L 350/60 RO Jurnalul Oficial al Uniunii Europene
2008
III
(Acte adoptate n temeiul Tratatului UE)
ACTE ADOPTATE N TEMEIUL TITLULUI VI DIN TRATATUL UE
DECIZIA-CADRU 2008/977/JAI A CONSILIULUI
din 27 noiembrie 2008
privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare
n materie penal
CONSILIUL UNIUNII EUROPENE,
avnd n vedere Tratatul privind Uniunea European, n special
articolul 30, articolul 31 i articolul 34 alineatul (2) litera (b),
avnd n vedere propunerea Comisiei,
avnd n vedere avizul Parlamentului European (1),
ntruct:
(1) Uniunea European i-a stabilit obiectivul de a menine i
de a dezvolta Uniunea ca spaiu de libertate, securitate i
justiie n cadrul cruia se va asigura un nalt nivel de
siguran prin aciunea comun a statelor membre n
domeniul cooperrii poliieneti i judiciare n materie (5)
penal.
(2) Aciunea comun n domeniul cooperrii poliieneti n
temeiul articolului 30 alineatul (1) litera (b) din Tratatul
privind Uniunea European i aciunea comun pentru
cooperarea judiciar n materie penal n temeiul arti
colului 31 alineatul (1) litera (a) din Tratatul privind
Uniunea European implic necesitatea prelucrrii unor
informaii relevante care ar trebui s fac obiectul unor
dispoziii corespunztoare privind protecia datelor cu
caracter personal.
(3) Legislaia care intr sub incidena titlului VI din Tratatul
privind Uniunea European ar trebui s favorizeze
cooperarea poliieneasc i judiciar n materie penal
cu privire la eficiena, precum i la legitimitatea i confor
mitatea acesteia cu drepturile fundamentale i, n special,
cu dreptul la via privat i la protecia datelor cu
caracter personal. Adoptarea de standarde comune
(1) JO C 125 E, 22.5.2008, p. 154.
30.12.
privind prelucrarea i protecia datelor cu caracter
personal prelucrate n scopul prevenirii i a combaterii
crimei contribuie la realizarea ambelor obiective.
(4) Programul de la Haga pentru consolidarea libertii, secu
ritii i justiiei n Uniunea European adoptat de
Consiliul European la 4 noiembrie 2004 a subliniat nece
sitatea unei abordri inovatoare a schimbului transfron
talier de informaii privind punerea n aplicare a legii, cu
stricta respectare a principalelor condiii din domeniul
proteciei datelor i a invitat Comisia s nainteze
propuneri n acest sens pn la sfritul anului 2005.
Aspectul menionat a fost reflectat n Planul de aciune
al Consiliului i al Comisiei de punere n aplicare a
Programului de la Haga pentru consolidarea libertii,
securitii i justiiei n Uniunea European (2).
Schimbul de date personale n cadrul cooperrii poli
ieneti i judiciare n materie penal, n special n confor
mitate cu principiul disponibilitii informaiei, astfel cum
a fost enunat n Programul de la Haga, ar trebui sprijinit
prin norme clare care s sporeasc ncrederea reciproc
ntre autoritile competente i s asigure protecia infor
maiilor relevante, astfel nct s se exclud orice discri
minare n ceea ce privete aceast cooperare ntre statele
membre, cu respectarea, n acelai timp a drepturilor
fundamentale ale persoanelor fizice. Instrumentele
existente la nivel european nu sunt suficiente. Directiva
95/46/CE a Parlamentului European i a Consiliului din
24 octombrie 1995 privind protecia persoanelor fizice
cu privire la prelucrarea datelor cu caracter personal i la
libera circulaie a acestor date (3) nu se aplic n cazul
prelucrrii datelor cu caracter personal n cursul unei
activiti care nu se circumscrie domeniului de aplicare
a legislaiei comunitare, astfel cum sunt cele prevzute la
titlul VI din Tratatul privind Uniunea European i nici,
n orice caz, operaiilor de prelucrare privind securitatea
public, aprarea, sigurana de stat i activitile statului
n domeniul legii penale.
(2) JO C 198, 12.8.2005, p. 1.
(3) JO L 281, 23.11.1995, p. 31.
30.12.2008 RO Jurnalul Oficial al Uniunii Europene
(6) Prezenta decizie-cadru se aplic numai n cazul datelor
colectate sau prelucrate de autoriti competente, n
scopul prevenirii, cercetrii, descoperirii sau urmririi
penale a infraciunilor sau al executrii pedepselor.
Prezenta decizie-cadru ar trebui s lase la latitudinea
statelor membre determinarea mai exact, la nivel
naional, a celorlalte obiective considerate ca fiind incom
patibile cu scopul pentru care au fost colectate iniial
datele personale. n general, prelucrarea suplimentar n
scopuri de cercetare istoric, statistice sau de cercetare
tiinific nu ar trebui s fie considerat incompatibil
cu scopul iniial al prelucrrii.
(7) Domeniul de aplicare al prezentei decizii-cadru se
limiteaz la prelucrarea datelor cu caracter personal
transmise sau puse la dispoziie ntre statele membre.
Nu ar trebui s se poat deduce nicio concluzie din
aceast restricie privind competena Uniunii de a
adopta acte privind colectarea i prelucrarea datelor cu
caracter personal la nivel naional sau privind oportu
nitatea unei asemenea aciuni din partea Uniunii n viitor.
(8) Pentru a facilita schimburile de date n cadrul Uniunii,
statele membre urmresc s asigure faptul c standardele
de protecie a datelor realizate n prelucrarea datelor la
nivel naional corespund celor prevzute de prezenta
decizie-cadru. n ceea ce privete prelucrarea datelor la
nivel naional, prezenta decizie-cadru nu mpiedic
statele membre s asigure garanii ale proteciei datelor
cu caracter personal la un nivel mai ridicat dect cel
prevzut prin prezenta decizie-cadru.
(9) Prezenta decizie-cadru nu ar trebui s se aplice n cazul
unor date cu caracter personal pe care un stat membru
le-a obinut n temeiul prezentei decizii-cadru i care
provin din statul membru respectiv.
(10) Armonizarea legislaiilor statelor membre nu ar trebui s
aib ca rezultat scderea nivelului de protecie a datelor
pe care l ofer statele respective, ci ar trebui, dimpotriv,
s urmreasc asigurarea unui nalt nivel de protecie n
cadrul Uniunii.
(11) Este necesar s fie precizate obiectivele de protecie a
datelor n cadrul activitilor poliieneti i judiciare i
s se instituie norme privind legalitatea prelucrrii
datelor cu caracter personal pentru a se asigura c
orice informaie care poate face obiectul unui schimb a
fost prelucrat n mod legal i n conformitate cu prin
cipiile fundamentale privind calitatea datelor. n acelai
timp, activitile legitime ale poliiei, ale autoritilor
vamale, judiciare i ale altor autoriti competente nu
trebuie s fie periclitate n niciun fel.
(12) Principiul exactitii datelor se aplic innd cont de
natura i scopul prelucrrii n cauz. De exemplu, n
special n cursul procedurilor judiciare, datele se
bazeaz pe percepia subiectiv a indivizilor i, n unele
L 350/61
cazuri, sunt imposibil de verificat. Prin urmare, exigena
exactitii nu se refer la exactitatea declaraiei, ci la
faptul c o anumit declaraie a fost fcut.
(13) Arhivarea ntr-un set separat de date ar trebui s fie
permis numai dac datele nu mai sunt necesare i nu
mai sunt utilizate n scopul prevenirii, al cercetrii, al
descoperirii sau al urmririi penale a infraciunilor sau
al executrii pedepselor. Arhivarea ntr-un set separat
de date ar trebui, de asemenea, s fie permis dac
datele arhivate sunt stocate ntr-o baz de date
mpreun cu alte date ntr-un mod care face imposibil
utilizarea lor n continuare n scopul prevenirii, al
cercetrii, al descoperirii sau al urmririi penale a infrac
iunilor sau al executrii pedepselor. Termenul de
arhivare corespunztor ar trebui s depind de
scopurile arhivrii i de interesele legitime ale persoanei
vizate. n cazul arhivrii n scopuri de cercetare istoric,
se poate avea n vedere un termen foarte lung.
(14) De asemenea, datele se pot terge prin distrugerea
suportului de date.
(15) n ceea ce privete datele inexacte, incomplete sau
perimate transmise altui stat membru sau puse la
dispoziia acestora i prelucrate n continuare de auto
riti cvasi-judiciare, i anume de autoriti mputernicite
s emit decizii cu for juridic obligatorie, rectificarea,
tergerea sau blocarea acestora ar trebui s se realizeze n
conformitate cu legislaia naional.
(16) Asigurarea unui nalt nivel de protecie a datelor cu
caracter personal ale persoanelor fizice necesit dispoziii
comune pentru stabilirea legalitii i a calitii datelor
prelucrate de autoritile competente n alte state
membre.
(17) Este oportun s se instituie la nivel european condiiile
care s permit autoritilor competente ale statelor
membre s transmit i s pun la dispoziia autoritilor
i entitilor private din statele membre datele cu caracter
personal primite din celelalte state membre. n
numeroase situaii, este necesar ca datele cu caracter
personal s fie transmise entitilor private de ctre auto
ritile judiciare, poliieneti sau vamale pentru urmrirea
infraciunilor sau pentru prevenirea unei ameninri
imediate i grave a siguranei publice i pentru prevenirea
vtmrii grave a drepturilor persoanelor fizice, de
exemplu, prin emiterea de alerte cu privire la falsificarea
garaniilor financiare ctre bnci i instituii de credit sau,
n cazul criminalitii din domeniul autovehiculelor, prin
comunicarea de date cu caracter personal companiilor de
asigurri pentru a preveni traficul ilicit de autovehicule
furate sau pentru a mbunti condiiile de recuperare a
autovehiculelor furate din strintate. Acest lucru nu este
echivalent cu transferul sarcinilor poliieneti i judiciare
ctre entitile private.
L 350/62 RO Jurnalul Oficial al Uniunii Europene
(18) Normele prezentei decizii-cadru privind transmiterea
datelor cu caracter personal de ctre autoritile
judiciare, poliieneti sau vamale ctre entiti private
nu se aplic n cazul dezvluirii datelor ctre entiti
private (precum avocaii aprrii i victimele) n
contextul procedurilor penale.
(19) Prelucrarea suplimentar a datelor cu caracter personal
primite sau puse la dispoziie de autoritatea competent
a altui stat membru, n special transmiterea sau punerea
la dispoziie ulterioar a acestor date, trebuie s se
supun normelor comune la nivel european.
(20) n cazul unei posibiliti de prelucrare suplimentar a
datelor cu caracter personal, dup ce statul membru de
la care au fost obinute datele i-a dat acordul, fiecare stat
membru ar trebui s poat s determine modalitile
aferente acestui acord, inclusiv, de exemplu, printr-un
acord general pentru anumite categorii de informaii
sau pentru anumite categorii de prelucrare suplimentar.
(21) n cazul unei posibiliti de prelucrare suplimentar a
datelor cu caracter personal n cadrul unor proceduri
administrative, aceste proceduri includ, de asemenea, acti
vitile desfurate de organismele de reglementare i de
control.
(22) Activitile legitime ale poliiei, vmilor, autoritilor
judiciare i ale altor autoriti competente pot necesita
transmiterea de informaii ctre autoritile unor state
tere sau ale unor organisme internaionale, care au
obligaia prevenirii, cercetrii, depistrii sau urmririi
penale a infraciunilor sau a executrii pedepselor.
(23) n cazul transferului de date cu caracter personal de la un
stat membru ctre state tere sau ctre organisme inter
naionale, datele respective ar trebui s beneficieze, n
principiu, de un nivel corespunztor de protecie.
(24) n cazul transferului de date cu caracter personal de la un
stat membru ctre state tere sau ctre organisme inter
naionale, acest transfer ar trebui s poat fi efectuat, n
principiu, numai dup ce statul membru de la care au
fost obinute datele i-a dat acordul n ceea ce privete
transferul. Fiecare stat membru ar trebui s poat s
stabileasc modalitile aferente acestui acord, de
exemplu, printr-un acord general pentru anumite
categorii de informaii sau pentru anumite state tere.
(25) Interesele unei cooperri eficace cu privire la aplicarea
legii impun ca, n cazul n care exist un pericol
imediat la adresa securitii publice a unui stat membru
sau a unui stat ter, astfel nct este imposibil s se obin
la timp acordul prealabil, autoritatea competent ar
trebui s poat transfera datele cu caracter personal
pertinente ctre statul ter interesat, fr acest acord
prealabil. Aceeai situaie s-ar putea aplica n cazul n
care sunt n joc alte interese fundamentale, de importan
similar, ale unui stat membru, ca de exemplu un pericol
30.12.2008
grav i iminent pentru infrastructura critic a unui stat
membru sau o perturbare grav a sistemului financiar al
unui stat membru.
(26) Poate fi necesar informarea persoanelor vizate cu privire
la prelucrarea datelor acestora, n special n cazul n care
a existat o nclcare grav a drepturilor persoanelor
respective ca urmare a msurilor de colectare a datelor
secrete, pentru a se asigura posibilitatea unei protecii
juridice eficiente a persoanelor vizate.
(27) Statul membru ar trebui s asigure faptul c persoana
vizat este informat c datele cu caracter personal ar
putea fi sau sunt colectate, prelucrate sau transmise
unui alt stat membru n scopul prevenirii, cercetrii,
descoperirii sau urmririi penale a infraciunilor sau al
executrii pedepselor. Modalitile aferente dreptului
persoanei vizate de a fi informat, precum i excepiile
de la acesta, ar trebui s fie reglementate de legislaia
naional. Acest lucru poate s se prezinte sub o form
general, de exemplu, prin intermediul legislaiei sau prin
publicarea unei liste cu operaiile de prelucrare.
(28) Pentru a asigura protecia datelor cu caracter personal
fr a periclita interesul cercetrilor penale, este necesar
s se defineasc drepturile persoanei vizate.
(29) Unele state membre au asigurat, n materie penal,
dreptul de acces al persoanei vizate prin intermediul
unui sistem prin care autoritatea naional de supra
veghere, n locul persoanei vizate, are acces la toate
datele cu caracter personal privind persoana vizat fr
nicio restricie i poate rectifica, terge sau actualiza
datele inexacte. ntr-un astfel de caz de acces indirect,
legislaia naional a acestor state membre poate
prevedea c autoritatea naional de supraveghere
trebuie s informeze persoana vizat numai n legtur
cu faptul c au fost efectuate toate verificrile necesare.
Cu toate acestea, statele membre respective prevd, de
asemenea, posibilitatea unui acces direct al persoanelor
vizate, n anumite situaii, precum accesul la cazierele
judiciare, pentru a se obine copii ale propriilor caziere
judiciare sau documente referitoare la propriile audieri
efectuate de ctre serviciile de poliie.
(30) Este oportun instituirea de norme comune privind
confidenialitatea i securitatea prelucrrii, rspunderea
juridic i sanciunile pentru utilizarea nelegal de ctre
autoritile competente, precum i cile de atac de care
dispune persoana vizat. Cu toate acestea, natura
normelor de responsabilitate delictual i a sanciunilor
aplicabile n cazul nclcrii dispoziiilor interne privind
protecia datelor rmne s fie stabilit de fiecare stat
membru.
(31) Prezenta decizie-cadru permite punerea n aplicare a prin
cipiilor prevzute, cu respectarea principiului accesului
publicului la documentele oficiale.
30.12.2008 RO Jurnalul Oficial al Uniunii Europene
(32) n cazul n care se impune protecia datelor cu caracter
personal n ceea ce privete prelucrarea, care, din cauza
amplorii sau a tipului acesteia, prezint riscuri specifice
pentru drepturile i libertile fundamentale, ca de
exemplu prelucrarea prin intermediul noilor tehnologii,
mecanisme sau proceduri, este important s se
garanteze c autoritile naionale de supraveghere
competente sunt consultate nainte de crearea unui
sistem de eviden destinat prelucrrii acestor date.
(33) Instituirea n statele membre a unor autoriti de supra
veghere care s-i exercite atribuiile n deplin inde
penden este un element esenial al proteciei datelor
cu caracter personal prelucrate n cadrul cooperrii poli
ieneti i judiciare ntre statele membre.
(34) Autoritile de supraveghere deja instituite n statele
membre n temeiul Directivei 95/46/CE ar trebui, de
asemenea, s poat prelua rspunderea pentru sarcinile
care urmeaz a fi ndeplinite de ctre autoritile
naionale de supraveghere instituite prin prezenta
decizie-cadru.
(35) Autoritile de supraveghere respective ar trebui s
dispun de mijloacele necesare pentru a-i ndeplini atri
buiile, inclusiv de competene de cercetare i de inter
venie, n special n cazul reclamaiilor din partea
persoanelor fizice, precum i competena de a aciona
n justiie. Autoritile de supraveghere menionate ar
trebui s ajute la asigurarea transparenei prelucrrii n
statele membre de a cror jurisdicie aparin. Cu toate
acestea, competenele acestora nu ar trebui s afecteze
normele specifice stabilite pentru procedurile penale sau
independena justiiei.
(36) Articolul 47 din Tratatul privind Uniunea European
prevede c niciuna dintre dispoziiile sale nu aduce
atingere tratatelor de instituire a Comunitilor
Europene sau tratatele i actele ulterioare de modificare
sau completare a acestora. n consecin, prezenta
decizie-cadru nu afecteaz protecia datelor cu caracter
personal prevzut n dreptul comunitar, n special
astfel cum a fost reglementat prin Directiva 95/46/CE,
Regulamentul (CE) nr. 45/2001 al Parlamentului
European i al Consiliului din 18 decembrie 2000
privind protecia persoanelor fizice cu privire la prelu
crarea datelor cu caracter personal de ctre instituiile i
organele comunitare i privind libera circulaie a acestor
date (1) i Directiva 2002/58/CE a Parlamentului
European i a Consiliului din 12 iulie 2002 privind
prelucrarea datelor cu caracter personal i protejarea
confidenialitii n sectorul comunicaiilor electronice
(Directiva privind confidenialitatea i comunicaiile elec
tronice) (2).
(37) Prezenta decizie-cadru nu aduce atingere normelor
privind accesul ilicit la date, instituite de Decizia-cadru
2005/222/JAI a Consiliului din 24 februarie 2005
privind atacurile mpotriva sistemelor informatice (3).
(1) JO L 8, 12.1.2001, p. 1.
(2) JO L 201, 31.7.2002, p. 37.
(3) JO L 69, 16.3.2005, p. 67.
L 350/63
(38) Prezenta decizie-cadru nu aduce atingere obligaiilor i
angajamentelor care revin statelor membre sau Uniunii
n temeiul unor acorduri bilaterale i/sau multilaterale cu
state tere. Acordurile viitoare ar trebui s respecte
normele privind schimburile cu statele tere.
(39) Mai multe acte adoptate n temeiul titlului VI din Tratatul
privind Uniunea European includ dispoziii specifice
privind protecia datelor cu caracter personal comunicate
sau, n alte cazuri, prelucrate n conformitate cu aceste
acte. n anumite cazuri, aceste dispoziii reprezint un set
complet i coerent de norme care trateaz toate aspectele
relevante privind protecia datelor cu caracter personal
(principiul calitii datelor, normele referitoarea la secu
ritatea datelor, reglementarea drepturilor i garaniilor
persoanelor vizate, organizarea supravegherii i a
rspunderii) i reglementeaz aceste chestiuni mai
amnunit dect prezenta decizie-cadru. Setul relevant
de dispoziii privind protecia datelor cu caracter
personal din aceste acte, n special acelea care regle
menteaz funcionarea Europol, a Eurojust, a Sistemului
de Informaii Schengen (SIS) i a Sistemului de Informaii
al Vmilor (CIS), ca i acelea care introduc accesul direct
pentru autoritile statelor membre la anumite sisteme de
date ale altor state membre, nu ar trebui s aduc
atingere prezentei decizii-cadru. De asemenea, acest
lucru este valabil i n ceea ce privete dispoziiile
privind datele cu caracter personal care reglementeaz
transferul automat ntre statele membre al profilurilor
ADN, al datelor dactiloscopice i al datelor naionale
privind nmatricularea vehiculelor, n conformitate cu
Decizia 2008/615/JAI a Consiliului din 23 iunie 2008
privind intensificarea cooperrii transfrontaliere, n
special n domeniul combaterii terorismului i al crimi
nalitii transfrontaliere (4).
(40) n celelalte cazuri, domeniul de aplicare al dispoziiilor
privind protecia datelor cu caracter personal din acte,
adoptate n temeiul titlului VI din Tratatul privind
Uniunea European, este mai restrns. Aceste dispoziii
stabilesc deseori condiii specifice privind scopurile n
care pot fi utilizate de ctre statul membru informaiile
care conin datele cu caracter personal pe care acesta le
primete de la un alt stat membru, dar fac trimitere, n
ceea ce privete celelalte aspecte ale proteciei datelor cu
caracter personal, la Convenia Consiliului Europei pentru
protejarea persoanelor fa de prelucrarea automatizat a
datelor cu caracter personal din 28 ianuarie 1981 sau la
legislaia intern. n msura n care dispoziiile acelor acte
care impun condiii statelor membre destinatare privind
utilizarea datelor cu caracter personal sau transferul
acestora mai departe sunt mai restrictive dect cele
coninute n dispoziiile corespunztoare ale prezentei
decizii-cadru, vechile dispoziii ar trebui s rmn
neschimbate. Cu toate acestea, n ceea ce privete toate
celelalte aspecte, ar trebui s se aplice normele stabilite n
prezenta decizie-cadru.
(41) Prezenta decizie-cadru nu aduce atingere Conveniei
Consiliului Europei pentru protecia persoanelor fizice
cu privire la prelucrarea automatizat a datelor cu
caracter personal, Protocolul adiional la aceast
Convenie din 8 noiembrie 2001 sau conveniile Consi
liului Europei privind cooperarea juridic n materie
penal.
(4) JO L 210, 6.8.2008, p. 1.
L 350/64 RO Jurnalul Oficial al Uniunii Europene
(42) ntruct obiectivele prezentei decizii-cadru, respectiv
stabilirea unor norme comune pentru protecia datelor
cu caracter personal prelucrate n cadrul cooperrii poli
ieneti i judiciare n materie penal, nu pot fi suficient
realizate de statele membre acionnd unilateral i, prin
urmare, datorit dimensiunii i efectelor msurii
menionate, pot fi mai bine realizate la nivelul Uniunii,
Uniunea poate adopta msuri, n conformitate cu prin
cipiul subsidiaritii, astfel cum este instituit la articolul 5
din Tratatul de instituire a Comunitii Europene i
menionat la articolul 2 din Tratatul privind Uniunea
European. n conformitate cu principiul proporiona
litii, astfel cum a fost enunat, de asemenea, la
articolul 5 din Tratatul de instituire a Comunitii
Europene, prezenta decizie-cadru nu depete ceea ce
este necesar pentru a atinge obiectivele menionate.
(43) Regatul Unit particip la prezenta decizie-cadru, n
conformitate cu articolul 5 din Protocolul de integrare
a acquis-ului Schengen n cadrul Uniunii Europene anexat
la Tratatul privind Uniunea European i la Tratatul de
instituire a Comunitii Europene i cu articolul 8
alineatul (2) din Decizia 2000/365/CE a Consiliului din
29 mai 2000 privind cererea Regatului Unit al Marii
Britanii i Irlandei de Nord de a participa la anumite
dispoziii ale acquis-ului Schengen (1).
(44) Irlanda particip la prezenta decizie-cadru, n confor
mitate cu articolul 5 din Protocolul de integrare a
acquis-ului Schengen n cadrul Uniunii Europene anexat
la Tratatul privind Uniunea European i la Tratatul de
instituire a Comunitii Europene i cu articolul 6
alineatul (2) din Decizia 2002/192/CE a Consiliului din
28 februarie 2002 privind cererea Irlandei de a participa
la anumite dispoziii ale acquis-ului Schengen (2).
(45) n ceea ce privete Islanda i Norvegia, prezenta decizie-
cadru reprezint o dezvoltare a dispoziiilor acquis-ului
Schengen n nelesul Acordului ncheiat de Consiliul
Uniunii Europene i Republica Islanda i Regatul
Norvegiei privind asocierea acestor dou state la trans
punerea, punerea n aplicare i dezvoltarea acquis-ului
Schengen (3), circumscrise sferei menionate la
articolul 1 punctele H i I din Decizia 1999/437/CE a
Consiliului (4) privind anumite modaliti de aplicare a
acordului menionat.
(46) n ceea ce privete Elveia, prezenta decizie-cadru
reprezint o dezvoltare a dispoziiilor acquis-ului
Schengen n nelesul Acordului ncheiat ntre Uniunea
European, Comunitatea European i Confederaia
Elveian privind asocierea Confederaiei Elveiene la
transpunerea, punerea n aplicare i dezvoltarea acquis-
ului Schengen (5), circumscrise sferei menionate la
(1) JO L 131, 1.6.2000, p. 43.
(2) JO L 64, 7.3.2002, p. 20.
(3) JO L 176, 10.7.1999, p. 36.
(4) JO L 176, 10.7.1999, p. 31.
(5) JO L 53, 27.2.2008, p. 52.
30.12.2008
articolul 1 punctele H i I din Decizia 1999/437/CE
coroborat cu articolul 3 din Decizia 2008/149/JAI a
Consiliului (6) privind ncheierea, n numele Uniunii
Europene, a acordului respectiv.
(47) n ceea ce privete Liechtenstein, prezenta decizie-cadru
reprezint o dezvoltare a dispoziiilor acquis-ului
Schengen n nelesul Protocolului semnat ntre Uniunea
European, Comunitatea European, Confederaia
Elveian i Principatul Liechtenstein privind aderarea
Principatului Liechtenstein la Acordul dintre Uniunea
European, Comunitatea European i Confederaia
Elveian privind asocierea Confederaiei Elveiene la
transpunerea, punerea n aplicare i dezvoltarea acquis-
ului Schengen, circumscrise sferei menionate la
articolul 1 punctele H i I din Decizia 1999/437/CE,
coroborat cu articolul 3 din Decizia 2008/262/JAI a
Consiliului (7) privind semnarea, n numele Uniunii
Europene, a protocolului respectiv.
(48) Prezenta decizie-cadru respect drepturile fundamentale i
se conformeaz principiilor recunoscute n special de
Carta drepturilor fundamentale a Uniunii Europene (8).
Prezenta decizie-cadru urmrete s asigure respectarea
deplin a drepturilor la via privat i la protecia
datelor cu caracter personal reflectate n articolele 7 i
8 din Cart,
ADOPT PREZENTA DECIZIE-CADRU:
Articolul 1
Obiectivul i domeniul de aplicare
(1) Obiectivul prezentei decizii-cadru l constituie asigurarea
unui nalt nivel de protecie a drepturilor i libertilor funda
mentale ale persoanelor fizice i n special a dreptului acestora
la o via privat, n ceea ce privete prelucrarea datelor cu
caracter personal n cadrul cooperrii poliieneti i judiciare
n materie penal, prevzute la titlul VI din Tratatul privind
Uniunea European, cu garantarea, n acelai timp, a unui
nalt nivel de securitate public.
(2) n conformitate cu prezenta decizie-cadru, statele membre
protejeaz drepturile i libertile fundamentale ale persoanelor
fizice, i n special dreptul acestora la o via privat n cazul n
care, n scopul prevenirii, al cercetrii, al descoperirii sau al
urmrii penale a infraciunilor sau al executrii pedepselor,
datele cu caracter personal:
(a) sunt sau au fost transmise sau puse la dispoziie ntre statele
membre;
(6) JO L 53, 27.2.2008, p. 50.
(7) JO L 83, 26.3.2008, p. 5.
(8) JO C 303, 14.12.2007, p. 1.
30.12.2008 RO Jurnalul Oficial al Uniunii Europene
(b) sunt sau au fost transmise sau puse la dispoziia autoritilor
sau a sistemelor informatice instituite n temeiul titlului VI
din Tratatul privind Uniunea European, de ctre statele
membre; sau
(c) sunt sau au fost transmise sau puse la dispoziia autoritilor
competente din statele membre de ctre autoritile sau a
sistemelor informatice instituite n baza Tratatului privind
Uniunea European sau a Tratatului de instituire a Comu
nitii Europene.
(3) Prezenta decizie-cadru se aplic n cazul prelucrrii, prin
mijloace integral sau parial automatizate, a datelor cu caracter
personal, precum n cazul prelucrrii cu alte mijloace dect cele
automatizate a datelor cu caracter personal care fac parte
dintr-un sistem de eviden sau sunt destinate s fac parte
dintr-un sistem de eviden.
(4) Prezenta decizie-cadru nu aduce atingere intereselor
naionale fundamentale n materie de securitate i nici activi
tilor specifice ale serviciilor de informaii n domeniul sigu
ranei naionale.
(5) Prezenta decizie-cadru nu mpiedic statele membre s
asigure, pentru protecia datelor cu caracter personal colectate
sau prelucrate la nivel naional, msuri de garantare la un nivel
mai ridicat dect cel prevzut prin prezenta decizie-cadru.
Articolul 2
Definiii
n nelesul prezentei decizii-cadru:
(a) date cu caracter personal nseamn orice informaii privind
o persoan fizic identificat sau identificabil (persoana
vizat); o persoan identificabil este o persoan care
poate fi identificat, direct sau indirect, n special prin
referire la un cod numeric personal sau la unul sau mai
multe elemente specifice, proprii identitii sale fizice, fizio
logice, psihice, economice, culturale sau sociale;
(b) prelucrarea datelor cu caracter personal i prelucrare
nseamn orice operaiune sau set de operaiuni efectuate
asupra datelor cu caracter personal, cu sau fr utilizarea
de mijloace automatizate, cum ar fi colectarea, nregistrarea,
organizarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, dezvluirea prin transmitere,
diseminare sau prin punerea la dispoziie n orice alt mod,
alturarea ori combinarea, blocarea, tergerea sau
distrugerea;
(c) blocare nseamn marcarea unor date cu caracter personal
stocate n scopul limitrii prelucrrii pe viitor;
(d) sistem de eviden a datelor cu caracter personal i sistem
de eviden nseamn orice serie structurat de date cu
caracter personal accesibile conform unor criterii specifice,
fie ele centralizate, descentralizate sau repartizate dup
criterii funcionale sau geografice;
(e) operator de prelucrare nseamn orice organism care
prelucreaz date cu caracter personal n numele inspec
torului;
L 350/65
(f) destinatar nseamn orice organism cruia i sunt comu
nicate date;
(g) consimmntul persoanei vizate nseamn orice mani
festare de voin, liber, specific i informat prin care
persoana vizat accept s fie prelucrate datele cu caracter
personal care o privesc;
(h) autoriti competente nseamn ageniile sau organismele
instituite n temeiul unor acte juridice adoptate de Consiliu,
n conformitate cu titlul VI din Tratatul privind Uniunea
European, precum i autoritile poliieneti, vamale,
judiciare i alte autoriti competente din statele membre
care sunt autorizate n cadrul legislaiei naionale s
prelucreze date cu caracter personal, n temeiul prezentei
decizii-cadru;
(i) inspector nseamn persoana fizic sau juridic, autoritatea
public, agenia sau oricare alt organism care individual sau
n comun cu alte organisme stabilete scopurile i modali
tile prelucrrii datelor cu caracter personal;
(j) atribuirea de referine nseamn marcarea datelor cu
caracter personal stocate, fr a avea ca scop limitarea prelu
crrii lor ulterioare;
(k) prin transformarea n date anonime se nelege modificarea
datelor cu caracter personal, astfel nct detaliile privind
circumstanele personale sau materiale s nu mai permit
atribuirea acestora unei persoane fizice identificate sau iden
tificabile sau s permit atribuirea doar n condiiile unei
investiii disproporionate de timp, costuri i for de
munc.
Articolul 3
Principii de legalitate, proporionalitate i scop
(1) Datele cu caracter personal pot fi colectate de autoritile
competente numai n scopuri specifice, explicite i legitime n
cadrul sarcinilor lor i pot fi prelucrate doar n scopurile pentru
care au fost colectate. Prelucrarea datelor trebuie s fie legal i
adecvat, relevant i s nu fie excesiv n raport cu scopurile
pentru care au fost colectate.
(2) Prelucrarea suplimentar pentru un alt scop este permis
n msura n care:
(a) este compatibil cu scopul n care au fost colectate datele;
(b) autoritile competente sunt autorizate s prelucreze astfel
de date n acest alt scop, n conformitate cu dispoziiile
legale aplicabile; i
(c) prelucrarea este necesar i proporional n raport cu acest
alt scop.
Autoritile competente pot, de asemenea, s prelucreze supli
mentar datele cu caracter personal transmise, n scopuri de
cercetare istoric, statistice sau de cercetare tiinific, sub
rezerva furnizrii de ctre statele membre a unor garanii cores
punztoare, cum ar fi cele privind transformarea n date
anonime.
L 350/66 RO Jurnalul Oficial al Uniunii Europene
Articolul 4
Rectificarea, tergerea i blocarea
(1) Datele cu caracter personal se rectific dac nu sunt
exacte i, n cazul n care este posibil i necesar, se completeaz
i se actualizeaz.
(2) Datele cu caracter personal se terg sau se trec n
anonimat atunci cnd nu mai sunt necesare n scopurile n
care au fost colectate n mod legal sau sunt, n mod legal,
prelucrate suplimentar. Prezenta dispoziie nu afecteaz
arhivarea acelor date ntr-un set separat de date pentru o
perioad de timp corespunztoare, n conformitate cu dreptul
intern.
(3) n loc s fie terse, datele cu caracter personal se
blocheaz atunci cnd exist motive ntemeiate s se considere
c tergerea lor ar putea afecta interesele legitime ale persoanei
vizate. Datele blocate se prelucreaz doar n scopul care a
mpiedicat tergerea lor.
(4) n cazul n care datele cu caracter personal sunt coninute
ntr-o hotrre judectoreasc sau ntr-un cazier judiciar referitor
la emiterea unei hotrri judectoreti, rectificarea, tergerea sau
blocarea sunt efectuate n conformitate cu reglementrile
naionale privind procedurile judiciare.
Articolul 5
Stabilirea de termene pentru tergere i revizuire
Se stabilesc termene corespunztoare pentru tergerea datelor cu
caracter personal sau pentru o revizuire periodic a necesitii
de stocare a datelor. Respectarea acestor termene este asigurat
prin instituirea unor msuri procedurale.
Articolul 6
Prelucrarea unor categorii speciale de date
Prelucrarea datelor cu caracter personal care dezvluie originea
rasial sau etnic, opiniile politice, confesiunea religioas sau
convingerile filozofice sau apartenena la sindicate i prelucrarea
datelor privind sntatea sau viaa sexual este permis numai n
cazul n care este strict necesar i cnd legislaia naional
prevede garanii corespunztoare.
Articolul 7
Deciziile individuale bazate pe prelucrarea automatizat
Deciziile care produc un efect juridic advers asupra persoanei
vizate sau care o afecteaz n mod semnificativ i care sunt
bazate exclusiv pe prelucrarea automatizat a datelor n
scopul evalurii anumitor aspecte cu caracter personal refe
ritoare la persoana vizat sunt permise numai dac sunt
permise de legislaia care stabilete i msuri pentru protecia
persoanei vizate.
Articolul 8
Verificarea calitii datelor transmise sau puse la dispoziie
(1) Autoritile competente iau toate msurile rezonabile
pentru a se asigura c datele cu caracter personal care sunt
inexacte, incomplete sau perimate nu sunt transmise sau puse
30.12.2008
la dispoziie. n acest scop, autoritile competente verific, n
msura n care este posibil, calitatea datelor cu caracter personal
nainte ca acestea s fie transmise sau puse la dispoziie. n
msura n care acest lucru este posibil, n cadrul tuturor trans
miterilor de date, se adaug informaii disponibile care s
permit statului membru destinatar s evalueze gradul de exac
titate, caracterul integral, gradul de actualitate i fiabilitate. n
cazul transmiterii de date cu caracter personal care nu au fost
solicitate, autoritatea destinatar verific de ndat dac datele
respective sunt necesare n scopul n care au fost transmise.
(2) n cazul n care se constat transmiterea unor date
inexacte sau transmiterea unor date n mod ilegal, acest lucru
trebuie comunicat de ndat destinatarului. Datele trebuie s fie
rectificate, terse sau blocate fr ntrziere n conformitate cu
articolul 4.
Articolul 9
Termenele
(1) Dup transmiterea sau la punerea la dispoziie a datelor,
autoritatea care transmite datele poate s indice termenele
pentru reinerea datelor, n conformitate cu legislaia naional
i cu articolele 4 i 5, iar dup expirarea termenelor respective,
destinatarul are obligaia de a terge sau de a bloca datele sau s
verifice dac acestea mai sunt sau nu necesare. Aceast obligaie
nu se aplic dac, la expirarea acestor termene, sunt necesare
pentru o cercetare aflat n curs, urmrirea penal a infrac
iunilor sau executarea pedepselor.
(2) n cazul n care autoritatea care transmite datele nu a
indicat un termen n conformitate cu alineatul (1), se aplic
termenele menionate la articolele 4 i 5 pentru reinerea
datelor furnizate n conformitate cu legislaia naional a
statului membru destinatar.
Articolul 10
Luarea n eviden i documentarea
(1) Orice transmitere de date cu caracter personal se ia n
eviden sau se documenteaz pentru verificarea legalitii prelu
crrii datelor, pentru monitorizare proprie i pentru asigurarea
integritii i a securitii corespunztoare a datelor.
(2) Luarea n eviden sau documentarea prevzute la
alineatul (1) se comunic la cerere autoritii competente de
supraveghere pentru controlul proteciei datelor. Autoritatea
competent de supraveghere utilizeaz informaiile respective
numai pentru controlul proteciei datelor i pentru asigurarea
prelucrrii corespunztoare a datelor, precum i integritatea i
securitatea datelor.
Articolul 11
Prelucrarea datelor cu caracter personal primite sau puse la
dispoziie de un alt stat membru
Datele cu caracter personal primite de la autoritatea competent
a altui stat membru n conformitate cu cerinele articolului 3
alineatul (2) sau puse la dispoziie de ctre aceasta pot fi
prelucrate suplimentar numai n urmtoarele scopuri, altele
dect cele pentru care au fost transmise sau puse la dispoziie:
30.12.2008 RO Jurnalul Oficial al Uniunii Europene
(a) prevenirea, cercetarea, descoperirea sau urmrirea penal a
infraciunilor sau executarea pedepselor, altele dect cele
pentru care au fost transmise sau puse la dispoziie;
(b) alte proceduri judiciare sau administrative direct legate de
prevenirea, cercetarea, descoperirea i urmrirea penal a
infraciunilor sau executarea pedepselor;
(c) prevenirea unui pericol iminent i grav la adresa securitii
publice; sau
(d) orice alt scop doar cu consimmntul prealabil al statului
membru care transmite sau cu consimmntul persoanei
vizate, n conformitate cu legislaia naional.
Autoritile competente pot, de asemenea, s prelucreze supli
mentar datele cu caracter personal transmise, n scopuri de
cercetare istoric, statistice sau de cercetare tiinific, sub
rezerva furnizrii de ctre statele membre a unor garanii cores
punztoare, cum ar fi, de exemplu, cele privind transformarea n
date anonime.
Articolul 12
Respectarea restriciilor naionale privind prelucrarea
(1) Atunci cnd, n conformitate cu legislaia statului
membru care efectueaz transmiterea datelor, se aplic, n
anumite circumstane, restricii specifice privind prelucrarea
schimburilor de date ntre autoritile competente din statul
membru respectiv, autoritatea care efectueaz transmiterea
informeaz destinatarul n privina acestor restricii. Destinatarul
se asigur c aceste restricii privind prelucrarea sunt respectate.
(2) Atunci cnd aplic alineatul (1), statele membre nu aplic
restricii n ceea ce privete transmiterea de date ctre alte state
membre sau ctre ageniile sau organismele instituite n confor
mitate cu titlul VI din Tratatul privind Uniunea European, altele
dect cele aplicabile transmiterii similare de date la nivel
naional.
Articolul 13
Transferul ctre autoriti competente din state tere sau
ctre organisme internaionale
(1) Statele membre dispun ca datele cu caracter personal
transmise sau puse la dispoziie de autoritile competente ale
unui alt stat membru s poat fi transferate ctre state tere sau
organisme internaionale numai dac:
(a) se impune pentru prevenirea, cercetarea, descoperirea sau
urmrirea penal a infraciunilor sau executarea pedepselor;
(b) autoritii destinatare din statul ter sau organismului inter
naional destinatar i revine rspunderea pentru prevenirea,
L 350/67
cercetarea, descoperirea i urmrirea penal a infraciunilor
sau pentru executarea pedepselor;
(c) statul membru de la care au fost obinute datele i-a dat
acordul de a le transfera n conformitate cu legislaia
naional; i
(d) statul ter sau organismul internaional n cauz asigur un
nivel corespunztor de protecie pentru prelucrarea de date
urmrit.
(2) Transferul fr acordul prealabil n conformitate cu
alineatul (1) este permis numai dac transferul de date este
esenial pentru prevenirea unui pericol iminent i grav la
adresa securitii publice a unui stat membru sau a unui stat
ter sau a intereselor fundamentale ale unui stat membru, iar
consimmntul prealabil nu poate fi dat n timp util. Auto
ritatea responsabil de acordarea consimmntului este
informat fr ntrziere.
(3) Prin derogare de la alineatul (1) litera (d), datele cu
caracter personal se pot transfera n cazul n care:
(a) legislaia naional a statului membru care transfer datele
prevede acest lucru, avnd n vedere:
(i) interesele legitime specifice ale persoanei vizate; sau
(ii) interesele legitime prioritare, n special interese publice
importante; sau
(b) statul ter destinatar sau organismul internaional destinatar
furnizeaz garanii considerate a fi corespunztoare de ctre
statul membru interesat, n conformitate cu legislaia
naional a acestuia.
(4) Caracterul adecvat al nivelului de protecie menionat la
alineatul (1) litera (d), este evaluat n lumina tuturor factorilor
prezeni ntr-o operaiune sau ntr-un ansamblu de operaiuni
de transfer de date. Se acord o atenie deosebit tipului de date,
scopului i duratei prelucrrii sau a prelucrrilor propuse,
statului de origine i statului sau organismului internaional de
destinaie final a datelor, normelor de drept, att generale, ct
i sectoriale aplicabile statului ter sau organismului interna
ional n cauz, precum i normelor profesionale i msurilor
de securitate aplicabile.
Articolul 14
Transmiterea ctre entitile private din statele membre
(1) Statele membre dispun ca datele cu caracter personal
primite de la autoritatea competent dintr-un alt stat membru
sau puse la dispoziie de ctre aceasta pot fi transmise entitilor
private numai dac:
L 350/68 RO Jurnalul Oficial al Uniunii Europene
(a) autoritatea competent din statul membru din care datele au
fost obinute i-a dat acordul pentru efectuarea transmiterii
n conformitate cu legislaia naional;
(b) niciun interes specific legitim al persoanei vizate nu
mpiedic transmiterea; i
(c) n cazuri specifice, transferul este esenial pentru autoritatea
competent care transmite date unei entiti private pentru:
(i) ndeplinirea unei sarcini n mod legal atribuite acesteia;
(ii) prevenirea, cercetarea, descoperirea sau urmrirea
penal a infraciunilor sau executarea pedepselor;
(iii) prevenirea unui pericol iminent i grav la adresa secu
ritii publice; sau
(iv) prevenirea unei vtmri grave a drepturilor persoanei.
(2) Autoritatea competent care transmite datele unei entiti
private o informeaz pe aceasta din urm cu privire la scopurile
pentru care, n mod exclusiv, pot fi utilizate datele.
Articolul 15
Informaii la cererea autoritii competente
La cerere, destinatarul informeaz autoritatea competent care a
transmis sau a pus la dispoziie date cu caracter personal asupra
prelucrrii lor.
Articolul 16
Informaii pentru persoana vizat
(1) Statele membre se asigur c persoana vizat este
informat n legtur cu colectarea sau prelucrarea datelor cu
caracter personal de ctre autoritile competente, n confor
mitate cu legislaia naional.
(2) Atunci cnd au fost transmise sau puse la dispoziie date
cu caracter personal ntre state membre, fiecare stat membru
poate, n conformitate cu prevederile legislaiei naionale
menionate la alineatul (1), s cear celuilalt stat membru s
nu informeze persoana vizat. n acest caz, statul respectiv nu
informeaz persoana vizat fr consimmntul prealabil al
celuilalt stat.
Articolul 17
Dreptul de acces
(1) Fiecare persoan vizat are dreptul, la cerere i la intervale
rezonabile, s primeasc fr constrngere i fr ntrzieri sau iar aceasta trebuie s fie informat n legtur cu posibilitile
cheltuieli excesive:
(a) cel puin o confirmare din partea inspectorului sau a auto
ritilor naionale de supraveghere privind transmiterea sau
punerea la dispoziie a datelor care o privesc, sau lipsa
acestor aciuni, i informaii cu privire la destinatarii sau
30.12.2008
categoriile de destinatari crora li s-au dezvluit datele i
comunicarea datelor care fac obiectul prelucrrii; sau
(b) cel puin o confirmare din partea autoritii naionale de
supraveghere c toate verificrile necesare au fost efectuate.
(2) Statele membre pot adopta msuri legislative care s
restricioneze accesul la informaii n conformitate cu alineatul
(1) litera (a), n cazul n care o astfel de restricie, cu respectarea
intereselor legitime ale persoanei vizate, reprezint o msur
necesar i proporional:
(a) pentru a evita obstrucionarea anchetelor, cercetrilor sau
procedurilor oficiale sau legale;
(b) pentru a evita compromiterea prevenirii, a descoperirii, a
cercetrii i a urmririi penale a infraciunilor sau a
executrii pedepselor;
(c) pentru a proteja securitatea public;
(d) pentru a proteja sigurana naional;
(e) pentru a proteja persoana vizat sau drepturile i a libertile
celorlali.
(3) Orice refuz sau restricionare a accesului se comunic n
scris persoanei vizate. n acelai timp, trebuie comunicate
persoanei vizate i motivele de fapt sau de drept care au stat
la baza deciziei. n cazul existenei unui motiv n temeiul
alineatului (2) literele (a)-(e), comunicarea menionat poate
lipsi. n toate aceste cazuri, persoana vizat este informat c
poate nainta o plngere pe lng autoritatea naional de supra
veghere competent, pe lng o autoritate judiciar sau unei
curi.
Articolul 18
Dreptul la rectificare, tergere sau blocare
(1) Persoana vizat are dreptul de a pretinde inspectorului s
i ndeplineasc obligaiile n conformitate cu articolele 4, 8 i
9 cu privire la rectificarea, tergerea sau blocarea de date cu
caracter personal prevzute de prezenta decizie-cadru. Statele
membre pot s stabileasc dac persoana vizat poate exercita
acest drept n mod direct mpotriva inspectorului sau prin inter
mediul autoritii naionale de supraveghere competente. n
cazul n care inspectorul refuz rectificarea, tergerea sau
blocarea, refuzul trebuie comunicat n scris persoanei vizate,
prevzute de legislaia naional pentru depunerea unei plngeri
sau exercitarea unei ci de atac. Dup examinarea plngerii sau a
cii de atac, persoana vizat este informat dac inspectorul a
acionat sau nu corespunztor. Statele membre pot dispune, de
asemenea, ca persoana vizat s fie informat de ctre auto
ritatea naional de supraveghere competent n legtur cu
efectuarea revizuirii.
30.12.2008 RO Jurnalul Oficial al Uniunii Europene
(2) n cazul n care exactitatea unor date cu caracter personal
este contestat de persoana vizat, iar exactitatea sau inexac
titatea datelor respective nu se poate stabili cu certitudine,
acestora li se pot atribui referine.
Articolul 19
Dreptul la compensaie
(1) Orice persoan care a suferit prejudicii ca urmare a unei
prelucrri nelegale sau a oricrei aciuni incompatibile cu dispo
ziiile legislaiei naionale adoptate n temeiul prezentei decizii-
cadru are dreptul s obin despgubiri pentru prejudiciul suferit
de la inspector sau de la o alt autoritate competent conform
legislaiei naionale.
(2) n cazul n care o autoritate competent dintr-un stat
membru a transmis date cu caracter personal, destinatarul nu
poate invoca inexactitatea datelor furnizate drept motiv pentru a
se sustrage rspunderii care i revine fa de partea vtmat n
conformitate cu legislaia naional. n cazul n care destinatarul
pltete despgubiri pentru prejudiciile create ca urmare a
utilizrii unor date inexacte furnizate, autoritatea competent
care a transmis datele ramburseaz n totalitate destinatarului
suma pltit ca despgubiri, innd cont de orice eroare impu
tabil destinatarului.
Articolul 20
Cile de atac
Fr a aduce atingere niciunei ci de atac administrative care
poate fi prevzut anterior sesizrii autoritii judiciare, persoana
vizat are dreptul la exercitarea unei ci de atac n cazul oricrei
nclcri a drepturilor care i sunt garantate prin legislaia
naional aplicabil.
Articolul 21
Confidenialitatea prelucrrii
(1) Orice persoan care are acces la datele cu caracter
personal aparinnd domeniului prezentei decizii-cadru poate
prelucra datele respective numai dac face parte sau dac
acioneaz potrivit dispoziiilor unei autoriti competente, cu
excepia cazului n care exist dispoziii legale n acest sens.
(2) Persoanele crora li se solicit s lucreze pentru o auto
ritate competent a unui stat membru au obligaia de a respecta
toate normele pentru protecia datelor care se aplic autoritii
competente n cauz.
Articolul 22
Securitatea prelucrrilor
(1) Statele membre dispun aplicarea obligatorie de ctre auto
ritile competente a unor msuri tehnice i organizatorice
adecvate pentru protecia datelor cu caracter personal
mpotriva distrugerii accidentale sau nelegale, pierderii acci
dentale, modificrii, dezvluirii sau accesului neautorizat, n
L 350/69
special n cazul n care prelucrarea presupune transmiterea
datelor ntr-o reea sau punerea la dispoziie prin acordarea
accesului direct automat, precum i mpotriva oricrei alte
forme de prelucrare nelegal, avnd n vedere riscurile speciale
pe care le prezint prelucrarea datelor pentru care este necesar
protecia, precum i natura acestora. Avnd n vedere cele mai
noi tehnici din sector i costurile punerii lor n aplicare, aceste
msuri trebuie s asigure un nivel de securitate corespunztor
riscurilor pe care le prezint prelucrarea datelor pentru care este
necesar protecia, precum i natura acestor date.
(2) n ceea ce privete prelucrarea automatizat a datelor,
fiecare stat membru pune n aplicare msuri destinate:
(a) s mpiedice accesul persoanelor neautorizate la echipa
mentele de prelucrare a datelor cu caracter personal
(controlul accesului la echipamente);
(b) s mpiedice citirea, copierea, modificarea sau eliminarea
suportului de date n mod neautorizat (controlul suportului
de date);
(c) s mpiedice introducerea neautorizat de date i
inspectarea, modificarea sau tergerea neautorizat a
datelor cu caracter personal (controlul stocrii);
(d) s mpiedice utilizarea sistemelor de prelucrare automatizat
a datelor de ctre persoane neautorizate cu ajutorul echipa
mentelor de comunicare a datelor (controlul asupra utiliza
torilor);
(e) s asigure c persoanele autorizate care utilizeaz un sistem
de prelucrare automatizat a datelor au acces numai la
datele pentru care au autorizare (controlul accesului la date);
(f) s asigure posibilitatea verificrii sau stabilirii identitii
autoritilor crora li s-au transmis sau li se pot transmite
sau li se pun la dispoziie date cu caracter personal cu
ajutorul echipamentelor de comunicaii pentru date
(controlul asupra comunicaiilor);
(g) s asigure posibilitatea verificrii sau stabilirii ulterioare a
datelor cu caracter personal care au fost introduse n
sisteme automatizate de prelucrarea datelor, precum i a
datei i persoanei care a introdus datele (controlul asupra
introducerii datelor);
(h) s mpiedice citirea, copierea, modificarea sau tergerea
neautorizate de date cu caracter personal n timpul trans
ferurilor de date cu caracter personal sau n timpul trans
portului suporturilor de date (control asupra transportului);
(i) s asigure posibilitatea repunerii n funciune a sistemelor
instalate n cazul unei defeciuni (recuperarea);
(j) s asigure funcionarea sistemului, raportarea incidenei
oricror erori ale funciilor (fiabilitate) i c nicio disfuncio
nalitate a sistemului nu poate duce la coruperea datelor
stocate (integritate).
L 350/70 RO Jurnalul Oficial al Uniunii Europene
(3) Statele membre dispun c operatorii de prelucrare pot fi
desemnai numai n cazul n care acetia garanteaz respectarea
msurilor tehnice i organizaionale n temeiul alineatului (1) i
respectarea instruciunilor n temeiul articolului 21. Autoritatea
competent monitorizeaz operatorul de prelucrare n acest
sens.
(4) Datele cu caracter personal pot fi prelucrate de un
operator de prelucrare doar n temeiul unui act juridic sau a
unui contract scris.
Articolul 23
Consultarea prealabil
Statele membre asigur c autoritile naionale de supraveghere
competente sunt consultate nainte de prelucrarea datelor cu
caracter personal care vor face parte dintr-un nou sistem de
eviden care urmeaz a fi creat, n cadrul cruia:
(a) urmeaz a fi prelucrate categorii speciale de date menionate
la articolul 6, sau
(b) tipul de prelucrare, n special cel care implic utilizarea de
noi tehnologii, mecanisme sau proceduri, prezint n caz
contrar riscuri specifice pentru drepturile i libertile funda
mentale ale persoanei vizate, i n special pentru viaa
privat a acesteia.
Articolul 24
Sanciuni
Statele membre adopt msurile corespunztoare pentru a
asigura aplicarea integral a dispoziiilor prezentei decizii-
cadru i, n special, stabilesc sanciuni eficace, proporionale i
disuasive, care urmeaz s fie aplicate n caz de nclcare a
dispoziiilor adoptate n temeiul prezentei decizii-cadru.
Articolul 25
Autoritile naionale de supraveghere
(1) Fiecare stat membru dispune ca una sau mai multe dintre
autoritile publice s rspund de informarea i monitorizarea
punerii n aplicare pe teritoriul su a dispoziiilor adoptate de
statele membre n conformitate cu decizia-cadru. Aceste auto
riti acioneaz n deplin independen n exercitarea funciilor
ncredinate lor.
(2) Fiecare autoritate este nvestit, n special, cu urmtoarele:
(a) competene de cercetare, competene de acces la datele care
fac obiectul unei prelucrri i competene de colectare a
tuturor informaiilor necesare pentru ndeplinirea atribuiilor
de supraveghere;
(b) competene efective de intervenie, cum ar fi, de exemplu,
competena de a emite avize nainte ca operaiunile de
prelucrare s fie efectuate i de a asigura publicarea cores
30.12.2008
punztoare a acestor avize sau de a ordona blocarea,
tergerea sau distrugerea datelor, de a impune interdicia
temporar sau definitiv de prelucrare, de a adresa inspec
torului un avertisment sau o mustrare sau de a sesiza parla
mentele naionale sau alte instituii politice;
(c) competena de a aciona n justiie, n cazul nclcrii dispo
ziiilor legislaiei naionale adoptate n temeiul prezentei
decizii-cadru sau de a sesiza autoritile judectoreti cu
privire la aceast nclcare. Deciziile autoritilor de supra
veghere care fac obiectul unor plngeri pot fi atacate n
justiie.
(3) Fiecare autoritate de supraveghere poate fi sesizat de
orice persoan printr-o plngere privind protecia drepturilor
i libertilor sale n ceea ce privete prelucrarea datelor cu
caracter personal. Persoana vizat este informat asupra
modului n care s-a soluionat plngerea.
(4) Statele membre prevd obligaia care revine membrilor i
personalului autoritii de supraveghere de a respecta dispoziiile
privind protecia datelor cu caracter personal aplicabile
respectivei autoriti de supraveghere i faptul c, chiar i
dup ncetarea activitii acestora, acestora le revine obligaia
de a pstra secretul profesional n ceea ce privete informaiile
confideniale la care au acces.
Articolul 26
Legtura cu acordurile ncheiate cu state tere
Prezenta decizie-cadru nu aduce atingere niciunei obligaii i
niciunui angajament care revin statelor membre sau Uniunii
n temeiul unor acorduri bilaterale i/sau multilaterale cu state
tere, existente n momentul adoptrii deciziei-cadru.
Pentru aplicarea acestor acorduri, transferul ctre un stat ter a
datelor cu caracter personal obinute de la un alt stat membru
se efectueaz n conformitate cu articolul 13 alineatul (1) litera
(c) i, dup caz, alineatul (2).
Articolul 27
Evaluare
(1) Statele membre raporteaz Comisiei n legtur cu
msurile naionale adoptate pentru a asigura deplina confor
mitate cu prezenta decizie-cadru i, n special, cu privire la
acele dispoziii care trebuie s fie deja respectate la colectarea
datelor, pn la 27 noiembrie 2013. Comisia examineaz cu
precdere impactul dispoziiei asupra domeniului de aplicare
al prezentei decizii-cadru, prevzut la articolul 1 alineatul (2).
(2) n termen de un an de la rezultatul evalurii menionate
la alineatul (1), Comisia prezint un raport Parlamentului
European i Consiliului, raportul fiind nsoit de propuneri
corespunztoare de modificare a prezentei decizii-cadru.
30.12.2008 RO Jurnalul Oficial al Uniunii Europene
Articolul 28
Legtura cu actele anterioare adoptate de Uniune
Atunci cnd n actele adoptate n temeiul titlului VI din Tratatul
privind Uniunea European naintea datei intrrii n vigoare a
prezentei decizii-cadru i care reglementeaz schimbul de date
cu caracter personal ntre statele membre sau accesul autori
tilor desemnate ale statelor membre la sistemele informatice
instituite n temeiul Tratatului de instituire a Comunitii
Europene au fost introduse condiii specifice privind utilizarea
acestor date de ctre statul membru destinatar, aceste condiii
prevaleaz n faa dispoziiilor din prezenta decizie-cadru refe
ritoare la utilizarea datelor primite sau puse la dispoziie de
ctre un alt stat membru.
Articolul 29
Punerea n aplicare
(1) Statele membre iau msurile necesare pentru a se
conforma dispoziiilor prezentei decizii-cadru pn la
27 noiembrie 2010.
L 350/71
(2) Statele membre comunic, pn la aceeai dat, Secreta
riatului General al Consiliului i Comisiei textul dispoziiilor care
transpun n legislaiile lor naionale obligaiile impuse prin
prezenta decizie-cadru, precum i informaii privind desemnarea
autoritilor de supraveghere prevzute la articolul 25. Pe baza
unui raport ntocmit de Comisie n temeiul acestor informaii,
Consiliul evalueaz pn la 27 noiembrie 2011 modul n care
statele membre au luat msurile necesare pentru a se conforma
prezentei decizii-cadru.
Articolul 30
Intrarea n vigoare
Prezenta decizie-cadru intr n vigoare n a douzecea zi de la
data publicrii n Jurnalul Oficial al Uniunii Europene.
Adoptat la Bruxelles, 27 noiembrie 2008.
Pentru Consiliu
Preedintele
M. ALLIOT-MARIE