest scop, în consemnare se precizează modul în care exercitarea drepturilor persoanei vizate ar periclita scopul uneia dintre activitățile sau procedurile desfășurate de Parlamentul European, astfel cum sunt definite în anexele la prezenta decizie.

(3)   Atunci când, în temeiul articolului 25 alineatul (8) din Regulamentul (UE) 2018/1725, operatorul amână, omite sau refuză informarea unei persoane vizate cu privire la aplicarea unei restricții, operatorul consemnează, de asemenea, dacă este cazul, motivele pe care se bazează.

(4)   Consemnarea și, dacă este cazul, documentele care conțin elemente faptice și juridice subiacente sunt păstrate într-un registru central. Acestea sunt puse, la cerere, la dispoziția Autorității Europene pentru Protecția Datelor.

Articolul 36

Durata restricțiilor

(1)   Restricțiile menționate la articolele 29 și 31-34 din prezenta decizie, coroborate cu anexele la prezenta decizie aplicabile, se aplică atât timp cât motivele care le justifică rămân aplicabile.

(2)   În cazul în care motivele care stau la baza unei restricții menționate la articolele 29 și 31-34 din prezenta decizie, coroborate cu anexele la prezenta decizie aplicabile, încetează să existe, operatorul ridică restricția respectivă. În același timp, operatorul furnizează persoanei vizate principalele motive care stau la baza restricției și informează persoana vizată cu privire la posibilitatea de a depune în orice moment o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție.

(3)   Operatorul evaluează aplicarea restricțiilor menționate la articolele 29 și 31-34 din prezenta decizie, coroborate cu anexele la prezenta decizie aplicabile, din șase în șase luni de la adoptarea acesteia și la încheierea procedurii relevante. Ulterior, în scopul activităților și procedurilor prevăzute în anexele I, II, V, VI, VII, VIII, IX și X la prezenta decizie, operatorul monitorizează nevoia de a menține fiecare dintre restricții o dată pe an.

Articolul 37

Reexaminarea de către responsabilul cu protecția datelor

(1)   Responsabilul cu protecția datelor este informat, fără întârzieri nejustificate, ori de câte ori drepturile persoanelor vizate sunt restricționate în conformitate cu prezenta secțiune.

La cerere, responsabilului cu protecția datelor i se asigură accesul la consemnare și la orice documente care conțin elemente faptice și juridice subiacente.

(2)   Responsabilul cu protecția datelor poate solicita operatorului o reexaminare a restricțiilor. Responsabilul cu protecția datelor este informat în scris cu privire la rezultatul reexaminării solicitate.

(3)   Toate schimburile de informații cu responsabilul cu protecția datelor pe tot parcursul procedurii, în conformitate cu alineatele (1) și (2), se înregistrează într-o formă adecvată.

Articolul 38

Anexe

Anexele la prezenta decizie fac parte integrantă din prezenta decizie.

CAPITOLUL VI

DISPOZIȚII FINALE

Articolul 39

Căi de atac

(1)   Orice membru al personalului Parlamentului European poate depune o plângere la Autoritatea Europeană pentru Protecția Datelor în temeiul articolului 68 din Regulamentul (UE) 2018/1725. Depunerea unei astfel de plângeri nu are drept efect suspendarea termenului de depunere a plângerilor în conformitate cu articolul 90 din Statutul funcționarilor.

(2)   Independent de dreptul menționat la alineatul (1), orice membru al personalului Parlamentului European poate depune la autoritatea împuternicită să facă numiri, în temeiul articolului 90 din Statutul funcționarilor, plângeri având drept obiect prelucrarea datelor cu caracter personal. În plângerea sa, membrul personalului indică dacă a fost depusă o plângere la Autoritatea Europeană pentru Protecția Datelor în paralel cu plângerea prezentată în temeiul Statutului funcționarilor.

În cazul unei plângeri în temeiul articolului 90 alineatul (2) din Statutul funcționarilor, responsabilul cu protecția datelor este consultat de către serviciile competente ale Parlamentului European.

Articolul 40

Acte abrogate

(1)   Normele de aplicare a Regulamentului (CE) nr. 45/2001 al Parlamentului European și al Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date, stabilite prin decizia Biroului din 22 iunie 2005 (4), se abrogă cu efect de la data intrării în vigoare a prezentei decizii.

(2)   Decizia Biroului Parlamentului European din 3 aprilie 2019 privind normele de punere în aplicare privind restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește transferul de date cu caracter personal de către Parlamentul European autorităților naționale în contextul anchetelor penale sau financiare (5) se abrogă cu efect de la data intrării în vigoare a prezentei decizii.

Articolul 41

Intrarea în vigoare

Prezenta decizie intră în vigoare în ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene.


(1)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(2)  JO L 56, 4.3.1968, p. 1.

(3)  Decizia Biroului din 2 iulie 2012 privind normele de gestionare a documentelor în Parlamentul European.

(4)  JO C 308, 6.12.2005, p. 1.

(5)  JO C 163, 13.5.2019, p. 1.


ANEXA I

Prevenirea internă a incidentelor de securitate și investigarea acestora, anchete de securitate și investigații auxiliare

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul procedurilor prevăzute la punctul 2.

2.

Prezenta anexă stabilește condițiile specifice în care operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja securitatea internă a Parlamentului European, inclusiv cea a rețelelor sale de comunicații electronice, în conformitate cu articolul 25 alineatul (1) litera (d) din regulamentul respectiv, atunci când se realizează evaluări interne ale riscurilor, controale ale accesului, inclusiv verificări ale antecedentelor, măsuri de prevenire și de investigare a incidentelor de securitate, inclusiv a incidentelor din domeniul tehnologiei informației și comunicațiilor (1), precum și anchete de securitate și investigații auxiliare din proprie inițiativă sau la cererea unor terți (2).

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date financiare;

(e)

date privind traficul, inclusiv orele de conectare și de deconectare, accesul la aplicațiile interne și la resursele bazate pe rețea și utilizarea internetului;

(f)

date de supraveghere video;

(g)

înregistrări audio;

(h)

date privind prezența persoanelor;

(i)

date privind activitățile externe ale persoanelor;

(j)

date privind presupuse infracțiuni, infracțiuni, condamnări penale sau măsuri de securitate;

(k)

orice alte date referitoare la obiectul evaluărilor de risc relevante, al controalelor accesului, inclusiv al verificărilor antecedentelor, al investigațiilor incidentelor de securitate, al anchetelor de securitate și al investigațiilor auxiliare realizate de Parlamentul European din proprie inițiativă sau la cererea unor terți.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar pune în pericol evaluările interne ale riscurilor, controalele accesului, inclusiv verificările antecedentelor, măsurile de prevenire și de investigare a incidentelor de securitate, anchetele de securitate și investigațiile auxiliare realizate de Parlamentul European, inclusiv în domeniul rețelelor de comunicații electronice, printre altele, prin dezvăluirea instrumentelor și metodelor lor de investigare.


(1)  Decizia Biroului din 7 septembrie 2015 privind Politica de securitate în domeniul sistemelor de tehnologie a informației și comunicațiilor în Parlamentul European.

(2)  Decizia Biroului din 15 ianuarie 2018 referitoare la normele privind securitatea și siguranța în Parlamentul European.


ANEXA II

Proceduri disciplinare, anchete administrative și investigații privind chestiuni legate de personal

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul procedurilor prevăzute la punctul 2.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când desfășoară proceduri disciplinare, anchete administrative și investigații privind chestiuni legate de personal în temeiul articolului 86 și al anexei IX la Statutul funcționarilor, precum și investigații în contextul cererilor de asistență prezentate în temeiul articolului 24 din Statutul funcționarilor în ceea ce privește presupuse cazuri de hărțuire, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja:

(a)

alte obiective importante de interes public general ale Uniunii, cum ar fi capacitatea Parlamentului European de a-și îndeplini obligațiile în temeiul Statutului funcționarilor și de a-și desfășura politica internă de personal, în conformitate cu articolul 25 alineatul (1) litera (c) din regulamentul respectiv;

(b)

prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate, în conformitate cu articolul 25 alineatul (1) litera (f) din regulamentul respectiv;

(c)

o funcție de monitorizare, inspecție sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la articolul 25 alineatul (1) litera (c) din regulamentul respectiv, în conformitate cu articolul 25 alineatul (1) litera (g) din același regulament; și

(d)

protecția drepturilor și libertăților altor persoane vizate, în conformitate cu articolul 25 alineatul (1) litera (h) din regulamentul respectiv.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date privind prezența persoanelor;

(e)

date privind activitățile externe ale persoanelor;

(f)

date care dezvăluie originea rasială sau etnică, convingerile religioase sau filozofice sau date privind starea de sănătate;

(g)

orice alte date referitoare la obiectul procedurilor disciplinare relevante, al anchetelor administrative și al investigațiilor privind chestiuni legate de personal realizate de Parlamentul European.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita scopul și eficacitatea procedurilor disciplinare, a anchetelor administrative sau a investigațiilor privind chestiuni legate de personal, inclusiv a investigațiilor privind presupusele cazuri de hărțuire sau ar afecta în mod negativ drepturile și libertățile altor persoane vizate.


ANEXA III

Procedurile de selecție

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul realizării procedurilor de selecție.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când se desfășoară proceduri de selecție (1), operatorul poate restricționa aplicarea articolul 17 din Regulamentul (UE) 2018/1725, pentru a proteja:

(a)

alte obiective importante de interes public general ale Uniunii, cum ar fi capacitatea Parlamentului European de a-și îndeplini obligațiile în temeiul Statutului funcționarilor și de a-și desfășura politica internă de personal, în conformitate cu articolul 25 alineatul (1) litera (c) din regulamentul respectiv; și

(b)

protecția drepturilor și libertăților altor persoane vizate, în conformitate cu articolul 25 alineatul (1) litera (h) din regulamentul respectiv.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

discursuri înregistrate sau teste ale candidaților;

(e)

fișe de evaluare;

(f)

orice alte date referitoare la procedurile de selecție relevante realizate de Parlamentul European.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-35 din prezenta decizie, operatorul poate restricționa aplicarea dreptului persoanelor vizate de a avea acces la datele lor cu caracter personal, în temeiul articolului 17 din Regulamentul (UE) 2018/1725, în cazul în care exercitarea acestui drept ar periclita scopul și eficacitatea unor astfel de proceduri de selecție, în special prin dezvăluirea evaluărilor efectuate de comitetele de selecție sau ar afecta în mod negativ drepturile și libertățile altor persoane vizate, în special prin dezvăluirea datelor cu caracter personal ale altor candidați.

3.   Durata restricțiilor

Prin derogare de la articolul 36 din prezenta decizie, se aplică următoarele norme în ceea ce privește durata restricțiilor:

restricțiile aplicate în temeiul prezentei anexe continuă să se aplice atâta timp cât motivele care le justifică rămân aplicabile;

operatorul ridică restricția în cazul în care motivele care stau la baza unei restricții nu mai există și persoana vizată a solicitat din nou accesul la datele cu caracter personal în cauză. În același timp, operatorul furnizează persoanei vizate principalele motive care stau la baza restricției și informează persoana vizată cu privire la posibilitatea de a depune în orice moment o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție.


(1)  Printre acestea se numără procedurile de selecție pentru agenții temporari și contractuali, precum și concursurile interne.


ANEXA IV

Dosare medicale

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică accesului la datele medicale personale ale membrilor personalului și ale deputaților în Parlamentul European.

2.

Prezenta anexă stabilește condițiile specifice în care operatorul poate restricționa aplicarea articolul 17 din Regulamentul (UE) 2018/1725 pentru a garanta protecția persoanei vizate atunci când se prelucrează date medicale ale membrilor personalului în temeiul Statutului funcționarilor și al Statutului deputaților din Parlamentul European potrivit Normelor de aplicare a Statutului deputaților în Parlamentul European (1), în conformitate cu articolul 25 alineatul (1) litera (h) din regulamentul respectiv.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date medicale.

2.   Restricțiile aplicabile

1.

Sub rezerva articolelor 30-35 din prezenta decizie, operatorul poate restricționa aplicarea dreptului de acces direct la datele medicale personale, inclusiv de natură psihologică sau psihiatrică despre persoana vizată, care sunt prelucrate de Parlamentul European, în cazul în care accesul la astfel de date este susceptibil să reprezinte un risc pentru sănătatea persoanei vizate. Această restricție este proporțională cu ceea ce este strict necesar pentru a proteja persoana vizată. Accesul la informațiile menționate la prezentul punct se acordă, prin urmare, la cerere, unui medic ales de persoana vizată.

2.

Înainte de aplicarea unei restricții în temeiul punctului 1, un medic, care acționează în numele Parlamentului European, motivează orice astfel de restricție, iar motivele respective sunt incluse în dosarul medical al persoanei în cauză.

3.   Durata restricțiilor

Prin derogare de la articolul 36 din prezenta decizie, se aplică următoarele norme în ceea ce privește durata restricțiilor:

restricțiile aplicate în temeiul prezentei anexe continuă să se aplice atâta timp cât motivele care le justifică rămân aplicabile;

operatorul ridică restricția în cazul în care motivele care stau la baza unei restricții nu mai există și persoana vizată a solicitat din nou accesul la datele medicale personale în cauză. În același timp, operatorul furnizează persoanei vizate principalele motive care stau la baza restricției și informează persoana vizată cu privire la posibilitatea de a depune în orice moment o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție.


(1)  Decizia Biroului din 19 mai și 9 iulie 2008 privind normele de aplicare a Statutului deputaților în Parlamentul European, astfel cum a fost modificată prin deciziile Biroului din 11 noiembrie 2009, 23 noiembrie 2009, 14 decembrie 2009, 19 aprilie 2010, 5 iulie 2010, 13 decembrie 2010, 14 februarie 2011, 23 martie 2011, 14 noiembrie 2011, 12 decembrie 2012, 1 iulie 2013, 16 iunie 2014, 15 septembrie 2014, 15 decembrie 2014, 26 octombrie 2015, 14 decembrie 2015, 12 decembrie 2016, 13 decembrie 2017, 11 iunie 2018, 2 iulie 2018 și 10 decembrie 2018.


ANEXA V

Examinarea plângerilor depuse de membri ai personalului

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul tratării plângerilor în temeiul Statutului funcționarilor.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când se examinează plângeri ale personalului în conformitate cu articolul 90 din Statutul funcționarilor (1), operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja:

(a)

alte obiective importante de interes public general ale Uniunii, cum ar fi capacitatea Parlamentului European de a-și îndeplini obligațiile în temeiul Statutului funcționarilor, în conformitate cu articolul 25 alineatul (1) litera (c) din regulamentul respectiv; și

(b)

prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate, în conformitate cu articolul 25 alineatul (1) litera (f) din regulamentul respectiv.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

orice alte date legate de plângerile relevante depuse de membri ai personalului.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita procedurile legate de plângerile depuse în temeiul Statutului funcționarilor.


(1)  În cadrul examinării plângerilor membrilor personalului în temeiul articolului 90 din Statutul funcționarilor, Parlamentul European poate prelucra datele cu caracter personal ale membrilor personalului, alții decât reclamantul, în scopul verificării respectării principiul egalității de tratament.


ANEXA VI

Auditurile interne

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul efectuării auditurilor interne.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când se efectuează audituri interne în sensul articolelor 118 și 119 din Regulamentul (UE, Euratom) 2018/1046 (1) și în temeiul Cartei auditorului intern, adoptată de Birou la 14 ianuarie 2019, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja:

(a)

alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special interesul financiar al Uniunii sau al unui stat membru, în conformitate cu articolul 25 alineatul (1) litera (c) din regulamentul respectiv; și

(b)

o funcție de monitorizare, inspecție sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la articolul 25 alineatul (1) litera (c) din regulamentul respectiv, în conformitate cu articolul 25 alineatul (1) litera (g) din același regulament.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date financiare;

(e)

date privind traficul;

(f)

date privind prezența persoanelor;

(g)

date privind activitățile externe ale persoanelor;

(h)

date privind afilierea politică;

(i)

orice alte date legate de obiectul activității de audit relevante.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita scopul efectuării auditurilor interne de către Parlamentul European.


(1)  Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).


ANEXA VII

Proceduri judiciare

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul realizării procedurilor judiciare.

2.

Prezenta anexă stabilește condițiile generale în care operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a garanta protejarea procedurilor judiciare, în conformitate cu articolul 25 alineatul (1) litera (e).

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date financiare;

(e)

date privind traficul;

(f)

date privind prezența persoanelor;

(g)

date privind activitățile externe ale persoanelor;

(h)

orice alte date legate de obiectul procedurilor judiciare relevante.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita efectuarea procedurilor judiciare.


ANEXA VIII

Monitorizare financiară și investigații financiare

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal de către operator în scopul efectuării monitorizării și investigațiilor financiare în sensul punctului 2.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când se desfășoară activități de monitorizare și de investigare cu privire la legalitatea tranzacțiilor financiare efectuate de către Parlamentul European și în cadrul acestuia, monitorizarea și investigațiile cu privire la drepturile deputaților (1), precum și monitorizarea și investigațiile privind finanțarea partidelor politice europene, a fundațiilor politice europene și a grupurilor politice europene, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja:

(a)

prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, în conformitate cu articolul 25 alineatul (1) litera (b) din regulamentul respectiv;

(b)

alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special interesul financiar al Uniunii sau al unui stat membru, în conformitate cu articolul 25 alineatul (1) litera (c) din regulamentul respectiv; și

(c)

o funcție de monitorizare, inspecție sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la articolul 25 alineatul (1) literele (b) și (c) din regulamentul respectiv, în conformitate cu articolul 25 alineatul (1) litera (g) din același regulament.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date financiare;

(e)

date privind traficul;

(f)

date privind prezența persoanelor;

(g)

date privind activitățile externe ale persoanelor;

(h)

date privind afilierea politică;

(i)

orice alte date legate de obiectul monitorizării și investigațiilor financiare relevante efectuate de Parlamentul European.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita scopul și eficacitatea monitorizării și investigațiilor financiare efectuate de Parlamentul European.


(1)  Printre acestea se numără, în special, investigațiile privind indemnizațiile pentru cheltuieli generale, alocațiile pentru personal, alocațiile pentru echipamente și instalații, precum și indemnizațiile de deplasare.


ANEXA IX

Cooperarea cu Oficiul European de Luptă Antifraudă („OLAF”)

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal, în special transferului de date cu caracter personal de către operator, în scopul de a furniza OLAF informații și documente, de a aduce cazuri în atenția OLAF sau de a prelucra informații și documente care provin de la OLAF.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când se furnizează informații și documente către OLAF, la cererea OLAF sau din proprie inițiativă, atunci când este sesizat OLAF sau când se prelucrează informații și documente provenind de la OLAF, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja:

(a)

prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, în conformitate cu articolul 25 alineatul (1) litera (b) din regulamentul respectiv; și

(b)

prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate, în conformitate cu articolul 25 alineatul (1) litera (f) din regulamentul respectiv.

3.

Prezenta anexă nu se aplică prelucrării datelor cu caracter personal în cazul cărora OLAF acționează în calitate de operator, în special în cazul în care OLAF prelucrează datele cu caracter personal deținute în clădirile Parlamentului European în temeiul articolului 4 alineatul (2) și al articolului 6 din Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului (1).

4.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale, inclusiv contracte ale asistenților parlamentari acreditați și contracte ale asistenților locali, contracte de prestări de servicii și date privind misiunile;

(d)

date financiare;

(e)

date privind traficul;

(f)

date privind prezența persoanelor;

(g)

date privind activitățile externe ale persoanelor;

(h)

date privind afilierea politică;

(i)

orice alte date referitoare la obiectul investigației relevante efectuate de OLAF sau de Parlamentul European în cooperare cu OLAF.

2.   Restricțiile aplicabile

1.

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita scopul activităților de investigație ale OLAF sau ale activităților de investigație ale Parlamentului European în cooperare cu OLAF, inclusiv prin dezvăluirea instrumentelor și metodelor lor de investigare.

2.

Sub rezerva articolelor 30-36 din prezenta decizie, Parlamentul European poate restricționa drepturile și obligațiile menționate la punctul 1 în ceea ce privește datele cu caracter personal obținute de la OLAF în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de OLAF în temeiul articolului 2 alineatul (3) din Decizia (UE) 2018/1962 a Comisiei (2).

(1)  Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului din 11 septembrie 2013 privind investigațiile efectuate de Oficiul European de Luptă Antifraudă (OLAF) și de abrogare a Regulamentului (CE) nr. 1073/1999 al Parlamentului European și al Consiliului și a Regulamentului (Euratom) nr. 1074/1999 al Consiliului (JO L 248, 18.9.2013, p. 1).

(2)  Decizia (UE) 2018/1962 a Comisia din 11 decembrie 2018 de stabilire a normelor interne privind prelucrarea datelor cu caracter personal de către Oficiul European de Luptă Antifraudă (OLAF) în ceea ce privește furnizarea de informații persoanelor vizate și restricționarea anumitor drepturi ale acestora în conformitate cu articolul 25 din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (JO L 315, 12.12.2018, p. 41).


ANEXA X

Cooperarea cu statele membre în contextul anchetelor penale sau financiare

1.   Obiect și domeniu de aplicare

1.

Prezenta anexă se aplică prelucrării datelor cu caracter personal, în special transferului de date cu caracter personal de către operator în scopul transmiterii către autoritățile naționale de informații și documente solicitate de acestea în cadrul anchetelor lor penale sau financiare.

2.

Prezenta anexă stabilește condițiile specifice în care, atunci când se furnizează autorităților naționale informații și documente solicitate de acestea în cadrul anchetelor lor penale sau financiare (1), operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, pentru a proteja:

(a)

prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, în conformitate cu articolul 25 alineatul (1) litera (b) din regulamentul respectiv;

(b)

protejarea independenței judiciare și a procedurilor judiciare, în conformitate cu articolul 25 alineatul (1) litera (e) din regulamentul respectiv; și

(c)

prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate, în conformitate cu articolul 25 alineatul (1) litera (f) din regulamentul respectiv.

3.

Prezenta anexă se aplică următoarelor categorii de date cu caracter personal:

(a)

date de identificare;

(b)

date de contact;

(c)

date profesionale;

(d)

date financiare;

(e)

comunicații electronice;

(f)

date privind traficul;

(g)

date de supraveghere video;

(h)

înregistrări audio;

(i)

date privind prezența persoanelor;

(j)

orice alte date legate de obiectul anchetei relevante realizate de autoritățile naționale.

2.   Restricțiile aplicabile

Sub rezerva articolelor 30-36 din prezenta decizie, operatorul poate restricționa aplicarea articolelor 14-21, 35 și 36 din Regulamentul (UE) 2018/1725, precum și a articolului 4 din același regulament, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-21 din regulamentul respectiv, în cazul în care exercitarea acestor drepturi ar periclita scopul anchetelor penale și financiare naționale.


(1)  Parlamentul trebuie să le furnizeze autorităților naționale informațiile și documentele solicitate în conformitate cu principiul cooperării loiale consacrat la articolul 4 alineatul (3) din Tratatul privind Uniunea Europeană.