4.5.2007

RO

Jurnalul Oficial al Uniunii Europene

L 116/64

---

DECIZIA BĂNCII CENTRALE EUROPENE

din 17 aprilie 2007

de adoptare a normelor de aplicare privind protecția datelor la Banca Centrală Europeană

(BCE/2007/1)

(2007/279/CE)

COMITETUL EXECUTIV AL BĂNCII CENTRALE EUROPENE,

având în vedere Tratatul de instituire a Comunității Europene, în special articolul 286,

având în vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (1), în special articolul 24 alineatul (8),

întrucât:

(1)	Regulamentul (CE) nr. 45/2001 stabilește principiile și normele aplicabile tuturor instituțiilor și organelor comunitare și prevede desemnarea unui responsabil cu protecția datelor (RPD) de către fiecare instituție sau organ comunitar.

(2)	În temeiul articolului 24 alineatul (8) din Regulamentul (CE) nr. 45/2001, fiecare instituție sau organ comunitar trebuie să adopte norme complementare de aplicare referitoare la RPD, în conformitate cu prevederile anexei la regulamentul menționat,

DECIDE:

SECȚIUNEA 1

DISPOZIȚII GENERALE

Articolul 1

Obiectul și domeniul de aplicare

(1)   Prezenta decizie stabilește normele generale de aplicare a Regulamentului (CE) nr. 45/2001 în ceea ce privește Banca Centrală Europeană (BCE). În special, decizia completează prevederile cuprinse în Regulamentul (CE) nr. 45/2001 în ceea ce privește desemnarea și statutul RPD, precum și în ceea ce privește sarcinile, îndatoririle și competențele acestuia.

(2)   Prezenta decizie precizează, de asemenea, rolurile, sarcinile și îndatoririle operatorilor și ale coordonatorilor de protecția datelor și pune în aplicare normele în temeiul cărora persoanele vizate își pot exercita drepturile.

Articolul 2

Definiții

În sensul prezentei decizii și fără a aduce atingere definițiilor cuprinse în Regulamentul (CE) nr. 45/2001, sunt aplicabile următoarele definiții:

(a)	„operator” înseamnă un conducător al unei unități organizaționale care stabilește scopurile și mijloacele de procesare a datelor cu caracter personal;

(b)	„coordonator de protecția datelor” înseamnă un membru al personalului care asistă un operator în îndeplinirea obligațiilor acestuia din urmă privind protecția datelor. Această persoană este specializată în gestionarea arhivelor.

SECȚIUNEA 2

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 3

Desemnare, statut și probleme organizaționale

(1)   Comitetul executiv:

(a)	desemnează RPD din cadrul personalului BCE, care are experiența necesară pentru a îndeplini cerințele prevăzute la articolul 24 din Regulamentul (CE) nr. 45/2001;

(b)	stabilește durata mandatului RPD, care va fi cuprinsă între doi și cinci ani; și

(c)	comunică numele RPD la Autoritatea Europeană pentru Protecția Datelor (AEPD).

(2)   Comitetul executiv se asigură că RPD își poate îndeplini sarcinile și îndatoririle ce îi revin într-o manieră independentă. Fără a aduce atingere acestei independențe:

(a)	RPD se supune condițiilor de angajare ale BCE;

(b)	în scopuri administrative, RPD va fi repartizat unei direcții generale sau direcții a BCE; și

(c)	persoanele însărcinate cu evaluarea RPD se vor consulta cu AEPD înainte de a evalua modul în care RPD își aduce la îndeplinire sarcinile și îndatoririle ce îi revin.

(3)   Operatorul competent se va asigura că RPD este informat în mod constant și fără întârziere:

(a)	în cazul apariției unei situații care are sau care poate avea implicații în ceea ce privește protecția datelor; și

(b)	în ceea ce privește contactele cu terții în legătură cu aplicarea Regulamentului (CE) nr. 45/2001 și, mai ales, în ceea ce privește cooperarea cu AEPD.

(4)   Comitetul executiv poate desemna un RPD adjunct în privința căruia se vor aplica alineatele (1) și (2). RPD adjunct va sprijini RPD în îndeplinirea sarcinilor și a îndatoririlor sale și îi va ține locul în cazul absenței acestuia.

(5)   Personalul care acordă sprijin RPD în aspectele legate de protecția datelor cu caracter personal acționează numai în conformitate cu instrucțiunile RPD.

Articolul 4

Sarcini și îndatoriri ale responsabilului cu protecția datelor

În îndeplinirea sarcinilor prevăzute la articolul 24 din Regulamentul (CE) nr. 45/2001 și în anexa la acesta, RPD are următoarele îndatoriri, ținând seama, dacă este necesar, de elementele comunicate de către direcțiile generale sau direcțiile BCE:

(a)

consiliază Comitetului executiv, operatorii și coordonatorii de protecția datelor în probleme referitoare la aplicarea dispozițiilor privind protecția datelor la BCE. RPD poate fi consultat de către Comitetul executiv, de către oricare dintre operatorii implicați, de către Comitetul de personal sau de către orice persoană fizică, în orice privință referitoare la interpretarea sau aplicarea Regulamentului (CE) nr. 45/2001;

(b)

RPD, din proprie inițiativă sau la cererea Comitetului executiv, a unui operator, a Comitetului de personal sau a oricărei persoane fizice, investighează cazurile și problemele direct legate de sarcinile și îndatoririle sale, care ajung la cunoștința sa, și prezintă un raport persoanei care a solicitat investigația. RPD va trata aspectele și faptele în mod imparțial și cu respectarea drepturilor persoanei vizate. Dacă RPD consideră că este cazul, în consecință, informează toate celelalte părți implicate. Dacă solicitantul este o persoană fizică sau dacă solicitantul acționează în numele unei persoane fizice, RPD, în măsura în care este posibil, se va asigura că solicitarea rămâne confidențială, mai puțin în situația în care persoana vizată respectivă își exprimă neechivoc acordul ca solicitarea să fie tratată într-un mod diferit;

(c)	cooperează cu RPD din alte instituții și organe comunitare, în special prin schimburi de experiență și know-how, și reprezintă BCE în toate discuțiile – mai puțin procesele judiciare – referitoare la aspecte legate de protecția datelor; și

(d)	prezintă Comitetului executiv și AEPD un program de lucru anual și un raport anual asupra activităților RPD.

Articolul 5

Competențele responsabilului cu protecția datelor

RPD poate:

(a)	solicita avize din partea oricărei direcții generale sau direcții a BCE cu privire la orice probleme referitoare la sarcinile și îndatoririle RPD;

(b)	emite un aviz privind legalitatea prelucrărilor curente sau propuse sau asupra oricărui aspect referitor la notificarea prelucrării;

(c)	aduce în atenția Comitetului executiv orice încălcare a dispozițiilor Regulamentului (CE) nr. 45/2001 săvârșită de către un membru al personalului; și

(d)	îndeplinește celelalte sarcini prevăzute în anexa la Regulamentul (CE) nr. 45/2001.

SECȚIUNEA 3

OPERATORII ȘI COORDONATORII DE PROTECȚIA DATELOR

Articolul 6

Sarcini și îndatoriri ale operatorilor și ale coordonatorilor de protecția datelor

(1)   Operatorii se asigură că toate prelucrările de date cu caracter personal efectuate în sfera lor de responsabilitate respectă Regulamentul (CE) nr. 45/2001.

(2)   În îndeplinirea obligației de a asista RPD și AEPD în exercitarea îndatoririlor acestora, operatorii le furnizează toate informațiile, le dau accesul la datele cu caracter personal și răspund întrebărilor acestora în termen de 20 de zile lucrătoare de la primirea solicitării.

(3)   Fără a aduce atingere responsabilităților operatorilor:

(a)

coordonatorii de protecția datelor asistă operatorii în îndeplinirea obligațiilor lor fie la solicitarea operatorilor, fie din proprie inițiativă. În acest sens, coordonatorii de protecția datelor iau legătura cu personalul operatorilor, care le furnizează toate informațiile necesare. La alegerea operatorului competent, acest lucru poate presupune inclusiv accesul la datele cu caracter personal a căror prelucrare intră în responsabilitatea operatorului respectiv;

(b)

coordonatorii de protecția datelor asistă RPD: (i) la identificarea operatorilor competenți în privința prelucrării datelor cu caracter personal; (ii) la difuzarea avizului RPD și sprijinirea operatorilor conform îndrumărilor date de RPD; (iii) cu privire la alte aspecte ale programului de lucru al RPD stabilite de comun acord de către RPD și conducerea coordonatorilor.

Articolul 7

Procedura de notificare

(1)   Înainte de efectuarea unor noi prelucrări a datelor cu caracter personal, operatorul competent notifică RPD utilizând interfața on-line accesibilă prin intermediul site-ului RPD de pe intranetul BCE. Orice prelucrare care face obiectul verificării prealabile prevăzute la articolul 27 alineatul (3) din Regulamentul (CE) nr. 45/2001 este notificată cu suficient timp înainte de efectuare pentru a permite AEPD efectuarea verificării prealabile.

(2)   Operatorii informează de îndată RPD despre orice modificare care afectează informațiile cuprinse în notificarea deja înaintată către RPD.

SECȚIUNEA 4

DREPTURILE PERSOANELOR VIZATE

Articolul 8

Registru

Registrul ținut de RPD în temeiul articolului 26 din Regulamentul nr. 45/2001 are rolul de a păstra evidența tuturor prelucrărilor de date cu caracter personal efectuate la BCE. Persoanele vizate pot utiliza informațiile cuprinse în registru în vederea exercitării drepturilor prevăzute la articolele 13-19 din Regulamentul (CE) nr. 45/2001.

Articolul 9

Exercitarea drepturilor de către persoanele vizate

(1)   Pe lângă drepturile lor de a fi informați în mod corespunzător despre orice prelucrare a datelor lor cu caracter personal, persoanele vizate se pot adresa operatorului competent pentru exercitarea drepturilor lor în temeiul articolelor 13-19 din Regulamentul (CE) nr. 45/2001, în condițiile precizate mai jos.

(a)	Aceste drepturi pot fi exercitate numai de către persoanele vizate sau de către reprezentanții lor împuterniciți conform legii. Aceste persoane pot exercita oricare dintre aceste drepturi în mod gratuit.

(b)

Solicitările de exercitare a acestor drepturi se adresează în scris operatorului competent. Operatorul aprobă solicitarea numai după verificarea identității solicitantului și, dacă este cazul, după verificarea corespunzătoare a dreptului de a reprezenta persoana vizată. Persoana vizată este imediat informată de către operator, în scris, cu privire la aprobarea sau respingerea solicitării. Dacă solicitarea a fost respinsă, operatorul va indica motivele respingerii.

(c)	Oricând în decursul a trei luni calendaristice de la data primirii solicitării, operatorul acordă accesul în temeiul articolului 13 din Regulamentul (CE) nr. 45/2001, permițând persoanei vizate să consulte datele la fața locului sau să primească o copie a acestora, conform opțiunii solicitantului.

(d)

În cazul în care operatorul nu respectă vreunul dintre termenele prevăzute la litera (b) sau (c), persoanele vizate se pot adresa RPD. În cazul în care persoana vizată își exercită drepturile în mod vădit abuziv, operatorul poate îndruma persoana vizată către RPD. În această situație, RPD decide cu privire la fundamentele solicitării și la modul adecvat de continuare. În caz de dezacord între persoana vizată și operator, ambele părți au dreptul de a se consulta cu RPD.

(2)   Membrii personalului BCE se pot consulta cu RPD înainte de a depune plângeri la AEPD în temeiul articolului 33 din Regulamentul (CE) nr. 45/2001.

Articolul 10

Excepții și restricții

(1)   Cu condiția ca RPD să fi fost consultat în prealabil, operatorul poate restricționa exercitarea drepturilor prevăzute la articolele 13-17 din Regulamentul (CE) nr. 45/2001 pentru motivele și în conformitate cu condițiile stabilite la articolul 20 din Regulamentul (CE) nr. 45/2001.

(2)   Orice persoană lezată poate solicita AEPD să aplice articolul 47 alineatul (1) litera (c) din Regulamentul (CE) nr. 45/2001.

Articolul 11

Procedura de investigare

(1)   Orice solicitare de investigare în temeiul articolului 4 litera (b) se adresează, în scris, RPD.

(2)   RPD trimite solicitantului o confirmare de primire în termen de 20 de zile lucrătoare de la primirea solicitării.

(3)   RPD poate investiga problema la fața locului și poate solicită operatorului o declarație scrisă. Operatorul transmite răspunsul său către RPD în termen de 20 de zile lucrătoare de la primirea solicitării din partea RPD. RPD poate solicita informații suplimentare sau asistență din partea oricărei direcții generale sau direcții a BCE. Direcțiile generale sau direcțiile BCE acordă asistența sau transmit informațiile suplimentare solicitate în termen de 20 de zile lucrătoare de la solicitarea RPD.

(4)   RPD transmite solicitantului un raport, în termen de trei luni calendaristice de la primirea solicitării.

Articolul 12

Căi de atac

În plus față de căile de atac prevăzute la articolul 32 din Regulamentul (CE) nr. 45/2001, deschise tuturor persoanelor vizate, persoanele vizate care au și calitatea de membru al personalului BCE au la dispoziție căile de atac stabilite în Condițiile de angajare ale BCE.

SECȚIUNEA 5

INTRARE ÎN VIGOARE

Articolul 13

Dispoziție finală

Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

---

(1)  JO L 8, 12.1.2001, p. 1.

---