ISSN 1977-0782

Jurnalul Oficial

al Uniunii Europene

L 295

European flag  

Ediţia în limba română

Legislaţie

Anul 61
21 noiembrie 2018


Cuprins

 

I   Acte legislative

Pagina

 

 

REGULAMENTE

 

*

Regulamentul (UE) 2018/1724 al Parlamentului European și al Consiliului din 2 octombrie 2018 privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1024/2012 ( 1 )

1

 

*

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE ( 1 )

39

 

*

Regulamentul (UE) 2018/1726 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) și de modificare a Regulamentului (CE) nr. 1987/2006 și a Deciziei 2007/533/JAI a Consiliului, precum și de abrogare a Regulamentului (UE) nr. 1077/2011

99

 

*

Regulamentul (UE) 2018/1727 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind Agenția Uniunii Europene pentru Cooperare în Materie de Justiție Penală (Eurojust) și de înlocuire și abrogare a Deciziei 2002/187/JAI a Consiliului

138

 


 

(1)   Text cu relevanță pentru SEE.

RO

Actele ale căror titluri sunt tipărite cu caractere drepte sunt acte de gestionare curentă adoptate în cadrul politicii agricole şi care au, în general, o perioadă de valabilitate limitată.

Titlurile celorlalte acte sunt tipărite cu caractere aldine şi sunt precedate de un asterisc.


I Acte legislative

REGULAMENTE

21.11.2018   

RO

Jurnalul Oficial al Uniunii Europene

L 295/1


REGULAMENTUL (UE) 2018/1724 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 2 octombrie 2018

privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1024/2012

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 21 alineatul (2) și articolul 114 alineatul (1),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European (1),

hotărând în conformitate cu procedura legislativă ordinară (2),

întrucât:

(1)

Piața internă este una dintre cele mai tangibile realizări ale Uniunii. Datorită faptului că permite persoanelor, bunurilor, serviciilor și capitalurilor să circule liber, ea oferă noi oportunități pentru cetățeni și întreprinderi. Prezentul regulament este unul dintre elementele esențiale ale Strategiei privind piața unică, instituită prin Comunicarea Comisiei din 28 octombrie 2015 intitulată „Ameliorarea pieței unice: mai multe oportunități pentru cetățeni și pentru întreprinderi”. Respectiva strategie are ca scop deblocarea întregului potențial al pieței interne prin facilitarea deplasării cetățenilor și a întreprinderilor în interiorul Uniunii și a schimburilor comerciale, permițându-le acestora să se stabilească și să își extindă activitățile la nivel transfrontalier.

(2)

Comunicarea Comisiei din 6 mai 2015 intitulată „O strategie privind piața unică digitală pentru Europa” a recunoscut rolul internetului și al tehnologiilor digitale în transformarea modului în care trăim și în care cetățenii și întreprinderile accesează informații, dobândesc cunoștințe, cumpără bunuri și servicii, participă pe piață și își desfășoară activitățile, facilitând astfel accesul la oportunități de inovare, creștere economică și locuri de muncă. În această comunicare, precum și în mai multe rezoluții adoptate de Parlamentul European, s-a recunoscut faptul că nevoile cetățenilor și întreprinderilor atât în propriile lor țări, cât și la nivel transfrontalier ar putea fi mai bine satisfăcute prin extinderea și integrarea portalurilor, a site-urilor web, a rețelelor, a serviciilor și a sistemelor europene existente și prin conectarea acestora la diverse soluții de la nivel național, creând astfel un portal digital unic (gateway) care servește drept punct unic de intrare la nivel european („portalul”). Comunicarea Comisiei din 19 aprilie 2016 intitulată „Planul de acțiune al UE privind guvernarea electronică 2016-2020 – Accelerarea transformării digitale a guvernării” a plasat portalul printre acțiunile sale pentru 2017. Raportul Comisiei din 24 ianuarie 2017 intitulat „Consolidarea drepturilor cetățenilor într-o Uniune a schimbărilor democratice – Raportul din 2017 privind cetățenia Uniunii” considera portalul a fi o prioritate pentru drepturile cetățenilor Uniunii.

(3)

Parlamentul European și Consiliul au solicitat în mod repetat un pachet de informații și asistență mai amplu și mai ușor de utilizat pentru a ajuta cetățenii și întreprinderile să navigheze pe piața internă și pentru a consolida și a raționaliza instrumentele pieței interne, pentru a răspunde mai bine nevoilor cetățenilor și ale întreprinderilor în activitățile lor transfrontaliere.

(4)

Prezentul regulament răspunde respectivelor solicitări prin punerea la dispoziția cetățenilor și a întreprinderilor a unui acces ușor la informațiile, la procedurile și la serviciile de asistență și de soluționare a problemelor de care au nevoie pentru a-și exercita drepturile în cadrul pieței interne. Portalul ar putea contribui la o mai mare transparență a normelor și reglementărilor care vizează diverse aspecte ale activității comerciale și ale vieții, în domenii precum călătoriile, pensionarea, educația, ocuparea unui loc de muncă, sănătatea, drepturile consumatorilor și drepturile familiei. În plus, ar putea contribui la îmbunătățirea încrederii consumatorilor, la creșterea gradului de informare cu privire la aspecte legate de protecția consumatorilor și la normele pieței interne, precum și la reducerea costurilor de conformitate pentru întreprinderi. Prezentul regulament instituie un portal interactiv și ușor de utilizat, care, în funcție de nevoile utilizatorilor, îi va îndruma către serviciile cele mai potrivite. În acest context, Comisia și statele membre ar trebui să joace un rol important în îndeplinirea obiectivelor menționate mai sus.

(5)

Portalul ar trebui să faciliteze interacțiunile dintre cetățeni și întreprinderi, pe de o parte, și autoritățile competente, pe de altă parte, prin asigurarea unui acces la soluții online, prin facilitarea activităților de zi cu zi ale cetățenilor și ale întreprinderilor și prin reducerea la minimum a obstacolelor întâmpinate pe piața internă. Existența unui portal digital unic, care oferă acces online la informații exacte și actualizate, la proceduri și la servicii de asistență și de soluționare a problemelor, ar putea contribui la creșterea gradului de sensibilizare în rândul utilizatorilor cu privire la diferite servicii ce există online și le-ar putea aduce utilizatorilor economii de timp și de bani.

(6)

Prezentul regulament are trei obiective, și anume, reducerea oricăror sarcini administrative suplimentare suportate de cetățenii și întreprinderile care își exercită sau doresc să-și exercite drepturile pe piața internă, inclusiv dreptul la libera circulație a cetățenilor, în deplină conformitate cu normele și procedurile naționale, eliminarea discriminării și asigurarea funcționării pieței interne în ceea ce privește furnizarea de informații, de proceduri și de servicii de asistență și soluționare a problemelor. Deoarece acoperă libera circulație a cetățenilor, care nu poate fi considerată ca având un simplu caracter accesoriu, prezentul regulament ar trebui să se bazeze pe articolul 21 alineatul (2) și articolul 114 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE).

(7)

Pentru ca cetățenii și întreprinderile din Uniune să se bucure de dreptul lor la liberă circulație în cadrul pieței interne, Uniunea ar trebui să adopte măsuri specifice și nediscriminatorii care să le permită cetățenilor și întreprinderilor să aibă acces cu ușurință la informații suficient de complete și fiabile cu privire la drepturile lor în temeiul dreptului Uniunii și la informarea în legătură cu normele și procedurile naționale aplicabile pe care vor trebui să le respecte atunci când se mută, locuiesc sau studiază sau atunci când stabilesc sau desfășoară activități comerciale într-un alt stat membru decât cel de origine. Informațiile sunt considerate a fi suficient de complete dacă includ toate informațiile necesare pentru ca utilizatorii să înțeleagă drepturile și obligațiile ce le revin și identifică normele care se aplică lor în legătură cu activitățile pe care doresc să le întreprindă în calitate de utilizatori transfrontalieri. Informațiile respective ar trebui formulate într-un mod clar, concis și ușor de înțeles și ar trebui să fie funcționale și bine adaptate pentru utilizatorii vizați. Informațiile privind procedurile ar trebui să acopere toate etapele procedurale previzibile care au relevanță pentru utilizator. Este important ca cetățenii și întreprinderile care se confruntă cu cadre de reglementare complexe, cum sunt cei activi în comerțul electronic și în economia colaborativă, să poată găsi cu ușurință normele aplicabile și modul în care acestea se aplică activităților lor. Accesul ușor și practic la informații înseamnă un acces care le permite utilizatorilor să găsească cu ușurință informațiile necesare, să identifice cu ușurință elementele acestor informații care au relevanță pentru situația lor specifică și să înțeleagă cu ușurință informațiile pertinente. Informațiile care urmează a fi furnizate la nivel național ar trebui să aibă în vedere nu numai normele naționale de punere în aplicare a dreptul Uniunii, ci și orice alte norme naționale care sunt aplicabile atât utilizatorilor netransfrontalieri, cât și celor transfrontalieri.

(8)

Normele privind furnizarea informațiilor în prezentul regulament nu ar trebui să se aplice sistemelor judiciare naționale, deoarece informațiile din acest domeniu care sunt relevante pentru utilizatorii transfrontalieri sunt deja incluse în portalul e-justiție. În anumite situații care intră sub incidența prezentului regulament, instanțele ar trebui considerate a fi autorități competente, de exemplu atunci când gestionează registrele comerțului. În plus, principiul nediscriminării ar trebui să se aplice și procedurilor online care asigură accesul la procedurile judiciare.

(9)

Este evident că cetățenii și întreprinderile din alte state membre pot fi dezavantajați din cauza lipsei de familiarizare cu sistemele administrative și normele naționale, din cauza diferitelor limbi utilizate, precum și din cauza lipsei de proximitate geografică față de autoritățile competente dintr-un alt stat membru decât cel de origine. Modul cel mai eficient de a reduce obstacolele pentru piața internă este de a le permite utilizatorilor transfrontalieri și netransfrontalieri să aibă acces la informații online, într-o limbă pe care o înțeleg, pentru a le permite să finalizeze procedurile pentru respectarea normelor naționale integral online și de a le oferi asistență în cazul în care normele și procedurile nu sunt suficient de clare sau în cazul în care întâmpină dificultăți în exercitarea drepturilor lor.

(10)

O serie de acte ale Uniunii au urmărit să ofere soluții prin crearea de ghișee unice sectoriale, inclusiv ghișeele unice înființate în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului (3), care oferă informații online, servicii online de asistență și acces la procedurile relevante pentru furnizarea de servicii; punctele de informare despre produse înființate în temeiul Regulamentului (CE) nr. 764/2008 al Parlamentului European și al Consiliului (4), și punctele de informare despre produse pentru construcții înființate în temeiul Regulamentului (UE) nr. 305/2011 al Parlamentului European și al Consiliului (5), care oferă acces la normele tehnice specifice; și centrele naționale de asistență pentru calificările profesionale, înființate în temeiul Directivei 2005/36/CE a Parlamentului European și a Consiliului (6), care sprijină profesioniștii care se deplasează la nivel transfrontalier. În plus, au fost create rețele, cum ar fi Centrele Europene ale Consumatorilor, în scopul de a promova o mai bună înțelegere a drepturilor consumatorilor din Uniune și de a contribui la soluționarea plângerilor în legătură cu cumpărăturile făcute în alte state membre în cadrul rețelei, atunci când consumatorii călătoresc sau fac cumpărături online. De asemenea, SOLVIT astfel cum este menționată în Recomandarea 2013/461/UE a Comisiei (7) are obiectivul de a oferi soluții rapide, eficace și neoficiale persoanelor fizice și întreprinderilor atunci când drepturile lor în cadrul pieței interne le sunt refuzate de către autoritățile publice. În sfârșit, au fost create mai multe portaluri de informații, cum ar fi portalul „Europa ta”, în ceea ce privește piața internă, și portalul e-justiție, în ceea ce privește domeniul justiției, pentru a informa utilizatorii cu privire la normele naționale și ale Uniunii.

(11)

Ca urmare a naturii sectoriale a actelor respective ale Uniunii, oferta actuală de informații online și de servicii de asistență și de soluționare a problemelor, împreună cu procedurile online pentru cetățeni și întreprinderi rămâne foarte fragmentată. Există discrepanțe în ceea ce privește disponibilitatea informațiilor și a procedurilor online, există o lipsă de calitate în ceea ce privește serviciile și o lipsă de sensibilizare în ceea ce privește respectivele informații și servicii de asistență și de soluționare a problemelor. De asemenea, utilizatorii transfrontalieri întâmpină probleme legate de identificarea și accesibilitatea serviciilor respective.

(12)

Prezentul regulament ar trebui să creeze un portal digital unic pentru a servi drept punct de intrare unic prin intermediul căruia cetățenii și întreprinderile să aibă acces la informații cu privire la regulile și cerințele pe care trebuie să le respecte, în conformitate cu dreptul Uniunii sau dreptul intern. Portalul ar trebui să simplifice contactul cetățenilor și întreprinderilor cu serviciile de asistență și de soluționare a problemelor, stabilite la nivelul Uniunii sau la nivel național și să îl facă mai eficace. Portalul ar trebui, de asemenea, să faciliteze accesul la proceduri online și completarea acestora. Prezentul regulament nu ar trebui să aducă atingere în niciun fel drepturilor și obligațiilor existente în dreptul Uniunii sau dreptul intern în aceste domenii de politică. În ceea ce privește procedurile enumerate în anexa II la prezentul regulament și procedurile prevăzute în Directivele 2005/36/CE și 2006/123/CE, precum și în Directivele 2014/24/UE (8) și 2014/25/UE (9) ale Parlamentului European și ale Consiliului, prezentul regulament ar trebui să sprijine utilizarea principiului „doar o singură dată” și ar trebui să respecte pe deplin dreptul fundamental la protecția datelor cu caracter personal, pentru schimbul de elemente justificative între autoritățile competente din diferite state membre.

(13)

Portalul și conținutul său ar trebui să fie ușor de utilizat și orientat către utilizator. Portalul ar trebui să aibă ca scop evitarea suprapunerilor și să ofere linkuri către serviciile existente. Portalul ar trebui să le permită cetățenilor și întreprinderilor să interacționeze cu administrațiile publice la nivel național și al Uniunii, oferindu-le posibilitatea să formuleze observații cu privire la serviciile oferite prin intermediul portalului și la funcționarea pieței interne, în funcție de experiența lor. Instrumentul de formulare a observațiilor ar trebui să îi permită utilizatorului, într-un mod care să îi asigure anonimatul, să atragă atenția asupra problemelor, deficiențelor și nevoilor pe care le întâlnește, pentru a încuraja îmbunătățirea continuă a calității serviciilor.

(14)

Succesul portalului va depinde de eforturile comune ale Comisiei și ale statelor membre. Portalul ar trebui să includă o interfață comună pentru utilizatori, integrată în portalul „Europa ta” existent, a fi gestionată de Comisie. Interfața comună pentru utilizatori ar trebui să ofere linkuri către informațiile, procedurile și către serviciile de asistență sau de soluționare a problemelor disponibile pe portalurile autorităților competente din statele membre și ale Comisiei. Pentru a facilita utilizarea portalului, interfața comună pentru utilizatori ar trebui să fie disponibilă în toate limbile oficiale ale instituțiilor Uniunii („limbile oficiale ale Uniunii”). Portalul „Europa ta”, care există deja, și principala sa pagină web de acces, adaptate la cerințele portalului, ar trebui să păstreze prezentarea multilingvă a informațiilor puse la dispoziție. Funcționarea portalului ar trebui să fie sprijinită prin instrumente tehnice elaborate de Comisie în strânsă cooperare cu statele membre.

(15)

În carta pentru ghișeele unice electronice prevăzute de Directiva 2006/123/CE, care a fost aprobată de Consiliu în 2013, statele membre și-au luat un angajament voluntar să adopte o abordare centrată pe utilizator în furnizarea de informații prin intermediul ghișeelor unice, pentru a acoperi domenii care sunt deosebit de importante pentru întreprinderi, inclusiv TVA, impozitul pe profit, cerințele de securitate socială sau dreptul muncii. Pe baza cartei și în lumina experienței acumulate prin utilizarea portalului „Europa ta”, informațiile respective ar trebui, de asemenea, să prezinte o descriere a serviciilor de asistență și de soluționare a problemelor. Cetățenii și întreprinderile ar trebui să poată recurge la aceste servicii în cazul în care au dificultăți cu înțelegerea informațiilor, cu aplicarea acestor informații la situația lor sau cu efectuarea unei proceduri.

(16)

Prezentul regulament ar trebui să enumere domeniile de informații care sunt pertinente pentru cetățenii și întreprinderile care își exercită drepturile și își respectă obligațiile în cadrul pieței interne. Pentru aceste domenii, ar trebui puse la dispoziție informații suficient de cuprinzătoare la nivel național, inclusiv la nivel regional și local, precum și la nivelul Uniunii, explicându-se normele și obligațiile aplicabile și procedurile care trebuie efectuate de către cetățeni și întreprinderi pentru a respecta aceste norme și obligații. În vederea asigurării calității serviciilor oferite, informațiile puse la dispoziție prin intermediul acestui portal ar trebui să fie clare, exacte și actualizate, ar trebui redusă la minimum utilizarea unei terminologii complexe, iar utilizarea acronimelor ar trebui limitată la cele care se referă la termeni simplificați și ușor de înțeles, care nu necesită o cunoaștere prealabilă a subiectului sau a domeniului de drept respectiv. Aceste informații ar trebui să fie prezentate în așa fel încât utilizatorii să poată înțelege cu ușurință regulile și cerințele de bază aplicabile situației lor în aceste domenii. De asemenea, utilizatorii ar trebui să fie informați cu privire la lipsa de norme naționale în anumite state membre pentru domeniile de informare enumerate în anexa I, în special în cazul în care domeniile respective fac obiectul unor norme naționale în alte state membre. Astfel de informații privind lipsa de norme naționale ar putea fi incluse în portalul „Europa ta”.

(17)

Ori de câte ori este posibil, informațiile deja colectate de către Comisie de la statele membre în conformitate cu legislația în vigoare a Uniunii sau cu acorduri voluntare – precum informațiile colectate pentru portalul EURES, înființat prin Regulamentul (UE) 2016/589 al Parlamentului European și al Consiliului (10), pentru portalul e-justiție, înființat prin Decizia 2001/470/CE a Consiliului (11), sau pentru baza de date a profesiilor reglementate, înființată prin Directiva 2005/36/CE – ar trebui să fie utilizate pentru a acoperi o parte din informațiile care trebuie să fie puse la dispoziția cetățenilor și a întreprinderilor la nivelul Uniunii și la nivel național în conformitate cu prezentul regulament. Statele membre nu ar trebui să aibă obligația de a pune la dispoziție pe site-urile web naționale informațiile care sunt deja disponibile în bazele de date corespunzătoare administrate de Comisie. În cazul în care statele membre au deja obligația de a pune la dispoziție informații online în temeiul altor acte ale Uniunii, cum ar fi Directiva 2014/67/UE a Parlamentului European și a Consiliului (12), punerea la dispoziție a unor linkuri către informațiile online existente ar trebui să fie suficientă. În cazul în care anumite domenii de politică au fost deja pe deplin armonizate prin dreptul Uniunii, de exemplu drepturile consumatorilor, informațiile puse la dispoziție la nivelul Uniunii ar trebui să fie în general suficiente pentru ca utilizatorii să poată înțelege drepturile sau obligațiile ce îi vizează. În astfel de cazuri, statele membre ar trebui numai să furnizeze informații privind procedurile lor administrative și serviciile lor de asistență de la nivel național sau orice alte norme administrative naționale care sunt pertinente pentru utilizatori. De exemplu, informațiile privind drepturile consumatorilor nu ar trebui să aducă atingere dreptului contractual, ci ar trebui doar să prezinte utilizatorilor drepturile lor în temeiul dreptului Uniunii și al dreptului intern în cadrul tranzacțiilor comerciale.

(18)

Prezentul regulament ar trebui să sporească dimensiunea pieței interne referitoare la procedurile online, și să contribuie astfel la digitalizarea pieței interne, prin respectarea principiului general al nediscriminării și, între altele, în ceea ce privește accesarea de către cetățeni sau întreprinderi a procedurilor online deja stabilite la nivel național, pe baza dreptului Uniunii sau dreptului intern, precum și a celor care urmează să fie puse la dispoziție în întregime online în conformitate cu prezentul regulament. În cazul în care un utilizator aflat într-o situație strict limitată la un singur stat membru poate accesa și efectua o procedură online în statul membru respectiv într-un domeniu reglementat de prezentul regulament, un utilizator transfrontalier ar trebui să aibă posibilitatea de a accesa și efectua aceeași procedură online, fie prin aceeași soluție tehnică, fie printr-o soluție alternativă, separată din punct de vedere tehnic, care să ducă la același rezultat, fără niciun obstacol discriminatoriu. Astfel de obstacole ar putea decurge din soluțiile elaborate la nivel național, cum ar fi câmpurile care necesită numere naționale de telefon, prefixe naționale pentru numerele de telefon sau coduri poștale naționale, plata de redevențe care poate fi realizată numai prin intermediul unor sisteme care nu prevăd plăți transfrontaliere, lipsa de explicații detaliate într-o limbă înțeleasă de către utilizatorii transfrontalieri, lipsa de posibilități de a depune elemente justificative electronice din partea autorităților situate într-un alt stat membru și lipsa de acceptare a mijloacelor de identificare electronică emise în alte state membre. Statele membre ar trebui să pună la dispoziție soluții pentru obstacolele respective.

(19)

Atunci când efectuează proceduri online transfrontaliere, utilizatorii ar trebui să aibă posibilitatea de a primi toate explicațiile pertinente într-o limbă oficială a Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri. Aceasta nu înseamnă că statele membre au obligația să își traducă formularele administrative aferente procedurii în cauză și nici rezultatul procedurii respective în acea limbă. Statele membre sunt totuși încurajate să utilizeze soluții tehnice care să le permită utilizatorilor să efectueze procedurile, în cât mai multe cazuri, în acea limbă, cu respectarea reglementărilor statelor membre cu privire la utilizarea limbilor.

(20)

La identificarea procedurilor naționale online care sunt pertinente pentru exercitarea de către utilizatorii transfrontalieri a drepturilor de care se bucură în cadrul pieței interne se ia în considerare dacă aceștia sunt rezidenți sau stabiliți în statul membru în cauză sau dacă doresc să aibă acces la procedurile din statul membru respectiv în timp ce își au reședința sau sunt stabiliți în alt stat membru. Prezentul regulament nu ar trebui să împiedice statele membre să le ceară utilizatorii transfrontalieri care sunt rezidenți sau stabiliți pe teritoriul lor să obțină un număr de identificare național pentru a avea acces la procedurile naționale online, cu condiția ca acest lucru să nu genereze o sarcină sau costuri suplimentare nejustificate pentru utilizatorii respectivi. Pentru utilizatorii transfrontalieri care nu sunt rezidenți sau stabiliți în statul membru respectiv, procedurile naționale online care nu sunt pertinente pentru exercitarea drepturilor lor în domeniul pieței interne, cum ar fi înscrierea la servicii locale, precum colectarea deșeurilor sau permisele de parcare, nu trebuie să fie pe deplin accesibile online.

(21)

Prezentul regulament ar trebui să se bazeze pe Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului (13), care stabilește condițiile în care statele membre recunosc anumite mijloace de identificare electronică ale persoanelor fizice și juridice care intră sub incidența unui sistem notificat de identificare electronică al unui alt stat membru. Regulamentul (UE) nr. 910/2014 stabilește condițiile în care utilizatorii au posibilitatea de a-și utiliza mijloacele de identificare și autentificare electronică pentru a avea acces la servicii publice online în situații transfrontaliere. Instituțiile, organele, oficiile și agențiile Uniunii sunt încurajate să accepte mijloace de identificare și autentificare electronică pentru procedurile de care sunt responsabile.

(22)

O serie de acte sectoriale ale Uniunii, cum ar fi Directivele 2005/36/CE, 2006/123/CE, 2014/24/UE și 2014/25/UE, prevăd că procedurile sunt integral disponibile online. Prezentul regulament ar trebui să includă cerințele conform cărora o serie de proceduri de importanță majoră pentru majoritatea cetățenilor și a întreprinderilor care își exercită drepturile și își respectă obligațiile la nivel transfrontalier sunt puse la dispoziție integral online.

(23)

Pentru a le permite cetățenilor și întreprinderilor să se bucure de beneficiile pieței interne în mod direct, fără a suporta sarcini administrative suplimentare inutile, prezentul regulament ar trebui să impună digitalizarea completă a interfeței utilizatorilor pentru anumite proceduri destinate utilizatorilor transfrontalieri, care sunt enumerate în anexa II la prezentul regulament. Prezentul regulament ar trebui să stabilească și criterii pentru definirea modului în care procedura se califică drept integral online. Această obligație de a face o astfel de procedură disponibilă integral online ar trebui să se aplice doar în situațiile în care aceste proceduri există în statele membre respective. Prezentul regulament nu ar trebui să includă înregistrarea inițială a unei activități comerciale sau procedurile care conduc la constituirea de societăți comerciale sau firme cu personalitate juridică sau eventuale demersuri ulterioare din partea acestor societăți comerciale ori firme, dat fiind faptul că astfel de proceduri necesită o abordare globală care vizează facilitarea soluțiilor digitale pe toată durata ciclului de viață al unei societăți. Atunci când întreprinderile se stabilesc într-un alt stat membru, acestea sunt obligate să se înscrie la un regim de asigurări sociale și la un regim de asigurări medicale pentru a înregistra și plăti contribuțiile angajaților la acele regimuri. Întreprinderile ar putea să aibă obligația de a-și notifica activitățile comerciale, de a obține autorizații sau de a înregistra modificările intervenite în activitățile lor comerciale. Aceste proceduri sunt comune pentru întreprinderile care își desfășoară activitatea în multe sectoare ale economiei și, prin urmare, este oportun să se solicite ca aceste proceduri să fie disponibile online.

(24)

Prezentul regulament ar trebui să clarifice ce presupune oferirea unei proceduri integral online. O procedură ar trebui să fie considerată ca fiind integral online în cazul în care utilizatorul poate urma toți pașii de la acces până la finalizarea acesteia, în ceea ce privește interacțiunea dintre utilizator și autoritatea competentă („serviciul de relații cu clienții”), în format electronic, de la distanță și prin intermediul unui serviciu online. Acest serviciu online ar trebui să ghideze utilizatorul printr-o listă cu toate cerințele care trebuie să fie îndeplinite și cu toate elementele justificative care trebuie furnizate, ar trebui să permită utilizatorului să prezinte informațiile și dovada conformității cu toate aceste cerințe și ar trebui să ofere utilizatorului o recunoaștere automată a primirii, cu excepția cazului în care rezultatul procedurii este livrat imediat. Aceste lucru nu ar trebui să împiedice autoritățile competente să contacteze utilizatorii direct dacă pentru procedura respectivă sunt necesare precizări suplimentare. Rezultatul procedurii, astfel cum figurează în prezentul regulament, ar trebui și el să fie transmis utilizatorului de către autoritățile competente pe cale electronică, dacă este posibil, în conformitate cu dreptul aplicabil la nivelul Uniunii și la nivel intern.

(25)

Prezentul regulament nu ar trebui să afecteze fondul procedurilor enumerate în anexa II, instituite la nivel național, regional sau local, și nici nu prevede norme de fond sau procedurale în domeniile vizate de anexa II, inclusiv în domeniul fiscal. Scopul prezentului regulament este stabilirea cerințelor tehnice prin care să se asigure faptul că procedurile respective, în cazul în care acestea au fost prevăzute în statul membru în cauză, sunt puse la dispoziție integral online.

(26)

Prezentul regulament nu ar trebui să afecteze competențele autorităților naționale în orice procedură, inclusiv verificarea corectitudinii și a validității informațiilor sau a elementelor justificative prezentate și verificarea autenticității în cazul în care elementele justificative sunt prezentate prin alte mijloace decât prin sistemul tehnic bazat pe principiul „doar o singură dată”. Prezentul regulament nu ar trebui să afecteze nici fluxurile procedurale din cadrul autorităților competente și dintre acestea („serviciul administrativ”), indiferent dacă sunt digitalizate sau nu. În cazul în care este necesar în cadrul unor proceduri de înregistrare a modificărilor intervenite în activitatea comercială, statele membre ar trebui să poată impune în continuare cerința de a se recurge la notari sau avocați, care pot utiliza mijloace de verificare precum videoconferințele sau alte mijloace online care asigură o conexiune audiovizuală în timp real. Totuși, recurgerea la notari sau avocați nu ar trebui să împiedice efectuarea integral online a procedurilor de înregistrare a acestor modificări.

(27)

În unele cazuri, utilizatorului ar putea să i se solicite să prezinte elemente justificative care să dovedească fapte ce nu pot fi atestate prin mijloace online. Printre aceste elemente se pot afla certificatele medicale, dovada existenței reale, dovada inspecției tehnice a autovehiculelor sau confirmarea seriei de șasiu. Dacă elementele justificative respective pot fi depuse în format electronic, acest lucru nu ar trebui să constituie o excepție de la principiul că o procedură ar trebui să fie oferită integral online. În alte cazuri ar putea fi încă necesar ca utilizatorii unei proceduri să se prezinte personal în fața unei autorități competente, ca parte a unei proceduri online. Orice excepție de acest fel, în afara celor care decurg din dreptul Uniunii, ar trebui să se limiteze la situațiile care sunt justificate de un motiv imperativ de interes general în domeniile securității publice, sănătății publice sau combaterii fraudelor. În vederea asigurării transparenței, statele membre ar trebui să pună la dispoziția Comisiei și a celorlalte state membre informații cu privire la aceste excepții, cu privire la motivele pe care se întemeiază și la împrejurările în care pot fi aplicate. Statele membre nu ar trebui să fie obligate să informeze cu privire la fiecare caz individual în care a fost necesară, în mod excepțional, prezența fizică, ci ar trebui să comunice mai curând dispozițiile interne care prevăd astfel de cazuri. Bunele practici naționale și evoluțiile tehnice care permit răspândirea digitalizării în acest sens ar trebui discutate cu regularitate în cadrul unui grup de coordonare a portalului.

(28)

În situații transfrontaliere, procedura de înregistrare a unei schimbări de adresă poate cuprinde două proceduri distincte, una în statul membru de origine pentru a solicita radierea de la vechea adresă, iar cealaltă în statul membru de destinație pentru a solicita înregistrarea la noua adresă. Ambele proceduri ar trebui să fie reglementate de prezentul regulament.

(29)

Întrucât digitalizarea cerințelor, a procedurilor și a formalităților legate de recunoașterea calificărilor profesionale este deja reglementată de Directiva 2005/36/CE, prezentul regulament ar trebui să acopere doar digitalizarea procedurii de solicitare a recunoașterii academice a diplomelor, a certificatelor sau a altor elemente justificative pentru cursurile finalizate care vizează o persoană ce dorește să continue sau să înceapă studiile sau să utilizeze un titlu academic, în afara formalităților legate de recunoașterea calificărilor profesionale.

(30)

Prezentul regulament nu ar trebui să afecteze normele de coordonare a securității sociale prevăzute în Regulamentele (CE) nr. 883/2004 (14) și (CE) nr. 987/2009 (15) ale Parlamentului European și ale Consiliului, care definesc drepturile și obligațiile persoanelor asigurate și ale instituțiilor de securitate socială, precum și procedurile aplicabile în domeniul coordonării sistemelor de securitate socială.

(31)

Mai multe rețele și servicii au fost înființate la nivelul Uniunii și la nivel național pentru a ajuta cetățenii și întreprinderile în activitățile lor transfrontaliere. Este important ca aceste servicii, inclusiv serviciile existente de asistență sau de soluționare a problemelor instituite la nivelul Uniunii, cum ar fi Centrele Europene ale Consumatorilor, serviciul „Europa ta – Consiliere”, SOLVIT, serviciul de asistență în materie de drepturi de proprietate intelectuală, Europe Direct și Rețeaua întreprinderilor europene, să facă parte din portal, pentru a se asigura că toți utilizatorii potențiali le pot găsi. Serviciile enumerate în anexa III au fost stabilite prin acte obligatorii ale Uniunii, în timp ce alte servicii își desfășoară activitatea pe o bază voluntară. Serviciile înființate prin acte obligatorii ale Uniunii ar trebui să fie obligate să respecte cerințele de calitate prevăzute în prezentul regulament. Serviciile operate pe bază voluntară ar trebui să respecte cerințele de calitate dacă intenția este de a face serviciile lor să fie disponibile prin intermediul portalului. Sfera de aplicare și natura acestor servicii, modalitățile de gestionare ale acestora, termenele existente și caracterul lor voluntar, contractual sau de alt tip care le determină modul de funcționare nu ar trebui să fie modificate de prezentul regulament. De exemplu, în cazul în care asistența oferită are un caracter informal, prezentul regulament nu ar trebui să aibă ca efect transformarea acestei asistențe în consiliere juridică cu caracter obligatoriu.

(32)

În plus, statele membre și Comisia ar trebui să poată include în portal și alte servicii naționale de asistență sau de soluționare a problemelor, furnizate de către autoritățile competente ori de către entități private sau semiprivate sau de către organisme publice cum ar fi camerele de comerț sau serviciile neguvernamentale de asistență pentru cetățeni, în conformitate cu condițiile stabilite în prezentul regulament. În principiu, autoritățile competente ar trebui să fie responsabile de acordarea de asistență cetățenilor și întreprinderilor în legătură cu orice întrebări legate de normele și procedurile aplicabile care nu pot fi abordate pe deplin de serviciile online. Cu toate acestea, în domenii foarte specializate și în cazul în care serviciul prestat de către organismele private sau semiprivate îndeplinește nevoile utilizatorilor, statele membre pot propune Comisiei să includă aceste servicii în portal, cu condiția ca aceste servicii să îndeplinească toate condițiile stabilite în prezentul regulament și să nu se suprapună cu serviciile de asistență sau de soluționare a problemelor deja incluse.

(33)

Pentru a-i ajuta pe utilizatori să identifice serviciile corespunzătoare, prezentul regulament ar trebui să prevadă un sistem de identificare a serviciilor de asistență care să îi îndrume pe utilizatori în mod automat către serviciile respective.

(34)

Conformitatea cu o listă de cerințe minime de calitate este esențială pentru succesul portalului, pentru a se asigura că furnizarea de informații sau servicii este fiabilă, deoarece, în caz contrar, credibilitatea portalului în ansamblu ar fi subminată în mod grav. Obiectivul primordial al conformității este acela de a garanta că informațiile sau serviciile sunt prezentate sub o formă clară și ușor de utilizat. Este responsabilitatea statelor membre să stabilească modul în care informațiile sunt prezentate pe calea parcursă de utilizator pentru a se atinge acest obiectiv. De exemplu, chiar dacă este util ca utilizatorii să fie informați, înainte de inițierea unei proceduri, cu privire la căile de atac disponibile în general în cazul unui rezultat negativ, este mult mai ușor pentru utilizatori să primească la sfârșitul procedurii informațiile specifice cu privire la eventualele demersuri care trebuie întreprinse în astfel de cazuri.

(35)

Accesibilitatea informațiilor destinate utilizatorilor transfrontalieri poate fi îmbunătățită substanțial dacă informațiile sunt disponibile într-o limbă oficială a Uniunii pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri. Această limbă ar trebui să fie, în majoritatea cazurilor, limba străină cea mai studiată de utilizatori în întreaga Uniune, dar, în anumite cazuri, în special în cazul informațiilor care urmează să fie furnizate la nivel local de către localitățile mici din apropierea frontierei unui stat membru, cea mai adecvată limbă ar putea fi limba utilizatorilor transfrontalieri din statele membre învecinate. Traducerea din limba sau limbile oficiale ale statelor membre respective în această altă limbă oficială a Uniunii ar trebui să reflecte în mod fidel conținutul informațiilor furnizate în limba sau limbile originale. Traducerea se poate limita la informațiile de care utilizatorii au nevoie pentru a înțelege normele și cerințele de bază care se aplică situației lor. Deși statele membre ar trebui să fie încurajate să traducă cât mai multe informații cu putință în una dintre limbile oficiale ale Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, volumul de informații a fi traduse, în conformitate cu prezentul regulament, va depinde de resursele financiare disponibile, în special în cadrul bugetului Uniunii. Comisia ar trebui să ia măsurile necesare pentru a asigura livrarea eficientă a traducerilor pentru statele membre, la cererea acestora. Grupul de coordonare a portalului ar trebui să dezbată și să furnizeze orientări cu privire la limba sau limbile oficiale ale Uniunii în care aceste informații ar trebui traduse.

(36)

În temeiul Directivei (UE) 2016/2102 a Parlamentului European și a Consiliului (16), statele membre trebuie să se asigure că site-urile web ale autorităților lor publice sunt accesibile în conformitate cu principiile perceptibilității, operabilității, inteligibilității și robusteții și că se conformează cerințelor prevăzute în respectiva directivă. Comisia și statele membre ar trebui să asigure conformitatea cu Convenția Organizației Națiunilor Unite privind drepturile persoanelor cu handicap, în special articolele 9 și 21, și, pentru a promova accesul la informații pentru persoanele cu handicap intelectual, ar trebui furnizate alternative în limbaj ușor lizibil și în cea mai mare măsură cu putință și în conformitate cu principiul proporționalității. Prin ratificarea de către statele membre și încheierea (17) de către Uniune a respectivei convenții, acestea s-au angajat să ia măsurile adecvate pentru a garanta accesul persoanelor cu handicap, în mod egal cu celelalte persoane, la noile tehnologii și sisteme de informatică și comunicare, inclusiv la internet, prin facilitarea accesului la informație pentru persoanele cu handicap intelectual, oferind alternative într-un limbaj ușor inteligibil, în cea mai mare măsură posibilă, și în mod proporțional.

(37)

Directiva (UE) 2016/2102 nu se aplică site-urilor web și aplicațiilor mobile ale instituțiilor, organelor, oficiilor și agențiilor Uniunii, dar Comisia ar trebui să se asigure că interfața comună pentru utilizatori și paginile web care se află în responsabilitatea sa și care urmează să fie incluse în portal sunt accesibile persoanelor cu handicap, în sensul că acestea sunt perceptibile, utilizabile, ușor de înțeles și solide. Perceptibilitatea se referă la faptul că informațiile și componentele interfeței comune de utilizare trebuie să poată fi prezentate utilizatorilor în moduri pe care aceștia le pot percepe; operabilitatea se referă la faptul că componentele interfeței comune de utilizare și navigarea trebuie să poată fi utilizate; inteligibilitatea se referă la faptul că informațiile și exploatarea interfeței comune de utilizare trebuie să poată fi înțelese; iar robustețea se referă la faptul că conținutul trebuie să fie suficient de robust încât să poată fi interpretat în mod fiabil de o gamă largă de agenți utilizatori, inclusiv de tehnologiile de asistare. În privința noțiunilor de perceptibil, utilizabil, ușor de înțeles și solid, Comisia este încurajată să respecte standardele armonizate relevante.

(38)

Pentru a facilita plata taxelor necesare ca parte a procedurilor online sau pentru furnizarea de asistență sau de servicii de rezolvare a problemelor, utilizatorii transfrontalieri ar trebui să poată utiliza transferuri de credit sau debitări directe, astfel cum sunt menționate în Regulamentul (UE) nr. 260/2012 al Parlamentului European și al Consiliului (18), sau alte mijloace de plată transfrontalieră general utilizate, inclusiv carduri de debit sau de credit.

(39)

Este util ca utilizatorii să fie informați cu privire la durata preconizată a unei proceduri. Utilizatorii ar trebui să fie informați în mod corespunzător cu privire la termenele aplicabile sau modalitățile de aprobare tacită sau de tăcere administrativă sau, în cazul în care acestea nu sunt aplicabile, cel puțin cu privire la durata medie, estimată sau orientativă necesară în mod obișnuit pentru procedura respectivă. Aceste estimări sau indicații ar trebui doar să îi ajute pe utilizatori să își planifice activitățile sau orice măsuri administrative ulterioare și nu ar trebui să aibă niciun efect juridic.

(40)

Prezentul regulament ar trebui, de asemenea, să permită verificarea elementelor justificative furnizate în format electronic de către utilizatori, în cazul în care respectivele elemente justificative sunt prezentate fără sigiliul sau certificatul electronic din partea autorității competente emitente, sau în cazul în care instrumentul tehnic stabilit de prezentul regulament sau orice alt sistem care permite schimbul direct de elemente justificative sau verificarea acestora între autoritățile competente ale diferitelor state membre nu este disponibil. În astfel de situații, prezentul regulament ar trebui să prevadă un mecanism eficace de cooperare administrativă între autoritățile competente din statele membre, care să se bazeze pe sistemul de informare al pieței interne (IMI), instituit prin Regulamentul (UE) nr. 1024/2012 al Parlamentului European și al Consiliului (19). În astfel de cazuri, decizia unei autorități competente de a utiliza IMI ar trebui să fie voluntară, dar după ce autoritatea respectivă a transmis o cerere de informații sau de cooperare prin intermediul IMI, autoritatea competentă căreia i-a fost adresată solicitarea ar trebui să aibă obligația de a coopera și de a furniza un răspuns. Cererea poate fi trimisă prin intermediul IMI fie către o autoritate competentă care eliberează elementele justificative, fie către autoritatea centrală care urmează să fie desemnată de statele membre în conformitate cu propriile norme administrative. Pentru a se evita duplicarea inutilă și având în vedere că Regulamentul (UE) 2016/1191 al Parlamentului European și al Consiliului (20) reglementează o parte din elementele justificative relevante pentru procedurile vizate de prezentul regulament, modalitățile de cooperare pentru IMI prevăzute de Regulamentul (UE) 2016/1191 pot fi utilizate și pentru alte elemente justificative necesare în procedurile reglementate de prezentul regulament. Pentru a permite organelor, oficiilor sau agențiilor Uniunii să devină actori în cadrul IMI, este necesar ca Regulamentul (UE) nr. 1024/2012 să fie modificat.

(41)

Serviciile online oferite de autoritățile competente sunt esențiale pentru îmbunătățirea calității și siguranței serviciilor oferite cetățenilor și întreprinderilor. Administrațiile publice din anumite state membre depun eforturi din ce în ce mai mari în vederea reutilizării datelor, renunțând la cerința ca cetățenii și întreprinderile să furnizeze aceleași informații în mod repetat. Reutilizarea datelor ar trebui să fie stimulată în cazul utilizatorilor transfrontalieri, în scopul de a reduce sarcinile suplimentare.

(42)

Pentru a permite schimbul transfrontalier legal de elemente justificative și informații prin aplicarea principiului „doar o singură dată” la nivelul întregii Uniuni, aplicarea prezentului regulament și a principiului menționat ar trebui să respecte toate normele aplicabile în materie de protecție a datelor, inclusiv principiul reducerii la minimum a datelor, al acurateței, al limitării stocării, al integrității și confidențialității, al necesității, al proporționalității și al limitării scopului. De asemenea, aplicarea se face cu respectarea deplină a principiilor securității și protejării vieții private din faza de proiectare și cu respectarea drepturilor fundamentale ale persoanelor, inclusiv cele referitoare la dreptul la tratament echitabil și la transparență.

(43)

Statele membre ar trebui să se asigure că utilizatorilor procedurilor li se oferă informații clare cu privire la modul în care datele cu caracter personal care îi vizează vor fi prelucrate în conformitate cu articolele 13 și 14 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (21) și cu articolele 15 și 16 din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (22).

(44)

În vederea facilitării în continuare a utilizării procedurilor online, prezentul regulament ar trebui, în conformitate cu principiul „doar o singură dată”, să reprezinte baza pentru crearea și utilizarea unui sistem tehnic pe deplin operațional, sigur și securizat pentru schimbul automatizat de elemente justificative între părțile angajate în procedură, atunci când acest lucru este cerut în mod expres de cetățeni și întreprinderi. În cazul în care schimbul de elemente justificative include date cu caracter personal, cererea ar trebui considerată a fi expresă în cazul în care conține o manifestare de voință liberă, specifică, în cunoștință de cauză și lipsită de ambiguitate a persoanei prin care aceasta, fie în baza unei declarații, fie în baza unei acțiuni fără echivoc, este de acord cu schimbul de date cu caracter personal relevante. În cazul în care utilizatorul nu este persoana vizată de date, procedura online nu ar trebui să afecteze drepturile sale în temeiul Regulamentului (UE) 2016/679. Aplicarea transfrontalieră a principiului „doar o singură dată” ar trebui să rezulte în faptul că cetățenii și întreprinderile nu sunt nevoiți să furnizeze în mod repetat aceleași date autorităților publice și că ar trebui să fie posibil ca respectivele date să poată fi folosite la cererea utilizatorului pentru efectuarea procedurilor online transfrontaliere care implică utilizatori transfrontalieri. Pentru autoritatea emitentă competentă, obligația utilizării sistemului tehnic pentru schimbul automatizat de elemente justificative între diferitele state membre ar trebui să se aplice doar în cazul în care autoritățile în cauză emit în mod legal, în propriul stat membru, elementul justificativ într-un format electronic care face posibil un asemenea schimb automatizat.

(45)

Orice schimb transfrontalier de elemente justificative ar trebui să aibă un temei juridic adecvat, precum Directiva 2005/36/CE, 2006/123/CE, 2014/24/UE sau 2014/25/UE sau, în ceea ce privește procedurile enumerate în anexa II, alte dispoziții aplicabile din dreptul Uniunii sau dreptul intern.

(46)

Ar trebui ca prezentul regulament să prevadă, ca regulă generală, că schimbul automatizat transfrontalier de elemente justificative are loc la cererea expresă a utilizatorului. Cu toate acestea, această cerință nu ar trebui să se aplice în cazul în care dreptul Uniunii sau dreptul intern relevant permite schimbul transfrontalier automatizat de date fără cererea expresă a utilizatorului.

(47)

Utilizarea sistemului tehnic stabilit în prezentul regulament ar trebui să rămână voluntară, iar utilizatorul să fie în continuare liber să prezinte elemente justificative prin alte mijloace, în afara sistemului tehnic. Utilizatorul ar trebui să dispună de posibilitatea de a examina în prealabil elementele justificative și de dreptul de a alege să nu procedeze la schimbul de elemente justificative în situațiile în care utilizatorul, după examinarea prealabilă a elementelor justificative care urmează să fie transmise, descoperă că informațiile sunt inexacte, neactualizate sau depășesc ceea ce este necesar în scopul procedurii în cauză. Datele incluse în examinarea prealabilă nu ar trebui stocate mai mult decât este necesar din punct de vedere tehnic.

(48)

Securitatea sistemului tehnic care ar trebui instituit pentru a permite schimbul de elemente justificative în temeiul prezentului regulament ar trebui, de asemenea, să ofere autorităților competente solicitante certitudinea că elementele justificative au fost emise de autoritatea emitentă adecvată. Înainte de a accepta informații oferite de către un utilizator în cadrul unei proceduri, autoritatea competentă ar trebui să fie în măsură să verifice informațiile în cazul în care acestea dau naștere la incertitudini, și să conchidă dacă acestea sunt corecte.

(49)

Există o serie de componente care oferă capabilități de bază și care pot fi utilizate pentru instituirea sistemului tehnic, precum Mecanismul pentru interconectarea Europei, instituit prin Regulamentul (UE) nr. 1316/2013 al Parlamentului European și al Consiliului (23), și componentele de livrare electronică (eDelivery) și de identificare electronică (eID) care sunt parte a respectivului mecanism. Aceste componente sunt compuse din specificații tehnice, eșantioane de software și servicii de sprijin și vizează asigurarea interoperabilității între sistemele de tehnologie a informației și comunicațiilor (TIC) existente în diferite state membre, astfel încât cetățenii, întreprinderile și administrațiile oriunde s-ar afla în Uniune să poată beneficia de servicii publice digitale fără perturbări.

(50)

Sistemele tehnice înființate de prezentul regulament ar trebui să fie puse la dispoziție în plus față de alte sisteme care oferă mecanisme de cooperare între autorități, cum ar fi IMI, și nu ar trebui să afecteze alte sisteme, inclusiv sistemul prevăzut în Regulamentul (CE) nr. 987/2009, documentul european de achiziție unic în temeiul Directivei 2014/24/UE, schimbul electronic de informații în materie de securitate socială (EESSI) în temeiul Regulamentului (CE) nr. 987/2009, cardul profesional european instituit prin Directiva 2005/36/CE, interconectarea registrelor naționale și interconectarea registrelor centrale, ale comerțului și ale societăților în temeiul Directivei (UE) 2017/1132 a Parlamentului European și a Consiliului (24) și interconectarea registrelor de insolvență în conformitate cu Regulamentul (UE) 2015/848 al Parlamentului European și al Consiliului (25).

(51)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a unui sistem tehnic care să permită schimbul automatizat de elemente justificative, ar trebui conferite competențe de executare Comisiei pentru a detalia, în special, specificațiile tehnice și operaționale ale unui sistem de prelucrare a cererii din partea utilizatorului pentru furnizarea de informații care urmează să fie schimbate, transferul unor astfel de elemente justificative, precum și pentru a detalia normele necesare pentru a asigura integritatea și confidențialitatea transferului. Aceste competențe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (26).

(52)

În vederea asigurării faptului că sistemul tehnic prevede un nivel înalt de securitate pentru aplicarea transfrontalieră a principiului „doar o singură dată”, la adoptarea actelor de punere în aplicare care stabilesc specificațiile pentru un astfel de sistem tehnic, Comisia ar trebui să ia în considerare în mod corespunzător standardele și specificațiile tehnice elaborate de organizațiile și organismele de standardizare europene și internaționale, în special de Comitetul European de Standardizare (CEN), Institutul European de Standardizare în Telecomunicații (ETSI), Organizația Internațională de Standardizare (ISO) și Uniunea Internațională a Telecomunicațiilor (UIT), precum și standardele de securitate prevăzute la articolul 32 din Regulamentul (UE) 2016/679 și la articolul 22 din Regulamentul (UE) 2018/1725.

(53)

Dacă este necesar pentru a asigura dezvoltarea, disponibilitatea, întreținerea, supravegherea, monitorizarea și gestionarea securității unor părți ale sistemului tehnic pentru care Comisia este responsabilă, Comisia ar trebui să solicite avizul Autorității Europene pentru Protecția Datelor.

(54)

Autoritățile competente Comisia ar trebui să se asigure că informațiile, procedurile și serviciile de care sunt responsabile sunt conforme cu criteriile calitative. Coordonatorii naționali numiți în temeiul prezentului regulament și Comisia ar trebui să supravegheze, la intervale regulate, respectarea criteriilor de calitate și securitate la nivel național și la nivelul Uniunii și să soluționeze toate problemele care apar. În plus, coordonatorii naționali ar trebui să asiste Comisia în monitorizarea funcționării sistemului tehnic care permite schimbul transfrontalier de elemente justificative. Prezentul regulament ar trebui să permită Comisiei o gamă de mijloace pentru a aborda orice deteriorare a calității serviciilor oferite prin portal, în funcție de gravitatea și persistența unor asemenea deteriorări; printre aceste mijloace s-ar număra, acolo unde este necesar, implicarea grupului de coordonare a portalului. Acest lucru nu ar trebui să aducă atingere responsabilității generale a Comisiei în ceea ce privește monitorizarea respectării prezentului regulament.

(55)

Prezentul regulament ar trebui să precizeze principalele funcții ale instrumentelor tehnice care stau la baza funcționării portalului, în special în ceea ce privește interfața comună pentru utilizatori, registrul pentru linkuri și sistemul comun de identificare a serviciului de asistență. Interfața comună pentru utilizatori ar trebui să asigure că utilizatorii pot găsi cu ușurință informații, proceduri și servicii de asistență și soluționare a problemelor pe site-urile web naționale și de la nivelul Uniunii. Statele membre și Comisia ar trebui să vizeze furnizarea de linkuri către o sursă unică de informații necesare pentru portal, pentru a se evita confuzia în rândul utilizatorilor ca rezultat al unor surse diferite sau suprapuse integral sau parțial pentru aceleași informații. Acest lucru nu ar trebui să excludă posibilitatea de furnizare de linkuri la aceleași informații oferite de autoritățile locale sau regionale competente în ceea ce privește diferite zone geografice. De asemenea, acest lucru nu ar trebui să împiedice o anumită suprapunere a informațiilor, atunci când aceasta este inevitabilă sau de dorit, de exemplu în cazul în care anumite drepturi, obligații și norme în Uniune sunt repetate sau descrise în paginile web naționale pentru a se îmbunătăți ușurința de utilizare. Pentru a se reduce la minimum intervenția umană în actualizarea linkurilor care urmează să fie utilizate de interfața comună pentru utilizatori, ar trebui să se stabilească o legătură directă între sistemele tehnice relevante ale statelor membre și registrul pentru linkuri, atunci când este posibil din punct de vedere tehnic. Instrumentele comune de asistență TIC ar putea utiliza Vocabularul serviciilor publice de bază (CPSV) pentru a facilita interoperabilitatea cu cataloagele și semantica serviciilor naționale. Statele membre ar trebui să fie încurajate să utilizeze CPSV, dar sunt libere să decidă utilizarea de soluții naționale. Informațiile incluse în registrul pentru linkuri ar trebui să fie puse la dispoziția publicului într-un format de date deschis și larg utilizat, care poate fi citit automat, de exemplu prin interfețe de programare a aplicațiilor (API-uri), pentru a permite reutilizarea lor.

(56)

Opțiunea de căutare din interfața comună pentru utilizatori ar trebui să-i conducă pe utilizatori la informațiile de care au nevoie, oriunde s-ar afla acestea pe paginile web de la nivelul Uniunii sau de la nivel național. În plus, ca o metodă alternativă pentru a ghida utilizatorii către informații utile, va continua să fie folositoare crearea de linkuri între site-urile sau paginile web existente și complementare, reorganizându-le și grupându-le cât mai mult posibil, precum și crearea de linkuri între paginile web și site-urile web de la nivelul Uniunii și de la nivel național care furnizează acces la informațiile și serviciile online.

(57)

Prezentul regulament ar trebui, de asemenea, să specifice cerințe de calitate pentru interfața comună pentru utilizatori. Comisia ar trebui să se asigure că interfața comună pentru utilizatori respectă cerințele respective și ar trebui să fie în special, disponibilă și accesibilă online prin intermediul unor canale diferite, și totodată să fie ușor de folosit.

(58)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a soluțiilor tehnice care sprijină portalul, ar trebui conferite competențe de executare Comisiei pentru a stabili, după caz, standardele aplicabile și cerințele de interoperabilitate pentru a spori ușurința găsirii informațiilor privind normele și obligațiile, privind procedurile și privind serviciile de asistență și soluționare a problemelor aflate în responsabilitatea statelor membre și a Comisiei. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011.

(59)

Prezentul regulament ar trebui, de asemenea, să aloce în mod clar responsabilitatea în ceea ce privește dezvoltarea, disponibilitatea, întreținerea și securitatea aplicațiilor TIC care sprijină portalul între Comisie și statele membre. Ca parte a activităților de întreținere, Comisia și statele membre ar trebui să monitorizeze periodic funcționarea corespunzătoare a acestor aplicații TIC.

(60)

Pentru a valorifica pe deplin potențialul diferitelor domenii ale informațiilor, procedurilor și serviciilor de asistență și soluționare a problemelor care ar trebui să fie incluse în portal, gradul de sensibilizare a publicului țintă cu privire la existența și funcționarea lor trebuie să fie îmbunătățit în mod semnificativ. Includerea lor în portal ar trebui să faciliteze modul în care utilizatorii găsesc informațiile, procedurile și serviciile de asistență și soluționare a problemelor de care au nevoie, chiar și în cazul în care nu sunt familiarizați cu niciunul dintre acestea. În plus, va fi necesar un efort coordonat de promovare pentru a garanta că cetățenii și întreprinderile din întreaga Uniune se familiarizează cu portalul și profită de avantajele pe care le oferă. Astfel de activități promoționale ar trebui să includă optimizarea motoarelor de căutare și alte campanii online de sensibilizare, deoarece acestea sunt cele mai eficace din punct de vedere al costurilor și au potențialul de a ajunge la cel mai larg public țintă posibil. Pentru optimizarea eficienței, aceste activități promoționale ar trebui să fie coordonate în cadrul grupului de coordonare a portalului, iar statele membre ar trebui să își adapteze eforturile de promovare, astfel încât să existe o marcă comună de referință în toate domeniile relevante, cu o posibilitate de marcare în comun a portalului digital unic cu inițiativele naționale.

(61)

Toate instituțiile, organele și agențiile Uniunii ar trebui să fie încurajate să promoveze portalul prin includerea logo-ului acestuia și linkuri către acesta pe toate paginile de web pentru care sunt responsabile.

(62)

Denumirea sub care portalul va fi cunoscut și promovat în rândul publicului larg ar trebui să fie „Your Europe”. Interfața comună pentru utilizatori ar trebui să fie vizibilă și ușor de găsit, în special pe paginile web relevante ale Uniunii și pe cele naționale. Logo-ul portalului ar trebui să fie vizibil pe toate paginile web relevante ale Uniunii și pe cele naționale.

(63)

Pentru a obține informații adecvate în vederea evaluării și a îmbunătățirii performanței portalului, prezentul regulament ar trebui să oblige autoritățile competente și Comisia să colecteze și să analizeze datele referitoare la utilizarea diferitelor domenii de informații, a diverselor proceduri și servicii oferite prin intermediul portalului. Colectarea de statistici privind utilizatorii, precum date referitoare la numărul de vizite pe anumite pagini web, numărul de utilizatori din cadrul unui stat membru în comparație cu numărul de utilizatori din alte state membre, termenii de căutare utilizați, paginile web cele mai vizitate, paginile web de referință sau numărul, originea și obiectul cererilor de asistență, ar trebui să îmbunătățească funcționarea portalului, ajutând la identificarea publicului, la elaborarea de activități promoționale și la îmbunătățirea calității serviciilor oferite. Colectarea de astfel de date ar trebui să țină seama de exercițiul de referință privind guvernarea electronică efectuat anual de Comisie pentru a se evita orice suprapunere.

(64)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui conferite e competențe de executare Comisiei. pentru a stabili norme uniforme privind metoda de colectare și schimbul de statistici privind utilizatorii. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011.

(65)

Calitatea portalului depinde de calitatea serviciilor naționale și ale Uniunii furnizate prin intermediul portalului. Prin urmare, calitatea informațiilor, a procedurilor și a serviciilor de asistență și soluționare a problemelor disponibile prin intermediul portalului ar trebui să fie monitorizată periodic, inclusiv prin intermediul unui instrument care solicită utilizatorilor să evalueze și să formuleze observații privind gradul de acoperire și calitatea informațiilor, a procedurilor și a serviciilor de asistență și de soluționare a problemelor pe care aceștia le-au utilizat. Aceste observații ar trebui să fie colectate într-un instrument comun la care Comisia, autoritățile competente și coordonatorii naționali ar trebui să aibă acces. În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament în ceea ce privește funcționalitățile comune ale instrumentelor de formulare a observațiilor de către utilizatori și modalitățile pentru colectarea și partajarea observațiilor din partea utilizatorilor, ar trebui conferite competențe de executare Comisiei. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011. Comisia ar trebui să publice online sinteze în formă anonimizată privind problemele care rezultă din informații, din principalele statistici privind utilizatorii și din principalele observații formulate de utilizatori, colectate în conformitate cu prezentul regulament.

(66)

În plus, portalul ar trebui să includă și un instrument de formulare a observațiilor care să permită utilizatorilor să semnaleze, în mod voluntar și anonim, toate problemele și dificultățile pe care le-au întâmpinat în exercitarea drepturilor lor pe piața internă. Acest instrument ar trebui să fie considerat o completare la mecanismele de soluționare a plângerilor, întrucât nu poate oferi un răspuns personalizat pentru utilizatori. Contribuțiile primite ar trebui să fie combinate cu informații agregate provenite de la serviciile de asistență și soluționare a problemelor cu privire la cazurile pe care le tratează, pentru a prezenta o imagine de ansamblu a pieței interne, așa cum este percepută de către utilizatori, și pentru a identifica domenii problematice pentru posibile acțiuni viitoare în vederea îmbunătățirii funcționării pieței interne. Această imagine de ansamblu ar trebui să fie conectată la instrumentele de raportare existente, precum Tabloul de bord al pieței unice.

(67)

Dreptul statelor membre de a decide cine ar trebui să îndeplinească rolul de coordonator național ar trebui să rămână neafectat de prezentul regulament. Statele membre ar trebui să fie în măsură să adapteze funcțiile și responsabilitățile coordonatorilor lor naționali în ceea ce privește portalul la structurile lor administrative interne. Statele membre ar trebui să fie în măsură să numească mai mulți coordonatori naționali pentru îndeplinirea sarcinilor în temeiul prezentului regulament, singuri sau împreună cu alții, având responsabilitate pentru un sector administrativ sau pentru o regiune geografică sau conform unui alt criteriu. Statele membre ar trebui să informeze Comisia cu privire la identitatea coordonatorului național unic pe care l-au desemnat pentru contactele cu Comisia.

(68)

Ar trebui înființat un grup de coordonare a portalului, format din coordonatori naționali și prezidat de către Comisie, cu scopul de a facilita punerea în aplicare a prezentului regulament, în special prin schimbul de bune practici și colaborarea în vederea îmbunătățirii coerenței prezentării informațiilor, astfel cum este prevăzut în prezentul regulament. Activitatea grupului de coordonare a portalului ar trebui să ia în considerare obiectivele stabilite în programul anual de lucru, pe care Comisia ar trebui să îl transmită în vederea examinării. Programul anual de lucru ar trebui să ia forma unor orientări sau recomandări fără caracter obligatoriu pentru statele membre. Comisia, la cererea Parlamentului European, poate decide să invite Parlamentul să trimită experți care să asiste la reuniunile grupului de coordonare a portalului.

(69)

Prezentul regulament ar trebui să precizeze în mod clar care dintre părțile portalului urmează să fie finanțate din bugetul Uniunii și care sunt părțile care intră în responsabilitatea statelor membre. Comisia ar trebui să asiste statele membre în identificarea componentelor TIC reutilizabile și a finanțării disponibile prin intermediul a diverse fonduri și programe de la nivelul Uniunii care pot contribui la acoperirea costurilor pentru adaptările și evoluțiile TIC necesare la nivel național în vederea respectării prezentului regulament. Bugetul necesar pentru punerea în aplicare a prezentului regulament ar trebui să fie compatibil cu cadrul financiar multianual aplicabil.

(70)

Statele membre sunt încurajate să se coordoneze, să facă schimburi și să colaboreze mai mult unele cu altele pentru a-și extinde capacitățile strategice, operaționale și de cercetare și dezvoltare în domeniul securității cibernetice, în special prin punerea în aplicare a securității rețelelor și a informațiilor (NIS), astfel cum sunt menționate în Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (27), pentru a consolida securitatea și reziliența administrației și a serviciilor lor publice. Statele membre sunt încurajate să crească securitatea tranzacțiilor și să asigure un grad suficient de încredere în mijloacele electronice prin utilizarea cadrului eIDAS stabilit de Regulamentul (UE) nr. 910/2014 și, în special, a unor niveluri de asigurare adecvate. Statele membre pot lua măsuri în conformitate cu dreptul Uniunii pentru salvgardarea securității cibernetice și pentru prevenirea fraudelor de identitate sau a altor forme de fraudă.

(71)

Atunci când aplicarea prezentului regulament presupune prelucrarea de date cu caracter personal, acest lucru ar trebui să fie realizat în conformitate cu dreptul Uniunii privind protecția datelor cu caracter personal, în special Regulamentul (UE) 2016/679 și Regulamentul (UE) 2018/1725. Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (28) ar trebui să se aplice, de asemenea, în contextul prezentului regulament. Așa cum prevede Regulamentul (UE) 2016/679, statele membre pot menține sau introduce și alte condiții, inclusiv restricții, în ceea ce privește prelucrarea datelor referitoare la starea de sănătate și pot prevedea norme mai specifice privind prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă.

(72)

Prezentul regulament ar trebui să promoveze și să faciliteze raționalizarea modalităților de guvernanță pentru serviciile acoperite de portal. În acest scop, Comisia ar trebui, în strânsă cooperare cu statele membre, să revizuiască modalitățile de guvernanță existente și să le adapteze, după caz, în vederea evitării suprapunerilor și a ineficienței.

(73)

Obiectivul prezentului regulament este de a garanta că utilizatorii care își desfășoară activitatea în alte state membre au acces online, la nivelul Uniunii și la nivel național, la informații cuprinzătoare, fiabile, accesibile și ușor de înțeles cu privire la drepturi, reguli și obligații, la proceduri online care sunt pe deplin funcționale la nivel transfrontalier și la servicii de asistență și soluționare a problemelor. Întrucât obiectivul respectiv nu poate fi realizat în mod satisfăcător de către statele membre, dar, având în vedere amploarea și efectele prezentului regulament, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru atingerea acestui obiectiv.

(74)

Pentru ca statele membre și Comisia să elaboreze și să pună în aplicare instrumentele necesare pentru punerea în aplicare a prezentului regulament, anumite dispoziții din acesta ar trebui să se aplice la doi ani de la data intrării în vigoare. Autoritățile locale ar trebui să dispună de până la patru ani de la data intrării în vigoare a prezentului regulament pentru a implementa cerința referitoare la furnizarea de informații cu privire la norme, proceduri și servicii de asistență și soluționare a problemelor ce cad în sfera lor de responsabilitate. Dispozițiile prezentului regulament privind procedurile care urmează să fie desfășurate integral online, accesul transfrontalier la procedurile online și sistemul tehnic pentru schimbul transfrontalier automatizat de elemente justificative, în conformitate cu principiul „doar o singură dată” ar trebui să fie puse în aplicare în termen de cinci ani de la intrarea în vigoare a prezentului regulament.

(75)

Prezentul regulament respectă drepturile fundamentale și se conformează principiilor recunoscute, în special, de Carta drepturilor fundamentale a Uniunii Europene, și ar trebui să fie pus în aplicare în conformitate cu aceste drepturi și principii.

(76)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (29) și a emis un aviz la 1 august 2017 (30),

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect

(1)   Prezentul regulament stabilește normele pentru:

(a)

instituirea și funcționarea unui portal digital unic, care să ofere cetățenilor și întreprinderilor un acces ușor la informații de înaltă calitate, la proceduri eficiente și la servicii eficace de asistență și soluționare a problemelor în ceea ce privește normele Uniunii și normele naționale aplicabile cetățenilor și întreprinderilor care își exercită sau intenționează să își exercite drepturile care decurg din dreptul Uniunii în domeniul pieței interne, în sensul articolului 26 alineatul (2) din TFUE;

(b)

utilizarea unor proceduri de către utilizatorii transfrontalieri și punerea în aplicare a principiului „doar o singură dată” în legătură cu procedurile enumerate în anexa II la prezentul regulament și procedurile prevăzute în Directivele 2005/36/CE, 2006/123/CE, 2014/24/UE și 2014/25/UE;

(c)

raportarea cu privire la obstacolele existente pe piața internă bazându-se pe colectarea observațiilor formulate de utilizatori și a statisticilor de la serviciile acoperite de portal.

(2)   În cazul în care prezentul regulament intră în contradicție cu o dispoziție a unui alt act al Uniunii care reglementează aspecte specifice legate de tematica reglementată de prezentul regulament, dispoziția celuilalt act al Uniunii prevalează.

(3)   Prezentul regulament nu afectează substanța procedurilor stabilite la nivelul Uniunii sau la nivel național sau drepturile pe care le conferă acestea, în oricare dintre domeniile reglementate de prezentul regulament. În plus, regulamentul nu aduce atingere măsurilor luate în conformitate cu dreptul Uniunii pentru salvgardarea securității cibernetice și pentru prevenirea fraudelor.

Articolul 2

Crearea portalului digital unic

(1)   Un portal digital unic („portalul”) se creează de către Comisie și statele membre în conformitate cu prezentul regulament. Portalul constă într-o interfață comună pentru utilizatori administrată de Comisie („interfața comună pentru utilizatori”), care este integrată în portalul „Europa ta” și care oferă acces la paginile web relevante ale Uniunii și naționale.

(2)   Portalul oferă acces la:

(a)

informații privind drepturile, obligațiile și normele prevăzute în dreptul Uniunii și în dreptul intern, aplicabile utilizatorilor care își exercită sau intenționează să își exercite drepturile care decurg din dreptul Uniunii în materia pieței interne, în domeniile enumerate în anexa I;

(b)

informații privind procedurile online și offline și linkuri către procedurile online, inclusiv privind procedurile vizate de anexa II, stabilite la nivelul Uniunii sau la nivel național pentru a le permite utilizatorilor să își exercite drepturile și să respecte obligațiile și normele în materia pieței interne în domeniile enumerate în anexa I;

(c)

informații și linkuri către serviciile de asistență și soluționare a problemelor enumerate în anexa III sau menționate la articolul 7 cărora cetățenii și întreprinderile li se pot adresa cu întrebări sau probleme legate de drepturile, obligațiile, normele sau procedurile menționate la literele (a) și (b) de la prezentul alineat.

(3)   Interfața comună pentru utilizatori este accesibilă în toate limbile oficiale ale Uniunii.

Articolul 3

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

1.

„utilizator” înseamnă fie un cetățean al Uniunii, o persoană fizică cu reședința într-un stat membru, fie o persoană juridică având sediul social într-un stat membru și care accesează, prin intermediul portalului, informațiile, procedurile sau serviciile de asistență sau soluționare a problemelor menționate la articolul 2 alineatul (2);

2.

„utilizator transfrontalier” înseamnă un utilizator într-o situație care nu se limitează din toate punctele de vedere la un singur stat membru;

3.

„procedură” înseamnă o secvență de acțiuni care trebuie efectuate de către utilizatori pentru a satisface cerințele sau pentru a obține de la o autoritate competentă o decizie în scopul de a-și putea exercita drepturile, astfel cum se menționează la articolul 2 alineatul (2) litera (a);

4.

„autoritate competentă” înseamnă orice autoritate sau organism dintr-un stat membru instituită la nivel național, regional sau local, cu responsabilități specifice referitoare la informațiile, procedurile, serviciile de asistență și soluționare a problemelor reglementate de prezentul regulament;

5.

„elemente justificative” înseamnă orice document sau date, inclusiv sub formă de text sau de înregistrare sonoră, vizuală sau audiovizuală, indiferent de suportul folosit, solicitate de o autoritate competentă pentru a dovedi faptele sau conformitatea cu cerințele pentru procedurile menționate la articolul 2 alineatul (2) litera (b).

CAPITOLUL II

SERVICIILE OFERITE DE PORTAL

Articolul 4

Accesul la informații

(1)   Statele membre se asigură că utilizatorii au acces online rapid pe paginile lor web naționale la următoarele:

(a)

informații cu privire la acele drepturi, obligații și norme menționate la articolul 2 alineatul (2) litera (a), care sunt derivate din dreptul intern;

(b)

informații cu privire la acele proceduri menționate la articolul 2 alineatul (2) litera (b), care sunt stabilite la nivel național;

(c)

informații cu privire la acele servicii de asistență și soluționare a problemelor menționate la articolul 2 alineatul (2) litera (c), care sunt oferite la nivel național.

(2)   Comisia se asigură că furnizorii portalului „Europa ta” oferă utilizatorilor acces online rapid, la următoarele:

(a)

informații cu privire la acele drepturi, obligații și norme menționate la articolul 2 alineatul (2) litera (a), care sunt derivate din dreptul Uniunii;

(b)

informații cu privire la acele proceduri menționate la articolul 2 alineatul (2) litera (b), care sunt stabilite la nivelul Uniunii;

(c)

informații cu privire la serviciile de asistență și soluționare a problemelor menționate la articolul 2 alineatul (2) litera (c), care sunt oferite la nivelul Uniunii.

Articolul 5

Accesul la informațiile care nu sunt incluse în anexa I

(1)   Statele membre și Comisia pot furniza linkuri către informații care nu sunt enumerate în anexa I, ce sunt puse la dispoziție de autoritățile competente, de Comisie sau de organele, oficiile și agențiile Uniunii, cu condiția ca aceste informații să facă obiectul portalului, astfel cum este definit la articolul 1 alineatul (1) litera (a) și să respecte cerințele de calitate prevăzute la articolul 9.

(2)   Linkurile către informațiile menționate la alineatul (1) din prezentul articol se furnizează în conformitate cu articolul 19 alineatele (2) și (3).

(3)   Înainte de a activa orice link, Comisia verifică dacă sunt îndeplinite condițiile prevăzute la alineatul (1) și consultă grupul de coordonare a portalului.

Articolul 6

Procedurile oferite integral online

(1)   Fiecare stat membru se asigură că utilizatorii pot să acceseze și să finalizeze, în întregime online, oricare dintre procedurile enumerate în anexa II, dacă procedura relevantă a fost stabilită în statul membru în cauză.

(2)   Procedurile menționate la alineatul (1) se consideră ca fiind integral online în cazul în care:

(a)

identificarea utilizatorilor, furnizarea de informații și de elemente justificative, semnarea și transmiterea finală pot fi realizate în întregime prin mijloace electronice de la distanță, prin intermediul unui canal de servicii care le permite utilizatorilor să îndeplinească cu ușurință și în mod structurat cerințele legate de procedură;

(b)

utilizatorii beneficiază de o confirmare de primire automată, cu excepția cazului în care rezultatul procedurii este livrat imediat;

(c)

rezultatul procedurii este furnizat în format electronic sau, după caz, pentru a se conforma cu dreptul Uniunii sau dreptul intern aplicabile, este furnizat prin mijloace fizice; și

(d)

utilizatorilor li se transmite o notificare electronică privind finalizarea procedurii.

(3)   În cazul în care, în situații excepționale justificate de motive imperative de interes public în domeniile securității publice, sănătății publice sau combaterii fraudelor, obiectivul urmărit nu poate fi realizat în întregime online, statele membre pot solicita utilizatorului să se prezinte personal în fața autorității competente, ca etapă din procedură. În astfel de situații excepționale, statele membre limitează această prezență fizică la ceea ce este strict necesar și justificat în mod obiectiv și se asigură că alte etape ale procedurii pot fi finalizate în întregime online. Statele membre se asigură, de asemenea, că cerința privind prezența fizică nu duce la discriminarea utilizatorilor transfrontalieri.

(4)   Statele membre notifică și explică, printr-un registru comun accesibil Comisiei și celorlalte state membre, motivele pentru care și circumstanțele în care ar putea fi necesară prezența fizică a utilizatorului pentru etapa procedurală menționată la alineatul (3), și motivele pentru care și circumstanțele în care livrarea fizică este necesară, astfel cum se menționează la alineatul (2) litera (c).

(5)   Prezentul articol nu împiedică statele membre să ofere utilizatorilor posibilitatea suplimentară de a accesa și efectua procedurile menționate la articolul 2 alineatul (2) litera (b) prin alte mijloace decât un canal online sau să contacteze utilizatorii în mod direct.

Articolul 7

Accesul la serviciile de asistență și soluționare a problemelor

(1)   Statele membre și Comisia se asigură că utilizatorii, inclusiv utilizatorii transfrontalieri, au acces online rapid, prin diferite canale, la serviciile de asistență și soluționare a problemelor menționate la articolul 2 alineatul (2) litera (c).

(2)   Coordonatorii naționali menționați la articolul 28 și Comisia pot furniza linkuri către serviciile de asistență și soluționare a problemelor oferite de autoritățile competente, de Comisie sau de organele, oficiile și agențiile Uniunii, altele decât cele enumerate în anexa III, în conformitate cu articolul 19 alineatele (2) și (3), dacă astfel de servicii sunt conforme cu cerințele de calitate prevăzute la articolele 11 și 16.

(3)   Atunci când este necesar pentru a satisface nevoile utilizatorilor, coordonatorul național poate propune Comisiei ca linkurile către serviciile de asistență și soluționare a problemelor furnizate de entități private sau semiprivate să fie incluse în portal, în cazul în care serviciile acestora îndeplinesc următoarele condiții:

(a)

oferă informații sau asistență în domeniile și în scopurile prevăzute de prezentul regulament și este complementar serviciilor deja incluse în portal;

(b)

sunt oferite gratuit sau la un preț accesibil pentru microîntreprinderi, organizații nonprofit și cetățeni; și

(c)

respectă cerințele prevăzute la articolele 8, 11 și 16.

(4)   În cazul în care coordonatorul național a propus includerea unui link în conformitate cu alineatul (3) de la prezentul articol și furnizează un astfel de link în conformitate cu articolul 19 alineatul (3), Comisia evaluează dacă condițiile prevăzute la alineatul (3) de la prezentul articol sunt îndeplinite de serviciul care urmează a fi inclus prin intermediul linkului, și, în caz afirmativ, activează linkul.

În cazul în care Comisia constată că serviciul care urmează a fi inclus nu îndeplinește condițiile prevăzute la alineatul (3), aceasta informează coordonatorul național cu privire la motivele pentru care nu a activat linkul.

Articolul 8

Cerințele de calitate legate de accesibilitatea web

Comisia face mai accesibile acele site-uri web și pagini web prin care acordă acces la informațiile menționate la articolul 4 alineatul (2) și la serviciile de asistență și soluționare a problemelor menționate la articolul 7, făcându-le perceptibile, operabile, inteligibile și robuste.

CAPITOLUL III

CERINȚE DE CALITATE

SECȚIUNEA 1

Cerințe de calitate referitoare la informații privind drepturile, obligațiile și normele, privind procedurile și privind serviciile de asistență și soluționare a problemelor

Articolul 9

Calitatea informațiilor privind drepturile, obligațiile și normele

(1)   În cazul în care, în conformitate cu articolul 4, statele membre și Comisia sunt responsabile de asigurarea accesului la informațiile menționate la articolul 2 alineatul (2) litera (a), ele se asigură că informațiile respective respectă următoarele cerințe:

(a)

sunt ușor accesibile, permițând utilizatorilor să le găsească și să le înțeleagă cu ușurință și să identifice cu ușurință care dintre ele sunt relevante pentru situația sa specifică;

(b)

sunt exacte și suficient de cuprinzătoare pentru a include informațiile pe care utilizatorii trebuie să le cunoască în vederea exercitării drepturilor lor în deplină conformitate cu normele și obligațiile aplicabile;

(c)

includ trimiteri și linkuri către acte juridice, specificații tehnice și orientări, atunci când este cazul;

(d)

includ denumirea autorității competente sau a entității responsabile pentru conținutul informațiilor;

(e)

includ datele de contact ale oricăror servicii relevante de asistență sau de soluționare a problemelor, cum ar fi un număr de telefon, o adresă de e-mail, un formular online pentru întrebări sau orice alt mijloc de comunicare electronică utilizat în mod obișnuit care este cel mai adecvat pentru tipul de serviciu oferit și pentru publicul-țintă al serviciului respectiv;

(f)

includ data ultimei actualizări a informațiilor, dacă este cazul, sau, în cazul în care informațiile nu au fost actualizate, data publicării acestora;

(g)

sunt bine structurate și prezentate astfel încât să permită utilizatorilor să găsească rapid informațiile de care au nevoie;

(h)

sunt actualizate; și

(i)

sunt redactate într-un limbaj simplu și clar, adaptat la necesitățile utilizatorilor.

(2)   Statele membre oferă acces la informațiile menționate la alineatul (1) de la prezentul articol într-o limbă oficială a Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, în conformitate cu articolul 12.

Articolul 10

Calitatea informațiilor referitoare la proceduri

(1)   Pentru a se conforma articolului 4, statele membre și Comisia garantează că înainte ca utilizatorii să trebuiască să se identifice înainte de inițierea unei proceduri, aceștia au acces la o explicație suficient de cuprinzătoare, clară și ușor de înțeles a următoarelor elemente, după caz, din procedurile menționate la articolul 2 alineatul (2) litera (b):

(a)

etapele relevante ale procedurii care trebuie parcurse de către utilizator, inclusiv orice excepție, în temeiul articolului 6 alineatul (3), de la obligația statelor membre de a pune la dispoziție procedura integral online;

(b)

denumirea autorității competente responsabile pentru procedură, inclusiv detaliile de contact ale acesteia;

(c)

modalitățile acceptate de autentificare, identificare și semnătură pentru această procedură;

(d)

tipul și formatul elementelor justificative care trebuie prezentate;

(e)

căile de atac sau de apel disponibile în general în caz de litigii cu autoritățile competente;

(f)

taxele aplicabile și metodele de plată online;

(g)

eventualele termene care trebuie respectate de utilizator sau de autoritatea competentă, și în cazul în care nu există termene, durata medie, estimată sau orientativă de care autoritatea competentă are nevoie pentru a efectua procedura;

(h)

eventualele norme aplicabile în cazul în care autoritățile competente nu furnizează un răspuns sau consecințele juridice ale acestui fapt asupra utilizatorilor, inclusiv modalități de aprobare tacită sau de tăcere administrativă;

(i)

orice altă limbă în care poate fi efectuată procedura.

(2)   Dacă nu există aprobare tacită, tăcere administrativă sau modalități similare, autoritățile competente informează utilizatorii, dacă este cazul, cu privire la orice întârzieri și orice prelungire a termenelor sau orice consecințe aferente.

(3)   În cazul în care este deja pusă la dispoziție pentru utilizatorii netransfrontalieri, explicația menționată la alineatul (1) poate fi utilizată sau reutilizată în sensul prezentului regulament, cu condiția să acopere și situația utilizatorilor transfrontalieri, după caz.

(4)   Statele membre oferă acces la explicația menționată la alineatul (1) de la prezentul articol într-o limbă oficială a Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, în conformitate cu articolul 12.

Articolul 11

Calitatea informațiilor cu privire la serviciile de asistență și soluționare a problemelor

(1)   Pentru a se conforma articolului 4, statele membre și Comisia garantează că, înainte de depunerea unei cereri pentru un serviciu conform articolului 2 alineatul (2) litera (c), utilizatorii au acces la o explicație clară și ușor de înțeles a următoarelor elemente:

(a)

tipul, scopul și rezultatele preconizate ale serviciilor oferite;

(b)

datele de contact ale entităților responsabile de serviciu, precum un număr de telefon, o adresă de e-mail, un formular online pentru întrebări sau orice alt mijloc de comunicare electronică utilizat în mod obișnuit care este cel mai adecvat pentru tipul de serviciu oferit și pentru publicul-țintă al serviciului respectiv;

(c)

acolo unde este relevant, taxele aplicabile și metodele de plată online;

(d)

eventualele termene aplicabile care trebuie respectate și, în cazul în care nu există termene, durata medie sau estimată necesară pentru prestarea serviciului;

(e)

orice altă limbă în care cererea poate fi depusă și care poate fi utilizată în contactele ulterioare.

(2)   Statele membre oferă acces la explicația menționată la alineatul (1) de la prezentul articol într-o limbă oficială a Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, în conformitate cu articolul 12.

Articolul 12

Traducerea informațiilor

(1)   În cazul în care un stat membru nu furnizează informațiile, explicațiile și instrucțiunile prevăzute la articolele 9, 10 și 11 și la articolul 13 alineatul (2) litera (a) într-o limbă oficială a Uniunii pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, statul membru respectiv solicită traduceri în limba respectivă, în limitele bugetului disponibil al Uniunii menționat la articolul 32 alineatul (1) litera (c).

(2)   Statele membre se asigură că textele trimise la traducere în conformitate cu alineatul (1) de la prezentul articol acoperă cel puțin informațiile de bază în toate domeniile enumerate în anexa I și că, în cazul în care este disponibil un buget suficient al Uniunii, acoperă orice alte informații, explicații și instrucțiuni menționate la articolele 9, 10 și 11 și la articolul 13 alineatul (2) litera (a), ținând cont de cele mai importante necesități ale utilizatorilor transfrontalieri. Statele membre furnizează în registrul pentru linkuri menționat la articolul 19 linkuri către astfel de informații traduse.

(3)   Limba menționată la alineatul (1) este limba oficială a Uniunii cea mai studiată ca limbă străină de utilizatori în întreaga Uniune. Cu titlu de excepție, în cazul în care se preconizează că informațiile, explicațiile sau instrucțiunile care trebuie traduse îi interesează în special pe utilizatorii transfrontalieri care provin dintr-un singur alt stat membru, limba menționată la alineatul (1) poate fi limba oficială a Uniunii utilizată ca prima limbă de către utilizatorii transfrontalieri respectivi.

(4)   În cazul în care un stat membru solicită o traducere într-o limbă oficială a Uniunii care nu este limba străină cea mai studiată de către utilizatori în Uniune, acesta își motivează în mod corespunzător cererea. În cazul în care constată că nu sunt îndeplinite condițiile menționate la alineatul (3) pentru alegerea unei astfel de alte limbi, Comisia poate respinge cererea, informând în consecință statul membru cu privire la motivele respective.

SECȚIUNEA 2

Cerințele legate de procedurile online

Articolul 13

Accesul transfrontalier la procedurile online

(1)   Statele membre se asigură că, în cazul în care o procedură prevăzută la articolul 2 alineatul (2) litera (b) și stabilită la nivel național poate fi accesată și realizată online de către utilizatorii netransfrontalieri, aceasta poate fi, de asemenea, accesată și realizată de către utilizatorii transfrontalieri în mod nediscriminatoriu prin intermediul aceleiași soluții tehnice sau al unei soluții tehnice alternative.

(2)   Statele membre se asigură că, pentru procedurile prevăzute la alineatul (1) de la prezentul articol, sunt respectate cel puțin următoarele cerințe:

(a)

utilizatorii pot accesa instrucțiuni în legătură cu completarea unei proceduri într-o limbă oficială a Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, în conformitate cu articolul 12;

(b)

utilizatorii transfrontalieri sunt în măsură să prezinte informațiile solicitate, inclusiv atunci când structura acestor informații diferă de cea a informațiilor similare din statul membru în cauză;

(c)

utilizatorii transfrontalieri au posibilitatea de a se identifica și autentifica, de a semna sau sigila documentele în mod electronic, astfel cum se prevede în Regulamentul (UE) nr. 910/2014, în toate cazurile în care acest lucru este posibil și pentru utilizatorii netransfrontalieri;

(d)

utilizatorii transfrontalieri au posibilitatea de a furniza elemente justificative privind conformitatea cu cerințele aplicabile și de a primi rezultatele procedurilor în format electronic în toate cazurile în care acest lucru este posibil și pentru utilizatorii netransfrontalieri;

(e)

în cazul în care finalizarea unui proceduri necesită o plată, utilizatorii au posibilitatea de a plăti taxele online prin intermediul serviciilor de plăți transfrontaliere disponibile pe scară largă, fără discriminare pe baza locului în care se află sediul prestatorului de servicii de plată, a locului emiterii instrumentului de plată sau a locului în care se află contul de plăți în Uniune.

(3)   În cazul în care procedura nu necesită identificarea sau autentificarea electronică menționată la alineatul (2) litera (c) și în cazul în care autorităților competente li se permite în temeiul dreptului intern sau al practicilor administrative aplicabile să accepte, în cazul utilizatorilor netransfrontalieri, copii digitalizate ale unor documente justificative neelectronice ale identității, cum ar fi cărțile de identitate sau pașapoartele, autoritățile competente respective acceptă astfel de copii digitalizate și în cazul utilizatorilor transfrontalieri.

Articolul 14

Sistemul tehnic pentru schimbul transfrontalier automatizat de elemente justificative și aplicarea principiului „doar o singură dată”

(1)   În scopul schimbului de elemente justificative pentru procedurile online enumerate în anexa II la prezentul regulament și pentru procedurile prevăzute în Directivele 2005/36/CE, 2006/123/CE, 2014/24/UE și 2014/25/UE, Comisia, în cooperare cu statele membre, stabilește un sistem tehnic pentru schimbul automatizat de elemente justificative între autoritățile competente din state membre diferite (denumit în continuare „sistemul tehnic”).

(2)   În cazul în care eliberează legal, în propriul stat membru și într-un format electronic care permite schimbul automatizat, elemente justificative care sunt relevante pentru procedurile online menționate la alineatul (1), autoritățile competente pun aceste elemente justificative și la dispoziția autorităților competente solicitante din alte state membre într-un format electronic care permite schimbul automatizat.

(3)   În special, sistemul tehnic:

(a)

permite prelucrarea cererilor pentru furnizarea elementelor justificative la cererea expresă a utilizatorului;

(b)

permite prelucrarea cererilor pentru furnizarea elementelor justificative care urmează să fie accesate sau partajate;

(c)

permite schimbul de elemente justificative între autoritățile competente;

(d)

permite prelucrarea elementelor justificative de către autoritatea competentă solicitantă;

(e)

asigură confidențialitatea și integritatea elementelor justificative;

(f)

asigură posibilitatea utilizatorului de a vizualiza elementele justificative care urmează să fie utilizate de către autoritatea competentă solicitantă și să aleagă dacă continuă sau nu cu schimbul de elemente justificative;

(g)

asigură un nivel adecvat de interoperabilitate cu alte sisteme relevante;

(h)

asigură un înalt nivel de securitate pentru transmiterea și prelucrarea elementelor justificative;

(i)

nu prelucrează elemente justificative dincolo de ceea ce este necesar din punct de vedere tehnic pentru schimbul de elementele justificative și numai pe durata necesară în acest scop.

(4)   Utilizarea sistemului tehnic nu este obligatorie pentru utilizatori și este permisă numai la cererea explicită a acestora, cu excepția cazului în care se prevede altfel în dreptul Uniunii sau dreptul intern. Utilizatorii au posibilitatea de a prezenta elementele justificative prin alte mijloace decât sistemul tehnic și direct autorității competente solicitante.

(5)   Oferirea posibilității de a vizualiza elementele justificative menționată la alineatul (3) litera (f) de la prezentul articol nu este necesară pentru procedurile în cadrul cărora schimbul transfrontalier automatizat de date fără o astfel de vizualizare este permis în temeiul dreptului Uniunii sau al dreptului intern aplicabil. Posibilitatea respectivă de vizualizare a elementelor justificative nu aduce atingere obligației de furnizare a informațiilor în temeiul articolelor 13 și 14 din Regulamentul (UE) 2016/679.

(6)   Statele membre integrează sistemul tehnic pe deplin operațional ca parte a procedurilor menționate la alineatul (1).

(7)   La cererea expresă liber exprimată, specifică, în cunoștință de cauză și lipsită de ambiguitate a utilizatorului în cauză, autoritățile competente responsabile cu procedurile online menționate la alineatul (1) solicită elementele justificative direct de la autoritățile competente care eliberează elemente justificative în alte state membre prin intermediul sistemului tehnic. În conformitate cu alineatul (3) litera (e), autoritățile emitente competente menționate la alineatul (2) pun la dispoziție elementele justificative prin intermediul aceluiași sistem.

(8)   Elementele justificative puse la dispoziția autorității competente solicitante se limitează la ceea ce a fost solicitat și nu pot fi utilizate de autoritatea respectivă decât pentru procedura pentru care au fost partajate. Elementele justificative care fac obiectul schimburilor prin intermediul sistemului tehnic sunt considerate de către autoritatea competentă solicitantă ca fiind autentice.

(9)   Până la 12 iunie 2021, Comisia adoptă acte de punere în aplicare pentru a stabili specificațiile tehnice și operaționale ale sistemelor tehnice necesare pentru punerea în aplicare a prezentului articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2).

(10)   Alineatele (1)-(8) nu se aplică procedurilor stabilite la nivelul Uniunii care prevăd diverse mecanisme pentru schimbul de elemente justificative, cu excepția cazului în care sistemul tehnic necesar pentru punerea în aplicare a prezentului articol se integrează în procedurile respective în conformitate cu normele prevăzute în actele Uniunii care instituie procedurile menționate.

(11)   Comisia și fiecare stat membru sunt responsabile de dezvoltarea, disponibilitatea, întreținerea, supravegherea, monitorizarea și gestionarea securității părților lor respective din sistemul tehnic.

Articolul 15

Verificarea elementelor justificative între statele membre

În cazul în care sistemul tehnic sau alte sisteme de schimb sau verificare a elementelor justificative între statele membre nu sunt disponibile sau aplicabile sau în cazul în care utilizatorul nu solicită utilizarea sistemului tehnic, autoritățile competente cooperează prin intermediul Sistemului de informare al pieței interne (IMI), dacă este necesar să se verifice autenticitatea elementelor justificative transmise unei autorități competente în format electronic de către utilizator în scopul unei proceduri online.

SECȚIUNEA 3

Cerințe de calitate referitoare la serviciile de asistență și soluționare a problemelor

Articolul 16

Cerințe de calitate referitoare la serviciile de asistență și soluționare a problemelor

Autoritățile competente și Comisia se asigură, în limitele competențelor lor respective, că serviciile de asistență și soluționare a problemelor enumerate în anexa III și serviciile care au fost incluse în portal în conformitate cu articolul 7 alineatele (2), (3) și (4) îndeplinesc următoarele cerințe de calitate:

(a)

sunt furnizate într-un interval de timp rezonabil, luând în considerare complexitatea cererii;

(b)

atunci când termenele sunt prelungite, utilizatorii sunt informați în prealabil cu privire la motivele aferente și la noul termen acordat;

(c)

în cazul în care furnizarea unui serviciu se efectuează contra cost, utilizatorii au posibilitatea de a plăti taxele online prin intermediul serviciilor de plăți transfrontaliere disponibile pe scară largă, fără discriminare pe baza locului în care se află sediul prestatorului de servicii de plată, a locului emiterii instrumentului de plată sau a locului în care se află contul de plăți în Uniune.

SECȚIUNEA 4

Monitorizarea calității

Articolul 17

Monitorizarea calității

(1)   Coordonatorii naționali menționați la articolul 28 și Comisia monitorizează cu regularitate, în limitele competențelor lor respective, conformitatea informațiilor, a procedurilor și a serviciilor de asistență și soluționare a problemelor disponibile prin intermediul portalului, în raport cu cerințele de calitate prevăzute la articolele 8-13 și la articolul 16. Monitorizarea este efectuată pe baza datelor colectate în conformitate cu articolele 24 și 25.

(2)   În caz de deteriorare a calității informațiilor, procedurilor și serviciilor de asistență și de soluționare a problemelor menționate la alineatul (1) furnizate de autoritățile competente, Comisia ia una sau mai multe dintre următoarele măsuri, în funcție de gravitatea și persistența deteriorării:

(a)

informează coordonatorul național relevant și solicită măsuri de remediere;

(b)

supune unei dezbateri în cadrul grupului de coordonare al portalului acțiunile recomandate pentru îmbunătățirea conformității cu cerințele de calitate;

(c)

trimite o scrisoare cu recomandări statului membru în cauză;

(d)

întrerupe temporar accesul la informațiile, la procedurile sau la serviciile de asistență sau de soluționare a problemelor furnizate prin intermediul portalului.

(3)   În cazul în care un serviciu de asistență sau de soluționare a problemelor către care sunt furnizate linkuri în conformitate cu articolul 7 alineatul (3) se abate în mod repetat de la cerințele prevăzute la articolele 11 și 16 sau nu mai răspunde nevoilor utilizatorilor, astfel cum este indicat de datele colectate în conformitate cu articolele 24 și 25, Comisia îl poate deconecta de la portal, după consultarea cu coordonatorul național relevant și, dacă este cazul, cu grupul de coordonare a portalului.

CAPITOLUL IV

SOLUȚII TEHNICE

Articolul 18

Interfața comună pentru utilizatori

(1)   Comisia, în strânsă cooperare cu statele membre, furnizează o interfață comună pentru utilizatori, integrată în portalul „Europa ta”, pentru a asigura buna funcționare a portalului.

(2)   Interfața comună pentru utilizatori oferă acces la informații, proceduri și serviciile de asistență sau de soluționare a problemelor prin intermediul unor linkuri către site-urile sau paginile web relevante de la nivelul Uniunii și de la nivel național, incluse în registrul pentru linkuri menționat la articolul 19.

(3)   În conformitate cu rolurile și responsabilitățile lor respective, statele membre și Comisia se asigură, astfel cum se prevede la articolul 4, că informațiile referitoare la norme și obligații, la proceduri și la serviciile de asistență și de soluționare a problemelor sunt organizate și structurate într-un mod care să le îmbunătățească accesibilitatea prin intermediul interfeței comune pentru utilizatori.

(4)   Comisia se asigură că interfața comună pentru utilizatori respectă următoarele cerințe de calitate:

(a)

este ușor de utilizat;

(b)

este accesibilă online prin diverse dispozitive electronice;

(c)

este dezvoltată și optimizată pentru diferite browsere;

(d)

îndeplinește următoarele cerințe de accesibilitate la rețea: perceptibilitate, operabilitate, inteligibilitate și robustețe.

(5)   Comisia poate adopta acte de punere în aplicare de stabilire a cerințelor de interoperabilitate pentru a facilita găsirea informațiilor referitoare la norme și obligații, la proceduri și la serviciile de asistență și de soluționare a problemelor prin intermediul interfeței comune pentru utilizatori. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2).

Articolul 19

Registrul pentru linkuri

(1)   Comisia, în strânsă cooperare cu statele membre, creează și actualizează un registru electronic pentru linkuri către informațiile, procedurile și serviciile de asistență și soluționare a problemelor menționate la articolul 2 alineatul (2) care permite conexiunea între aceste servicii și interfața comună pentru utilizatori.

(2)   Comisia furnizează, în registrul pentru linkuri, linkurile către informațiile, procedurile și serviciile de asistență și soluționare a problemelor accesibile pe paginile web gestionate la nivelul Uniunii și asigură în permanență exactitatea și actualizarea linkurilor.

(3)   Coordonatorii naționali furnizează, în registrul pentru linkuri, linkurile către informațiile, procedurile și serviciile de asistență și soluționare a problemelor accesibile pe paginile web gestionate de autoritățile competente sau de entități private sau semiprivate, în conformitate cu articolul 7 alineatul (3), și asigură în permanență exactitatea și actualizarea linkurilor.

(4)   În cazul în care este posibil din punct de vedere tehnic, furnizarea linkurilor menționată la alineatul (3) se poate realiza automat între sistemele relevante ale statelor membre și registrul pentru linkuri.

(5)   Comisia pune informațiile incluse în registru la dispoziția publicului într-un format de date deschis și care poate fi citit automat.

(6)   Comisia și coordonatorii naționali se asigură că linkurile către informațiile, procedurile și serviciile de asistență sau de soluționare a problemelor oferite prin portal nu conțin nicio dublare sau suprapunere parțiale sau complete inutile care riscă să provoace confuzie în rândul utilizatorilor.

(7)   În cazul în care punerea la dispoziție a informațiilor menționate la articolul 4 este prevăzută în alte dispoziții ale dreptului Uniunii, Comisia și coordonatorii naționali pot pune la dispoziție linkuri către informațiile respective pentru a se conforma cerințelor prevăzute la articolul respectiv.

Articolul 20

Sistemul comun de identificare a serviciului de asistență

(1)   Pentru a facilita accesul la serviciile de asistență și soluționare a problemelor enumerate în anexa III sau menționate la articolul 7 alineatele (2) și (3), autoritățile competente și Comisia se asigură că utilizatorii pot avea acces la ele prin sistemul comun de identificare a serviciului de asistență și soluționare a problemelor („sistemul comun de identificare a serviciului de asistență”), disponibil prin intermediul portalului.

(2)   Comisia dezvoltă și gestionează sistemul comun de identificare a serviciului de asistență și decide cu privire la structura și la formatul în care trebuie să fie furnizate denumirile și datele de contact ale serviciilor de asistență și soluționare a problemelor, pentru a permite buna funcționare a sistemului comun de identificare a serviciului de asistență.

(3)   Coordonatorii naționali trebuie să furnizeze Comisiei denumirile și datele de contact, astfel cum se menționează la alineatul (2).

Articolul 21

Responsabilitățile pentru aplicațiile TIC compatibile cu portalul

(1)   Comisia este responsabilă cu dezvoltarea, disponibilitatea, monitorizarea, actualizarea, întreținerea, securitatea și găzduirea următoarelor aplicații TIC și pagini web:

(a)

portalul „Europa ta”, menționat la articolul 2 alineatul (1);

(b)

interfața comună pentru utilizatori, menționată la articolul 18 alineatul (1), inclusiv motorul de căutare sau orice alt instrument TIC care să permită căutarea informațiilor și a serviciilor web;

(c)

registrul pentru linkuri menționat la articolul 19 alineatul (1);

(d)

sistemul comun de identificare a serviciului de asistență, menționat la articolul 20 alineatul (1);

(e)

instrumentele de formulare a observațiilor de către utilizatori, menționate la articolul 25 alineatul (1) și la articolul 26 alineatul (1) litera (a).

Comisia lucrează în strânsă cooperare cu statele membre pentru a dezvolta aplicațiile TIC.

(2)   Statele membre sunt responsabile cu dezvoltarea, disponibilitatea, monitorizarea, actualizarea, întreținerea și securitatea aplicațiilor TIC referitoare la site-urile și paginile lor web naționale pe care le gestionează și care sunt conectate la interfața comună pentru utilizatori.

CAPITOLUL V

PROMOVAREA

Articolul 22

Denumirea, logoul și eticheta de calitate

(1)   Denumirea sub care portalul va fi cunoscut și promovat în rândul publicului larg este „Your Europe”.

Logoul prin care portalul urmează să fie cunoscut și promovat în rândul publicului larg este stabilit de Comisie, în strânsă cooperare cu grupul de coordonare a portalului, cel târziu până la 12 iunie 2019.

Logo-ul portalului și linkul către acesta sunt vizibile și disponibile pe site-urile web relevante legate de portal de la nivelul Uniunii și de la nivel național.

(2)   Ca dovadă a respectării cerințelor de calitate menționate la articolele 9, 10 și 11, denumirea și logo-ul portalului țin loc și de etichetă de calitate. Cu toate acestea, logo-ul portalului este utilizat ca etichetă de calitate doar de către paginile web și de site-urile web de informare incluse în registrul pentru linkuri menționat la articolul 19.

Articolul 23

Promovarea

(1)   Statele membre și Comisia promovează acțiunile de sensibilizare și utilizarea de către cetățeni și întreprinderi a portalului și se asigură că portalul și informațiile, procedurile și serviciile de asistență și soluționare a problemelor sunt vizibile publicului și pot fi găsite cu ușurință prin intermediul motoarelor de căutare aflate la dispoziția publicului.

(2)   Statele membre și Comisia își coordonează activitățile promoționale menționate la alineatul (1) și se referă la portal și utilizează sigla acestuia în astfel de activități împreună cu orice alte denumiri comerciale, după caz.

(3)   Statele membre și Comisia se asigură că portalul este ușor de găsit prin intermediul site-urilor web conexe pentru care sunt responsabile și că sunt disponibile linkuri clare către interfața comună pentru utilizatori pe toate site-urile web relevante de la nivelul Uniunii și de la nivel național.

(4)   Coordonatorii naționali promovează portalul față de autoritățile naționale competente.

CAPITOLUL VI

COLECTAREA OBSERVAȚIILOR FORMULATE DE CĂTRE UTILIZATORI ȘI A STATISTICILOR

Articolul 24

Statisticile privind utilizatorii

(1)   Autoritățile competente și Comisia se asigură că statisticile sunt colectate în legătură cu vizitele utilizatorilor pe portal și pe paginile web cu care este conectat portalul, într-un mod care să garanteze anonimitatea utilizatorilor, pentru a îmbunătăți funcționalitatea acestuia.

(2)   Autoritățile competente, furnizorii de servicii de asistență sau soluționare a problemelor menționați la articolul 7 alineatul (3) și Comisia colectează și partajează, într-o formă agregată, numărul, originea și obiectul solicitărilor de servicii de asistență și soluționare a problemelor și timpii de răspuns ai acestora.

(3)   Statisticile colectate în conformitate cu alineatele (1) și (2) în ceea ce privește informațiile, procedurile și serviciile de asistență și de soluționare a problemelor la care este conectat portalul includ următoarele categorii de date:

(a)

date privind numărul, originea și tipul de utilizatori ai portalului;

(b)

date privind preferințele utilizatorilor și etapele parcurse de aceștia;

(c)

date privind ușurința utilizării, ușurința găsirii și calitatea informațiilor, a procedurilor și a serviciilor de asistență și de soluționare a problemelor.

Aceste date sunt puse la dispoziția publicului în format deschis, utilizat în mod obișnuit și care poate fi citit automat.

(4)   Comisia adoptă acte de punere în aplicare de stabilire a metodei de colectare și de schimb ale statisticilor privind utilizatorii menționate la alineatele (1), (2) și (3) din prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2).

Articolul 25

Formularea observațiilor de către utilizatori cu privire la serviciile oferite de portal

(1)   În scopul de a obține informații direct de la utilizatori cu privire la gradul de satisfacție în ceea ce privește serviciile și informațiile furnizate prin intermediul portalului, Comisia pune la dispoziția utilizatorilor, prin intermediul portalului, un instrument ușor de utilizat de formulare a observațiilor, care permite utilizatorilor imediat după ce utilizează oricare dintre serviciile menționate la articolul 2 alineatul (2), să transmită observații în mod anonim, cu privire la calitatea și disponibilitatea serviciilor furnizate prin portal și la informațiile disponibile în cadrul acestuia, precum și a interfeței comune pentru utilizatori.

(2)   Autoritățile competente și Comisia se asigură că utilizatorii au acces la instrumentul prevăzut la alineatul (1) de pe toate paginile web care fac parte din portal.

(3)   Comisia, autoritățile competente și coordonatorii naționali au acces direct la observațiile utilizatorilor colectate prin intermediul instrumentului prevăzut la alineatul (1) pentru a putea aborda orice problemă ridicată.

(4)   Autoritățile competente nu au obligația de a acorda utilizatorilor acces pe paginile lor web care fac parte din portal la instrumentul de formulare a observațiilor de către utilizatori menționat la alineatul (1), în cazul în care un alt instrument de formulare a observațiilor de către utilizatori având funcționalități similare cu instrumentul menționat la alineatul (1) este deja disponibil pe paginile lor web pentru a monitoriza calitatea serviciilor. Autoritățile competente colectează observațiile primite din partea utilizatorilor prin intermediul propriului instrument de formularea a observațiilor de către utilizatori și îl partajează cu Comisia și coordonatorii naționali din celelalte state membre.

(5)   Comisia adoptă acte de punere în aplicare de stabilire a normelor pentru colectarea și partajarea de observații formulate de utilizatori. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 37 alineatul (2).

Articolul 26

Raportare privind funcționarea pieței interne

(1)   Comisia:

(a)

trebuie să pună la dispoziția utilizatorilor portalului un instrument ușor de utilizat pentru a semnala și a formula observații în mod anonim privind orice obstacole întâmpinate de aceștia în exercitarea drepturilor lor pe piața internă;

(b)

trebuie să colecteze informații agregate de la serviciile de asistență și soluționare a problemelor care fac parte din portal cu privire la obiectul cererilor și al răspunsurilor.

(2)   Comisia, autoritățile competente și coordonatorii naționali au acces direct la observațiile colectate în conformitate cu alineatul (1) litera (a).

(3)   Statele membre și Comisia analizează și examinează problemele ridicate de utilizatori potrivit prezentului articol și le remediază, ori de câte ori este posibil, prin mijloace adecvate.

Articolul 27

Sinteze online

Comisia publică online sinteze în formă anonimizată privind problemele care rezultă din informațiile colectate în conformitate cu articolul 26 alineatul (1), principalele statistici privind utilizatorii menționate la articolul 24 și principalele observații formulate de către utilizatori menționate la articolul 25.

CAPITOLUL VII

ADMINISTRAREA PORTALULUI

Articolul 28

Coordonatorii naționali

(1)   Fiecare stat membru numește un coordonator național. În plus față de obligațiile care le revin în conformitate cu articolele 7, 17, 19, 20, 23 și 25, coordonatorii naționali:

(a)

acționează ca punct de contact în cadrul administrațiilor lor respective pentru toate aspectele legate de portal;

(b)

promovează aplicarea uniformă a articolelor 9-16 de către autoritățile competente respective;

(c)

garantează că recomandările menționate la articolul 17 alineatul (2) litera (c) sunt puse în aplicare în mod corespunzător.

(2)   În conformitate cu propria structură administrativă internă, fiecare stat membru poate să desemneze unul sau mai mulți coordonatori pentru îndeplinirea oricăreia dintre sarcinile enumerate la alineatul (1). Un coordonator național pentru fiecare stat membru este responsabil de contactele cu Comisia în ceea ce privește toate aspectele legate de portal.

(3)   Fiecare stat membru informează celelalte state membre și Comisia cu privire la numele și datele de contact ale coordonatorului național.

Articolul 29

Grupul de coordonare

Se înființează un grup de coordonare („grupul de coordonare a portalului”). Acesta este compus din câte un coordonator național din partea fiecărui stat membru și este prezidat de un reprezentant al Comisiei. Acesta își adoptă propriul regulament de procedură. Comisia asigură secretariatul.

Articolul 30

Sarcinile grupului de coordonare a portalului

(1)   Grupul de coordonare a portalului sprijină punerea în aplicare a prezentului regulament. Principalele sale sarcini sunt:

(a)

facilitarea schimbului de bune practici și a actualizării periodice a acestora;

(b)

încurajarea adoptării procedurilor integral online, în afara celor incluse în anexa II la prezentul regulament, și a mijloacelor online de autentificare, identificare și semnătură, în special cele prevăzute în Regulamentul (UE) nr. 910/2014;

(c)

discuții despre îmbunătățirea modului de prezentare a informațiilor pentru a fi accesibile utilizatorilor, în domeniile enumerate în anexa I, în special pe baza datelor colectate în conformitate cu articolele 24 și 25;

(d)

sprijinirea Comisiei în dezvoltarea soluțiilor TIC comune care stau la baza portalului;

(e)

dezbaterea proiectului de program anual de lucru;

(f)

sprijinirea Comisiei în monitorizarea executării programului anual de lucru;

(g)

discutarea informațiilor suplimentare care au fost transmise în conformitate cu articolul 5, cu scopul de a încuraja alte state membre să furnizeze informații similare, dacă sunt relevante pentru utilizatori;

(h)

acordarea de asistență Comisiei în monitorizarea conformității cu cerințele prevăzute la articolele 8-16, în conformitate cu articolul 17;

(i)

informarea cu privire la punerea în aplicare a articolului 6 alineatul (1);

(j)

discutarea și recomandarea de acțiuni autorităților competente și Comisiei în vederea evitării sau eliminării duplicării inutile a serviciilor disponibile prin intermediul portalului;

(k)

emiterea de avize cu privire la proceduri sau măsuri pentru a aborda în mod eficient orice problemă legată de calitatea serviciilor semnalată de utilizatori sau formularea unor sugestii pentru îmbunătățirea acesteia;

(l)

discutarea aplicării principiilor securității și protejării vieții private din faza de proiectare, în contextul prezentului regulament;

(m)

discutarea chestiunilor legate de colectarea observațiilor formulate de către utilizatori și a datelor statistice menționate la articolele 24 și 25, astfel încât serviciile oferite la nivelul Uniunii și la nivel național să fie îmbunătățite permanent;

(n)

discutarea unor chestiuni legate de cerințele de calitate a serviciilor oferite prin intermediul portalului;

(o)

schimb de bune practici și sprijinirea Comisiei în organizarea, structurarea și prezentarea serviciilor menționate la articolul 2 alineatul (2), pentru a permite funcționarea adecvată a interfeței comune pentru utilizatori;

(p)

facilitarea elaborării și a punerii în aplicare a strategiilor coordonate de promovare;

(q)

cooperarea cu organismele de guvernanță sau rețele de servicii de informații, de asistență sau soluționare a problemelor;

(r)

furnizarea de orientări privind altă limbă sau alte limbi oficiale ale Uniunii care să fie utilizate de către autoritățile competente în conformitate cu articolul 9 alineatul (2), articolul 10 alineatul (4), articolul 11 alineatul (2) și articolul 13 alineatul (2) litera (a).

(2)   Comisia poate consulta grupul de coordonare a portalului, cu privire la orice chestiune referitoare la aplicarea prezentului regulament.

Articolul 31

Programul anual de lucru

(1)   Comisia adoptă programul de lucru anual care precizează, în special:

(a)

acțiuni de ameliorare a prezentării informațiilor specifice în domeniile enumerate în anexa I și acțiuni de facilitare a punerii în aplicare în timp util, de către autoritățile competente la orice nivel, inclusiv la nivel municipal, a cerinței de a furniza informații;

(b)

acțiunile de facilitare a respectării articolelor 6 și 13;

(c)

acțiunile necesare pentru a asigura conformitatea cu cerințele prevăzute la articolele 9-12;

(d)

activitățile legate de promovarea portalului în conformitate cu articolul 23.

(2)   Atunci când pregătește proiectul de program anual de lucru, Comisia ia în considerare statisticile privind utilizatorii și observațiile colectate de la aceștia în conformitate cu articolele 24 și 25, precum și eventualele sugestii din partea statelor membre. Înainte de adoptarea proiectului de program anual de lucru, Comisia îl prezintă, în vederea dezbaterilor, grupului de coordonare a portalului.

CAPITOLUL VII

DISPOZIȚII FINALE

Articolul 32

Costuri

(1)   Bugetul general al Uniunii Europene acoperă următoarele costuri:

(a)

dezvoltarea și întreținerea instrumentelor TIC care sprijină punerea în aplicare a prezentului regulament la nivelul Uniunii;

(b)

promovarea portalului la nivelul Uniunii;

(c)

traducerea informațiilor, a explicațiilor și a instrucțiunilor în conformitate cu articolul 12 într-un volum anual maxim pentru fiecare stat membru, fără a aduce atingere posibilei realocări, dacă acest lucru este necesar pentru a se oferi posibilitatea utilizării depline a bugetului disponibil.

(2)   Costurile aferente portalurilor web naționale, platformelor de informare, serviciilor de asistență și procedurilor stabilite la nivel de stat membru sunt suportate din bugetele respective ale statelor membre, cu excepția cazului în care se prevede altfel în legislația Uniunii.

Articolul 33

Protecția datelor cu caracter personal

Prelucrarea datelor cu caracter personal de către autoritățile competente în cadrul prezentului regulament este în conformitate cu Regulamentul (UE) 2016/679. Prelucrarea datelor cu caracter personal de către Comisie în cadrul prezentului regulament este în conformitate cu Regulamentul (UE) 2018/1725.

Articolul 34

Cooperarea cu alte rețele de informare și asistență

(1)   După consultarea statelor membre, Comisia decide care din modalitățile neoficiale existente de guvernanță pentru oricare dintre serviciile de asistență sau soluționare a problemelor enumerate în anexa III sau pentru oricare dintre domeniile informațiilor menționate în anexa I urmează să fie sub responsabilitatea grupului de coordonare a portalului.

(2)   În cazul în care serviciile sau rețelele de informații și de asistență au fost create printr-un act al Uniunii cu caracter juridic obligatoriu pentru oricare dintre domeniile de informații cuprinse în anexa I, Comisia coordonează activitatea grupului de coordonare a portalului și organismele de guvernanță ale acestor servicii sau rețele în vederea sincronizării și pentru a evita suprapunerile.

Articolul 35

Sistemul de informare al pieței interne

(1)   Sistemul de informare al pieței interne (IMI), înființat prin Regulamentul (UE) nr. 1024/2012, se utilizează în sensul și în conformitate cu articolul 6 alineatul (4) și cu articolul 15.

(2)   Comisia poate decide să utilizeze IMI ca registrul electronic pentru linkuri prevăzut la articolul 19 alineatul (1).

Articolul 36

Raportare și revizuire

În termen de 12 decembrie 2022 și, ulterior, o dată la doi ani, Comisia realizează o revizuire a aplicării prezentului regulament și prezintă Parlamentului European și Consiliului un raport de evaluare privind funcționarea portalului și funcționarea pieței interne pe baza statisticilor și a observațiilor colectate în conformitate cu articolele 24, 25 și 26. Revizuirea evaluează, în special, domeniul de aplicare al articolului 14 pentru a ține seama de evoluțiile tehnologice, comerciale și juridice privind schimbul de elemente justificative între autoritățile competente.

Articolul 37

Procedura comitetului

(1)   Comisia este asistată de un comitet. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2)   Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

Articolul 38

Modificarea Regulamentului (UE) nr. 1024/2012

Regulamentul (UE) nr. 1024/2012 se modifică după cum urmează:

1.

Articolul 1 se înlocuiește cu următorul text:

„Articolul 1

Obiect

Prezentul regulament stabilește normele pentru utilizarea unui sistem de informare al pieței interne (IMI) pentru cooperarea administrativă între actorii IMI, inclusiv pentru prelucrarea datelor cu caracter personal.”

2.

La articolul 3, alineatul (1) se înlocuiește cu următorul text:

„(1)   IMI se utilizează pentru schimbul de informații, inclusiv de date cu caracter personal, între actorii IMI și pentru prelucrarea informațiilor respective pentru oricare dintre scopurile următoare:

(a)

cooperarea administrativă necesară în conformitate cu actele enumerate în anexă;

(b)

cooperare administrativă care face obiectul unui proiect-pilot realizat în conformitate cu articolul 4.”

3.

La articolul 5, al doilea paragraf se modifică după cum urmează:

(a)

litera (a) se înlocuiește cu următorul text:

„(a)

«IMI» înseamnă instrumentul electronic furnizat de Comisie pentru a facilita cooperarea administrativă dintre actorii IMI;”;

(b)

litera (b) se înlocuiește cu următorul text:

„(b)

«cooperare administrativă» înseamnă colaborarea dintre actorii IMI prin intermediul schimbului și prelucrării de informații pentru o mai bună aplicare a dreptului Uniunii.”;

(c)

litera (g) se înlocuiește cu următorul text:

„(g)

«actori IMI» înseamnă autoritățile competente, coordonatorii IMI, Comisia și organele, oficiile și agențiile Uniunii;”.

4.

La articolul 8 alineatul (1), se adaugă următoarea literă:

„(f)

asigurarea coordonării cu organele, oficiile și agențiile Uniunii și acordarea accesului la IMI.”

5.

La articolul 9, alineatul (4) se înlocuiește cu următorul text:

„(4)   Statele membre, Comisia și organele, oficiile și agențiile Uniunii pun în practică mijloace corespunzătoare pentru a se asigura că utilizatorilor IMI li se permite să consulte datele cu caracter personal prelucrate în IMI numai pe baza principiului necesității de a cunoaște și doar în domeniul sau domeniile pieței interne pentru care le-au fost acordate drepturi de acces în conformitate cu alineatul (3).”

6.

Articolul 21 se modifică după cum urmează:

(a)

alineatul (2) se înlocuiește cu următorul text:

„(2)   Autoritatea Europeană pentru Protecția Datelor răspunde de monitorizarea și asigurarea aplicării prezentului regulament atunci când Comisia sau organele, oficiile și agențiile Uniunii, în calitatea lor de actori IMI, prelucrează datele cu caracter personal. Sarcinile și competențele menționate la articolele 57 și 58 din Regulamentul (UE) 2018/1725 (*1) se aplică în consecință.

(*1)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).”;"

(b)

alineatul (3) se înlocuiește cu următorul text:

„(3)   Autoritățile naționale de supraveghere și Autoritatea Europeană pentru Protecția Datelor, acționând fiecare în domeniul de aplicare al respectivelor lor competențe, cooperează între ele în vederea asigurării supravegherii coordonate a IMI și a utilizării acestuia de către actorii IMI, în conformitate cu articolul 62 din Regulamentul (UE) 2018/1725.”;

(c)

alineatul (4) se elimină.

7.

La articolul 29, alineatul (1) se elimină.

8.

În anexă se adaugă următoarele puncte:

„11.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (*2): articolul 56, articolele 60-66 și articolul 70 alineatul (1).

12.

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 2 octombrie 2018 privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1024/2012 (*3): articolul 6 alineatul (4), articolul 15 și articolul 19.

(*2)  JO L 119, 4.5.2016, p. 1."

(*3)  JO 295, 21.11.2018, p. 39.”"

Articolul 39

Intrarea în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Articolul 2, articolul 4, articolele 7-12, articolul 16, articolul 17, articolul 18 alineatele (1)-(4), articolul 19, articolul 20, articolul 24 alineatele (1), (2) și (3), articolul 25 alineatele (1)-(4), articolul 26 și articolul 27 se aplică de la 12 decembrie 2020.

Articolul 6, articolul 13, articolul 14 alineatele (1)-(8) și (10) și articolul 15 se aplică de la 12 decembrie 2023.

Fără a aduce atingere datei aplicării pentru articolele 2, 9, 10 și 11, autoritățile municipale pun la dispoziție informațiile, explicațiile și instrucțiunile menționate la articolele respective cel târziu la 12 decembrie 2022.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Strasbourg, 2 octombrie 2018.

Pentru Parlamentul European

Președintele

A. TAJANI

Pentru Consiliu

Președintele

J. BOGNER-STRAUSS


(1)  JO C 81, 2.3.2018, p. 88.

(2)  Poziția Parlamentului European din 13 septembrie 2018 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 27 septembrie 2018.

(3)  Directiva 2006/123/CE a Parlamentului European și a Consiliului din 12 decembrie 2006 privind serviciile în cadrul pieței interne (JO L 376, 27.12.2006, p. 36).

(4)  Regulamentul (CE) nr. 764/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a unor proceduri de aplicare a anumitor norme tehnice naționale pentru produsele comercializate în mod legal în alt stat membru și de abrogare a Deciziei nr. 3052/95/CE (JO L 218, 13.8.2008, p. 21).

(5)  Regulamentul (UE) nr. 305/2011 al Parlamentului European și al Consiliului din 9 martie 2011 de stabilire a unor condiții armonizate pentru comercializarea produselor pentru construcții și de abrogare a Directivei 89/106/CEE a Consiliului (JO L 88, 4.4.2011, p. 5).

(6)  Directiva 2005/36/CE a Parlamentului European și a Consiliului din 7 septembrie 2005 privind recunoașterea calificărilor profesionale (JO L 255, 30.9.2005, p. 22).

(7)  Recomandarea 2013/461/UE a Comisiei din 17 septembrie 2013 privind principiile care guvernează SOLVIT (JO L 249, 19.9.2013, p. 10).

(8)  Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).

(9)  Directiva 2014/25/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile efectuate de entitățile care își desfășoară activitatea în sectoarele apei, energiei, transporturilor și serviciilor poștale și de abrogare a Directivei 2004/17/CΕ (JO L 94, 28.3.2014, p. 243).

(10)  Regulamentul (UE) 2016/589 al Parlamentului European și al Consiliului din 13 aprilie 2016 privind o rețea europeană de servicii de ocupare a forței de muncă (EURES), accesul lucrătorilor la servicii de mobilitate și integrarea mai bună a piețelor forței de muncă și de modificare a Regulamentelor (UE) nr. 492/2011 și (UE) nr. 1296/2013 (JO L 107, 22.4.2016, p. 1).

(11)  Decizia 2001/470/CE a Consiliului din 28 mai 2001 de creare a unei Rețele Judiciare Europene în materie civilă și comercială (JO L 174, 27.6.2001, p. 25).

(12)  Directiva 2014/67/UE a Parlamentului European și a Consiliului din 15 mai 2014 privind asigurarea respectării aplicării Directivei 96/71/CE privind detașarea lucrătorilor în cadrul prestării de servicii și de modificare a Regulamentului (UE) nr. 1024/2012 privind cooperarea administrativă prin intermediul Sistemului de informare al pieței interne („Regulamentul IMI”) (JO L 159, 28.5.2014, p. 11).

(13)  Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73).

(14)  Regulamentul (CE) nr. 883/2004 al Parlamentului European și al Consiliului din 29 aprilie 2004 privind coordonarea sistemelor de securitate socială (JO L 166, 30.4.2004, p. 1).

(15)  Regulamentul (CE) nr. 987/2009 al Parlamentului European și al Consiliului din 16 septembrie 2009 de stabilire a procedurii de punere în aplicare a Regulamentului (CE) nr. 883/2004 privind coordonarea sistemelor de securitate socială (JO L 284, 30.10.2009, p. 1).

(16)  Directiva (UE) 2016/2102 a Parlamentului European și a Consiliului din 26 octombrie 2016 privind accesibilitatea site-urilor web și a aplicațiilor mobile ale organismelor din sectorul public (JO L 327, 2.12.2016, p. 1).

(17)  Decizia 2010/48/CE a Consiliului din 26 noiembrie 2009 privind încheierea de către Comunitatea Europeană a Convenției Națiunilor Unite privind drepturile persoanelor cu handicap (JO L 23, 27.1.2010, p. 35).

(18)  Regulamentul (UE) nr. 260/2012 al Parlamentului European și al Consiliului din 14 martie 2012 de stabilire a cerințelor tehnice și comerciale aplicabile operațiunilor de transfer de credit și de debitare directă în euro și de modificare a Regulamentului (CE) nr. 924/2009 (JO L 94, 30.3.2012, p. 22).

(19)  Regulamentul (UE) nr. 1024/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind cooperarea administrativă prin intermediul Sistemului de informare al pieței interne și de abrogare a Deciziei 2008/49/CE a Comisiei („Regulamentul IMI”) (JO L 316, 14.11.2012, p. 1).

(20)  Regulamentul (UE) 2016/1191 al Parlamentului European și al Consiliului din 6 iulie 2016 privind promovarea liberei circulații a cetățenilor prin simplificarea cerințelor de prezentare a anumitor documente oficiale în Uniunea Europeană și de modificare a Regulamentului (UE) nr. 1024/2012 (JO L 200, 26.7.2016, p. 1).

(21)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(22)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (a se vedea pagina 39 din prezentul Jurnal Oficial).

(23)  Regulamentul (UE) nr. 1316/2013 al Parlamentului European și al Consiliului din 11 decembrie 2013 de instituire a Mecanismului pentru Interconectarea Europei, de modificare a Regulamentului (UE) nr. 913/2010 și de abrogare a Regulamentului (CE) nr. 680/2007 și (CE) nr. 67/2010 (JO L 348, 20.12.2013, p. 129).

(24)  Directiva (UE) 2017/1132 a Parlamentului European și a Consiliului din 14 iunie 2017 privind anumite aspecte ale dreptului societăților comerciale (JO L 169, 30.6.2017, p. 46).

(25)  Regulamentul (UE) 2015/848 al Parlamentului European și al Consiliului din 20 mai 2015 privind procedurile de insolvență (JO L 141, 5.6.2015, p. 19).

(26)  Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(27)  Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).

(28)  Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).

(29)  Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(30)  JO C 340, 11.10.2017, p. 6.


ANEXA I

Lista de informații relevante pentru cetățenii și întreprinderile care își exercită drepturile în cadrul pieței interne menționate la articolul 2 alineatul (2) litera (a)

Domenii de informații privind cetățenii:

Domeniul

INFORMAȚII PRIVIND DREPTURILE, OBLIGAȚIILE ȘI NORMELE CARE DECURG DIN DREPTUL UNIUNII ȘI DREPTUL NAȚIONAL

A.

Călătoriile în interiorul Uniunii

1.

documentele solicitate cetățenilor Uniunii, membrilor familiilor lor care nu sunt cetățeni ai Uniunii, minorilor care călătoresc singuri, cetățenilor din afara Uniunii atunci când călătoresc din străinătate în cadrul Uniunii (carte de identitate, pașaport, vize)

2.

drepturile și obligațiile pasagerilor care călătoresc cu avionul, cu trenul, cu vaporul, cu autobuzul în și din Uniune, precum și ale celor care cumpără pachete de servicii de călătorie sau servicii de călătorie asociate

3.

asistență în caz de mobilitate redusă atunci când persoanele respective călătoresc în și din Uniune

4.

transportarea animalelor, plantelor, alcoolului, tutunului, țigărilor și a altor produse atunci când se călătorește în interiorul Uniunii

5.

apelurile vocale și serviciile de trimitere și de primire a mesajelor electronice și de date electronice în interiorul Uniunii

B.

Munca și pensionarea în Uniunea Europeană

1.

căutarea unui loc de muncă în alt stat membru

2.

obținerea unui loc de muncă în alt stat membru

3.

recunoașterea calificărilor profesionale pentru obținerea unui loc de muncă în alt stat membru

4.

impozitarea în alt stat membru

5.

normele în materie de răspundere și asigurare obligatorie legate de rezidența sau ocuparea unui loc de muncă într-un alt stat membru

6.

condiții legate de ocuparea forței de muncă, inclusiv pentru lucrătorii detașați, prevăzute prin lege sau prin instrumente de reglementare (inclusiv informații privind programul de lucru, concedii plătite, drepturile la vacanță, drepturile și obligațiile referitoare la orele suplimentare de lucru, controalele sanitare, rezilierea contractelor, concedierile și disponibilizările)

7.

egalitatea de tratament (normele privind combaterea discriminării la locul de muncă, privind remunerarea egală pentru femei și bărbați, și privind egalitatea de remunerare pentru angajații cu contracte de muncă cu durată nedeterminată sau determinată)

8.

obligațiile în materie de sănătate și siguranță în ceea ce privește diferitele tipuri de activități

9.

drepturile și obligațiile de asigurare socială în Uniune, inclusiv cele legate de stabilirea unor pensii

C.

Vehiculele în Uniune

1.

mutarea unui autovehicul temporar sau permanent într-un alt stat membru

2.

obținerea și reînnoirea permisului de conducere

3.

contractarea unei asigurări auto obligatorii

4.

vânzarea și cumpărarea unui autovehicul într-un alt stat membru

5.

normele naționale referitoare la trafic și cerințele pentru conducătorii auto, inclusiv norme generale pentru utilizarea infrastructurilor rutiere naționale: tarife în funcție de durată timp (viniete), taxe în funcție de distanța parcursă (taxe de trecere), autocolantele de emisii

D.

Șederea într-un alt stat membru

1.

mutarea temporară sau permanentă într-un alt stat membru

2.

achiziționarea și vânzarea de proprietăți imobiliare, inclusiv orice condiții și obligații referitoare la impozitare, proprietate sau utilizarea unor astfel de proprietăți, inclusiv ca reședință secundară

3.

participarea la alegerile locale și la alegerile pentru Parlamentul European

4.

cerințele de eliberare a permiselor de ședere pentru cetățenii Uniunii și pentru membrii familiilor lor, inclusiv pentru membrii familiei care nu sunt cetățeni ai Uniunii

5.

condiții aplicabile pentru naturalizarea resortisanților din alte state membre

6.

norme aplicabile în caz de deces, inclusiv norme aplicabile pentru repatrierea rămășițelor pământești în alt stat membru

E.

Studiile sau stagiile în alt stat membru

1.

sistemul de învățământ într-un alt stat membru, inclusiv educația și îngrijire timpurie, învățământul primar și secundar, învățământul superior și învățarea în rândul adulților

2.

voluntariatul în alt stat membru

3.

stagiile în alt stat membru

4.

desfășurarea unor activități de cercetare în alt stat membru în cadrul unui program de învățământ

F.

Asistența medicală

1.

obținerea de îngrijiri medicale în alt stat membru

2.

achiziționarea de produse farmaceutice prescrise în alt stat membru decât cel în care a fost eliberată rețeta, online sau în persoană

3.

norme privind asigurările de sănătate aplicabile în cazul șederile de scurtă sau de lungă durată în alt stat membru, inclusiv procedura de solicitare a unui card european de asigurări sociale de sănătate

4.

informații generale privind drepturile de acces sau obligațiile de a participa la măsurile preventive publice disponibile în materie de sănătate

5.

serviciile furnizate prin intermediul numerelor de urgență naționale, inclusiv numerele „112” și „116”

6.

drepturile și condițiile pentru integrarea într-un centru de îngrijire

G.

Drepturile cetățenilor și ale familiilor

1.

naștere, încredințarea copiilor minori, responsabilitățile parentale, norme privind recurgerea la o mamă purtătoare și adopția, inclusiv adopția de către al doilea părinte, obligațiile de întreținere față de copii într-o situație familială transfrontalieră

2.

viața în cuplu cu naționalități diferite, inclusiv cupluri de același sex (căsătorii, parteneriate civile sau înregistrate, separări, divorțuri, drepturi de proprietate, drepturile coabitanților)

3.

norme privind recunoașterea genului

4.

drepturile și obligațiile succesorale într-un alt stat membru, inclusiv regimul fiscal

5.

drepturi și norme aplicabile în cazul răpirii transfrontaliere a copiilor de către unul dintre părinți

H.

Drepturile consumatorilor

1.

achiziționarea de bunuri, conținut digital sau servicii (inclusiv servicii financiare) dintr-un alt stat membru, online sau în persoană

2.

deținerea unui cont bancar în alt stat membru

3.

racordarea la utilități (gaz, electricitate, apă, evacuarea gunoiului menajer, telecomunicații și internet)

4.

plăți, inclusiv transferuri de credit, întârzieri în ceea ce privește plățile transfrontaliere

5.

drepturile consumatorilor și garanțiile legate de cumpărarea de bunuri și servicii, inclusiv procedurile pentru soluționarea litigiilor în materie de consum și acordarea de despăgubiri

6.

siguranța și securitatea produselor de consum

7.

închirierea unui autovehicul

I.

Protecția datelor cu caracter personal

1.

exercitarea drepturilor persoanelor vizate în ceea ce privește protecția datelor cu caracter personal

Domenii de informații privind întreprinderile:

Domeniul

INFORMAȚII CU PRIVIRE LA DREPTURI, OBLIGAȚII ȘI NORME

J.

Inițierea, desfășurarea sau închiderea unei afaceri

1.

înregistrarea, schimbarea formei juridice sau închiderea unei întreprinderi (procedurile de înregistrare și formele juridice pentru desfășurarea activității)

2.

mutarea unei întreprinderi în alt stat membru

3.

drepturile de proprietate intelectuală (depunerea unei cereri de brevet, înregistrarea unei mărci, a unei schițe sau a unui desen, obținerea unei licențe de reproducere)

4.

echitate și transparență în practicile comerciale, inclusiv cele privind drepturile consumatorilor și garanțiile legate de vânzarea de bunuri și servicii

5.

oferirea de facilități online pentru plățile transfrontaliere atunci când se comercializează bunuri și servicii online

6.

drepturile și obligațiile care decurg din dreptul contractelor, inclusiv dobânzile de penalizare

7.

procedurile de insolvență și de lichidare a întreprinderilor

8.

asigurarea de credit

9.

fuziunile dintre companii sau vânzarea unei întreprinderi

10.

răspunderea civilă a administratorilor unei societăți

11.

norme și obligații privind prelucrarea datelor cu caracter personal

K.

Angajați

1.

aspecte legate de ocuparea forței de muncă prevăzute prin lege sau prin instrumente de reglementare (inclusiv programul de lucru, concedii plătite, drepturile la vacanță, drepturile și obligațiile referitoare la orele suplimentare de lucru, controalele sanitare, rezilierea contractelor, concedierile și disponibilizările)

2.

drepturile și obligațiile de asigurare socială în Uniune (înregistrarea în calitate de angajator, înregistrarea angajaților, notificarea încetării contractului unui salariat, plata contribuțiilor de asigurări sociale, drepturile și obligațiile legate de pensii)

3.

ocuparea forței de muncă de către lucrători din alte state membre (detașarea lucrătorilor, normele referitoare la libera prestare a serviciilor, cerințele privind reședința pentru lucrători)

4.

egalitatea de tratament (normele privind combaterea discriminării la locul de muncă, privind remunerarea egală pentru femei și bărbați, și privind egalitatea de remunerare pentru angajații cu contracte de muncă cu durată nedeterminată sau determinată)

5.

normele privind reprezentarea personalului

L.

Impozite

1.

TVA: informații cu privire la regulile generale, rate de impozitare și scutiri, înregistrarea și plata TVA, obținerea unei rambursări

2.

accize: informații cu privire la regulile generale, rate de impozitare și scutiri, înregistrarea pentru accize și plata accizelor, obținerea unei rambursări

3.

taxe vamale și alte impozite și taxe percepute la importuri

4.

proceduri vamale pentru importuri și exporturi în temeiul Codului vamal al Uniunii

5.

alte taxe: plăți, rate, declarații fiscale

M.

Bunuri

1.

obținerea marcajului CE

2.

norme și cerințe privind produsele

3.

identificarea standardelor aplicabile, specificațiile tehnice și obținerea certificării pentru produse

4.

recunoașterea reciprocă a produselor care nu fac obiectul unor specificații la nivelul Uniunii

5.

cerințe privind clasificarea, etichetarea și ambalarea substanțelor chimice periculoase

6.

vânzarea la distanță sau în afara spațiului comercial: informațiile care urmează să fie furnizate clienților în avans, confirmarea scrisă a contractului, retragerea dintr-un contract, furnizarea de bunuri, alte obligații specifice

7.

produsele cu defect: drepturile consumatorilor și garanții, responsabilitățile post-vânzare, căi de atac pentru partea prejudiciată

8.

certificare, etichete (EMAS, etichetele energetice, proiectarea ecologică, eticheta ecologică a UE)

9.

reciclarea și gestionarea deșeurilor

N.

Servicii

1.

obținerea de licențe, autorizații sau permise în vederea înființării și exploatării unei întreprinderi

2.

informarea autorităților cu privire la activitățile transfrontaliere

3.

recunoașterea calificărilor profesionale, inclusiv a educației și formării profesionale

O.

Finanțarea unei întreprinderi

1.

obținerea accesului la finanțare la nivelul Uniunii, inclusiv programele de finanțare ale Uniunii și granturile de afaceri

2.

obținerea accesului la finanțare la nivel național

3.

inițiative destinate antreprenorilor (schimburi organizate pentru noii antreprenori, programe de mentorat etc.)

P.

Contracte publice

1.

participarea la licitațiile publice: norme și proceduri

2.

prezentarea unei oferte online ca răspuns la o cerere de ofertă publică

3.

raportarea neregulilor în ceea ce privește procesul de licitație

Q.

Sănătatea și securitatea în muncă

1.

obligațiile în materie de sănătate și siguranță în ceea ce privește diferitele tipuri de activități, printre care prevenirea riscurilor, informarea și formarea profesională


ANEXA II

Procedurile menționate la articolul 6 alineatul (1)

Evenimente legate de viață

Proceduri

Rezultatul preconizat sub rezerva unei evaluări a cererii de către autoritatea competentă în conformitate cu dreptul intern, dacă este cazul

Naștere

Solicitarea dovezii înregistrării nașterii

Dovada înregistrării nașterii sau certificatul de naștere

Reședința

Solicitarea dovezii de reședință

Confirmarea înregistrării la adresa curentă

Studii

Solicitarea finanțării studiilor în învățământul superior, cum ar fi granturile de studiu și împrumuturile acordate de un organism public sau o instituție publică

Decizia privind cererea de finanțare sau confirmarea de primire

Depunerea unei cereri inițiale de acces în instituții publice de învățământ superior

Confirmarea de primire a notificării

Solicitarea recunoașterii academice a diplomelor, a certificatelor sau a altor dovezi ale studiilor sau cursurilor

Decizia privind cererea de recunoaștere

Aspecte legate de muncă

Cerere de stabilire a legislației aplicabile în conformitate cu titlul II din Regulamentul (CE) nr. 883/2004 (1)

Decizie privind legislația aplicabilă

Notificarea modificărilor privind circumstanțele personale sau profesionale ale persoanei care primește prestații de securitate socială, relevante pentru prestațiile respective

Confirmarea de primire a notificării acestor modificări

Cerere pentru acordarea unui card european de asigurări sociale de sănătate (CEASS)

Cardul european de asigurări sociale de sănătate (CEASS)

Depunerea unei declarații privind impozitul pe venit

Confirmarea de primire a declarației

Mutarea

Înregistrarea unei modificări a adresei

Confirmarea radierii adresei anterioare și a înregistrării noii adrese

Înmatricularea unui autovehicul care provine dintr-un stat membru al UE sau care a fost deja înmatriculat într-un stat membru al UE, prin proceduri standard (2)

Dovada înmatriculării unui autovehicul

Obținerea de autocolante pentru utilizarea infrastructurilor rutiere naționale: tarife în funcție de durată timp (viniete), taxe în funcție de distanța parcursă (taxe de trecere) emise de un organism sau o instituție publică

Primirea unui autocolant pentru taxa rutieră, a unei viniete sau a altei dovezi de plată

Obținerea unui autocolant pentru emisii emise de un organism sau o instituție publică

Primirea unui autocolant pentru emisii sau a altei dovezi de plată

Pensionarea

Solicitarea pensiei și a prestațiilor de prepensionare din sistemele obligatorii

Confirmarea de primire a solicitării sau decizia referitoare la solicitarea pentru plata unei pensii sau prestațiile de prepensionare

Solicitarea de informații privind datele legate de sistemele obligatorii de pensii

Declarația privind datele cu caracter personal referitoare la pensie

Demararea, desfășurarea și închiderea unei activități comerciale

Notificarea activității comerciale, autorizațiile de desfășurare a activității, modificări ale activităților economice și încetarea unei activități economice care nu implică proceduri de insolvență sau lichidare, excluzând înregistrarea inițială a unei activități comerciale la registrul comerțului și cu excepția procedurilor privind constituirea sau a oricăror alte cereri ulterioare depuse de către societăți sau firme în sensul articolului 54 al doilea paragraf din TFUE.

Confirmarea de primire a notificării sau de modificare sau cererea de autorizare a activității comerciale

Înregistrarea unui angajator (a unei persoane fizice) în sistemele obligatorii de pensii și de asigurare

Confirmarea înregistrării sau numărul de înregistrare la asigurările sociale

Înregistrarea angajaților în sistemele obligatorii de pensii și de asigurare

Confirmarea înregistrării sau numărul de înregistrare la asigurările sociale

Depunerea unei declarații privind impozitul pe societăți

Confirmarea de primire a declarației

Notificarea către sistemele de securitate socială a încetării contractului cu un angajat, cu excepția procedurilor de încetare colectivă a contractelor angajaților

Confirmarea de primire a notificării

Plata contribuțiilor sociale pentru angajați

Primirea sau altă formă de confirmare a plății contribuțiilor sociale pentru angajați


(1)  Regulamentul (CE) nr. 883/2004 al Parlamentului European și al Consiliului din 29 aprilie 2004 privind coordonarea sistemelor de securitate socială (JO L 166, 30.4.2004, p. 1).

(2)  Include următoarele vehicule: (a) orice autovehicul sau remorcă, astfel cum este menționat(ă) la articolul 3 din Directiva 2007/46/CE a Parlamentului European și a Consiliului (JO L 263, 9.10.2007, p. 1) și (b) orice autovehicul cu două sau trei roți, cu roți jumelate sau nu, destinat transportului rutier, astfel cum este menționat la articolul 1 din Regulamentul (UE) nr. 168/2013 al Parlamentului European și al Consiliului (JO L 60, 2.3.2013, p. 52).


ANEXA III

Lista serviciilor de asistență și de soluționare a problemelor menționate la articolul 2 alineatul (2) litera (c)

1.

Ghișeele unice (1)

2.

Punctele de informare despre produse (2)

3.

Punctele de informare despre produse pentru construcții (3)

4.

Centrele naționale de asistență pentru calificări profesionale (4)

5.

Punctele naționale de contact pentru asistența medicală transfrontalieră (5)

6.

Rețeaua europeană de servicii de ocupare a forței de muncă (EURES) (6)

7.

Soluționarea online a litigiilor (SOL) (7)


(1)  Directiva 2006/123/CE a Parlamentului European și a Consiliului din 12 decembrie 2006 privind serviciile în cadrul pieței interne (JO L 376, 27.12.2006, p. 36).

(2)  Regulamentul (CE) nr. 764/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a unor proceduri de aplicare a anumitor norme tehnice naționale pentru produsele comercializate în mod legal în alt stat membru și de abrogare a Deciziei nr. 3052/95/CE (JO L 218, 13.8.2008, p. 21).

(3)  Regulamentul (UE) nr. 305/2011 al Parlamentului European și al Consiliului din 9 martie 2011 de stabilire a unor condiții armonizate pentru comercializarea produselor pentru construcții și de abrogare a Directivei 89/106/CEE a Consiliului (JO L 88, 4.4.2011, p. 5).

(4)  Directiva 2005/36/CE a Parlamentului European și a Consiliului din 7 septembrie 2005 privind recunoașterea calificărilor profesionale (JO L 255, 30.9.2005, p. 22).

(5)  Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

(6)  Regulamentul (UE) 2016/589 al Parlamentului European și al Consiliului din 13 aprilie 2016 privind o rețea europeană de servicii de ocupare a forței de muncă (EURES), accesul lucrătorilor la servicii de mobilitate și integrarea mai bună a piețelor forței de muncă și de modificare a Regulamentelor (UE) nr. 492/2011 și (UE) nr. 1296/2013 (JO L 107, 22.4.2016, p. 1).

(7)  Regulamentul (UE) nr. 524/2013 al Parlamentului European și al Consiliului din 21 mai 2013 privind soluționarea online a litigiilor în materie de consum și de modificare a Regulamentului (CE) nr. 2006/2004 și a Directivei 2009/22/CE (Regulamentul privind SOL în materie de consum) (JO L 165, 18.6.2013, p. 1).


21.11.2018   

RO

Jurnalul Oficial al Uniunii Europene

L 295/39


REGULAMENTUL (UE) 2018/1725 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 23 octombrie 2018

privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European (1),

hotărând în conformitate cu procedura legislativă ordinară (2),

întrucât:

(1)

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc. De asemenea, acest drept este garantat și în temeiul articolului 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

(2)

Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (3) conferă persoanelor fizice drepturi garantate din punct de vedere juridic, definește obligațiile în materie de prelucrare a datelor care le revin operatorilor în instituțiile și organele comunitare și prevede instituirea unei autorități independente de supraveghere, Autoritatea Europeană pentru Protecția Datelor, care să răspundă de monitorizarea prelucrării datelor cu caracter personal de către instituțiile și organele Uniunii. Cu toate acestea, regulamentul menționat nu se aplică prelucrării datelor cu caracter personal în cursul unei activități desfășurate de către instituții și organe ale Uniunii care nu intră în domeniul de aplicare al dreptului Uniunii.

(3)

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4) și Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (5) au fost adoptate la 27 aprilie 2016. În timp ce regulamentul stabilește norme generale menite să protejeze persoanele fizice în ceea ce privește prelucrarea datelor cu caracter personal și să asigure libera circulație a datelor cu caracter personal în Uniune, directiva stabilește norme specifice menite să protejeze persoanele fizice în ceea ce privește prelucrarea datelor cu caracter personal și să asigure libera circulație a acestor date în Uniune în domeniile cooperării judiciare în materie penală și al cooperării polițienești.

(4)

Regulamentul (UE) 2016/679 prevede adaptarea Regulamentului (CE) nr. 45/2001 pentru a asigura un cadru solid și coerent în materia protecției datelor în Uniune și a permite aplicarea în paralel a acestuia din urmă cu Regulamentul (UE) 2016/679.

(5)

Este în interesul unei abordări coerente a protecției datelor cu caracter personal în întreaga Uniune, precum și al liberei circulații a datelor cu caracter personal în Uniune, ca normele de protecție a datelor ale instituțiilor, organelor, oficiilor și agențiilor Uniunii să fie aliniate cât mai mult posibil la normele de protecție a datelor adoptate pentru sectorul public din statele membre. Ori de câte ori dispozițiile din prezentul regulament urmează aceleași principii ca dispozițiile Regulamentului (UE) 2016/679, aceste două seturi de dispoziții ar trebui, în temeiul jurisprudenței Curții de Justiție a Uniunii Europene („Curtea de Justiție”), să fie interpretate în mod omogen, în special pentru că structura prezentului regulament ar trebui înțeleasă ca fiind similară structurii Regulamentului (UE) 2016/679.

(6)

Persoanele ale căror date cu caracter personal sunt prelucrate de către instituțiile sau organele Uniunii indiferent de context, de exemplu pentru că persoanele menționate mai sus sunt angajate de către aceste instituții sau organe, ar trebui să fie protejate. Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal ale persoanelor decedate. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.

(7)

Pentru a preveni apariția unui risc major de eludare, protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnologiile utilizate.

(8)

Prezentul regulament ar trebui să se aplice prelucrării datelor cu caracter personal de către toate instituțiile, organele, oficiile și agențiile Uniunii. Regulamentul ar trebui să se aplice prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării, prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.

(9)

În Declarația nr. 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată actului final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, conferința a recunoscut că s-ar putea dovedi necesare norme specifice privind protecția datelor cu caracter personal și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 din TFUE, având în vedere natura specifică a acestor domenii. Un capitol distinct din prezentul regulament cuprinzând norme generale ar trebui, prin urmare, să se aplice prelucrării datelor operaționale cu caracter personal, precum datele cu caracter personal prelucrate în vederea anchetelor penale de către organele, oficiile sau agențiile Uniunii atunci când desfășoară activități în domeniile cooperării judiciare în materie penală și al cooperării polițienești.

(10)

Directiva (UE) 2016/680 stabilește norme armonizate pentru protecția și libera circulație a datelor cu caracter personal prelucrate în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau în scopul executării pedepselor, inclusiv în scopul protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. În vederea asigurării aceluiași nivel de protecție pentru persoanele fizice prin drepturi opozabile în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică schimbul de date cu caracter personal între organele, oficiile sau agențiile Uniunii atunci când desfășoară activități care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE și autoritățile competente, normele pentru protecția și libera circulație a datelor operaționale cu caracter personal prelucrate de către aceste organe, oficii sau agenții ale Uniunii ar trebui să fie coerente cu Directiva (UE) 2016/680.

(11)

Normele generale ale capitolului din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal ar trebui să se aplice fără a aduce atingere normelor specifice aplicabile prelucrării de date operaționale cu caracter personal efectuate de organele, oficiile și agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE. Aceste norme specifice ar trebui să fie considerate lex specialis în raport cu dispozițiile de la capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal (lex specialis derogat legi generali). Pentru a reduce fragmentarea juridică, normele specifice de protecție a datelor aplicabile prelucrării de date operaționale cu caracter personal de către organele, oficiile sau agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE ar trebui să fie în concordanță cu principiile care stau la baza capitolului din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal, precum și cu dispozițiile din prezentul regulament privind controlul independent, căile de atac, răspunderea și sancțiunile.

(12)

Capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal ar trebui să se aplice organelor, oficiilor și agențiilor Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE, indiferent dacă desfășoară aceste activități ca sarcini principale sau auxiliare în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor. Cu toate acestea, capitolul în cauză nu ar trebui să se aplice Europol sau Parchetului European până când actele juridice de instituire a Europol și a Parchetului European nu sunt modificate, cu scopul de a face capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal, în forma adaptată, aplicabil acestora.

(13)

Comisia ar trebui să revizuiască prezentul regulament, în special capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal. Comisia ar trebui, de asemenea, să revizuiască alte acte juridice, adoptate pe baza tratatelor, care reglementează prelucrarea datelor operaționale cu caracter personal de către organele, oficiile sau agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE. După această revizuire, în vederea asigurării unei protecții uniforme și consecvente a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, Comisia ar trebui să poată face orice propuneri legislative corespunzătoare, inclusiv orice adaptări necesare ale capitolului din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal, în vederea aplicării acestuia Europol și Parchetului European. Adaptările ar trebui să ia în considerare dispoziții referitoare la supravegherea independentă, căile de atac, răspunderea și sancțiunile.

(14)

Prelucrarea datelor administrative cu caracter personal, cum ar fi datele privind personalul, de către organele, oficiile sau agențiile Uniunii care desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE ar trebui reglementată de prezentul regulament.

(15)

Prezentul regulament ar trebui să se aplice prelucrării datelor cu caracter personal de către instituțiile, organele, oficiile sau agențiile Uniunii care desfășoară activități care intră în domeniul de aplicare al titlului V capitolul 2 din Tratatul privind Uniunea Europeană (TUE). Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către misiunile menționate la articolul 42 alineatul (1) și la articolele 43 și 44 din TUE, care pun în aplicare politica de securitate și apărare comună. Dacă este cazul, pentru a reglementa în mod mai specific prelucrarea de date cu caracter personal în domeniul politicii de securitate și apărare comune, ar trebui prezentate propuneri corespunzătoare.

(16)

Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

(17)

Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de către operatori să își îndeplinească obligațiile de protecție a datelor. Introducerea explicită a conceptului de „pseudonimizare” în prezentul regulament nu este destinată să împiedice alte eventuale măsuri de protecție a datelor.

(18)

Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori, precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și cu alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.

(19)

Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, cum ar fi o declarație făcută în scris, inclusiv în format electronic, sau verbal. Aceasta ar putea include bifarea unei căsuțe atunci când persoana vizitează un website, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. În același timp, persoana vizată ar trebui să aibă dreptul de a-și retrage în orice moment consimțământul, fără ca acest fapt să afecteze legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare. Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe deplin scopul prelucrării datelor în scopuri de cercetare științifică. Din acest motiv, persoanelor vizate ar trebui să li se permită să își exprime consimțământul pentru anumite domenii ale cercetării științifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea științifică. Persoanele vizate ar trebui să aibă posibilitatea de a-și exprima consimțământul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare în măsura permisă de scopul preconizat.

(20)

Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent pentru persoanele fizice faptul că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau pentru o revizuire periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare și pentru a preveni dezvăluirea neautorizată în cursul transmiterii.

(21)

În conformitate cu principiul responsabilității, în cazul în care instituții sau organe ale Uniunii transmit date cu caracter personal în cadrul aceleiași instituții sau aceluiași organ, iar destinatarul nu face parte din operator, sau în cazul în care transmit date cu caracter personal către alte instituții sau organe ale Uniunii, respectivele instituții și organe ar trebui să verifice dacă aceste date cu caracter personal sunt necesare pentru îndeplinirea legitimă a sarcinilor care sunt de competența destinatarului. În special, după ce destinatarul i-a adresat o cerere de transmitere a unor date cu caracter personal, operatorul ar trebui să verifice existența unui motiv relevant pentru prelucrarea legală a datelor cu caracter personal, precum și competența destinatarului. Operatorul ar trebui, de asemenea, să efectueze o evaluare provizorie a necesității transmiterii datelor. Dacă apar îndoieli în privința necesității acestui transfer, operatorul ar trebui să solicite destinatarului mai multe informații. Destinatarul ar trebui să se asigure că necesitatea transmiterii datelor poate fi verificată ulterior.

(22)

Pentru ca prelucrarea datelor cu caracter personal să fie legală, la baza acesteia ar trebui să stea necesitatea îndeplinirii de către instituțiile și organele Uniunii a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care sunt învestite, necesitatea respectării unei obligații legale care îi revine operatorului sau un alt motiv legitim în temeiul prezentului regulament, inclusiv consimțământul persoanei vizate, necesitatea prelucrării în vederea executării unui contract la care persoana vizată este parte sau necesitatea parcurgerii etapelor premergătoare încheierii unui contract, la solicitarea persoanei vizate. Prelucrarea datelor cu caracter personal în scopul îndeplinirii unor misiuni de interes public de către instituțiile și organele Uniunii include prelucrarea datelor cu caracter personal necesare administrării și funcționării acestor instituții și organe. Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui, în principiu, să fie efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.

(23)

Dreptul Uniunii menționat în prezentul regulament ar trebui să fie clar și precis, iar aplicarea sa ar trebui să fie previzibilă pentru persoanele vizate de acesta, în conformitate cu cerințele prevăzute în Cartă și în Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

(24)

Normele interne menționate în prezentul regulament ar trebui să fie acte clare și precise, general aplicabile, menite să producă efecte juridice față de persoanele vizate. Acestea ar trebui adoptate la cel mai înalt nivel de conducere al instituțiilor și organelor Uniunii, în limita competențelor acestora și în chestiuni legate de funcționarea lor. Acestea ar trebui publicate în Jurnalul Oficial al Uniunii Europene. Aplicarea normelor respective ar trebui să fie previzibilă pentru persoanele vizate, în conformitate cu cerințele prevăzute în Cartă și în Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. Normele interne ar putea lua forma unor decizii, în special atunci când sunt adoptate de instituțiile Uniunii.

(25)

Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, dreptul Uniunii poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operațiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură existentă între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor; de natura datelor cu caracter personal, de consecințele pe care prelucrarea ulterioară preconizată le va avea asupra persoanelor vizate, precum și de existența unor garanții corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.

(26)

În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (6), ar trebui furnizată o declarație de consimțământ formulată în prealabil de către operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, iar această declarație nu ar trebui să conțină clauze abuzive. Pentru ca acordarea consimțământului să fie în cunoștință de cauză, persoana vizată ar trebui să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată.

(27)

Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. O astfel de protecție specifică ar trebui să se aplice în special creării de profiluri de personalitate și colectării de date cu caracter personal privind copiii cu ocazia oferirii serviciilor direct copiilor pe website-urile instituțiilor și organelor Uniunii, cum ar fi serviciile de comunicare interpersonală sau vânzarea online de bilete, iar prelucrarea datelor cu caracter personal se bazează pe consimțământ.

(28)

Atunci când destinatari stabiliți în Uniune, alții decât instituțiile și organele Uniunii, ar dori ca instituții și organe ale Uniunii să le transmită date cu caracter personal, destinatarii respectivi ar trebui să demonstreze că este necesar ca datele să fie transmise acestor destinatari pentru îndeplinirea sarcinii lor executate în interes public sau în cadrul exercitării unei autorități oficiale cu care sunt învestiți. În mod alternativ, destinatarii respectivi ar trebui să demonstreze că transmiterea este necesară pentru un scop specific în interesul public iar operatorul ar trebui să stabilească dacă există vreun motiv să se presupună că interesele legitime ale persoanei vizate ar putea fi afectate. În astfel de cazuri, în mod demonstrabil, operatorul ar trebui să cântărească diferitele interese pentru a evalua proporționalitatea transmiterii solicitate de date cu caracter personal. Scopul specific în interesul public ar putea să se refere la transparența instituțiilor și organelor Uniunii. În plus, instituțiile și organele Uniunii ar trebui să demonstreze această necesitate atunci când inițiază ele însele o transmitere, în conformitate cu principiul transparenței și al bunei administrări. Cerințele stabilite în prezentul regulament privind transmiterile către destinatari stabiliți în Uniune, alții decât instituții și organe ale Uniunii, ar trebui să fie înțelese ca fiind complementare condițiilor pentru prelucrarea legală.

(29)

Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Aceste date cu caracter personal nu ar trebui prelucrate dacă nu sunt îndeplinite condițiile specifice prevăzute de prezentul regulament. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului „origine rasială” în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existența unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Pe lângă cerințele specifice privind prelucrarea datelor sensibile, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoi specifice, în special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.

(30)

Categoriile speciale de date cu caracter personal, care necesită un nivel mai ridicat de protecție, ar trebui prelucrate în scopuri legate de sănătate doar atunci când este necesar pentru realizarea acestor scopuri, în beneficiul persoanelor fizice și al societății în general, în special în contextul gestionării serviciilor și sistemelor de sănătate sau de asistență socială. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce privește nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligații legale de a păstra secretul profesional. Dreptul Uniunii ar trebui să prevadă măsuri specifice și adecvate pentru a proteja drepturile fundamentale și datele cu caracter personal ale persoanelor fizice.

(31)

Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. O astfel de prelucrare ar trebui condiționată de măsuri adecvate și specifice destinate să protejeze drepturile și libertățile persoanelor fizice. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului (7), și anume toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri.

(32)

Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta oricare dintre dispozițiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui să refuze să preia informațiile suplimentare furnizate de persoana vizată cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui să includă identificarea digitală a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleași acreditări utilizate de către persoana vizată pentru a accesa serviciile online oferite de operatorul de date.

(33)

Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui să facă, în conformitate cu prezentul regulament, obiectul unor garanții adecvate pentru drepturile și libertățile persoanei vizate. Respectivele garanții ar trebui să asigure faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor. Prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice se efectuează atunci când operatorul a evaluat fezabilitatea pentru îndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiția să existe garanții adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Instituțiile și organele Uniunii ar trebui să prevadă în dreptul Uniunii, eventual în normele interne adoptate de instituțiile și organele Uniunii în chestiuni legate de funcționarea lor, garanții adecvate pentru prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

(34)

Ar trebui să fie prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita și, dacă este cazul, obține, în mod gratuit, în special, acces la datele cu caracter personal, precum și rectificarea sau ștergerea acestora, și exercitarea dreptului la opoziție. Operatorul ar trebui să ofere, de asemenea, modalități de introducere a cererilor pe cale electronică, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui să aibă obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună și, în cazul în care nu intenționează să dea curs respectivelor cereri, să motiveze acest refuz.

(35)

Conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum și la consecințele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligația de a furniza datele cu caracter personal și cu privire la consecințe în cazul unui refuz. Aceste informații pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea ar trebui să poată fi citite automat.

(36)

Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cu caracter personal sunt obținute din altă sursă, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în care operatorul intenționează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informațiile generale ar trebui furnizate.

(37)

O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la date privind sănătatea lor, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele cu caracter personal, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de informații privind persoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi furnizate informațiile, persoana vizată să precizeze informațiile sau activitățile de prelucrare la care se referă cererea sa.

(38)

O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sub incidența căruia intră operatorul. Persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-și exercita acest drept în pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea dreptului la libertatea de exprimare și de informare, pentru respectarea unei obligații legale, pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

(39)

Pentru a se consolida „dreptul de a fi uitat” în mediul online, dreptul de ștergere ar trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa operatorii care prelucrează respectivele date cu caracter personal să șteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ținând seama de tehnologia disponibilă și de mijloacele aflate la dispoziția lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal cu privire la cererea persoanei vizate.

(40)

Metodele de restricționare a prelucrării de date cu caracter personal ar putea include, printre altele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlăturarea temporară a datelor publicate de pe un site. În ceea ce privește sistemele automatizate de evidență a datelor, restricționarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în așa fel încât datele cu caracter personal să nu facă obiectul unor operațiuni de prelucrare ulterioară și să nu mai poată fi schimbate. Faptul că prelucrarea datelor cu caracter personal este restricționată ar trebui indicat în mod clar în sistem.

(41)

Pentru a spori și mai mult controlul asupra propriilor date, persoana vizată ar trebui, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, să poată primi datele cu caracter personal care o privesc și pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod curent, prelucrabil automat și interoperabil și să le poată transmite unui alt operator. Operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor. Acest drept ar trebui să se aplice în cazul în care persoana vizată a furnizat datele cu caracter personal pe baza propriului consimțământ sau în cazul în care prelucrarea datelor este necesară pentru executarea unui contract. Prin urmare, acesta nu ar trebui să se aplice în cazul în care prelucrarea de date cu caracter personal este necesară în vederea respectării unei obligații legale căreia îi este supus operatorul sau în cazul îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea unei autorități publice cu care este învestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui să creeze pentru operatori obligația de a adopta sau de a menține sisteme de prelucrare care să fie compatibile din punct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui să aducă atingere drepturilor și libertăților altor persoane vizate, în conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui să aducă atingere dreptului persoanei vizate de a obține ștergerea datelor cu caracter personal și limitărilor dreptului respectiv, astfel cum se prevede în prezentul regulament, și nu ar trebui, în special, să implice ștergerea acelor date cu caracter personal referitoare la persoana vizată care au fost furnizate de către aceasta în vederea executării unui contract, în măsura în care și atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizată ar trebui să aibă dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dacă acest lucru este fezabil din punct de vedere tehnic.

(42)

În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal, deoarece prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, o persoană vizată ar trebui să aibă totuși dreptul de a se opune prelucrării oricăror date cu caracter personal care se referă la situația sa particulară. Ar trebui să revină operatorului sarcina de a demonstra că interesele sale legitime și imperioase prevalează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(43)

Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii ce poate include o măsură prin care se evaluează aspecte personale legate de persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi practicile de recrutare pe cale electronică fără intervenție umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Cu toate acestea, luarea de decizii pe baza acestei prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres de dreptul Uniunii. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține o intervenție umană, de a-și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la copii. Pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, având în vedere circumstanțele specifice și contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați și că riscul de erori este redus la minimum, precum și să securizeze datele cu caracter personal într-un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor persoanei vizate și să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau prelucrări care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat și crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiții specifice.

(44)

Actele juridice adoptate în temeiul tratatelor sau normele interne adoptate de instituțiile și organele Uniunii în chestiuni referitoare la funcționarea lor pot impune restricții în privința unor principii specifice, în privința dreptului de informare, a dreptului de acces la date cu caracter personal și de rectificare sau ștergere a acestora, în privința dreptului la portabilitatea datelor, a dreptului la confidențialitatea datelor transmise în cadrul comunicațiilor electronice, precum și în privința comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și a anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică și pentru prevenirea, investigarea și urmărirea penală a infracțiunilor sau executarea pedepselor. Aceasta include protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, protejarea securității interne a instituțiilor și organelor Uniunii, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special obiectivele politicii externe și de securitate comune a Uniunii sau un interes economic sau financiar important al Uniunii sau al unui stat membru, și păstrarea de registre publice din motive de interes public general sau protecția persoanei vizate ori a drepturilor și libertăților altora, inclusiv protecția socială, sănătatea publică și scopurile umanitare.

(45)

Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice.

(46)

Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală, sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.

(47)

Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un risc sau un risc ridicat.

(48)

Protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, pentru a se asigura îndeplinirea cerințelor prezentului regulament. Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte îndeosebi principiul luării în considerare a protecției datelor începând cu momentul conceperii și pe cel al protecției implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, asigurarea transparenței în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să le îmbunătățească. Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor ar trebui să fie luate în considerare și în contextul licitațiilor publice.

(49)

Regulamentul (UE) 2016/679 prevede ca operatorii să demonstreze conformitatea prin aderarea la mecanisme de certificare aprobate. În mod similar, instituțiile și organele Uniunii ar trebui să poată demonstra conformitatea cu prezentul regulament prin obținerea unei certificări în conformitate cu articolul 42 din Regulamentul (UE) 2016/679.

(50)

Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de operatori necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator.

(51)

Pentru a asigura respectarea cerințelor impuse de prezentul regulament în ceea ce privește prelucrarea care trebuie efectuată în numele operatorului de către persoana împuternicită de operator, atunci când încredințează activități de prelucrare unei persoane împuternicite de operator, operatorul ar trebui să utilizeze numai persoane împuternicite de operator care oferă garanții suficiente, în special în ceea ce privește cunoștințele de specialitate, fiabilitatea și resursele, pentru a implementa măsuri tehnice și organizatorice care îndeplinesc cerințele impuse de prezentul regulament, inclusiv pentru securitatea prelucrării. Aderarea persoanelor împuternicite de operator, altele decât instituțiile și organele Uniunii, la un cod de conduită aprobat sau la un mecanism de certificare aprobat poate fi utilizată drept element care să demonstreze respectarea obligațiilor de către operator. Efectuarea prelucrării de către o persoană împuternicită de un operator, alta decât o instituție sau un organ al Uniunii, ar trebui să fie reglementată printr-un contract sau, în cazul instituțiilor și organelor Uniunii care acționează ca persoane împuternicite de operator, printr-un contract sau un alt tip de act juridic, în temeiul dreptului Uniunii, care creează obligații pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopurile prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, și ar trebui să țină seama de sarcinile și responsabilitățile specifice ale persoanei împuternicite de operator în contextul prelucrării care urmează a fi efectuată, precum și de riscul pentru drepturile și libertățile persoanei vizate. Operatorul și persoana împuternicită de operator ar trebui să poată opta pentru recurgerea la un contract individual sau la clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de Autoritatea Europeană pentru Protecția Datelor și, ulterior, de Comisie. După finalizarea prelucrării în numele operatorului, persoana împuternicită de operator ar trebui să returneze sau să șteargă, în funcție de opțiunea operatorului, datele cu caracter personal, cu excepția cazului în care există o cerință de stocare a acestor date cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituie obligații pentru persoana împuternicită de operator.

(52)

În vederea demonstrării conformității cu prezentul regulament, operatorii ar trebui să păstreze evidențe ale activităților de prelucrare aflate în responsabilitatea lor, iar persoanele împuternicite de către operator ar trebui să păstreze evidențe ale categoriilor de activități de prelucrare aflate în responsabilitatea lor. Instituțiile și organele Uniunii ar trebui să aibă obligația de a coopera cu Autoritatea Europeană pentru Protecția Datelor și de a își pune evidențele la dispoziția acesteia, la cerere, pentru a putea fi utilizate în scopul monitorizării operațiunilor de prelucrare respective. Cu excepția cazului în care nu este oportun, ținând seama de mărimea unei instituții sau a unui organ al Uniunii, instituțiile și organele Uniunii ar trebui să aibă posibilitatea de a institui un registru central al evidențelor activităților de prelucrare. Din motive de transparență, ele ar trebui, de asemenea, să poată face public acest registru.

(53)

În vederea menținerii securității și a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidențialitatea, luând în considerare stadiul actual al dezvoltării și costurile implementării în raport cu riscurile și cu natura datelor cu caracter personal a căror protecție trebuie asigurată. La evaluarea riscului pentru securitatea datelor, ar trebui să se acorde atenție riscurilor pe care le prezintă prelucrarea datelor cu caracter personal, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.

(54)

Instituțiile și organele Uniunii ar trebui să asigure confidențialitatea comunicațiilor electronice, astfel cum prevede articolul 7 din Cartă. În special, instituțiile și organele Uniunii ar trebui să asigure securitatea propriilor rețele de comunicații electronice. Acestea ar trebui să protejeze informațiile legate de echipamentele terminale ale utilizatorilor care le oferă acces la site-urile lor internet publice și la aplicațiile lor mobile, în conformitate cu Directiva 2002/58/CE a Parlamentului European și a Consiliului (8). Acestea ar trebui, de asemenea, să protejeze confidențialitatea datelor personale stocate în repertoriile cu utilizatori.

(55)

Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal ar putea conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice Prin urmare, de îndată ce a luat cunoștință de producerea unei încălcări a securității datelor cu caracter personal, operatorul ar trebui să notifice această încălcare Autorității Europene pentru Protecția Datelor, fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia, cu excepția cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. Atunci când această notificare nu se poate realiza în termen de 72 de ore, ea ar trebui să fie însoțită de o explicație privind întârzierea, iar informațiile pot fi furnizate în mai multe etape, fără altă întârziere nejustificată. În cazul în care această întârziere este justificată, ar trebui comunicate în cel mai scurt termen posibil informații mai puțin sensibile sau mai puțin specifice cu privire la această încălcare, în loc să se soluționeze complet incidentul aflat la originea încălcării înainte de a se proceda la notificare.

(56)

Operatorul ar trebui să comunice persoanei vizate o încălcare a securității datelor cu caracter personal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanei fizice, pentru a-i permite să ia măsurile de precauție necesare. Comunicarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să cuprindă recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Comunicările către persoanele vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu Autoritatea Europeană pentru Protecția Datelor, respectându-se orientările furnizate de aceasta sau de alte autorități competente, cum ar fi autoritățile de aplicare a legii.

(57)

Regulamentul (CE) nr. 45/2001 prevede o obligație generală a unui operator de a notifica prelucrarea datelor cu caracter personal responsabilului cu protecția datelor. Cu excepția cazului în care nu este oportun, ținând seama de mărimea instituției sau a organului Uniunii, responsabilul cu protecția datelor trebuie să țină un registru al operațiunilor de prelucrare ce i-au fost notificate. Pe lângă această obligație generală, ar trebui instituite proceduri și mecanisme eficace de monitorizare a operațiunilor de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice prin însăși natura lor, prin domeniul lor de aplicare, prin contextul și prin scopurile lor. Astfel de proceduri ar trebui instituite, de asemenea, în special, în situațiile în care operațiunile de prelucrare presupun utilizarea unor noi tehnologii sau care reprezintă un nou tip de operațiuni în legătură cu care nicio evaluare a impactului asupra protecției datelor nu a fost efectuată anterior de către operator ori când acestea devin necesare dată fiind perioada de timp care s-a scurs de la prelucrarea inițială. În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, în scopul evaluării gradului specific de probabilitate a materializării riscului ridicat și gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și sursele riscului. Respectiva evaluare a impactului ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament.

(58)

În cazul în care o evaluare a impactului asupra protecției datelor arată că prelucrarea ar genera, în absența garanțiilor, măsurilor de securitate și mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile și libertățile persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării, Autoritatea Europeană pentru Protecția Datelor ar trebui să fie consultată înainte de începerea activităților de prelucrare. Un astfel de risc ridicat este susceptibil să fie generat de anumite tipuri de prelucrare, precum și de amploarea și frecvența prelucrării, care ar putea duce și la producerea unor prejudicii sau pot atinge drepturile și libertățile persoanelor fizice. Autoritatea Europeană pentru Protecția Datelor ar trebui să răspundă cererii de consultare într-un anumit termen. Cu toate acestea, lipsa unei reacții din partea Autorității Europene pentru Protecția Datelor în termenul respectiv ar trebui să nu aducă atingere niciunei intervenții a Autorității Europene pentru Protecția Datelor în conformitate cu sarcinile și competențele sale prevăzute în prezentul regulament, inclusiv competența de a interzice operațiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluări a impactului asupra protecției datelor efectuate cu privire la prelucrarea în cauză ar trebui să poată fi transmis Autorității Europene pentru Protecția Datelor, în special măsurile avute în vedere pentru a atenua riscul pentru drepturile și libertățile persoanelor fizice.

(59)

Autoritatea Europeană pentru Protecția Datelor ar trebui să fie informată cu privire la măsurile administrative și consultată cu privire la normele interne adoptate de instituțiile și organele Uniunii în chestiuni legate de funcționarea lor când acestea prevăd prelucrarea de date cu caracter personal, stabilesc condiții cu privire la restricționarea drepturilor persoanelor vizate sau oferă garanții corespunzătoare în ceea ce privește drepturile persoanelor vizate, pentru a asigura că prelucrarea în cauză este conformă cu prezentul regulament și, în special, în ceea ce privește atenuarea riscurilor la care este expusă persoana vizată.

(60)

Regulamentul (UE) 2016/679 a instituit Comitetul european pentru protecția datelor, cu statutul de organ independent cu personalitate juridică al Uniunii. Comitetul ar trebui să contribuie la aplicarea consecventă a Regulamentului (UE) 2016/679 și a Directivei (UE) 2016/680 în întreaga Uniune, inclusiv prin oferirea de consiliere Comisiei. În același timp, Autoritatea Europeană pentru Protecția Datelor ar trebui să continue să își exercite funcțiile de supraveghere și de consiliere a tuturor instituțiilor și organelor Uniunii, din proprie inițiativă sau la cerere. Pentru a asigura coerența normelor în materie de protecție a datelor în întreaga Uniune, în momentul în care aceasta elaborează propuneri sau recomandări, Comisia ar trebui să depună eforturi pentru a consulta Autoritatea Europeană pentru Protecția Datelor. Comisia ar trebui să aibă obligația de a organiza o consultare în urma adoptării de acte legislative sau în cursul acțiunilor de pregătire a actelor delegate și a actelor de punere în aplicare, astfel cum sunt definite la articolele 289, 290 și 291 din TFUE, precum și în urma adoptării de recomandări și de propuneri referitoare la acorduri cu țări terțe și organizații internaționale, astfel cum se prevede la articolul 218 din TFUE, care au repercusiuni asupra dreptului la protecția datelor cu caracter personal. În astfel de cazuri, Comisia ar trebui să fie obligată să consulte Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care Regulamentul (UE) 2016/679 prevede consultarea obligatorie a Comitetului european pentru protecția datelor, de exemplu cu privire la deciziile privind caracterul adecvat al nivelului de protecție sau actele delegate privind pictogramele standardizate și cerințele referitoare la mecanismele de certificare. Atunci când actul în cauză este deosebit de important pentru protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, Comisia ar trebui să aibă în plus posibilitatea de a consulta Comitetul european pentru protecția datelor. În cazurile respective, Autoritatea Europeană pentru Protecția Datelor, în calitate de membră a Comitetului european pentru protecția datelor, își coordonează activitatea cu comitetul în vederea emiterii unui aviz comun. Autoritatea Europeană pentru Protecția Datelor și, după caz, Comitetul european pentru protecția datelor ar trebui să ofere consiliere în scris în termen de opt săptămâni. Acest termen ar trebui să fie redus în cazuri urgente sau în alte cazuri în care este necesar, de exemplu atunci când Comisia pregătește acte delegate și acte de punere în aplicare.

(61)

În conformitate cu articolul 75 din Regulamentul (UE) 2016/679, Autoritatea Europeană pentru Protecția Datelor ar trebui să asigure secretariatul Comitetului european pentru protecția datelor.

(62)

În toate instituțiile și organele Uniunii, un responsabil cu protecția datelor ar trebui să asigure aplicarea dispozițiilor prezentului regulament și să ofere consiliere operatorilor și persoanelor împuternicite de operatori în ceea ce privește îndeplinirea obligațiilor ce le revin. Acest responsabil ar trebui să fie o persoană care deține cunoștințe de specialitate în materie de legislație și practici privind protecția datelor la un nivel stabilit mai ales în funcție de operațiunile de prelucrare a datelor efectuate de operator sau de persoana împuternicită de operator, și de nivelul de protecție impus pentru datele cu caracter personal respective. Acești responsabili cu protecția datelor ar trebui să fie în măsură să își îndeplinească îndatoririle și sarcinile în mod independent.

(63)

În cazul în care se transferă date cu caracter personal de la instituții și organe ale Uniunii către operatori, persoane împuternicite de operatori sau alți destinatari din țări terțe sau către organizații internaționale, nivelul de protecție a persoanelor fizice asigurat în Uniune prin prezentul regulament ar trebui să fie garantat. Aceleași garanții ar trebui să se aplice inclusiv în cazurile de transferuri ulterioare de date cu caracter personal dinspre țara terță sau organizația internațională către operatori, persoane împuternicite de operatori din aceeași sau dintr-o altă țară terță sau organizație internațională. În orice caz, transferurile către țări terțe și organizații internaționale pot fi realizate numai în conformitate deplină cu prezentul regulament și cu respectarea drepturilor și libertăților fundamentale consacrate de Cartă. Un transfer ar putea avea loc numai dacă, sub rezerva respectării celorlalte dispoziții ale prezentului regulament, operatorul sau persoana împuternicită de operator îndeplinește condițiile prevăzute de dispozițiile prezentului regulament referitoare la transferul de date cu caracter personal către țări terțe sau către organizații internaționale.

(64)

Comisia poate să decidă, în temeiul articolului 45 din Regulamentul (UE) 2016/679 sau al articolului 36 din Directiva (UE) 2016/680, că o țară terță, un teritoriu sau un anumit sector dintr-o țară terță sau o organizație internațională asigură un nivel adecvat de protecție a datelor. În aceste cazuri, transferurile de date cu caracter personal efectuate de o instituție sau un organ al Uniunii către țara terță sau organizația internațională respectivă pot avea loc fără a fi necesar să se obțină autorizări suplimentare.

(65)

În absența unei decizii privind caracterul adecvat al nivelului de protecție, operatorul sau persoana împuternicită de operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții adecvate pentru persoana vizată. Astfel de garanții adecvate pot consta în utilizarea clauzelor standard de protecție a datelor adoptate de Comisie, a clauzelor standard de protecție a datelor adoptate de Autoritatea Europeană pentru Protecția Datelor sau a clauzelor contractuale autorizate de Autoritatea Europeană pentru Protecția Datelor. În cazul în care persoana împuternicită de operator nu este o instituție sau un organ al Uniunii, respectivele garanții corespunzătoare pot consta, de asemenea, în reguli corporative obligatorii, coduri de conduită și mecanisme de certificare utilizate pentru transferurile internaționale efectuate în temeiul Regulamentului (UE) 2016/679. Respectivele garanții ar trebui să asigure respectarea cerințelor în materie de protecție a datelor și drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate și a unor căi de atac eficiente, printre care dreptul de acces la reparații efective pe cale administrativă sau judiciară și dreptul de a solicita despăgubiri, în Uniune sau într-o țară terță. Acestea ar trebui să fie legate în special de respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecției datelor începând cu momentul conceperii și principiul protecției implicite a datelor. Transferurile pot fi efectuate și de către instituțiile și organele Uniunii către autorități sau organisme publice din țări terțe sau către organizații internaționale cu atribuții și funcții corespunzătoare, inclusiv pe baza dispozițiilor care prevăd drepturi opozabile și efective pentru persoanele vizate, care trebuie introduse în acordurile administrative, cum ar fi un memorandum de înțelegere. Autorizația din partea Autorității Europene pentru Protecția Datelor ar trebui obținută atunci când garanțiile sunt oferite în cadrul unor acorduri administrative fără caracter juridic obligatoriu.

(66)

Posibilitatea ca operatorul sau persoana împuternicită de operator să utilizeze clauze standard în materie de protecție a datelor, adoptate de Comisie sau de Autoritatea Europeană pentru Protecția Datelor, nu ar trebui să împiedice operatorii sau persoanele împuternicite de operatori să includă clauzele standard în materie de protecție a datelor într-un contract mai amplu, precum un contract între persoana împuternicită de operator și o altă persoană împuternicită de operator, și nici să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de Autoritatea Europeană pentru Protecția Datelor sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. Operatorii și persoanele împuternicite de operatori ar trebui să fie încurajați să ofere garanții suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele standard în materie de protecție a datelor.

(67)

Unele țări terțe au adoptat legi, reglementări și alte acte juridice care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor ale instituțiilor și organelor Uniunii. Acestea pot include hotărâri ale instanțelor judecătorești sau decizii ale autorităților administrative din țări terțe care solicită unui operator sau unei persoane împuternicite de operator să transfere sau să divulge date cu caracter personal și care nu se bazează pe un acord internațional în vigoare între țara terță solicitantă și Uniune. Aplicarea extrateritorială a acestor legi, reglementări și alte acte juridice poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice asigurată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, printre altele, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii.

(68)

În situații specifice, ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul explicit, în care transferul este ocazional și necesar în legătură cu un contract sau cu o acțiune în justiție, indiferent dacă este în contextul unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintate organismelor de reglementare. De asemenea, ar trebui să se prevadă posibilitatea de a se efectua transferuri în cazul în care motive importante de interes public stabilite de dreptul Uniunii impun acest lucru sau în cazul în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date conținute în registru, cu excepția cazului în care este autorizat de dreptul Uniunii, iar atunci când registrul este destinat să fie consultat de persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și drepturile fundamentale ale persoanei vizate.

(69)

Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare din considerente importante de interes public, de exemplu în cazul schimbului internațional de date între instituțiile și organele Uniunii și autorități din domeniul concurenței, administrații fiscale sau vamale, autorități de supraveghere financiară și servicii competente în materie de securitate socială sau de sănătate publică, precum în cazul depistării punctelor de contact pentru bolile contagioase sau pentru reducerea și/sau eliminarea dopajului în sport. Un transfer de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care este necesar în scopul protejării unui interes care este esențial pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizică sau pentru viața acesteia, în cazul în care persona vizată nu are capacitatea să își dea consimțământul. În absența unei decizii privind caracterul adecvat al nivelului de protecție, dreptul Uniunii poate, din considerente importante de interes public, stabili în mod expres limite asupra transferului unor categorii specifice de date către o țară terță sau o organizație internațională. Orice transfer către o organizație umanitară internațională al datelor cu caracter personal ale unei persoane vizate care se află în incapacitate fizică sau juridică de a își da consimțământul, în vederea îndeplinirii unei sarcini care decurge din Convențiile de la Geneva sau în vederea conformării cu dreptul internațional umanitar aplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru că este în interesul vital al persoanei vizate.

(70)

În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor dintr-o țară terță, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluții care să ofere persoanelor vizate drepturi opozabile și efective în ceea ce privește prelucrarea datelor lor în Uniune odată ce aceste date au fost transferate, astfel încât persoanele vizate să beneficieze în continuare de drepturi fundamentale și de garanții.

(71)

Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, în special pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor informații. În același timp, autoritățile naționale de supraveghere și Autoritatea Europeană pentru Protecția Datelor, se pot afla în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara competenței lor judiciare. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice și de existența unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, ar trebui să se promoveze o cooperare mai strânsă între Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere, pentru a le ajuta să facă schimb de informații cu omologii lor internaționali.

(72)

Instituirea, prin Regulamentul (CE) nr. 45/2001, a Autorității Europene pentru Protecția Datelor, care este împuternicită să își îndeplinească sarcinile și să își exercite competențele în deplină independență, este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Prezentul regulament ar trebui să consolideze și să clarifice și mai mult rolul și independența acestei autorități. Autoritatea Europeană pentru Protecția Datelor ar trebui să fie o persoană care oferă toate garanțiile de independență și care posedă experiența și competențele necesare îndeplinirii atribuțiilor de Autoritate Europeană pentru Protecția Datelor, de exemplu deoarece a fost membru al uneia dintre autoritățile de supraveghere instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679.

(73)

Pentru a se asigura coerența monitorizării și aplicării normelor privind protecția datelor în întreaga Uniune, Autoritatea Europeană pentru Protecția Datelor ar trebui să aibă aceleași sarcini și competențe efective ca autoritățile naționale de supraveghere, inclusiv competențe de investigare, competențe corective și de a aplica sancțiuni, competențe de autorizare și de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum și competența de a sesiza Curtea de Justiție cu privire la cazurile de încălcare a prezentului regulament și competența de a acționa în justiție în conformitate cu dreptul primar. Aceste competențe ar trebui să includă și competența de a impune o limitare temporară sau definitivă, inclusiv o interdicție, asupra prelucrării. Pentru a se evita costurile inutile și inconvenientele excesive pentru persoanele în cauză care ar putea fi prejudiciate, fiecare măsură a Autorității Europene pentru Protecția Datelor ar trebui să fie adecvată, necesară și proporțională în vederea asigurării conformității cu dispozițiile prezentului regulament, să ia în considerare circumstanțele fiecărui caz în parte și să respecte dreptul oricărei persoane de a fi audiată înainte de luarea oricărei măsuri individuale în cauză. Fiecare măsură obligatorie din punct de vedere juridic luată de Autoritatea Europeană pentru Protecția Datelor ar trebui să fie prezentată în scris, să fie clară și lipsită de ambiguitate, să indice data emiterii măsurii, să poarte semnătura Autorității Europene pentru Protecția Datelor, să indice motivele pentru care s-a luat măsura și să facă trimitere la dreptul la o cale de atac eficientă.

(74)

Competența de supraveghere a Autorității Europene pentru Protecția Datelor nu ar trebui să vizeze prelucrarea datelor cu caracter personal de către Curtea de Justiție atunci când își exercită atribuțiile judiciare, în scopul garantării independenței Curții în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea deciziilor. Pentru astfel de operațiuni de prelucrare, Curtea ar trebui să instituie o supraveghere independentă, în conformitate cu articolul 8 alineatul (3) din Cartă, de exemplu prin intermediul unui mecanism intern.

(75)

Deciziile Autorității Europene pentru Protecția Datelor privind excepțiile, garanțiile, autorizațiile și condițiile privind operațiunile de prelucrare a datelor, astfel cum sunt acestea definite în prezentul regulament, ar trebui să fie publicate în raportul de activitate. Independent de publicarea unui raport anual de activitate, Autoritatea Europeană pentru Protecția Datelor poate publica rapoarte pe teme specifice.

(76)

Autoritatea Europeană pentru Protecția Datelor ar trebui să respecte Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (9).

(77)

Autoritățile naționale de supraveghere monitorizează aplicarea Regulamentului (UE) 2016/679 și contribuie la aplicarea coerentă a acestuia în întreaga Uniune, în scopul asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și al facilitării liberei circulații a datelor cu caracter personal în cadrul pieței interne. Pentru a asigura un grad sporit de coerență în aplicarea normelor privind protecția datelor în vigoare din statele membre și a normelor privind protecția datelor aplicabile instituțiilor și organelor Uniunii, Autoritatea Europeană pentru Protecția Datelor ar trebui să coopereze în mod eficace cu autoritățile naționale de supraveghere.

(78)

În anumite cazuri, dreptul Uniunii prevede un model de supraveghere coordonată, repartizată între Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere. Autoritatea Europeană pentru Protecția Datelor este, de asemenea, autoritatea de supraveghere a Europol și, în acest scop a fost întocmit un anumit model de cooperare cu autoritățile naționale de supraveghere, prin intermediul unui consiliu de cooperare cu rol consultativ. În vederea îmbunătățirii supravegherii și aplicării efective a normelor de fond în materie de protecție a datelor, la nivelul Uniunii ar trebui să se instituie un model unic și coerent de supraveghere coordonată. Prin urmare, Comisia ar trebui să prezinte propuneri legislative, atunci când este cazul, în vederea modificării actelor juridice ale Uniunii care prevăd un model de supraveghere coordonată, pentru a le alinia la modelul de supraveghere coordonată menționat în prezentul regulament. Comitetul european pentru protecția datelor ar trebui să exercite rolul de forum unic pentru asigurarea supravegherii efective coordonate în toate domeniile.

(79)

Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor și dreptul de a introduce o cale de atac eficientă la Curtea de Justiție în conformitate cu tratatele, în cazul în care persoana vizată consideră că drepturile de care se bucură în temeiul prezentului regulament îi sunt încălcate sau în cazul în care Autoritatea Europeană pentru Protecția Datelor nu reacționează la o plângere, respinge sau refuză parțial ori total o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea Europeană pentru Protecția Datelor ar trebui să informeze persoana vizată cu privire la stadiul în care se află plângerea și cu privire la soluționarea acesteia într-un termen rezonabil. În eventualitatea în care cazul necesită coordonarea ulterioară cu o autoritate națională de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate. În vederea facilitării depunerii plângerilor, Autoritatea Europeană pentru Protecția Datelor ar trebui să ia măsuri precum punerea la dispoziție a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.

(80)

Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament ar trebui să aibă dreptul de a obține despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit, în condițiile prevăzute în tratate.

(81)

În vederea întăririi rolului de supraveghere exercitat de Autoritatea Europeană pentru Protecția Datelor și a punerii efective în aplicare a prezentului regulament, Autoritatea Europeană pentru Protecția Datelor ar trebui să aibă competența de a aplica amenzi administrative, ca sancțiune de ultimă instanță. Aceste amenzi ar trebui să urmărească sancționarea mai degrabă a instituției sau a organului Uniunii în cauză, decât a persoanelor fizice, în caz de nerespectare a prezentului regulament, astfel încât să descurajeze viitoare încălcări ale prezentului regulament și să promoveze o cultură a protecției datelor cu caracter personal în instituțiile și organele Uniunii. Prezentul regulament ar trebui să indice încălcările care fac obiectul unor amenzi administrative și limitele maxime și criteriile pentru stabilirea amenzilor aferente. Autoritatea Europeană pentru Protecția Datelor ar trebui să determine cuantumul amenzii în fiecare caz în parte, ținând seama de toate circumstanțele relevante ale situației specifice, luându-se în considerare în mod corespunzător natura, gravitatea și durata încălcării, consecințele acesteia și măsurile luate pentru a se asigura respectarea obligațiilor prevăzute de prezentul regulament și pentru a se preveni sau atenua consecințele încălcării. Atunci când aplică o amendă administrativă unei instituții sau unui organ al Uniunii, Autoritatea Europeană pentru Protecția Datelor ar trebui să ia în considerare proporționalitatea cuantumului amenzii. Procedura administrativă de aplicare a amenzilor instituțiilor și organelor Uniunii ar trebui să respecte principiile generale ale dreptului Uniunii, astfel cum sunt interpretate de Curtea de Justiție.

(82)

În cazul în care persoana vizată consideră că drepturile de care beneficiază în temeiul prezentului regulament îi sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ care este înființat(ă) în conformitate cu dreptul Uniunii sau cu dreptul intern al unui stat membru, ale cărui (cărei) obiective statutare sunt în interesul public și care își desfășoară activitatea în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său la Autoritatea Europeană pentru Protecția Datelor. Un astfel de organism, organizație sau asociație ar trebui, de asemenea, să fie în măsură să exercite dreptul la o cale de atac în numele persoanelor vizate sau să exercite dreptul de a primi despăgubiri în numele persoanelor vizate.

(83)

Împotriva funcționarilor sau altor agenți ai Uniunii care nu respectă obligațiile ce le revin în temeiul dispozițiilor prezentului regulament ar trebui să se poată lua măsuri disciplinare sau alt tip de măsuri, în conformitate cu normele și procedurile prevăzute în Statutul funcționarilor Uniunii Europene și în Regimul aplicabil celorlalți agenți ai Uniunii Europene, stabilite prin Regulamentul (CEE, Euratom, CECA) nr. 259/68 al Consiliului (10) („Statutul funcționarilor”).

(84)

În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestită cu competențe de executare. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (11). Procedura de examinare ar trebui utilizată pentru adoptarea de clauze contractuale standard între operatori și persoanele împuternicite de operatori, precum și între persoanele împuternicite de operatori, pentru adoptarea unei liste a operațiunilor de prelucrare în cazul cărora este necesară o consultare prealabilă a Autorității Europene pentru Protecția Datelor de către operatorii care efectuează activități de prelucrare a datelor cu caracter personal necesare pentru îndeplinirea unei sarcini de interes public, precum și pentru adoptarea unor clauze contractuale standard care oferă garanții adecvate pentru transferurile internaționale.

(85)

Informațiile confidențiale pe care autoritățile statistice de la nivelul Uniunii și de la nivel național le colectează în vederea elaborării de statistici europene și naționale oficiale ar trebui să fie protejate. Statisticile europene ar trebui concepute, elaborate și difuzate în conformitate cu principiile statistice prevăzute la articolul 338 alineatul (2) din TFUE. Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului (12) prevede specificații suplimentare privind confidențialitatea datelor statistice pentru statisticile europene.

(86)

Regulamentul (CE) nr. 45/2001 și Decizia nr. 1247/2002/CE a Parlamentului European, a Consiliului și a Comisiei (13) ar trebui abrogate. Trimiterile la regulamentul și la decizia abrogate ar trebui interpretate ca trimiteri la prezentul regulament.

(87)

În scopul garantării independenței depline a membrilor autorității independente de supraveghere, prezentul regulament nu ar trebui să aducă atingere mandatelor actualei Autorități Europene pentru Protecția Datelor și a actualului său adjunct. Actualul adjunct al acestei autorități ar trebui să rămână în funcție până la sfârșitul mandatului său, cu excepția cazului în care este îndeplinită una dintre condițiile prevăzute de prezentul regulament pentru încetarea anticipată a mandatului Autorității Europene pentru Protecția Datelor. Dispozițiile relevante ale prezentului regulament ar trebui să se aplice adjunctului Autorității Europene pentru Protecția Datelor până la sfârșitul mandatului său.

(88)

În conformitate cu principiul proporționalității, este necesar și oportun, în vederea realizării obiectivului fundamental al asigurării unui nivel echivalent de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și al liberei circulații a datelor cu caracter personal în întreaga Uniune, să se stabilească norme privind prelucrarea datelor cu caracter personal în instituțiile și organele Uniunii. Prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor urmărite, în conformitate cu articolul 5 alineatul (4) din TUE.

(89)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 și a emis un aviz la 15 martie 2017 (14),

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și obiective

(1)   Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii precum și normele referitoare la libera circulație a datelor cu caracter personal între acestea sau către alți destinatari stabiliți în Uniune.

(2)   Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu caracter personal.

(3)   Autoritatea Europeană pentru Protecția Datelor monitorizează aplicarea dispozițiilor prezentului regulament în ceea ce privește toate operațiunile de prelucrare efectuate de către o instituție sau un organ al Uniunii.

Articolul 2

Domeniul de aplicare

(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal efectuate de toate instituțiile și organele Uniunii.

(2)   Doar articolul 3 și capitolul IX din prezentul regulament se aplică prelucrării datelor operaționale cu caracter personal efectuate de organele, oficiile și agențiile Uniunii atunci când acestea desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE.

(3)   Prezentul regulament nu se aplică prelucrării datelor operaționale cu caracter personal efectuate de Europol și de Parchetul European, până la adaptarea Regulamentului (UE) 2016/794 al Parlamentului European și al Consiliului (15) și a Regulamentului (UE) 2017/1939 al Consiliului (16) în conformitate cu articolul 98 din prezentul regulament.

(4)   Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către misiunile menționate la articolul 42 alineatul (1) și la articolele 43 și 44 din TUE.

(5)   Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență.

Articolul 3

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

1.

„date cu caracter personal” înseamnă orice informație privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective;

2.

„date operaționale cu caracter personal” înseamnă toate datele cu caracter personal prelucrate de organe, oficii sau agenții ale Uniunii care desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE în vederea îndeplinirii obiectivelor și sarcinilor prevăzute în actele juridice de înființare a respectivelor organe, oficii sau agenții;

3.

„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

4.

„restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

5.

„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;

6.

„pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

7.

„sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

8.

„operator” înseamnă instituția sau organul Uniunii ori direcția generală sau orice altă entitate organizațională care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele prelucrării sunt stabilite printr-un act specific al Uniunii, dreptul Uniunii poate stabili operatorul sau criteriile specifice necesare desemnării acestuia;

9.

„operatori, alții decât instituții și organe ale Uniunii” înseamnă operatori în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679 și operatori în sensul articolului 3 punctul 8 din Directiva (UE) 2016/680;

10.

„instituții și organe ale Uniunii” înseamnă instituțiile, organele, oficiile și agențiile înființate prin TUE, TFUE sau Tratatul Euratom sau în temeiul acestora;

11.

„autoritate competentă” înseamnă orice autoritate publică a unui stat membru competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau de executare a pedepselor, inclusiv în materie de protejare împotriva amenințărilor la adresa securității publice și de prevenire a acestora;

12.

„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează date cu caracter personal în numele operatorului;

13.

„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice în cauză respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

14.

„parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

15.

„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, în cunoștință de cauză și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

16.

„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate în alt mod, sau la accesul neautorizat la acestea;

17.

„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă, în special, dintr-o analiză a unei mostre de material biologic recoltate de la persoana în cauză;

18.

„date biometrice” înseamnă date cu caracter personal rezultate din aplicarea unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

19.

„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;

20.

„serviciile societății informaționale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului (17);

21.

„organizație internațională” înseamnă o organizație și organismele sale subordonate reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord;

22.

„autoritate națională de supraveghere” înseamnă o autoritate publică independentă înființată de un stat membru în temeiul articolului 51 din Regulamentul (UE) 2016/679 sau în temeiul articolului 41 din Directiva (UE) 2016/680;

23.

„utilizator” înseamnă orice persoană fizică care folosește o rețea sau un echipament terminal care funcționează sub controlul unei instituții sau al unui organ al Uniunii;

24.

„anuar” înseamnă un repertoriu al utilizatorilor accesibil publicului sau un repertoriu intern al utilizatorilor disponibil într-o instituție sau într-un organ al Uniunii sau partajat între instituții și organe ale Uniunii, indiferent dacă este tipărit sau în format electronic;

25.

„rețea de comunicații electronice” înseamnă un sistem de transmisie, indiferent dacă este bazat pe o infrastructură permanentă sau pe o capacitate de administrare centralizată, și, după caz, echipamente de comutare sau de rutare și alte resurse, inclusiv elemente de rețea care nu sunt active, care permit transmiterea semnalelor prin cablu, unde radio, prin mijloace optice sau prin alte mijloace electromagnetice, inclusiv rețele de comunicații prin satelit, rețele terestre fixe (cu comutare de circuite și cu comutare de pachete, inclusiv internet) și mobile, rețele electrice, în măsura în care sunt utilizate pentru transmiterea de semnale, rețele utilizate pentru difuzarea programelor de radio și de televiziune și rețele de televiziune prin cablu, indiferent de tipul de informație transmisă;

26.

„echipament terminal” înseamnă echipament terminal astfel cum este definit la articolul 1 punctul 1 din Directiva 2008/63/CE a Comisiei (18).

CAPITOLUL II

PRINCIPII GENERALE

Articolul 4

Principii legate de prelucrarea datelor cu caracter personal

(1)   Datele cu caracter personal sunt:

(a)

prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);

(b)

colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată, în conformitate cu articolul 13, incompatibilă cu scopurile inițiale („limitări în funcție de scop”);

(c)

adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);

(d)

exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);

(e)

păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele cu caracter personal; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 13, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);

(f)

prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare („responsabilitate”).

Articolul 5

Legalitatea prelucrării

(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)

prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestită instituția sau organul Uniunii;

(b)

prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(c)

prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(d)

persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(e)

prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.

(2)   Temeiurile pentru prelucrarea menționată la alineatul (1) literele (a) și (b) sunt prevăzute în dreptul Uniunii.

Articolul 6

Prelucrarea într-un alt scop compatibil

În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii care constituie o măsură necesară și proporțională într-o societate democratică pentru a proteja obiectivele menționate la articolul 25 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:

(a)

orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;

(b)

contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și operator;

(c)

natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu articolul 10, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni, în conformitate cu articolul 11;

(d)

posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;

(e)

existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.

Articolul 7

Condiții privind consimțământul

(1)   În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

(2)   În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care constituie o încălcare a prezentului regulament nu este obligatorie.

(3)   Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.

(4)   Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

Articolul 8

Condiții aplicabile în ceea ce privește consimțământul copilului în legătură cu serviciile societății informaționale

(1)   În cazul în care se aplică articolul 5 alineatul (1) litera (d), în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 13 ani. Dacă copilul are sub vârsta de 13 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

(2)   Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești asupra copilului a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile.

(3)   Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un copil.

Articolul 9

Transmiterile de date cu caracter personal către destinatari stabiliți în Uniune, alții decât instituțiile și organele Uniunii

(1)   Fără a aduce atingere articolelor 4-6 și 10, datele cu caracter personal se transmit destinatarilor stabiliți în Uniune, alții decât instituții și organe ale Uniunii, numai dacă:

(a)

destinatarul demonstrează că datele sunt necesare pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice cu care este învestit destinatarul; sau

(b)

destinatarul stabilește că transmiterea datelor este necesară într-un scop specific de interes public, iar operatorul, în cazul în care are motive să presupună că interesele legitime ale persoanei vizate ar putea fi prejudiciate, stabilește că transmiterea datelor cu caracter personal pentru acel scop specific este proporțională, după ce a evaluat, într-un mod demonstrabil, diversele interese concurente.

(2)   În cazul în care operatorul inițiază transmiterea în temeiul prezentului articol, acesta trebuie să demonstreze că transmiterea datelor cu caracter personal este necesară și proporțională cu scopul transmiterii, prin aplicarea criteriilor stabilite la alineatul (1) litera (a) sau (b).

(3)   Instituțiile și organele Uniunii asigură echilibrul între dreptul la protecția datelor cu caracter personal și dreptul de acces la documente în conformitate cu dreptul Uniunii.

Articolul 10

Prelucrarea de categorii speciale de date cu caracter personal

(1)   Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea sau a datelor privind viața sexuală sau orientarea sexuală a unei persoane fizice.

(2)   Alineatul (1) nu se aplică în următoarele situații:

(a)

persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri precizate, cu excepția cazului în care dreptul Uniunii prevede ca interdicția menționată la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;

(b)

prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care această prelucrare este autorizată de dreptul Uniunii care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

(c)

prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;

(d)

prelucrarea este efectuată, în cadrul activităților sale legitime și cu garanții adecvate, de către un organism cu scop nelucrativ care constituie o entitate integrată într-o instituție sau un organ al Uniunii, care urmărește un obiectiv politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate;

(e)

prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;

(f)

prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept sau ori de câte ori Curtea de Justiție acționează în exercițiul funcției sale judiciare;

(g)

prelucrarea este necesară din motive de interes public major, în temeiul unei dispoziții din dreptul Uniunii care este proporțională cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate;

(h)

prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3);

(i)

prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii care prevăd măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional; sau

(j)

prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în baza dispozițiilor dreptului Uniunii care sunt proporționale cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevăd măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.

(3)   Datele cu caracter personal menționate la alineatul (1) se pot prelucra pentru scopurile menționate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naționale competente, sau de către o altă persoană care este, de asemenea, supusă unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al unor normelor stabilite de organisme naționale competente.

Articolul 11

Prelucrarea datelor cu caracter personal referitoare la condamnări penale și infracțiuni

Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 5 alineatul (1) se efectuează numai sub controlul autorității de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.

Articolul 12

Prelucrarea care nu necesită identificare

(1)   În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligația de a păstra, obține sau prelucra informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament.

(2)   Dacă, în cazurile menționate la alineatul (1) din prezentul articol, operatorul poate demonstra că nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri, articolele 17-22 nu se aplică, cu excepția cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul respectivelor articole, oferă informații suplimentare care permit identificarea sa.

Articolul 13

Garanții privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice are loc cu condiția existenței unor garanții corespunzătoare, în conformitate cu prezentul regulament, pentru drepturile și libertățile persoanelor vizate. Respectivele garanții asigură faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Respectivele măsuri pot include pseudonimizarea, cu condiția ca respectivele scopuri să fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.

CAPITOLUL III

DREPTURILE PERSOANEI VIZATE

SECȚIUNEA 1

Transparență și modalități

Articolul 14

Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate

(1)   Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 15 și 16 și pentru a efectua orice comunicări în temeiul articolelor 17-24 și 35 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

(2)   Operatorul facilitează exercitarea drepturilor persoanei vizate prevăzute la articolele 17-24. În cazurile menționate la articolul 12 alineatul (2), operatorul nu refuză să dea curs cererii persoanei vizate de a-și exercita drepturile prevăzute la articolele 17-24, cu excepția cazului în care operatorul demonstrează că nu este în măsură să identifice persoana vizată.

(3)   Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 17-24, fără întârzieri nejustificate și, în orice caz, în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

(4)   Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere la Autoritatea Europeană pentru protecția Datelor și de a introduce o cale de atac judiciară.

(5)   Informațiile furnizate în temeiul articolelor 15 și 16, orice comunicare și orice măsuri luate în temeiul articolelor 17-24 și 35 sunt gratuite. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate refuza să dea curs cererii. Operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(6)   Fără a aduce atingere articolului 12, în cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolele 17-23, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

(7)   Informațiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor 15 și 16 pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

(8)   În cazul în care Comisia adoptă acte delegate în temeiul articolului 12 alineatul (8) din Regulamentul (UE) 2016/679 în vederea stabilirii informațiilor care trebuie să fie prezentate de pictograme și a procedurilor pentru furnizarea de pictograme standardizate, instituțiile și organele Uniunii, acolo unde este cazul, pun la dispoziție informațiile furnizate în temeiul articolelor 15 și 16 din prezentul regulament în combinație cu aceste pictograme standardizate.

SECȚIUNEA 2

informare și acces la date cu caracter personal

Articolul 15

Informații care se furnizează în cazul în care date cu caracter personal sunt colectate de la persoana vizată

(1)   În cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:

(a)

identitatea și datele de contact ale operatorului;

(b)

datele de contact ale responsabilului cu protecția datelor;

(c)

scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d)

destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

(e)

dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție sau, în cazul transferurilor menționate la articolul 48, o trimitere la garanțiile adecvate sau corespunzătoare și mijloacele de a obține o copie a acestora, în cazul în care au fost puse la dispoziție.

(2)   În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:

(a)

perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b)

existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau, după caz, a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

(c)

atunci când prelucrarea se bazează pe articolul 5 alineatul (1) litera (d) sau pe articolul 10 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

(d)

dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor;

(e)

dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;

(f)

existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 24 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3)   În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

(4)   Alineatele (1), (2) și (3) nu se aplică dacă și în măsura în care persoana vizată deține deja informațiile respective.

Articolul 16

Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată

(1)   În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:

(a)

identitatea și datele de contact ale operatorului;

(b)

datele de contact ale responsabilului cu protecția datelor;

(c)

scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d)

categoriile de date cu caracter personal vizate;

(e)

destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

(f)

dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție sau, în cazul transferurilor menționate la articolul 48, o trimitere la garanțiile adecvate sau corespunzătoare și mijloacele de a obține o copie a acestora sau locul în care acestea au fost puse la dispoziție.

(2)   Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:

(a)

perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b)

existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau, după caz, a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

(c)

atunci când prelucrarea se bazează pe articolul 5 alineatul (1) litera (d) sau pe articolul 10 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

(d)

dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor;

(e)

sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public;

(f)

existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 24 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3)   Operatorul furnizează informațiile menționate la alineatele (1) și (2):

(a)

într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele cu caracter personal;

(b)

dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

(c)

dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

(4)   În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

(5)   Alineatele (1)-(4) nu se aplică dacă și în măsura în care:

(a)

persoana vizată deține deja informațiile;

(b)

furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau în măsura în care obligația menționată la alineatul (1) din prezentul articol este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;

(c)

obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii, care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

(d)

în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații de secret profesional reglementate de dreptul Uniunii, inclusiv al unei obligații legale de a păstra secretul.

(6)   În cazurile menționate la alineatul (5) litera (b), operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului.

Articolul 17

Dreptul de acces al persoanei vizate

(1)   Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

(a)

scopurile prelucrării;

(b)

categoriile de date cu caracter personal vizate;

(c)

destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;

(d)

acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e)

existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

(f)

dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor;

(g)

în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;

(h)

existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 24 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(2)   În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 48 referitoare la transfer.

(3)   Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.

(4)   Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.

SECȚIUNEA 3

Rectificare și ștergere

Articolul 18

Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

Articolul 19

Dreptul la ștergerea datelor („dreptul de a fi uitat”)

(1)   Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(a)

datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b)

persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 5 alineatul (1) litera (d) sau cu articolul 10 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrare;

(c)

persoana vizată se opune prelucrării în temeiul articolului 23 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;

(d)

datele cu caracter personal au fost prelucrate ilegal;

(e)

datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului;

(f)

datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).

(2)   În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii sau operatorii, alții decât instituții și organe ale Uniunii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești operatori, a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3)   Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:

(a)

pentru exercitarea dreptului la liberă exprimare și la informare;

(b)

pentru respectarea unei obligații legale care revine operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul;

(c)

din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 10 alineatul (2) literele (h) și (i) și cu articolul 10 alineatul (3);

(d)

în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în măsura în care dreptul menționat la alineatul (1) ar putea să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau

(e)

pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Articolul 20

Dreptul la restricționarea prelucrării

(1)   Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în următoarele cazuri:

(a)

persoana vizată contestă exactitatea datelor cu caracter personal, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor cu caracter personal, inclusiv dacă acestea sunt complete;

(b)

prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal și solicită, în schimb, restricționarea utilizării lor;

(c)

operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;

(d)

persoana vizată s-a opus prelucrării în conformitate cu articolul 23 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

(2)   În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3)   O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricției de prelucrare.

(4)   În cazul sistemelor automatizate de evidență a datelor, restricționarea prelucrării se asigură, în principiu, prin mijloace tehnice. Faptul că prelucrarea datelor cu caracter personal este restricționată se indică în sistem în așa fel încât să devină evident că acele date cu caracter personal nu pot fi utilizate.

Articolul 21

Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării

Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate în conformitate cu articolul 18, articolul 19 alineatul (1) și articolul 20, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

Articolul 22

Dreptul la portabilitatea datelor

(1)   Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

(a)

prelucrarea se bazează pe consimțământ în temeiul articolului 5 alineatul (1) litera (d) sau al articolului 10 alineatul (2) litera (a) sau pe un contract în temeiul articolului 5 alineatul (1) litera (c); și

(b)

prelucrarea este efectuată prin mijloace automate.

(2)   În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul sau către operatori, alții decât instituții și organe ale Uniunii, acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3)   Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 19. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4)   Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

SECȚIUNEA 4

Dreptul la opoziție și procesul decizional individual automatizat

Articolul 23

Dreptul la opoziție

(1)   În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 5 alineatul (1) litera (a), a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivei dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

(2)   Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la alineatul (1) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod clar și separat de orice alte informații.

(3)   Fără a aduce atingere articolelor 36 și 37, în contextul utilizării serviciilor societății informaționale, persoana vizată își poate exercita dreptul de a se opune prin mijloace automatizate care folosesc specificații tehnice.

(4)   În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice, persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

Articolul 24

Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1)   Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2)   Alineatul (1) nu se aplică în cazul în care decizia:

(a)

este necesară pentru încheierea sau executarea unui contract între persoana vizată și operator;

(b)

este autorizată prin dreptul Uniunii care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau

(c)

are la bază consimțământul explicit al persoanei vizate.

(3)   În cazurile menționate la alineatul (2) literele (a) și (c), operatorul pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

(4)   Deciziile menționate la alineatul (2) de la prezentul articol nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 10 alineatul (1), cu excepția cazului în care se aplică articolul 10 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.

SECȚIUNEA 5

Restricții

Articolul 25

Restricții

(1)   Actele legislative adoptate în baza tratatelor sau, în chestiuni legate de funcționarea instituțiilor și organelor Uniunii, normele interne prevăzute de acestea din urmă pot restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a garanta:

(a)

securitatea națională, securitatea publică sau apărarea statelor membre;

(b)

prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora;

(c)

alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special obiectivele politicii externe și de securitate comune ale Uniunii sau un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale;

(d)

securitatea internă a instituțiilor și organelor Uniunii, inclusiv a rețelelor lor de comunicații electronice;

(e)

protejarea independenței judiciare și a procedurilor judiciare;

(f)

prevenirea, depistarea, investigarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate;

(g)

o funcție de monitorizare, inspecție sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(c);

(h)

protecția persoanei vizate sau a drepturilor și libertăților altora;

(i)

executarea hotărârilor pronunțate în acțiuni în pretenții formulate în temeiul dreptului civil.

(2)   În special, orice act juridic sau normă internă menționată la alineatul (1) conține dispoziții specifice privind, dacă este cazul:

(a)

scopurile prelucrării sau ale categoriilor de prelucrare;

(b)

categoriile de date cu caracter personal;

(c)

domeniul de aplicare al restricțiilor introduse;

(d)

garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e)

specificațiile operatorului sau ale categoriilor de operatori;

(f)

perioadele de stocare și garanțiile aplicabile având în vedere caracterul, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare; și

(g)

riscurile pentru drepturile și libertățile persoanelor vizate.

(3)   În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică ori în scopuri statistice, dreptul Uniunii, care poate include norme interne adoptate de instituțiile și organele Uniunii în chestiuni referitoare la funcționarea lor, poate să prevadă derogări de la drepturile menționate la articolele 17, 18, 20 și 23, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 13, în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

(4)   În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare de interes public, dreptul Uniunii, care poate include norme interne adoptate de instituțiile și organele Uniunii în chestiuni referitoare la funcționarea lor, poate să prevadă derogări de la drepturile menționate la articolele 17, 18, 20, 21, 22 și 23, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 13, în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

(5)   Normele interne menționate la alineatele (1), (3) și (4) sunt acte clare și precise cu domeniu de aplicare general, menite să producă efecte juridice față de persoanele vizate, adoptate la cel mai înalt nivel de conducere din instituțiile și organele Uniunii și se publică în Jurnalul Oficial al Uniunii Europene.

(6)   În cazul în care se impune o restricție în temeiul alineatului (1), persoana vizată este informată, în conformitate cu dreptul Uniunii, cu privire la motivele principale care stau la baza aplicării restricției și cu privire la dreptul său de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor.

(7)   În cazul în care o restricție impusă în temeiul alineatului (1) este invocată pentru a se refuza accesul persoanei vizate, Autoritatea Europeană pentru Protecția Datelor, atunci când examinează plângerea, doar o va informa dacă datele au fost prelucrate în mod corect și, dacă nu, dacă au fost efectuate corecțiile necesare.

(8)   Furnizarea informațiilor menționate la alineatele (6) și (7) de la prezentul articol și la articolul 45 alineatul (2) poate fi amânată, omisă sau refuzată în cazul în care aceasta ar anula efectul restricției impuse în temeiul alineatului (1) de la prezentul articol.

CAPITOLUL IV

OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR

SECȚIUNEA 1

Obligații generale

Articolul 26

Responsabilitatea operatorului

(1)   Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

(2)   Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.

(3)   Aderarea la mecanismele de certificare aprobate, menționate la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element care să demonstreze respectarea obligațiilor de către operator.

Articolul 27

Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

(1)   Având în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.

(3)   Un mecanism de certificare aprobat în conformitate cu articolul 42 din Regulamentul (UE) 2016/679 poate fi utilizat drept element care să demonstreze îndeplinirea cerințelor prevăzute la alineatele (1) și (2) din prezentul articol.

Articolul 28

Operatorii asociați

(1)   În cazul în care doi sau mai mulți operatori sau unul sau mai mulți operatori împreună cu unul sau mai mulți operatori, alții decât instituții și organe ale Uniunii, stabilesc în comun scopurile și mijloacele prelucrării, aceștia sunt operatori asociați. Aceștia stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în materie de protecție a datelor, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecărui operator de a furniza informațiile prevăzute la articolele 15 și 16, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor asociați sunt stabilite în dreptul Uniunii sau în dreptul intern al statului membru care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

(2)   Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și raporturile respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord este făcută cunoscută persoanei vizate.

(3)   Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își poate exercita drepturile de care beneficiază în temeiul prezentului regulament în legătură cu sau împotriva fiecăruia dintre operatori.

Articolul 29

Persoana împuternicită de operator

(1)   În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.

(2)   Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizații generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecții față de aceste modificări.

(3)   Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:

(a)

prelucrează datele cu caracter personal numai pe baza unor instrucțiuni susținute de documente din partea operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului statului membru care i se aplică; în acest caz, persoana împuternicită de operator notifică această obligație juridică operatorului înainte de prelucrare, cu excepția cazului în care legislația respectivă interzice această informare din motive importante legate de interesul public;

(b)

se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație legală adecvată de confidențialitate;

(c)

adoptă toate măsurile necesare în conformitate cu articolul 33;

(d)

respectă condițiile menționate la alineatele (2) și (4) privind recrutarea unei alte persoane împuternicite de operator;

(e)

ținând seama de natura prelucrării, oferă asistență operatorului prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;

(f)

ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 33-41, ținând seama de caracterul prelucrării și de informațiile aflate la dispoziția persoanei împuternicite de operator;

(g)

la alegerea operatorului, șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;

(h)

pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

În ceea ce privește primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucțiune încalcă prezentul regulament sau alte dispoziții din dreptul intern sau din dreptul Uniunii referitoare la protecția datelor.

(4)   În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele operatorului, aceleași obligații privind protecția datelor prevăzute în contractul sau în alt act juridic încheiat între operator și persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament. În cazul în care această a doua persoană împuternicită nu își respectă obligațiile privind protecția datelor, persoana împuternicită inițială rămâne pe deplin răspunzătoare față de operator în ceea ce privește îndeplinirea obligațiilor acestei a doua persoane împuternicite.

(5)   În cazul în care o persoană împuternicită de un operator nu este o instituție sau un organ al Uniunii, aderarea la un cod de conduită aprobat, menționat la articolul 40 alineatul (5) din Regulamentul (UE) 2016/679, sau la un mecanism de certificare aprobat, menționat la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element prin care să se demonstreze existența unor garanții suficiente, astfel cum sunt menționate la alineatele (1) și (4) din prezentul articol.

(6)   Fără a aduce atingere unui contract individual încheiat între operator și persoana împuternicită de operator, contractul sau celălalt act juridic menționat la alineatele (3) și (4) din prezentul articol se poate baza, integral sau parțial, pe clauzele contractuale standard menționate la alineatele (7) și (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată persoanei împuternicite de operator, care nu este o instituție sau un organ al UE, în temeiul articolului 42 din Regulamentul (UE) 2016/679.

(7)   Comisia poate să prevadă clauze contractuale standard pentru aspectele menționate la alineatele (3) și (4) din prezentul articol și în conformitate cu procedura de examinare menționată la articolul 96 alineatul (2).

(8)   Autoritatea Europeană pentru Protecția Datelor poate să adopte clauze contractuale standard pentru aspectele menționate la alineatele (3) și (4).

(9)   Contractul sau celălalt act juridic menționat la alineatele (3) și (4) se formulează în scris, inclusiv în format electronic.

(10)   Fără a aduce atingere articolelor 65 și 66, în cazul în care o persoană împuternicită de operator încalcă prezentul regulament prin stabilirea scopurilor prelucrării și a mijloacelor de prelucrare, persoana împuternicită de operator este considerată a fi un operator în ceea ce privește prelucrarea respectivă.

Articolul 30

Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator

Persoana împuternicită de operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator, care are acces la date cu caracter personal, nu le prelucrează decât la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul unui stat membru îl obligă să facă acest lucru.

Articolul 31

Evidențele activităților de prelucrare

(1)   Fiecare operator păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea sa. Respectiva evidență cuprinde toate informațiile următoare:

(a)

numele și datele de contact ale operatorului, ale responsabilului cu protecția datelor și, dacă este cazul, ale persoanei împuternicite de către operator și ale operatorului asociat;

(b)

scopurile prelucrării;

(c)

o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

(d)

categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din statele membre, țări terțe sau organizații internaționale;

(e)

dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și documentația care dovedește existența unor garanții adecvate;

(f)

acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

(g)

acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 33.

(2)   Fiecare persoană împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprinde:

(a)

numele și datele de contact ale persoanei sau persoanelor împuternicite de către operator, ale fiecărui operator în numele căruia acționează această persoană și ale responsabilului cu protecția datelor;

(b)

categoriile de activități de prelucrare desfășurate în numele fiecărui operator;

(c)

dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și documentația care dovedește existența unor garanții adecvate;

(d)

acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 33.

(3)   Evidențele menționate la alineatele (1) și (2) se formulează în scris, inclusiv în format electronic.

(4)   Instituțiile și organele Uniunii pun evidențele la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(5)   Cu excepția cazului în care nu este adecvat, ținând cont de dimensiunea instituției sau a organului Uniunii, instituțiile și organele Uniunii își păstrează evidențele activităților de prelucrare într-un registru central. Acestea pun registrul la dispoziția publicului.

Articolul 32

Cooperarea cu Autoritatea Europeană pentru Protecția Datelor

Instituțiile și organele Uniunii cooperează, la cerere, cu Autoritatea Europeană pentru Protecția Datelor în îndeplinirea sarcinilor sale.

SECȚIUNEA 2

Securitatea datelor cu caracter personal

Articolul 33

Securitatea prelucrării

(1)   Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând, printre altele, după caz:

(a)

pseudonimizarea și criptarea datelor cu caracter personal;

(b)

capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c)

capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d)

un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

(2)   La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate, în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

(3)   Operatorul și persoana împuternicită de acesta iau măsuri pentru a se asigura că orice persoană fizică ce acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii.

(4)   Aderarea la un mecanism de certificare aprobat, astfel cum se prevede la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată drept element care să demonstreze îndeplinirea cerințelor prevăzute la alineatul (1) din prezentul articol.

Articolul 34

Notificarea Autorității Europene pentru Protecția Datelor în cazul încălcării securității datelor cu caracter personal

(1)   În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru Autorității Europene pentru Protecția Datelor, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea către Autoritatea Europeană pentru Protecția Datelor nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație privind motivele întârzierii.

(2)   Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

(3)   Notificarea menționată la alineatul (1), cel puțin:

(a)

descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

(b)

comunică numele și datele de contact ale responsabilului cu protecția datelor;

(c)

descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

(d)

descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(4)   Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(5)   Operatorul informează responsabilul cu protecția datelor cu privire la încălcarea securității datelor cu caracter personal.

(6)   Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite Autorității Europene pentru Protecția Datelor să verifice respectarea prezentului articol.

Articolul 35

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)   În cazul în care încălcarea securității datelor cu caracter personal este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

(2)   În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul articol se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și măsurile menționate la articolul 34 alineatul (3) literele (b), (c) și (d).

(3)   Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

(a)

operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

(b)

operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate menționat la alineatul (1) nu mai poate să se materializeze;

(c)

ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

(4)   În cazul în care operatorul nu a comunicat deja persoanei vizate încălcarea securității datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor, după ce a luat în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să ducă la apariția unui risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oricare dintre condițiile menționate la alineatul (3) sunt îndeplinite.

SECȚIUNEA 3

Confidențialitatea comunicațiilor electronice

Articolul 36

Confidențialitatea comunicațiilor electronice

Instituțiile și organele Uniunii asigură confidențialitatea comunicațiilor electronice, în special prin securizarea propriilor rețele de comunicații electronice.

Articolul 37

Protecția informațiilor transmise către, stocate în, aferente, prelucrate de și colectate de la echipamentele terminale ale utilizatorilor

Instituțiile și organele Uniunii protejează informațiile transmise către, stocate în, aferente, prelucrate și colectate de la echipamentele terminale ale utilizatorilor, accesând site-urile internet disponibile public și aplicațiile pentru dispozitive mobile ale acestora în conformitate cu articolul 5 alineatul (3) din Directiva 2002/58/CE.

Articolul 38

Anuare de utilizatori

(1)   Datele cu caracter personal cuprinse în anuarele de utilizatori și accesul la aceste anuare se limitează la ceea ce este strict necesar pentru scopurile specifice ale anuarului respectiv.

(2)   Instituțiile și organele Uniunii iau toate măsurile necesare pentru a împiedica folosirea datelor cu caracter personal conținute în aceste anuare în scopuri de marketing direct, indiferent dacă datele sunt accesibile sau nu publicului.

SECȚIUNEA 4

Evaluarea impactului asupra protecției datelor și consultarea prealabilă

Articolul 39

Evaluarea impactului asupra protecției datelor

(1)   Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.

(2)   La realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită consiliere din partea responsabilului cu protecția datelor.

(3)   Evaluarea impactului asupra protecției datelor menționată la alineatul (1) se impune mai ales în cazul:

(a)

unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

(b)

prelucrării pe scară largă a unor categorii speciale de date, menționată la articolul 10, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 11; sau

(c)

unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

(4)   Autoritatea Europeană pentru Protecția Datelor întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor în conformitate cu alineatul (1).

(5)   Autoritatea Europeană pentru Protecția Datelor poate, de asemenea, să întocmească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecției datelor.

(6)   Înainte de adoptarea listelor menționate la alineatele (4) și (5) de la prezentul articol, Autoritatea Europeană pentru Protecția Datelor solicită Comitetului european pentru protecția datelor instituit în temeiul articolului 68 din Regulamentul (UE) 2016/679 să examineze aceste liste în conformitate cu articolul 70 alineatul (1) litera (e) din regulamentul menționat în cazul în care acestea vizează operațiuni de prelucrare efectuate de un operator care acționează împreună cu unul sau mai mulți operatori alții decât instituțiile și organele Uniunii.

(7)   Evaluarea conține cel puțin:

(a)

o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării;

(b)

o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

(c)

o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și

(d)

măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

(8)   La evaluarea impactului operațiunilor de prelucrare efectuate de persoanele împuternicite de operatori relevante, altele decât instituțiile și organele Uniunii, se are în vedere în mod corespunzător respectarea de către persoanele împuternicite respective a codurilor de conduită aprobate menționate la articolul 40 din Regulamentul (UE) 2016/679, în special în vederea unei evaluări a impactului asupra protecției datelor.

(9)   Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor publice ori securității operațiunilor de prelucrare.

(10)   Atunci când prelucrarea efectuată în temeiul articolului 5 alineatul (1) litera (a) sau (b) are drept temei juridic un act legislativ adoptat în baza tratatelor, care reglementează operațiunea de prelucrare specifică sau setul de operațiuni în cauză, și atunci când s-a efectuat deja o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului prealabile adoptării respectivului act legislativ, alineatele (1)-(6) din prezentul articol nu se aplică, cu excepția cazului în care acel act legislativ prevede acest lucru.

(11)   Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

Articolul 40

Consultarea prealabilă

(1)   Operatorul consultă Autoritatea Europeană pentru Protecția Datelor înainte de prelucrare în cazul în care o evaluare a impactului asupra protecției datelor efectuată în temeiul articolului 39 arată că prelucrarea ar duce, în absența garanțiilor, măsurilor de securitate și mecanismelor de atenuare a riscului, la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile având în vedere tehnologiile disponibile și costurile implementării. Operatorul solicită consiliere din partea responsabilului cu protecția datelor cu privire la necesitatea consultării prealabile.

(2)   Atunci când Autoritatea Europeană pentru Protecția Datelor consideră că prelucrarea prevăzută, astfel cum este menționată la alineatul (1), ar încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecția Datelor oferă consiliere în scris operatorului și, după caz, persoanei împuternicite de operator, în termen de cel mult opt săptămâni de la primirea cererii de consultare, și își poate exercita oricare dintre competențele menționate la articolul 58. Această perioadă poate fi prelungită cu șase săptămâni, ținându-se seama de complexitatea prelucrării prevăzute. Autoritatea Europeană pentru Protecția Datelor informează operatorul și, după caz, persoana împuternicită de operator în termen de o lună de la primirea cererii de consultare cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când Autoritatea Europeană pentru Protecția Datelor a obținut informațiile pe care le-a solicitat în scopul consultării.

(3)   Cu ocazia consultării Autorității Europene pentru Protecția Datelor în temeiul alineatului (1), operatorul furnizează Autorității Europene pentru Protecția Datelor:

(a)

dacă este cazul, responsabilitățile respective ale operatorului, ale operatorilor asociați și ale persoanelor împuternicite de operator implicate în activitățile de prelucrare;

(b)

scopurile și mijloacele prelucrării preconizate;

(c)

măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților persoanelor vizate, în conformitate cu prezentul regulament;

(d)

datele de contact ale responsabilului cu protecția datelor;

(e)

evaluarea impactului asupra protecției datelor prevăzută la articolul 39; și

(f)

orice alte informații solicitate de Autoritatea Europeană pentru Protecția Datelor.

(4)   Comisia poate, prin intermediul unui act de punere în aplicare, să stabilească o listă de cazuri în care operatorii se consultă cu Autoritatea Europeană pentru Protecția Datelor și obțin o autorizație prealabilă de la aceasta în ceea ce privește prelucrarea datelor cu caracter personal pentru îndeplinirea unei sarcini executate de operator în interes public, inclusiv prelucrarea unor astfel de date în legătură cu protecția socială și sănătatea publică.

SECȚIUNEA 5

Informare și consultare legislativă

Articolul 41

Informare și consultare

(1)   Instituțiile și organele Uniunii informează Autoritatea Europeană pentru Protecția Datelor în cazul elaborării de măsuri administrative și de norme interne referitoare la prelucrarea datelor cu caracter personal de către o instituție sau un organ al Uniunii, singur sau împreună cu altele.

(2)   Instituțiile și organele Uniunii consultă Autoritatea Europeană pentru Protecția Datelor atunci când elaborează normele interne menționate la articolul 25.

Articolul 42

Consultare legislativă

(1)   În urma adoptării unor propuneri de acte legislative, a unor recomandări sau a unor propuneri adresate Consiliului în temeiul articolului 218 din TFUE sau atunci când elaborează acte delegate sau acte de punere în aplicare, Comisia consultă Autoritatea Europeană pentru Protecția Datelor atunci când există un impact asupra protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

(2)   În cazul în care un act menționat la alineatul (1) este deosebit de important pentru protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, Comisia poate, de asemenea, să consulte Comitetul european pentru protecția datelor. În astfel de cazuri, Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor își coordonează activitatea în vederea emiterii unui aviz comun.

(3)   Consilierea menționată la alineatele (1) și (2) se furnizează în scris, în termen de maximum opt săptămâni de la primirea cererii de consultare menționate la alineatele (1) și (2). În cazuri urgente sau oportune, Comisia poate să reducă termenul stabilit.

(4)   Prezentul articol nu se aplică în cazul în care Comisia este obligată, în conformitate cu Regulamentul (UE) 2016/679, să consulte Comitetul european pentru protecția datelor.

SECȚIUNEA 6

Responsabilul cu protecția datelor

Articolul 43

Desemnarea responsabilului cu protecția datelor

(1)   Fiecare instituție sau organ al Uniunii desemnează un responsabil cu protecția datelor.

(2)   Instituțiile și organele Uniunii pot desemna un responsabil unic cu protecția datelor pentru mai multe dintre ele, ținând seama de structura organizatorică și de dimensiunea acestora.

(3)   Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 45.

(4)   Responsabilul cu protecția datelor este un membru al personalului instituției sau organului Uniunii. Având în vedere dimensiunea lor și dacă opțiunea în temeiul alineatului (2) nu este exercitată, instituțiile și organele Uniunii pot desemna un responsabil cu protecția datelor care își îndeplinește atribuțiile în baza unui contract de servicii.

(5)   Instituțiile și organele Uniunii publică datele de contact ale responsabilului cu protecția datelor și le comunică Autorității Europene pentru Protecția Datelor.

Articolul 44

Funcția responsabilului cu protecția datelor

(1)   Instituțiile și organele Uniunii se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)   Instituțiile și organele Uniunii sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 45, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesul la date cu caracter personal și la operațiunile de prelucrare a acestora, și oferindu-i posibilitatea de a-și actualiza cunoștințele de specialitate.

(3)   Instituțiile și organele Uniunii se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

(4)   Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul prezentului regulament.

(5)   Responsabilul cu protecția datelor și personalul acestuia au obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor lor, în conformitate cu dreptul Uniunii.

(6)   Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

(7)   Responsabilul cu protecția datelor poate fi consultat de către operator sau de către persoana împuternicită de acesta, de către Comitetul pentru personal și de către orice persoană fizică, în orice problemă privind interpretarea sau aplicarea prezentului regulament, fără să se recurgă la căile oficiale. Nimeni nu poate suferi un prejudiciu ca urmare a unui fapt adus la cunoștința responsabilului competent cu protecția datelor, despre care se susține că ar reprezenta o încălcare a dispozițiilor prezentului regulament.

(8)   Responsabilul cu protecția datelor este desemnat pentru un mandat de trei până la cinci ani și este eligibil pentru o nouă numire. Acesta nu poate fi eliberat din funcția de responsabil cu protecția datelor de către instituția sau organul Uniunii care l-a desemnat, dacă nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale, decât cu acordul Autorității Europene pentru Protecția Datelor.

(9)   După desemnarea responsabilului cu protecția datelor, numele acestuia se comunică Autorității Europene pentru Protecția Datelor de către instituția sau organul Uniunii care l-a desemnat.

Articolul 45

Sarcinile responsabilului cu protecția datelor

(1)   Responsabilul cu protecția datelor are următoarele sarcini:

(a)

informarea și consilierea operatorului sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii referitoare la protecția datelor;

(b)

asigurarea în mod independent a aplicării interne a prezentului regulament și monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii în vigoare referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;

(c)

asigurarea informării tuturor persoanelor vizate cu privire la drepturile și obligațiile ce le revin în temeiul prezentului regulament;

(d)

furnizarea de consiliere, la cerere, în ceea ce privește necesitatea unei notificări sau a unei comunicări a unei încălcări a datelor cu caracter personal, în temeiul articolelor 34 și 35;

(e)

furnizarea de consiliere, la cerere, în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea realizării acestei evaluări în temeiul articolului 39 și consultarea Autorității Europene pentru Protecția Datelor în cazul în care există îndoieli cu privire la necesitatea efectuării unei evaluări a impactului asupra protecției datelor;

(f)

furnizarea de consiliere, la cerere, în ceea ce privește necesitatea unei consultări prealabile a Autorității Europene pentru Protecția Datelor în temeiul articolului 40; consultarea acesteia în cazul în care există îndoieli cu privire la necesitatea unei consultări prealabile;

(g)

onorarea cererilor Autorității Europene pentru Protecția Datelor; în cadrul sferei sale de competență, cooperarea și consultarea cu Autoritatea Europeană pentru Protecția Datelor, la cererea acesteia din urmă sau din proprie inițiativă;

(h)

garantarea faptului că operațiunile de prelucrare nu afectează negativ drepturile și libertățile persoanelor vizate.

(2)   Responsabilul cu protecția datelor poate face recomandări operatorului și persoanei împuternicite de acesta în vederea îmbunătățirii concrete a protecției datelor și le poate acorda consultanță cu privire la aspecte referitoare la aplicarea dispozițiilor privind protecția datelor. Mai mult, din proprie inițiativă sau la cererea operatorului ori a persoanei împuternicite de acesta, a Comitetului pentru personal în cauză sau a oricărei alte persoane fizice, poate să cerceteze problemele și faptele legate direct de sarcinile sale, care i-au fost aduse la cunoștință, prezentând un raport persoanei care a solicitat cercetarea sau operatorului ori persoanei împuternicite de acesta.

(3)   Fiecare instituție sau organ al Uniunii adoptă norme complementare de punere în aplicare cu privire la responsabilul cu protecția datelor. Normele de aplicare se referă în special la sarcinile, atribuțiile și competențele responsabilului cu protecția datelor.

CAPITOLUL V

TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE

Articolul 46

Principiul general al transferurilor

Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.

Articolul 47

Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție

(1)   Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis, în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat, și atunci când datele cu caracter personal sunt transferate exclusiv pentru a permite îndeplinirea sarcinilor care sunt de competența operatorului.

(2)   Instituțiile și organele Uniunii informează Comisia și Autoritatea Europeană pentru Protecția Datelor despre situațiile în care consideră că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr-o țară terță sau o organizație internațională în cauză nu asigură un nivel adecvat de protecție în sensul alineatului (1).

(3)   Instituțiile și organele Uniunii iau măsurile necesare pentru a se conforma deciziilor luate de către Comisie, care hotărăște, în temeiul articolului 45 alineatul (3) sau (5) din Regulamentul (UE) 2016/679 sau în temeiul articolului 36 alineatul (3) sau (5) din Directiva (UE) 2016/680, dacă o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr-o țară terță sau o organizație internațională asigură sau nu mai asigură un nivel adecvat de protecție.

Articolul 48

Transferuri în baza unor garanții adecvate

(1)   În absența unei decizii în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, un operator sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

(2)   Garanțiile adecvate menționate la alineatul (1) pot fi furnizate fără să fie nevoie de vreo autorizație specifică din partea Autorității Europene pentru Protecția Datelor, sub formele următoare:

(a)

printr-un instrument obligatoriu din punct de vedere juridic și executoriu între autoritățile sau organismele publice;

(b)

prin clauze standard de protecție a datelor adoptate de Comisie în conformitate cu procedura de examinare menționată la articolul 96 alineatul (2);

(c)

prin clauze standard de protecție a datelor adoptate de Autoritatea Europeană pentru Protecția Datelor și aprobate de Comisie în conformitate cu procedura de examinare menționată la articolul 96 alineatul (2);

(d)

în cazul în care persoana împuternicită de operator nu este o instituție sau un organ al Uniunii, prin reguli corporative obligatorii, coduri de conduită sau mecanisme de certificare, în conformitate cu articolul 46 alineatul (2) literele (b), (e) și (f) din Regulamentul (UE) 2016/679.

(3)   Sub rezerva autorizării din partea Autorității Europene pentru Protecția Datelor, garanțiile adecvate menționate la alineatul (1) pot fi furnizate, de asemenea, în special, prin:

(a)

clauze contractuale între operator sau persoana împuternicită de operator și operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țara terță sau organizația internațională; sau

(b)

dispoziții care urmează să fie incluse în acordurile administrative dintre autoritățile sau organismele publice, care includ drepturi opozabile și efective pentru persoanele vizate.

(4)   Autorizațiile acordate de Autoritatea Europeană pentru Protecția Datelor în temeiul articolului 9 alineatul (7) din Regulamentul (CE) nr. 45/2001 sunt valabile până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, de Autoritatea Europeană pentru Protecția Datelor.

(5)   Instituțiile și organele Uniunii informează Autoritatea Europeană Pentru Protecția Datelor despre categoriile de cazuri în care a fost aplicat prezentul articol.

Articolul 49

Transferurile sau divulgările de informații neautorizate de dreptul Uniunii

Orice hotărâre a unei instanțe sau a unui tribunal și orice decizie a unei autorități administrative a unei țări terțe care impun unui operator sau persoanei împuternicite de operator să transfere sau să divulge date cu caracter personal poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă în vigoare între țara terță solicitantă și Uniune, fără a se aduce atingere altor motive de transfer în temeiul prezentului capitol.

Articolul 50

Derogări pentru situații specifice

(1)   În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 sau în conformitate cu articolul 36 alineatul (3) din Directiva (UE) 2016/680 sau a unor garanții adecvate în conformitate cu articolul 48 din prezentul regulament, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională are loc numai în condițiile în care:

(a)

persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;

(b)

transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

(c)

transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

(d)

transferul este necesar din considerente importante de interes public;

(e)

transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;

(f)

transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul; sau

(g)

transferul este efectuat dintr-un registru care, în conformitate cu dreptul Uniunii, are rolul de a oferi informații publicului și care este deschis spre consultare fie publicului în general, fie oricărei persoane care justifică un interes legitim, dar numai în măsura în care condițiile stabilite în dreptul Uniunii pentru consultare sunt îndeplinite pentru fiecare caz în parte.

(2)   Literele (a), (b) și (c) de la alineatul (1) nu se aplică activităților desfășurate de instituții și organe ale Uniunii în exercitarea competențelor lor publice.

(3)   Interesul public menționat la alineatul (1) litera (d) este recunoscut în dreptul Uniunii.

(4)   Un transfer în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal și nici totalitatea categoriilor de date cu caracter personal cuprinse în registru, cu excepția cazului în care este autorizat de dreptul Uniunii. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care acestea vor fi destinatarii.

(5)   În absența unei decizii privind caracterul adecvat al nivelului de protecție, dreptul Uniunii poate, din considerente importante de interes public, să stabilească în mod expres limite asupra transferului unor categorii specifice de date cu caracter personal către o țară terță sau o organizație internațională.

(6)   Instituțiile și organele Uniunii informează Autoritatea Europeană Pentru Protecția Datelor despre categoriile de cazuri în care a fost aplicat prezentul articol.

Articolul 51

Cooperarea internațională în domeniul protecției datelor cu caracter personal

În ceea ce privește țările terțe și organizațiile internaționale, Autoritatea Europeană pentru Protecția Datelor, în cooperare cu Comisia și cu Comitetul european pentru protecția datelor, ia măsurile corespunzătoare pentru:

(a)

elaborarea de mecanisme de cooperare internațională pentru a facilita asigurarea aplicării efective a legislației privind protecția datelor cu caracter personal;

(b)

acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor, asistență în investigații și schimb de informații, sub rezerva unor garanții adecvate pentru protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;

(c)

implicarea părților interesate relevante în discuțiile și activitățile care au ca scop intensificarea cooperării internaționale în domeniul aplicării legislației privind protecția datelor cu caracter personal;

(d)

promovarea schimbului reciproc și a documentației cu privire la legislația și practicile în materie de protecție a datelor cu caracter personal, inclusiv în ceea ce privește conflictele jurisdicționale cu țările terțe.

CAPITOLUL VI

AUTORITATEA EUROPEANĂ PENTRU PROTECȚIA DATELOR

Articolul 52

Autoritatea Europeană pentru Protecția Datelor

(1)   Se instituie prin prezenta Autoritatea Europeană pentru Protecția Datelor.

(2)   În ceea ce privește prelucrarea datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor răspunde de asigurarea respectării de către instituțiile și organele Uniunii a drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor.

(3)   Autoritatea Europeană pentru Protecția Datelor răspunde de monitorizarea și asigurarea aplicării dispozițiilor prezentului regulament și a oricărui alt act al Uniunii referitor la protecția drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal efectuată de către o instituție sau un organ al Uniunii, precum și de consilierea instituțiilor și organelor Uniunii și a persoanelor vizate cu privire la toate aspectele legate de prelucrarea de date cu caracter personal. În aceste scopuri, Autoritatea Europeană pentru Protecția Datelor îndeplinește sarcinile prevăzute la articolul 57 și exercită competențele care i-au fost conferite prin articolul 58.

(4)   Regulamentul (CE) nr. 1049/2001 se aplică documentelor deținute de Autoritatea Europeană pentru Protecția Datelor. Autoritatea Europeană pentru Protecția Datelor adoptă norme detaliate pentru aplicarea Regulamentului (CE) nr. 1049/2001 cu privire la documentele respective.

Articolul 53

Numirea Autorității Europene pentru Protecția Datelor

(1)   Parlamentul European și Consiliul numesc de comun acord Autoritatea Europeană pentru Protecția Datelor pentru un mandat de cinci ani, pe baza unei liste întocmite de Comisie în urma unui anunț public de depunere a candidaturilor. Anunțul de depunere a candidaturilor le permite tuturor părților interesate din întreaga Uniune să-și prezinte candidatura. Lista candidaților întocmită de Comisie este publică și conține cel puțin trei candidați. Pe baza listei întocmite de Comisie, comisia competentă a Parlamentului European poate decide organizarea unei audieri care să îi permită să își exprime preferința pentru un candidat.

(2)   Lista candidaților menționată la alineatul (1) este alcătuită din personalități care oferă toate garanțiile de independență și care posedă cunoștințe de specialitate în domeniul protecției datelor, precum și experiența și competențele necesare îndeplinirii atribuțiilor de Autoritate Europeană pentru Protecția Datelor.

(3)   Mandatul Autorității Europene pentru Protecția Datelor poate fi reînnoit o singură dată.

(4)   Atribuțiile Autorității Europene Pentru Protecția Datelor încetează în următoarele situații:

(a)

dacă Autoritatea Europeană pentru Protecția Datelor este înlocuită;

(b)

dacă Autoritatea Europeană pentru Protecția Datelor demisionează;

(c)

în cazul în care Autoritatea Europeană pentru Protecția Datelor este eliberată din funcție sau i se cere să se pensioneze din oficiu.

(5)   Autoritatea Europeană pentru Protecția Datelor poate fi demisă sau decăzută din dreptul la pensie sau la alte avantaje echivalente de către Curtea de Justiție, la cererea Parlamentului European, a Consiliului sau a Comisiei, dacă nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale sau dacă a săvârșit o greșeală gravă.

(6)   În cazul înlocuirii obișnuite sau a demisiei voluntare, Autoritatea Europeană pentru Protecția Datelor rămâne totuși în funcție până la numirea unui înlocuitor.

(7)   Articolele 11-14 și 17 din Protocolul privind privilegiile și imunitățile Uniunii Europene se aplică și Autorității Europene pentru Protecția Datelor.

Articolul 54

Statutul și condițiile generale de exercitare a atribuțiilor de către Autoritatea Europeană pentru Protecția Datelor, resurse umane și financiare

(1)   Autoritatea Europeană pentru Protecția Datelor este asimilată unui judecător al Curții de Justiție în ceea ce privește stabilirea remunerației, a indemnizațiilor, a pensiei pentru limită de vârstă și a oricăror altor prestații care țin loc de remunerație.

(2)   Autoritatea bugetară se asigură că Autoritatea Europeană pentru Protecția Datelor dispune de resursele umane și financiare necesare îndeplinirii îndatoririlor sale.

(3)   Bugetul Autorității Europene pentru Protecția Datelor figurează la o rubrică bugetară separată a secțiunii referitoare la cheltuielile administrative din bugetul general al Uniunii.

(4)   Autoritatea Europeană pentru Protecția Datelor este asistată de un secretariat. Funcționarii și ceilalți membri ai personalului din cadrul secretariatului sunt numiți de Autoritatea Europeană pentru Protecția Datelor, iar superiorul lor ierarhic este Autoritatea Europeană pentru Protecția Datelor. Aceștia se află exclusiv sub conducerea sa. Numărul lor este stabilit în fiecare an în cadrul procedurii bugetare. Articolul 75 alineatul (2) din Regulamentul (UE) 2016/679 se aplică personalului Autorității Europene pentru Protecția Datelor implicat în îndeplinirea sarcinilor conferite Comitetului european pentru protecția datelor de dreptul Uniunii.

(5)   Funcționarii și ceilalți membri de personal ai secretariatului Autorității Europene pentru Protecția Datelor intră sub incidența normelor și reglementărilor aplicabile funcționarilor și altor agenți ai Uniunii.

(6)   Sediul Autorității Europene pentru Protecția Datelor este la Bruxelles.

Articolul 55

Independența

(1)   Autoritatea Europeană pentru Protecția Datelor beneficiază de independență deplină în îndeplinirea sarcinilor sale și în exercitarea competențelor sale în conformitate cu prezentul regulament.

(2)   Autoritatea Europeană pentru Protecția Datelor, în cadrul îndeplinirii sarcinilor și al exercitării competențelor sale în conformitate cu prezentul regulament, rămâne independentă de orice influență externă directă sau indirectă și nici nu solicită, nici nu acceptă instrucțiuni de la o parte externă.

(3)   Autoritatea Europeană pentru Protecția Datelor se abține de la orice act incompatibil cu caracterul atribuțiilor sale și, pe durata mandatului, nu poate exercita nici o altă activitate, remunerată sau nu.

(4)   După încetarea mandatului său, Autoritatea Europeană pentru Protecția Datelor este obligată să manifeste integritate și discreție în ceea ce privește acceptarea anumitor funcții sau beneficii.

Articolul 56

Secretul profesional

Autoritatea Europeană pentru Protecția Datelor, precum și personalul acesteia, atât pe durata mandatului, cât și după încetarea acestuia, au obligația să respecte secretul profesional cu privire la informațiile confidențiale la care au avut acces în îndeplinirea îndatoririlor lor.

Articolul 57

Sarcini

(1)   Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, Autoritatea Europeană pentru Protecția Datelor:

(a)

monitorizează și asigură aplicarea prezentului regulament de către instituțiile și organele Uniunii, cu excepția prelucrării de date cu caracter personal de către Curtea de Justiție în exercitarea atribuțiilor sale judiciare;

(b)

promovează acțiuni de sensibilizare și de înțelegere în rândul publicului a riscurilor, normelor, garanțiilor și drepturilor în materie de prelucrare. Se acordă atenție specială activităților care se adresează în mod specific copiilor;

(c)

promovează acțiuni de sensibilizare a operatorilor și a persoanelor împuternicite de aceștia cu privire la obligațiile care le revin în temeiul prezentului regulament;

(d)

la cerere, furnizează informații oricărei persoane vizate în legătură cu exercitarea drepturilor sale prevăzute în prezentul regulament și, dacă este cazul, cooperează cu autoritățile naționale de supraveghere în acest scop;

(e)

tratează plângerile depuse de o persoană vizată, un organism, o organizație sau o asociație în conformitate cu articolul 67 și investighează într-o măsură adecvată obiectul plângerii și informează reclamantul cu privire la evoluția și rezultatul investigației, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigații mai amănunțite sau coordonarea cu o altă autoritate de supraveghere;

(f)

desfășoară investigații privind aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;

(g)

oferă consiliere, din proprie inițiativă sau la cerere, tuturor instituțiilor și organelor Uniunii cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

(h)

monitorizează noutățile care prezintă interes, dacă acestea au incidență asupra protecției datelor cu caracter personal, în special evoluția tehnologiei informațiilor și a comunicațiilor;

(i)

adoptă clauzele contractuale standard menționate la articolul 29 alineatul (8) și la articolul 48 alineatul (2) litera (c);

(j)

întocmește și menține la zi o listă în legătură cu cerința privind evaluarea impactului asupra protecției datelor, în conformitate cu articolul 39 alineatul (4);

(k)

participă la activitățile Comitetului european pentru protecția datelor;

(l)

asigură secretariatul Comitetului european pentru protecția datelor, în conformitate cu articolul 75 din Regulamentul (UE) 2016/679;

(m)

oferă consiliere cu privire la operațiunile de prelucrare menționate la articolul 40 alineatul (2);

(n)

autorizează clauzele și dispozițiile contractuale menționate la articolul 48 alineatul (3);

(o)

menține la zi evidențe interne privind încălcările prezentului regulament și măsurile luate în conformitate cu articolul 58 alineatul (2);

(p)

îndeplinește orice alte sarcini legate de protecția datelor cu caracter personal; și

(q)

își elaborează regulamentul de procedură.

(2)   Autoritatea Europeană pentru Protecția Datelor facilitează depunerea plângerilor menționate la alineatul (1) litera (e) printr-un formular de depunere a plângerii care poate fi completat și în format electronic, fără a exclude alte mijloace de comunicare.

(3)   Îndeplinirea sarcinilor de către Autoritatea Europeană pentru Protecția Datelor este gratuită pentru persoana vizată.

(4)   În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Autoritatea Europeană pentru Protecția Datelor poate refuza să le dea curs. Sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii revine Autorității Europene pentru Protecția Datelor.

Articolul 58

Competențe

(1)   Autoritatea Europeană pentru Protecția Datelor deține următoarele competențe de investigare:

(a)

de a da dispoziții operatorului și persoanei împuternicite de operator să furnizeze orice informații pe care le solicită în vederea îndeplinirii sarcinilor sale;

(b)

de a efectua investigații sub formă de audituri privind protecția datelor;

(c)

de a notifica operatorul sau persoana împuternicită de operator cu privire la o presupusă încălcare a prezentului regulament;

(d)

de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal și la toate informațiile necesare pentru îndeplinirea sarcinilor sale;

(e)

de a obține accesul la oricare dintre incintele operatorului și ale persoanei împuternicite de operator, inclusiv la orice echipamente și mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii.

(2)   Autoritatea Europeană pentru Protecția Datelor deține următoarele competențe corective:

(a)

de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la probabilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile prezentului regulament;

(b)

de a emite mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile prezentului regulament;

(c)

de a sesiza operatorul sau persoana împuternicită de operator în cauză și, dacă este necesar, Parlamentul European, Consiliul și Comisia;

(d)

de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul prezentului regulament;

(e)

de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul-limită pentru aceasta;

(f)

de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;

(g)

de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;

(h)

de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 18, 19 și 20, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 19 alineatul (2) și cu articolul 21;

(i)

de a aplica amenzi administrative în temeiul articolului 66 în cazul în care o instituție sau un organ al Uniunii nu respectă una dintre măsurile menționate la literele (d)-(h) și (j) de la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;

(j)

de a dispune suspendarea fluxurilor de date către un destinatar dintr-un stat membru, dintr-o țară terță sau către o organizație internațională.

(3)   Autoritatea Europeană pentru Protecția Datelor deține următoarele competențe de autorizare și de consiliere:

(a)

de a oferi consiliere persoanelor vizate în ceea ce privește exercitarea drepturilor acestora;

(b)

de a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă menționată la articolul 40, în conformitate cu articolul 41 alineatul (2);

(c)

de a emite avize, din proprie inițiativă sau la cerere, adresate instituțiilor și organelor Uniunii, precum și publicului, cu privire la orice aspect legat de protecția datelor cu caracter personal;

(d)

de a adopta clauzele standard în materie de protecție a datelor menționate la articolul 29 alineatul (8) și la articolul 48 alineatul (2) litera (c);

(e)

de a autoriza clauzele contractuale menționate la articolul 48 alineatul (3) litera (a);

(f)

de a autoriza acordurile administrative menționate la articolul 48 alineatul (3) litera (b).

(g)

de a autoriza operațiuni de prelucrare în conformitate cu acte de punere în aplicare adoptate în temeiul articolului 40 alineatul (4).

(4)   Autoritatea Europeană pentru Protecția Datelor are competența de a sesiza Curtea de Justiție în condițiile prevăzute de tratate și de a interveni în acțiunile introduse la Curtea de Justiție.

(5)   Exercitarea competențelor conferite Autorității Europene pentru Protecția Datelor în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute în dreptul Uniunii.

Articolul 59

Obligația operatorilor și a persoanelor împuternicite de operator de a răspunde la acuzații

În cazul în care Autoritatea Europeană pentru Protecția Datelor își exercită competențele prevăzute la articolul 58 alineatul (2) literele (a), (b) și (c), operatorul sau persoana împuternicită de operator în cauză informează Autoritatea Europeană pentru Protecția Datelor cu privire la opinia sa într-un termen rezonabil care urmează să fie precizat de către Autoritatea Europeană pentru Protecția Datelor ținând cont de circumstanțele fiecărui caz în parte. Răspunsul conține, de asemenea, o descriere a măsurilor întreprinse, dacă acestea există, ca răspuns la observațiile Autorității Europene pentru Protecția Datelor.

Articolul 60

Raport de activitate

(1)   Autoritatea Europeană pentru Protecția Datelor prezintă Parlamentului European, Consiliului și Comisiei un raport anual privind activitățile sale, pe care îl publică în același timp.

(2)   Autoritatea Europeană pentru Protecția Datelor trimite raportul menționat la alineatul (1) celorlalte instituții și organe ale Uniunii, care pot prezenta observații în vederea unei posibile examinări a raportului de către Parlamentul European.

CAPITOLUL VII

COOPERARE ȘI COERENȚĂ

Articolul 61

Cooperarea dintre Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere

Autoritatea Europeană pentru Protecția Datelor cooperează cu autoritățile naționale de supraveghere și cu autoritatea comună de control instituită în temeiul articolului 25 din Decizia 2009/917/JAI a Consiliului (19) în măsura în care este necesar pentru îndeplinirea atribuțiilor care revin fiecăreia, în special transmițându-și reciproc informații relevante, solicitându-și reciproc să își exercite competențele și răspunzând la cererile fiecăreia.

Articolul 62

Supravegherea coordonată de către Autoritatea Europeană pentru Protecția Datelor și de către autoritățile naționale de supraveghere

(1)   În cazul în care un act al Uniunii face trimitere la prezentul articol, Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere cooperează în mod activ în cadrul responsabilităților lor respective, fiecare acționând în cadrul competențelor sale, pentru a asigura o supraveghere eficace a sistemelor informatice la scară largă și a organelor, oficiilor și agențiilor Uniunii.

(2)   Acționând fiecare în cadrul propriilor competențe și responsabilități acestea fac, dacă este necesar, schimb de informații relevante, își acordă reciproc asistență în efectuarea de audituri și inspecții, examinează dificultățile de interpretare sau de aplicare a prezentului regulament și a altor acte aplicabile ale Uniunii, studiază problemele legate de exercitarea supravegherii independente sau de exercitarea drepturilor persoanelor vizate, redactează propuneri armonizate privind soluții la eventualele probleme și promovează sensibilizarea cu privire la drepturile privind protecția datelor.

(3)   În scopurile enunțate la alineatul (2), Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere se întâlnesc cel puțin de două ori pe an în cadrul Comitetului european pentru protecția datelor. În acest scop, Comitetul european pentru protecția datelor poate elabora alte metode de lucru, dacă este necesar.

(4)   Comitetul european pentru protecția datelor transmite Parlamentului European, Consiliului și Comisiei, o dată la doi ani, un raport comun al activităților în ceea ce privește supravegherea coordonată.

CAPITOLUL VIII

CĂI DE ATAC, RĂSPUNDERE ȘI SANCȚIUNI

Articolul 63

Dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor

(1)   Fără a aduce atingere oricărei căi de atac judiciare, administrative sau nejudiciare, orice persoană vizată are dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în cazul în care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile prezentului regulament.

(2)   Autoritatea Europeană pentru Protecția Datelor informează reclamantul cu privire la evoluția și soluționarea plângerii, inclusiv cu privire la posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 64.

(3)   În cazul în care Autoritatea Europeană pentru Protecția Datelor nu se ocupă de o plângere sau nu informează persoana vizată în termen de trei luni cu privire la evoluția sau la soluționarea plângerii, se consideră că Autoritatea Europeană pentru Protecția Datelor a adoptat o decizie negativă.

Articolul 64

Dreptul la o cale de atac judiciară eficientă

(1)   Curtea de Justiție are competența de a soluționa orice litigiu privind dispozițiile prezentului regulament, inclusiv de a se pronunța asupra cererilor de despăgubiri.

(2)   Acțiunile împotriva deciziilor Autorității Europene pentru Protecția Datelor, inclusiv împotriva deciziilor în temeiul articolului 63 alineatul (3), sunt introduse în fața Curții de Justiție.

(3)   Curtea de Justiție are competența de fond în materie de control al amenzilor administrative menționate la articolul 66. Aceasta poate anula, reduce sau majora amenzile respective în limitele articolului 66.

Articolul 65

Dreptul la despăgubiri

Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la instituția sau organul Uniunii pentru prejudiciul suferit, în condițiile prevăzute de tratate.

Articolul 66

Amenzi administrative

(1)   Autoritatea Europeană pentru Protecția Datelor poate aplica amenzi administrative instituțiilor și organelor Uniunii, în funcție de circumstanțele fiecărui caz în parte, în cazul în care o instituție sau un organ al Uniunii nu se supune unui ordin al Autorității Europene pentru Protecția Datelor în temeiul articolului 58 alineatul (2) literele (d)-(h) și (j). Atunci când se ia decizia privind oportunitatea aplicării unei amenzi administrative și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

(a)

natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;

(b)

orice acțiune întreprinsă de instituția sau organul Uniunii pentru a reduce prejudiciul suferit de persoanele vizate;

(c)

gradul de responsabilitate al instituției sau al organului Uniunii, ținându-se seama de măsurile tehnice și organizatorice puse în aplicare de acestea în temeiul articolelor 27 și 33;

(d)

eventuale încălcări anterioare similare comise de instituția sau de organul Uniunii;

(e)

gradul de cooperare cu Autoritatea Europeană pentru Protecția Datelor pentru a remedia încălcarea și a atenua posibilele efecte negative ale acesteia;

(f)

categoriile de date cu caracter personal afectate de încălcare;

(g)

modul în care încălcarea a fost adusă la cunoștința Autorității Europene pentru Protecția Datelor, în special dacă și în ce măsură instituția sau organul Uniunii a notificat încălcarea;

(h)

respectarea oricăreia dintre măsurile menționate la articolul 58 luate anterior împotriva instituției sau a organului Uniunii cu privire la aceeași chestiune. Procedurile care conduc la aplicarea acestor amenzi se desfășoară într-un interval de timp rezonabil în funcție de circumstanțele cazului și luând în considerare acțiunile și procedurile relevante menționate la articolul 69.

(2)   Încălcările obligațiilor prevăzute la articolele 8, 12, 27-35, 39, 40, 43, 44 și 45, săvârșite de către instituția sau organul Uniunii fac, în conformitate cu alineatul (1) de la prezentul articol, obiectul unor amenzi administrative de până la 25 000 EUR pentru fiecare încălcare, în limita unui cuantum total de 250 000 EUR pe an.

(3)   Încălcările următoarelor prevederi de către instituția sau organul Uniunii fac, în conformitate cu alineatul (1), obiectul unor amenzi administrative de până la 50 000 EUR pentru fiecare încălcare, în limita unui cuantum total de 500 000 EUR pe an:

(a)

principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 4, 5, 7 și 10;

(b)

drepturile persoanelor vizate în conformitate cu articolele 14-24;

(c)

transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu articolele 46-50.

(4)   În cazul în care o instituție sau un organ al Uniunii, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe sau continue, încalcă mai multe dispoziții din prezentul regulament sau aceeași dispoziție din regulament de mai multe ori, cuantumul total al amenzii administrative nu depășește suma prevăzută pentru cea mai gravă încălcare.

(5)   Înaintea adoptării unor decizii în temeiul prezentului articol, Autoritatea Europeană pentru Protecția Datelor oferă instituției sau organului Uniunii care face obiectul procedurilor desfășurate de Autoritatea Europeană pentru Protecția Datelor posibilitatea de a se exprima în cadrul unei audieri în legătură cu aspectele cu privire la care Autoritatea Europeană pentru Protecția Datelor a ridicat obiecții. Autoritatea Europeană pentru Protecția Datelor își fundamentează deciziile doar pe obiecțiile asupra cărora părțile în cauză au putut formula observații. Reclamanții sunt implicați îndeaproape în proceduri.

(6)   Drepturile la apărare ale părților în cauză sunt pe deplin garantate în cadrul procedurilor. Părțile au drept de acces la dosarul Autorității Europene pentru Protecția Datelor, sub rezerva interesului legitim al persoanelor fizice sau al întreprinderilor în ceea ce privește protecția datelor cu caracter personal sau a secretelor comerciale ale acestora.

(7)   Fondurile colectate prin aplicarea amenzilor prevăzute la prezentul articol constituie venituri la bugetul general al Uniunii.

Articolul 67

Reprezentarea persoanelor vizate

Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul Uniunii sau cu dreptul unui stat membru, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său la Autoritatea Europeană pentru Protecția Datelor, să exercite în numele său drepturile menționate la articolele 63 și 64, precum și să exercite, în numele său, dreptul de a primi despăgubiri menționat la articolul 65.

Articolul 68

Plângerile înaintate de personalul Uniunii

Orice persoană angajată de o instituție sau un organ al Uniunii poate depune o plângere la Autoritatea Europeană pentru Protecția Datelor privind o presupusă încălcare a dispozițiilor prezentului regulament, inclusiv fără a acționa pe căi oficiale. Nimeni nu trebuie să sufere prejudicii din cauza unei plângeri depuse la Autoritatea Europeană pentru Protecția Datelor care susține existența unei astfel de încălcări.

Articolul 69

Sancțiuni

În cazul în care un funcționar sau un alt agent al Uniunii Europene nu respectă obligațiile prevăzute de prezentul regulament, fie intenționat sau din neglijență, funcționarul sau agentul Uniunii Europene este pasibil de sancțiuni disciplinare sau alte măsuri, conform normelor și procedurilor prevăzute de Statutul funcționarilor.

CAPITOLUL IX

PRELUCRAREA DATELOR OPERAȚIONALE CU CARACTER PERSONAL DE CĂTRE ORGANELE, OFICIILE ȘI AGENȚIILE UNIUNII ATUNCI CÂND ACESTEA DESFĂȘOARĂ ACTIVITĂȚI CARE INTRĂ SUB INCIDENȚA PĂRȚII A TREIA TITLUL V CAPITOLUL 4 SAU CAPITOLUL 5 DIN TFUE

Articolul 70

Domeniul de aplicare al prezentului capitol

Prezentul capitol se aplică exclusiv prelucrării datelor operaționale cu caracter personal de către organele, oficiile și agențiile Uniunii atunci când acestea desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE, fără a aduce atingere normelor specifice de protecție a datelor aplicabile acestor organe, oficii sau agenții ale Uniunii.

Articolul 71

Principii legate de prelucrarea datelor operaționale cu caracter personal

(1)   Datele operaționale cu caracter personal:

(a)

sunt prelucrate în mod legal și echitabil („legalitate și echitate”);

(b)

sunt colectate într-un scop determinat, explicit și legitim și nu sunt prelucrate într-un mod incompatibil cu acest scop („limitarea scopului”);

(c)

sunt adecvate, pertinente și neexcesive în raport cu scopul în care sunt prelucrate („reducerea la minimum a datelor”);

(d)

sunt exacte și, dacă este necesar, actualizate; se iau toate măsurile rezonabile pentru a se garanta că datele operaționale cu caracter personal care sunt inexacte, având în vedere scopul pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitatea”);

(e)

sunt păstrate într-o formă care permite identificarea persoanelor vizate fără a se depăși timpul necesar realizării scopului în care sunt prelucrate datele operaționale cu caracter personal („limitarea timpului de păstrare”);

(f)

sunt prelucrate într-un mod care asigură un grad adecvat de securitate a datelor operaționale cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, fiind luate măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

(2)   Se permite prelucrarea de către același operator sau de către un alt operator, în oricare dintre scopurile stabilite în actul juridic de instituire a organului, a oficiului sau a agenției Uniunii pe lângă scopul pentru care au fost colectate datele operaționale cu caracter personal, în măsura în care:

(a)

operatorul este autorizat să prelucreze astfel de date operaționale cu caracter personal în scopul respectiv în conformitate cu dreptul Uniunii; și

(b)

prelucrarea este necesară și proporțională în raport cu scopul secundar respectiv, în conformitate cu dreptul Uniunii.

(3)   Prelucrarea de către același operator sau de către un alt operator poate include arhivarea în interes public sau în scopuri științifice, statistice sau istorice, pentru scopurile stabilite în actul juridic de instituire a respectivului organ, oficiu sau agenție a Uniunii, cu condiția unor garanții adecvate privind respectarea drepturilor și a libertăților persoanelor vizate.

(4)   Operatorul este responsabil de respectarea alineatelor (1), (2) și (3) și este în măsură să demonstreze că aceste dispoziții au fost respectate.

Articolul 72

Legalitatea prelucrării datelor operaționale cu caracter personal

(1)   Prelucrarea datelor operaționale cu caracter personal este legală numai dacă și în măsura în care prelucrarea în cauză este necesară pentru executarea unei sarcini realizate de către organele, oficiile și agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE și se întemeiază pe dreptul Uniunii.

(2)   În actele juridice specifice ale Uniunii prin care se reglementează prelucrarea în temeiul prezentului capitol se precizează cel puțin obiectivele prelucrării, datele operaționale cu caracter personal ce urmează să fie prelucrate, scopul prelucrării și perioada de păstrare a datelor operaționale cu caracter personal sau periodicitatea cu care este examinată necesitatea ca datele operaționale respective cu caracter personal să fie păstrate în continuare.

Articolul 73

Deosebirea dintre diferitele categorii de persoane vizate

După caz și în măsura posibilului, operatorul face o distincție clară între datele operaționale cu caracter personal ale diferitelor categorii de persoane vizate, precum categoriile enumerate în actele juridice de instituire a organelor, oficiilor și agențiilor Uniunii.

Articolul 74

Deosebirea diferitelor tipuri de date operaționale cu caracter personal și verificarea calității datelor operaționale cu caracter personal

(1)   Operatorul face deosebirea, în măsura posibilului, între datele operaționale cu caracter personal ce se bazează pe fapte și datele operaționale cu caracter personal ce se bazează pe o apreciere personală.

(2)   Operatorul ia toate măsurile rezonabile pentru a se asigura că datele operaționale cu caracter personal care sunt inexacte, incomplete sau perimate nu sunt transmise sau puse la dispoziție. În acest scop, operatorul verifică, în măsura în care este posibil și relevant, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziție, de exemplu consultând autoritatea competentă de la care provin datele. În măsura în care acest lucru este posibil, de fiecare dată când transmite date operaționale cu caracter personal, operatorul adaugă informațiile necesare care să-i permită destinatarului să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate al datelor operaționale cu caracter personal, precum și măsura în care acestea sunt actuale.

(3)   În cazul în care se constată că au fost transmise date operaționale cu caracter personal incorecte sau au fost transmise date operaționale cu caracter personal în mod ilegal, acest lucru se comunică de îndată destinatarului. În acest caz, datele operaționale cu caracter personal respective sunt rectificate ori șterse sau prelucrarea lor este limitată în conformitate cu articolul 82.

Articolul 75

Condiții specifice de prelucrare

(1)   Atunci când dreptul Uniunii aplicabilă operatorului care transmite datele prevede condiții specifice de prelucrare, operatorul informează destinatarul datelor operaționale cu caracter personal cu privire la aceste condiții și la obligația de a le respecta.

(2)   Operatorul respectă condițiile specifice de prelucrare prevăzute de autoritatea națională competentă care transmite datele în conformitate cu articolul 9 alineatele (3) și (4) din Directiva (UE) 2016/680.

Articolul 76

Prelucrarea categoriilor speciale de date operaționale cu caracter personal

(1)   Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice și afilierea sindicală, precum și prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor operaționale cu caracter personal privind starea sănătății sau viața sexuală ori orientarea sexuală a unei persoane fizice este autorizată numai atunci când este strict necesară în scopuri operaționale și se încadrează în mandatul respectivului organ, oficiu sau agenție a Uniunii și sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate. Este interzisă discriminarea persoanelor fizice pe baza acestor date cu caracter personal.

(2)   Responsabilul cu protecția datelor este informat imediat cu privire la cazurile în care se aplică prezentul articol.

Articolul 77

Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1)   O decizie bazată numai pe prelucrarea automatizată, inclusiv întocmirea unui profil, care produce un efect juridic advers privind persoana vizată sau care o afectează în mod semnificativ, este interzisă, cu excepția cazului în care acest lucru este autorizat de dreptul Uniunii care îl vizează pe operator și care oferă garanții adecvate privind drepturile și libertățile persoanei vizate, cel puțin privind dreptul la o intervenție umană din partea operatorului.

(2)   Deciziile menționate la alineatul (1) din prezentul articol nu se întemeiază pe categoriile speciale de date cu caracter personal menționate la articolul 76, cu excepția cazului în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăților și a intereselor legitime ale persoanei vizate.

(3)   În conformitate cu dreptul Uniunii, este interzisă crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza categoriilor speciale de date cu caracter personal menționate la articolul 76.

Articolul 78

Comunicarea și modalitățile de exercitare a drepturilor persoanei vizate

(1)   Operatorul ia măsuri rezonabile pentru a transmite persoanei vizate toate informațiile menționate la articolul 79 și îi transmite acesteia toate comunicările în legătură cu articolele 80-84 și cu articolul 92 referitoare la prelucrare, într-o formă concisă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Informațiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regulă generală, operatorul transmite informațiile în același format în care a fost primită cererea.

(2)   Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 79-84.

(3)   Operatorul informează în scris persoana vizată cu privire la modul în care a dat curs cererii acesteia, fără întârzieri nejustificate și, în orice caz, în termen de trei luni de la primirea cererii din partea persoanei vizate.

(4)   Operatorul transmite gratuit informațiile vizate la articolul 79 și realizează gratuit comunicările și măsurile prevăzute la articolele 80-84 și la articolul 92. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate refuza să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(5)   În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolul 80 sau 82, operatorul poate solicita să-i prezinte informații suplimentare, necesare pentru a confirma identitatea persoanei vizate.

Articolul 79

Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia

(1)   Operatorul pune la dispoziția persoanei vizate cel puțin următoarele informații:

(a)

identitatea și datele de contact ale organului, oficiului sau agenției Uniunii;

(b)

datele de contact ale responsabilului cu protecția datelor;

(c)

scopul în care sunt prelucrate datele operaționale cu caracter personal;

(d)

dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor și datele de contact ale acesteia;

(e)

existența dreptului de a solicita operatorului acces la datele operaționale cu caracter personal referitoare la persoana vizată și rectificarea sau ștergerea datelor respective sau restricționarea prelucrării lor.

(2)   În plus față de informațiile menționate la alineatul (1), operatorul îi comunică persoanei vizate, în anumite cazuri prevăzute de legislația Uniunii, următoarele informații suplimentare, pentru a-i permite acesteia să-și exercite drepturile:

(a)

temeiul juridic al prelucrării;

(b)

perioada în care vor fi păstrate datele operaționale cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(c)

dacă este cazul, categoriile de destinatari ai datelor operaționale cu caracter personal, inclusiv în țări terțe sau organizații internaționale;

(d)

în cazul în care este necesar, informații suplimentare, în special atunci când datele operaționale cu caracter personal sunt colectate fără știrea persoanei vizate.

(3)   Operatorul poate amâna, restricționa sau omite furnizarea de informații persoanei vizate în conformitate cu alineatul (2) în măsura în care și atât timp cât o astfel de măsură constituie o măsură necesară și proporțională într-o societate democratică, ținând seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice în cauză, pentru:

(a)

a evita obstrucționarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)

a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)

a proteja securitatea publică a statelor membre;

(d)

a proteja securitatea națională a statelor membre;

(e)

a proteja drepturile și libertățile altora, de exemplu ale victimelor și martorilor.

Articolul 80

Dreptul de acces al persoanei vizate

Persoana vizată are dreptul de a obține din partea operatorului o confirmare dacă se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, are dreptul de a obține acces la datele operaționale cu caracter personal și la următoarele informații:

(a)

scopurile și temeiul juridic al prelucrării;

(b)

categoriile datelor operaționale cu caracter personal vizate;

(c)

destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele operaționale cu caracter personal, în special destinatarii din țări terțe sau organizații internaționale;

(d)

acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele operaționale cu caracter personal sau, dacă nu este posibil, criteriile utilizate pentru a determina această perioadă;

(e)

existența dreptului de a solicita de la operator rectificarea sau ștergerea datelor operaționale cu caracter personal sau restricționarea prelucrării datelor operaționale cu caracter personal referitoare la persoana vizată;

(f)

dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor și datele de contact ale acesteia;

(g)

comunicarea datelor operaționale cu caracter personal care sunt în curs de prelucrare și a oricăror informații disponibile cu privire la originea acestora.

Articolul 81

Limitarea dreptului de acces

(1)   Operatorul poate limita, integral sau parțial, dreptul de acces al persoanei vizate în măsura în care și atât timp cât o astfel de limitare, parțială sau totală, constituie o măsură necesară și proporțională într-o societate democratică, ținând seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice în cauză, pentru:

(a)

a evita obstrucționarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)

a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)

a proteja securitatea publică a statelor membre;

(d)

a proteja securitatea națională a statelor membre;

(e)

a proteja drepturile și libertățile altora, de exemplu ale victimelor și martorilor.

(2)   În cazurile prevăzute la alineatul (1), operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la orice refuz sau restricționare a accesului și la motivele refuzului sau ale restricționării. Aceste informații pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție. Operatorul justifică motivele de fapt sau de drept pe care se întemeiază decizia. Aceste informații sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

Articolul 82

Dreptul la rectificarea sau ștergerea datelor operaționale cu caracter personal și restricționarea prelucrării acestora

(1)   Orice persoană vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor operaționale cu caracter personal inexacte care o privesc. Ținându-se seama de scopul prelucrării datelor, persoana vizată are dreptul de a obține completarea datelor operaționale cu caracter personal care sunt incomplete, inclusiv prin transmiterea unei declarații suplimentare.

(2)   Operatorul șterge datele operaționale cu caracter personal fără întârzieri nejustificate, iar persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor operaționale cu caracter personal care o privesc fără întârzieri nejustificate în cazul în care prelucrarea încalcă dispozițiile articolului 71, articolului 72 alineatul (1) sau ale articolului 76 sau în cazul în care datele operaționale cu caracter personal trebuie șterse pentru îndeplinirea unei obligații legale ce îi revine operatorului.

(3)   În loc de ștergere, operatorul restricționează prelucrarea în cazul în care:

(a)

exactitatea datelor cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilită; sau

(b)

datele cu caracter personal trebuie să fie păstrate ca mijloace de probă.

În cazul în care prelucrarea este restricționată în conformitate cu litera (a) de la primul paragraf, operatorul informează persoana vizată înainte de ridicarea restricțiilor de prelucrare.

Datele restricționate se prelucrează doar în scopul pentru care nu au fost șterse.

(4)   Operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ștergere a datelor operaționale cu caracter personal sau la restricționarea prelucrării și motivele refuzului. Operatorul poate restricționa, integral sau parțial, furnizarea unor astfel de informații în măsura în care o astfel de restricționare constituie o măsură necesară și proporțională într-o societate democratică, ținând seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate pentru:

(a)

a evita obstrucționarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)

a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)

a proteja securitatea publică a statelor membre;

(d)

a proteja securitatea națională a statelor membre;

(e)

a proteja drepturile și libertățile altora, de exemplu ale victimelor și martorilor.

Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție.

(5)   Operatorul comunică rectificarea datelor operaționale cu caracter personal inexacte autorității competente de la care provin datele operaționale cu caracter personal inexacte.

(6)   În cazul în care datele operaționale cu caracter personal au fost rectificate sau șterse sau a fost restricționată prelucrarea lor în temeiul alineatului (1), (2) sau (3), operatorul aduce la cunoștința destinatarilor aceste fapte și îi informează că trebuie să rectifice sau să șteargă datele operaționale cu caracter personal sau să restricționeze prelucrarea datelor operaționale cu caracter personal aflate în responsabilitatea lor.

Articolul 83

Dreptul de acces în cadrul anchetelor penale și al procedurilor penale

În cazul în care datele operaționale cu caracter personal provin de la o autoritate competentă, organele, oficiile și agențiile Uniunii verifică la autoritatea competentă în cauză, înainte de a lua o decizie cu privire la dreptul de acces al persoanei vizate, dacă aceste date cu caracter personal sunt incluse într-o hotărâre judiciară, într-un registru sau într-o cauză judiciară prelucrată în cadrul unor anchete penale și al unor proceduri penale din statul membru al autorității competente în cauză. Dacă răspunsul este afirmativ, se ia o decizie cu privire la dreptul de acces în consultare și în strânsă cooperare cu autoritatea competentă în cauză.

Articolul 84

Exercitarea drepturilor de către persoana vizată și verificarea de către Autoritatea Europeană pentru Protecția Datelor

(1)   În cazurile menționate la articolul 79 alineatul (3), articolul 81 și articolul 82 alineatul (4), drepturile persoanei vizate pot fi exercitate și prin intermediul Autorității Europene pentru Protecția Datelor.

(2)   Operatorul informează persoana vizată cu privire la posibilitatea de a-și exercita drepturile prin intermediul Autorității Europene pentru Protecția Datelor în temeiul alineatului (1).

(3)   Atunci când dreptul menționat la alineatul (1) este exercitat, Autoritatea Europeană pentru Protecția Datelor informează persoana vizată cel puțin cu privire la faptul că a realizat toate verificările necesare sau o analiză. Autoritatea Europeană pentru Protecția Datelor informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac în fața Curții de Justiție.

Articolul 85

Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

(1)   Având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare și natura, amploarea, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și de gravitate la adresa drepturilor și libertăților persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât și la momentul prelucrării propriu-zise, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficace principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și ale actului juridic de instituire care îl vizează pe operator, precum și pentru a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice corespunzătoare pentru a asigura că, în mod implicit, sunt prelucrate numai date operaționale cu caracter personal care sunt adecvate și pertinente și nu sunt excesive în raport cu scopul în care sunt prelucrate. Această obligație se aplică volumului de date operaționale cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de păstrare și accesibilității lor. În special, astfel de măsuri garantează că, în mod implicit, datele operaționale cu caracter personal nu pot fi accesate de un număr nelimitat de persoane fizice fără intervenția persoanei vizate.

Articolul 86

Operatorii asociați

(1)   În cazul în care doi sau mai mulți operatori sau unul sau mai mulți operatori împreună cu unul sau mai mulți operatori, alții decât instituții și organe ale Uniunii, stabilesc în comun scopurile și mijloacele prelucrării, aceștia sunt operatori asociați. Aceștia stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în materie de protecție a datelor, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecărui operator de a transmite informațiile prevăzute la articolul 79, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor asociați sunt stabilite în dreptul Uniunii sau în dreptul intern al statelor membre care se aplică operatorilor asociați. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

(2)   Acordul menționat la alineatul (1) reflectă în mod corespunzător rolurile respective ale operatorilor asociați și raporturile lor cu persoana vizată. Esența acestui acord este făcută cunoscută persoanei vizate.

(3)   Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își poate exercita drepturile în temeiul prezentului regulament cu privire la fiecare dintre operatori și în raport cu fiecare dintre operatori.

Articolul 87

Persoana împuternicită de operator

(1)   În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și în actul juridic de instituire a operatorului și să asigure protecția drepturilor persoanei vizate.

(2)   Persoana împuternicită de operator nu recrutează o altă persoană împuternicită fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizații generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificare preconizată privind adăugarea sau înlocuirea altor persoane împuternicite, oferind astfel operatorului posibilitatea de a formula obiecții față de aceste modificări.

(3)   Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date operaționale cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:

(a)

acționează numai pe baza instrucțiunilor operatorului;

(b)

se asigură că persoanele autorizate să prelucreze datele operaționale cu caracter personal s-au angajat să respecte confidențialitatea sau fac obiectul unei obligații statutare corespunzătoare de confidențialitate;

(c)

asistă operatorul prin orice mijloace adecvate pentru a asigura respectarea dispozițiilor privind drepturile persoanei vizate;

(d)

la alegerea operatorului, șterge sau returnează operatorului toate datele operaționale cu caracter personal după încetarea serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune păstrarea datelor operaționale cu caracter personal;

(e)

pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol;

(f)

respectă condițiile menționate la alineatul (2) și la prezentul alineat pentru recrutarea unei alte persoane împuternicite.

(4)   Contractul sau un alt act juridic menționat la alineatul (3) se întocmește în scris, inclusiv în format electronic.

(5)   În cazul în care o persoană împuternicită de către operator încalcă prezentul regulament sau actul juridic de instituire a operatorului prin stabilirea scopurilor și mijloacelor prelucrării, persoana împuternicită este considerată ca fiind operator în ceea ce privește prelucrarea respectivă.

Articolul 88

Înregistrarea

(1)   Operatorul înregistrează oricare dintre următoarele operațiuni de prelucrare în sistemele de prelucrare automată: colectarea, modificarea, accesul, consultarea, divulgarea (inclusiv transferurile), combinarea și ștergerea de date operaționale cu caracter personal. Înregistrările consultărilor și ale dezvăluirilor fac posibilă determinarea motivelor, a datei și a orei efectuării acestor operațiuni, identificarea persoanei care a consultat sau a dezvăluit date operaționale cu caracter personal și, în măsura în care este posibil, identitatea destinatarilor acestor date operaționale cu caracter personal.

(2)   Înregistrările sunt utilizate numai pentru verificarea legalității prelucrării, monitorizare proprie, asigurarea integrității și a securității datelor operaționale cu caracter personal și în cadrul unor proceduri penale. Aceste înregistrări sunt șterse după trei ani, cu excepția cazului în care sunt necesare pentru un control în curs.

(3)   Operatorul pune înregistrările la dispoziția responsabilului cu protecția datelor din cadrul său și la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

Articolul 89

Evaluarea impactului asupra protecției datelor

(1)   În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, și ținând seama de natura, amploarea, contextul și scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul efectuează, înainte de prelucrare, o evaluare a impactului operațiunilor de prelucrare preconizate asupra protecției datelor operaționale cu caracter personal.

(2)   Evaluarea menționată la alineatul (1) cuprinde cel puțin o descriere generală a operațiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, măsurile preconizate în vederea eliminării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor operaționale cu caracter personal și să demonstreze respectarea normelor de protecție a datelor, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate.

Articolul 90

Consultarea prealabilă a Autorității Europene pentru Protecția Datelor

(1)   Operatorul consultă Autoritatea Europeană pentru Protecția Datelor înainte de prelucrarea care va face parte dintr-un nou sistem de evidență care urmează a fi creat, în cazul în care:

(a)

o evaluare a impactului asupra protecției datelor, în temeiul articolului 89, indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri din partea operatorului pentru atenuarea riscului; sau

(b)

tipul de prelucrare, în special în cazul în care se utilizează noi tehnologii, mecanisme sau proceduri, implică un risc ridicat la adresa drepturilor și libertăților persoanelor vizate.

(2)   Autoritatea Europeană pentru Protecția Datelor poate stabili o listă a operațiunilor de prelucrare care fac obiectul consultării prealabile în conformitate cu alineatul (1).

(3)   Operatorul transmite Autorității Europene pentru Protecția Datelor evaluarea impactului asupra protecției datelor menționată la articolul 89 și, la cererea acesteia, orice altă informație care îi permite Autorității Europene pentru Protecția Datelor să evalueze conformitatea prelucrării și, în special, riscurile la adresa protecției datelor operaționale cu caracter personal ale persoanei vizate și garanțiile aferente.

(4)   Atunci când Autoritatea Europeană pentru Protecția Datelor consideră că prelucrarea preconizată, menționată la alineatul (1), ar încălca dispozițiile prezentului regulament sau ale actului juridic de instituire a organului, oficiului sau agenției Uniunii, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecția Datelor îi transmite operatorului recomandări scrise în termen de cel mult șase săptămâni de la primirea cererii de consultare. Termenul menționat poate fi prelungit cu o lună, ținându-se seama de complexitatea prelucrării preconizate. Autoritatea Europeană pentru Protecția Datelor informează operatorul cu privire la o astfel de prelungire în termen de o lună de la primirea cererii de consultare, prezentând motivele întârzierii.

Articolul 91

Securitatea prelucrării datelor operaționale cu caracter personal

(1)   Având în vedere stadiul actual al tehnologiei și costurile implementării și ținând seama de natura, amploarea, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și de gravitate la adresa drepturilor și libertăților persoanelor fizice, operatorul și persoana împuternicită de operator pun în aplicare măsuri tehnice și organizatorice corespunzătoare în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce privește prelucrarea categoriilor speciale de date operaționale cu caracter personal.

(2)   În ceea ce privește prelucrarea automată, operatorul și persoana împuternicită de operator pun în aplicare, în urma unei evaluări a riscurilor, măsuri menite:

(a)

să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor utilizate pentru prelucrare („controlul accesului la echipamente”);

(b)

să împiedice citirea, copierea, modificarea sau îndepărtarea neautorizată a suporturilor de date („controlul suporturilor de date”);

(c)

să împiedice introducerea neautorizată de date operaționale cu caracter personal și inspectarea, modificarea sau ștergerea neautorizată a datelor operaționale cu caracter personal stocate („controlul stocării”);

(d)

să împiedice utilizarea sistemelor de prelucrare automată de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor („controlul utilizatorului”);

(e)

să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată au acces numai la datele operaționale cu caracter personal vizate de autorizația lor de acces („controlul accesului la date”);

(f)

să asigure că este posibilă verificarea și identificarea organismelor cărora le-au fost transmise sau puse la dispoziție sau s-ar putea să le fie transmise sau puse la dispoziție date operaționale cu caracter personal utilizându-se comunicarea datelor („controlul comunicării”);

(g)

să asigure posibilitatea verificării și determinării ulterioare a datelor operaționale cu caracter personal care au fost introduse în sisteme de prelucrare automată a datelor, precum și a datei în care au fost introduse datele operaționale cu caracter personal și a persoanei care le-a introdus („controlul introducerii datelor”);

(h)

să împiedice consultarea, copierea, modificarea sau ștergerea neautorizată a datelor operaționale cu caracter personal pe parcursul transferurilor de date operaționale cu caracter personal sau pe parcursul transportului suporturilor de date („controlul transportului”);

(i)

să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi („recuperarea”);

(j)

să asigure funcționarea sistemului, raportarea defecțiunilor de funcționare („fiabilitate”) și imposibilitatea coruperii datelor operaționale cu caracter personal stocate, din cauza funcționării defectuoase a sistemului („integritate”).

Articolul 92

Notificarea Autorității Europene pentru Protecția Datelor a unei încălcări a securității datelor cu caracter personal

(1)   În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru Autorității Europene pentru Protecția Datelor, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea Autorității Europene pentru Protecția Datelor nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație privind motivele întârzierii.

(2)   Notificarea menționată la alineatul (1) trebuie cel puțin:

(a)

să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ de persoane vizate, precum și categoriile și numărul aproximativ de înregistrări de date operaționale cu caracter personal vizate;

(b)

să comunice numele și datele de contact ale responsabilului cu protecția datelor;

(c)

să descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

(d)

să descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(3)   Atunci când și în măsura în care nu este posibil să se pună la dispoziție informațiile menționate la alineatul (2) în același timp, acestea pot fi transmise în mai multe etape, fără întârzieri nejustificate.

(4)   Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal menționate la alineatul (1), care cuprind o descriere a situației în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație îi permite Autorității Europene pentru Protecția Datelor să verifice respectarea prezentului articol.

(5)   În cazul în care încălcarea securității datelor operaționale cu caracter personal vizează date cu caracter personal care au fost transmise de către autoritățile competente sau autorităților competente, operatorul comunică fără întârzieri nejustificate informațiile menționate la alineatul (2) autorităților competente în cauză.

Articolul 93

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)   În cazul în care încălcarea securității datelor cu caracter personal este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

(2)   Informarea persoanei vizate menționată la alineatul (1) din prezentul articol include o descriere, într-un limbaj simplu și clar, a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și recomandările prevăzute la articolul 92 alineatul (2) literele (b), (c) și (d).

(3)   Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiții:

(a)

operatorul a pus în aplicare măsuri tehnologice și organizatorice adecvate de protecție, iar aceste măsuri au fost aplicate datelor operaționale cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele operaționale cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

(b)

operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor și libertăților persoanelor vizate menționat la alineatul (1) nu mai este susceptibil să se materializeze;

(c)

aceasta ar necesita un efort disproporționat. În acest caz, informarea se înlocuiește printr-o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

(4)   În cazul în care operatorul nu a comunicat deja persoanei vizate încălcarea securității datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor poate să îi solicite operatorului, după ce analizează probabilitatea ca încălcarea securității datelor cu caracter personal să ducă la apariția unui risc ridicat, să facă acest lucru sau poate decide că este îndeplinită oricare dintre condițiile menționate la alineatul (3).

(5)   Informarea persoanei vizate menționată la alineatul (1) din prezentul articol poate fi amânată, restricționată sau omisă, sub rezerva condițiilor și a motivelor menționate la articolul 79 alineatul (3).

Articolul 94

Transferul de date operaționale cu caracter personal către țări terțe și organizații internaționale

(1)   Sub rezerva restricțiilor și a condițiilor prevăzute în actele juridice de instituire a organului, oficiului sau agenției Uniunii, operatorul poate să transfere datele operaționale cu caracter personal unei autorități dintr-o țară terță sau unei organizații internaționale în măsura în care acest transfer este necesar pentru executarea de către operator a sarcinilor sale și numai dacă sunt îndeplinite condițiile prevăzute la prezentul articol, și anume:

(a)

Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 36 alineatul (3) din Directiva (UE) 2016/680, conform căreia țara terță sau un teritoriu sau un sector de prelucrare din țara terță respectivă ori organizația internațională în cauză asigură un nivel adecvat de protecție;

(b)

în cazul în care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecție în temeiul literei (a), a fost încheiat un acord internațional între Uniune și țara terță sau organizația internațională respectivă în temeiul articolului 218 din TFUE, în care se prevăd garanții adecvate în ceea ce privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor fizice;

(c)

în cazul în care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecție în temeiul literei (a) sau nu a fost încheiat un acord internațional în temeiul literei (b), a fost încheiat un acord de cooperare care permite schimburile de date operaționale cu caracter personal înainte de data aplicării actului juridic de instituire a organului, oficiului sau agenției Uniunii în cauză, între respectivul organ, oficiu sau agenție a Uniunii și țara terță în cauză.

(2)   Actele juridice de instituire a organelor, oficiilor și agențiilor Uniunii pot menține sau introduce dispoziții mai specifice privind condițiile pentru transferurile internaționale de date operaționale cu caracter personal, în special privind transferurile care fac obiectul unor garanții corespunzătoare și derogări pentru situații specifice.

(3)   Operatorul publică și menține la zi pe site-ul său de internet o listă care conține deciziile privind caracterul adecvat menționate la alineatul (1) litera (a), acordurile, mecanismele administrative și alte instrumente legate de transferul de date operaționale cu caracter personal în conformitate cu alineatul (1).

(4)   Operatorul ține o evidență detaliată a tuturor transferurilor efectuate în temeiul prezentului articol.

Articolul 95

Caracterul secret al anchetelor judiciare și al procedurilor penale

Actele juridice de instituire a organelor, oficiilor sau agențiilor Uniunii referitoare la activitățile care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE pot să oblige Autoritatea Europeană pentru Protecția Datelor să țină seama în cel mai strict mod, atunci când își exercită competențele de supraveghere, de caracterul secret al anchetelor judiciare și al procedurilor penale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

CAPITOLUL X

ACTE DE PUNERE ÎN APLICARE

Articolul 96

Procedura comitetului

(1)   Comisia este asistată de comitetul instituit prin articolul 93 din Regulamentul (UE) 2016/679. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2)   Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

CAPITOLUL XI

REVIZUIREA

Articolul 97

Clauză de revizuire

Până la 30 aprilie 2022 și, ulterior, o dată la cinci ani, Comisia prezintă Parlamentului European și Consiliului un raport privind aplicarea prezentului regulament, însoțit, dacă este necesar, de propuneri legislative corespunzătoare.

Articolul 98

Revizuirea actelor juridice ale Uniunii

(1)   Până la 30 aprilie 2022, Comisia analizează actele juridice adoptate în temeiul tratatelor, care reglementează prelucrarea datelor operaționale cu caracter personal de organele, oficiile și agențiile Uniunii atunci când desfășoară activități care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE, pentru:

(a)

a le evalua coerența cu Directiva (UE) 2016/680 și cu capitolul IX din prezentul regulament;

(b)

a depista eventuale discrepanțe care pot să împiedice schimbul de date operaționale cu caracter personal între organele, oficiile și agențiile Uniunii atunci când desfășoară activități în domeniile respective și autoritățile competente; și

(c)

a depista orice discrepanțe care pot să genereze o fragmentare juridică în Uniune a legislației privind protecția datelor.

(2)   Pe baza rezultatelor acestei analize, în vederea asigurării unei protecții uniforme și consecvente a persoanelor fizice în ceea ce privește prelucrarea, Comisia poate să prezinte propuneri legislative corespunzătoare, în special în vederea aplicării capitolului IX din prezentul regulament Europol și Parchetului European și care să includă, dacă este necesar, propuneri de adaptare a capitolului IX din prezentul regulament.

CAPITOLUL XII

DISPOZIȚII FINALE

Articolul 99

Abrogarea Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE

Regulamentul (CE) nr. 45/2001 și Decizia nr. 1247/2002/CE se abrogă cu efect de la 11 decembrie 2018. Trimiterile la regulamentul și decizia abrogate se interpretează ca trimiteri la prezentul regulament.

Articolul 100

Măsuri tranzitorii

(1)   Decizia 2014/886/UE a Parlamentului European și a Consiliului (20) și actualul mandat al Autorității Europene pentru Protecția Datelor și al adjunctului acesteia nu sunt afectate de prezentul regulament.

(2)   Adjunctul autorității este asimilat grefierului Curții de Justiție în ceea ce privește stabilirea remunerației, a indemnizațiilor, a pensiei pentru limită de vârstă și a oricăror alte prestații care țin loc de remunerație.

(3)   Articolul 53 alineatele (4), (5) și (7), precum și articolele 55 și 56 din prezentul regulament se aplică adjunctului actual al autorității până la sfârșitul mandatului său.

(4)   Adjunctul autorității asistă Autoritatea Europeană pentru Protecția Datelor în îndeplinirea atribuțiilor acesteia din urmă și o înlocuiește atunci când este absentă sau nu își poate îndeplini atribuțiile respective, până la sfârșitul mandatului adjunctului autorității.

Articolul 101

Intrarea în vigoare și aplicarea

(1)   Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2)   Cu toate acestea, prezentul regulament se aplică prelucrării datelor cu caracter personal de către Eurojust de la 12 decembrie 2019.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Strasbourg, 23 octombrie 2018.

Pentru Parlamentul European

Președintele

A. TAJANI

Pentru Consiliu

Președintele

K. EDTSTADLER


(1)  JO C 288, 31.8.2017, p. 107.

(2)  Poziția Parlamentului European din 13 septembrie 2018 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 11 octombrie 2018.

(3)  Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(4)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1.).

(5)  Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).

(6)  Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).

(7)  Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70).

(8)  Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).

(9)  Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).

(10)  JO L 56, 4.3.1968, p. 1.

(11)  Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(12)  Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).

(13)  Decizia nr. 1247/2002/CE a Parlamentului European, a Consiliului și a Comisiei din 1 iulie 2002 privind statutul și condițiile generale de exercitare a atribuțiilor Autorității Europene pentru Protecția Datelor (JO L 183, 12.7.2002, p. 1).

(14)  JO C 164, 24.5.2017, p. 2.

(15)  Regulamentul (UE) 2016/794 al Parlamentului European și al Consiliului din 11 mai 2016 privind Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) și de înlocuire și de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI și 2009/968/JAI ale Consiliului (JO L 135, 24.5.2016, p. 53).

(16)  Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO) (JO L 283, 31.10.2017, p. 1).

(17)  Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informații în domeniul reglementărilor tehnice și al normelor privind serviciile societății informaționale (JO L 241, 17.9.2015, p. 1).

(18)  Directiva 2008/63/CE a Comisiei din 20 iunie 2008 privind concurența pe piețele echipamentelor terminale pentru telecomunicații (JO L 162, 21.6.2008, p. 20).

(19)  Decizia 2009/917/JAI a Consiliului din 30 noiembrie 2009 privind utilizarea tehnologiei informației în domeniul vamal (JO L 323, 10.12.2009, p. 20).

(20)  Decizia 2014/886/UE a Parlamentului European și a Consiliului din 4 decembrie 2014 de numire a Autorității Europene pentru Protecția Datelor și a adjunctului acesteia (JO L 351, 9.12.2014, p. 9).


21.11.2018   

RO

Jurnalul Oficial al Uniunii Europene

L 295/99


REGULAMENTUL (UE) 2018/1726 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 14 noiembrie 2018

privind Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) și de modificare a Regulamentului (CE) nr. 1987/2006 și a Deciziei 2007/533/JAI a Consiliului, precum și de abrogare a Regulamentului (UE) nr. 1077/2011

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 74, articolul 77 alineatul (2) literele (a) și (b), articolul 78 alineatul (2) litera (e), articolul 79 alineatul (2) litera (c), articolul 82 alineatul (1) litera (d), articolul 85 alineatul (1), articolul 87 alineatul (2) litera (a) și articolul 88 alineatul (2),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

hotărând în conformitate cu procedura legislativă ordinară (1),

întrucât:

(1)

Sistemul de Informații Schengen (SIS II) a fost instituit prin Regulamentul (CE) nr. 1987/2006 al Parlamentului European și al Consiliului (2) și prin Decizia 2007/533/JAI a Consiliului (3). Regulamentul (CE) nr. 1987/2006 și Decizia 2007/533/JAI prevăd faptul că, pentru o perioadă de tranziție, Comisia este responsabilă de gestionarea operațională a Sistemului central SIS II (SIS II central). După perioada de tranziție respectivă, o autoritate de gestionare urmează să fie responsabilă de gestionarea operațională a SIS II central și de anumite aspecte ale infrastructurii de comunicații.

(2)

Sistemul de informații privind vizele (VIS) a fost instituit prin Decizia 2004/512/CE a Consiliului (4). Regulamentul (CE) nr. 767/2008 al Parlamentului European și al Consiliului (5) prevede faptul că, pentru o perioadă de tranziție, Comisia este responsabilă de gestionarea operațională a VIS. După perioada de tranziție respectivă, o autoritate de administrare urmează să fie responsabilă de gestionarea operațională a VIS central și a interfețelor naționale și a anumitor aspecte ale infrastructurii de comunicații.

(3)

Eurodac a fost instituit prin Regulamentul (CE) nr. 2725/2000 al Consiliului (6). Regulamentul (CE) nr. 407/2002 al Consiliului (7) a stabilit normele de punere în aplicare necesare. Actele juridice respective au fost abrogate și înlocuite prin Regulamentul (UE) nr. 603/2013 al Parlamentului European și al Consiliului (8), începând din 20 iulie 2015.

(4)

Agenția europeană pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție, denumită în mod obișnuit eu-LISA, a fost instituită prin Regulamentul (UE) nr. 1077/2011 al Parlamentului European și al Consiliului (9) pentru a asigura gestionarea operațională a SIS, VIS și Eurodac și a anumitor aspecte legate de infrastructurile lor de comunicații și, eventual, gestionarea altor sisteme informatice la scară largă în spațiul de libertate, securitate și justiție, sub rezerva adoptării unor acte juridice separate ale Uniunii. Regulamentul (UE) nr. 1077/2011 a fost modificat prin Regulamentul (UE) nr. 603/2013 pentru a reflecta modificările aduse Eurodac.

(5)

Deoarece autoritatea de gestionare a necesitat autonomie juridică, administrativă și financiară, aceasta a fost înființată sub forma unei agenții de reglementare (denumită în continuare „agenția”) cu personalitate juridică. Astfel cum s-a convenit, sediul agenției a fost stabilit la Tallinn, Estonia. Cu toate acestea, întrucât atribuțiile legate de dezvoltarea tehnică și pregătirea pentru gestionarea operațională a SIS II și VIS erau deja asigurate la Strasbourg, în Franța, iar la Sankt Johann im Pongau, în Austria, fusese instalat un amplasament de rezervă pentru aceste sisteme, în conformitate, de asemenea, cu localizarea sistemelor SIS II și VIS în temeiul actelor juridice relevante ale Uniunii, situația ar trebui să se mențină la fel. Cele două amplasamente ar trebui să fie în continuare, de asemenea, locațiile unde urmează a fi îndeplinite atribuțiile legate de gestionarea operațională a Eurodac și în care urmează a fi înființat un amplasament de rezervă pentru Eurodac. Cele două amplasamente ar trebui să fie, de asemenea, locațiile pentru dezvoltarea tehnică și gestionarea operațională a altor sisteme informatice la scară largă din spațiul de libertate, securitate și justiție și pentru un amplasament de rezervă capabil să asigure funcționarea unui sistem informatic la scară largă în eventualitatea defectării sistemului informatic la scară largă respectiv. Pentru a maximiza eventuala utilizare a amplasamentului de rezervă, respectivul amplasament ar putea fi utilizat și pentru funcționarea simultană a sistemelor, cu condiția să își păstreze capacitatea de a asigura funcționarea lor în cazul defectării unuia sau mai multor sisteme. Datorită naturii specifice a sistemelor, care se caracterizează printr-un nivel înalt de securitate și o disponibilitate ridicată și sunt indispensabile îndeplinirii misiunii agenției, în cazul în care capacitățile de găzduire ale amplasamentelor tehnice existente devin insuficiente, Consiliul de administrație al agenției (Consiliul de administrație) ar trebui să aibă posibilitatea, dacă acest lucru este justificat pe baza unei evaluări independente a impactului și a unei analize costuri-beneficii, de a propune stabilirea unui al doilea amplasament tehnic separat, fie la Strasbourg, fie la Sankt Johann im Pongau sau în ambele locații, în funcție de necesități, pentru găzduirea sistemelor. Consiliul de administrație ar trebui să consulte Comisia și să ia în considerare punctele de vedere ale acesteia înainte de a informa Parlamentul European și Consiliul („autoritatea bugetară”) privind intenția sa de a pune în aplicare orice proiect legat de proprietate.

(6)

De la preluarea responsabilităților sale la 1 decembrie 2012, agenția a preluat atribuțiile conferite autorității de gestionare în ceea ce privește VIS prin Regulamentul (CE) nr. 767/2008 și prin Decizia 2008/633/JAI a Consiliului (10). În aprilie 2013, agenția a preluat și atribuțiile conferite autorității de gestionare în ceea ce privește SIS II prin Regulamentul (CE) nr. 1987/2006 și prin Decizia 2007/533/JAI, în urma lansării SIS II, iar în iunie 2013 a preluat atribuțiile conferite Comisiei în legătură cu Eurodac, în conformitate cu Regulamentele (CE) nr. 2725/2000 și (CE) nr. 407/2002.

(7)

Prima evaluare a activității agenției, pe baza unei evaluări externe independente, efectuată în perioada 2015-2016, a concluzionat că agenția asigură în mod efectiv gestionarea operațională a sistemelor informatice la scară largă și a altor atribuții care i-au fost încredințate, dar și că sunt necesare o serie de modificări ale Regulamentului (UE) nr. 1077/2011, cum ar fi transferul către agenție a atribuțiilor legate de infrastructura de comunicații, pe care Comisia le-a păstrat. Pe baza evaluării externe respective, Comisia a luat în considerare evoluțiile în materie de politică, juridice și factuale și a propus, în special în raportul său din 29 iunie 2017 privind funcționarea Agenției europene pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție (eu-LISA) (raportul de evaluare), extinderea mandatului agenției, pentru a-i permite îndeplinirea atribuțiilor care decurg din adoptarea de către colegiuitori a unor propuneri legislative prin care agenției i se încredințează noi sisteme și a atribuțiilor menționate în Comunicarea Comisiei din 6 aprilie 2016 intitulată „Sisteme de informații mai puternice și mai inteligente în materie de frontiere și securitate”, în raportul final din 11 mai 2017 al Grupului de experți la nivel înalt pentru sistemele de informații și interoperabilitate și în Comunicarea Comisiei din 16 mai 2017 intitulată „Al șaptelea raport referitor la progresele înregistrate pentru realizarea unei uniuni a securității efective și reale”, sub rezerva adoptării actelor juridice relevante ale Uniunii, atunci când este necesar. În special, agenției ar trebui să i se confere atribuții cu privire la dezvoltarea unor soluții de interoperabilitate, definite în Comunicarea din 6 aprilie 2016, drept capacitatea sistemelor de informații de a face schimb de date și de a permite punerea în comun a informațiilor. Dacă este cazul, orice acțiuni desfășurate în materie de interoperabilitate ar trebui să fie ghidate de Comunicarea Comisiei din 23 martie 2017 intitulată „Cadrul european de interoperabilitate – Strategie de implementare”. Anexa 2 la respectiva comunicare oferă orientări generale, recomandări și cele mai bune practici pentru realizarea interoperabilității sau cel puțin pentru crearea unui mediu care să favorizeze realizarea unei mai bune interoperabilități în ceea ce privește conceperea, punerea în aplicare și gestionarea serviciilor publice europene.

(8)

Raportul de evaluare a concluzionat, de asemenea, că mandatul agenției ar trebui să fie extins pentru a oferi statelor membre consiliere cu privire la conectarea sistemelor naționale la sistemele centrale ale sistemelor informatice la scară largă („sistemele”) și asistență și sprijin ad hoc, atunci când se solicită acest lucru, precum și pentru a oferi serviciilor Comisiei asistență și sprijin cu privire la aspecte tehnice legate de noile sisteme.

(9)

Agenției ar trebui să i se încredințeze pregătirea, dezvoltarea și gestionarea operațională a Sistemului de intrare/ieșire (EES), instituit prin Regulamentul (UE) 2017/2226 al Parlamentului European și al Consiliului (11).

(10)

Agenției ar trebui, de asemenea, să i se încredințeze gestionarea operațională a DubliNet, un canal separat de transmisie electronică securizată, instituit în temeiul articolului 18 din Regulamentul (CE) nr. 1560/2003 al Comisiei (12), pe care autoritățile competente din domeniul azilului ale statelor membre ar trebui să îl utilizeze pentru schimbul de informații cu privire la solicitanții de protecție internațională.

(11)

Agenției ar trebui, în plus, să i se încredințeze pregătirea, dezvoltarea și gestionarea operațională a Sistemului european de informații și de autorizare privind călătoriile (ETIAS) instituit prin Regulamentul (UE) 2018/1240 al Parlamentului European și al Consiliului (13).

(12)

Funcția centrală a agenției ar trebui să fie în continuare aceea de a îndeplini atribuțiile de gestionare operațională pentru SIS II, VIS, Eurodac, EES, DubliNet, ETIAS și, dacă se decide astfel, pentru alte sisteme informatice la scară largă în spațiul de libertate, securitate și justiție. Agenția ar trebui, de asemenea, să fie responsabilă de măsurile tehnice care decurg din atribuțiile ce nu au un caracter normativ care îi sunt încredințate. Aceste responsabilități nu ar trebui să aducă atingere atribuțiilor normative rezervate exclusiv Comisiei sau Comisiei asistate de un comitet în temeiul respectivelor acte juridice ale Uniunii care reglementează sistemele.

(13)

Agenția ar trebui să fie în măsură să aplice soluții tehnice pentru a respecta cerințele de disponibilitate prevăzute de actele juridice ale Uniunii care reglementează sistemele, cu respectarea deplină, în același timp, a dispozițiilor specifice ale actelor respective cu privire la arhitectura tehnică a sistemelor respective. În cazul în care soluțiile tehnice respective impun o duplicare a unui sistem sau a componentelor unui sistem, ar trebui să se realizeze o evaluare independentă de impact și o analiză costuri-beneficii, iar Consiliul de administrație ar trebui să ia o decizie în urma consultării Comisiei. Evaluarea de impact respectivă ar trebui să includă și o examinare a necesităților capacităților de găzduire ale amplasamentelor tehnice existente în legătură cu dezvoltarea unor astfel de soluții tehnice și posibilele riscuri legate de actualul cadru operațional.

(14)

Nu se mai justifică păstrarea de către Comisie a anumitor atribuții legate de infrastructura de comunicații a sistemelor și, prin urmare, respectivele atribuții ar trebui transferate către agenție pentru a îmbunătăți coerența gestionării infrastructurii de comunicații. Cu toate acestea, pentru sistemele care utilizează EuroDomain, o infrastructură de comunicații securizată oferită de TESTA-ng (noua generație de servicii transeuropene de telematică între administrații), constituită ca parte a programului ISA care a fost instituit prin Decizia nr. 922/2009/CE a Parlamentului European și a Consiliului (14) și continuată ca parte a programului ISA2 care a fost instituit prin Decizia (UE) 2015/2240 a Parlamentului European și a Consiliului (15), Comisia ar trebui să păstreze atribuțiile legate de execuția bugetară, de achiziții și de reînnoire, precum și de aspecte contractuale.

(15)

Agenția ar trebui să poată încredința atribuțiile legate de furnizarea, înființarea, întreținerea și monitorizarea infrastructurii de comunicații unor entități sau organisme externe din sectorul privat, în conformitate cu Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului (16). Agenția ar trebui să aibă la dispoziție un buget și resurse umane suficiente pentru a limita cât mai mult posibil necesitatea de a subcontracta atribuțiile și sarcinile sale unor entități sau organisme externe din sectorul privat.

(16)

Agenția ar trebui să îndeplinească în continuare atribuții legate de formarea privind utilizarea tehnică a SIS II, a VIS și a Eurodac, precum și a altor sisteme care îi vor fi încredințate în viitor.

(17)

Pentru a contribui la elaborarea de către Uniune a politicilor privind migrația și securitatea pe bază de elemente justificative și la monitorizarea funcționării corespunzătoare a sistemelor, agenția ar trebui să elaboreze și să publice statistici, precum și să producă rapoarte statistice și să le pună la dispoziția actorilor relevanți, în conformitate cu actele juridice ale Uniunii care reglementează sistemele, de exemplu pentru a monitoriza punerea în aplicare a Regulamentului (UE) nr. 1053/2013 al Consiliului (17) și în scopul elaborării analizei de risc și a evaluării vulnerabilității în conformitate cu Regulamentul (UE) 2016/1624 al Parlamentului European și al Consiliului (18).

(18)

Ar trebui să fie posibil ca agenția să fie responsabilă cu pregătirea, dezvoltarea și gestionarea operațională a unor sisteme informatice la scară largă suplimentare, în temeiul articolelor 67-89 din Tratatul privind funcționarea Uniunii Europene (TFUE). Printre posibilele exemple de astfel de sisteme s-ar putea număra sistemul central pentru identificarea statelor membre care dețin informații privind condamnările referitoare la persoanele din state terțe sau apatrizi pentru a completa și a sprijini sistemul european de informații privind cazierul judiciar (sistemul ECRIS-TCN) sau sistemul informatic pentru comunicarea transfrontalieră în cadrul procedurilor civile și penale (e-CODEX). Cu toate acestea, astfel de sisteme ar trebui încredințate agenției numai prin intermediul unor acte juridice ale Uniunii ulterioare și separate, precedate de o evaluare de impact.

(19)

Mandatul agenției în ceea ce privește cercetarea ar trebui extins pentru a spori capacitatea acesteia de a fi mai proactivă, sugerând modificări tehnice necesare și relevante ale sistemelor. Agenția ar trebui nu numai să monitorizeze activitățile de cercetare relevante pentru gestionarea operațională a sistemelor, dar și să poată contribui la punerea în aplicare a părților relevante ale Programului-cadru al Uniunii Europene pentru cercetare și inovare, în cazul în care Comisia deleagă competențele relevante agenției. Cel puțin o dată pe an, agenția ar trebui să furnizeze informații cu privire la o astfel de monitorizare Parlamentului European, Consiliului și, atunci când se referă la tratarea datelor cu caracter personal, Autorității Europene pentru Protecția Datelor.

(20)

Ar trebui să fie posibil pentru Comisie să încredințeze agenției atribuția de a fi responsabilă cu desfășurarea de proiecte-pilot de natură experimentală destinate să testeze fezabilitatea unei acțiuni și utilitatea acesteia, care pot fi implementate fără un act de bază în conformitate cu Regulamentul (UE, Euratom) 2018/1046. În plus, Comisia ar putea încredința agenției atribuții de execuție bugetară pentru validări de concept finanțate în temeiul instrumentului de sprijin financiar pentru frontiere externe și vize instituit de Regulamentul (UE) nr. 515/2014 al Parlamentului European și al Consiliului (19), în conformitate cu Regulamentul (UE, Euratom) 2018/1046, după ce a informat Parlamentul European. De asemenea, ar trebui să fie posibil ca agenția să poată planifica și pune în aplicare activități de testare cu privire la chestiuni strict reglementate de prezentul regulament și de actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor, cum ar fi testarea conceptelor de virtualizare. Atunci când i se atribuie desfășurarea unui proiect-pilot, agenția ar trebui să acorde o atenție deosebită strategiei Uniunii Europene de gestionare a informațiilor.

(21)

Agenția ar trebui, în ceea ce privește conectarea sistemelor naționale la sistemele centrale prevăzută în actele juridice ale Uniunii care reglementează sistemele, să ofere consiliere statelor membre, la cererea acestora.

(22)

De asemenea, agenția ar trebui să ofere sprijin ad hoc statelor membre, la cererea acestora, în conformitate cu procedura prevăzută de prezentul regulament, atunci când acest lucru este impus de probleme sau necesități excepționale în materie de securitate sau migrație. În special, un stat membru ar trebui să poată solicita și să se poată baza pe întăriri operative și tehnice în cazul în care statul membru respectiv se confruntă cu provocări specifice și disproporționate legate de migrație în anumite regiuni ale frontierelor sale externe, caracterizate de sosirea masivă a unor fluxuri de migranți. Aceste întăriri ar trebui să fie oferite în zonele „hotspot” de către echipele de sprijin pentru gestionarea migrației formate din experți din agențiile relevante ale Uniunii. În cazul în care sprijinul agenției ar fi necesar în acest context în ceea ce privește aspectele legate de sisteme, statele membre în cauză ar trebui să transmită cererea de acordare a sprijinului Comisiei, care, în urma evaluării sale cu privire la justificarea efectivă a acestui sprijin, ar trebui să transmită cererea de acordare a sprijinului, fără întârziere, agenției. Agenția ar trebui să informeze Consiliul de administrație cu privire la astfel de cereri. Comisia ar trebui să verifice, de asemenea, dacă agenția răspunde în timp util la cererea de sprijin ad hoc. Raportul anual de activitate al agenției ar trebui să prezinte în detaliu acțiunile pe care agenția le-a întreprins pentru a furniza sprijin ad hoc statelor membre și să conțină, de asemenea, detalii privind costurile suportate în acest context.

(23)

Agenția ar trebui, de asemenea, să sprijine serviciile Comisiei cu privire la aspecte tehnice legate de sistemele existente sau noi, atunci când se solicită acest lucru, în special pentru pregătirea de noi propuneri privind sistemele informatice la scară largă care urmează să fie încredințate agenției.

(24)

Ar trebui să fie posibil ca un grup de state membre să încredințeze agenției atribuția de a dezvolta, a gestiona sau a găzdui o componentă informatică comună pentru a le sprijini în punerea în aplicare a aspectelor tehnice ale obligațiilor care decurg din actele juridice ale Uniunii privind sistemele informatice descentralizate în spațiul de libertate, securitate și justiție. Acest lucru nu ar trebui să aducă atingere obligațiilor statelor membre respective din temeiul de actelor juridice aplicabile ale Uniunii, în special în ceea ce privește arhitectura sistemelor respective. Aceasta ar necesita aprobarea prealabilă de către Comisie, luarea unei decizii de aprobare de către Consiliul de administrație, ar trebui să se reflecte într-un acord de delegare între statele membre în cauză și agenție, și ar trebui finanțată în totalitate de către statele membre în cauză. Agenția ar trebui să informeze Parlamentul European și Consiliul cu privire la acordul de delegare aprobat și cu privire la orice modificări aduse acestuia. Alte state membre ar trebui să poată participa la astfel de soluții comune în domeniul informatic, dacă această posibilitate este prevăzută în acordul de delegare și dacă acordul respectiv este modificat în mod corespunzător. Această atribuție nu ar trebui să afecteze în mod negativ gestionarea operațională a sistemelor de către agenție.

(25)

Încredințarea către agenție a gestionării operaționale a unor sisteme informatice la scară largă în spațiul de libertate, securitate și justiție nu ar trebui să aducă atingere normelor specifice aplicabile respectivelor sisteme. În special, normele specifice care reglementează scopul, drepturile de acces, măsurile de securitate și cerințele suplimentare în materie de protecție a datelor pentru fiecare astfel de sistem sunt pe deplin aplicabile.

(26)

Pentru a monitoriza în mod eficace funcționarea agenției, statele membre și Comisia ar trebui să fie reprezentate în cadrul unui consiliu de administrație. Acestuia ar trebui să i se încredințeze competențele necesare, în special pentru a adopta programul anual de lucru, pentru a îndeplini funcțiile legate de bugetul agenției, pentru a adopta normele financiare aplicabile agenției, și pentru a stabili procedurile de luare a deciziilor privind atribuțiile operaționale ale agenției de către directorul executiv. Consiliul de administrație ar trebui să îndeplinească aceste atribuții în mod eficient și transparent. După organizarea de către Comisie a unei proceduri corespunzătoare de selecție și după audierea candidaților propuși în cadrul comisiei competente sau a comisiilor Parlamentului European, Consiliul de administrație ar trebui să numească și un director executiv.

(27)

Având în vedere faptul că numărul de sisteme informatice la scară largă încredințate agenției va fi crescut considerabil până în 2020 și că atribuțiile agenției se extind semnificativ, va exista o creștere substanțială corespunzătoare a personalului agenției până în 2020. Prin urmare, ar trebui să se creeze o poziție de director executiv adjunct al agenției, ținând seama, de asemenea, de faptul că atribuțiile legate de dezvoltarea și gestionarea operațională a sistemelor vor necesita un efort sporit și dedicat de supraveghere și că sediul și amplasamentele tehnice ale agenției sunt repartizate pe teritoriul a trei state membre. Consiliul de administrație ar trebui să îl numească pe directorul executiv adjunct.

(28)

Agenția ar trebui să fie administrată și să funcționeze ținând seama de principiile Abordării comune referitoare la agențiile descentralizate ale Uniunii, adoptate la 19 iulie 2012 de către Parlamentul European, Consiliu și Comisie.

(29)

În ceea ce privește SIS II, Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) și Unitatea Europeană de Cooperare Judiciară (Eurojust), care au ambele dreptul de a accesa și de a consulta direct datele introduse în SIS II în temeiul Deciziei 2007/533/JAI, ar trebui să aibă statut de observatori în cadrul reuniunilor Consiliului de administrație atunci când pe ordinea de zi figurează chestiuni în legătură cu aplicarea deciziei respective. Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă, care are dreptul de a accesa și de a consulta SIS II în temeiul Regulamentului (UE) 2016/1624, ar trebui să aibă statut de observator în cadrul reuniunilor Consiliului de administrație atunci când pe ordinea de zi figurează chestiuni în legătură cu aplicarea respectivului regulament. Europol, Eurojust și Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă ar trebui să poată numi fiecare un reprezentant în cadrul Grupului consultativ SIS II instituit în temeiul prezentului regulament.

(30)

În ceea ce privește VIS, Europol ar trebui să aibă statut de observator în cadrul reuniunilor Consiliului de administrație, atunci când pe ordinea de zi se află o chestiune în legătură cu aplicarea Deciziei 2008/633/JAI. Europol ar trebui să poată numi un reprezentant în cadrul Grupului consultativ VIS instituit în temeiul prezentului regulament.

(31)

În ceea ce privește Eurodac, Europol ar trebui să aibă statut de observator în cadrul reuniunilor Consiliului de administrație, atunci când pe ordinea de zi se află o chestiune în legătură cu aplicarea Regulamentului (UE) nr. 603/2013. Europol ar trebui să poată numi un reprezentant în cadrul grupului consultativ Eurodac constituit în conformitate cu prezentul regulament.

(32)

În ceea ce privește EES, Europol ar trebui să aibă statut de observator în cadrul reuniunilor Consiliului de administrație, atunci când pe ordinea de zi se află o chestiune referitoare la Regulamentul (UE) 2017/2226.

(33)

În ceea ce privește ETIAS, Europol ar trebui să aibă statut de observator în cadrul reuniunilor Consiliului de administrație, atunci când pe ordinea de zi se află o chestiune referitoare la Regulamentul (UE) 2018/1240. Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă ar trebui, de asemenea, să aibă statut de observator în cadrul reuniunilor Consiliului de administrație atunci când pe ordinea de zi se află o chestiune referitoare la ETIAS în legătură cu aplicarea regulamentului respectiv. Europol și Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă ar trebui să poată numi un reprezentant în cadrul grupului consultativ EES-ETIAS constituit în conformitate cu prezentul regulament.

(34)

Statele membre ar trebui să aibă drepturi de vot în Consiliul de administrație cu privire la un sistem informatic la scară largă, în cazul în care aceste state membre trebuie să respecte, în temeiul dreptului Uniunii, orice act juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemului respectiv. Danemarca ar trebui de asemenea să aibă drepturi de vot cu privire la un sistem informatic la scară largă, dacă aceasta hotărăște, în temeiul articolului 4 din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană (TUE) și la TFUE, să pună în aplicare în dreptul său intern, actul juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemului respectiv.

(35)

Statele membre ar trebui să numească un membru în cadrul grupului consultativ privind un sistem informatic la scară largă în cazul în care aceste state membre trebuie să respecte, în temeiul dreptului Uniunii, orice act juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemului respectiv. În plus, Danemarca ar trebui să numească un membru în cadrul grupului consultativ privind un sistem informatic la scară largă, dacă aceasta hotărăște, în temeiul articolului 4 din Protocolul nr. 22, să pună în aplicare în dreptul său intern actul juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea sau utilizarea sistemului respectiv. Grupurile consultative ar trebui să coopereze între ele ori de câte ori este necesar.

(36)

În scopul garantării deplinei autonomii și independențe a agenției și pentru a-i permite să-și îndeplinească în mod corespunzător obiectivele și să-și exercite atribuțiile conferite prin prezentul regulament, aceasta ar trebui să dispună de un buget corespunzător și autonom, alimentat din bugetul general al Uniunii. Finanțarea agenției ar trebui să fie supusă acordului dintre Parlamentul European și Consiliu, astfel cum se prevede la punctul 31 din Acordul interinstituțional din 2 decembrie 2013 dintre Parlamentul European, Consiliu și Comisie privind disciplina bugetară, cooperarea în chestiuni bugetare și buna gestiune financiară (20). Ar trebui să se aplice procedurile bugetare și de descărcare de gestiune ale Uniunii. Auditarea conturilor, precum și a legalității și regularității tranzacțiilor subiacente ar trebui să fie efectuată de Curtea de Conturi.

(37)

În scopul îndeplinirii misiunii sale și în măsura necesară pentru îndeplinirea atribuțiilor sale, agenția ar trebui să fie autorizată să coopereze cu instituțiile, organele, oficiile și agențiile Uniunii, în special cu agențiile instituite în spațiul de libertate, securitate și justiție, în ceea ce privește chestiunile reglementate de prezentul regulament și de actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor gestionate de aceasta în cadrul înțelegerilor de lucru încheiate în conformitate cu dreptul și politicile Uniunii și în cadrul competențelor lor respective. În cazul în care acest lucru este prevăzut de un act juridic al Uniunii, agenției ar trebui, de asemenea, să i se permită să coopereze cu organizațiile internaționale și cu alte entități relevante și ar trebui să poată încheia înțelegeri de lucru în acest scop. Respectivele înțelegeri de lucru ar trebui aprobate în prealabil de Comisie și autorizate de către Consiliul de administrație. Agenția ar trebui, de asemenea, să consulte și să urmeze recomandările Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA), înființată prin Regulamentul (UE) nr. 526/2013 al Parlamentului European și al Consiliului (21), cu privire la securitatea rețelei și informațiilor, după caz.

(38)

Atunci când asigură dezvoltarea și gestionarea operațională a sistemelor, agenția ar trebui să aplice standarde europene și internaționale, luând în considerare cele mai exigente cerințe profesionale, în special strategia Uniunii Europene de gestionare a informațiilor.

(39)

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (22) ar trebui să se aplice prelucrării datelor cu caracter personal de către agenție, fără a aduce atingere dispozițiilor aplicabile privind protecția datelor, astfel cum sunt prevăzute în actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor, care ar trebui să fie conforme cu Regulamentul (UE) 2018/1725. Cu scopul de a garanta securitatea și a preveni operațiunile de prelucrare care încalcă Regulamentul (UE) 2018/1725 și actele juridice ale Uniunii care reglementează funcționarea sistemelor respective, agenția ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidențialitatea, luând în considerare stadiul actual al dezvoltării și costurile implementării în raport cu riscurile și cu natura datelor cu caracter personal a căror protecție urmează a fi asigurată. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde atenție riscurilor pe care le prezintă prelucrarea datelor cu caracter personal, cum ar fi distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, care pot duce în special la prejudicii fizice, materiale și morale. Autoritatea Europeană pentru Protecția Datelor ar trebui să aibă dreptul să obțină din partea agenției accesul la toate informațiile necesare pentru investigațiile sale. În conformitate cu Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (23), Comisia a consultat Autoritatea Europeană pentru Protecția Datelor, care a emis un aviz la 10 octombrie 2017.

(40)

Pentru a asigura funcționarea transparentă a agenției, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (24) ar trebui să se aplice agenției. Agenția ar trebui să fie cât mai transparentă cu privire la activitățile sale, fără a periclita atingerea obiectivelor operațiunilor pe care le desfășoară. Agenția ar trebui să publice toate informațiile cu privire la activitățile sale. Aceasta ar trebui, de asemenea, să se asigure că publicul și orice parte interesată obțin rapid informații cu privire la activitatea sa.

(41)

Activitățile agenției ar trebui să facă obiectul examinării de către Ombudsmanul European în conformitate cu articolul 228 din TFUE.

(42)

Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului (25) ar trebui să se aplice agenției, care ar trebui să adere la Acordul Interinstituțional din 25 mai 1999 între Parlamentul European, Consiliul Uniunii Europene și Comisia Comunităților Europene privind investigațiile interne desfășurate de Oficiul European de Luptă Antifraudă (OLAF) (26).

(43)

Regulamentul (UE) 2017/1939 al Consiliului (27) privind instituirea Parchetului European ar trebui să se aplice agenției.

(44)

Pentru a asigura condiții de angajare deschise și transparente și tratament egal pentru personal, Statutul funcționarilor Uniunii Europene („statutul funcționarilor”) și Regimul aplicabil celorlalți agenți ai Uniunii Europene („regimul aplicabil celorlalți agenți”), prevăzute în Regulamentul (CEE, Euratom, CECO) nr. 259/68 (28) (denumite în continuare împreună „Statutul”), inclusiv normele privind secretul profesional sau alte obligații echivalente de confidențialitate, ar trebui să se aplice personalului (inclusiv directorului executiv și directorului executiv adjunct al agenției).

(45)

Întrucât agenția este un organ înființat de Uniune în înțelesul Regulamentului (UE, Euratom) 2018/1046, agenția ar trebui să își adopte normele financiare în consecință.

(46)

Regulamentul delegat (UE) nr. 1271/2013 (29) al Comisiei ar trebui să se aplice agenției.

(47)

Agenția, astfel cum este instituită prin prezentul regulament, înlocuiește și succede Agenției europene pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție instituite prin Regulamentul (UE) nr. 1077/2011. Prin urmare, aceasta ar trebui să fie succesoarea legală în ceea ce privește toate contractele încheiate, obligațiile asumate și proprietățile achiziționate de către Agenția europeană pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție instituită prin Regulamentul (UE) nr. 1077/2011. Prezentul regulament nu ar trebui să aducă atingere forței juridice a acordurilor, a înțelegerilor de lucru și a memorandumurilor de înțelegere încheiate de către agenție, astfel cum a fost instituită prin Regulamentul (UE) nr. 1077/2011, fără a aduce atingere eventualelor modificări ale acestora impuse de prezentul regulament.

(48)

Pentru a permite agenției să îndeplinească în continuare atribuțiile Agenției europene pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție instituite prin Regulamentul (UE) nr. 1077/2011 la nivelul maxim al capacităților sale, ar trebui să se prevadă măsuri tranzitorii, în special în ceea ce privește Consiliul de administrație, grupurile consultative, directorul executiv și normele interne adoptate de Consiliul de administrație.

(49)

Prezentul regulament are drept scop modificarea și extinderea dispozițiilor Regulamentului (UE) nr. 1077/2011. Având în vedere că modificările care urmează a fi aduse prin prezentul regulament sunt semnificative atât prin numărul lor, cât și prin caracterul lor, Regulamentul (UE) nr. 1077/2011 ar trebui, pentru un spor de claritate, să fie înlocuit în întregime în privința statelor membre pentru care prezentul regulament este obligatoriu. Agenția, astfel cum este instituită prin prezentul regulament, ar trebui să înlocuiască și să preia funcțiile agenției instituite prin Regulamentul (UE) nr. 1077/2011 și, prin urmare, respectivul regulament ar trebui să fie abrogat.

(50)

Întrucât obiectivele prezentului regulament, și anume instituirea unei agenții la nivelul Uniunii responsabile de gestionarea operațională și, dacă este cazul, de dezvoltarea unor sisteme informatice la scară largă în spațiul de libertate, securitate și justiție, nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea și efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din TUE. În conformitate cu principiul proporționalității, astfel cum este enunțat la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru atingerea obiectivelor respective.

(51)

În conformitate cu articolele 1 și 2 din Protocolul nr. 22, Danemarca nu participă la adoptarea prezentului regulament, acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică. Deoarece prezentul regulament, în măsura în care se referă la SIS II și VIS, EES și ETIAS constituie o dezvoltare a acquis-ul Schengen, Danemarca decide, în conformitate cu articolul 4 din protocolul respectiv, în termen de șase luni de la decizia Consiliului cu privire la prezentul regulament, dacă îl va transpune sau nu în dreptul său intern. În conformitate cu articolul 3 din Acordul dintre Comunitatea Europeană și Regatul Danemarcei privind criteriile și mecanismele de determinare a statului responsabil de examinarea unei cereri de azil prezentate în Danemarca sau în orice alt stat membru al Uniunii Europene și sistemul „Eurodac” pentru compararea amprentelor digitale în vederea aplicării efective a Convenției de la Dublin (30), Danemarca urmează să informeze Comisia dacă va transpune conținutul prezentului regulament, în măsura în care acesta se referă la Eurodac și la DubliNet.

(52)

În măsura în care dispozițiile sale se referă la SIS II, astfel cum este reglementat prin Decizia 2007/533/JAI, Regatul Unit participă la prezentul regulament, în conformitate cu articolul 5 alineatul (1) din Protocolul nr. 19 privind acquis-ul Schengen integrat în cadrul Uniunii Europene, anexat la TUE și la TFUE, și cu articolul 8 alineatul (2) din Decizia 2000/365/CE a Consiliului (31). În măsura în care dispozițiile sale se referă la SIS II, astfel cum este reglementat prin Regulamentul (CE) nr. 1987/2006, și la VIS, la EES și la ETIAS, prezentul regulament constituie o dezvoltare a dispozițiilor acquis-ului Schengen la care Regatul Unit nu participă, în conformitate cu Decizia 2000/365/CE; Regatul Unit a solicitat, prin scrisoarea sa din 19 iulie 2018 adresată președintelui Consiliului, să fie autorizat să participe la prezentul regulament, în conformitate cu articolul 4 din Protocolul nr. 19. În temeiul articolului 1 din Decizia (UE) 2018/1600 a Consiliului (32), Regatul Unit a fost autorizat să participe la prezentul regulament. În plus, în măsura în care dispozițiile sale se referă la Eurodac și DubliNet, Regatul Unit a notificat dorința sa de a participa la adoptarea și aplicarea prezentului regulament, prin scrisoarea sa din 23 octombrie 2017 adresată președintelui Consiliului în conformitate cu articolul 3 din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la TUE și la TFUE. Prin urmare, Regatul Unit participă la adoptarea prezentului regulament, acesta este obligatoriu pentru respectivul stat membru și i se aplică.

(53)

În măsura în care dispozițiile sale se referă la SIS II, astfel cum este reglementat prin Decizia 2007/533/JAI, Irlanda ar putea, în principiu, să participe la prezentul regulament, în conformitate cu articolul 5 alineatul (1) din Protocolul nr. 19 și cu articolul 6 alineatul (2) din Decizia 2002/192/CE a Consiliului (33). În măsura în care dispozițiile sale se referă la SIS II, astfel cum este reglementat prin Regulamentul (CE) nr. 1987/2006, și la VIS, la EES și la ETIAS, prezentul regulament constituie o dezvoltare a dispozițiilor acquis-ului Schengen la care Irlanda nu participă, în conformitate cu Decizia 2002/192/CE; Irlanda nu a solicitat să participe la adoptarea prezentului regulament, în conformitate cu articolul 4 din Protocolul nr. 19. Prin urmare, Irlanda nu participă la adoptarea prezentului regulament și acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică, în măsura în care măsurile instituite prin acest regulament constituie o dezvoltare a dispozițiilor acquis-ului Schengen întrucât acestea se referă la SIS II astfel cum este reglementat de Regulamentul (CE) nr. 1987/2006, la VIS, la EES și la ETIAS. În plus, în măsura în care dispozițiile sale se referă la Eurodac și la DubliNet, în conformitate cu articolele 1 și 2 și cu articolul 4a alineatul (1) din Protocolul nr. 21, Irlanda nu participă la adoptarea prezentului regulament și acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică. Având în vedere că nu este posibil, în circumstanțele actuale, să se garanteze că prezentul regulament este aplicabil în întregime Irlandei, în conformitate cu articolul 288 din TFUE, Irlanda nu participă la adoptarea prezentului regulament și acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică, fără a se aduce atingere drepturilor sale în temeiul Protocoalelor nr. 19 și nr. 21.

(54)

În ceea ce privește Islanda și Norvegia, prezentul regulament constituie, în măsura în care se referă la SIS II și VIS, la EES și la ETIAS, o dezvoltare a dispozițiilor acquis-ului Schengen în înțelesul Acordului încheiat de Consiliul Uniunii Europene și Republica Islanda și Regatul Norvegiei privind asocierea acestor două state la implementarea, aplicarea și dezvoltarea acquis-ului Schengen (34) care se află sub incidența domeniului prevăzut la articolul 1, punctele A, B și G din Decizia 1999/437/CE a Consiliului (35). În ceea ce privește Eurodac și DubliNet, prezentul regulament constituie o nouă măsură în sensul Acordului între Comunitatea Europeană, Republica Islanda și Regatul Norvegiei privind criteriile și mecanismele de determinare a statului responsabil de examinarea unei cereri de azil prezentate într-un stat membru, în Islanda sau în Norvegia (36). În consecință, sub rezerva deciziei lor de a transpune regulamentul în ordinea lor juridică internă, delegația Republicii Islanda și delegația Regatului Norvegiei ar trebui să participe în cadrul Consiliului de administrație al agenției. Pentru a stabili norme detaliate ulterioare care să permită participarea Republicii Islanda și a Regatului Norvegiei la activitățile agenției, ar trebui încheiat un acord suplimentar între Uniune și aceste state.

(55)

În ceea ce privește Elveția, prezentul regulament constituie, în măsura în care se referă la SIS II și VIS, la EES și la ETIAS, o dezvoltare a dispozițiilor acquis-ului Schengen în înțelesul Acordului între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană cu privire la asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen (37), care se află sub incidența articolului 1 punctele A, B și G din Decizia 1999/437/CE, coroborat cu articolul 3 din Decizia 2008/146/CE a Consiliului (38). În ceea ce privește Eurodac și DubliNet, prezentul Regulament constituie o nouă măsură referitoare la Eurodac, în sensul Acordului între Comunitatea Europeană și Confederația Elvețiană cu privire la criteriile și mecanismele de determinare a statului responsabil să examineze o cerere de azil introdusă într-un stat membru sau în Elveția (39). În consecință, sub rezerva deciziei sale de a transpune regulamentul în dreptul său intern, delegația Confederației Elvețiene ar trebui să participe în cadrul Consiliului de administrație al agenției. Pentru a stabili norme detaliate ulterioare care să permită participarea Confederației Elvețiene la activitățile agenției, ar trebui încheiat un acord suplimentar între Uniune și Confederația Elvețiană.

(56)

În ceea ce privește Liechtenstein, prezentul regulament constituie, în măsura în care se referă la SIS II și VIS, la EES și la ETIAS, o dezvoltare a dispozițiilor acquis-ului Schengen în înțelesul Protocolului între Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în practică, aplicarea și dezvoltarea acquis-ului Schengen (40), care se află sub incidența articolului 1 punctele A, B și G din Decizia 1999/437/CE, coroborat cu articolul 3 din Decizia 2011/350/UE a Consiliului (41).

În ceea ce privește Eurodac și DubliNet, prezentul regulament constituie o nouă măsură în sensul Protocolului între Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul între Comunitatea Europeană și Confederația Elvețiană privind criteriile și mecanismele de determinare a statului responsabil de examinarea unei cereri de azil introduse într-un stat membru sau în Elveția (42). În consecință, sub rezerva deciziei sale de a transpune regulamentul în ordinea sa juridică internă, delegația Principatului Liechtenstein ar trebui să participe la Consiliul de administrație al agenției. Pentru a stabili norme detaliate ulterioare care să permită participarea Principatului Liechtenstein la activitățile agenției, ar trebui încheiat un acord suplimentar între Uniune și Principatul Liechtenstein,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

OBIECTUL ȘI OBIECTIVELE

Articolul 1

Obiect

(1)   Se instituie Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (denumită în continuare „agenția”).

(2)   Agenția instituită prin prezentul regulament înlocuiește și succede Agenției europene pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție, astfel cum a fost instituită prin Regulamentul (UE) nr. 1077/2011.

(3)   Agenția este responsabilă cu gestionarea operațională a Sistemului de informații Schengen (SIS II), a Sistemului de informații privind vizele (VIS) și a Eurodac.

(4)   Agenția este responsabilă, după caz, cu pregătirea, dezvoltarea sau gestionarea operațională a Sistemului de intrare/ieșire (EES), a DubliNet și a Sistemului european de informații și de autorizare privind călătoriile (ETIAS).

(5)   Agenția poate să fie responsabilă de pregătirea, dezvoltarea sau gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție, altele decât cele menționate la alineatele (3) și (4) de la prezentul articol, inclusiv sistemele existente, numai dacă se prevede astfel în actele juridice relevante ale Uniunii care reglementează respectivele sisteme, pe baza articolelor 67-89 din TFUE, ținându-se seama, după caz, de evoluțiile înregistrate în cercetare, menționate la articolul 14 din prezentul regulament, și de rezultatele proiectelor-pilot și ale validărilor de concept menționate la articolul 15 din prezentul regulament.

(6)   Gestionarea operațională constă în îndeplinirea tuturor atribuțiilor necesare pentru funcționarea sistemelor informatice la scară largă în conformitate cu dispozițiile specifice aplicabile fiecărui sistem, inclusiv a responsabilității pentru infrastructura de comunicații folosită de sisteme. Respectivele sisteme informatice la scară largă nu fac schimb de date între ele și nu permit comunicarea de informații și de cunoștințe, cu excepția cazurilor în care se prevede astfel într-un act juridic specific al Uniunii.

(7)   De asemenea, agenția este responsabilă de îndeplinirea următoarelor atribuții:

(a)

asigurarea calității datelor în conformitate cu articolul 12;

(b)

dezvoltarea acțiunilor necesare care să permită interoperabilitatea în conformitate cu articolul 13;

(c)

efectuarea de activități de cercetare în conformitate cu articolul 14;

(d)

efectuarea de proiecte-pilot, validări de concept și activități de testare în conformitate cu articolul 15; și

(e)

oferirea de sprijin statelor membre și Comisiei în conformitate cu articolul 16.

Articolul 2

Obiective

Fără a aduce atingere responsabilităților respective ale Comisiei și ale statelor membre, în temeiul actelor juridice ale Uniunii care reglementează sistemele informatice la scară largă, agenția asigură:

(a)

dezvoltarea sistemelor informatice la scară largă, utilizând o structură corespunzătoare de gestionare a proiectelor pentru dezvoltarea eficace a unor astfel de sisteme;

(b)

funcționarea eficace, sigură și continuă a unor sisteme informatice la scară largă;

(c)

gestionarea eficientă și responsabilă din punct de vedere financiar a unor sisteme informatice la scară largă;

(d)

o calitate suficient de ridicată a serviciilor furnizate utilizatorilor unor sisteme informatice la scară largă;

(e)

continuitate și un serviciu neîntrerupt;

(f)

un nivel ridicat de protecție a datelor, în conformitate cu legislația Uniunii privind protecția datelor, inclusiv cu dispozițiile specifice pentru fiecare sistem informatic la scară largă;

(g)

un nivel adecvat de securitate a datelor și de securitate fizică, în conformitate cu normele aplicabile, inclusiv cu dispozițiile specifice pentru fiecare sistem informatic la scară largă.

CAPITOLUL II

ATRIBUȚIILE AGENȚIEI

Articolul 3

Atribuții legate de SIS II

În ceea ce privește SIS II, agenția îndeplinește:

(a)

atribuțiile conferite autorității de gestionare prin Regulamentul (CE) nr. 1987/2006 și Decizia 2007/533/JAI; și

(b)

atribuții legate de formarea privind utilizarea tehnică a SIS II, în special pentru personalul SIRENE (SIRENE – „Solicitare de informații suplimentare la intrarea pe teritoriul național”), și de formare a experților privind aspectele tehnice ale SIS II în cadrul evaluării Schengen.

Articolul 4

Atribuții legate de VIS

În ceea ce privește VIS, agenția îndeplinește:

(a)

atribuțiile conferite autorității de gestionare prin Regulamentul (CE) nr. 767/2008 și prin Decizia 2008/633/JAI; și

(b)

atribuții legate de formarea privind utilizarea tehnică a VIS și de formarea experților cu privire la aspectele tehnice ale VIS în cadrul evaluării Schengen.

Articolul 5

Atribuții legate de Eurodac

În ceea ce privește Eurodac, agenția îndeplinește:

(a)

atribuțiile care i-au fost conferite prin Regulamentul (UE) nr. 603/2013; și

(b)

atribuții legate de formarea privind utilizarea tehnică a Eurodac.

Articolul 6

Atribuții legate de EES

În ceea ce privește EES, agenția îndeplinește:

(a)

atribuțiile care i-au fost conferite prin Regulamentul (UE) 2017/2226; și

(b)

atribuții legate de formarea privind utilizarea tehnică a EES și de formare a experților cu privire la aspectele tehnice ale EES în cadrul evaluării Schengen.

Articolul 7

Atribuții legate de ETIAS

În ceea ce privește ETIAS, agenția îndeplinește:

(a)

atribuțiile care i-au fost conferite prin Regulamentul (UE) 2018/1240; și

(b)

atribuții legate de formarea privind utilizarea tehnică a ETIAS și de formare a experților cu privire la aspectele tehnice ale ETIAS în cadrul evaluării Schengen.

Articolul 8

Atribuții legate de DubliNet

În ceea ce privește DubliNet, agenția îndeplinește:

(a)

gestionarea operațională a DubliNet, un canal separat de transmisie electronică securizată între autoritățile statelor membre, instituit în temeiul articolului 18 din Regulamentul (CE) nr. 1560/2003, în sensul articolelor 31, 32 și 34 din Regulamentul (UE) nr. 604/2013 al Parlamentului European și al Consiliului (43); și

(b)

atribuții legate de formarea privind utilizarea tehnică a DubliNet.

Articolul 9

Atribuții legate de pregătirea, dezvoltarea și gestionarea operațională a altor sisteme informatice la scară largă

Atunci când i se conferă atribuții legate de pregătirea, dezvoltarea și gestionarea operațională a altor sisteme informatice la scară largă, menționate la articolul 1 alineatul (5), agenția îndeplinește atribuțiile care îi sunt conferite în temeiul actului juridic al Uniunii care reglementează sistemul în cauză, precum și atribuții legate de formarea privind utilizarea tehnică a acestor sisteme, după caz.

Articolul 10

Soluții tehnice care impun condiții specifice înainte de punerea în aplicare

În cazul în care actele juridice ale Uniunii care reglementează sistemele impun agenției să mențină sistemele respective în stare de funcționare 24 de ore pe zi, 7 zile pe săptămână și fără a aduce atingere respectivelor acte juridice ale Uniunii, agenția pune în aplicare soluții tehnice pentru a îndeplini cerințele respective. În cazul în care soluțiile tehnice respective impun o duplicare a unui sistem sau o duplicare a componentelor unui sistem, soluțiile tehnice respective se pun în aplicare numai după o evaluare de impact independentă și o analiză costuri-beneficii care urmează să fie solicitate de către agenție, și în urma consultării Comisiei și a deciziei favorabile a Consiliului de administrație. Evaluarea de impact examinează, de asemenea, necesitățile existente și viitoare în ceea ce privește capacitățile de găzduire ale amplasamentelor tehnice existente în legătură cu dezvoltarea unor astfel de soluții tehnice și posibilele riscuri legate de actualul cadru operațional.

Articolul 11

Atribuții legate de infrastructura de comunicații

(1)   Agenția își îndeplinește toate atribuțiile legate de infrastructura de comunicații a sistemelor care i-au fost conferite de actele juridice ale Uniunii care reglementează sistemele, cu excepția acelor sisteme care folosesc EuroDomain pentru infrastructura lor de comunicații. În cazul respectivelor sisteme care folosesc EuroDomain, Comisia este responsabilă, în special, în ceea ce privește atribuțiile legate de execuția bugetară, de achiziții și de reînnoire, precum și de aspecte contractuale. În conformitate cu actele juridice ale Uniunii care reglementează sistemele care utilizează EuroDomain, atribuțiile referitoare la infrastructura de comunicații, inclusiv gestionarea operațională și securitatea, urmează să fie repartizate între agenție și Comisie. Pentru a asigura coerența exercitării responsabilităților respective ale acestora, se încheie înțelegeri de lucru operaționale între agenție și Comisie, care se reflectă într-un memorandum de înțelegere.

(2)   Infrastructura de comunicații este gestionată și controlată în mod adecvat, astfel încât să fie protejată de amenințări, și pentru a se asigura securitatea sa și cea a sistemelor, inclusiv a datelor schimbate prin intermediul infrastructurii de comunicații.

(3)   Agenția adoptă măsuri adecvate, inclusiv planuri de securitate, printre altele pentru a se preîntâmpina citirea, copierea, modificarea sau ștergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportului suporturilor de date, în special prin intermediul tehnicilor corespunzătoare de criptare. Orice informație operațională legată de sistem care circulă prin infrastructura de comunicații este criptată.

(4)   Atribuții legate de furnizarea, înființarea, întreținerea și monitorizarea infrastructurilor de comunicații pot fi încredințate unor entități sau organisme externe din sectorul privat în conformitate cu Regulamentul (UE, Euratom) 2018/1046. Aceste atribuții se îndeplinesc sub responsabilitatea și sub stricta supraveghere a agenției.

În contextul îndeplinirii atribuțiilor menționate la primul paragraf, măsurile de securitate menționate la alineatul (3) sunt obligatorii pentru toate entitățile sau organismele externe din sectorul privat, inclusiv furnizorilor de rețea, cărora nu li se permite accesul, sub nicio formă, la niciun fel de date operaționale care sunt stocate în sisteme sau transferate prin intermediul infrastructurilor de comunicații sau la schimbul SIRENE aferent SIS II.

(5)   Gestionarea cheilor de criptare rămâne în sfera de competență a agenției și nu poate fi încredințată niciunei entități externe din sectorul privat. Aceasta nu aduce atingere contractelor existente privind infrastructurile de comunicații ale SIS II, VIS și Eurodac.

Articolul 12

Calitatea datelor

Fără a aduce atingere responsabilităților statelor membre în ceea ce privește datele introduse în sisteme, agenția, cu implicarea strânsă a grupurilor sale consultative, în colaborare cu Comisia, depune eforturi în vederea stabilirii, pentru toate aceste sisteme, a unor mecanisme automatizate de control al calității datelor și a unor indicatori comuni de calitate, și în vederea elaborării unui registru centralizat de raportare și statistici, conținând exclusiv date anonimizate, sub rezerva anumitor dispoziții specifice din actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor.

Articolul 13

Interoperabilitate

În cazul în care interoperabilitatea sistemelor informatice la scară largă este stipulată într-un act juridic relevant al Uniunii, agenția elaborează acțiunile necesare care să permită această interoperabilitate.

Articolul 14

Monitorizarea cercetării

(1)   Agenția monitorizează evoluțiile în domeniul cercetării care sunt relevante pentru gestionarea operațională a SIS II, VIS, Eurodac, EES, ETIAS, DubliNet și a altor sisteme informatice la scară largă, astfel cum se menționează la articolul 1 alineatul (5).

(2)   Agenția poate contribui la punerea în aplicare a acelor părți ale Programului-cadru al Uniunii Europene pentru cercetare și inovare care se referă la sisteme informatice la scară largă în spațiul de libertate, securitate și justiție. În acest scop, și în cazul în care Comisia a împuternicit agenția în acest sens, agenția are următoarele atribuții:

(a)

gestionarea unor etape ale implementării programului și a unor etape ale ciclului de viață al unor proiecte specifice pe baza programelor de lucru relevante adoptate de Comisie;

(b)

adoptarea instrumentelor de execuție bugetară pentru venituri și cheltuieli și efectuarea tuturor operațiunilor necesare pentru gestionarea programelor; și

(c)

acordarea de sprijin în ceea ce privește implementarea programului.

(3)   Agenția informează în mod regulat și cel puțin o dată pe an Parlamentul European, Consiliul, Comisia și, atunci când este vorba de chestiuni privind prelucrarea datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor, cu privire la evoluțiile menționate la prezentul articol, fără a aduce atingere obligațiilor de raportare în legătură cu punerea în aplicare a unor părți ale Programului-cadru al Uniunii Europene pentru cercetare și inovare, menționată la alineatul (2).

Articolul 15

Proiecte-pilot, validări de concept și activități de testare

(1)   La cererea specială și precisă a Comisiei, care va fi informat Parlamentul European și Consiliul cu cel puțin trei luni înainte de înaintarea unei astfel de cereri, și după luarea unei decizii favorabile de către Consiliul de administrație, în conformitate cu articolul 19 alineatul (1) litera (u) din prezentul regulament, și prin intermediul unui acord de delegare, agenției îi poate fi încredințată desfășurarea unor proiecte-pilot, astfel cum se menționează la articolul 58 alineatul (2) litera (a) din Regulamentul (UE, Euratom) 2018/1046, pentru dezvoltarea sau gestionarea operațională a sistemelor informatice la scară largă în aplicarea articolelor 67-89 din TFUE, în conformitate cu articolul 62 alineatul (1) litera (c) din Regulamentul (UE, Euratom) 2018/1046.

Agenția informează în mod regulat Parlamentul European, Consiliul și, atunci când este vorba de chestiuni legate de prelucrarea datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor, cu privire la evoluțiile proiectelor-pilot desfășurate de agenție în temeiul primului paragraf.

(2)   Creditele pentru proiectele-pilot menționate la articolul 58 alineatul (2) litera (a) din Regulamentul (UE, Euratom) 2018/1046, care au fost solicitate de Comisie în temeiul alineatului (1), sunt înscrise în buget pentru cel mult două exerciții financiare consecutive.

(3)   La cererea Comisiei sau a Consiliului, după ce Parlamentul European a fost informat și după o decizie favorabilă a Consiliului de administrație, agenției i se pot încredința, prin intermediul unui acord de delegare, atribuții de execuție bugetară pentru validări de concept finanțate în temeiul instrumentului de sprijin financiar pentru frontiere externe și vize instituit de Regulamentul (UE) nr. 515/2014, în conformitate cu articolul 62 alineatul (1) litera (c) din Regulamentul (UE, Euratom) 2018/1046.

(4)   După luarea unei decizii favorabile de către Consiliul de administrație, agenția poate planifica și pune în aplicare activități de testare cu privire la chestiuni reglementate de prezentul regulament și de orice act juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor.

Articolul 16

Sprijinul oferit statelor membre și Comisiei

(1)   Orice stat membru poate solicita agenției să ofere consiliere în legătură cu conectarea sistemelor sale naționale la sistemele centrale ale sistemelor informatice la scară largă gestionate de agenție.

(2)   Orice stat membru poate prezenta o cerere de sprijin ad hoc Comisiei care, sub rezerva evaluării sale favorabile cu privire la necesitatea acestui sprijin ca urmare a unor nevoi excepționale legate de securitate sau de migrație, o transmite agenției. Agenția informează Consiliul de administrație cu privire la aceste solicitări. Statul membru în cauză este informat în cazul în care evaluarea Comisiei este negativă.

Comisia monitorizează promptitudinea răspunsului agenției la cererile statelor membre. Raportul anual de activitate al agenției prezintă în detaliu acțiunile pe care agenția le-a întreprins pentru a furniza sprijin ad hoc statelor membre și conține, de asemenea, detalii privind costurile suportate în acest context.

(3)   Agenției i se poate solicita să ofere consiliere sau asistență Comisiei cu privire la chestiuni tehnice legate de sistemele existente sau noi, inclusiv prin intermediul unor studii și teste. Agenția informează Consiliul de administrație cu privire la aceste solicitări.

(4)   Un grup format din cel puțin cinci state membre pot încredința agenției atribuția de a dezvolta, a gestiona sau a găzdui o componentă informatică comună pentru a le sprijini în punerea în aplicare a aspectelor tehnice ale obligațiilor care decurg din dreptul Uniunii privind sistemele descentralizate în spațiul de libertate, securitate și justiție. Aceste soluții informatice comune nu aduc atingere obligațiilor statelor membre solicitante prevăzute de dreptul aplicabil al Uniunii, în special în ceea ce privește arhitectura sistemelor respective.

În special, statele membre solicitante pot încredința agenției atribuția de a institui un router sau o componentă comună privind informațiile prealabile referitoare la pasageri și datele din registrul cu numele pasagerilor ca instrument de sprijin tehnic menit să faciliteze conectivitatea cu transportatorii aerieni cu scopul de a oferi asistență statelor membre în punerea în aplicare a Directivei 2004/82/CE a Consiliului (44) și a Directivei (UE) 2016/681 a Parlamentului European și a Consiliului (45). În aceste cazuri, agenția colectează la nivel centralizat datele provenind de la transportatorii aerieni și le transmit statelor membre prin intermediul routerului sau al componentei comune. Statele membre solicitante adoptă măsurile necesare pentru a se asigura că transportatorii aerieni transferă datele prin intermediul agenției.

Agenției i se încredințează atribuția de a dezvolta, a gestiona sau a găzdui o componentă informatică comună numai după aprobarea prealabilă a Comisiei și sub rezerva unei decizii favorabile din partea Consiliului de administrație.

Statele membre solicitante îi încredințează agenției atribuțiile menționate la primul și al doilea paragraf, prin intermediul unui acord de delegare care cuprinde condițiile de delegare a atribuțiilor și definește metoda de calcul și facturare a tuturor costurilor relevante. Toate costurile relevante sunt acoperite de către statele membre participante. Acordul de delegare este în conformitate cu actele juridice ale Uniunii care reglementează sistemele în cauză. Agenția informează Parlamentul European și Consiliul cu privire la acordul de delegare aprobat și cu privire la orice modificări aduse acestuia.

Alte state membre pot solicita să participe la o soluție informatică comună, dacă această posibilitate este prevăzută în acordul de delegare, cu precizarea implicațiilor financiare ale acestei participări. Acordul de delegare se modifică în consecință, după aprobarea prealabilă a Comisiei și după o decizie favorabilă a Consiliului de administrație.

CAPITOLUL III

STRUCTURA ȘI ORGANIZAREA

Articolul 17

Statutul juridic și localizarea

(1)   Agenția este un organ al Uniunii și are personalitate juridică.

(2)   Agenția beneficiază de cea mai extinsă capacitate juridică acordată persoanelor juridice în temeiul dreptului intern, în fiecare stat membru. Aceasta poate, în special, să dobândească sau să înstrăineze bunuri mobile și imobile și se poate constitui ca parte în proceduri judiciare.

(3)   Sediul agenției se află la Tallinn, în Estonia.

Atribuțiile legate de dezvoltarea și gestionarea operațională menționate la articolul 1 alineatele (4) și (5) și la articolele 3, 4, 5, 6, 7, 8, 9 și 11 sunt îndeplinite la amplasamentul tehnic de la Strasbourg, Franța.

Un amplasament de rezervă capabil să asigure funcționarea unui sistem informatic la scară largă în caz de defecțiune a unui astfel de sistem este situat în Sankt Johann im Pongau, Austria.

(4)   Ambele amplasamente tehnice pot fi folosite pentru funcționarea simultană a sistemelor, cu condiția ca amplasamentul de rezervă să poată continua să asigure funcționarea acestora în caz de defecțiune a unuia sau a mai multor sisteme.

(5)   Datorită naturii specifice a sistemelor, în situația în care ar fi necesar ca agenția să instituie un al doilea amplasament tehnic separat fie la Strasbourg fie la Sankt Johann im Pongau sau în ambele locații, în funcție de necesități, pentru găzduirea sistemelor, aceste necesități se justifică pe baza unei evaluări de impact independente și a unei analize costuri-beneficii. Consiliul de administrație consultă Comisia și ia în considerare punctele de vedere ale acesteia înainte de a informa autoritatea bugetară privind intenția sa de a pune în aplicare orice proiect legat de proprietate în conformitate cu articolul 45 alineatul (9).

Articolul 18

Structura

(1)   Structura administrativă și de conducere a agenției cuprinde:

(a)

un Consiliu de administrație;

(b)

un director executiv;

(c)

grupuri consultative.

(2)   Structura agenției cuprinde:

(a)

un responsabil cu protecția datelor;

(b)

un responsabil cu securitatea;

(c)

un contabil.

Articolul 19

Funcțiile Consiliului de administrație

(1)   Consiliul de administrație:

(a)

oferă orientările generale privind activitățile agenției;

(b)

adoptă, cu o majoritate de două treimi din membrii săi cu drept de vot, bugetul anual al agenției și exercită alte funcții în ceea ce privește bugetul agenției în conformitate cu capitolul V;

(c)

numește directorul executiv și directorul executiv adjunct și, dacă este cazul, le prelungește mandatele sau îi demite din funcție, în conformitate cu articolele 25 și, respectiv, 26;

(d)

exercită autoritate disciplinară asupra directorului executiv și supraveghează activitatea acestuia, inclusiv punerea în aplicare a deciziilor Consiliului de administrație, și exercită autoritate disciplinară asupra directorului executiv adjunct, în acord cu directorul executiv;

(e)

ia toate deciziile referitoare la stabilirea structurii organizatorice a agenției și, dacă este necesar, privind modificarea acesteia, luând în considerare nevoile în materie de activități ale agenției și având în vedere buna gestionare bugetară;

(f)

adoptă politica de personal a agenției;

(g)

stabilește regulamentul de procedură al agenției;

(h)

adoptă o strategie antifraudă, proporțională cu riscurile de fraudă, ținând seama de costurile și beneficiile măsurilor care urmează să fie puse în aplicare;

(i)

adoptă norme de prevenire și gestionare a conflictelor de interese în cazul membrilor săi și le publică pe site-ul internet al agenției;

(j)

adoptă norme și proceduri interne detaliate pentru protejarea avertizorilor de integritate, inclusiv canalele adecvate de comunicare pentru semnalarea neregulilor;

(k)

autorizează încheierea înțelegerilor de lucru în conformitate cu articolele 41 și 43;

(l)

aprobă, la propunerea directorului executiv, acordul privind sediul agenției și acordurile privind amplasamentele tehnice și de rezervă stabilite în conformitate cu articolul 17 alineatul (3), care urmează a fi semnate de directorul executiv și de statele membre gazdă;

(m)

exercită, în conformitate cu alineatul (2), în ceea ce privește personalul agenției, competențele de autoritate împuternicită să facă numiri, atribuite prin Statutul funcționarilor, și competențele de autoritate abilitată să încheie contracte de muncă, atribuite prin Regimul aplicabil celorlalți agenți (denumite în continuare „competențele de autoritate împuternicită să facă numiri”);

(n)

adoptă, de comun acord cu Comisia, normele de punere în aplicare necesare pentru punerea în aplicare a Statutului în conformitate cu articolul 110 din Statutul funcționarilor;

(o)

adoptă normele necesare privind detașarea experților naționali la agenție;

(p)

adoptă proiectul de buget estimativ al veniturilor și cheltuielilor agenției, inclusiv proiectul de plan de personal, și transmite aceste documente Comisiei până la data de 31 ianuarie a fiecărui an;

(q)

adoptă proiectul de document unic de programare, care conține programul multianual al agenției, programul de lucru al acesteia pentru următorul an și un proiect estimativ provizoriu al veniturilor și cheltuielilor agenției, inclusiv proiectul de plan de personal, și transmite acest document, până la data de 31 ianuarie a fiecărui an, precum și orice versiune actualizată a respectivului document, Parlamentului European, Consiliului și Comisiei;

(r)

adoptă, înainte de 30 noiembrie a fiecărui an, cu o majoritate de două treimi din membrii săi cu drept de vot, în conformitate cu procedura bugetară anuală, documentul unic de programare, ținând seama de avizul Comisiei, și se asigură că versiunea definitivă a acestui document este transmisă către Parlamentul European, Consiliu și Comisie și este publicată;

(s)

adoptă, până la sfârșitul lunii august a fiecărui an, un raport intermediar privind progresele înregistrate cu privire la punerea în aplicare a activităților planificate pentru exercițiul curent și îl prezintă Parlamentului European, Consiliului și Comisiei;

(t)

evaluează și adoptă raportul anual de activitate consolidat privind activitățile agenției pentru anul anterior, care compară, în special, rezultatele obținute cu obiectivele programului anual de lucru, și trimite atât raportul, cât și evaluarea acestuia, până la data de 1 iulie a fiecărui an, Parlamentului European, Consiliului, Comisiei și Curții de Conturi și se asigură că raportul anual de activitate este publicat;

(u)

își îndeplinește funcțiile legate de bugetul agenției, inclusiv de punerea în aplicare a proiectelor-pilot și a validărilor de concept menționate la articolul 15;

(v)

adoptă normele financiare aplicabile agenției, în conformitate cu articolul 49;

(w)

numește un contabil, care poate fi contabilul Comisiei, căruia i se aplică Statutul, și care este complet independent în îndeplinirea sarcinilor care îi revin;

(x)

asigură urmărirea corespunzătoare a concluziilor și a recomandărilor care decurg din diverse rapoarte de audit și evaluări interne sau externe, precum și din investigațiile efectuate de Oficiul European de Luptă Antifraudă (OLAF) și de Parchetul European (EPPO);

(y)

adoptă planurile de comunicare și de diseminare menționate la articolul 34 alineatul (4) și le actualizează în mod regulat;

(z)

adoptă măsurile de securitate necesare, inclusiv un plan de securitate și un plan de asigurare a continuității activității (business continuity) și de redresare în caz de dezastru (disaster recovery plan), luând în considerare posibilele recomandări ale experților în materie de securitate din cadrul grupurilor consultative;

(aa)

adoptă norme de securitate privind protejarea informațiilor clasificate și a informațiilor sensibile neclasificate în urma aprobării de către Comisie;

(bb)

numește un responsabil cu securitatea;

(cc)

numește un responsabil cu protecția datelor în conformitate cu Regulamentul (UE) 2018/1725;

(dd)

adoptă normele detaliate de punere în aplicare a Regulamentului (CE) nr. 1049/2001;

(ee)

adoptă, în temeiul articolului 72 alineatul (2) din Regulamentul (UE) 2017/2226, rapoartele privind dezvoltarea EES și, în temeiul articolului 92 alineatul (2) din Regulamentul (UE) 2018/1240, rapoartele privind dezvoltarea ETIAS;

(ff)

adoptă rapoartele privind funcționarea tehnică a următoarelor sisteme: SIS II, în temeiul articolului 50 alineatul (4) din Regulamentul (CE) nr. 1987/2006 și, respectiv, al articolului 66 alineatul (4) din Decizia 2007/533/JAI, VIS, în temeiul articolului 50 alineatul (3) din Regulamentul (CE) nr. 767/2008 și al articolului 17 alineatul (3) din Decizia 2008/633/JAI, EES, în temeiul articolului 72 alineatul (4) din Regulamentul (UE) 2017/2226 și ETIAS, în temeiul articolului 92 alineatul (4) din Regulamentul (UE) 2018/1240;

(gg)

adoptă raportul anual privind activitățile sistemului central Eurodac, în temeiul articolului 40 alineatul (1) din Regulamentul (UE) nr. 603/2013;

(hh)

adoptă observații formale cu privire la rapoartele de audit ale Autorității Europene pentru Protecția Datelor, elaborate în temeiul articolului 45 alineatul (2) din Regulamentul (CE) nr. 1987/2006, al articolului 42 alineatul (2) din Regulamentul (CE) nr. 767/2008 și al articolului 31 alineatul (2) din Regulamentul (UE) nr. 603/2013, al articolului 56 alineatul (2) din Regulamentul (UE) 2017/2226 și al articolului 67 din Regulamentul (UE) 2018/1240 și asigură măsuri corespunzătoare în urma auditurilor respective;

(ii)

publică, în temeiul articolului 50 alineatul (3) din Regulamentul (CE) nr. 1987/2006 și, respectiv, al articolului 66 alineatul (3) din Decizia 2007/533/JAI, statistici privind SIS II;

(jj)

compilează și publică statistici privind activitățile sistemului central Eurodac, în temeiul articolului 8 alineatul (2) din Regulamentul (UE) nr. 603/2013;

(kk)

publică statistici referitoare la EES, în temeiul articolului 63 din Regulamentul (UE) 2017/2226;

(ll)

publică statistici legate de ETIAS, în temeiul articolului 84 din Regulamentul (UE) 2018/1240;

(mm)

asigură publicarea anuală a listei autorităților competente autorizate să consulte direct datele introduse în SIS II în temeiul articolului 31 alineatul (8) din Regulamentul (CE) nr. 1987/2006 și al articolului 46 alineatul (8) din Decizia 2007/533/JAI, precum și a listei oficiilor sistemelor naționale ale SIS II (oficiile N.SIS II) și a birourilor SIRENE în temeiul articolului 7 alineatul (3) din Regulamentul (CE) nr. 1987/2006 și, respectiv, al articolului 7 alineatul (3) din Decizia 2007/533/JAI, precum și a listei autorităților competente în temeiul articolului 65 alineatul (2) din Regulamentul (UE) 2017/2226 și a listei autorităților competente în temeiul articolului 87 alineatul (2) din Regulamentul (UE) 2018/1240.

(nn)

asigură publicarea anuală a listei unităților în temeiul articolului 27 alineatul (2) din Regulamentul (UE) nr. 603/2013;

(oo)

se asigură că toate deciziile și acțiunile agenției care vizează sistemele informatice la scară largă în spațiul de libertate, securitate și justiție respectă principiul independenței sistemului judiciar;

(pp)

îndeplinește orice alte atribuții care îi sunt conferite în conformitate cu prezentul regulament.

Fără a aduce atingere dispozițiilor privind publicarea listelor autorităților relevante prevăzute în actele juridice ale Uniunii menționate la litera (mm) din primul paragraf și în cazul în care obligația de a publica și de a actualiza în permanență aceste liste pe site-ul internet al agenției nu este prevăzută în actele juridice respective, Consiliul de administrație asigură o astfel de publicare și actualizare continuă.

(2)   Consiliul de administrație adoptă, în conformitate cu articolul 110 din Statutul funcționarilor, o decizie bazată pe articolul 2 alineatul (1) din Statutul funcționarilor și pe articolul 6 din Regimul aplicabil celorlalți agenți, prin care delegă directorului executiv competențele relevante ale autorității împuternicite să facă numiri și definește condițiile în care poate fi suspendată delegarea competențelor respective. Directorul executiv este autorizat să subdelege aceste competențe.

În cazul în care anumite circumstanțe excepționale impun acest lucru, Consiliul de administrație poate, prin intermediul unei decizii, să suspende temporar delegarea competențelor autorității împuternicite să facă numiri către directorul executiv și subdelegarea competențelor respective de către acesta/aceasta și să le exercite sau să le delege unuia dintre membrii săi sau unui membru al personalului, altul decât directorul executiv.

(3)   Consiliul de administrație poate face recomandări directorului executiv cu privire la orice aspect strict legat de dezvoltarea sau de gestionarea operațională a sistemelor informatice la scară largă și cu privire la activități legate de cercetare, proiecte-pilot, validări de concepte și testare.

Articolul 20

Componența Consiliului de administrație

(1)   Consiliul de administrație este format din câte un reprezentant al fiecărui stat membru și din doi reprezentanți ai Comisiei. Fiecare reprezentant are un drept de vot, în conformitate cu articolul 23.

(2)   Pentru fiecare membru al Consiliului de administrație există un membru supleant. Membrul supleant îl reprezintă pe membrul titular atunci când acesta (aceasta) lipsește sau în cazul în care membrul este ales în calitate de președinte sau de vicepreședinte al Consiliului de administrație și prezidează reuniunea Consiliului de administrație. Membrii Consiliului de administrație și supleanții acestora sunt numiți pe baza nivelului ridicat de experiență și expertiză relevante în domeniul sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție, precum și pe baza cunoștințelor cu privire la protecția datelor, ținând seama de competențele lor manageriale, administrative și bugetare relevante. Toate părțile reprezentate în Consiliul de administrație depun eforturi pentru a limita rotația reprezentanților lor, în scopul de a asigura continuitatea activității Consiliului de administrație. Toate părțile urmăresc să asigure o reprezentare echilibrată a bărbaților și femeilor în Consiliul de administrație.

(3)   Mandatul membrilor și al supleanților acestora este de patru ani, acesta putând fi reînnoit. La expirarea mandatelor sau în cazul demisiei lor, membrii rămân în funcție până la reînnoirea mandatului sau până la înlocuirea lor.

(4)   Țările asociate la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac participă la activitățile agenției. Fiecare dintre acestea numește un reprezentant și un supleant în Consiliul de administrație.

Articolul 21

Președintele Consiliului de administrație

(1)   Consiliul de administrație alege un președinte și un vicepreședinte din rândul acelor membri ai Consiliului de administrație care sunt numiți de statele membre ce trebuie să respecte integral, în temeiul dreptului Uniunii, toate actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea tuturor sistemelor informatice la scară largă gestionate de agenție. Președintele și vicepreședintele sunt aleși cu o majoritate de două treimi din membrii Consiliului de administrație cu drept de vot.

Vicepreședintele îl înlocuiește pe președinte din oficiu în cazul în care acesta se află în imposibilitatea de a-și îndeplini atribuțiile.

(2)   Durata mandatului președintelui și al vicepreședintelui este de patru ani. Mandatul acestora poate fi reînnoit o singură dată. Dacă pe durata mandatului lor aceștia încetează să mai fie membri ai Consiliului de administrație, mandatul lor expiră automat la aceeași dată.

Articolul 22

Reuniunile Consiliului de administrație

(1)   Președintele convoacă reuniunile Consiliului de administrație.

(2)   Directorul executiv ia parte la deliberări, fără a avea drept de vot.

(3)   Consiliul de administrație se reunește în cel puțin două ședințe ordinare pe an. În plus, acesta se reunește la inițiativa președintelui, la solicitarea Comisiei, la solicitarea directorului executiv sau la solicitarea a cel puțin o treime din membrii Consiliului de administrație cu drept de vot.

(4)   Europol și Eurojust pot participa la reuniunile Consiliului de administrație în calitate de observatori atunci când pe ordinea de zi se află o chestiune cu privire la SIS II, în legătură cu aplicarea Deciziei 2007/533/JAI. Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă poate participa la reuniunile Consiliului de administrație în calitate de observator atunci când pe ordinea de zi se află o chestiune referitoare la SIS II în legătură cu punerea în aplicare a Regulamentului (UE) 2016/1624.

Europol poate participa la reuniunile Consiliului de administrație, în calitate de observator, atunci când pe ordinea de zi figurează o chestiune referitoare la VIS, în legătură cu aplicarea Deciziei 2008/633/JAI, sau o chestiune referitoare la Eurodac, în legătură cu aplicarea Regulamentului (UE) nr. 603/2013.

Europol poate participa la reuniunile Consiliului de administrație, în calitate de observator, atunci când pe ordinea de zi se află o chestiune referitoare la EES, în legătură cu aplicarea Regulamentului (UE) 2017/2226, sau atunci când pe ordinea de zi se află o chestiune privind ETIAS, în legătură cu Regulamentul (UE) 2018/1240. Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă poate, de asemenea, participa la reuniunile Consiliului de administrație, în calitate de observator, atunci când pe ordinea de zi se află o chestiune referitoare la ETIAS în legătură cu punerea în aplicare a Regulamentul (UE) 2018/1240.

Consiliul de administrație poate invita orice altă persoană, ale cărei opinii pot prezenta interes, să participe la reuniuni în calitate de observator.

(5)   Membrii Consiliului de administrație și supleanții acestora pot, sub rezerva regulamentului de procedură al Consiliului de administrație, să fie asistați de consilieri sau de experți, în special aceia care sunt membri ai grupurilor consultative.

(6)   Agenția asigură secretariatul Consiliului de administrație.

Articolul 23

Regulile de vot ale Consiliului de administrație

(1)   Fără a aduce atingere alineatului (5) din prezentul articol, articolului 19 alineatul (1) literele (b) și (r), articolului 21 alineatul (1) și articolului 25 alineatul (8), deciziile Consiliului de administrație se iau cu majoritatea membrilor săi cu drept de vot.

(2)   Fără a aduce atingere dispozițiilor de la alineatele (3) și (4), fiecare membru al Consiliului de administrație dispune de un vot. În absența unui membru cu drept de vot, dreptul de vot al acestuia poate fi exercitat de către supleantul său.

(3)   Fiecare membru desemnat de un stat membru care trebuie să respecte, în temeiul dreptului Uniunii, orice act juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea unui sistem informatic la scară largă gestionat de agenție poate vota cu privire la o chestiune referitoare la respectivul sistem informatic la scară largă.

Danemarca poate vota cu privire la o chestiune legată de un sistem informatic la scară largă dacă hotărăște, în temeiul articolului 4 din Protocolul nr. 22, să pună în aplicare în dreptul său intern, actul juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea respectivului sistem informatic la scară largă.

(4)   Articolul 42 se aplică cu privire la drepturile de vot ale reprezentanților țărilor care au încheiat acorduri cu Uniunea privind asocierea lor la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac.

(5)   În cazul unui dezacord în rândul membrilor referitor la faptul dacă un vot privește un sistem informatic la scară largă specific, orice decizie care stabilește că votul nu privește respectivul sistem informatic la scară largă se ia cu o majoritate de două treimi a membrilor Consiliului de administrație cu drept de vot.

(6)   Președintele sau vicepreședintele, atunci când îl înlocuiește pe președinte, nu votează. Dreptul de vot al președintelui sau al vicepreședintelui, atunci când îl înlocuiește pe președinte, se exercită de către supleantul său.

(7)   Directorul executiv nu votează.

(8)   Regulamentul de procedură al Consiliului de administrație stabilește modalități de vot mai detaliate, în special condițiile în care un membru poate acționa în numele unui alt membru și orice cerință privind cvorumul, după caz.

Articolul 24

Responsabilitățile directorului executiv

(1)   Directorul executiv gestionează Agenția. Directorul executiv oferă asistență Consiliului de administrație și răspunde în fața acestuia. Directorul executiv prezintă Parlamentului European un raport privind modul în care și-a îndeplinit atribuțiile, atunci când este invitat să facă acest lucru. Consiliul îi poate solicita directorului executiv să prezinte un raport cu privire la îndeplinirea atribuțiilor sale.

(2)   Directorul executiv este reprezentantul legal al agenției.

(3)   Directorul executiv răspunde de punerea în aplicare a atribuțiilor conferite agenției prin prezentul regulament. În special, directorul executiv răspunde de:

(a)

administrarea curentă a Agenției;

(b)

funcționarea agenției, în conformitate cu prezentul regulament;

(c)

pregătirea și punerea în aplicare a procedurilor, deciziilor, strategiilor, programelor și activităților adoptate de Consiliul de administrație, în limitele stabilite de prezentul regulament, de normele de aplicare a acestuia și de dreptul aplicabil al Uniunii;

(d)

elaborarea documentului unic de programare și prezentarea acestuia Consiliului de administrație, după consultarea Comisiei și a grupurilor consultative;

(e)

punerea în aplicare a documentului unic de programare și raportarea către Consiliul de administrație cu privire la punerea sa în aplicare;

(f)

elaborarea raportului intermediar privind progresele înregistrate cu privire la punerea în aplicare a activităților planificate pentru anul curent și, după consultarea grupurilor consultative, prezentarea acestuia Consiliului de administrație spre adoptare până la sfârșitul lunii august a fiecărui an;

(g)

elaborarea raportului anual consolidat privind activitățile agenției și, după consultarea grupurilor consultative, prezentarea acestuia Consiliului de administrație, spre evaluare și adoptare;

(h)

elaborarea unui plan de acțiune în urma concluziilor rapoartelor de audit și a evaluărilor interne sau externe, precum și în urma investigațiilor efectuate de OLAF și de EPPO, și prezentarea unui raport privind progresele înregistrate către Comisie, de două ori pe an, precum și în mod periodic către Consiliul de administrație;

(i)

protejarea intereselor financiare ale Uniunii prin aplicarea de măsuri de prevenire a fraudei, a corupției și a oricăror alte activități ilegale, fără a aduce atingere competenței de investigare a EPPO și a OLAF, prin realizarea de controale eficace și, dacă se constată nereguli, prin recuperarea sumelor plătite în mod necuvenit și, dacă este cazul, prin aplicarea unor sancțiuni administrative, inclusiv a unor sancțiuni financiare, eficace, proporționale și disuasive;

(j)

elaborarea unei strategii antifraudă a agenției și prezentarea acesteia Consiliului de administrație, spre adoptare, precum și monitorizarea implementării adecvate și la timp a strategiei;

(k)

elaborarea proiectului de norme financiare aplicabile agenției și prezentarea acestuia Consiliului de administrație, spre adoptare, după consultarea Comisiei;

(l)

întocmirea proiectului de buget pentru anul următor, stabilit pe baza bugetului pe activități;

(m)

elaborarea proiectului de situație estimativă a veniturilor și cheltuielilor agenției;

(n)

execuția bugetului agenției;

(o)

instituirea și aplicarea unui sistem eficace care să permită monitorizarea și evaluarea la intervale regulate a:

(i)

sistemelor informatice la scară largă, inclusiv a statisticilor; și

(ii)

a agenției, inclusiv în ceea ce privește îndeplinirea efectivă și eficientă a obiectivelor sale;

(p)

stabilirea, fără a aduce atingere articolului 17 din Statutul funcționarilor, a cerințelor de confidențialitate pentru respectarea articolului 17 din Regulamentul (CE) nr. 1987/2006, a articolului 17 din Decizia 2007/533/JAI, a articolului 26 alineatul (9) din Regulamentul (CE) nr. 767/2008, a articolului 4 alineatul (4) din Regulamentul (UE) nr. 603/2013; a articolului 37 alineatul (4) din Regulamentul (UE) 2017/2226 și a articolului 74 alineatul (2) din Regulamentul (UE) 2018/1240;

(q)

negocierea și, după obținerea aprobării Consiliului de administrație, semnarea unui acord privind sediul agenției și a unor acorduri privind amplasamentele tehnice și de siguranță cu statele membre gazdă;

(r)

pregătirea modalităților practice de punere în aplicare a Regulamentului (CE) nr. 1049/2001 și prezentarea acestora Consiliului de administrație, spre adoptare;

(s)

pregătirea măsurilor de securitate necesare, inclusiv a unui plan de securitate și a unui plan de asigurare a continuității activității (business continuity) și de redresare în caz de dezastru (disaster recovery plan), și, după consultarea grupului consultativ relevant, prezentarea acestora Consiliului de administrație, spre adoptare;

(t)

pregătirea rapoartelor privind funcționarea tehnică a fiecărui sistem informatic la scară largă, menționate la articolul 19 alineatul (1) litera (ff), și a raportului anual privind activitățile sistemului central Eurodac, menționat la articolul 19 alineatul (1) litera (gg), pe baza rezultatelor monitorizării și evaluării, și, după consultarea grupului consultativ relevant, prezentarea acestora Consiliului de administrație, spre adoptare;

(u)

întocmirea rapoartelor privind dezvoltarea EES, menționate la articolul 72 alineatul (2) din Regulamentul (UE) 2017/2226 și privind dezvoltarea ETIAS, menționat la articolul 92 alineatul (2) din Regulamentul (UE) 2018/1240, și prezentarea acestora Consiliului de administrație, spre adoptare;

(v)

pregătirea, în vederea publicării, a listei anuale a autorităților competente autorizate să consulte direct datele introduse în SIS II, inclusiv lista oficiilor N.SIS II și a birourilor SIRENE și a listei autorităților competente autorizate să consulte direct datele introduse în EES și ETIAS, menționată la articolul 19 alineatul (1) litera (mm), și a listei unităților menționate la articolul 19 alineatul (1) litera (nn), și prezentarea acestora Consiliului de administrație, spre adoptare.

(4)   Directorul executiv îndeplinește orice alte atribuții în conformitate cu prezentul regulament.

(5)   Directorul executiv decide dacă este necesară detașarea unuia sau a mai multor membri ai personalului în unul sau mai multe state membre, pentru a îndeplini atribuțiile agenției într-un mod eficient și eficace și pentru a stabili un birou local în acest scop. Înainte de adoptarea unei astfel de decizii, directorul executiv trebuie să obțină acordul prealabil al Comisiei, al Consiliului de administrație și al statului membru sau statelor membre în cauză. Decizia directorului executiv precizează domeniul de aplicare al activităților care urmează să fie efectuate în cadrul biroului local, având în vedere evitarea costurilor inutile și a dublării funcțiilor administrative ale Agenției. Activitățile efectuate în amplasamentele tehnice nu se desfășoară într-un birou local.

Articolul 25

Numirea directorului executiv

(1)   Consiliul de administrație numește directorul executiv pe baza unei liste alcătuite din cel puțin trei candidați propuși de Comisie, în urma unei proceduri de selecție deschise și transparente. Această procedură de selecție impune publicarea, în Jurnalul Oficial al Uniunii Europene și în alte publicații media relevante, a unei cereri de exprimare a interesului. Consiliul de administrație numește directorul executiv pe baza meritelor sale, a experienței dovedite în domeniul sistemelor informatice la scară largă și a aptitudinilor administrative, financiare și de gestionare și pe baza cunoștințelor în domeniul protecției datelor.

(2)   Înainte de a fi numiți în funcție, candidații propuși de Comisie sunt invitați să facă o declarație în fața comisiei (comisiilor) competente a (ale) Parlamentului European și să răspundă întrebărilor formulate de membrii comisiei (comisiilor) respective. După luarea declarației și audierea răspunsurilor, Parlamentul European adoptă un aviz în care își exprimă opinia și în care poate menționa candidatul preferat.

(3)   Consiliul de administrație numește directorul executiv ținând seama de aceste opinii.

(4)   În cazul în care Consiliul de administrație ia decizia de a numi alt candidat decât candidatul pe care Parlamentul European l-a indicat ca fiind preferat, Consiliul de administrație informează în scris Parlamentul European și Consiliul cu privire la modul în care s-a ținut seama de avizul Parlamentului European.

(5)   Durata mandatului directorului executiv este de cinci ani. Până la sfârșitul acestei perioade, Comisia efectuează o analiză care ia în considerare evaluarea de către aceasta a performanțelor directorului executiv, precum și atribuțiile și provocările viitoare ale agenției.

(6)   Consiliul de administrație, acționând pe baza unei propuneri a Comisiei care ia în considerare evaluarea menționată la alineatul (5), poate prelungi durata mandatului directorului executiv o singură dată, cu cel mult cinci ani.

(7)   Consiliul de administrație informează Parlamentul European în legătură cu intenția sa de a prelungi mandatul directorului executiv. În cursul unei perioade de o lună premergătoare unei astfel de prelungiri, directorul executiv este invitat să facă o declarație în fața comisiei sau a comisiilor competente ale Parlamentului European și să răspundă întrebărilor formulate de membrii acestora.

(8)   Un director executiv al cărui mandat a fost prelungit nu mai poate să participe la o nouă procedură de selecție pentru același post după încheierea perioadei celor două mandate.

(9)   Directorul executiv poate fi demis din funcție numai prin decizia Consiliului de administrație, care acționează la propunerea majorității membrilor cu drept de vot ai acestuia sau a Comisiei.

(10)   Consiliul de administrație adoptă deciziile referitoare la numirea, la prelungirea mandatului sau la demiterea din funcție a directorului executiv cu o majoritate de două treimi din voturile membrilor săi cu drept de vot.

(11)   În scopul încheierii contractului de muncă cu directorul executiv, agenția este reprezentată de președintele Consiliului de administrație. Directorul executiv este angajat ca agent temporar al agenției în temeiul articolului 2 litera (a) din Regimul aplicabil celorlalți agenți ai Uniunii Europene.

Articolul 26

Directorul executiv adjunct

(1)   Directorul executiv este asistat de un director executiv adjunct. Directorul executiv adjunct îl înlocuiește pe directorul executiv în cazul absenței acestuia din urmă. Directorul executiv stabilește atribuțiile directorului executiv adjunct.

(2)   Directorul executiv adjunct este numit de Consiliul de administrație la propunerea directorului executiv. Directorul executiv adjunct este numit pe criterii de merit și pe baza calităților administrative și de conducere corespunzătoare, precum și a experienței profesionale pertinente. Directorul executiv propune cel puțin trei candidați pentru postul de director executiv adjunct. Consiliul de administrație își adoptă decizia cu o majoritate de două treimi din totalul membrilor săi cu drept de vot. Consiliul de administrație are competența de a demite directorul executiv adjunct printr-o decizie adoptată cu o majoritate de două treimi din totalul membrilor săi cu drept de vot.

(3)   Directorul executiv adjunct este numit pentru un mandat de cinci ani. Consiliul de administrație poate prelungi acest mandat o singură dată, pentru o perioadă de cel mult cinci ani. Consiliul de administrație adoptă o astfel de decizie cu o majoritate de două treimi din totalul membrilor săi cu drept de vot.

Articolul 27

Grupurile consultative

(1)   Următoarele grupuri consultative oferă Consiliului de administrație expertiză în domeniul sistemelor informatice la scară largă și, în special, în contextul pregătirii programului anual de lucru și a raportului anual de activitate:

(a)

grupul consultativ SIS II;

(b)

grupul consultativ VIS;

(c)

grupul consultativ EURODAC;

(d)

grupul consultativ EES-ETIAS;

(e)

orice alt grup consultativ privind un sistem informatic la scară largă, atunci când actul juridic al Uniunii relevant care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemului informatic la scară largă respectiv prevede acest lucru.

(2)   Fiecare stat membru care trebuie să respecte, în temeiul dreptului Uniunii, orice act juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea unui anumit sistem informatic la scară largă, și Comisia numesc câte un membru în cadrul grupului consultativ privind sistemul informatic la scară largă respectiv, pentru un mandat de patru ani, care poate fi reînnoit.

Danemarca numește, de asemenea, un membru în cadrul unui grup consultativ legat de un sistem informatic la scară largă, dacă hotărăște, în temeiul articolului 4 din Protocolul nr. 22, să pună în aplicare, în dreptul său intern, actul juridic al Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemului informatic la scară largă respectiv.

Fiecare țară asociată la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac care participă la un anumit sistem informatic la scară largă numește un membru în cadrul grupului consultativ privind sistemul informatic la scară largă respectiv.

(3)   Europol, Eurojust și Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă pot numi fiecare câte un reprezentat în cadrul grupului consultativ SIS II. Europol poate, de asemenea, să numească un reprezentant în cadrul grupurilor consultative VIS, Eurodac și EES-ETIAS. Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă poate, de asemenea, să numească un reprezentant în cadrul grupului consultativ EESETIAS.

(4)   Membrii Consiliului de administrație și supleanții acestora nu pot fi membri ai grupurilor consultative. Directorul executiv sau un reprezentant al directorului executiv au dreptul de a participa la toate reuniunile grupurilor consultative, în calitate de observator.

(5)   Grupurile consultative cooperează între ele ori de câte ori este necesar. Procedurile privind funcționarea și cooperarea grupurilor consultative sunt stabilite în regulamentul de procedură al agenției.

(6)   Atunci când elaborează un aviz, membrii fiecărui grup consultativ depun toate eforturile pentru a ajunge la un consens. În cazul în care nu se ajunge la consens, poziția motivată a majorității membrilor este considerată a reprezenta avizul grupului consultativ. Poziția motivată sau pozițiile motivate ale minorității sunt, de asemenea, consemnate. Articolul 23 alineatele (3) și (5) se aplică în consecință. Membrii reprezentând țările asociate la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac pot să emită avize privind chestiuni în legătură cu care aceștia nu au dreptul de vot.

(7)   Fiecare stat membru și fiecare țară asociată la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac facilitează activitățile grupurilor consultative.

(8)   Articolul 21 se aplică mutatis mutandis în ceea ce privește președinția grupurilor consultative.

CAPITOLUL IV

DISPOZIȚII GENERALE

Articolul 28

Personalul

(1)   Statutul și normele adoptate de comun acord de instituțiile Uniunii pentru punerea în aplicare a Statutului se aplică personalului agenției, inclusiv directorului executiv.

(2)   În scopul punerii în aplicare a Statutului, agenția este considerată o agenție în sensul articolului 1a alineatul (2) din Statutul funcționarilor.

(3)   Personalul agenției este compus din funcționari, agenți temporari și agenți contractuali. Consiliul de administrație își exprimă în fiecare an acordul în ceea ce privește contractele pe care directorul executiv intenționează să le reînnoiască și care, prin reînnoire, ar deveni contracte pe durată nedeterminată în temeiul Regimului aplicabil celorlalți agenți.

(4)   Agenția nu recrutează lucrători temporari pentru îndeplinirea unor atribuții considerate a avea caracter sensibil din punct de vedere financiar.

(5)   Comisia și statele membre pot detașa, cu titlu temporar, funcționari sau experți naționali în cadrul agenției. Consiliul de administrație adoptă o decizie care stabilește norme privind detașarea experților naționali la agenție.

(6)   Fără a aduce atingere articolului 17 din Statutul funcționarilor, agenția aplică normele corespunzătoare privind secretul profesional sau alte obligații de confidențialitate echivalente.

(7)   Consiliul de administrație, de comun acord cu Comisia, adoptă măsurile de punere în aplicare necesare menționate la articolul 110 din Statutul funcționarilor.

Articolul 29

Interesul public

Membrii Consiliului de administrație, directorul executiv, directorul executiv adjunct și membrii grupurilor consultative se angajează să acționeze în interesul public. În acest scop, aceștia fac anual, în scris și în mod public o declarație de angajament, care se publică pe site-ul internet al agenției.

Lista membrilor Consiliului de administrație și a membrilor grupurilor consultative se publică pe site-ul internet al agenției.

Articolul 30

Acordul privind sediul și acordurile privind amplasamentele tehnice

(1)   Dispozițiile necesare referitoare la găzduirea agenției în statele membre gazdă și facilitățile care trebuie puse la dispoziție de către respectivele statele membre, precum și normele specifice aplicabile în statele membre gazdă membrilor Consiliului de administrație, directorului executiv, celorlalți membri ai personalului agenției și membrilor familiilor acestora sunt prevăzute într-un acord privind sediul agenției și în acorduri privind amplasamentele tehnice. Aceste acorduri se încheie între agenție și statele membre gazdă, în urma aprobării de către Consiliul de administrație.

(2)   Statele membre gazdă ale agenției oferă condițiile necesare pentru a asigura funcționarea corespunzătoare a agenției, inclusiv, printre altele, condiții de școlarizare multilingvă și cu vocație europeană, precum și conexiuni de transport adecvate.

Articolul 31

Privilegii și imunități

Protocolul privind privilegiile și imunitățile Uniunii Europene se aplică agenției.

Articolul 32

Răspunderea

(1)   Răspunderea contractuală a agenției este reglementată de legea aplicabilă contractului în cauză.

(2)   Curtea de Justiție a Uniunii Europene este competentă să se pronunțe în temeiul oricărei clauze compromisorii cuprinse într-un contract încheiat de agenție.

(3)   În materie de răspundere extracontractuală, agenția este obligată să repare, în conformitate cu principiile generale comune ordinilor juridice ale statelor membre, orice prejudiciu cauzat de departamentele sale sau de membrii personalului său în exercițiul funcțiunii lor.

(4)   Curtea de Justiție a Uniunii Europene este competentă în litigiile privind repararea prejudiciilor menționate la alineatul (3).

(5)   Răspunderea personală a personalului agenției față de aceasta este reglementată de dispozițiile aplicabile lor, prevăzute în Statutul funcționarilor sau în Regimul aplicabil celorlalți agenți.

Articolul 33

Regimul lingvistic

(1)   Regulamentul nr. 1 al Consiliului (46) se aplică agenției.

(2)   Fără a aduce atingere deciziilor luate în temeiul articolului 342 din TFUE, documentul unic de programare menționat la articolul 19 alineatul (1) litera (r), precum și raportul de activitate anual menționat la articolul 19 alineatul (1) litera (t), se întocmesc în toate limbile oficiale ale instituțiilor Uniunii.

(3)   Consiliul de administrație poate adopta o decizie cu privire la limbile de lucru fără a aduce atingere obligațiilor stabilite la alineatele (1) și (2).

(4)   Serviciile de traducere necesare pentru activitățile agenției sunt asigurate de Centrul de Traduceri pentru Organismele Uniunii Europene.

Articolul 34

Transparență și comunicare

(1)   Regulamentul (CE) nr. 1049/2001 se aplică documentelor deținute de agenție.

(2)   Pe baza unei propuneri din partea directorului executiv, Consiliul de administrație adoptă fără întârziere normele detaliate de aplicare a Regulamentului (CE) nr. 1049/2001.

(3)   Deciziile adoptate de agenție în temeiul articolului 8 din Regulamentul (CE) nr. 1049/2001 pot face obiectul unei plângeri adresate Ombudsmanului European sau al unei acțiuni la Curtea de Justiție a Uniunii Europene, în condițiile prevăzute la articolele 228 și, respectiv, 263 din TFUE.

(4)   Agenția comunică în conformitate cu actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor informatice la scară largă și se poate angaja, din proprie inițiativă, în activități de comunicare, în limitele domeniului său de competență. Agenția se asigură, în special, că, în plus față de publicarea documentelor menționate la articolul 19 alineatul (1) literele (r), (t), (ii), (jj), (kk) și (ll) și la articolul 47 alineatul (9), publicul și orice parte interesată primesc cu promptitudine informații obiective, corecte, temeinice, complete și ușor de înțeles cu privire la activitatea sa. Alocarea de resurse pentru activitățile de comunicare nu trebuie să afecteze în mod negativ îndeplinirea efectivă a atribuțiilor agenției, astfel cum sunt menționate la articolele 3-16. Activitățile de comunicare se efectuează în conformitate cu planurile de comunicare și diseminare relevante, adoptate de Consiliul de administrație.

(5)   Orice persoană fizică sau juridică are dreptul să adreseze agenției corespondență scrisă, în oricare dintre limbile oficiale ale Uniunii. Persoana vizată are dreptul de a primi un răspuns în aceeași limbă.

Articolul 35

Protecția datelor

(1)   Prelucrarea datelor cu caracter personal de către agenție este reglementată de Regulamentul (UE) 2018/1725.

(2)   Consiliul de administrație adoptă măsurile de aplicare a Regulamentului (UE) 2018/1725 de către agenție, inclusiv măsuri referitoare la responsabilul cu protecția datelor. Aceste măsuri sunt adoptate după consultarea Autorității Europene pentru Protecția Datelor.

Articolul 36

Scopurile prelucrării datelor cu caracter personal

(1)   Agenția poate prelucra date cu caracter personal exclusiv în următoarele scopuri:

(a)

atunci când este necesar pentru îndeplinirea atribuțiilor legate de gestionarea operațională a sistemelor informatice la scară largă care i-au fost încredințate în temeiul dreptului Uniunii;

(b)

atunci când este necesar pentru atribuțiile sale administrative.

(2)   În cazul în care agenția prelucrează date cu caracter personal în scopul menționat la alineatul (1) litera (a) din prezentul articol, Regulamentul (UE) 2018/1725 se aplică fără a aduce atingere dispozițiilor specifice privind protecția și securitatea datelor prevăzute de actele juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor.

Articolul 37

Norme de securitate privind protejarea informațiilor clasificate și a informațiilor sensibile neclasificate

(1)   Agenția adoptă propriile norme de securitate bazate pe principiile și normele stabilite în normele de securitate ale Comisiei pentru protejarea informațiilor clasificate ale Uniunii Europene (IUEC) și a informațiilor neclasificate sensibile incluzând, printre altele, dispozițiile privind schimbul cu state terțe, prelucrarea și stocarea unor astfel de informații, astfel cum este prevăzut în Deciziile (UE, Euratom) 2015/443 (47) și (UE, Euratom) 2015/444 (48) ale Comisiei. Orice acord administrativ privind schimbul de informații clasificate cu autoritățile competente ale unui stat terț sau, în absența unui astfel de acord, orice comunicare ad hoc excepțională a IUEC către astfel de autorități trebuie să fi primit aprobarea prealabilă a Comisiei.

(2)   Consiliul de administrație adoptă normele de securitate menționate la alineatul (1) de la prezentul articol în urma aprobării de către Comisie. Agenția poate lua toate măsurile necesare în vederea facilitării schimbului de informații relevante pentru atribuțiile sale cu Comisia și statele membre și, dacă este cazul, cu agențiile relevante ale Uniunii. Agenția dezvoltă și gestionează un sistem de informații capabil să realizeze schimburi de informații clasificate cu Comisia, cu statele membre și cu agențiile relevante ale Uniunii, în conformitate cu Decizia (UE, Euratom) 2015/444. Consiliul de administrație decide, în temeiul articolului 2 și al articolului 19 alineatul (1) litera (z) din prezentul regulament, cu privire la structura internă a agenției necesară pentru respectarea principiilor de securitate corespunzătoare.

Articolul 38

Securitatea agenției

(1)   Agenția este responsabilă de securitate și de păstrarea ordinii în clădirile, spațiile și pe terenurile pe care le utilizează. Agenția aplică principiile de securitate și dispozițiile relevante ale actelor juridice ale Uniunii care reglementează dezvoltarea, instituirea, funcționarea și utilizarea sistemelor informatice la scară largă.

(2)   Statele membre gazdă iau toate măsurile eficiente și adecvate pentru a păstra ordinea și securitatea în imediata vecinătate a clădirilor, a spațiilor și a terenurilor utilizate de agenție și oferă agenției protecția corespunzătoare, în conformitate cu acordul privind sediul agenției și cu acordurile privind amplasamentele tehnice și de rezervă, garantând, în același timp, persoanelor autorizate de agenție, accesul liber la aceste clădiri, spații și terenuri.

Articolul 39

Evaluarea

(1)   Până la 12 decembrie 2023 și la fiecare cinci ani după aceasta, Comisia, după consultarea Consiliului de administrație, evaluează, în conformitate cu orientările Comisiei, performanțele agenției în raport cu obiectivele, mandatul, locațiile și atribuțiile acesteia. Evaluarea respectivă include, de asemenea, o examinare a punerii în aplicare a prezentului regulament, precum și a modului și măsurii în care agenția contribuie efectiv la gestionarea operațională a sistemelor informatice la scară largă și la instituirea unui mediu informatic coordonat, rentabil și coerent la nivelul Uniunii în spațiul de libertate, securitate și justiție. Evaluarea respectivă analizează, în special, eventuala necesitate de a modifica mandatul agenției, precum și implicațiile financiare ale unei astfel de modificări. Consiliul de administrație poate emite recomandări adresate Comisiei cu privire la eventuale modificări ale prezentului regulament.

(2)   În cazul în care Comisia consideră că funcționarea în continuare a agenției nu se mai justifică în raport cu obiectivele, mandatul și atribuțiile repartizate, aceasta poate propune modificarea în consecință sau abrogarea prezentului regulament.

(3)   Comisia prezintă Parlamentului European, Consiliului și Consiliului de administrație rezultatele evaluării prevăzute la alineatul (1). Rezultatele evaluării se fac publice.

Articolul 40

Investigații administrative

Activitățile agenției fac obiectul investigațiilor Ombudsmanului European în conformitate cu dispozițiile articolului 228 din TFUE.

Articolul 41

Cooperarea cu instituțiile, organele, oficiile și agențiile Uniunii

(1)   Agenția cooperează cu Comisia, cu alte instituții ale Uniunii și cu alte organe, oficii și agenții ale Uniunii, în special cu cele instituite în spațiul de libertate, securitate și justiție, îndeosebi cu Agenția Uniunii Europene pentru Drepturi Fundamentale, în domeniile reglementate de prezentul regulament, pentru a asigura, printre altele, coordonarea și a face economii financiare, a evita dublarea eforturilor și a promova sinergia și complementaritatea în ceea ce privește activitățile acestora.

(2)   Agenția cooperează cu Comisia în cadrul unui acord de lucru care stabilește metode de lucru operaționale.

(3)   Agenția consultă Agenția Europeană pentru Securitatea Rețelelor și a Informațiilor și urmează recomandările acesteia cu privire la securitatea rețelelor și a informațiilor, dacă este cazul.

(4)   Cooperarea cu organele, oficiile și agențiile Uniunii are loc în cadrul înțelegerilor de lucru. Consiliul de administrație autorizează astfel de înțelegeri de lucru, luând în considerare avizul Comisiei. În cazul în care agenția nu urmează avizul Comisiei, aceasta trebuie să își justifice motivele. Astfel de înțelegeri de lucru pot prevedea utilizarea în comun a unor servicii între agenții, după caz, fie în funcție de proximitatea geografică, fie în funcție de domeniul de politică, în limitele mandatelor respective ale acestora și fără a aduce atingere atribuțiilor lor principale. Astfel de înțelegeri de lucru pot stabili un mecanism de recuperare a costurilor.

(5)   Instituțiile, organele, oficiile și agențiile Uniunii utilizează informațiile primite de la agenție exclusiv în limitele propriilor competențe și în măsura în care aceste informații respectă drepturile fundamentale, inclusiv cerințele privind protecția datelor cu caracter personal. Transmiterea mai departe sau alte metode de comunicare a datelor cu caracter personal prelucrate de către agenție către instituțiile, organele, oficiile sau agențiile Uniunii fac obiectul unor înțelegeri de lucru specifice privind schimbul de date cu caracter personal și sunt supuse aprobării prealabile de către Autoritatea Europeană pentru Protecția Datelor. Orice transfer de date cu caracter personal efectuat de agenție este în conformitate cu articolele 35 și 36. În ceea ce privește gestionarea informațiilor clasificate, astfel de acorduri de lucru prevăd respectarea, de către instituția, organul, oficiul sau agenția în cauză a Uniunii, a normelor și standardelor în materie de securitate echivalente celor aplicate de agenție.

Articolul 42

Participarea țărilor asociate la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac

(1)   Agenția este deschisă participării țărilor care au încheiat acorduri cu Uniunea privind asocierea lor la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și a măsurilor referitoare la Dublin și Eurodac.

(2)   În conformitate cu prevederile relevante ale acordurilor menționate la alineatul (1), se instituie mecanisme care să specifice, în special, natura și amploarea, precum și normele detaliate, privind participarea la activitatea agenției a țărilor, astfel cum se menționează la alineatul (1), inclusiv dispozițiile privind contribuțiile financiare, personalul și drepturile de vot.

Articolul 43

Cooperarea cu organizații internaționale și cu alte entități relevante

(1)   În cazul în care acest lucru este prevăzut de un act juridic al Uniunii, în măsura în care este necesar pentru îndeplinirea atribuțiilor sale, agenția poate, prin încheierea unor înțelegeri de lucru, stabili și menține relații cu organizații internaționale și organismele lor subordonate de drept internațional public sau cu alte entități sau organisme relevante care sunt înființate prin sau în temeiul unui acord între două sau mai multe țări.

(2)   În conformitate cu alineatul (1), pot fi încheiate înțelegeri de lucru care să specifice în special, domeniul de aplicare, natura, scopul și amploarea unei astfel de cooperări. Astfel de înțelegeri de lucru se pot încheia numai cu autorizarea Consiliului de administrație, după aprobarea prealabilă a Comisiei.

CAPITOLUL V

ÎNTOCMIREA ȘI STRUCTURA BUGETULUI

SECȚIUNEA 1

Documentul unic de programare

Articolul 44

Documentul unic de programare

(1)   În fiecare an, directorul executiv elaborează un proiect de document unic de programare pentru anul următor, astfel cum este prevăzut la articolul 32 din Regulamentul delegat (UE) nr. 1271/2013 și în dispozițiile relevante ale normelor financiare ale agenției adoptate în temeiul articolului 49 din prezentul regulament și luând în considerare orientările stabilite de Comisie.

Documentul unic de programare cuprinde un program multianual, un program de lucru anual, bugetul aferent agenției și informații cu privire la resursele sale, astfel cum se precizează în detaliu în normele financiare ale agenției adoptate în temeiul articolului 49.

(2)   Consiliul de administrație adoptă, după consultarea grupurilor consultative, proiectul de document unic de programare și îl transmite Parlamentului European, Consiliului și Comisiei până la data de 31 ianuarie a fiecărui an, precum și orice versiune actualizată a respectivului document.

(3)   Înainte de data de 30 noiembrie a fiecărui an, Consiliul de administrație adoptă, cu o majoritate de două treimi din membrii săi cu drept de vot, în conformitate cu procedura bugetară anuală, documentul unic de programare, ținând seama de avizul Comisiei. Consiliul de administrație se asigură că versiunea definitivă a documentului unic de programare este transmisă Parlamentului European, Consiliului și Comisiei și este publicată.

(4)   Documentul unic de programare devine definitiv după adoptarea finală a bugetului general al Uniunii și, dacă este necesar, este modificat în consecință. Documentul unic de programare adoptat este transmis ulterior Parlamentului European, Consiliului și Comisiei și este publicat.

(5)   Programul anual de lucru pentru anul următor cuprinde obiective detaliate și rezultate preconizate, inclusiv indicatori de performanță. Acesta conține, de asemenea, o descriere a acțiunilor care urmează să fie finanțate și o precizare a resurselor financiare și a resurselor umane alocate fiecărei acțiuni, în conformitate cu principiile întocmirii bugetului și ale gestionării pe activități. Programul anual de lucru este în concordanță cu programul multianual de lucru menționat la alineatul (6). Acesta indică în mod clar atribuțiile care au fost adăugate, modificate sau eliminate în comparație cu exercițiul financiar precedent. În cazul în care o nouă atribuție este conferită agenției, Consiliul de administrație modifică programul anual de lucru pe care l-a adoptat. Orice modificare substanțială a programului anual de lucru se adoptă prin aceeași procedură ca cea utilizată în cazul programului anual de lucru inițial. Consiliul de administrație poate delega directorului executiv competența de a aduce modificări nesubstanțiale programului anual de lucru.

(6)   Programul multianual stabilește programarea strategică globală, inclusiv obiectivele, rezultatele preconizate și indicatorii de performanță. Acesta stabilește, de asemenea, programarea resurselor, care include bugetul multianual și personalul. Programarea resurselor este actualizată în fiecare an. Programarea strategică se actualizează, dacă este cazul și, în special, pentru a reflecta rezultatul evaluării menționate la articolul 39.

Articolul 45

Întocmirea bugetului

(1)   În fiecare an, directorul executiv întocmește, ținând seama de activitățile desfășurate de agenție, un proiect de buget estimativ al veniturilor și cheltuielilor agenției pentru exercițiul financiar următor, care include un proiect de plan de personal, și îl transmite Consiliului de administrație.

(2)   Consiliul de administrație adoptă, în baza proiectului de buget estimativ întocmit de directorul executiv, un proiect de buget estimativ al veniturilor și cheltuielilor agenției pentru exercițiul financiar următor, care include un proiect de plan de personal. Până la data de 31 ianuarie a fiecărui an, Consiliul de administrație transmite acest document Comisiei și țărilor asociate la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac, ca parte a documentului unic de programare.

(3)   Comisia transmite proiectul de buget estimativ către autoritatea bugetară, împreună cu proiectul preliminar al bugetului general al Uniunii.

(4)   Pe baza proiectului de buget estimativ, Comisia înscrie în proiectul de buget general al Uniunii estimările pe care le consideră necesare pentru planul de personal și cuantumul aferent subvenției care urmează să fie acordată de la bugetul general, pe care le prezintă autorității bugetare în conformitate cu articolele 313 și 314 din TFUE.

(5)   Autoritatea bugetară autorizează creditele pentru contribuția acordată Agenției.

(6)   Autoritatea bugetară adoptă planul de personal al agenției.

(7)   Consiliul de administrație adoptă bugetul agenției. Acesta devine definitiv după adoptarea definitivă a bugetului general al Uniunii. Dacă este cazul, bugetul agenției se modifică în mod corespunzător.

(8)   Orice modificare a bugetului agenției, inclusiv a planului de personal, urmează aceeași procedură ca cea aplicabilă întocmirii bugetului inițial.

(9)   Fără a aduce atingere articolului 17 alineatul (5), Consiliul de administrație notifică, de îndată ce este posibil, autorității bugetare intențiile sale de punere în aplicare a oricărui proiect care poate avea implicații financiare semnificative pentru finanțarea bugetului său, în special orice proiecte de natură imobiliară, cum ar fi închirierea sau achiziționarea de imobile. Consiliul de administrație informează Comisia în acest sens. În cazul în care una dintre instituțiile autorității bugetare intenționează să emită un aviz, aceasta comunică Consiliului de administrație, în termen de două săptămâni de la primirea informațiilor privind proiectul, intenția sa de a emite un astfel de aviz. În absența unui răspuns, agenția poate demara operațiunea planificată. Regulamentul delegat (UE) nr. 1271/2013 se aplică pentru orice proiect imobiliar care poate avea implicații semnificative pentru bugetul agenției.

SECȚIUNEA 2

PREZENTAREA, EXECUȚIA ȘI CONTROLUL BUGETULUI

Articolul 46

Structura bugetului

(1)   Estimările privind toate veniturile și cheltuielile agenției se elaborează pentru fiecare exercițiu financiar, care corespunde anului calendaristic, și se înscriu în bugetul agenției.

(2)   Bugetul agenției trebuie să fie echilibrat în ceea ce privește veniturile și cheltuielile.

(3)   Fără a aduce atingere altor tipuri de venituri, veniturile agenției constau în:

(a)

o contribuție din partea Uniunii, înregistrată în bugetul general al Uniunii (secțiunea referitoare la Comisie);

(b)

o contribuție din partea țărilor asociate la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac, care participă la activitatea agenției, astfel cum se prevede în cadrul respectivelor acorduri de asociere și în acordurile menționate la articolul 42, care precizează contribuția lor financiară;

(c)

finanțare din partea Uniunii sub forma acordurilor de delegare în conformitate cu normele financiare ale agenției adoptate în temeiul articolului 49 și cu dispozițiile instrumentelor relevante care sprijină politicile Uniunii;

(d)

contribuțiile plătite de statele membre pentru serviciile care le sunt furnizate în conformitate cu acordul de delegare menționat la articolul 16;

(e)

costurile recuperate plătite de organele, oficiile și agențiile Uniunii pentru serviciile care le sunt furnizate în conformitate cu înțelegerile de lucru menționate la articolul 41; și

(f)

orice contribuție financiară voluntară din partea statelor membre.

(4)   Cheltuielile agenției includ remunerația personalului, costurile administrative și de infrastructură și cheltuielile operaționale.

Articolul 47

Execuția și controlul bugetului

(1)   Directorul executiv execută bugetul agenției.

(2)   În fiecare an, directorul executiv transmite autorității bugetare toate informațiile relevante pentru concluziile procedurilor de evaluare.

(3)   Până la data de 1 martie a unui an financiar N+1, contabilul agenției transmite conturile provizorii aferente anului financiar N contabilului Comisiei și Curții de Conturi. Contabilul Comisiei consolidează conturile provizorii ale instituțiilor și ale organismelor descentralizate, în conformitate cu articolul 245 din Regulamentul (UE, Euratom) 2018/1046.

(4)   Până la data de 31 martie a anului N+1, directorul executiv trimite un raport privind gestiunea bugetară și financiară pentru anul N Parlamentului European, Consiliului, Comisiei și Curții de Conturi.

(5)   Până la data de 31 martie a anului N+1, contabilul Comisiei transmite Curții de Conturi conturile provizorii ale agenției pentru anul N, consolidate cu conturile Comisiei.

(6)   La primirea observațiilor formulate de Curtea de Conturi cu privire la conturile provizorii ale agenției, în temeiul articolului 246 din Regulamentul (UE, Euratom) 2018/1046, directorul executiv întocmește, pe propria răspundere, conturile finale ale agenției și le transmite Consiliului de administrație în vederea obținerii unui aviz.

(7)   Consiliul de administrație emite un aviz cu privire la conturile finale ale agenției pentru anul N.

(8)   Până la data de 1 iulie a anului N+1, directorul executiv transmite conturile finale, însoțite de avizul Consiliului de administrație, Parlamentului European, Consiliului, Comisiei și Curții de Conturi, precum și țărilor asociate la implementarea, aplicarea și dezvoltarea acquis-ului Schengen și la măsurile referitoare la Dublin și Eurodac.

(9)   Conturile finale pentru anul N se publică în Jurnalul Oficial al Uniunii Europene până la data de 15 noiembrie a anului N+1.

(10)   Directorul executiv trimite Curții de Conturi un răspuns la observațiile acesteia până la 30 septembrie a anului N+1. Directorul executiv transmite răspunsul respectiv Consiliului de administrație.

(11)   Directorul executiv transmite Parlamentului European, la cererea acestuia din urmă, toate informațiile necesare pentru buna desfășurare a procedurii de descărcare de gestiune pentru anul N, în conformitate cu articolul 261 alineatul (3) din Regulamentul (UE, Euratom) 2018/1046.

(12)   La recomandarea Consiliului, care hotărăște cu majoritate calificată, Parlamentul European acordă, înainte de data de 15 mai a anului N+2, descărcarea de gestiune directorului executiv în ceea ce privește executarea bugetului pentru anul N.

Articolul 48

Prevenirea conflictelor de interese

Agenția adoptă norme interne care impun membrilor Consiliului de administrație și ai grupurilor sale consultative și ai personalului său să evite, pe durata raporturilor de muncă sau a mandatelor lor, orice situație susceptibilă să genereze un conflict de interese și să raporteze astfel de situații. Aceste norme interne se publică pe site-ul internet al Agenției.

Articolul 49

Normele financiare

Normele financiare aplicabile agenției sunt adoptate de Consiliul de administrație, după consultarea Comisiei. Acestea nu derogă de la Regulamentul delegat (UE) nr. 1271/2013, cu excepția cazului în care o astfel de derogare este în mod specific necesară pentru funcționarea agenției, iar Comisia și-a dat acordul prealabil.

Articolul 50

Combaterea fraudei

(1)   Pentru a combate frauda, corupția și alte activități ilegale, se aplică dispozițiile Regulamentului (UE, Euratom) nr. 883/2013 și ale Regulamentului (UE) 2017/1939.

(2)   Agenția aderă la Acordul interinstituțional din 25 mai 1999 privind investigațiile interne desfășurate de OLAF și adoptă, fără întârziere, dispozițiile corespunzătoare aplicabile tuturor angajaților agenției, utilizând modelul prevăzut în anexa la respectivul acord.

(3)   Curtea de Conturi are competența de a efectua audituri, pe baza documentelor și a controalelor la fața locului, în ceea ce privește toți beneficiarii de granturi, contractanții și subcontractanții care au primit fonduri ale Uniunii din partea agenției.

(4)   OLAF poate efectua investigații, inclusiv controale și inspecții la fața locului, în conformitate cu dispozițiile și procedurile prevăzute în Regulamentul (UE, Euratom) nr. 883/2013 și în Regulamentul (Euratom, CE) nr. 2185/96 al Consiliului (49), în scopul de a stabili dacă au avut loc cazuri de fraudă, corupție sau orice altă activitate ilegală care afectează interesele financiare ale Uniunii în legătură cu un grant sau cu un contract finanțat de agenție.

(5)   Fără a aduce atingere alineatelor (1), (2), (3) și (4), contractele, acordurile de grant și deciziile de acordare a granturilor ale agenției conțin dispoziții care împuternicesc în mod expres Curtea de Conturi, OLAF și EPPO să efectueze audituri și investigații, în conformitate cu competențele lor.

CAPITOLUL VI

MODIFICAREA ALTOR ACTE JURIDICE ALE UNIUNII

Articolul 51

Modificarea Regulamentului (CE) nr. 1987/2006

În Regulamentul (CE) nr. 1987/2006 la articolul 15, alineatele (2) și (3) se înlocuiesc cu următorul text:

„(2)   Autoritatea de gestionare este responsabilă cu toate atribuțiile legate de infrastructura de comunicații, în special:

(a)

supravegherea;

(b)

securitatea;

(c)

coordonarea relațiilor dintre statele membre și furnizor;

(d)

atribuțiile privind execuția bugetară;

(e)

achizițiile și reînnoirea; și

(f)

aspectele contractuale.”

Articolul 52

Modificarea Deciziei 2007/533/JAI

În Decizia 2007/533/JAI la articolul 15, alineatele (2) și (3) se înlocuiesc cu următorul text:

„(2)   Autoritatea de gestionare este responsabilă, de asemenea, cu toate atribuțiile legate de infrastructura de comunicații, în special:

(a)

supravegherea;

(b)

securitatea;

(c)

coordonarea relațiilor dintre statele membre și furnizor;

(d)

sarcinile privind execuția bugetară;

(e)

achizițiile și reînnoirea; și

(f)

aspectele contractuale.”

CAPITOLUL VII

DISPOZIȚII TRANZITORII

Articolul 53

Succesiunea legală

(1)   Agenția, astfel cum a fost instituită prin prezentul regulament, este succesorul legal în ceea ce privește toate contractele încheiate, obligațiile asumate și proprietățile dobândite de către Agenția europeană pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție, astfel cum a fost instituită prin Regulamentul (UE) nr. 1077/2011.

(2)   Prezentul regulament nu aduce atingere forței juridice a acordurilor, a înțelegerilor de lucru și a memorandumurilor de înțelegere încheiate de către agenție, astfel cum a fost instituită prin Regulamentul (UE) nr. 1077/2011, fără a aduce atingere eventualelor modificări ale acestora impuse de prezentul regulament.

Articolul 54

Dispoziții tranzitorii privind Consiliul de administrație și grupurile consultative

(1)   Membrii și președintele și vicepreședintele Consiliului de administrație, numiți în temeiul articolelor 13 și, respectiv, 14 din Regulamentul (UE) nr. 1077/2011, continuă să își exercite funcțiile pentru perioada rămasă din mandatul lor.

(2)   Membrii, președinții și vicepreședinții grupurilor consultative numiți în temeiul articolului 19 din Regulamentul (UE) nr. 1077/2011 continuă să își exercite funcțiile pentru perioada rămasă din mandatul lor.

Articolul 55

Menținerea în vigoare a normelor interne adoptate de Consiliul de administrație

Normele interne și măsurile adoptate de Consiliul de administrație în temeiul Regulamentului (UE) nr. 1077/2011 rămân în vigoare după 11 decembrie 2018, fără a aduce atingere eventualelor modificări ale acestora impuse de prezentul regulament.

Articolul 56

Dispoziții tranzitorii privind directorul executiv

Directorul executiv al Agenției Europene pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție, numit în temeiul articolului 18 din Regulamentul (UE) nr. 1077/2011, îndeplinește, pentru perioada rămasă din mandatul său, responsabilitățile directorului executiv al agenției, astfel cum se prevede la articolul 24 din prezentul regulament. Celelalte condiții ale contractului său rămân neschimbate. În cazul în care o decizie de prelungire a mandatului directorului executiv în conformitate cu articolul 18 alineatul (4) din Regulamentul (UE) nr. 1077/2011 este adoptată înainte de 11 decembrie 2018, mandatul său se prelungește automat până la 31 octombrie 2022.

CAPITOLUL VIII

DISPOZIȚII FINALE

Articolul 57

Înlocuirea și abrogarea

Regulamentul (UE) nr. 1077/2011 se înlocuiește în privința statelor membre pentru care prezentul regulament este obligatoriu.

Prin urmare, Regulamentul (UE) nr. 1077/2011 se abrogă.

În ceea ce privește statele membre pentru care prezentul regulament este obligatoriu, trimiterile la regulamentul abrogat se interpretează ca trimiteri la prezentul regulament și se citesc în conformitate cu tabelul de corespondență din anexa la prezentul regulament.

Articolul 58

Intrarea în vigoare și aplicarea

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament se aplică de la 11 decembrie 2018. Cu toate acestea, articolul 19 alineatul (1) litera (x), articolul 24 alineatul (3) literele (h) și (i) și articolul 50 alineatul (5) din prezentul regulament, în măsura în care acestea se referă la EPPO, și articolul 50 alineatul (1) din prezentul regulament, în măsura în care acesta se referă la Regulamentul (UE) 2017/1939, se aplică de la data stabilită prin decizia Comisiei prevăzută la articolul 120 alineatul (2) al doilea paragraf din Regulamentul (UE) 2017/1939.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în statele membre în conformitate cu tratatele.

Adoptat la Strasbourg, 14 noiembrie 2018.

Pentru Parlamentul European

Președintele

A. TAJANI

Pentru Consiliu

Președintele

K. EDTSTADLER


(1)  Poziția Parlamentului European din 5 iulie 2018 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 9 noiembrie 2018.

(2)  Regulamentul (CE) nr. 1987/2006 al Parlamentului European și al Consiliului din 20 decembrie 2006 privind instituirea, funcționarea și utilizarea Sistemului de Informații Schengen din a doua generație (SIS II) (JO L 381, 28.12.2006, p. 4).

(3)  Decizia 2007/533/JAI a Consiliului din 12 iunie 2007 privind înființarea, funcționarea și utilizarea Sistemului de informații Schengen de a doua generație (SIS II) (JO L 205, 7.8.2007, p. 63).

(4)  Decizia 2004/512/CE a Consiliului din 8 iunie 2004 de instituire a Sistemului de Informații privind Vizele (VIS) (JO L 213, 15.6.2004, p. 5).

(5)  Regulamentul (CE) nr. 767/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 privind Sistemul de informații privind vizele (VIS) și schimbul de date între statele membre cu privire la vizele de scurtă ședere (Regulamentul VIS) (JO L 218, 13.8.2008, p. 60).

(6)  Regulamentul (CE) nr. 2725/2000 al Consiliului din 11 decembrie 2000 privind instituirea sistemului „Eurodac” pentru compararea amprentelor digitale în scopul aplicării eficiente a Convenției de la Dublin (JO L 316, 15.12.2000, p. 1).

(7)  Regulamentul (CE) nr. 407/2002 al Consiliului din 28 februarie 2002 de stabilire a anumitor norme de punere în aplicare a Regulamentului (CE) nr. 2725/2000 privind instituirea sistemului „Eurodac” pentru compararea amprentelor digitale în scopul aplicării eficiente a Convenției de la Dublin (JO L 62, 5.3.2002, p. 1).

(8)  Regulamentul (UE) nr. 603/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind instituirea sistemului „Eurodac” pentru compararea amprentelor digitale în scopul aplicării eficiente a Regulamentului (UE) nr. 604/2013 de stabilire a criteriilor și mecanismelor de determinare a statului membru responsabil de examinarea unei cereri de protecție internațională prezentate într-unul dintre statele membre de către un resortisant al unei țări terțe sau de către un apatrid și privind cererile autorităților de aplicare a legii din statele membre și a Europol de comparare a datelor Eurodac în scopul asigurării respectării aplicării legii și de modificare a Regulamentului (UE) nr. 1077/2011 de instituire a Agenției europene pentru gestionarea operațională a sistemelor informatice la scară largă, în spațiul de libertate, securitate și justiție (JO L 180, 29.6.2013, p. 1).

(9)  Regulamentul (UE) nr. 1077/2011 al Parlamentului European și al Consiliului din 25 octombrie 2011 de instituire a Agenției europene pentru gestionarea operațională a sistemelor informatice la scară largă în spațiul de libertate, securitate și justiție (JO L 286, 1.11.2011, p. 1).

(10)  Decizia 2008/633/JAI a Consiliului din 23 iunie 2008 privind accesul la Sistemul de informații privind vizele (VIS) în vederea consultării de către autoritățile desemnate ale statelor membre și de către Europol în scopul prevenirii, depistării și cercetării infracțiunilor de terorism și a altor infracțiuni grave (JO L 218, 13.8.2008, p. 129).

(11)  Regulamentul (UE) 2017/2226 al Parlamentului European și al Consiliului din 30 noiembrie 2017 de instituire a Sistemului de intrare/ieșire (EES) pentru înregistrarea datelor de intrare și de ieșire și a datelor referitoare la refuzul intrării ale resortisanților țărilor terțe care trec frontierele externe ale statelor membre, de stabilire a condițiilor de acces la EES în scopul aplicării legii și de modificare a Convenției de punere în aplicare a Acordului Schengen și a Regulamentelor (CE) nr. 767/2008 și (UE) nr. 1077/2011 (JO L 327, 9.12.2017, p. 20).

(12)  Regulamentul (CE) nr. 1560/2003 al Comisiei din 2 septembrie 2003 de stabilire a normelor de aplicare a Regulamentului (CE) nr. 343/2003 al Consiliului de stabilire a criteriilor și mecanismelor de determinare a statului membru responsabil de examinarea unei cereri de azil prezentate într-unul dintre statele membre de către un resortisant al unei țări terțe (JO L 222, 5.9.2003, p. 3).

(13)  Regulamentul (UE) 2018/1240 al Parlamentului European și al Consiliului din 12 septembrie 2018 de instituire a Sistemului european de informații și de autorizare privind călătoriile (ETIAS) și de modificare a Regulamentelor (UE) nr. 1077/2011, (UE) nr. 515/2014, (UE) 2016/399, (UE) 2016/1624 și (UE) 2017/2226 (JO L 236, 19.9.2018, p. 1).

(14)  Decizia nr. 922/2009/CE a Parlamentului European și a Consiliului din 16 septembrie 2009 privind soluțiile de interoperabilitate pentru administrațiile publice europene (ISA) (JO L 280, 3.10.2009, p. 20).

(15)  Decizia (UE) 2015/2240 a Parlamentului European și a Consiliului din 25 noiembrie 2015 de instituire a unui program privind soluțiile de interoperabilitate și cadrele comune pentru administrațiile publice europene, întreprinderi și cetățeni (programul ISA2) ca mijloc de modernizare a sectorului public (JO L 318, 4.12.2015, p. 1).

(16)  Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).

(17)  Regulamentul (UE) nr. 1053/2013 al Consiliului din 7 octombrie 2013 de instituire a unui mecanism de evaluare și monitorizare în vederea verificării aplicării acquis-ului Schengen și de abrogare a Deciziei Comitetului executiv din 16 septembrie 1998 de instituire a Comitetului permanent pentru evaluarea și punerea în aplicare a Acordului Schengen (JO L 295, 6.11.2013, p. 27).

(18)  Regulamentul (UE) 2016/1624 al Parlamentului European și al Consiliului din 14 septembrie 2016 privind Poliția de frontieră și garda de coastă la nivel european și de modificare a Regulamentului (UE) 2016/399 al Parlamentului European și al Consiliului și de abrogare a Regulamentului (CE) nr. 863/2007 al Parlamentului European și al Consiliului, a Regulamentului (CE) nr. 2007/2004 al Consiliului și a Deciziei 2005/267/CE a Consiliului (JO L 251, 16.9.2016, p. 1).

(19)  Regulamentul (UE) nr. 515/2014 al Parlamentului European și al Consiliului din 16 aprilie 2014 de instituire, în cadrul Fondului pentru securitate internă, a instrumentului de sprijin financiar pentru frontiere externe și vize și de abrogare a Deciziei nr. 574/2007/CE (JO L 150, 20.5.2014, p. 143).

(20)  JO C 373, 20.12.2013, p. 1.

(21)  Regulamentul (UE) nr. 526/2013 al Parlamentului European și al Consiliului din 21 mai 2013 privind Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) și de abrogare a Regulamentului (CE) nr. 460/2004 (JO L 165, 18.6.2013, p. 41).

(22)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (a se vedea pagina 39 din prezentul Jurnal Oficial).

(23)  Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(24)  Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).

(25)  Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului din 11 septembrie 2013 privind investigațiile efectuate de Oficiul European de Luptă Antifraudă (OLAF) și de abrogare a Regulamentului (CE) nr. 1073/1999 al Parlamentului European și al Consiliului și a Regulamentului (Euratom) nr. 1074/1999 al Consiliului (JO L 248, 18.9.2013, p. 1).

(26)  JO L 136, 31.5.1999, p. 15.

(27)  Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO) (JO L 283, 31.10.2017, p. 1).

(28)  Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor, precum și a regimului aplicabil celorlalți agenți ai Comunităților Europene și de instituire a unor măsuri speciale aplicabile temporar funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).

(29)  Regulamentul delegat (UE) nr. 1271/2013 al Comisiei din 30 septembrie 2013 privind regulamentul financiar cadru pentru organismele menționate la articolul 208 din Regulamentul (UE, Euratom) nr. 966/2012 al Parlamentului European și al Consiliului (JO L 328, 7.12.2013, p. 42).

(30)  JO L 66, 8.3.2006, p. 38.

(31)  Decizia 2000/365/CE a Consiliului din 29 mai 2000 privind solicitarea Regatului Unit al Marii Britanii și Irlandei de Nord de a participa la unele dintre dispozițiile acquis-ului Schengen (JO L 131, 1.6.2000, p. 43).

(32)  Decizia (UE) 2018/1600 a Consiliului din 28 septembrie 2018 privind solicitarea Regatului Unit al Marii Britanii și Irlandei de Nord de a participa la unele dintre dispozițiile acquis-ului Schengen referitoare la Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) (JO L 267, 25.10.2018, p. 3).

(33)  Decizia 2002/192/CE a Consiliului din 28 februarie 2002 privind solicitarea Irlandei de a participa la unele dintre dispozițiile acquis-ului Schengen (JO L 64, 7.3.2002, p. 20).

(34)  JO L 176, 10.7.1999, p. 36.

(35)  Decizia 1999/437/CE a Consiliului din 17 mai 1999 privind anumite modalități de aplicare a Acordului încheiat între Consiliul Uniunii Europene și Republica Islanda și Regatul Norvegiei în ceea ce privește asocierea acestor două state în vederea punerii în aplicare, a asigurării respectării și dezvoltării acquis-ului Schengen (JO L 176, 10.7.1999, p. 31).

(36)  JO L 93, 3.4.2001, p. 40.

(37)  JO L 53, 27.2.2008, p. 52.

(38)  Decizia 2008/146/CE a Consiliului din 28 ianuarie 2008 privind încheierea, în numele Comunității Europene, a Acordului între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană cu privire la asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen (JO L 53, 27.2.2008, p. 1).

(39)  JO L 53, 27.2.2008, p. 5.

(40)  JO L 160, 18.6.2011, p. 21.

(41)  Decizia 2011/350/UE a Consiliului din 7 martie 2011 privind încheierea, în numele Uniunii Europene, a Protocolului dintre Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen, în ceea ce privește eliminarea controalelor la frontierele interne și circulația persoanelor (JO L 160, 18.6.2011, p. 19).

(42)  JO L 160, 18.6.2011, p. 39.

(43)  Regulamentul (UE) nr. 604/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 de stabilire a criteriilor și mecanismelor de determinare a statului membru responsabil de examinarea unei cereri de protecție internațională prezentate într-unul dintre statele membre de către un resortisant al unei țări terțe sau de către un apatrid (JO L 180, 29.6.2013, p. 31).

(44)  Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii (JO L 261, 6.8.2004, p. 24).

(45)  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO L 119, 4.5.2016, p. 132).

(46)  Regulamentul nr. 1 al Consiliului din 15 aprilie 1958 de stabilire a regimului lingvistic al Comunității Economice Europene (JO 17, 6.10.1958, p. 385).

(47)  Decizia (UE, Euratom) 2015/443 a Comisiei din 13 martie 2015 privind securitatea în cadrul Comisiei (JO L 72, 17.3.2015, p. 41).

(48)  Decizia (UE, Euratom) 2015/444 a Comisiei din 13 martie 2015 privind normele de securitate pentru protecția informațiilor UE clasificate (JO L 72, 17.3.2015, p. 53).

(49)  Regulamentul (Euratom, CE) nr. 2185/96 al Consiliului din 11 noiembrie 1996 privind controalele și inspecțiile la fața locului efectuate de Comisie în scopul protejării intereselor financiare ale Comunităților Europene împotriva fraudei și a altor abateri (JO L 292, 15.11.1996, p. 2).


ANEXĂ

TABEL DE CORESPONDENȚĂ

Regulamentul (UE) nr. 1077/2011

Prezentul regulament

 

 

Articolul 1 alineatul (1)

Articolul 1 alineatul (1)

Articolul 1 alineatul (2)

Articolul 1 alineatul (2)

Articolul 1 alineatele (3) și (4)

Articolul 1 alineatul (3)

Articolul 1 alineatul (5)

Articolul 1 alineatul (4)

Articolul 1 alineatul (6)

Articolul 2

Articolul 2

Articolul 3

Articolul 3

Articolul 4

Articolul 4

Articolul 5

Articolul 5

Articolul 5a

Articolul 6

Articolul 7

Articolul 8

Articolul 6

Articolul 9

Articolul 10

Articolul 7 alineatele (1) și (2)

Articolul 11 alineatul (1)

Articolul 7 alineatul (3)

Articolul 11 alineatul (2)

Articolul 7 alineatul (4)

Articolul 11 alineatul (3)

Articolul 7 alineatul (5)

Articolul 11 alineatul (4)

Articolul 7 alineatul (6)

Articolul 11 alineatul (5)

Articolul 12

Articolul 13

Articolul 8 alineatul (1)

Articolul 14 alineatul (1)

Articolul 14 alineatul (2)

Articolul 8 alineatul (2)

Articolul 14 alineatul (3)

Articolul 9 alineatele (1) și (2)

Articolul 15 alineatele (1) și (2)

Articolul 15 alineatul (3)

Articolul 15 alineatul (4)

Articolul 16

Articolul 10 alineatele (1) și (2)

Articolul 17 alineatele (1) și (2)

Articolul 10 alineatul (3)

Articolul 24 alineatul (2)

Articolul 10 alineatul (4)

Articolul 17 alineatul (3)

Articolul 17 alineatul (4)

Articolul 17 alineatul (5)

Articolul 11

Articolul 18

Articolul 12 alineatul (1)

Articolul 19 alineatul (1)

Articolul 19 alineatul (1) litera (a)

Articolul 19 alineatul (1) litera (b)

Articolul 12 alineatul (1) litera (a)

Articolul 19 alineatul (1) litera (c)

Articolul 12 alineatul (1) litera (b)

Articolul 19 alineatul (1) litera (d)

Articolul 12 alineatul (1) litera (c)

Articolul 19 alineatul (1) litera (e)

Articolul 19 alineatul (1) litera (f)

Articolul 12 alineatul (1) litera (d)

Articolul 19 alineatul (1) litera (g)

Articolul 19 alineatul (1) litera (h)

Articolul 19 alineatul (1) litera (i)

Articolul 19 alineatul (1) litera (j)

Articolul 19 alineatul (1) litera (k)

Articolul 12 alineatul (1) litera (e)

Articolul 19 alineatul (1) litera (l)

Articolul 19 alineatul (1) litera (m)

Articolul 12 alineatul (1) litera (f)

Articolul 19 alineatul (1) litera (n)

Articolul 12 alineatul (1) litera (g)

Articolul 19 alineatul (1) litera (o)

Articolul 19 alineatul (1) litera (p)

Articolul 12 alineatul (1) litera (h)

Articolul 19 alineatul (1) litera (q)

Articolul 12 alineatul (1) litera (i)

Articolul 19 alineatul (1) litera (q)

Articolul 12 alineatul (1) litera (j)

Articolul 19 alineatul (1) litera (r)

Articolul 19 alineatul (1) litera (s)

Articolul 12 alineatul (1) litera (k)

Articolul 19 alineatul (1) litera (t)

Articolul 12 alineatul (1) litera (l)

Articolul 19 alineatul (1) litera (u)

Articolul 12 alineatul (1) litera (m)

Articolul 19 alineatul (1) litera (v)

Articolul 12 alineatul (1) litera (n)

Articolul 19 alineatul (1) litera (w)

Articolul 12 alineatul (1) litera (o)

Articolul 19 alineatul (1) litera (x)

Articolul 19 alineatul (1) litera (y)

Articolul 12 alineatul (1) litera (p)

Articolul 19 alineatul (1) litera (z)

Articolul 12 alineatul (1) litera (q)

Articolul 19 alineatul (1) litera (bb)

Articolul 12 alineatul (1) litera (r)

Articolul 19 alineatul (1) litera (cc)

Articolul 12 alineatul (1) litera (s)

Articolul 19 alineatul (1) litera (dd)

Articolul 12 alineatul (1) litera (t)

Articolul 19 alineatul (1) litera (ff)

Articolul 12 alineatul (1) litera (u)

Articolul 19 alineatul (1) litera (gg)

Articolul 12 alineatul (1) litera (v)

Articolul 19 alineatul (1) litera (hh)

Articolul 12 alineatul (1) litera (w)

Articolul 19 alineatul (1) litera (ii)

Articolul 12 alineatul (1) litera (x)

Articolul 19 alineatul (1) litera (jj)

Articolul 19 alineatul (1) litera (ll)

Articolul 12 alineatul (1) litera (y)

Articolul 19 alineatul (1) litera (mm)

Articolul 12 alineatul (1) litera (z)

Articolul 19 alineatul (1) litera (nn)

Articolul 19 alineatul (1) litera (oo)

Articolul 12 alineatul (1) litera (aa)

Articolul 19 alineatul (1) litera (pp)

Articolul 12 alineatul (1) litera (sa)

Articolul 19 alineatul (1) litera (ee)

Articolul 12 alineatul (1) litera (xa)

Articolul 19 alineatul (1) litera (kk)

Articolul 12 alineatul (1) litera (za)

Articolul 19 alineatul (1) litera (mm)

Articolul 19 alineatul (1) al doilea paragraf

Articolul 19 alineatul (2)

Articolul 12 alineatul (2)

Articolul 19 alineatul (3)

Articolul 13 alineatul (1)

Articolul 20 alineatul (1)

Articolul 13 alineatele (2) și (3)

Articolul 20 alineatul (2)

Articolul 13 alineatul (4)

Articolul 20 alineatul (3)

Articolul 13 alineatul (5)

Articolul 20 alineatul (4)

Articolul 14 alineatele (1) și (3)

Articolul 21 alineatul (1)

Articolul 14 alineatul (2)

Articolul 21 alineatul (2)

Articolul 15 alineatul (1)

Articolul 22 alineatele (1) și (3)

Articolul 15 alineatul (2)

Articolul 22 alineatul (2)

Articolul 15 alineatul (3)

Articolul 22 alineatul (5)

Articolul 15 alineatele (4) și (5)

Articolul 22 alineatul (4)

Articolul 15 alineatul (6)

Articolul 22 alineatul (6)

Articolul 16 alineatele (1)-(5)

Articolul 23 alineatele (1)-(5)

Articolul 23 alineatul (6)

Articolul 16 alineatul (6)

Articolul 23 alineatul (7)

Articolul 16 alineatul (7)

Articolul 23 alineatul (8)

Articolul 17 alineatele (1) și (4)

Articolul 24 alineatul (1)

Articolul 17 alineatul (2)

Articolul 17 alineatul (3)

Articolul 17 alineatele (5) și (6)

Articolul 24 alineatul (3)

Articolul 17 alineatul (5) litera (a)

Articolul 24 alineatul (3)(a)

Articolul 17 alineatul (5) litera (b)

Articolul 24 alineatul (3) litera (b)

Articolul 17 alineatul (5) litera (c)

Articolul 24 alineatul (3) litera (c)

Articolul 17 alineatul (5) litera (d)

Articolul 24 alineatul (3) litera (o)

Articolul 17 alineatul (5) litera (e)

Articolul 22 alineatul (2)

Articolul 17 alineatul (5) litera (f)

Articolul 19 alineatul (2)

Articolul 17 alineatul (5) litera (g)

Articolul 24 alineatul (3) litera (p)

Articolul 17 alineatul (5) litera (h)

Articolul 24 alineatul (3) litera (q)

Articolul 17 alineatul (6) litera (a)

Articolul 24 alineatul (3) literele (d) și (g)

Articolul 17 alineatul (6) litera (b)

Articolul 24 alineatul (3) litera (k)

Articolul 17 alineatul (6) litera (c)

Articolul 24 alineatul (3) litera (d)

Articolul 17 alineatul (6) litera (d)

Articolul 24 alineatul (3) litera (l)

Articolul 17 alineatul (6) litera (e)

Articolul 17 alineatul (6) litera (f)

Articolul 17 alineatul (6) litera (g)

Articolul 24 alineatul (3) litera (r)

Articolul 17 alineatul (6) litera (h)

Articolul 24 alineatul (3) litera (s)

Articolul 17 alineatul (6) litera (i)

Articolul 24 alineatul (3) litera (t)

Articolul 17 alineatul (6) litera (j)

Articolul 24 alineatul (3) litera (v)

Articolul 17 alineatul (6) litera (k)

Articolul 24 alineatul (3) litera (u)

Articolul 17 alineatul (7)

Articolul 24 alineatul (4)

Articolul 24 alineatul (5)

Articolul 18

Articolul 25

Articolul 18 alineatul (1)

Articolul 25 alineatele (1) și (10)

Articolul 18 alineatul (2)

Articolul 25 alineatele (2), (3) și (4)

Articolul 18 alineatul (3)

Articolul 25 alineatul (5)

Articolul 18 alineatul (4)

Articolul 25 alineatul (6)

Articolul 18 alineatul (5)

Articolul 25 alineatul (7)

Articolul 18 alineatul (6)

Articolul 24 alineatul (1)

Articolul 25 alineatul (8)

Articolul 18 alineatul (7)

Articolul 25 alineatele (9) și (10)

Articolul 25 alineatul (11)

Articolul 26

Articolul 19

Articolul 27

Articolul 20

Articolul 28

Articolul 20 alineatele (1) și (2)

Articolul 28 alineatele (1) și (2)

Articolul 20 alineatul (3)

Articolul 20 alineatul (4)

Articolul 28 alineatul (3)

Articolul 20 alineatul (5)

Articolul 28 alineatul (4)

Articolul 20 alineatul (6)

Articolul 28 alineatul (5)

Articolul 20 alineatul (7)

Articolul 28 alineatul (6)

Articolul 20 alineatul (8)

Articolul 28 alineatul (7)

Articolul 21

Articolul 29

Articolul 22

Articolul 30

Articolul 23

Articolul 31

Articolul 24

Articolul 32

Articolul 25 alineatele (1) și (2)

Articolul 33 alineatele (1) și (2)

Articolul 33 alineatul (3)

Articolul 25 alineatul (3)

Articolul 33 alineatul (4)

Articolele 26 și 27

Articolul 34

Articolul 28 alineatul (1)

Articolul 35 alineatul (1) și articolul 36 alineatul (2)

Articolul 28 alineatul (2)

Articolul 35 alineatul (2)

Articolul 36 alineatul (1)

Articolul 29 alineatele (1) și (2)

Articolul 37 alineatul (1)

Articolul 29 alineatul (3)

Articolul 37 alineatul (2)

Articolul 30

Articolul 38

Articolul 31 alineatul (1)

Articolul 39 alineatul (1)

Articolul 31 alineatul (2)

Articolul 39 alineatele (1) și (3)

Articolul 39 alineatul (2)

Articolul 40

Articolul 41

Articolul 43

Articolul 44

Articolul 32 alineatul (1)

Articolul 46 alineatul (3)

Articolul 32 alineatul (2)

Articolul 46 alineatul (4)

Articolul 32 alineatul (3)

Articolul 46 alineatul (2)

Articolul 32 alineatul (4)

Articolul 45 alineatul (2)

Articolul 32 alineatul (5)

Articolul 45 alineatul (2)

Articolul 32 alineatul (6)

Articolul 44 alineatul (2)

Articolul 32 alineatul (7)

Articolul 45 alineatul (3)

Articolul 32 alineatul (8)

Articolul 45 alineatul (4)

Articolul 32 alineatul (9)

Articolul 45 alineatele (5) și (6)

Articolul 32 alineatul (10)

Articolul 45 alineatul (7)

Articolul 32 alineatul (11)

Articolul 45 alineatul (8)

Articolul 32 alineatul (12)

Articolul 45 alineatul (9)

Articolul 33 alineatele (1)-(4)

Articolul 47 alineatele (1)-(4)

Articolul 47 alineatul (5)

Articolul 33 alineatul (5)

Articolul 47 alineatul (6)

Articolul 33 alineatul (6)

Articolul 47 alineatul (7)

Articolul 33 alineatul (7)

Articolul 47 alineatul (8)

Articolul 33 alineatul (8)

Articolul 47 alineatul (9)

Articolul 33 alineatul (9)

Articolul 47 alineatul (10)

Articolul 33 alineatul (10)

Articolul 47 alineatul (11)

Articolul 33 alineatul (11)

Articolul 47 alineatul (12)

Articolul 48

Articolul 34

Articolul 49

Articolul 35 alineatele (1) și (2)

Articolul 50 alineatele (1) și (2)

Articolul 50 alineatul (3)

Articolul 35 alineatul (3)

Articolul 50 alineatele (4) și (5)

Articolul 36

Articolul 37

Articolul 42

Articolul 51

Articolul 52

Articolul 53

Articolul 54

Articolul 55

Articolul 56

Articolul 57

Articolul 38

Articolul 58

Anexă


21.11.2018   

RO

Jurnalul Oficial al Uniunii Europene

L 295/138


REGULAMENTUL (UE) 2018/1727 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 14 noiembrie 2018

privind Agenția Uniunii Europene pentru Cooperare în Materie de Justiție Penală (Eurojust) și de înlocuire și abrogare a Deciziei 2002/187/JAI a Consiliului

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 85,

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

hotărând în conformitate cu procedura legislativă ordinară (1),

întrucât:

(1)

Eurojust a fost instituită prin Decizia 2002/187/JAI a Consiliului (2) ca organ cu personalitate juridică al Uniunii, pentru a stimula și a îmbunătăți coordonarea și cooperarea dintre autoritățile judiciare competente ale statelor membre, în special în legătură cu formele grave de criminalitate organizată. Cadrul juridic al Eurojust a fost modificat prin Deciziile 2003/659/JAI (3) și 2009/426/JAI ale Consiliului (4).

(2)

Articolul 85 din Tratatul privind funcționarea Uniunii Europene (TFUE) prevede ca Eurojust să fie reglementat prin regulamente, adoptate în conformitate cu procedura legislativă ordinară. Articolul respectiv impune, de asemenea, stabilirea modalităților de implicare a Parlamentului European și a parlamentelor naționale în evaluarea activităților Eurojust.

(3)

Articolul 85 din TFUE dispune, de asemenea, că Eurojust are misiunea de a susține și consolida coordonarea și cooperarea dintre autoritățile naționale de cercetare și urmărire penală în legătură cu formele grave de criminalitate care afectează două sau mai multe state membre sau care impun urmărirea penală pe baze comune, întemeiată pe operațiuni întreprinse de autoritățile statelor membre și de Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol) și pe informații furnizate de acestea.

(4)

Prezentul regulament are drept obiectiv modificarea și extinderea dispozițiilor Deciziei 2002/187/JAI. Având în vedere că modificările care urmează a fi aduse sunt substanțiale ca număr și natură, Decizia 2002/187/JAI ar trebui, din motive de claritate, să fie înlocuită în integralitate în ceea ce privește statele membre pentru care prezentul regulament este obligatoriu.

(5)

Având în vedere faptul că Parchetul European (EPPO) a fost instituit prin intermediul unei cooperări consolidate, Regulamentul (UE) 2017/1939 al Consiliului (5) este obligatoriu în întregime și aplicabil direct doar pentru statele membre care participă la cooperarea consolidată. Prin urmare, pentru acele state membre care nu participă la EPPO, Eurojust rămâne pe deplin competent în ceea ce privește formele grave de criminalitate enumerate în anexa I la prezentul regulament.

(6)

Articolul 4 alineatul (3) din Tratatul privind Uniunea Europeană (TUE) reamintește principiul cooperării loiale, în virtutea căruia Uniunea și statele membre se respectă și se ajută reciproc în îndeplinirea misiunilor care decurg din TUE și TFUE.

(7)

Pentru a facilita cooperarea dintre Eurojust și EPPO, Eurojust ar trebui să abordeze chestiunile pertinente pentru EPPO oricând este necesar.

(8)

Având în vedere înființarea EPPO prin intermediul unei cooperări consolidate, este necesar să se stabilească în mod clar repartizarea competențelor între EPPO și Eurojust privind infracțiunile care aduc atingere intereselor financiare ale Uniunii. De la data la care EPPO își preia funcțiile, Eurojust ar trebui să își poată exercita competența în cazurile care privesc infracțiuni care țin de competența EPPO, dar în cazul în care infracțiunile respective implică atât state membre care participă la cooperarea consolidată privind instituirea EPPO, cât și state membre care nu participă la această cooperare consolidată. În astfel de cazuri, Eurojust ar trebui să acționeze la cererea statelor membre neparticipante sau la cererea EPPO. În orice caz, Eurojust ar trebui să-și păstreze competența în ceea ce privește infracțiunile care aduc atingere intereselor financiare ale Uniunii ori de câte ori EPPO nu are competențe sau, dacă EPPO are competențe, nu și le exercită. Statele membre care nu participă la cooperarea consolidată privind instituirea EPPO pot solicita în continuare sprijinul Eurojust în toate cazurile referitoare la infracțiunile care aduc atingere intereselor financiare ale Uniunii. EPPO și Eurojust ar trebui să dezvolte o strânsă cooperare operațională în conformitate cu mandatele lor respective.

(9)

Pentru ca Eurojust să își îndeplinească misiunea și să își dezvolte întregul potențial în lupta împotriva infracțiunilor grave cu caracter transfrontalier, funcțiile sale operaționale ar trebui consolidate prin reducerea sarcinii administrative îndeplinită de membrii naționali, iar dimensiunea sa europeană ar trebui consolidată prin participarea Comisiei în cadrul Comitetului executiv și printr-o mai mare implicare a Parlamentului European și a parlamentelor naționale în evaluarea activităților sale.

(10)

Prin urmare, prezentul regulament ar trebui să stabilească modalitățile de implicare parlamentară, modernizarea structurii și simplificarea cadrului juridic actual al Eurojust, menținând totodată acele elemente care s-au dovedit eficiente în funcționarea acestuia.

(11)

Ar trebui să fie stabilite în mod clar formele grave de criminalitate care afectează două sau mai multe state membre și care intră în sfera de competență a Eurojust. În plus, ar trebui definite cazurile care nu implică două sau mai multe state membre, dar care impun urmărirea penală pe baze comune. Astfel de cazuri pot include cercetările și urmăririle penale care afectează doar un stat membru și o țară terță atunci când a fost încheiat un acord cu țara terță respectivă sau în situația în care poate exista o necesitate specifică de implicare a Eurojust. O astfel de urmărire penală poate, de asemenea, să se refere la cazuri care afectează un stat membru și au repercusiuni la nivelul Uniunii.

(12)

Atunci când își exercită funcțiile operaționale în cazuri penale concrete, la solicitarea autorităților competente din statele membre sau din proprie inițiativă, Eurojust ar trebui să acționeze fie prin intermediul unuia sau mai multor membri naționali, fie în calitate de colegiu. Acționând din proprie inițiativă, Eurojust poate să adopte un rol mai proactiv în ceea ce privește coordonarea cazurilor, de exemplu prin sprijinirea autorităților naționale în cadrul cercetărilor și urmăririlor penale ale acestora. Aceasta poate include implicarea statelor membre care este posibil să nu fi fost incluse inițial în caz și descoperirea de legături între dosare pe baza informațiilor pe care le primește de la Europol, Oficiul European de Luptă Antifraudă (OLAF), EPPO și autoritățile naționale. De asemenea, aceasta permite Eurojust să elaboreze orientări, documente de politică și analize legate de instrumentarea dosarelor ca parte a activității sale strategice.

(13)

La cererea autorității competente a unui stat membru sau la cererea Comisiei, Eurojust ar trebui, de asemenea, să poată acorda asistență în cadrul cercetărilor care implică doar statul membru respectiv, dar care au repercusiuni la nivelul Uniunii. Exemple de astfel de cercetări includ cazuri în care este implicat un membru al unei instituții sau al unui organ al Uniunii. Aceste cercetări se ocupă, de asemenea, de cazurile care implică un număr semnificativ de state membre și care ar putea necesita o eventuală reacție europeană coordonată.

(14)

Avizele scrise ale Eurojust nu sunt obligatorii din punct de vedere juridic pentru statele membre, dar ar trebui să li se răspundă în conformitate cu prezentul regulament.

(15)

Pentru a se asigura că Eurojust poate sprijini și coordona cercetările transfrontaliere în mod corespunzător, este necesar ca toți membrii naționali să aibă competențele operaționale necesare legate de statul lor membru și în concordanță cu dreptul respectivului stat membru pentru a coopera între ei și cu autoritățile naționale într-un mod mai coerent și mai eficace. Membrii naționali ar trebui să beneficieze de acele competențe care permit Eurojust să își îndeplinească misiunea în mod corespunzător. Aceste competențe ar trebui să includă accesul la informațiile pertinente din registrele publice naționale, contactarea directă și schimbul de informații cu autoritățile competente și participarea la echipele comune de anchetă. Membrii naționali pot, în conformitate cu dreptul lor intern, să își păstreze competențele care decurg din capacitatea lor de autorități naționale. În acord cu autoritatea națională competentă sau în cazuri urgente, membrii naționali pot, de asemenea, dispune măsuri de cercetare și livrări supravegheate și pot emite și executa cereri de asistență juridică reciprocă sau de recunoaștere reciprocă. Întrucât competențele respective trebuie exercitate în conformitate cu dreptul intern, instanțele din statele membre ar trebui să aibă competența de a reexamina respectivele măsuri, în conformitate cu cerințele și procedurile prevăzute de dreptul intern.

(16)

Este necesar ca Eurojust să aibă o structură administrativă și de gestionare care să îi permită să își îndeplinească sarcinile într-un mod mai eficient, care să fie conformă cu principiile aplicabile agențiilor Uniunii, și care să respecte drepturile și libertățile fundamentale, menținând, în același timp, caracteristicile speciale ale Eurojust și protejându-i independența în îndeplinirea funcțiilor sale operaționale. În acest scop, funcțiile membrilor naționali, ale colegiului și ale directorului administrativ ar trebui clarificate și ar trebui înființat un Comitet executiv.

(17)

Ar trebui adoptate dispoziții prin care să se facă o distincție clară între funcțiile operaționale și cele de gestionare a colegiului, reducându-se astfel sarcina administrativă a membrilor naționali la minimum, astfel încât accentul să fie pus pe activitățile operaționale ale Eurojust. Sarcinile de conducere ale colegiului ar trebui să includă, în special, adoptarea programelor de lucru, a bugetului, a raportului anual de activitate ale Eurojust și a acordurilor sale de lucru cu partenerii. Colegiul ar trebui să exercite competența de autoritate împuternicită să facă numiri cu privire la directorul administrativ. De asemenea, colegiul ar trebui să adopte Regulamentul de procedură al Eurojust. Întrucât respectivul regulament de procedură ar putea avea un impact asupra activităților judiciare ale statelor membre, ar trebui să se confere Consiliului competențe de executare pentru aprobarea acestuia.

(18)

Pentru a îmbunătăți guvernarea Eurojust și a simplifica procedurile, ar trebui înființat un Comitet executiv care să asiste colegiul în funcțiile sale de gestionare și să permită un proces decizional simplificat privind aspectele neoperaționale și cele strategice.

(19)

Comisia ar trebui să fie reprezentată în cadrul colegiului, atunci când colegiul își exercită funcțiile de gestionare. Reprezentantul Comisiei în cadrul colegiului ar trebui să fie și reprezentantul său în Comitetul executiv, pentru a asigura supravegherea neoperațională a Eurojust și pentru a-i oferi orientare strategică.

(20)

Pentru a asigura administrarea zilnică eficientă a Eurojust, directorul administrativ ar trebui să fie reprezentantul și administratorul său legal, responsabil în fața colegiului. Directorul administrativ ar trebui să elaboreze și să pună în aplicare deciziile colegiului și ale Comitetului executiv. Directorul executiv ar trebui numit pe criterii de merit și pe baza calităților administrative și de conducere dovedite, precum și pe baza competenței și experienței pertinente.

(21)

Colegiul ar trebui să aleagă un președinte și doi vicepreședinți ai Eurojust, din rândul membrilor naționali pentru un mandat de patru ani. Atunci când un membru național este ales președinte, statul membru în cauză poate detașa o altă persoană cu calificările corespunzătoare la biroul național și poate solicita compensare din partea bugetului Eurojust.

(22)

Persoanele cu calificări corespunzătoare sunt persoane care dețin calificările și experiența necesare pentru a îndeplini sarcinile care se impun pentru a asigura funcționarea eficace a biroului național. Ele pot avea statutul de supleant sau de asistent al membrului național care a fost ales președinte, sau, ca alternativă, pot deține o funcție de natură mai administrativă sau mai tehnică. Fiecare stat membru ar trebui să poată decide cu privire la propriile cerințe în această privință.

(23)

Cvorumul și procedurile de vot ar trebui să fie reglementate în mod corespunzător în Regulamentul de procedură al Eurojust. În cazuri excepționale, când un membru național și supleantul său sunt absenți, asistentul membrului național în cauză ar trebui să aibă dreptul de a vota în cadrul colegiului, dacă asistentul în cauză are statut de magistrat, și anume procuror, judecător sau reprezentant al autorității judiciare.

(24)

Întrucât mecanismul compensației are un impact asupra bugetului, prezentul regulament ar trebui să confere Consiliului competențe de executare pentru stabilirea mecanismului respectiv.

(25)

Instituirea unui mecanism de coordonare permanentă în cadrul Eurojust este necesară pentru a asigura o mai mare eficiență și disponibilitate a Eurojust în orice moment și pentru a i se permite acestuia să intervină în cazuri urgente. Fiecare stat membru ar trebui să se asigure că reprezentanții lui în cadrul mecanismului de coordonare permanentă sunt disponibili pentru a acționa 24 de ore din 24, șapte zile din șapte.

(26)

În statele membre ar trebui create sisteme naționale de coordonare a Eurojust pentru a coordona activitatea desfășurată de corespondenții naționali ai Eurojust, de corespondentul național pe probleme legate de terorism, de orice corespondent național pe probleme legate de competența EPPO, de corespondentul național al Rețelei Judiciare Europene și de până la alte trei puncte de contact, precum și de reprezentanții în rețea al echipelor comune de anchetă și de reprezentanții în rețelele instituite prin Deciziile 2002/494/JAI (6), 2007/845/JAI (7) și 2008/852/JAI (8) ale Consiliului. Statele membre pot decide că una sau mai multe dintre sarcinile respective urmează să fie îndeplinite de către același corespondent național.

(27)

În scopul de a stimula și de a consolida coordonarea și cooperarea dintre autoritățile naționale de cercetare și urmărire penală, este esențial ca Eurojust să primească informații de la autoritățile naționale, care sunt necesare pentru îndeplinirea sarcinilor sale. În acest scop, autoritățile naționale competente ar trebui să informeze, fără întârzieri nejustificate, membrii naționali în ceea ce privește înființarea și rezultatele echipelor comune de anchetă. Autoritățile naționale competente ar trebui, de asemenea, să informeze membrii naționali, fără întârzieri nejustificate, în ceea ce privește cazurile din sfera de competență a Eurojust care implică în mod direct cel puțin trei state membre și pentru care cererile sau deciziile privind cooperarea judiciară au fost transmise la cel puțin două state membre. În anumite cazuri, ar trebui, de asemenea, să informeze membrii național în ceea ce privește conflictele de competență, livrările supravegheate și dificultățile repetate în cooperarea judiciară.

(28)

Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (9) stabilește norme armonizate pentru protecția și libera circulație a datelor cu caracter personal prelucrate în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau în scopul executării pedepselor penale, inclusiv în scopul protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. În vederea asigurării aceluiași nivel de protecție pentru persoanele fizice prin drepturi ce pot fi exercitate în mod legal în întreaga Uniune și a preîntâmpinării divergențelor care împiedică schimbul de date cu caracter personal între Eurojust și autoritățile competente din statele membre, normele pentru protecția și libera circulație a datelor operaționale cu caracter personal prelucrate de Eurojust ar trebui să fie coerente cu Directiva (UE) 2016/680.

(29)

Normele generale ce figurează în capitolul distinct al Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului (10) privind prelucrarea datelor operaționale cu caracter personal ar trebui să se aplice fără a se aduce atingere normelor specifice privind protecția datelor din prezentul regulament. Astfel de norme specifice ar trebui să fie considerate „lex specialis” în raport cu dispozițiile de la capitolul menționat din Regulamentul (UE) 2018/1725 (lex specialis derogat legi generali). Pentru a reduce fragmentarea juridică, normele specifice privind protecția datelor cuprinse din prezentul regulament ar trebui să fie conforme cu principiile care stau la baza capitolului menționat din Regulamentul (UE) 2018/1725, precum și cu dispozițiile din regulamentul respectiv referitoare la supravegherea independentă, căile de atac, răspunderea și sancțiunile.

(30)

Protecția drepturilor și libertăților persoanelor vizate impune o atribuire clară a responsabilităților pentru protecția datelor în temeiul prezentului regulament. Statele membre ar trebui să fie responsabile pentru exactitatea datelor pe care le-au transmis către Eurojust și care au fost prelucrate ca atare de către Eurojust, pentru actualizarea acestor date și pentru legalitatea transmiterii acelor date către Eurojust. Eurojust ar trebui să răspundă de acuratețea datelor puse la dispoziție de alți furnizori de date sau care reies din propriile analize sau colectări de date ale Eurojust, și de actualizarea acestor date. Eurojust ar trebui să se asigure că datele sunt prelucrate în mod corect și în conformitate cu dispozițiile legale și că sunt colectate și prelucrate într-un scop specific. Eurojust ar trebui, de asemenea, să se asigure că datele sunt adecvate, relevante, neexcesive în raport cu scopul în care sunt prelucrate, că sunt păstrate fără a se depăși timpul necesar în acest scop și că sunt prelucrate într-un mod care asigură securitatea corespunzătoare a datelor cu caracter personal și confidențialitatea prelucrării datelor.

(31)

În regulamentul de procedură al Eurojust ar trebui să fie incluse garanții adecvate pentru stocarea datelor operaționale cu caracter personal în scopuri de arhivare în interes public sau în scopuri statistice.

(32)

O persoană vizată își poate exercita dreptul de acces menționat în Regulamentul (UE) 2018/1725, la datele operaționale cu caracter personal care o privesc și care sunt prelucrate de Eurojust. Persoana vizată poate formula o astfel de cerere la intervale rezonabile, în mod gratuit, la Eurojust sau la autoritatea națională de supraveghere într-un stat membru ales de persoana vizată.

(33)

Dispozițiile privind protecția datelor din prezentul regulament nu aduc atingere normelor aplicabile privind admisibilitatea datelor cu caracter personal ca probe în procedurile judiciare penale în instanță, cât și în etapele anterioare.

(34)

Toate prelucrările de date cu caracter personal de către Eurojust în cadrul competențelor sale în vederea îndeplinirii sarcinilor ce îi revin ar trebui să fie considerate prelucrări de date operaționale cu caracter personal.

(35)

Având în vedere că Eurojust prelucrează, de asemenea, date administrative cu caracter personal, prelucrarea unor astfel de date ar trebui să facă obiectul normelor generale din Regulamentul (UE) 2018/1725.

(36)

Atunci când datele operaționale cu caracter personal sunt transmise sau furnizate către Eurojust de către statul membru, autoritatea competentă, membrul național sau corespondentul național pentru Eurojust ar trebui să aibă dreptul de a solicita rectificarea sau ștergerea datelor operaționale cu caracter personal respective.

(37)

În vederea demonstrării conformității cu prezentul regulament, Eurojust sau operatorul autorizat ar trebui să păstreze evidențe ale tuturor categoriilor de activități de prelucrare aflate în responsabilitatea sa. Eurojust și fiecare operator autorizat ar trebui să aibă obligația de a coopera cu Autoritatea Europeană de Protecție a Datelor (AEPD) și să pună aceste evidențe la dispoziția acesteia, la cerere, pentru a putea fi utilizate în scopul monitorizării respectivelor operațiuni de prelucrare. Eurojust sau operatorul său autorizat, atunci când prelucrează date cu caracter personal în sisteme de prelucrare neautomată, ar trebui să dispună de metode eficiente pentru a demonstra legalitatea prelucrării, a permite auto-monitorizarea și a garanta integritatea și securitatea datelor, cum ar fi înregistrările sau alte forme de evidențe.

(38)

Comitetul executiv al Eurojust ar trebui să desemneze un responsabil cu protecția datelor, care ar trebui să fie membru al personalului existent. Persoana desemnată ca responsabil cu protecția datelor al Eurojust ar trebui să fi primit o formare specializată în domeniul legislației și practicilor privind protecția datelor pentru a dobândi cunoștințe de specialitate în acest domeniu. Nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către Eurojust.

(39)

AEPD ar trebui să fie responsabilă de monitorizarea și asigurarea aplicării depline a dispozițiilor privind protecția datelor din prezentul regulament referitoare la prelucrarea datelor operaționale cu caracter personal de către Eurojust. AEDP ar trebui să primească competențe care să-i permită îndeplinirea eficace a acestei atribuții. AEPD are trebui să aibă dreptul să consulte Eurojust cu privire la cererile depuse, să sesizeze Eurojust pentru a soluționa problemele ce au apărut în prelucrarea datelor operaționale cu caracter personal, să facă propuneri pentru îmbunătățirea protecției persoanelor vizate, să dispună ca Eurojust să efectueze operațiuni specifice legate de prelucrarea datelor operaționale cu caracter personal. În consecință, AEPD trebuie să dispună de mijloacele necesare pentru ca dispozițiile sale să fie respectate și executate. Astfel, AEPD ar trebui să aibă competența de a avertiza Eurojust. A avertiza înseamnă a emite o atenționare orală sau scrisă privind obligația Eurojust de a executa ordinele AEPD sau de a se conforma propunerilor AEPD și o atenționare privind măsurile care urmează să fie aplicate în cazul oricărei nerespectări sau refuz din partea Eurojust.

(40)

Atribuțiile și competențele AEPD, inclusiv competența de a dispune ca Eurojust să rectifice, să restricționeze prelucrarea sau să șteargă datele operaționale cu caracter personal care au fost prelucrate cu încălcarea dispozițiilor privind protecția datelor cuprinse în prezentul regulament, nu ar trebui să se extindă la datele cu caracter personal cuprinse în dosarele de caz naționale.

(41)

Pentru a se facilita cooperarea dintre AEPD și autoritățile naționale de supraveghere, fără a se aduce atingere independenței AEPD sau responsabilității acesteia pentru supravegherea Eurojust în ceea ce privește protecția datelor, AEPD și autoritățile naționale de supraveghere ar trebui să se întâlnească periodic în cadrul Comitetului european pentru protecția datelor, în concordanță cu reglementările privind supravegherea coordonată cuprinse în Regulamentul (UE) 2018/1725.

(42)

Având în vedere că Eurojust este primul destinatar pe teritoriul Uniunii pentru datele furnizate sau obținute de la țări terțe sau organizații internaționale, Eurojust ar trebui să fie responsabil pentru corectitudinea unor astfel de date. Eurojust ar trebui să ia măsuri pentru a verifica, în măsura în care este posibil, exactitatea datelor la primirea lor sau atunci când pune date la dispoziția altor autorități.

(43)

Eurojust ar trebui să facă obiectul unor norme generale privind răspunderea contractuală și necontractuală aplicabile instituțiilor, organelor, oficiilor și agențiilor Uniunii.

(44)

Eurojust ar trebui să fie în măsură să facă schimb de date cu caracter personal pertinente și să mențină relații de cooperare cu alte instituții, organe, oficii sau agenții ale Uniunii, în măsura necesară îndeplinirii sarcinilor sale.

(45)

Pentru a garanta limitarea scopului, este important să se asigure că datele cu caracter personal pot fi transferate de Eurojust către țări terțe și organizații internaționale numai dacă acest lucru este necesar pentru prevenirea și combaterea criminalității care se încadrează în sarcinile Eurojust. În acest scop, atunci când se transferă date cu caracter personal, este necesar să se asigure faptul că destinatarul se angajează ca aceste date să fie folosite de către destinatar sau transmise ulterior către o autoritate competentă dintr-o țară terță numai în scopul pentru care acestea au fost inițial transferate. Transferul ulterior al datelor ar trebui să aibă loc în conformitate cu prezentul regulament.

(46)

Toate statele membre sunt afiliate la Organizația Internațională de Poliție Criminală (Interpol). Pentru a-și îndeplini misiunea, Interpol primește, stochează și difuzează date cu caracter personal pentru a ajuta autoritățile competente să prevină și să combată criminalitatea internațională. Prin urmare, este adecvat să se consolideze cooperarea dintre Uniune și Interpol prin promovarea unui schimb eficient de date cu caracter personal, asigurând, în același timp, respectarea drepturilor și libertăților fundamentale în ceea ce privește prelucrarea automată a datelor cu caracter personal. Atunci când se transferă date operaționale cu caracter personal de la Eurojust către Interpol și către țările care au membri delegați la Interpol, ar trebui să se aplice prezentul regulament, în special dispozițiile privind transferurile internaționale. Prezentul regulament nu ar trebui să aducă atingere normelor specifice stabilite în Poziția comună 2005/69/JAI a Consiliului (11) și în Decizia 2007/533/JAI a Consiliului (12).

(47)

Atunci când Eurojust transferă date operaționale cu caracter personal către o autoritate a unei țări terțe sau către o organizație internațională în temeiul unui acord internațional încheiat în temeiul articolului 218 din TFUE, ar trebui oferite garanții adecvate în ceea ce privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor pentru a se garanta că sunt respectate normele aplicabile privind protecția datelor.

(48)

Eurojust ar trebui să asigure că transferul către o țară terță sau către o organizație internațională are loc numai în cazul în care acest transfer este necesar pentru prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau pentru executarea pedepselor penale, inclusiv pentru protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora, iar operatorul din țara terță sau din organizația internațională este o autoritate competentă în sensul prezentei directive. Un transfer ar trebui să fie efectuat numai de către Eurojust acționând în calitate de operator. Un astfel de transfer poate avea loc în cazurile în care Comisia a decis că țara terță sau organizația internațională în cauză asigură un nivel adecvat de protecție, atunci când se asigură garanții corespunzătoare ori când se aplică derogări pentru situații speciale.

(49)

Eurojust ar trebui să fie în măsură să transfere date cu caracter personal către o autoritate a unei țări terțe sau o organizație internațională pe baza unei decizii a Comisiei care constată că țara sau organizația internațională în cauză asigură un nivel adecvat de protecție a datelor (denumită în continuare „decizie privind caracterul adecvat al nivelului de protecție”) sau, în absența unei decizii privind caracterul adecvat al nivelului de protecție, a unui acord internațional încheiat de Uniune în temeiul articolului 218 din TFUE sau a unui acord de cooperare care să permită schimbul de date cu caracter personal încheiat între Eurojust și țara terță înainte de data aplicării prezentului regulament.

(50)

Atunci când identifică o necesitate operațională de cooperare cu o țară terță sau cu o organizație internațională, colegiul ar trebui să aibă posibilitatea de a propune Consiliului să atragă atenția Comisiei asupra necesității unei decizii privind caracterul adecvat al nivelului de protecție sau a unei recomandări de deschidere a negocierilor privind un acord internațional în temeiul articolului 218 din TFUE.

(51)

Transferurile care nu se întemeiază pe o decizie privind caracterul adecvat al nivelului de protecție ar trebui să fie permise numai atunci când au fost prezentate garanții corespunzătoare într-un instrument cu caracter juridic obligatoriu, care să asigure protecția datelor cu caracter personal, sau atunci când Eurojust a evaluat toate circumstanțele legate de datele transferate și, pe baza acestei evaluări, consideră că există garanții adecvate în ceea ce privește protecția datelor cu caracter personal. Astfel de instrumente cu caracter juridic obligatoriu ar putea fi, de exemplu, acorduri bilaterale cu caracter juridic obligatoriu care au fost încheiate de statele membre și puse în aplicare în ordinea juridică a acestora și a căror respectare poate fi impusă de către persoanele vizate din respectivele state membre, asigurând respectarea cerințelor în materie de protecție a datelor și drepturile persoanelor vizate, inclusiv dreptul de a obține reparații efective pe cale administrativă sau judiciară. Eurojust ar trebui să ia în considerare acordurile de cooperare încheiate între Eurojust și țări terțe care permit schimbul de date cu caracter personal atunci când efectuează evaluarea tuturor circumstanțelor legate de transferul de date. Eurojust ar trebui, de asemenea, să poată lua în considerare faptul că transferul de date cu caracter personal va fi supus obligațiilor de confidențialitate și principiului specificității, asigurându-se că datele nu vor fi prelucrate în alte scopuri decât cel al transferului. În plus, Eurojust ar trebui să ia în considerare faptul că datele cu caracter personal nu vor fi folosite pentru a solicita, a pronunța sau a executa pedeapsa cu moartea sau orice altă formă de tratament crud și inuman. Chiar dacă aceste condiții ar putea fi considerate garanții adecvate care să permită transferul de date, Eurojust ar trebui să poată solicita garanții suplimentare.

(52)

În cazul în care nu există nicio decizie privind caracterul adecvat al nivelului de protecție sau nicio garanție adecvată, un transfer sau o categorie de transferuri poate avea loc numai în situații specifice, dacă este necesar în scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane sau al protejării intereselor legitime ale persoanei vizate, în cazul în care se prevede astfel în dreptul statului membru care transferă datele cu caracter personal; pentru prevenirea unei amenințări imediate și grave la adresa securității publice a unui stat membru sau a unei țări terțe; într-un caz specific, în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor penale, inclusiv în scopul protejării împotriva amenințărilor la adresa securității publice; sau, într-un caz specific, pentru constatarea, exercitarea sau apărarea unui drept în instanță. Aceste derogări ar trebui interpretate în mod restrictiv și nu ar trebui să permită transferuri frecvente, masive și structurale de date cu caracter personal sau transferuri la scară largă de date, ci ar trebui să se limiteze la datele strict necesare. Astfel de transferuri ar trebui să fie documentate și să fie puse la dispoziția AEPD, în scopul monitorizării legalității transferului.

(53)

În cazuri excepționale, Eurojust ar trebui să aibă posibilitatea de a prelungi termenele de stocare a datelor operaționale cu caracter personal, în vederea îndeplinirii obiectivelor sale, cu respectarea principiului limitării scopului aplicabil prelucrării datelor cu caracter personal în contextul tuturor activităților sale. Aceste decizii ar trebui adoptate ca urmare a unei analize atente a tuturor intereselor în joc, inclusiv a intereselor persoanelor vizate. Orice prelungire a unui termen de prelucrare a datelor cu caracter personal, în cazul în care termenul de prescripție a acțiunii penale s-a împlinit în toate statele membre în cauză, ar trebui decisă numai în cazul în care există o necesitate specifică de a oferi asistență în temeiul prezentului regulament.

(54)

Eurojust ar trebui să mențină relații privilegiate cu Rețeaua Judiciară Europeană, bazate pe consultare și complementaritate. Prezentul regulament ar trebui să contribuie la clarificarea rolurilor respective ale Eurojust și ale Rețelei Judiciare Europene, precum și a relațiilor lor reciproce, menținându-se totodată specificitatea Rețelei Judiciare Europene.

(55)

Eurojust ar trebui să mențină relații de cooperare cu alte instituții, organe, oficii și agenții ale Uniunii, cu EPPO, cu autoritățile competente din țările terțe și cu organizațiile internaționale, în măsura necesară îndeplinirii sarcinilor sale.

(56)

Pentru a consolida cooperarea operațională dintre Eurojust și Europol și în special pentru a stabili legături între datele care sunt deja deținute de oricare dintre aceste agenții, Eurojust ar trebui să permită Europol să aibă acces la datele pe care le are la dispoziție, pe baza unui sistem de tip rezultat pozitiv/negativ („hit/no-hit”). Eurojust și Europol ar trebui să se asigure că se instituie modalitățile necesare pentru optimizarea cooperării lor operaționale, ținând cont în mod corespunzător de mandatele lor respective și de restricțiile stabilite de statele membre. Aceste modalități de lucru ar trebui să asigure accesul la toate informațiile transmise către Europol în scopul verificării încrucișate în concordanță cu garanțiile specifice și garanțiile de protecție a datelor prevăzute de prezentul regulament, precum și posibilitatea de căutare a acestora. Orice acces al Europol la datele deținute de Eurojust ar trebui să fie limitat, prin mijloace tehnice, la informațiile care fac obiectul mandatelor respective ale agențiilor în cauză ale Uniunii.

(57)

Eurojust și Europol ar trebui să se informeze reciproc în permanență cu privire la orice activitate care implică finanțarea echipelor comune de anchetă.

(58)

Eurojust ar trebui să fie în măsură să facă schimb de date cu caracter personal cu instituțiile, organele, oficiile și agențiile Uniunii, în măsura necesară îndeplinirii sarcinilor sale cu respectarea deplină a protejării vieții private și a altor drepturi și libertăți fundamentale.

(59)

Eurojust ar trebui să își întărească cooperarea cu autoritățile competente din țările terțe și cu organizațiile internaționale, în temeiul unei strategii elaborate în consultare cu Comisia. În acest sens, ar trebui să se prevadă ca Eurojust să detașeze magistrați de legătură în țări terțe, cu obiective similare celor încredințate magistraților de legătură detașați de statele membre în temeiul Acțiunii Comune 96/277/JAI a Consiliului (13).

(60)

Ar trebui să se prevadă ca Eurojust să coordoneze executarea cererilor de cooperare judiciară emise de o țară terță în cazul în care cererile respective necesită executarea în cel puțin două state membre în cadrul aceleiași cercetări. Eurojust ar trebui să efectueze o astfel de coordonare doar cu acordul statelor membre în cauză.

(61)

Pentru a garanta autonomia și independența deplină a Eurojust, ar trebui să i se acorde un buget autonom suficient pentru a-și desfășura în mod corespunzător activitatea, cu venituri provenind în principal dintr-o contribuție de la bugetul Uniunii, mai puțin în ceea ce privește salariile și alte retribuții ale membrilor naționali, ale supleanților și ale asistenților, care sunt suportate de statul membru. Procedura bugetară a Uniunii ar trebui să se aplice în ceea ce privește contribuția Uniunii și alte subvenții de la bugetul general al Uniunii. Auditarea conturilor ar trebui efectuată de Curtea de Conturi și ar trebui aprobată de Comisia pentru control bugetar din cadrul Parlamentului European.

(62)

Pentru a spori transparența și controlul democratic al Eurojust este necesar să se prevadă un mecanism în temeiul articolului 85 alineatul (1) din TFUE pentru evaluarea comună de către Parlamentul European și parlamentele naționale a activităților Eurojust. Evaluarea ar trebui să aibă loc în cadrul unei reuniuni interparlamentare la nivel de comisii în sediul Parlamentului European din Bruxelles, cu participarea membrilor comisiilor competente din Parlamentul European și din parlamentele naționale. Reuniunea interparlamentară la nivel de comisii ar trebui să respecte pe deplin independența Eurojust în ceea ce privește acțiunile ce trebuie întreprinse în cazuri operaționale specifice și în ceea ce privește obligația de respectare a discreției și a confidențialității.

(63)

Este oportun să se evalueze periodic aplicarea prezentului regulament.

(64)

Funcționarea Eurojust ar trebui să fie transparentă în conformitate cu articolul 15 alineatul (3) din TFUE. Colegiul ar trebui să adopte dispoziții specifice privind modul în care se garantează dreptul de acces public la documente. Nicio dispoziție din prezentul regulament nu vizează să restricționeze dreptul de acces public la documente, în măsura în care acest drept este garantat în Uniune și în statele membre, în special în temeiul articolului 42 din Carta drepturilor fundamentale a Uniunii Europene („carta”). Normele generale privind transparența care se aplică agențiilor Uniunii ar trebui să se aplice și Eurojust, într-un mod care nu pune în pericol în niciun fel obligația de confidențialitate în activitatea sa operațională. Anchetele administrative întreprinse de Ombudsmanul European ar trebui să respecte obligația de confidențialitate a Eurojust.

(65)

Pentru a îmbunătăți transparența și responsabilitatea sa față de cetățenii Uniunii, Eurojust ar trebui să publice pe site-ul său o listă a membrilor Comitetului executiv și, după caz, rezumatele concluziilor reuniunilor acestuia, respectând cerințele legate de protecția datelor.

(66)

Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului (14) ar trebui să se aplice Eurojust.

(67)

Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului (15) ar trebui să se aplice Eurojust.

(68)

Dispozițiile necesare privind găzduirea Eurojust în statul membru în care acesta își are sediul, adică în Țările de Jos, și normele specifice aplicabile cu privire la întregul personal Eurojust și membrii familiilor acestora ar trebui stabilite într-un acord privind sediul. Statul membru ar trebui să ofere cele mai bune condiții posibile pentru a asigura funcționarea Eurojust, inclusiv școlarizare multilingvă de orientare europeană și legături adecvate de transport, astfel încât să atragă resurse umane de înaltă calitate dintr-o zonă geografică cât mai extinsă cu putință.

(69)

Eurojust, astfel cum este instituit prin prezentul regulament, ar trebui să fie succesorul legal al Eurojust, astfel cum a fost instituit prin Decizia 2002/187/JAI, cu privire la toate obligațiile sale contractuale, inclusiv contractele de muncă, pasivele și proprietățile achiziționate. Acordurile internaționale încheiate de Eurojust, astfel cum au fost stabilite prin decizia menționată, ar trebui să rămână în vigoare.

(70)

Deoarece obiectivul prezentului regulament, și anume, instituirea unei entități responsabile de sprijinirea și consolidarea coordonării și a cooperării între autoritățile judiciare din statele membre în legătură cu formele grave de criminalitate care afectează două sau mai multe state membre sau care impun urmărirea penală pe baze comune, nu poate fi realizat în mod satisfăcător de către statele membre dar, având în vedere amploarea și efectele acțiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este definit la articolul 5 din TUE. În conformitate cu principiul proporționalității, astfel cum este definit la articolul menționat, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivului menționat.

(71)

În conformitate cu articolele 1 și 2 și cu articolul 4a alineatul (1) din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la TUE și la TFUE, și fără a aduce atingere articolului 4 din protocolul respectiv, Regatul Unit și Irlanda nu participă la adoptarea prezentului regulament, acesta nu este obligatoriu pentru statele membre respective și nu li se aplică.

(72)

În conformitate cu articolele 1 și 2 din Protocolul nr. 22 privind poziția Danemarcei, anexat la TUE și la TFUE, Danemarca nu participă la adoptarea prezentului regulament, acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică.

(73)

AEPD a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (16) și a emis un aviz la 5 martie 2014.

(74)

Prezentul regulament respectă pe deplin drepturile fundamentale și garanțiile și respectă principiile recunoscute în special de cartă,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

INSTITUIREA, OBIECTIVELE ȘI SARCINILE EUROJUST

Articolul 1

Instituirea Agenției Uniunii Europene pentru Cooperare în Materie de Justiție Penală

(1)   Se instituie Agenția Uniunii Europene pentru Cooperare în Materie de Justiție Penală (Eurojust).

(2)   Eurojust, astfel cum este instituit prin prezentul regulament, înlocuiește și succedă Eurojust, astfel cum a fost instituit prin Decizia 2002/187/JAI.

(3)   Eurojust are personalitate juridică.

Articolul 2

Sarcini

(1)   Eurojust sprijină și consolidează coordonarea și cooperarea dintre autoritățile naționale de cercetare și urmărire penală în legătură cu formele grave de criminalitate care sunt de competența Eurojust în conformitate cu prevederile articolului 3 alineatele (1) și (3), atunci când afectează două sau mai multe state membre sau care impun urmărirea penală pe baze comune, întemeiată pe operațiuni întreprinse de autoritățile statelor membre, de Europol, de EPPO și de OLAF, și pe informații furnizate de acestea.

(2)   În îndeplinirea sarcinilor sale, Eurojust:

(a)

ia în considerare orice cerere formulată de o autoritate competentă a unui stat membru, orice informație furnizată de autorități, instituții, organe, oficii și agenții ale Uniunii competente în temeiul dispozițiilor adoptate în cadrul tratatelor, și orice informație colectată de către Eurojust;

(b)

facilitează executarea cererilor de cooperare judiciară și a deciziilor privind cooperarea judiciară, inclusiv a cererilor și deciziilor bazate pe instrumentele de punere în aplicare a principiului recunoașterii reciproce.

(3)   Eurojust își îndeplinește sarcinile la cererea autorităților competente din statele membre, din proprie inițiativă sau la cererea EPPO în limitele competenței EPPO.

Articolul 3

Competența Eurojust

(1)   Eurojust are competență în privința formelor grave de criminalitate enumerate în anexa I. Cu toate acestea, de la data la care EPPO își asumă sarcinile de investigare și de urmărire penală în conformitate cu articolul 120 alineatul (2) din Regulamentul (UE) 2017/1939, Eurojust nu își exercită competența cu privire la infracțiunile pentru care EPPO își exercită competența, cu excepția cazurilor în care statele membre care nu participă la cooperarea consolidată privind instituirea EPPO sunt de asemenea implicate și la cererea statelor membre respective sau la cererea EPPO.

(2)   Eurojust își exercită competența pentru infracțiunile care aduc atingere intereselor financiare ale Uniunii în cazuri care implică statele membre care participă la cooperarea consolidată privind instituirea EPPO, dar în care EPPO nu are competența sau decide să nu își exercite competența.

Eurojust, EPPO și statele membre în cauză se consultă și cooperează între ele pentru a facilita exercitarea competenței Eurojust în temeiul prezentului alineat. Detaliile practice privind exercitarea competenței în temeiul prezentului alineat trebuie să fie reglementate de un acord de lucru, astfel cum este menționat la articolul 47 alineatul (3).

(3)   În ceea ce privește alte forme de criminalitate decât cele enumerate în anexa I, Eurojust poate, de asemenea, în concordanță cu sarcinile sale, să sprijine cercetările sau urmăririle penale la cererea unei autorități competente a unui stat membru.

(4)   Competența Eurojust cuprinde infracțiuni conexe legate de infracțiunile enumerate în anexa I. Următoarele categorii de infracțiuni sunt considerate infracțiuni conexe:

(a)

infracțiunile săvârșite pentru procurarea mijloacelor necesare comiterii infracțiunilor grave enumerate în anexa I;

(b)

infracțiunile săvârșite în vederea înlesnirii sau a săvârșirii infracțiunilor grave enumerate în anexa I;

(c)

infracțiunile săvârșite pentru a asigura impunitatea persoanelor care săvârșesc infracțiunile grave enumerate în anexa I.

(5)   La solicitarea unei autorități competente din statul membru, Eurojust poate, de asemenea, să sprijine cercetările sau urmăririle penale care vizează doar respectivul stat membru și o țară terță, dacă a fost încheiat cu țara terță în cauză un acord de cooperare sau un acord care instituie cooperarea în temeiul articolului 52 ori dacă, într-un caz specific, există un interes esențial în furnizarea acestui sprijin.

(6)   La solicitarea autorității competente a unui stat membru sau a Comisiei, Eurojust poate să sprijine cercetările sau urmăririle penale care vizează doar statul membru în cauză, dar care au repercusiuni la nivelul Uniunii. Înainte de a acționa la cererea Comisiei, Eurojust consultă autoritatea competentă a statului membru în cauză. În termenul stabilit de către Eurojust, respectiva autoritate competentă se poate opune executării de către Eurojust a cererii, justificându-și poziția în fiecare caz.

Articolul 4

Funcțiile operaționale ale Eurojust

(1)   Eurojust:

(a)

informează autoritățile competente din statele membre cu privire la cercetările și urmăririle penale despre care are cunoștință și care au repercusiuni la nivelul Uniunii sau care ar putea afecta alte state membre decât cele direct vizate;

(b)

asistă autoritățile competente ale statelor membre în scopul de a asigura o cât mai bună coordonare a cercetărilor și urmăririlor penale;

(c)

oferă asistență pentru îmbunătățirea cooperării între autoritățile competente ale statelor membre, în special pe baza unor analize ale Europol;

(d)

cooperează și se consultă cu Rețeaua Judiciară Europeană în materie penală, inclusiv utilizând și contribuind la îmbunătățirea bazei documentare a Rețelei Judiciare Europene;

(e)

cooperează îndeaproape cu EPPO pentru aspectele care intră în sfera sa de competență;

(f)

furnizează asistență operațională, tehnică și sprijin financiar pentru operațiunile și investigațiile transfrontaliere întreprinse de statele membre, inclusiv pentru echipele comune de anchetă.

(g)

sprijină și, după caz, participă la centrele de expertiză specializată ale Uniunii, dezvoltate de Europol și alte instituții, organe, oficii și agenții ale Uniunii;

(h)

cooperează cu instituțiile, organele, oficiile și agențiile Uniunii, precum și cu rețelele instituite în spațiul de libertate, securitate și justiție reglementat în temeiul Titlului V din TFUE;

(i)

susține măsurile statelor membre de combatere a formelor grave de criminalitate enumerate în anexa I.

(2)   În îndeplinirea sarcinilor sale, Eurojust poate solicita autorităților competente din statele membre în cauză, cu indicarea motivelor sale:

(a)

să întreprindă o cercetare sau urmărire penală a unor anumite fapte specifice;

(b)

să accepte că una dintre autorități poate fi mai în măsură să desfășoare o cercetare sau să urmărească penal anumite fapte specifice;

(c)

să realizeze o coordonare între autoritățile competente ale statelor membre în cauză;

(d)

să instituie o echipă de cercetare comună, în conformitate cu instrumentele de cooperare relevante;

(e)

să îi furnizeze orice informație necesară pentru a-și îndeplini sarcinile;

(f)

să dispună măsuri de cercetare speciale;

(g)

să dispună orice altă măsură justificată pentru cercetarea sau urmărirea penală.

(3)   Eurojust poate, de asemenea:

(a)

pe baza analizelor efectuate de Europol, să îi furnizeze acestuia avize;

(b)

să ofere sprijin logistic, inclusiv traducere, interpretare și organizarea de reuniuni de coordonare.

(4)   În cazul în care două sau mai multe state membre nu pot conveni care dintre ele ar trebui să întreprindă o cercetare sau o urmărire penală ca urmare a unei cereri în temeiul alineatului (2) literele (a) sau (b), Eurojust emite un aviz scris privind acest caz. Eurojust transmite imediat avizul statelor membre în cauză.

(5)   La cererea unei autorități competente sau din proprie inițiativă, Eurojust emite un aviz scris referitor la refuzurile sau dificultățile recurente privind executarea cererilor de cooperare judiciară și deciziile privind cooperarea judiciară, inclusiv cererile și deciziile bazate pe instrumentele de punere în aplicare a principiului recunoașterii reciproce, cu condiția să nu fie posibil ca aceste cazuri să fie soluționate de comun acord între autoritățile naționale competente sau prin implicarea membrilor naționali în cauză. Eurojust transmite imediat avizul statelor membre în cauză.

(6)   Autoritățile competente ale statelor membre în cauză răspund fără întârzieri nejustificate solicitărilor din partea Eurojust în temeiul alineatului (2) și la avizele scrise menționate la alineatul (4) sau (5). Autoritățile competente ale statelor membre pot refuza să respecte astfel de solicitări sau să urmeze avizul scris, atunci când conformarea ar dăuna intereselor fundamentale de siguranță națională sau ar pune în pericol reușita unei cercetări în curs sau siguranța unei persoane.

Articolul 5

Exercitarea funcțiilor operaționale și a altor funcții

(1)   Eurojust acționează prin intermediul unuia sau mai multor membri naționali interesați, atunci când se adoptă oricare dintre măsurile prevăzute la articolul 4 alineatul (1) sau (2). Fără a aduce atingere alineatului (2) de la prezentul articol, colegiul se concentrează asupra unor aspecte operaționale și asupra oricăror alte aspecte care sunt direct legate de chestiunile operaționale. Colegiul este implicat în chestiuni administrative numai în măsura în care este necesar pentru a se asigura că funcțiile sale operaționale sunt îndeplinite.

(2)   Eurojust acționează în calitate de colegiu:

(a)

atunci când se adoptă oricare dintre măsurile prevăzute la articolul 4 alineatul (1) sau (2):

(i)

la solicitarea unuia sau mai multor membri naționali interesați de un caz instrumentat de către Eurojust;

(ii)

atunci când cazul implică cercetări sau urmăriri penale care au repercusiuni la nivelul Uniunii sau care ar putea afecta alte state membre decât cele direct vizate;

(b)

atunci când se iau oricare dintre măsurile prevăzute la articolul 4 alineatele (3), (4) sau (5);

(c)

atunci când este vorba despre o chestiune generală referitoare la realizarea obiectivelor sale operaționale;

(d)

atunci când adoptă bugetul anual al Eurojust, caz în care decizia se ia cu o majoritate de două treimi a membrilor săi;

(e)

atunci când adoptă documentul de programare menționat la articolul 15 sau raportul anual privind activitățile Eurojust, caz în care decizia se ia cu o majoritate de două treimi a membrilor săi;

(f)

atunci când alege sau demite președintele și vicepreședinții în temeiul articolului 11;

(g)

atunci când numește directorul administrativ sau, dacă este cazul, îi prelungește mandatul sau îl demite din funcție, în temeiul articolului 17;

(h)

atunci când adoptă acorduri de lucru care sunt încheiate în temeiul articolului 47 alineatul (3) și al articolului 52;

(i)

atunci când adoptă norme pentru prevenirea și gestionarea conflictelor de interese în ceea ce îi privește pe membrii săi, inclusiv în legătură cu declarația de interese a acestora;

(j)

atunci când adoptă rapoarte, documente de politică, orientări pentru autoritățile naționale și avize referitoare la activitatea operațională a Eurojust, atunci când respectivele documente sunt de natură strategică;

(k)

atunci când numește magistrați de legătură în conformitate cu articolul 53;

(l)

atunci când adoptă orice decizie neatribuită în mod expres Comitetului executiv de către prezentul regulament sau care nu ține de responsabilitatea directorului administrativ în temeiul articolului 18;

(m)

în alte cazuri prevăzute de prezentul regulament.

(3)   În îndeplinirea sarcinilor sale, Eurojust indică dacă acționează prin intermediul unuia sau mai multor membri naționali sau în calitate de colegiu.

(4)   Colegiul poate atribui sarcini administrative suplimentare directorului administrativ și Comitetului executiv pe lângă cele prevăzute la articolele 16 și 18 în concordanță cu necesitățile sale operaționale.

În cazul în care anumite circumstanțe excepționale impun acest lucru, colegiul poate decide să suspende temporar delegarea competențelor de autoritate împuternicită să facă numiri directorului administrativ și a competențelor care au fost subdelegate de acesta din urmă și să le exercite el însuși sau să le delege unuia dintre membrii săi sau unui alt membru al personalului decât directorul administrativ.

(5)   Colegiul adoptă Regulamentul de procedură al Eurojust în baza unei majorități de două treimi din membrii săi. Atunci când nu se poate ajunge la un acord cu o majoritate de două treimi, decizia se adoptă cu majoritate simplă. Regulamentul de procedură al Eurojust se aprobă de către Consiliu prin intermediul unor acte de punere în aplicare.

CAPITOLUL II

STRUCTURA ȘI ORGANIZAREA EUROJUST

SECȚIUNEA I

Structură

Articolul 6

Structura Eurojust

Eurojust cuprinde:

(a)

membrii naționali;

(b)

colegiul;

(c)

Comitetul executiv;

(d)

directorul administrativ.

SECȚIUNEA II

Membrii naționali

Articolul 7

Statutul membrilor naționali

(1)   Eurojust are câte un membru național, detașat de fiecare stat membru în conformitate cu sistemul său juridic. Membrul național are locul de muncă obișnuit la sediul Eurojust.

(2)   Fiecare membru național este asistat de un supleant și de un asistent. Supleantul și asistentul au, în principiu, locul de muncă obișnuit la sediul Eurojust. Fiecare stat membru poate decide ca supleantul sau asistentul sau ambii să își desfășoare în mod obișnuit activitatea în statul lor membru. Dacă un stat membru ia o astfel de decizie, acesta notifică colegiul. Dacă necesitățile operaționale ale Eurojust impun acest lucru, colegiul poate solicita statului membru să trimită supleantul sau asistentul sau pe ambii să își desfășoare activitatea la sediul Eurojust pentru o anumită perioadă de timp. Statul membru se conformează unei astfel de solicitări din partea colegiului fără întârzieri nejustificate.

(3)   Membrul național poate fi asistat de supleanți sau asistenți suplimentari și, dacă este necesar și cu acordul colegiului, aceștia își pot avea locul de muncă obișnuit la sediul Eurojust. Statul membru înștiințează Eurojust și Comisia cu privire la numirea membrilor naționali, a supleanților și a asistenților.

(4)   Membrii naționali și supleanții au statut de procuror, judecător sau reprezentant al autorității judiciare cu competențe echivalente cu cele ale unui procuror sau judecător în temeiul dreptului intern al acestora. Statele membre le acordă acestora cel puțin competențele menționate în prezentul regulament, astfel încât să fie în măsură să își îndeplinească sarcinile.

(5)   Durata mandatului membrilor naționali și al supleanților acestora este de cinci ani, reînnoibil o dată. Atunci când un supleant nu poate acționa în numele membrului național sau nu îl poate înlocui pe membrul național, membrul național rămâne în funcție la expirarea mandatului său, până la reînnoirea mandatului său sau până la înlocuirea sa, cu aprobarea statului său membru.

(6)   Statele membre numesc membrii naționali și supleanții pe baza experienței practice de lungă durată și de înalt nivel pe care aceștia au acumulat-o în domeniul justiției penale.

(7)   Supleantul poate acționa în numele membrului național sau îl poate înlocui pe acesta. Un asistent poate, de asemenea, acționa în numele membrului național sau îl poate înlocui pe acesta, dacă are statutul menționat la alineatul (4).

(8)   Schimbul de informații operaționale dintre Eurojust și statele membre are loc prin intermediul membrilor naționali.

(9)   Salariile și alte retribuții ale membrilor naționali, ale supleanților și ale asistenților sunt suportate de statul membru fără a se aduce atingere articolului 12.

(10)   Atunci când membrii naționali, supleanții și asistenții acționează în cadrul îndeplinirii sarcinilor Eurojust, cheltuielile pertinente aferente respectivelor activități sunt considerate cheltuieli operaționale.

Articolul 8

Competențele membrilor naționali

(1)   Membrii naționali au competența:

(a)

de a facilita sau de a sprijini în alt mod emiterea sau executarea oricăror cereri de asistență juridică reciprocă sau de recunoaștere reciprocă;

(b)

de a contacta direct și de a face schimb de informații cu orice autoritate națională competentă a statului membru sau cu orice alt organ, birou sau agenție competente ale Uniunii, inclusiv EPPO;

(c)

de a contacta direct și de a face schimb de informații cu orice autoritate internațională competentă, în conformitate cu angajamentele internaționale ale statului lor membru;

(d)

de a participa la echipe comune de anchetă, inclusiv la constituirea acestora.

(2)   Fără a aduce atingere alineatului (1), statele membre pot acorda competențe suplimentare membrilor naționali în conformitate cu dreptul lor intern. Statele membre înștiințează Comisia și colegiul cu privire la aceste competențe.

(3)   Cu acordul autorității naționale competente, membrii naționali pot, în conformitate cu dreptul lor intern:

(a)

să emită sau să execute orice cerere de asistență juridică sau de recunoaștere reciprocă;

(b)

să dispună, să solicite sau să execute măsuri de investigare, astfel cum sunt prevăzute în Directiva 2014/41/UE a Parlamentului European și a Consiliului (17).

(4)   În cazuri urgente în care nu se poate identifica sau contacta în timp util autoritatea națională competentă, membrii naționali au competența de a lua măsurile prevăzute la alineatul (3) în conformitate cu dreptul lor intern, cu condiția să informeze cât mai curând posibil autoritatea națională competentă.

(5)   Membrul național poate să prezinte o propunere autorității naționale competente de realizarea măsurilor prevăzute la alineatele (3) și (4). Atunci când exercitarea competențelor menționate la alineatele (3) și (4) de către membrul național respectiv contravine:

(a)

normelor constituționale ale unui stat membru; sau

(b)

aspectelor fundamentale ale sistemului național de justiție penală al respectivului stat membru referitoare la:

(i)

repartizarea competențelor între poliție, procurori și judecători;

(ii)

repartizarea funcțională a sarcinilor între autoritățile de urmărire penală; sau

(iii)

structura federală a statului membru respectiv.

(6)   Statele membre se asigură că, în situațiile menționate la alineatul (5), cererea emisă de membrul național este tratată fără întârziere de autoritatea națională competentă.

Articolul 9

Accesul la registrele naționale

În conformitate cu dreptul lor intern, membrii naționali au acces la informațiile sau cel puțin pot obține informațiile conținute în următoarele tipuri de registre din statul lor membru:

(a)

cazierele judiciare;

(b)

registrele privind persoanele arestate;

(c)

registrele privind cercetările;

(d)

registrele ADN;

(e)

alte registre ale autorităților publice din statul lor membru în cazul în care aceste informații sunt necesare pentru a-și îndeplini sarcinile.

SECȚIUNEA III

Colegiul

Articolul 10

Componența colegiului

(1)   Colegiul este alcătuit din:

(a)

toți membrii naționali; și

(b)

și un reprezentant al Comisiei atunci când colegiul își exercită funcțiile de gestionare.

Reprezentantul Comisiei menționat la litera (b) de la primul paragraf ar trebui să fie aceeași persoană cu reprezentantul Comisiei în Comitetul executiv, în temeiul articolului 16 alineatul (4)

(2)   Directorul administrativ asistă la reuniunile de gestionare ale colegiului, fără a avea drept de vot.

(3)   Colegiul poate invita la reuniunile sale orice persoană a cărei opinie poate prezenta interes, în calitate de observator.

(4)   Sub rezerva dispozițiilor regulamentului de procedură al Eurojust, membrii Colegiului pot fi asistați de consultanți sau de experți.

Articolul 11

Președintele și vicepreședintele Eurojust

(1)   Colegiul alege cu o majoritate de două treimi din membrii săi un președinte și doi vicepreședinți dintre membrii naționali. Dacă după al doilea tur de scrutin nu poate fi întrunită o majoritate de două treimi, vicepreședinții sunt aleși cu majoritatea simplă a membrilor colegiului, în timp ce pentru alegerea președintelui rămâne necesară majoritatea de două treimi.

(2)   Președintele își exercită funcțiile în numele colegiului. Președintele:

(a)

reprezintă Eurojust;

(b)

convoacă și prezidează reuniunile colegiului și ale Comitetului executiv și informează colegiul cu privire la orice chestiune care prezintă interes pentru acesta;

(c)

conduce lucrările colegiului și monitorizează gestionarea zilnică a Eurojust de către directorul administrativ;

(d)

exercită orice altă funcție stabilită în Regulamentul de procedură al Eurojust.

(3)   Vicepreședinții exercită funcțiile stabilite la alineatul (2) care le sunt încredințate de către președinte. Aceștia îl înlocuiesc pe președinte dacă acesta nu își poate îndeplini atribuțiile. În exercitarea atribuțiilor lor specifice, președintele și vicepreședinții sunt asistați de personalul administrativ al Eurojust.

(4)   Durata mandatului președintelui și vicepreședinților este de patru ani. Ei pot fi realeși o singură dată.

(5)   Atunci când un membru național este ales președinte sau vicepreședinte al Eurojust, mandatul său este prelungit pentru a se asigura că își poate îndeplini funcția de președinte sau vicepreședinte.

(6)   În cazul în care președintele sau vicepreședintele nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale, acesta poate fi destituit de colegiu, care hotărăște la propunerea unei treimi din membrii săi. Decizia se adoptă în baza unei majorități de două treimi din membrii colegiului, excluzând președintele sau vicepreședintele în cauză.

(7)   Atunci când un membru național este ales președinte al Eurojust, statul membru în cauză poate detașa o altă persoană calificată corespunzător pentru a consolida biroul național pe durata mandatului respectivei persoane în funcția de președinte.

Un stat membru care decide să detașeze o astfel de persoană are dreptul să solicite compensații în conformitate cu articolul 12.

Articolul 12

Mecanismul de compensații pentru alegerea în funcția de președinte

(1)   Până la 12 decembrie 2019, Consiliul, hotărând la propunerea Comisiei, stabilește, prin intermediul unor acte de punere în aplicare, un mecanism de compensații în sensul articolului 11 alineatul (7), care să fie pus la dispoziția statelor membre al căror membru național este ales președinte.

(2)   Compensațiile se acordă oricărui stat membru în cazul în care:

(a)

membrul său național a fost ales în funcția de președinte; și

(b)

statul membru respectiv solicită compensații din partea colegiului și furnizează o justificare pentru necesitatea de a consolida biroul național din cauza creșterii volumului de lucru.

(3)   Compensația acordată este egală cu 50 % din salariul național al persoanei detașate. Compensațiile pentru cheltuielile de întreținere și alte cheltuieli conexe sunt acordate pe o bază comparativă cu cele prevăzute pentru funcționarii Uniunii sau alți funcționari detașați în străinătate.

(4)   Costurile mecanismului de compensații sunt suportate din bugetul Eurojust.

Articolul 13

Reuniunile Colegiului

(1)   Președintele convoacă reuniunile Colegiului.

(2)   Colegiul organizează cel puțin o reuniune pe lună. În plus, Colegiul se reunește la inițiativa președintelui, la solicitarea Comisiei, pentru a discuta sarcinile administrative ale Colegiului, sau la solicitarea a cel puțin unei treimi din membrii săi.

(3)   Eurojust trimite EPPO ordinea de zi a reuniunilor Colegiului ori de câte ori sunt abordate probleme relevante pentru îndeplinirea sarcinilor EPPO. Eurojust invită EPPO să participe la aceste reuniuni, fără drept de vot.

Atunci când EPPO este invitat să participe la reuniunile colegiului, Eurojust îi prezintă documentele relevante care însoțesc ordinea de zi.

Articolul 14

Regulile de vot ale Colegiului

(1)   Cu excepția unor dispoziții contrare și dacă nu se poate ajunge la un consens, Colegiul adoptă deciziile cu majoritatea membrilor săi.

(2)   Fiecare membru dispune de un vot. În absența unui membru cu drept de vot, supleantul are dreptul de a exercita dreptul de vot, cu respectarea condițiilor stabilite la articolul 7 alineatul (7). În absența supleantului, asistentul are dreptul de a exercita dreptul de vot, cu respectarea condițiilor stabilite la articolul 7 alineatul (7).

Articolul 15

Programarea anuală și multianuală

(1)   Până la 30 noiembrie a fiecărui an, Colegiul adoptă un document de programare care conține programarea anuală și multianuală, pe baza unui proiect pregătit de directorul administrativ, ținând seama de avizul Comisiei. Colegiul transmite documentul de programare Parlamentului European, Consiliului, Comisiei și EPPO. Documentul de programare devine definitiv după adoptarea finală a bugetului general al Uniunii și, dacă este necesar, se modifică în consecință.

(2)   Programul anual de lucru cuprinde obiective detaliate și rezultate preconizate, inclusiv indicatori de performanță. Acesta cuprinde, de asemenea, o descriere a acțiunilor care urmează să fie finanțate și o indicație a resurselor financiare și umane alocate fiecărei acțiuni, în conformitate cu principiile întocmirii bugetului și ale gestionării pe activități. Programul de lucru anual trebuie să fie conform cu programul de lucru multianual menționat la alineatul (4). Acesta indică în mod clar ce sarcini au fost adăugate, modificate sau anulate comparativ cu exercițiul financiar anterior.

(3)   Colegiul modifică programul de lucru anual adoptat atunci când Eurojust primește nouă sarcină. Orice modificare substanțială a programului de lucru anual se supune unei proceduri de adopție identice cu cea a programului de lucru anual inițial. Colegiul poate delega directorului administrativ competența de a aduce modificări nesubstanțiale programului de lucru anual.

(4)   Programul de lucru multianual stabilește programarea strategică globală, inclusiv obiectivele, strategia de cooperare cu autoritățile țărilor terțe și cu organizațiile internaționale menționate la articolul 52, rezultatele estimate și indicatorii de performanță. Acesta stabilește, de asemenea, programarea resurselor, inclusiv bugetul multianual și personalul. Programarea resurselor se actualizează în fiecare an. Programarea strategică se actualizează, dacă este cazul, și în special pentru a reflecta rezultatul evaluării menționate la articolul 69.

SECȚIUNEA IV

Comitetul executiv

Articolul 16

Funcționarea Comitetului executiv

(1)   Colegiul este asistat de Comitetul executiv. Comitetul executiv este responsabil de luarea deciziilor administrative pentru a asigura funcționarea corespunzătoare a Eurojust. Acesta supervizează activitatea pregătitoare necesară a directorului administrativ cu privire la alte chestiuni administrative ce urmează a fi supuse adoptării de către colegiu. Comitetul executiv nu este implicat în funcțiile operaționale ale Eurojust menționate la articolele 4 și 5.

(2)   Comitetul executiv poate consulta colegiul atunci când își îndeplinește sarcinile.

(3)   Comitetul executiv:

(a)

revizuiește documentul de programare al Eurojust menționat la articolul 15 pe baza proiectelor elaborate de directorul administrativ și îl transmite colegiului spre adoptare;

(b)

adoptă o strategie antifraudă pentru Eurojust proporțională cu riscurile de fraudă, având în vedere costurile și beneficiile măsurilor care trebuie puse în aplicare și bazată pe un proiect pregătit de directorul administrativ;

(c)

adoptă normele corespunzătoare de punere în aplicare a Statutului funcționarilor Uniunii Europene (denumit în continuare „Statutul funcționarilor”) și a Regimului aplicabil celorlalți agenți ai Uniunii Europene (denumit în continuare „Regimul aplicabil celorlalți agenți”), stabilite prin Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (18), în conformitate cu articolul 110 din Statutul funcționarilor;

(d)

asigură urmărirea corespunzătoare a concluziilor și a recomandărilor din rapoartele de audit intern sau extern, evaluări și investigații, inclusiv cele ale AEPD și ale OLAF;

(e)

ia toate deciziile privind crearea și, dacă este necesar, modificarea structurilor administrative interne ale Eurojust;

(f)

fără a aduce atingere responsabilităților directorului administrativ, astfel cum sunt prevăzute la articolul 18, îi acordă asistență și consiliere acestuia în punerea în aplicare a deciziilor Colegiului, în vederea consolidării supravegherii gestionării administrative și bugetare;

(g)

îndeplinește orice alte sarcini administrative care îi sunt atribuite de către Colegiu în temeiul articolului 5 alineatul (4);

(h)

adoptă normele financiare aplicabile Eurojust în conformitate cu articolul 64;

(i)

adoptă, în conformitate cu articolul 110 din Statutul funcționarilor, o decizie pe baza articolului 2 alineatul (1) din Statutul funcționarilor și a articolului 6 din Regimul aplicabil celorlalți agenți, prin care deleagă directorului administrativ competențele relevante de autoritate împuternicită să facă numiri și prin care definește condițiile în care această delegare de competențe poate fi suspendată; directorul administrativ este autorizat să subdelege competențele respective;

(j)

revizuiește bugetul anual al Eurojust în vederea adoptării de către Colegiu;

(k)

revizuiește raportul anual privind activitățile Eurojust și îl transmite Colegiului spre adoptare;

(l)

numește un contabil și un responsabil pentru protecția datelor care acționează independent din punct de vedere funcțional în îndeplinirea atribuțiilor lor.

(4)   Comitetul executiv este format din președintele și vicepreședinții Eurojust, un reprezentant al Comisiei și alți doi membri ai colegiului, desemnați pe baza unui sistem de rotație bienală în conformitate cu regulamentul de procedură al Eurojust. Directorul administrativ asistă la reuniunile comitetului executiv fără a avea drept de vot.

(5)   Președintele Eurojust este președintele Comitetului executiv. Comitetul executiv ia deciziile cu majoritatea membrilor săi. Fiecare membru dispune de un vot. În cazul în care există un număr egal de voturi, votul președintelui Eurojust este hotărâtor.

(6)   Durata mandatului membrilor Comitetului executiv se încheie atunci când se încheie mandatul acestora ca membri naționali, ca președinte sau ca vicepreședinte.

(7)   Comitetul executiv se reunește cel puțin o dată pe lună. În plus, se reunește la inițiativa președintelui său sau la cererea Comisiei ori a cel puțin doi dintre membri.

(8)   Eurojust transmite EPPO agenda tuturor reuniunilor Comitetului executiv și se consultă cu EPPO cu privire la necesitatea de a participa la aceste reuniuni. Eurojust invită EPPO să participe, fără drept de vot, ori de câte ori sunt abordate probleme pe care acesta le consideră relevante pentru funcționarea EPPO.

Atunci când EPPO este invitat la reuniunile Comitetului executiv, Eurojust îi prezintă și documentele relevante care însoțesc agenda.

SECȚIUNEA V

Directorul administrativ

Articolul 17

Statutul directorului administrativ

(1)   Directorul administrativ este angajat al Eurojust, în calitate de agent temporar, în temeiul articolului 2 litera (a) din Regimul aplicabil celorlalți agenți.

(2)   Directorul administrativ este numit de către colegiu dintr-o listă de candidați propuși de comitetul executiv, în urma unei proceduri de selecție deschise și transparente, în conformitate cu Regulamentul de procedură al Eurojust. În scopul de a încheia contractul de muncă pentru ocuparea funcției de director administrativ, Eurojust este reprezentat de președintele Eurojust.

(3)   Durata mandatului directorului administrativ este de patru ani. Până la sfârșitul acestei perioade, Comitetul executiv efectuează o analiză care ia în considerare o evaluare a performanțelor directorului administrativ.

(4)   Colegiul, hotărând pe baza unei propuneri din partea Comitetului executiv, care ia în considerare analiza menționată la alineatul (3), poate prelungi o dată mandatul directorului administrativ cu cel mult patru ani.

(5)   Un director administrativ al cărui mandat a fost prelungit nu poate participa la o altă procedură de selecție pentru același post la încheierea perioadei celor două mandate.

(6)   Directorul administrativ răspunde în fața Colegiului.

(7)   Directorul administrativ poate fi revocat din funcție doar în temeiul unei decizii a Colegiului, care hotărăște la propunerea Comitetului executiv.

Articolul 18

Responsabilitățile directorului administrativ

(1)   În scopuri administrative, Eurojust este condus de un directorul său administrativ.

(2)   Fără a aduce atingere competențelor colegiului sau Comitetului executiv, directorul administrativ este independent în exercitarea atribuțiilor sale și nu solicită și nici nu acceptă instrucțiuni de la niciun guvern sau alt organism.

(3)   Directorul administrativ este reprezentantul legal al Eurojust.

(4)   Directorul administrativ este responsabil de executarea sarcinilor administrative alocate Eurojust, în special:

(a)

administrarea zilnică a Eurojust și managementul personalului;

(b)

punerea în aplicare a deciziilor adoptate de colegiu și de Comitetul executiv;

(c)

elaborarea documentului de programare menționat la articolul 15 și transmiterea sa către Comitetul executiv spre aprobare;

(d)

punerea în aplicare a documentului de programare menționat la articolul 15și prezentarea unui raport Comitetului executiv și colegiului cu privire la acesta;

(e)

elaborarea raportului anual privind activitățile Eurojust și prezentarea acestuia Comitetului executiv spre revizuire și colegiului spre adoptare;

(f)

întocmirea unui plan de acțiuni subsecvente concluziilor rapoartelor de audit intern sau extern, evaluărilor și investigațiilor, inclusiv cele ale AEPD și OLAF și raportarea progreselor înregistrate, de două ori pe an colegiului, Comitetului executiv, Comisiei și AEPD;

(g)

elaborarea unei strategii antifraudă pentru Eurojust și prezentarea acesteia către comitetul executiv, spre adoptare;

(h)

elaborarea proiectelor de norme financiare aplicabile Eurojust;

(i)

elaborarea proiectului de declarație estimativă privind veniturile și cheltuielile Eurojust și execuția bugetului său;

(j)

exercitarea, cu privire la personalul Eurojust, a competențelor pe care Statutul funcționarilor le conferă autorității împuternicite să facă numiri și pe care Regimul aplicabil celorlalți agenți le conferă autorității abilitate să încheie contracte de muncă aplicabile celorlalți agenți („competențele autorității împuternicite să facă numiri”);

(k)

asigurarea că este acordat sprijinul administrativ necesar pentru a facilita activitatea operațională a Eurojust;

(l)

asigurarea că președintelui și vicepreședinților le este acordată asistență în îndeplinirea atribuțiilor lor;

(m)

pregătirea unui proiect de propunere pentru bugetul anual al Eurojust, care este analizat de Comitetul executiv înainte de adoptarea de către Colegiu;

CAPITOLUL III

ASPECTE OPERAȚIONALE

Articolul 19

Mecanismul de coordonare permanentă

(1)   În vederea îndeplinirii sarcinilor sale în cazuri urgente, Eurojust gestionează un mecanism de coordonare permanentă (MCP) capabil să primească și să prelucreze în orice moment toate cererile care îi sunt înaintate. MCP trebuie să poată fi contactat 24 de ore din 24, 7 zile din 7.

(2)   MCP se bazează pe un reprezentant al MCP pentru fiecare stat membru, care poate fi membrul național, supleantul acestuia, un asistent care are dreptul să înlocuiască membrul național sau un expert național detașat. Reprezentantul MCP trebuie să fie disponibil să acționeze 24 de ore din 24, 7 zile din 7.

(3)   Reprezentanții MCP acționează eficient și fără întârziere în ceea ce privește executarea unei cereri în statul lor membru.

Articolul 20

Sistemul național de coordonare Eurojust

(1)   Fiecare stat membru numește unul sau mai mulți corespondenți naționali ai Eurojust.

(2)   Toți corespondenții naționali numiți de statele membre în temeiul alineatului (1) au competențele și experiența necesare pentru a-și îndeplini atribuțiile.

(3)   Fiecare stat membru creează un sistem național de coordonare Eurojust pentru a asigura coordonarea eforturilor depuse de către:

(a)

corespondenții naționali ai Eurojust;

(b)

orice corespondent național pentru probleme legate de competența EPPO;

(c)

corespondentul național al Eurojust pe probleme legate de terorism;

(d)

corespondentul național al Rețelei Judiciare Europene în materie penală și până la trei alte puncte de contact ale acelei Rețele Judiciare Europene;

(e)

membrii naționali sau punctele de contact ale Rețelei echipelor comune de anchetă și membrii naționali sau punctele de contact ale rețelelor înființate prin Deciziile 2002/494/JAI, 2007/845/JAI și 2008/852/JAI;

(f)

după caz, orice altă autoritate judiciară relevantă.

(4)   Persoanele menționate la alineatele (1) și (3) își mențin funcția și statutul în conformitate cu dreptul intern, fără ca aceasta să aibă un impact semnificativ asupra îndeplinirii atribuțiilor lor în temeiul prezentului regulament.

(5)   Corespondenții naționali ai Eurojust sunt responsabili de funcționarea sistemului național de coordonare Eurojust al acestora. În cazul în care sunt numiți mai mulți corespondenți ai Eurojust, unul dintre aceștia este responsabil de funcționarea sistemului național de coordonare Eurojust al acestora.

(6)   Membrii naționali sunt informați cu privire la toate reuniunile sistemului lor național de coordonare Eurojust în care sunt discutate chestiuni legate de instrumentarea dosarelor. Membrii naționali pot participa la astfel de reuniuni, dacă este necesar.

(7)   Fiecare sistem național de coordonare Eurojust facilitează îndeplinirea sarcinilor Eurojust în cadrul statului membru, în special prin:

(a)

asigurarea faptului că sistemul de gestionare a cazurilor menționat la articolul 23 primește informații referitoare la statul membru în cauză în mod eficace și sigur;

(b)

acordarea de asistență pentru a stabili dacă o cerere trebuie tratată cu sprijinul Eurojust sau al Rețelei Judiciare Europene;

(c)

asistența acordată membrului național în identificarea autorităților competente pentru executarea cererilor de cooperare judiciară și a deciziilor privind cooperarea judiciară, inclusiv a cererilor și deciziilor bazate pe instrumentele de punere în aplicare a principiului recunoașterii reciproce;

(d)

menținerea unor legături strânse cu unitatea națională Europol, cu alte puncte de contact ale Rețelei Judiciare Europene și cu alte autorități naționale competente de resort.

(8)   Pentru îndeplinirea obiectivelor menționate la alineatul (7), persoanele menționate la alineatul (1) și la alineatul (3) literele (a), (b) și (c) trebuie să fie conectate la sistemul de gestionare a cazurilor în conformitate cu prezentul articol și cu articolele 23, 24, 25 și 34, iar persoanele sau autoritățile menționate la alineatul (3) literele (d) și (e) pot fi conectate la sistemul de gestionare a cazurilor în conformitate cu prezentul articol și cu articolele 23, 24, 25 și 34. Costul conectării la sistemul de gestionare a cazurilor este suportat de la bugetul general al Uniunii.

(9)   Înființarea sistemului național de coordonare Eurojust și numirea corespondenților naționali nu împiedică contactele directe dintre membrul național și autoritățile competente din propriul stat membru.

Articolul 21

Schimburi de informații cu statele membre și între membrii naționali

(1)   Autoritățile competente din statele membre și Eurojust fac schimb de orice informații necesare îndeplinirii sarcinilor acestuia, în temeiul articolelor 2 și 4, precum și în conformitate cu normele aplicabile de protecție a datelor. Acestea includ cel puțin informațiile prevăzute la alineatele (4), (5) și (6) de la prezentul articol.

(2)   Transmiterea informațiilor către Eurojust se interpretează ca o cerere de asistență a Eurojust în cazul respectiv, numai dacă se prevede astfel de către o autoritate competentă.

(3)   Membrii naționali schimbă toate informațiile necesare pentru îndeplinirea sarcinilor Eurojust, între ei sau cu autoritățile naționale competente, fără autorizație prealabilă. În special, autoritățile naționale competente își informează prompt membrii naționali despre un caz care îi privește.

(4)   Autoritățile naționale competente își informează membrii naționali despre constituirea de echipe comune de anchetă și despre rezultatele activității acestor echipe.

(5)   Autoritățile naționale competente își informează membrii naționali, fără întârzieri nejustificate, cu privire la orice caz care afectează cel puțin trei state membre în mod direct și pentru care au fost transmise către cel puțin două state membre cereri de cooperare judiciară sau decizii privind cooperarea judiciară, inclusiv cereri și decizii bazate pe instrumentele de punere în aplicare a principiului recunoașterii reciproce, și dacă este îndeplinită cel puțin una dintre condițiile următoare:

(a)

infracțiunea în cauză este pasibilă în statul membru solicitant sau emitent de o pedeapsă cu închisoarea sau o măsură de siguranță privativă de libertate pentru o perioadă de cel puțin cinci sau șase ani, în funcție de decizia statului membru în cauză, inclusă în următoarea listă:

(i)

trafic de ființe umane;

(ii)

abuz sexual sau exploatare sexuală, inclusiv pornografie infantilă și ademenirea copiilor în scopuri sexuale;

(iii)

trafic de droguri;

(iv)

trafic ilicit de arme de foc, părți sau componente ale acestora, sau muniții sau explozivi;

(v)

corupție;

(vi)

infracțiuni împotriva intereselor financiare ale Uniunii;

(vii)

falsificarea banilor sau a altor mijloace de plată;

(viii)

activități de spălare de bani;

(ix)

infracțiuni informatice;

(b)

există indicii concrete că este implicat un grup infracțional organizat;

(c)

există indicii că respectivul caz poate avea o dimensiune transfrontalieră gravă sau poate avea repercusiuni la nivelul Uniunii ori că ar putea afecta alte state membre decât cele direct implicate.

(6)   Autoritățile naționale competente își informează membrii naționali cu privire la:

(a)

cazurile în care au apărut sau riscă să apară conflicte de jurisdicție;

(b)

livrări supravegheate care afectează cel puțin trei țări, dintre care cel puțin două sunt state membre;

(c)

dificultăți sau refuzuri repetate privind executarea cererilor de cooperare judiciară și a deciziilor privind cooperarea judiciară, inclusiv a cererilor și deciziilor bazate pe instrumentele de punere în aplicare a principiului recunoașterii reciproce.

(7)   Autoritățile naționale competente nu sunt obligate, să furnizeze informații într-un caz anume, dacă acest lucru ar leza interesele naționale fundamentale în materie de securitate sau ar pune în pericol siguranța persoanelor.

(8)   Prezentul articol nu aduce atingere condițiilor prevăzute în acordurile sau înțelegerile bilaterale sau multilaterale între statele membre și țările terțe, inclusiv oricăror condiții stabilite de țări terțe privind utilizarea informațiilor, odată ce acestea au fost furnizate.

(9)   Prezentul articol nu aduce atingere celorlalte obligații în materie de transmitere a informațiilor către Eurojust, inclusiv Deciziei 2005/671/JAI a Consiliului (19).

(10)   Informațiile menționate în prezentul articol sunt furnizate într-un mod structurat, stabilit de către Eurojust. Autoritatea națională competentă nu este obligată să transmită astfel de informații dacă au fost deja transmise către Eurojust în conformitate cu alte dispoziții ale prezentului regulament.

Articolul 22

Informații furnizate de Eurojust autorităților naționale competente

(1)   Eurojust furnizează autorităților naționale competente, fără întârzieri nejustificate, informații privind rezultatele prelucrării informațiilor, inclusiv privind existența unor legături cu cazuri deja stocate în sistemul de gestionare a cazurilor. Respectivele informații pot include date cu caracter personal.

(2)   În cazul în care autoritatea națională competentă solicită Eurojust să îi furnizeze informații într-un anumit termen, Eurojust transmite acele informații în termenul respectiv.

Articolul 23

Sistemul de gestionare a cazurilor, indexul și fișierele de lucru temporare

(1)   Eurojust instituie un sistem de gestionare a cazurilor compus din fișiere de lucru temporare și un index care conține date cu caracter personal, astfel cum se prevede la anexa II, și date care nu au caracter personal.

(2)   Scopul sistemului de gestionare a cazurilor este:

(a)

de a sprijini gestionarea și coordonarea cercetărilor și a urmăririlor penale pentru care Eurojust acordă asistență, în special prin corelarea informațiilor;

(b)

de a facilita accesul la informațiile referitoare la cercetările și urmăririle penale în curs;

(c)

de a facilita controlul legalității privind prelucrarea datelor cu caracter personal de către Eurojust și controlul conformității acesteia cu normele aplicabile în materie de protecție a datelor.

(3)   Sistemul de gestionare a cazurilor poate fi legat la conexiunea securizată de telecomunicații menționată la articolul 9 din Decizia 2008/976/JAI a Consiliului (20).

(4)   Indexul conține referințe ale fișierelor de lucru temporare prelucrate în cadrul Eurojust și nu poate conține alte date cu caracter personal decât cele menționate la punctul 1 literele (a)-(i), (k) și (m) și punctul 2 din anexa II.

(5)   În exercitarea atribuțiilor lor, membrii naționali pot prelucra date referitoare la cazurile specifice la care lucrează într-un fișier de lucru temporar. Aceștia trebuie să permită accesul responsabilului cu protecția datelor la fișierul de lucru temporar. Responsabilul cu protecția datelor este informat de către membrul național respectiv în legătură cu deschiderea fiecărui fișier de lucru nou care conține date cu caracter personal.

(6)   Pentru prelucrarea datelor operaționale cu caracter personal, Eurojust nu poate crea niciun alt fișier automat în afară de sistemul de gestionare a cazurilor. Cu toate acestea, membrul național poate stoca temporar și analiza datele cu caracter personal pentru a stabili dacă aceste date sunt relevante pentru sarcinile Eurojust și dacă pot fi incluse în sistemul de gestionare a cazurilor. Aceste date pot fi păstrate cel mult trei luni.

Articolul 24

Funcționarea fișierelor de lucru temporare și a indexului

(1)   Membrul național respectiv creează un fișier de lucru temporar pentru fiecare caz cu privire la care îi sunt transmise informații, în măsura în care această comunicare este conformă cu prezentul regulament sau cu alte instrumente legale aplicabile. Membrul național răspunde de gestionarea fișierelor de lucru temporare pe care le-a creat.

(2)   Membrul național care a creat un fișier de lucru temporar decide, de la caz la caz, dacă menține fișierul de lucru temporar restricționat sau acordă acces total sau parțial altor membri naționali, personalului autorizat Eurojust sau oricărei alte persoane care lucrează în numele Eurojust și care a primit autorizația necesară din partea directorului administrativ.

(3)   Membrul național care a creat un fișier de lucru temporar decide ce informații referitoare la fișierul de lucru temporar respectiv se introduc în index, în conformitate cu articolul 23 alineatul (4).

Articolul 25

Accesul la sistemul de gestionare a cazurilor la nivel național

(1)   În măsura în care sunt conectate la sistemul de gestionare a cazurilor, persoanele menționate la articolul 20 alineatul (3) pot avea acces numai la:

(a)

index, exceptând cazul în care membrul național care a decis introducerea datelor în index a refuzat în mod expres acordarea accesului;

(b)

fișierele temporare de lucru create de membrul național din statul lor membru;

(c)

fișierele temporare de lucru create de membrii naționali din alte state membre și la care membrul național din statul lor membru a primit acces, exceptând cazul în care membrul național care a creat fișierul de lucru temporar a refuzat în mod expres acordarea accesului.

(2)   Membrul național, în limitele prevăzute la alineatul (1) de la prezentul articol, decide cu privire la gradul de acces la fișierele de lucru temporare care se acordă în statul său membru persoanelor menționate la articolul 20 alineatul (3), în măsura în care sunt conectate la sistemul de gestionare a cazurilor.

(3)   Fiecare stat membru decide, după consultarea membrului său național, cu privire la gradul de acces la index acordat în statul membru respectiv persoanelor menționate la articolul 20 alineatul (3), în măsura în care acestea sunt conectate la sistemul de gestionare a cazurilor. Statele membre notifică Eurojust și Comisia în legătură cu decizia lor privind punerea în aplicare a prezentului alineat. Comisia informează celelalte state membre cu privire la aceasta.

(4)   Persoanele care au primit acces în conformitate cu alineatul (2) au cel puțin acces la index în măsura necesară pentru a avea acces la fișierele de lucru temporare la care le-a fost acordat accesul.

CAPITOLUL IV

PRELUCRAREA INFORMAȚIILOR

Articolul 26

Prelucrarea datelor cu caracter personal de către Eurojust

(1)   Prezentul regulament, precum și articolul 3 și capitolul IX din Regulamentul (UE) 2018/1725 se aplică în cazul prelucrării datelor operaționale cu caracter personal de către Eurojust. Regulamentul (UE) 2018/1725 se aplică în cazul prelucrării de date administrative cu caracter personal de către Eurojust, cu excepția capitolului IX din regulamentul menționat.

(2)   Trimiterile la „normele aplicabile privind protecția datelor” se interpretează ca trimiteri la dispozițiile privind protecția datelor prevăzute în prezentul regulament și în Regulamentul (UE) 2018/1725.

(3)   Normele de protecție a datelor referitoare la prelucrarea datelor operaționale cu caracter personal cuprinse în prezentul regulament se consideră ca fiind norme specifice privind protecția datelor în raport cu normele generale prevăzute la articolul 3 și în capitolul IX din Regulamentul (UE) 2018/1725.

(4)   Eurojust stabilește termenele pentru stocarea datelor administrative cu caracter personal în dispozițiile privind protecția datelor din regulamentul său intern de procedură.

Articolul 27

Prelucrarea datelor operaționale cu caracter personal

(1)   În măsura în care este necesar pentru îndeplinirea sarcinilor sale, Eurojust, în cadrul competențelor sale și pentru a-și executa funcțiile operaționale, poate prelucra prin mijloace informatizate sau în fișiere manuale structurate, în conformitate cu prezentul regulament, numai datele operaționale cu caracter personal menționate la punctul 1 din anexa II ale persoanelor care, în temeiul dreptului intern al statelor membre respective, sunt persoane în privința cărora există motive serioase să se creadă că au săvârșit sau că urmează să săvârșească o infracțiune care intră în sfera de competență a Eurojust, ori care au fost condamnate pentru o astfel de infracțiune.

(2)   Eurojust poate prelucra doar datele operaționale cu caracter personal enumerate la punctul 2 din anexa II ale persoanelor care, în temeiul dreptului intern al statelor membre în cauză, sunt considerate victime sau alte părți în cadrul infracțiunii, cum ar fi persoane cărora li se cere să depună mărturie în cadrul cercetărilor sau urmăririlor penale cu privire la unul sau mai multe dintre tipurile de criminalitate și la infracțiunile menționate la articolul 3, persoane care pot oferi informații cu privire la infracțiuni sau contacte sau asociați ai unei persoane menționate la alineatul (1). Prelucrarea unor astfel de date operaționale cu caracter personal poate avea loc numai în cazul în care este necesară pentru îndeplinirea sarcinilor Eurojust, în cadrul competențelor sale și pentru a-și îndeplini funcțiile operaționale.

(3)   În cazuri excepționale, pentru o perioadă limitată de timp, care nu trebuie să depășească timpul necesar pentru finalizarea cazului cu privire la care sunt prelucrate datele, Eurojust poate, de asemenea, să prelucreze alte date operaționale cu caracter personal decât cele menționate în anexa II referitoare la circumstanțele unei infracțiuni atunci când astfel de date prezintă un interes imediat pentru cercetările în curs de desfășurare și sunt incluse în aceste cercetări pe care Eurojust le coordonează sau pentru a căror coordonare acordă ajutor și atunci când prelucrarea lor este necesară pentru scopurile menționate la alineatul (1). Atunci când astfel de date operaționale cu caracter personal sunt prelucrate, responsabilul cu protecția datelor menționat la articolul 36 este informat de îndată cu privire la circumstanțele specifice care justifică necesitatea prelucrării acelor date operaționale cu caracter personal. În cazul în care alte astfel de date se referă la martori sau victime, în sensul alineatului (2) de la prezentul articol, decizia de prelucrare a acestora este adoptată în comun de membrii naționali în cauză.

(4)   Eurojust poate prelucra categoriile speciale de date operaționale cu caracter personal în conformitate cu articolul 76 din Regulamentul (UE) 2018/1725. Aceste date nu pot fi prelucrate în indexul menționat la articolul 23 alineatul (4) din prezentul regulament. În cazul în care alte astfel de date se referă la martori sau victime, în sensul alineatului (2) de la prezentul articol, decizia de prelucrare a acestora este adoptată de membrii naționali în cauză.

Articolul 28

Prelucrarea sub autoritatea Eurojust sau a persoanei împuternicite de operator

Persoana împuternicită de operator și orice persoană acționând sub autoritatea Eurojust sau a persoanei împuternicite de operator care are acces la date operaționale cu caracter personal nu le prelucrează decât la cererea Eurojust, cu excepția cazului în care dreptul Uniunii sau dreptul unui stat membru o obligă să facă acest lucru.

Articolul 29

Durata stocării datelor operaționale cu caracter personal

(1)   Eurojust nu stochează datele operaționale cu caracter personal pe care le prelucrează decât pentru perioada necesară îndeplinirii sarcinilor sale. În special, fără a aduce atingere alineatului (3) de la prezentul articol, nu se poate continua stocarea datelor operaționale cu caracter personal prevăzute la articolul 27 după prima dată aplicabilă dintre următoarele date:

(a)

data la care acțiunea penală s-a prescris conform termenelor de prescripție ale tuturor statelor membre vizate de cercetarea și urmărirea penală;

(b)

data la care Eurojust a fost informată că persoana a fost achitată și hotărârea judecătorească a rămas definitivă, caz în care statul membru în cauză informează Eurojust fără întârziere;

(c)

trei ani de la data la care hotărârea judecătorească a ultimului dintre statele membre vizate de cercetarea sau urmărirea penală a rămas definitivă;

(d)

data la care Eurojust și statele membre vizate au stabilit sau au decis de comun acord că nu mai este necesar ca Eurojust să coordoneze cercetarea și urmărirea penale, cu excepția cazului în care există o obligație de a oferi Eurojust aceste informații în conformitate cu articolul 21 alineatul (5) sau alineatul (6);

(e)

trei ani de la data la care datele operaționale cu caracter personal au fost transmise în conformitate cu articolul 21 alineatul (5) sau (6).

(2)   Respectarea termenelor de stocare menționate la alineatul (1) de la prezentul articol este verificată constant printr-o prelucrare automată corespunzătoare efectuată de Eurojust, în special din momentul în care cazul este închis de Eurojust. O verificare a necesității stocării datelor se efectuează de asemenea la fiecare trei ani de la data introducerii lor; rezultatele unei astfel de verificări se aplică cazului în ansamblu. În cazul în care datele operaționale cu caracter personal menționate la articolul 27 alineatul (4) sunt stocate pentru o perioadă mai mare de cinci ani, AEPD este informată.

(3)   Înainte de expirarea unuia dintre termenele de stocare menționate la alineatul (1), Eurojust verifică necesitatea continuării stocării datelor operaționale cu caracter personal pentru cazurile și perioada care este necesar pentru a-i permite să își îndeplinească sarcinile. Eurojust poate decide prin derogare să stocheze aceste date până la următoarea verificare. Motivele care stau la baza continuării stocării trebuie să fie justificate și înregistrate. În cazul în care, în momentul verificării, nu se ia nicio decizie cu privire la continuarea stocării datelor operaționale cu caracter personal, aceste date se șterg automat.

(4)   În cazul în care, în conformitate cu alineatul (3), datele operaționale cu caracter personal au fost stocate în continuare după depășirea termenelor menționate la alineatul (1), AEPD verifică de asemenea, la fiecare trei ani, necesitatea de a continua stocarea datelor respective.

(5)   La expirarea termenului de stocare pentru ultimele date automate din fișier, toate documentele din dosar se distrug, cu excepția oricăror documente originale pe care Eurojust le-a primit din partea autorităților naționale, care trebuie înapoiate emitentului.

(6)   În cazul în care Eurojust a coordonat cercetări sau urmăriri penale, membrii naționali în cauză se informează reciproc ori de câte ori primesc informații potrivit cărora cazul respectiv a fost clasat sau toate hotărârile judecătorești referitoare la caz au rămas definitive.

(7)   Alineatul (5) nu se aplică în cazul în care:

(a)

acest lucru ar dăuna intereselor persoanei vizate care necesită protecție; în astfel de cazuri, datele operaționale cu caracter personal sunt utilizate numai cu consimțământul scris explicit al persoanei vizate;

(b)

exactitatea datelor operaționale cu caracter personal este contestată de persoana vizată; în astfel de cazuri alineatul (5) nu se aplică pentru perioada necesară statelor membre sau Eurojust, după caz, pentru a verifica exactitatea respectivelor date;

(c)

datele operaționale cu caracter personal trebuie păstrate ca mijloace de probă sau pentru constatarea, exercitarea ori apărarea unui drept în justiție;

(d)

persoana vizată se opune ștergerii datelor operaționale cu caracter personal și solicită în schimb restricționarea utilizării acestora; sau

(e)

datele operaționale cu caracter personal sunt încă necesare pentru a fi arhivate în interes public sau în scopuri statistice.

Articolul 30

Securitatea datelor operaționale cu caracter personal

Eurojust și statele membre stabilesc mecanisme pentru a asigura că măsurile de securitate menționate la articolul 91 din Regulamentul (UE) 2018/1725 sunt avute în vedere dincolo de hotarele sistemelor de informații.

Articolul 31

Dreptul de acces al persoanei vizate

(1)   Orice persoană vizată care dorește să-și exercite dreptul de acces menționat la articolul 80 din Regulamentul (UE) 2018/1725, la datele operaționale cu caracter personal care o privesc prelucrate de Eurojust poate adresa o cerere Eurojust sau autorității naționale de supraveghere dintr-un stat membru. Autoritatea în cauză transmite cererea către Eurojust fără întârziere și, în orice caz, în termen de o lună de la primire.

(2)   Eurojust răspunde la aceste cereri fără întârziere nejustificată și, în orice caz, în termen de trei luni de la primire.

(3)   Autoritățile competente din statele membre în cauză sunt consultate de către Eurojust cu privire la decizia care urmează să fie adoptată ca răspuns la o cerere. Decizia referitoare la accesul la date este luată de Eurojust numai în strânsă cooperare cu statele membre direct vizate de comunicarea datelor respective. În cazul în care un stat membru ridică obiecții cu privire la decizia propusă de Eurojust, acesta notifică Eurojust motivele obiecțiilor sale. Eurojust respectă aceste obiecții. Membrii naționali vizați comunică ulterior autoritățile competente conținutul deciziei Eurojust.

(4)   Membrii naționali vizați analizează cererea și ajung la o decizie în numele Eurojust. În cazul în care membrii naționali vizați nu sunt de acord, fac apel la Colegiu, care decide în privința cererii cu o majoritate de două treimi.

Articolul 32

Limitarea dreptului de acces

În cazurile menționate la articolul 81 din Regulamentul (UE) 2018/1725, Eurojust informează persoana vizată după consultarea autorităților competente ale statelor membre în cauză, în conformitate cu articolul 31 alineatul (3) din prezentul regulament.

Articolul 33

Dreptul la restricționarea prelucrării

Fără a aduce atingere excepțiilor prevăzute la articolul 29 alineatul (7) din prezentul regulament, în cazul în care prelucrarea datelor operaționale cu caracter personal a fost restricționată în temeiul articolului 82 alineatul (3) din Regulamentul (UE) 2018/1725, astfel de date operaționale cu caracter personal pot fi prelucrate numai pentru protecția drepturilor persoanei vizate sau ale unei alte persoane fizice sau juridice care este parte în procedurile în care Eurojust este parte, sau în scopurile prevăzute la articolul 82 alineatul (3) din Regulamentul (UE) 2018/1725.

Articolul 34

Accesul autorizat la date operaționale cu caracter personal în cadrul Eurojust

Numai membrii naționali, supleanții și asistenții acestora, experții naționali detașați autorizați, persoanele menționate la articolul 20 alineatul (3), în măsura în care sunt conectate la sistemul de gestionare a cazurilor, și personalul autorizat al Eurojust pot avea acces la datele operaționale cu caracter personal prelucrate de Eurojust, în scopul îndeplinirii sarcinilor Eurojust și în limitele prevăzute la articolele 23, 24 și 25.

Articolul 35

Evidența categoriilor de activități de prelucrare

(1)   Eurojust păstrează o evidență a tuturor categoriilor de activități de prelucrare aflate în responsabilitatea sa. Evidența cuprinde toate informațiile următoare:

(a)

datele de contact Eurojust, precum și numele și datele de contact ale responsabilului cu protecția datelor;

(b)

scopurile prelucrării;

(c)

o descriere a categoriilor de persoane vizate și a categoriilor de date operaționale cu caracter personal;

(d)

categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele operaționale cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

(e)

atunci când este cazul, transferurile de date operaționale cu caracter personal către o țară terță sau către o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective;

(f)

atunci când este posibil, termenele preconizate pentru ștergerea diferitelor categorii de date;

(g)

atunci când este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 91 din Regulamentul (UE) 2018/1725.

(2)   Evidențele menționate la alineatul (1) se țin în scris, inclusiv în format electronic.

(3)   Eurojust pune evidențele la dispoziția AEPD, la cererea acesteia.

Articolul 36

Desemnarea responsabilului cu protecția datelor

(1)   Comitetul executiv desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor este un membru al personalului special numit în acest scop. Responsabilul cu protecția datelor acționează în mod independent și nu poate accepta instrucțiuni în îndeplinirea atribuțiilor sale.

(2)   Responsabilul cu protecția datelor este selectat pe baza calităților profesionale ale acestuia și, în special, a cunoștințelor de specialitate în domeniul legislației și practicilor privind protecția datelor, precum și pe baza capacității de a-și îndeplini sarcinilor în temeiul prezentul regulament, în special cele prevăzute la articolul 38.

(3)   Selectarea responsabilului cu protecția datelor nu trebuie să genereze un conflict de interese între atribuțiile sale în calitate de responsabil cu protecția datelor și orice altă atribuție oficială pe care acesta ar avea-o, în special în legătură cu aplicarea prezentului regulament.

(4)   Responsabilul cu protecția datelor este numit pentru o perioadă de patru ani și este eligibil pentru a fi numit din nou până la cumularea unui mandat de maximum opt ani. Responsabilul cu protecția datelor nu poate fi eliberat din funcția sa de către Comitetul executiv decât cu acordul AEPD, dacă nu mai îndeplinește condițiile impuse de exercitarea atribuțiilor sale.

(5)   Eurojust publică datele de contact ale responsabilului cu protecția datelor și le comunică AEPD.

Articolul 37

Funcția de responsabil cu protecția datelor

(1)   Eurojust se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)   Eurojust sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 38, asigurându-i resursele necesare și personalul necesar pentru îndeplinirea acestor sarcini și asigurându-i accesarea datelor cu caracter personal și a operațiunilor de prelucrare, precum și pentru menținerea cunoștințelor sale de specialitate.

(3)   Eurojust se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor nu este demis sau sancționat de către comitetul executiv pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor raportează direct Colegiului, cu privire la datele operaționale cu caracter personal, și Comitetului executiv cu privire la datele administrative cu caracter personal.

(4)   Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate chestiunile legate de prelucrarea datelor lor personale și de exercitarea drepturilor lor în temeiul prezentului regulament și în temeiul Regulamentului (UE) 2018/1725.

(5)   Comitetul executiv adoptă norme de aplicare cu privire la responsabilul pentru protecția datelor. Normele de aplicare respective se referă, în special, la procedura de selecție pentru funcția de responsabil cu protecția datelor, la demiterea, sarcinile, atribuțiile și competențele sale, precum și garanțiile de independență ale responsabilului cu protecția datelor.

(6)   Responsabilul cu protecția datelor și personalul acestuia sunt supuși obligației de confidențialitate, în conformitate cu articolul 72.

(7)   Responsabilul cu protecția datelor poate fi consultat de către operator sau de către persoana împuternicită de acesta, de către Comitetul pentru personal și de către orice persoană fizică, fără să se recurgă la căile oficiale, în orice problemă privind interpretarea sau aplicarea prezentului regulament și a Regulamentului (UE) 2018/1725. Nimeni nu poate suferi un prejudiciu ca urmare a aducerii la cunoștința responsabilului cu protecția datelor cu protecția datelor a unui fapt despre care se susține că ar reprezenta o încălcare a prezentului regulament sau a Regulamentului (UE) 2018/1725.

(8)   După numirea responsabilului cu protecția datelor, numele acestuia se comunică AEPD de către Eurojust.

Articolul 38

Sarcinile responsabilului cu protecția datelor

(1)   Responsabilul cu protecția datelor are, în special, următoarele sarcini în ceea ce privește prelucrarea datelor cu caracter personal:

(a)

asigurarea, în mod independent, a respectării de către Eurojust a dispozițiilor referitoare la protecția datelor din prezentul regulament și din Regulamentul (UE) 2018/1725, precum și a dispozițiilor relevante privind protecția datelor din regulamentul de procedură al Eurojust; aceasta include și monitorizarea respectării prezentului regulament, a Regulamentului (UE) 2018/1725, a altor dispoziții ale Uniunii sau naționale privind protecția datelor, precum și a politicilor Eurojust în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, și auditurile aferente;

(b)

informarea și consilierea Eurojust, precum și a angajaților care prelucrează date cu caracter personal cu privire la obligațiile care le revin în temeiul prezentului regulament, al Regulamentului (UE) 2018/1725 și al altor dispoziții ale Uniunii sau naționale referitoare la protecția datelor;

(c)

consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în temeiul articolului 89 din Regulamentul (UE) 2018/1725;

(d)

asigurarea păstrării unei evidențe a transferului și a primirii de date cu caracter personal, în conformitate cu dispozițiile care urmează a fi prevăzute în regulamentul de procedură al Eurojust;

(e)

cooperarea cu personalul Eurojust responsabil pentru procedurile, formarea și consilierea privind prelucrarea datelor;

(f)

cooperarea cu AEPD;

(g)

asigurarea faptului că, la cerere, persoanele vizate sunt informate cu privire la drepturile pe care le au în temeiul prezentului regulament și al Regulamentului (UE) 2018/1725;

(h)

asumarea rolului de punct de contact pentru AEPD în chestiuni legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 90 din Regulamentul (UE) 2018/1725 și consultarea, dacă este cazul, cu privire la orice alte chestiuni;

(i)

consiliere la cerere, în ceea ce privește necesitatea unei notificări sau a unei comunicări privind încălcarea securității datelor cu caracter personal, în temeiul articolelor 92 și 93 din Regulamentul (UE) 2018/1725;

(j)

elaborarea unui raport anual și transmiterea acestuia Comitetului executiv, Colegiului și AEPD.

(2)   Responsabilul cu protecția datelor exercită funcțiile prevăzute de Regulamentul (UE) 2018/1725 referitor la datele administrative cu caracter personal.

(3)   Responsabilul cu protecția datelor și membrii personalului Eurojust care îl asistă pe responsabilul cu protecția datelor în îndeplinirea atribuțiilor sale au acces la datele cu caracter personal prelucrate de Eurojust, precum și la sediul acestuia, în măsura în care acest lucru este necesar pentru îndeplinirea sarcinilor lor.

(4)   În cazul în care responsabilul cu protecția datelor consideră că dispozițiile Regulamentului (UE) 2018/1725 referitoare la prelucrarea datelor administrative cu caracter personal sau dispozițiile prezentului regulament sau a articolului 3 din capitolul IX din Regulamentul (UE) 2018/1725 referitoare la prelucrarea datelor operaționale cu caracter personal nu au fost respectate, acesta informează Comitetul executiv, solicitându-i să soluționeze nerespectarea într-un anumit termen. În cazul în care Comitetul executiv nu soluționează nerespectarea în termenul stabilit, responsabilul pentru protecția datelor sesizează AEPD.

Articolul 39

Notificarea autorităților vizate în cazul încălcării securității datelor cu caracter personal

(1)   În cazul în care are loc o încălcare a securității datelor cu caracter personal, Eurojust notifică, fără întârzieri nejustificate, autoritățile competente ale statelor membre în cauză, cu privire la încălcarea respectivă.

(2)   Notificarea menționată la alineatul (1) trebuie, cel puțin:

(a)

să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil și adecvat, categoriile și numărul persoanelor vizate în cauză, precum și categoriile și numărul de înregistrări de date în cauză;

(b)

să descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

(c)

să descrie măsurile propuse sau întreprinse de Eurojust pentru a remedia problema încălcării securității datelor cu caracter personal; și

(d)

dacă este cazul, să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal.

Articolul 40

Supervizarea de către AEPD

(1)   AEPD răspunde de monitorizarea și asigurarea aplicării dispozițiilor prezentului regulament și a Regulamentului (UE) 2018/1725 referitoare la apărarea drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor operaționale cu caracter personal de către Eurojust, precum și de consilierea Eurojust și a persoanelor vizate cu privire la toate aspectele care se referă la prelucrarea datelor operaționale cu caracter personal. În acest scop, AEPD exercită atribuțiile prevăzute la alineatul (2) din prezentul articol, exercită competențele acordate la alineatul (3) din prezentul articol și cooperează cu autoritățile naționale de supraveghere în conformitate cu articolul 42.

(2)   AEPD are următoarele atribuții, în temeiul prezentului regulament și al Regulamentul (UE) 2018/1725:

(a)

primirea și examinarea plângerilor și informarea persoanelor vizate cu privire la rezultat într-un termen rezonabil;

(b)

efectuarea de anchete fie din proprie inițiativă, fie pe baza unei plângeri și informarea persoanelor vizate cu privire la rezultat într-un termen rezonabil;

(c)

monitorizarea și asigurarea aplicării dispozițiilor prezentului regulament și ale Regulamentului (UE) 2018/1725 care se referă la protecția persoanelor fizice în ceea ce privește prelucrarea datelor operaționale cu caracter personal de către Eurojust;

(d)

consilierea Eurojust, fie din proprie inițiativă, fie ca răspuns la o consultare, cu privire la toate aspectele care au legătură cu prelucrarea datelor operaționale cu caracter personal, în special înainte ca Eurojust să elaboreze norme interne referitoare la apărarea drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor operaționale cu caracter personal.

(3)   În temeiul prezentului regulament și al Regulamentului (UE) 2018/1725, AEPD poate, ținând cont de implicațiile pentru cercetările și urmăririle penale din statele membre:

(a)

consilia persoanele vizate în exercitarea drepturilor lor;

(b)

sesiza Eurojust în cazul unei presupuse încălcări a dispozițiilor care reglementează prelucrarea datelor operaționale cu caracter personal și, dacă este necesar, poate să facă propuneri pentru remedierea încălcării și pentru îmbunătățirea protecției persoanelor vizate;

(c)

consulta Eurojust atunci când cererile de exercitare a anumitor drepturi legate de datele operaționale cu caracter personal au fost refuzate, încălcând articolul 31, 32 sau 33 din prezentul regulament sau articolele 77-82 sau articolul 84 din Regulamentul (UE) 2018/1725;

(d)

avertiza Eurojust;

(e)

ordona Eurojust să efectueze rectificarea, restricționarea sau ștergerea datelor operaționale cu caracter personal care au fost prelucrate de Eurojust încălcând dispozițiile care reglementează prelucrarea datelor operaționale cu caracter personal, precum și notifica astfel de acțiuni părților terțe cărora le-au fost divulgate datele respective, cu condiția ca acest lucru să nu afecteze sarcinile Eurojust prevăzute la articolul 2;

(f)

sesiza Curtea de Justiție a Uniunii Europene („Curtea”), în condițiile stipulate de TFUE, cu privire la problema în cauză;

(g)

interveni în acțiunile introduse în fața Curții.

(4)   AEPD are acces la datele operaționale cu caracter personal prelucrate de Eurojust și la sediile acestuia, în măsura în care acest lucru este necesar pentru exercitarea sarcinilor sale.

(5)   AEPD elaborează un raport anual privind activitățile de supraveghere referitoare la Eurojust. Acest raport face parte din raportul anual al AEPD menționat la articolul 60 din Regulamentul (UE) 2018/1725. Autoritățile naționale de supraveghere sunt invitate să facă observații asupra acestui raport înainte ca el să devină parte din raportul anual al AEPD menționat la articolul 60 din Regulamentului (UE) 2018/1725. AEPD ține cont în cel mai înalt grad de observațiile autorităților naționale de supraveghere și, în orice caz, face trimitere la acestea în raportul anual.

(6)   Eurojust cooperează cu AEPD în exercitarea sarcinilor sale, la cererea acesteia,.

Articolul 41

Respectarea secretul profesional de către AEPD

(1)   AEPD, precum și membrii personalului, atât pe durata mandatului, cât și după încetarea acestuia, sunt obligați să respecte secretul profesional cu privire la informațiile confidențiale la care au avut acces în exercitarea atribuțiilor oficiale.

(2)   Atunci când își exercită competențele de supraveghere, AEPD ține seama cu maximă strictețe de caracterul secret al anchetelor judiciare și al procedurilor penale, în conformitate cu dreptul Uniunii și al statelor membre.

Articolul 42

Cooperarea între AEPD și autoritățile naționale de supraveghere

(1)   AEPD acționează în strânsă colaborare cu autoritățile naționale de supraveghere cu privire la aspectele care necesită implicare națională, în special în cazul în care AEPD sau o autoritate națională de supraveghere constată discrepanțe majore între practicile statelor membre sau transferuri potențial ilegale care utilizează canalele de comunicare ale Eurojust sau în contextul întrebărilor adresate de una sau mai multe autorități naționale de supraveghere cu privire la punerea în aplicare și interpretarea prezentului regulament.

(2)   În cazurile menționate la alineatul (1), se asigură o supraveghere coordonată în conformitate cu articolul 62 din Regulamentul (UE) 2018/1725.

(3)   AEPD informează pe deplin autoritățile naționale de supraveghere cu privire la toate aspectele care le afectează direct sau sunt în alt fel relevante pentru acestea. La cererea uneia sau a mai multor autorități naționale de supraveghere, AEPD le informează cu privire la chestiuni specifice.

(4)   În cazuri legate de date originare dintr-unul sau mai multe state membre, inclusiv în cazurile menționate la articolul 43 alineatul (3), AEPD consultă autoritățile naționale de supraveghere în cauză. AEPD nu decide cu privire la luarea altor măsuri înainte ca aceste autorități naționale de supraveghere să fi informat AEPD cu privire la poziția lor, într-un termen specificat de AEPD. Termenul respectiv nu poate fi mai scurt de o lună sau mai lung de trei luni. AEPD ține cont în cel mai înalt grad de poziția autorităților naționale de supraveghere în cauză. În cazul în care intenționează să nu urmeze poziția acestora, AEPD le informează, le oferă o justificare și transmite chestiunea Comitetului european pentru protecția datelor.

În cazurile pe care le consideră de extremă urgență, AEPD poate decide să adopte măsuri imediate. În astfel de cazuri, AEPD informează imediat autoritățile naționale de supraveghere în cauză și justifică natura urgentă a situației, precum și măsura pe care a luat-o.

(5)   Autoritățile naționale de supraveghere informează AEPD cu privire la orice măsură pe care o iau cu privire la transferul, extragerea sau la oricare altă comunicare de date operaționale cu caracter personal efectuată de statele membre în temeiul prezentului regulament.

Articolul 43

Dreptul de a depune plângere la AEPD în ceea ce privește datele operaționale cu caracter personal

(1)   Orice persoană vizată are dreptul de a depune o plângere la AEPD, în cazul în care consideră că prelucrarea de către Eurojust a datelor operaționale cu caracter personal care o privesc nu respectă prezentul regulament sau Regulamentul (UE) 2018/1725.

(2)   În cazul în care o plângere se referă la o decizie menționată la articolul 31, 32 sau 33 din prezentul regulament sau articolul 80, 81 sau 82 din Regulamentul (UE) 2018/1725, AEPD consultă autoritățile naționale de supraveghere sau organismul judiciar competent din statul membru care a furnizat datele sau din statul membru direct interesat. La adoptarea deciziei sale, care poate cuprinde și un refuz de a transmite orice informație, AEPD ține seama de opinia autorității naționale de supraveghere sau a organului judiciar competent.

(3)   În cazul în care o plângere se referă la prelucrarea datelor furnizate Eurojust de către un stat membru, AEPD și autoritatea națională de supraveghere a statului membru care a furnizat datele, fiecare acționând în conformitate cu competențele lor respective, se asigură că verificările necesare privind legalitatea prelucrării datelor au fost efectuate în mod corect.

(4)   În cazul în care o plângere se referă la prelucrarea datelor furnizate Eurojust de către instituțiile, organele, oficiile și agențiile Uniunii, de către țări terțe sau organizații internaționale, sau la prelucrarea datelor obținute de Eurojust de la surse aflate la dispoziția publicului, AEPD se asigură că Eurojust a efectuat corect verificările necesare privind legalitatea prelucrării datelor.

(5)   AEPD informează persoana vizată cu privire la evoluția și soluționarea plângerii, inclusiv cu privire la posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 44.

Articolul 44

Dreptul la exercitarea unei căi de atac judiciare împotriva AEPD

Acțiunile împotriva deciziilor AEPD privind datele operaționale cu caracter personal sunt introduse la Curte.

Articolul 45

Responsabilitatea în materie de protecție a datelor

(1)   Eurojust prelucrează datele operaționale cu caracter personal în așa fel încât să se poată stabili ce autoritate a furnizat datele respective sau de unde au fost extrase datele.

(2)   Responsabilitatea pentru exactitatea datelor operaționale cu caracter personal aparține:

(a)

Eurojust, pentru datele operaționale cu caracter personal prezentate de un stat membru sau de instituția, organul, oficiul sau agenția Uniunii în cazul în care datele furnizate au fost modificate în cursul prelucrării de către Eurojust;

(b)

statului membru sau instituției, organului, oficiului sau agenției Uniunii care a furnizat datele către Eurojust, în cazul în care datele furnizate nu sunt modificate în cursul prelucrării de către Eurojust;

(c)

Eurojust, pentru datele operaționale cu caracter personal furnizate de țări terțe sau organizații internaționale, precum și pentru datele operaționale cu caracter personal extrase de Eurojust din surse disponibile în mod public.

(3)   Responsabilitatea pentru respectarea Regulamentului (UE) 2018/1725 în ceea ce privește datele administrative cu caracter personal și respectarea prezentului regulament și a articolului 3 și capitolului IX din Regulamentul (UE) 2018/1725 în ceea ce privește datele operaționale cu caracter personal revine Eurojust.

Responsabilitatea pentru legalitatea unui transfer de date operaționale cu caracter personal aparține:

(a)

atunci când un stat membru a furnizat datele operaționale cu caracter personal către Eurojust, statului membru respectiv;

(b)

Eurojust, atunci când aceasta a furnizat datele operaționale cu caracter personal către statele membre, instituțiile, organele, oficiile și agențiile Uniunii, către țări terțe sau organizații internaționale.

(4)   Sub rezerva altor dispoziții ale prezentului regulament, Eurojust este responsabil de toate datele pe care le prelucrează..

Articolul 46

Răspunderea pentru prelucrarea neautorizată sau incorectă a datelor

(1)   Eurojust răspunde, în conformitate cu articolul 340 din TFUE, pentru orice fel de prejudiciu cauzat unei persoane, care rezultă din prelucrarea neautorizată sau incorectă a datelor de către Eurojust.

(2)   Plângerile împotriva Eurojust privind răspunderea prevăzută la alineatul (1) din prezentul articol sunt soluționate de Curte în conformitate cu articolul 268 din TFUE.

(3)   Fiecare stat membru răspunde, în conformitate cu dreptul său intern, pentru orice fel de prejudiciu cauzat unei persoane care rezultă din prelucrarea neautorizată sau incorectă a datelor efectuată de statul membru în cauză și care i-au fost comunicate Eurojust.

CAPITOLUL V

RELAȚIILE CU PARTENERII

SECȚIUNEA I

Dispoziții comune

Articolul 47

Dispoziții comune

(1)   În măsura în care este necesar pentru îndeplinirea sarcinilor sale, Eurojust poate stabili și întreține relații de cooperare cu instituțiile, organele, oficiile și agențiile Uniunii în conformitate cu obiectivele respective ale acestora, cu autoritățile competente ale țărilor terțe și cu organizațiile internaționale, în conformitate cu strategia de cooperare menționată la articolul 52.

(2)   În măsura în care acest lucru este relevant pentru îndeplinirea sarcinilor sale și sub rezerva oricărei restricții în temeiul articolului 21 alineatul (8) și al articolului 76, Eurojust poate face schimb de orice informații cu entitățile menționate la alineatul (1) de la prezentul articol, cu excepția datelor cu caracter personal.

(3)   În scopurile precizate la alineatele (1) și (2), Eurojust poate încheia acorduri de lucru cu entitățile menționate la alineatul (1). Aceste acorduri de lucru nu constituie un temei pentru autorizarea schimbului de date cu caracter personal și nu au caracter obligatoriu pentru Uniune sau pentru statele membre ale acesteia.

(4)   Eurojust poate să primească și să prelucreze datele cu caracter personal primite din partea entităților menționate la alineatul (1) în măsura necesară îndeplinirii sarcinilor sale și sub rezerva normelor aplicabile privind protecția datelor.

(5)   Datele cu caracter personal sunt transmise de Eurojust instituțiilor, organelor, oficiilor și agențiilor Uniunii, țărilor terțe și organizațiilor internaționale dacă acest lucru este necesar în vederea îndeplinirii sarcinilor sale și în conformitate cu articolele 55 și 56. Dacă datele care urmează să fie transferate au fost furnizate de un stat membru, Eurojust trebuie să obțină aprobarea autorității naționale competente a statului membru respectiv, cu excepția cazului în care statul membru a acordat o autorizație prealabilă pentru astfel de transferuri ulterioare, fie generală, fie sub rezerva unor condiții specifice. Acest acord poate fi retras în orice moment.

(6)   În cazul în care statele membre, instituțiile, organele, oficiile sau agențiile Uniunii, țările terțe sau organizațiile internaționale au primit date cu caracter personal de la Eurojust, transferurile ulterioare de astfel de date către părți terțe sunt interzise cu excepția cazului în care toate condițiile următoare sunt îndeplinite:

(a)

Eurojust a obținut consimțământul prealabil din partea statului membru care a furnizat datele;

(b)

Eurojust și-a dat consimțământul explicit după analizarea circumstanțelor cazului respectiv; și

(c)

transferul ulterior este destinat numai pentru un scop specific care nu este incompatibil cu scopul pentru care au fost transmise datele.

SECȚIUNEA II

Relațiile cu partenerii din cadrul Uniunii

Articolul 48

Cooperarea cu Rețeaua Judiciară Europeană și cu alte rețele ale Uniunii implicate în cooperarea judiciară în materie penală

(1)   Eurojust și Rețeaua Judiciară Europeană în materie penală mențin relații privilegiate, bazate pe consultare și complementaritate, în special între membrul național, punctele de contact ale Rețelei Judiciare Europene din același stat membru ca al membrului național și corespondenții naționali ai Eurojust și Rețeaua Judiciară Europeană. Pentru a garanta o cooperare eficientă, se adoptă următoarele măsuri:

(a)

membrii naționali informează, de la caz la caz, punctele de contact ale Rețelei Judiciare Europene cu privire la toate cazurile pentru care aceștia consideră că rețeaua ar fi mai în măsură să le trateze;

(b)

secretariatul Rețelei Judiciare Europene face parte din personalul Eurojust. Acesta funcționează ca unitate distinctă; secretariatul poate utiliza resursele administrative ale Eurojust care sunt necesare pentru îndeplinirea sarcinilor Rețelei Judiciare Europene, inclusiv pentru acoperirea costurilor reuniunilor plenare ale rețelei;

(c)

punctele de contact ale Rețelei Judiciare Europene pot fi invitate, de la caz la caz, să participe la reuniunile Eurojust;

(d)

Eurojust și Rețeaua Judiciară Europeană pot apela la sistemul național de coordonare Eurojust atunci când stabilesc, în conformitate cu articolul 20 alineatul (7) litera (b), dacă o solicitare ar trebui tratată cu sprijinul Eurojust sau al Rețelei Judiciare Europene.

(2)   Secretariatul Rețelei echipelor comune de anchetă și cel al rețelei înființate prin Decizia 2002/494/JAI fac parte din personalul Eurojust. Aceste secretariate funcționează ca unități distincte. Acestea pot utiliza resursele administrative ale Eurojust care sunt necesare pentru îndeplinirea sarcinilor lor. Coordonarea secretariatelor este asigurată de către Eurojust. Prezentul alineat se aplică secretariatului oricărei rețele relevante implicate în cooperarea judiciară în materie penală pentru care Eurojust trebuie să ofere sprijin sub forma unui secretariat. Eurojust poate să sprijine rețele europene relevante și organe implicate în cooperarea judiciară în materie penală, inclusiv, dacă este cazul, prin secretariat găzduit de Eurojust.

(3)   Rețeaua înființată prin Decizia 2008/852/JAI a Consiliului poate solicita ca Eurojust să pună la dispoziție un secretariat al rețelei. În cazul unei astfel de solicitări, se aplică alineatul (2).

Articolul 49

Relațiile cu Europol

(1)   Eurojust ia toate măsurile corespunzătoare pentru a permite Europol, în limitele mandatului Europol, să aibă acces indirect, pe baza unui sistem de tip rezultat pozitiv/negativ („hit/no-hit”), la informațiile furnizate Eurojust, fără a aduce atingere restricțiilor indicate de statul membru, organul, oficiul sau agenția Uniunii, țara terță, organizația internațională. În cazul unui rezultat pozitiv, Eurojust inițiază procedura prin care informațiile care au generat rezultatul pozitiv pot face obiectul schimbului, în conformitate cu decizia statului membru, a organului, oficiului sau agenției Uniunii, a țării terțe, a organizației internaționale care a furnizat informațiile către Eurojust.

(2)   Căutările de informații în conformitate cu alineatul (1) se realizează numai cu scopul de a identifica dacă informațiile disponibile în cadrul Europol corespund informațiilor prelucrate de către Eurojust.

(3)   Eurojust permite căutările în conformitate cu alineatul (1) numai după obținerea de la Europol a informațiilor cu privire la care membrii personalului Europol au fost desemnați ca fiind autorizați să efectueze astfel de căutări.

(4)   În cazul în care, în timpul activităților Eurojust de prelucrare a informațiilor cu privire la o cercetare individuală, Eurojust sau un stat membru identifică necesitatea de coordonare, cooperare sau sprijin în conformitate cu mandatul Europol, Eurojust aduce acest lucru la cunoștința Europol și inițiază procedura schimbului de informații, în conformitate cu decizia statului membru care furnizează informația. Într-un astfel de caz, Eurojust se consultă cu Europol.

(5)   Eurojust stabilește și menține o cooperare strânsă cu Europol, în măsura în care este necesar pentru îndeplinirea sarcinilor de către cele două agenții și pentru realizarea obiectivelor lor, ținând cont de necesitatea de a evita dublarea eforturilor.

În acest scop, directorul executiv al Europol și președintele Eurojust se întâlnesc periodic pentru a discuta aspecte de interes comun.

(6)   Europol respectă orice restricție a accesului sau a utilizării, generală sau specifică, indicată de un stat membru, un organ, oficiu sau agenție a Uniunii, o țară terță sau o organizație internațională în legătură cu informațiile pe care le furnizat.

Articolul 50

Relațiile cu EPPO

(1)   Eurojust stabilește și menține relații strânse cu EPPO, bazate pe cooperarea reciprocă în cadrul mandatelor și competențelor lor respective și pe dezvoltarea legăturilor operaționale, administrative și de gestionare dintre acestea, astfel cum sunt definite în prezentul articol. În acest scop, președintele Eurojust și procurorul-șef european se vor întâlni periodic pentru a discuta aspecte de interes comun. Aceștia se reunesc la solicitarea președintelui Eurojust sau a procurorului-șef european.

(2)   Eurojust tratează cererile de sprijin care provin de la EPPO fără întârzieri nejustificate și soluționează astfel de cereri, dacă este cazul, ca și cum acestea ar fi fost primite de la o autoritate națională competentă în materie de cooperare judiciară.

(3)   Ori de câte ori este necesar în vederea sprijinirii cooperării instituite în conformitate cu alineatul (1) de la prezentul articol, Eurojust face uz de sistemele naționale de coordonare Eurojust instituite în conformitate cu articolul 20, precum și de relațiile pe care le-a stabilit cu țări terțe, inclusiv cu magistrații de legătură.

(4)   În chestiuni operaționale pertinente competențelor EPPO, Eurojust informează EPPO și, dacă este cazul, asociază EPPO la activitățile sale referitoare la cazurile transfrontaliere, inclusiv prin:

(a)

schimbul de informații privind cazurile sale, inclusiv de date cu caracter personal, în conformitate cu dispozițiile relevante din prezentul regulament;

(b)

solicitarea EPPO să ofere sprijin.

(5)   Eurojust are acces indirect pe baza unui sistem de tip rezultat pozitiv/negativ („hit/no-hit”) în sistemul de gestionare a cazurilor al EPPO. Ori de câte ori se obține o concordanță între datele introduse de către EPPO în sistemul de gestionare a cazurilor și datele deținute de Eurojust, faptul că există o concordanță este comunicat Eurojust, EPPO și statului membre care a furnizat datele către Eurojust. Eurojust ia măsurile necesare pentru a permite EPPO accesul indirect la informațiile din sistemul său de gestionare a cazurilor, pe baza unui sistem de tip răspuns pozitiv/negativ („hit/no-hit”).

(6)   EPPO se poate baza pe sprijinul și resursele administrației Eurojust. În acest scop, Eurojust poate presta pentru EPPO servicii de interes comun. Detaliile sunt reglementate printr-un acord.

Articolul 51

Relațiile cu alte organe, oficii și agenții ale Uniunii

(1)   Eurojust stabilește și menține relații de cooperare cu Rețeaua Europeană de Formare Judiciară.

(2)   OLAF contribuie la activitatea de coordonare a Eurojust în ceea ce privește protecția intereselor financiare ale Uniunii, în conformitate cu mandatul său în temeiul Regulamentului (UE, Euratom) nr. 883/2013.

(3)   Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă contribuie la activitatea Eurojust inclusiv prin transmiterea de informații pertinente prelucrate în conformitate cu mandatul și sarcinile sale prevăzute la articolul 8 alineatul (1) litera (m) din Regulamentul (UE) 2016/1624 al Parlamentului European și al Consiliului (21). Prelucrarea de către Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă a oricărei date cu caracter personal în legătură cu aceasta este reglementată prin Regulamentul (UE) 2018/1725.

(4)   În scopul primirii și transmiterii de informații între Eurojust și OLAF, și fără a aduce atingere articolului 8 din prezentul regulament, statele membre se asigură că membrii naționali ai Eurojust sunt considerați autorități competente ale statelor membre doar în scopurile stabilite de Regulamentul (UE, Euratom) nr. 883/2013. Schimbul de informații între OLAF și membrii naționali nu aduce atingere obligației de a furniza informații altor autorități competente în temeiul respectivelor regulamente.

SECȚIUNEA III

Cooperarea internațională

Articolul 52

Relațiile cu autoritățile țărilor terțe și cu organizațiile internaționale

(1)   Eurojust poate stabili și menține relații de cooperare cu autoritățile din țările terțe și cu organizații internaționale.

În acest scop, Eurojust elaborează, o dată la 4 ani, în dialog cu Comisia, o strategie de cooperare care precizează țările terțe și organizațiile internaționale în legătură cu care există o necesitate operațională de cooperare.

(2)   Eurojust poate încheia acorduri de lucru cu entitățile menționate la articolul 47 alineatul (1).

(3)   Eurojust poate desemna, de comun acord cu autoritățile competente în cauză, puncte de contact în țări terțe pentru a facilita cooperarea în conformitate cu necesitățile operaționale ale Eurojust.

Articolul 53

Magistrații de legătură detașați în țările terțe

(1)   În scopul de a facilita cooperarea judiciară cu țări terțe în cazurile în care Eurojust furnizează asistență în conformitate cu prezentul regulament, colegiul poate detașa magistrați de legătură în țări terțe cu condiția existenței unui acord de lucru cu autoritățile competente ale țării terțe respective, astfel cum se menționează la articolul 47 alineatul (3).

(2)   Sarcinile magistraților de legătură cuprind orice activitate care urmărește să favorizeze și să accelereze, în special prin stabilirea de contacte directe cu autoritățile competente ale țării terțe respective, orice formă de cooperare judiciară în materie penală. În îndeplinirea sarcinilor care le revin, magistrații de legătură pot face schimb de date operaționale cu caracter personal cu autoritățile competente ale țării terțe în cauză în conformitate cu articolul 56.

(3)   Magistratul de legătură menționat la alineatul (1) trebuie să aibă experiență profesională în cadrul Eurojust și cunoștințe adecvate privind cooperarea judiciară și modul de funcționare a Eurojust. Detașarea magistratului de legătură în numele Eurojust este supusă consimțământului prealabil al magistratului și al statului său membru.

(4)   În cazul în care magistratul de legătură detașat de Eurojust este selecționat dintre membrii naționali, supleanți sau asistenți:

(a)

statul membru în cauză îl înlocuiește din calitatea sa de membru național, supleant sau asistent;

(b)

acesta încetează să aibă dreptul de a exercita competențele care i-au fost conferite în temeiul articolului 8.

(5)   Fără a aduce atingere articolului 110 din Statutul funcționarilor, colegiul elaborează clauzele și condițiile privind detașarea magistraților de legătură, inclusiv nivelul remunerației acestora. Colegiul adoptă măsurile de punere în aplicare necesare în acest sens, în consultare cu Comisia.

(6)   Activitățile magistraților de legătură detașați de Eurojust sunt supuse supravegherii AEPD. Magistrații de legătură prezintă rapoarte colegiului, care informează Parlamentul European și Consiliul în raportul anual și în mod corespunzător cu privire la activitățile lor. Magistrații de legătură informează membrii naționali și autoritățile naționale competente cu privire la toate cazurile care privesc statele lor membre.

(7)   Autoritățile competente ale statelor membre și magistrații de legătură menționați la alineatul (1) se pot contacta reciproc în mod direct. În astfel de cazuri, magistratul de legătură informează membrul național respectiv cu privire la aceste contacte.

(8)   Magistrații de legătură menționați la alineatul (1) sunt conectați la sistemul de gestionare a cazurilor.

Articolul 54

Cereri de cooperare judiciară adresate țărilor terțe și primite din partea acestora

(1)   Eurojust poate coordona, cu acordul statelor membre în cauză, executarea cererilor de cooperare judiciară emise de o țară terță în cazul în care aceste cereri necesită executarea în cel puțin două state membre în cadrul aceleiași cercetări. Astfel de cereri pot fi, de asemenea, transmise către Eurojust de o autoritate națională competentă.

(2)   În cazuri urgente și în conformitate cu articolul 19, MCP poate primi și transmite cererile menționate la alineatul (1) din prezentul articol, dacă au fost formulate de o țară terță care a încheiat un acord de cooperare sau un acord de lucru cu Eurojust.

(3)   Fără a aduce atingere articolului 3 alineatul (5), în cazul în care cererile de cooperare judiciară, care se referă la aceeași cercetare și care necesită executarea într-o țară terță, sunt întocmite de statul membru în cauză, Eurojust facilitează cooperarea judiciară cu țara terță respectivă.

SECȚIUNEA IV

Transferuri de date cu caracter personal

Articolul 55

Transmiterea datelor operaționale cu caracter personal către instituțiile, organele, oficiile și agențiile Uniunii

(1)   Sub rezerva oricăror restricții suplimentare în temeiul prezentului regulament, în special în temeiul articolului 21 alineatul (8), al articolului 47 alineatul (5) și al articolului 76, Eurojust transmite date operaționale cu caracter personal către o altă instituție, un alt organ, un alt oficiu sau o altă agenție a Uniunii numai în cazul în care datele sunt necesare pentru îndeplinirea legitimă a sarcinilor care sunt de competența instituției, organului, oficiului sau agenției respective a Uniunii.

(2)   În cazul în care datele operaționale cu caracter personal sunt transmise ca urmare a unei cereri din partea unei alte instituții, a unui alt organ, a unui alt oficiu sau a unei alte agenții a Uniunii, atât operatorul, cât și destinatarul își asumă răspunderea pentru legitimitatea transferului respectiv.

Eurojust este obligat să verifice competența celeilalte instituții, a celuilalt organ, a celuilalt oficiu sau a celeilalte agenții a Uniunii și să facă o evaluare provizorie a necesității transmiterii de date operaționale cu caracter personal. Dacă apar îndoieli în privința necesității acestui transfer, Eurojust solicită destinatarului mai multe informații.

Cealaltă instituție, celălalt organ, celălalt oficiu sau cealaltă agenție a Uniunii se asigură că necesitatea transmiterii de date operaționale cu caracter personal poate fi verificată ulterior.

(3)   Cealaltă instituție, celălalt organ, celălalt oficiu sau cealaltă agenție a Uniunii prelucrează datele operaționale cu caracter personal numai în scopurile pentru care au fost transmise.

Articolul 56

Principiile generale ale transferurilor de date operaționale cu caracter personal către țări terțe și către organizații internaționale

(1)   Eurojust poate transfera date operaționale cu caracter personal către o țară terță sau către o organizație internațională, sub rezerva respectării normelor aplicabile privind protecția datelor și a celorlalte dispoziții din prezentul regulament, și numai în cazul în care sunt îndeplinite următoarele condiții:

(a)

transferul este necesar pentru îndeplinirea sarcinilor Eurojust;

(b)

autoritatea din țara terță sau din organizația internațională către care sunt transferate datele operaționale cu caracter personal are competențe de aplicare a legii și competențe în materie penală;

(c)

în cazul în care datele operaționale cu caracter personal care urmează să fie transferate în conformitate cu prezentul articol au fost transmise sau puse la dispoziția Eurojust de un stat membru, Eurojust obține autorizația prealabilă pentru transfer din partea autorității competente relevante a statului membru respectiv, în conformitate cu dreptul său intern al acestuia, cu excepția cazului în care statul membru a autorizat astfel de transferuri, în termeni generali sau sub rezerva unor condiții specifice;

(d)

în cazul unui transfer ulterior de către o țară terță sau o organizație internațională către o altă țară terță sau organizație internațională, Eurojust cere țării terțe sau organizației internaționale care efectuează transferul să obțină autorizarea prealabilă a Eurojust pentru respectivul transferul ulterior.

Eurojust furnizează autorizarea conform literei (d) doar cu autorizarea prealabilă a statului membru de unde provin datele și numai după ce a luat în considerare în mod corespunzător toți factorii relevanți, inclusiv gravitatea infracțiunii, scopul pentru care datele operaționale cu caracter personal au fost transferate inițial și nivelul de protecție a datelor cu caracter personal din țara terță sau din organizația internațională către care urmează să fie transferate ulterior datele operaționale cu caracter personal.

(2)   Sub rezerva condițiilor prevăzute la alineatul (1) din prezentul articol, Eurojust poate transfera date operaționale cu caracter personal către o țară terță sau către o organizație internațională numai în cazul în care se aplică unul dintre următoarele elemente:

(a)

Comisia a decis, în temeiul articolului 57, că țara terță sau organizația internațională în cauză asigură un nivel adecvat de protecție sau, în absența unei astfel de decizii privind caracterul adecvat al nivelului de protecție, în cazul în care se oferă sau există garanții adecvate în conformitate cu articolul 58 alineatul (1) sau, în absența atât a unei decizii privind caracterul adecvat al nivelului de protecție, cât și a unor astfel de garanții adecvate, se aplică o derogare pentru situații specifice în temeiul articolului 59 alineatul (1); sau

(b)

între Eurojust și țara terță sau organizația internațională respectivă a fost încheiat înainte de 12 decembrie 2019 un acord de cooperare care permite schimbul de date operaționale cu caracter personal, în conformitate cu articolul 26a din Decizia 2002/187/JAI; sau

(c)

între Uniune și țara terță sau organizația internațională a fost încheiat în temeiul articolului 218 din TFUE un acord internațional care prevede garanții adecvate în ceea ce privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor.

(3)   Acordurile de lucru menționate la articolul 47 alineatul (3) pot fi utilizate pentru a stabili modalitățile de punere în aplicare a acordurilor sau a deciziilor privind caracterul adecvat al nivelului de protecție menționate la alineatul (2) de la prezentul articol.

(4)   În cazuri urgente, Eurojust poate transfera date operaționale cu caracter personal fără autorizarea prealabilă de către un stat membru în conformitate cu alineatul (1) litera (c). Eurojust procedează astfel numai dacă transferul de date operaționale cu caracter personal este necesar pentru prevenirea unei amenințări imediate și grave la adresa securității publice a unui stat membru sau a unei țări terțe sau la adresa intereselor fundamentale ale unui stat membru, iar autorizarea prealabilă nu poate fi obținută în timp util. Autoritatea responsabilă pentru acordarea unei autorizări prealabile este informată fără întârziere.

(5)   Statele membre și instituțiile, organele, oficiile și agențiile Uniunii nu pot transfera ulterior date operaționale cu caracter personal primite din partea Eurojust către o țară terță sau o organizație internațională. Cu titlul de excepție, acestea pot efectua un astfel de transfer în cazul în care Eurojust l-a autorizat, după ce a luat în considerare în mod corespunzător toți factorii relevanți, inclusiv gravitatea infracțiunii, scopul pentru care datele operaționale cu caracter personal au fost transmise inițial și nivelul de protecție a datelor operaționale cu caracter personal din țara terță sau din organizația internațională către care urmează să fie transferate ulterior datele cu caracter personal.

(6)   Articolele 57, 58 și 59 se aplică pentru a se asigura că nu este subminat nivelul de protecție a persoanelor fizice asigurat prin prezentul regulament și prin dreptul Uniunii.

Articolul 57

Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție

Eurojust poate transfera date operaționale cu caracter personal către o țară terță sau către o organizație internațională în cazul în care Comisia a decis, în conformitate cu articolul 36 din Directiva (UE) 2016/680, că țara terță, un teritoriu ori unul sau mai multe sectoare determinate din țara terță respectivă sau organizația internațională în cauză asigură un nivel de protecție adecvat.

Articolul 58

Transferuri în baza unor garanții adecvate

(1)   În absența unei decizii privind caracterul adecvat al nivelului de protecție, Eurojust poate transfera date operaționale cu caracter personal către o țară terță sau către o organizație internațională în cazul în care:

(a)

s-au prezentat garanții adecvate în ceea ce privește protecția datelor operaționale cu caracter personal printr-un act cu caracter juridic obligatoriu; sau

(b)

Eurojust a evaluat toate circumstanțele aferente transferului de date operaționale cu caracter personal și a concluzionat că există garanții adecvate în ceea ce privește protecția datelor operaționale cu caracter personal.

(2)   Eurojust informează AEPD despre categoriile de transferuri în temeiul alineatului (1) litera (b).

(3)   Atunci când un transfer se întemeiază pe alineatul (1) litera (b), un astfel de transfer se documentează, iar documentația se pune la dispoziția AEPD la cerere. Documentația trebuie să includă o înregistrare a datei și orei transferului, informații cu privire la autoritatea competentă destinatară, cu privire la justificarea transferului și cu privire la datele operaționale cu caracter personal transferate.

Articolul 59

Derogări pentru situații specifice

(1)   În absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate în temeiul articolului 58, Eurojust poate transfera date operaționale cu caracter personal către o țară terță sau către o organizație internațională numai în condițiile în care transferul este necesar:

(a)

pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane;

(b)

pentru protejarea unor interese legitime ale persoanei vizate;

(c)

pentru prevenirea unei amenințări imediate și grave la adresa securității publice a unui stat membru sau a unei țări terțe; sau

(d)

în cazuri individuale pentru exercitarea atribuțiilor Eurojust, cu excepția cazului în care Eurojust stabilește că drepturile și libertățile fundamentale ale persoanei vizate în cauză prevalează asupra interesului public în ceea ce privește transferul.

(2)   Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer se documentează, iar documentația se pune la dispoziția AEPD la cerere. Documentația trebuie să includă o înregistrare a datei și orei transferului, informații cu privire la autoritatea competentă destinatară, cu privire la justificarea transferului și cu privire la datele operaționale cu caracter personal transferate.

CAPITOLUL VI

DISPOZIȚII FINANCIARE

Articolul 60

Bugetul

(1)   Estimări ale tuturor veniturilor și cheltuielilor Eurojust se elaborează pentru fiecare exercițiu financiar, care corespunde anului calendaristic, și se înscriu în bugetul Eurojust.

(2)   Bugetul Eurojust trebuie să fie echilibrat în ceea ce privește veniturile și cheltuielile.

(3)   Fără a aduce atingere altor resurse, veniturile Eurojust cuprind:

(a)

o contribuție din partea Uniunii, înscrisă în bugetul general al Uniunii;

(b)

orice contribuție financiară voluntară din partea statelor membre;

(c)

taxe pentru publicații și orice serviciu furnizat de Eurojust;

(d)

granturi ad-hoc.

(4)   Cheltuielile Eurojust includ remunerația personalului, cheltuielile administrative și de infrastructură și costurile de funcționare, inclusiv finanțare pentru echipele comune de anchetă.

Articolul 61

Elaborarea bugetului

(1)   În fiecare an, directorul administrativ elaborează un proiect de declarație estimativă privind veniturile și cheltuielile Eurojust pentru anul financiar următor, inclusiv planul de personal, pe care le transmite Comitetului executiv. Rețeaua Judiciară Europeană și alte rețele ale Uniunii implicate în cooperarea judiciară în materie penală, menționate la articolul 48, sunt informate cu privire la părțile legate de activitățile lor în timp util, înainte de înaintarea situației estimative către Comisie.

(2)   Pe baza proiectului de declarație estimativă, Comitetul executiv examinează proiectul provizoriu de estimare a veniturilor și cheltuielilor Eurojust pentru exercițiul financiar următor, pe care îl înaintează colegiului spre adoptare.

(3)   Proiectul provizoriu de estimare a veniturilor și cheltuielilor Eurojust este trimis Comisiei până cel târziu la data de 31 ianuarie a fiecărui an. Eurojust trimite Comisiei proiectul final de estimare, care cuprinde un proiect al planului de personal, până la 31 martie al aceluiași an.

(4)   Comisia transmite declarația estimativă Parlamentului European și Consiliului (autoritatea bugetară), împreună cu proiectul de buget general al Uniunii.

(5)   Pe baza declarației estimative, Comisia înscrie în proiectul de buget general al Uniunii Europene estimările pe care le consideră necesare pentru planul de personal și cuantumul contribuției care trebuie alocat din bugetul general pe care le prezintă autorității bugetare în conformitate cu articolele 313 și 314 din TFUE.

(6)   Autoritatea bugetară autorizează creditele pentru contribuția Uniunii alocată Eurojust.

(7)   Autoritatea bugetară adoptă planul de personal al Eurojust. Bugetul Eurojust se adoptă de către Colegiu. Acesta devine definitiv după adoptarea definitivă a bugetului general al Uniunii. Dacă este necesar, bugetul Eurojust se ajustează de către Colegiu în consecință.

(8)   Articolul 88 din Regulamentul delegat (UE) nr. 1271/2013 al Comisiei (22) se aplică pentru orice proiect imobiliar care poate avea implicații semnificative pentru bugetul Eurojust.

Articolul 62

Execuția bugetară

Directorul administrativ acționează în calitate de ordonator de credite al Eurojust și execută bugetul Eurojust pe propria răspundere, în limitele autorizate în buget.

Articolul 63

Prezentarea conturilor și descărcarea de gestiune

(1)   Contabilul Eurojust transmite conturile provizorii pentru exercițiul financiar (anul N) contabilului Comisiei și Curții de Conturi până la data de 1 martie a exercițiului financiar următor (anul N+1).

(2)   Eurojust transmite raportul privind gestiunea bugetară și financiară pentru anul N Parlamentului European, Consiliului și Curții de Conturi până la data de 31 martie a anului N+1.

(3)   Contabilul Comisiei transmite Curții de Conturi conturile provizorii ale Eurojust pentru anul N, consolidate cu cele ale Comisiei, până la data de 31 martie a anului N+1.

(4)   În conformitate cu articolul 246 alineatul (1) din Regulamentul (UE, Euratom) 2018/1046, Curtea de Conturi își formulează observațiile cu privire la conturile provizorii ale Eurojust până la data de 1 iunie a anului N+1.

(5)   La primirea observațiilor formulate de Curtea de Conturi privind conturile provizorii ale Eurojust în temeiul articolului 246 din Regulamentul (UE, Euratom) 2018/1046, directorul administrativ elaborează conturile finale ale Eurojust pe propria răspundere și le prezintă Comitetului executiv pentru aviz.

(6)   Comitetul executiv emite un aviz cu privire la conturile finale ale Eurojust.

(7)   Până la data de 1 iulie a anului N+1, directorul administrativ transmite conturile finale pentru anul N Parlamentului European, Consiliului, Comisiei și Curții de Conturi, împreună cu avizul Comitetului executiv.

(8)   Conturile finale pentru anul N ale Eurojust se publică în Jurnalul Oficial al Uniunii Europene până la data de 15 noiembrie a anului N+1.

(9)   Directorul administrativ transmite Curții de Conturi un răspuns la observațiile acesteia până la data de 30 septembrie a anului N+1. Directorul administrativ transmite acest răspuns, de asemenea, Comitetului executiv și Comisiei.

(10)   Directorul administrativ transmite Parlamentului European, la cererea acestuia din urmă, orice informație necesară pentru buna derulare a procedurii de descărcare de gestiune pentru exercițiul financiar în cauză, în conformitate cu articolul 261 alineatul (3) din Regulamentul (UE, Euratom) 2018/1046.

(11)   La recomandarea Consiliului, hotărând cu o majoritate calificată, Parlamentul European aprobă, înainte de data de 15 mai a anului N+2, descărcarea de gestiune a directorului administrativ în ceea ce privește execuția bugetară pentru anul N.

(12)   Descărcarea de gestiune pentru execuția bugetului Eurojust se acordă de Parlamentul European, la recomandarea Consiliului, cu urmarea unei proceduri comparabile cu cea prevăzută la articolul 319 din TFUE și la articolele 260, 261 și 262 din Regulamentul (UE, Euratom) 2018/1046, pe baza raportului de audit al Curții de Conturi.

În cazul refuzului Parlamentului European de a autoriza descărcarea de gestiune până la data de 15 mai a anului N+2, directorul administrativ este invitat să-și exprime poziția în fața Colegiului, care ia o decizie finală în privința poziției directorului administrativ, în funcție de circumstanțe.

Articolul 64

Normele financiare

(1)   Normele financiare aplicabile Eurojust se adoptă de către Comitetul executiv în conformitate cu Regulamentul delegat (UE) nr. 1271/2013, după consultarea Comisiei. Aceste norme financiare nu derogă de la Regulamentul delegat (UE) nr. 1271/2013, cu excepția cazului în care o astfel de derogare se impune în mod special pentru funcționarea Eurojust, iar Comisia și-a dat acordul prealabil.

În ceea ce privește sprijinul financiar acordat pentru activitățile echipelor comune de anchetă, Eurojust și Europol instituie în comun normele și condițiile în baza cărora sunt prelucrate cererile de sprijin.

(2)   Eurojust poate acorda granturi legate de îndeplinirea sarcinilor sale conform articolului 4 alineatul (1). Granturile prevăzute pentru sarcinile menționate la articolul 4 alineatul (1) litera (f) se pot acorda statelor membre fără a recurge la o cerere de propuneri.

CAPITOLUL VII

DISPOZIȚII PRIVIND PERSONALUL

Articolul 65

Dispoziții generale

(1)   Personalului Eurojust i se aplică Statutul funcționarilor și Regimul aplicabil celorlalți agenți, precum și normele adoptate de comun acord de către instituțiile Uniunii de punere în aplicare a Statutului funcționarilor și a Regimului aplicabil celorlalți agenți.

(2)   Personalul Eurojust este format din personal recrutat în conformitate cu normele și regulamentele aplicabile funcționarilor și celorlalți agenți ai Uniunii, ținând cont de toate criteriile menționate la articolul 27 din Statutul funcționarilor, inclusiv de distribuția geografică a acestora.

Articolul 66

Experții naționali detașați și alte categorii de personal

(1)   Pe lângă personalul propriu, Eurojust poate utiliza experți naționali detașați sau alte categorii de personal neangajați de Eurojust.

(2)   Colegiul adoptă o decizie de stabilire a normelor privind detașarea la Eurojust a experților naționali și privind utilizarea altor membri ai personalului, în special pentru a evita eventualele conflicte de interese.

(3)   Eurojust ia măsuri administrative corespunzătoare, printre altele, prin strategii de formare și prevenire, pentru a evita conflictele de interese, inclusiv conflictele de interese referitoare la aspectele legate de perioada ulterioară angajării.

CAPITOLUL VIII

EVALUARE ȘI RAPORTARE

Articolul 67

Implicarea instituțiilor Uniunii și a parlamentelor naționale

(1)   Eurojust transmite raportul său anual Parlamentului European, Consiliului și parlamentelor naționale, care pot prezenta observații și concluzii.

(2)   Ulterior alegerii sale, președintele nou ales al Eurojust face o declarație în fața comisiei sau a comisiilor competente ale Parlamentului European și răspunde întrebărilor adresate de membrii acestor comisii. Discuțiile nu se referă în mod direct sau indirect la acțiuni concrete întreprinse în legătură cu cazuri operaționale specifice.

(3)   Președintele Eurojust se prezintă o dată pe an în cadrul unei reuniuni interparlamentare la nivel de comisii în vederea evaluării în comun de către Parlamentul European și parlamentele naționale a activităților Eurojust, pentru a discuta despre activitățile curente ale Eurojust și pentru a-și prezenta raportul anual sau alte documente esențiale ale Eurojust.

Discuțiile nu se referă în mod direct sau indirect la acțiuni concrete întreprinse în legătură cu cazuri operaționale specifice.

(4)   În plus față de alte obligații de informare și consultare prevăzute în prezentul regulament, Eurojust transmite Parlamentului European și parlamentelor naționale, în limbile oficiale ale acestora, spre informare:

(a)

rezultatele studiilor și proiectelor strategice elaborate sau comandate de Eurojust;

(b)

documentele de programare menționate la articolul 15;

(c)

acordurile de lucru încheiate cu terți.

Articolul 68

Avize privind propunerile de acte legislative

Comisia și statele membre care își exercită drepturile în temeiul articolului 76 litera (b) din TFUE pot solicita avizul Eurojust cu privire la toate propunerile de acte legislative menționate la articolul 76 din TFUE.

Articolul 69

Evaluare și revizuire

(1)   Până la 13 decembrie 2024 și, ulterior, la fiecare cinci ani, Comisia comandă o evaluare a punerii în aplicare și a impactului prezentului regulament, precum și a eficacității și a eficienței Eurojust și a practicilor de lucru ale acestuia. Colegiul este implicat în evaluare. Evaluarea poate analiza, în special, eventuala necesitate de a modifica mandatul Eurojust și implicațiile financiare ale unei astfel de modificări.

(2)   Comisia transmite raportul de evaluare împreună cu concluziile sale Parlamentului European, parlamentelor naționale, Consiliului și Colegiului. Rezultatele evaluării se fac publice.

CAPITOLUL IX

DISPOZIȚII GENERALE ȘI FINALE

Articolul 70

Privilegii și imunități

Protocolul nr. 7 privind privilegiile și imunitățile Uniunii Europene, anexat la TUE și TFUE, se aplică Eurojust și personalului său.

Articolul 71

Regimul lingvistic

(1)   Regulamentul nr. 1 al Consiliului (23) se aplică Eurojust.

(2)   Colegiul hotărăște cu privire la regimul lingvistic intern al Eurojust cu o majoritate de două treimi dintre membrii săi.

(3)   Serviciile de traducere necesare pentru funcționarea Eurojust vor fi asigurate de Centrul de Traduceri pentru Organismele Uniunii Europene, astfel cum a fost instituit prin Regulamentul (CE) nr. 2965/94 al Consiliului (24), cu excepția cazului în care indisponibilitatea Centrului de Traduceri necesită găsirea unei soluții diferite.

Articolul 72

Confidențialitate

(1)   Membrii naționali, supleanții și asistenții acestora menționați la articolul 7, personalul Eurojust, corespondenții naționali, experții naționali detașați, magistrații de legătură, responsabilul cu protecția datelor și membrii și personalul AEPD sunt supuși obligației de confidențialitate cu privire la orice informație care le este adusă la cunoștință în cursul îndeplinirii sarcinilor lor.

(2)   Obligația de confidențialitate se aplică tuturor persoanelor și organismelor care colaborează cu Eurojust.

(3)   Obligația de confidențialitate se aplică și după încetarea mandatului sau a contractului de muncă și după încetarea activităților persoanelor menționate la alineatele (1) și (2).

(4)   Obligația de confidențialitate se aplică tuturor informațiilor primite sau schimbate de Eurojust, cu excepția cazului în care respectivele informații au fost deja făcute publice în mod legal sau sunt accesibile publicului.

Articolul 73

Condiții privind confidențialitatea procedurilor naționale

(1)   Fără a aduce atingere articolului 21 alineatul (3), atunci când sunt primite sau schimbate informații prin intermediul Eurojust, autoritatea din statul membru care a furnizat informațiile poate stipula condiții, în temeiul dreptului său intern, privind utilizarea informațiilor respective în cadrul procedurilor naționale de către autoritatea care le primește.

(2)   Condițiile respective sunt obligatorii pentru autoritatea din statul membru care primește informațiile menționate la alineatul (1).

Articolul 74

Transparență

(1)   Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (25) se aplică documentelor deținute de Eurojust.

(2)   Comitetul executiv elaborează, în termen de șase luni de la data primei sale reuniuni, normele detaliate de aplicare a Regulamentului (CE) nr. 1049/2001 în vederea adoptării acestora de către Colegiu.

(3)   Deciziile luate de către Eurojust în temeiul articolului 8 din Regulamentul (CE) nr. 1049/2001 pot face obiectul unei plângeri către Ombudsmanul European sau al unei acțiuni în fața Curții, în condițiile prevăzute la articolul 228 și, respectiv, articolul 263 din TFUE.

(4)   Eurojust publică pe site-ul său o listă a membrilor Comitetului executiv și rezumatele rezultatelor reuniunilor Comitetului executiv. Publicarea respectivelor rezumate este omisă sau restricționată, temporar sau permanent, în cazul în care ar periclita îndeplinirea sarcinilor Eurojust, ținând seama de obligațiile acestuia privind discreția și confidențialitatea, precum și de caracterul operațional al Eurojust.

Articolul 75

OLAF și Curtea de Conturi

(1)   Pentru a facilita combaterea fraudei, a corupției și a altor activități ilegale, în temeiul Regulamentului (UE, Euratom) nr. 883/2013, în termen de șase luni de la intrarea în vigoare a prezentului regulament, Eurojust aderă la Acordul Interinstituțional din 25 mai 1999 dintre Parlamentul European, Consiliul Uniunii Europene și Comisia Comunităților Europene privind investigațiile interne desfășurate de Oficiul European de Lupta Antifraudă (OLAF) (26). Eurojust adoptă dispozițiile corespunzătoare aplicabile tuturor membrilor naționali, supleanților și asistenților acestora, tuturor experților naționali detașați și întregului personal Eurojust, utilizând modelul prevăzut în anexa la respectivul acord.

(2)   Curtea de Conturi are competența de a efectua audituri, pe baza documentelor și la fața locului, cu privire la toți beneficiarii de granturi, contractanții și subcontractanții care au beneficiat de fonduri ale Uniunii de la Eurojust.

(3)   OLAF poate efectua investigații, inclusiv controale și inspecții la fața locului, în conformitate cu dispozițiile și procedurile prevăzute de Regulamentul (UE, Euratom) nr. 883/2013 și Regulamentul (Euratom, CE) nr. 2185/96 al Consiliului (27), pentru a stabili dacă au existat nereguli care aduc atingere intereselor financiare ale Uniunii în legătură cu cheltuielile finanțate de EPPO.

(4)   Fără a aduce atingere alineatelor (1), (2) și (3), acordurile de lucru cu țările terțe sau organizațiile internaționale, contractele, acordurile de grant și deciziile de grant ale Eurojust includ dispoziții de mandatare expresă a Curții de Conturi și a OLAF pentru a efectua astfel de audituri și investigații, în conformitate cu competențele lor respective.

(5)   Membrii personalului Eurojust, directorul administrativ și membrii Colegiului și ai Comitetului executiv îi notifică OLAF și Parchetului European, fără întârziere și fără ca responsabilitatea lor să fie pusă în discuție din cauza acestei informări, orice suspiciune de nereguli sau activități ilegale din timpul mandatelor lor de care au avut cunoștință în exercitarea atribuțiilor lor.

Articolul 76

Norme privind protecția informațiilor sensibile neclasificate și a informațiilor clasificate

(1)   Eurojust stabilește norme interne privind tratarea și confidențialitatea informațiilor și privind protecția informațiilor sensibile neclasificate, inclusiv privind crearea și prelucrarea unor astfel de informații la Eurojust.

(2)   Eurojust stabilește norme interne pentru protejarea informațiilor UE clasificate care trebuie să fie în concordanță cu Decizia 2013/488/UE a Consiliului (28), cu scopul de a asigura un nivel de protecție echivalent pentru astfel de informații.

Articolul 77

Investigații administrative

Activitățile administrative ale Eurojust sunt supuse investigațiilor efectuate de către Ombudsmanul European în conformitate cu articolul 228 din TFUE.

Articolul 78

Alte tipuri de răspundere în afara celei pentru prelucrarea neautorizată sau incorectă a datelor

(1)   Răspunderea contractuală a Eurojust este reglementată de dreptul aplicabil contractului în cauză.

(2)   Curtea este competentă să se pronunțe în temeiul oricărei clauze compromisorii cuprinse în contractele încheiate de către Eurojust.

(3)   În cazul răspunderii necontractuale, Eurojust, în conformitate cu principiile generale comune ordinilor juridice ale statelor membre și independent de orice răspundere antrenată în temeiul articolului 46, repară orice prejudiciu cauzat de către Eurojust sau de către personalul său în exercitarea atribuțiilor lor.

(4)   Alineatul (3) se aplică, de asemenea, prejudiciilor cauzate din vina unui membru național, a unui supleant sau a unui asistent în exercitarea atribuțiilor lor. Cu toate acestea, în cazul în care aceștia acționează în temeiul competențelor care le-au fost conferite în temeiul articolului 8, statul său membru rambursează Eurojust sumele plătite de Eurojust pentru a repara prejudiciul cauzat.

(5)   Curtea este competentă în litigiile privind repararea prejudiciilor menționate la alineatul (3).

(6)   Instanțele naționale ale statelor membre competente să soluționeze litigiile care implică răspunderea Eurojust astfel cum se prevede în prezentul articol se stabilesc în conformitate cu Regulamentul (UE) nr. 1215/2012 al Parlamentului European și al Consiliului (29).

(7)   Răspunderea personală a personalului Eurojust față de Eurojust este reglementată de dispozițiile aplicabile prevăzute în Statutul funcționarilor și în Regimul aplicabil celorlalți agenți.

Articolul 79

Acordul privind sediul și condițiile de funcționare

(1)   Sediul Eurojust este la Haga, Țările de Jos.

(2)   Aranjamentele necesare privind găzduirea care urmează să fie asigurată Eurojust în Țările de Jos și facilitățile care trebuie puse la dispoziție de către Țările de Jos, împreună cu normele specifice aplicabile în Țările de Jos directorului administrativ, membrilor colegiului, personalului Eurojust și membrilor familiilor acestora, se stabilesc printr-un acord privind sediul între Eurojust și Țările de Jos, încheiat după obținerea aprobării din partea colegiului.

Articolul 80

Dispoziții tranzitorii

(1)   Eurojust, astfel cum este instituit prin prezentul regulament, este succesorul legal general cu privire la toate contractele încheiate de Eurojust, obligațiile care îi revin și proprietățile achiziționate de Eurojust, astfel cum a fost instituit prin Decizia 2002/187/JAI.

(2)   Membrii naționali ai Eurojust, astfel cum a fost instituită prin Decizia 2002/187/JAI, care au fost detașați de fiecare stat membru în temeiul deciziei menționate își asumă rolul de membri naționali ai Eurojust în temeiul capitolului II din secțiunea II din prezentul regulament. Mandatele lor pot fi prelungite o singură dată, în temeiul articolului 7 alineatul (5) din prezentul regulament, după data intrării în vigoare a prezentului regulament, indiferent de prelungirile anterioare.

(3)   La data intrării în vigoare a prezentului regulament, președintele și vicepreședinții Eurojust, astfel cum a fost instituită prin Decizia 2002/187/JAI, își asumă funcțiile de președinte și de vicepreședinți ai Eurojust în conformitate cu articolul 11 din prezentul regulament, până la expirarea mandatelor lor în conformitate cu decizia menționată. Ei pot fi realeși o singură dată după intrarea în vigoare a prezentului regulament în temeiul articolului 11 alineatul (4) din prezentul regulament, indiferent de realegerile anterioare.

(4)   Ultimul director administrativ care a fost numit în temeiul articolului 29 din Decizia 2002/187/JAI își asumă rolul de director administrativ în temeiul articolului 17 din prezentul regulament, până la expirarea mandatului său în conformitate cu decizia menționată. Mandatul directorului administrativ în cauză poate fi prelungit o singură dată după intrarea în vigoare a prezentului regulament.

(5)   Prezentul regulament nu aduce atingere validității acordurilor încheiate de către Eurojust, astfel cum a fost instituit prin Decizia 2002/187/JAI. În special, toate acordurile internaționale încheiate de către Eurojust înainte de 12 decembrie 2019 rămân valabile.

(6)   Procedura de descărcare de gestiune în ceea ce privește bugetele aprobate în temeiul articolului 35 din Decizia 2002/187/JAI se desfășoară în conformitate cu normele stabilite la articolul 36 din decizia menționată.

(7)   Prezentul regulament nu aduce atingere contractelor de muncă încheiate în temeiul Deciziei 2002/187/JAI înainte de intrarea în vigoare a prezentului regulament. Ultimul responsabil cu protecția datelor care a fost numit în temeiul articolului 17 din decizia menționată își asumă rolul de responsabil cu protecția datelor în temeiul articolului 36 din prezentul regulament.

Articolul 81

Înlocuire și abrogare

(1)   Decizia 2002/187/JAI se înlocuiește pentru statele membre care își asumă obligații în temeiul prezentului regulament cu începere de la 12 decembrie 2019.

Prin urmare, Decizia 2002/187/JAI se abrogă de la 12 decembrie 2019.

(2)   În ceea ce privește statele membre care își asumă obligații în temeiul prezentului regulament, trimiterile la decizia menționată la alineatul (1) se interpretează ca trimiteri la prezentul regulament.

Articolul 82

Intrarea în vigoare și aplicarea

(1)   Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2)   Prezentul regulament se aplică de la 12 decembrie 2019.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în statele membre în conformitate cu tratatele.

Adoptat la Strasbourg, 14 noiembrie 2018.

Pentru Parlamentul European

Președintele

A. TAJANI

Pentru Consiliu

Președintele

K. EDTSTADLER


(1)  Poziția Parlamentului European din 4 octombrie 2018 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 6 noiembrie 2018.

(2)  Decizia 2002/187/JAI a Consiliului din 28 februarie 2002 de instituire a Eurojust în scopul consolidării luptei împotriva formelor grave de criminalitate (JO L 63, 6.3.2002, p. 1).

(3)  Decizia 2003/659/JAI a Consiliului din 18 iunie 2003 de modificare a Deciziei 2002/187/JAI de instituire a Eurojust în scopul consolidării luptei împotriva formelor grave de infracționalitate (JO L 245, 29.9.2003, p. 44).

(4)  Decizia 2009/426/JAI a Consiliului din 16 decembrie 2008 privind consolidarea Eurojust și de modificare a Deciziei 2002/187/JAI de instituire a Eurojust în scopul consolidării luptei împotriva formelor grave de criminalitate (JO L 138, 4.6.2009, p. 14).

(5)  Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO) (JO L 283, 31.10.2017, p. 1).

(6)  Decizia 2002/494/JAI a Consiliului din 13 iunie 2002 de înființare a unei rețele europene de puncte de contact cu privire la persoane vinovate de genocid, crime împotriva umanității și crime de război (JO L 167, 26.6.2002, p. 1).

(7)  Decizia 2007/845/JAI a Consiliului din 6 decembrie 2007 privind cooperarea dintre oficiile de recuperare a creanțelor din statele membre în domeniul urmăririi și identificării produselor provenite din săvârșirea de infracțiuni sau a altor bunuri având legătură cu infracțiunile (JO L 332, 18.12.2007, p. 103).

(8)  Decizia 2008/852/JAI a Consiliului din 24 octombrie 2008 privind o rețea de puncte de contact de combatere a corupției (JO L 301, 12.11.2008, p. 38).

(9)  Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).

(10)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (a se vedea pagina X_X din prezentul Jurnal Oficial).

(11)  Poziția comună 2005/69/JAI a Consiliului din 24 ianuarie 2005 privind schimbul de anumite date cu Interpol (JO L 27, 29.1.2005, p. 61).

(12)  Decizia 2007/533/JAI a Consiliului din 12 iunie 2007 privind înființarea, funcționarea și utilizarea Sistemului de informații Schengen de a doua generație (SIS II) (JO L 205, 7.8.2007, p. 63).

(13)  Acțiunea comună 96/277/JAI a Consiliului din 22 aprilie 1996 privind cadrul pentru schimbul de magistrați de legătură în vederea îmbunătățirii cooperării judiciare între statele membre ale Uniunii Europene (JO L 105, 27.4.1996, p. 1).

(14)  Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).

(15)  Regulamentul (UE, Euratom) nr. 883/2013 al Parlamentului European și al Consiliului din 11 septembrie 2013 privind investigațiile efectuate de Oficiul European de Luptă Antifraudă (OLAF) și de abrogare a Regulamentului (CE) nr. 1073/1999 al Parlamentului European și al Consiliului și a Regulamentului (Euratom) nr. 1074/1999 al Consiliului (JO L 248, 18.9.2013, p. 1).

(16)  Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(17)  Directiva 2014/41/UE a Parlamentului European și a Consiliului din 3 aprilie 2014 privind ordinul european de anchetă în materie penală (JO L 130, 1.5.2014, p. 1).

(18)  JO L 56, 4.3.1968, p. 1.

(19)  Decizia 2005/671/JAI a Consiliului din 20 septembrie 2005 privind schimbul de informații și cooperarea referitoare la infracțiunile de terorism (JO L 253, 29.9.2005, p. 22).

(20)  Decizia 2008/976/JAI a Consiliului din 16 decembrie 2008 privind Rețeaua Judiciară Europeană (JO L 348, 24.12.2008, p. 130).

(21)  Regulamentul (UE) 2016/1624 al Parlamentului European și al Consiliului din 14 septembrie 2016 privind Poliția de frontieră și garda de coastă la nivel european și de modificare a Regulamentului (UE) 2016/399 al Parlamentului European și al Consiliului și de abrogare a Regulamentului (CE) nr. 863/2007 al Parlamentului European și al Consiliului, a Regulamentului (CE) nr. 2007/2004 al Consiliului și a Deciziei 2005/267/CE a Consiliului (JO L 251, 16.9.2016, p. 1).

(22)  Regulamentul delegat (UE) nr. 1271/2013 al Comisiei din 30 septembrie 2013 privind regulamentul financiar cadru pentru organismele menționate la articolul 208 din Regulamentul (UE, Euratom) nr. 966/2012 al Parlamentului European și al Consiliului (JO L 328, 7.12.2013, p. 42).

(23)  Regulamentul nr. 1 de stabilire a regimului lingvistic al Comunității Economice Europene (JO 17, 6.10.1958, p. 385).

(24)  Regulamentul (CE) nr. 2965/94 al Consiliului din 28 noiembrie 1994 de înființare a Centrului de Traduceri pentru Organismele Uniunii Europene (JO L 314, 7.12.1994, p. 1).

(25)  Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).

(26)  JO L 136, 31.5.1999, p. 15.

(27)  Regulamentul (Euratom, CE) nr. 2185/96 al Consiliului din 11 noiembrie 1996 privind controalele și inspecțiile la fața locului efectuate de Comisie în scopul protejării intereselor financiare ale Comunităților Europene împotriva fraudei și a altor abateri (JO L 292, 15.11.1996, p. 2).

(28)  Decizia 2013/488/UE a Consiliului din 23 septembrie 2013 privind normele de securitate pentru protecția informațiilor UE clasificate (JO L 274, 15.10.2013, p. 1).

(29)  Regulamentul (UE) nr. 1215/2012 al Parlamentului European și al Consiliului din 12 decembrie 2012 privind competența judiciară, recunoașterea și executarea hotărârilor în materie civilă și comercială (JO L 351, 20.12.2012, p. 1).


ANEXA I

Lista formelor grave de criminalitate care intră în sfera de competență a Eurojust în conformitate cu articolul 3 alineatul (1):

terorismul,

criminalitatea organizată,

traficul de droguri,

activități de spălare de bani,

criminalitatea legată de substanțe nucleare și radioactive,

introducerea ilegală de imigranți,

traficul de ființe umane,

criminalitatea legată de autovehicule,

omorul și vătămarea corporală gravă,

traficul ilicit de organe și țesuturi umane,

răpirea, lipsirea de libertate în mod ilegal și luarea de ostatici,

rasismul și xenofobia,

tâlhăria și furtul calificat,

traficul ilicit de bunuri culturale, inclusiv antichități și opere de artă,

înșelăciunea și frauda,

infracțiuni împotriva intereselor financiare ale Uniunii,

utilizarea abuzivă a informațiilor privilegiate și manipularea piețelor financiare,

activități mafiote („racketeering”) și extorcarea de fonduri,

contrafacerea și piratarea produselor,

falsul în înscrisuri oficiale și traficul de falsuri în înscrisuri oficiale,

falsificarea banilor și a altor mijloace de plată,

criminalitatea informatică,

corupția,

traficul ilicit de arme, muniții și explozivi,

traficul ilicit cu specii de animale pe cale de dispariție,

traficul ilicit de specii și soiuri de plante pe cale de dispariție,

infracțiuni împotriva mediului, inclusiv poluarea cauzată de nave,

traficul ilicit de substanțe hormonale și alți factori de creștere,

abuzul sexual și exploatarea sexuală, inclusiv materialele care conțin abuzuri sexuale asupra copiilor și ademenirea copiilor în scopuri sexuale,

genocid, crime împotriva umanității și crime de război.


ANEXA II

CATEGORIILE DE DATE CU CARACTER PERSONAL MENȚIONATE LA articolul 27

1.

(a)

Numele de familie, numele dinaintea căsătoriei, prenumele și orice pseudonim sau nume de împrumut;

(b)

data și locul nașterii;

(c)

naționalitatea;

(d)

sexul;

(e)

locul de reședință, profesia și locul unde se află persoana respectivă;

(f)

numărul de asigurare socială sau alte numere oficiale utilizate în statele membre pentru a identifica persoanele fizice, permisele de conducere, datele care figurează în actele de identitate și în pașaport, numerele de identificare vamală și fiscală;

(g)

informații referitoare la persoanele juridice, în cazul în care acestea conțin informații despre persoanele fizice identificate sau identificabile care fac obiectul unei cercetări judiciare sau urmăriri penale;

(h)

date privind conturile deținute la bănci sau la alte instituții financiare;

(i)

descrierea și natura presupuselor infracțiuni, data comiterii lor, încadrarea penală și stadiul cercetărilor;

(j)

faptele din care ar rezulta o extindere a cazului la nivel internațional;

(k)

informații legate de suspiciunea de apartenență la o organizație criminală;

(l)

numerele de telefon, adresele de e-mail, datele privind traficul și datele de localizare, precum și orice date conexe necesare pentru identificarea abonatului sau a utilizatorului;

(m)

datele privind înmatricularea autovehiculelor;

(n)

profilurile ADN stabilite din partea necodată a ADN, fotografiile și amprentele digitale.

2.

(a)

Numele de familie, numele dinaintea căsătoriei, prenumele și orice pseudonim sau nume de împrumut;

(b)

data și locul nașterii;

(c)

naționalitatea;

(d)

sexul;

(e)

locul de reședință, profesia și locul unde se află persoana respectivă;

(f)

descrierea și natura faptelor care o privesc pe persoana în cauză, data comiterii faptelor, încadrarea penală și stadiul cercetărilor;

(g)

numărul de asigurare socială sau alte numere oficiale utilizate în statele membre pentru a identifica persoanele fizice, permisele de conducere, datele care figurează în actele de identitate și în pașaport, numerele de identificare vamală și fiscală;

(h)

date privind conturile deținute la bănci și la alte instituții financiare;

(i)

numerele de telefon, adresele de e-mail, datele privind traficul și datele de localizare, precum și orice dat conexe necesare pentru identificarea abonatului sau a utilizatorului;

(j)

datele privind înmatricularea autovehiculelor.