L 84/44 RO Jurnalul Oficial al Uniunii Europene 11.3.

2022

REGULAMENTE DE ORDINE INTERIOARĂ ȘI DE

PROCEDURĂ

DECIZIA nr. 4/2022 A BIROULUI COMITETULUI REGIUNILOR

din 25 ianuarie 2022
de stabilire a normelor interne privind restricționarea anumitor drepturi ale persoanelor vizate în
ceea ce privește prelucrarea datelor cu caracter personal în contextul activităților și procedurilor
desfășurate de Comitetul Regiunilor

BIROUL COMITETULUI REGIUNILOR,

având în vedere Tratatul privind funcționarea Uniunii Europene (1), în special articolul 306,

având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind
protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile
și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei
nr. 1247/2002/CE (2), (denumit în continuare „regulamentul” sau „RPDUE”), în special articolul 25,

având în vedere Regulamentul de procedură al Comitetului European al Regiunilor (3), în special articolul 37 litera (d),

având în vedere Avizul D(2021) 0894 (cazul 2021-0345) al Autorității Europene pentru Protecția Datelor (AEPD) din
20 aprilie 2021, consultată în conformitate cu articolul 41 alineatul (2) din RPDUE,

întrucât:

(1) în temeiul articolului 3 punctul 1 din RPDUE, orice informații referitoare la o persoană fizică identificată sau
identificabilă (denumită în continuare „persoana vizată”) ar trebui considerate date cu caracter personal.

(2) Regulamentul se aplică, la fel ca în cazul oricărei instituții a Uniunii, Comitetului Regiunilor („Comitetul”) în ceea ce
privește prelucrarea datelor cu caracter personal în contextul activităților și procedurilor desfășurate de acesta.

(3) În sensul articolului 3 punctul 8 din RPDUE, operatorul este Comitetul, care poate delega responsabilitatea pentru
stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal.

(4) În temeiul articolului 45 alineatul (3) din RPDUE, Biroul Comitetului Regiunilor („biroul”) a adoptat norme de
punere în aplicare (4) referitoare la regulament și la responsabilul cu protecția datelor din cadrul Comitetului. În
conformitate cu aceste norme, departamentul (direcția, unitatea sau sectorul) din cadrul Secretariatului General al
Comitetului sau secretariatul unuia dintre grupurile politice din Comitet care, în mod individual sau împreună cu
alte entități, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal ar trebui, în ceea ce
privește aceste date, să acționeze în numele Comitetului în calitate de operator desemnat.

(5) Comitetul și Comitetul Economic și Social European (CESE) partajează anumite departamente și resurse („serviciile
comune”) în contextul cooperării interinstituționale, iar normele interne aplicabile în ceea ce privește limitarea
drepturilor persoanelor vizate în legătură cu prelucrarea datelor cu caracter personal de către serviciile comune ar
trebui stabilite în conformitate cu acordurile încheiate între Comitet și CESE în acest scop.

(1) JO C 202, 7.6.2016, p. 47.

(2) JO L 295, 21.11.2018, p. 39.
(3) JO L 472, 30.12.2021, p. 1.
(4) Decizia nr. 19/2020 a Biroului Comitetului Regiunilor din 9 octombrie 2020 de adoptare a normelor de aplicare a Regulamentului
(UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a
acestor date („Decizia nr. 19/2020”).
11.3.2022 RO Jurnalul Oficial al Uniunii Europene L 84/45

(6) Pentru a îndeplini sarcinile Comitetului, operatorii de date colectează și prelucrează informații relevante și mai multe
categorii de date cu caracter personal, inclusiv date de identificare ale persoanelor fizice, date de contact, date privind
rolurile și sarcinile profesionale, informații privind conduita și performanțele private și profesionale, precum și date
financiare. Prin urmare, în temeiul regulamentului, operatorii de date sunt obligați să furnizeze persoanelor vizate
informații cu privire la aceste activități de prelucrare pe care le desfășoară și să le respecte drepturile în calitate de
persoane vizate.

(7) Operatorii de date ar putea fi nevoiți să reconcilieze aceste drepturi cu obiectivele anchetelor, investigațiilor,
verificărilor, activităților, auditurilor și procedurilor desfășurate în cadrul Comitetului. De asemenea, ar putea fi
obligați să asigure un echilibru între drepturile persoanei vizate și drepturile și libertățile fundamentale ale altor
persoane vizate. În acest scop, articolul 25 alineatul (1) din RPDUE oferă operatorilor de date posibilitatea de a
limita aplicarea articolelor 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 și 36 din RPDUE, precum și a articolului 4 din
RPDUE, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22 din
RPDUE.

(8) Operatorii de date ar trebui să aplice restricții numai în măsura în care acestea respectă esența drepturilor și
libertăților fundamentale, sunt strict necesare și constituie o măsură proporțională într-o societate democratică.

(9) Operatorii de date ar trebui să furnizeze justificări pentru aceste restricții și ar trebui să păstreze o evidență a
modului în care le-au aplicat în cazul drepturilor persoanelor vizate.

(10) Operatorii de date ar trebui să ridice o restricție de îndată ce nu se mai aplică condițiile care au justificat restricția. Ei
ar trebui să evalueze în mod regulat aceste condiții.

(11) Pentru a garanta un nivel maxim de protecție a drepturilor și libertăților persoanelor vizate, responsabilul cu
protecția datelor ar trebui consultat în timp util cu privire la restricțiile care pot fi aplicate și să verifice respectarea
dispozițiilor prezentei decizii.

(12) Cu excepția cazului în care sunt prevăzute restricții într-un act juridic adoptat în temeiul tratatelor (5), trebuie
adoptate norme interne în temeiul cărora operatorii de date au dreptul să restricționeze drepturile persoanelor
vizate.

(13) Prezenta decizie nu ar trebui aplicată în situațiile în care se aplică una dintre excepțiile prevăzute la articolul 15
alineatul (4) și la articolul 16 alineatul (5) din RPDUE în ceea ce privește informațiile care trebuie furnizate unei
persoane vizate,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Obiect, domeniu de aplicare și definiții

(1) Prezenta decizie stabilește norme generale privind condițiile în care, în temeiul articolului 25 alineatul (1) din
RPDUE, operatorii de date pot limita, după caz, aplicarea articolelor 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 și 36 din
EUDPR, precum și a articolului 4 din EUDPR, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor
prevăzute la articolele 14-22 din EUDPR.

(2) În sensul prezentei decizii, se aplică următoarele definiții:

(a) „date cu caracter personal” înseamnă orice informații referitoare la o persoană vizată care sunt prelucrate atunci când se
desfășoară activități sau proceduri care nu fac obiectul părții a treia titlul V capitolul 4 sau capitolul 5 din Tratatul
privind funcționarea Uniunii Europene, spre deosebire de datele operaționale cu caracter personal, în sensul
articolului 3 punctul 2 din RPDUE;
(b) „operator de date” înseamnă entitatea care, în mod individual sau împreună cu altele, stabilește efectiv scopurile și
mijloacele de prelucrare a datelor cu caracter personal în contextul activităților și procedurilor desfășurate de Comitet,
indiferent dacă această responsabilitate a fost delegată sau nu.

(5) Tratatul privind Uniunea Europeană (TUE) (JO C 202, 7.6.2016, p. 13) și Tratatul privind funcționarea Uniunii Europene (TFUE).
L 84/46 RO Jurnalul Oficial al Uniunii Europene 11.3.2022

(3) Prezenta decizie se aplică în cazul prelucrării datelor cu caracter personal în scopurile activităților și procedurilor
desfășurate de Comitet. Ea nu se aplică în cazul în care un act juridic adoptat în temeiul tratatelor prevede o restricționare a
drepturilor persoanelor vizate.

(4) În sensul articolului 3 punctul 8 din RPDUE, operatorul este Comitetul, care poate delega responsabilitatea pentru
stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal.

(5) În scopul fiecărei prelucrări, restricționări și amânări, omiteri sau respingeri a informațiilor, operatorul de date
responsabil se stabilește în conformitate cu deciziile, procedurile și normele de punere în aplicare interne relevante ale
Comitetului.

Articolul 2

Excepții și derogări

(1) Înainte de a aplica orice restricție în temeiul articolului 3 punctul 1, operatorii de date analizează dacă se aplică
vreuna dintre excepțiile sau derogările prevăzute în regulament, în special cele prevăzute la articolul 15 alineatul (4),
articolul 16 alineatul (5), articolul 19 alineatul (3), articolul 25 alineatele (3) și (4) și articolul 35 alineatul (3) din RPDUE.

(2) Aplicarea derogărilor face obiectul garanțiilor adecvate în conformitate cu articolul 13 din RPDUE și cu articolul 6
din prezenta decizie.

Articolul 3

Restricții

(1) Operatorii de date pot limita, după caz, aplicarea articolelor 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 și 36 din RPDUE,
precum și a articolului 4 din RPDUE, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute
la articolele 14-22 din RPDUE, în cazul în care exercitarea de către persoanele vizate a drepturilor lor ar afecta scopul sau
rezultatul uneia sau al mai multora dintre activitățile sau procedurile desfășurate de Comitet, în special:

(a) în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din RPDUE, atunci când autoritatea împuternicită să
facă numiri și autoritatea împuternicită să încheie contractele de muncă ale Comitetului („autoritatea împuternicită să
facă numiri”) efectuează proceduri disciplinare, anchete administrative și investigații privind aspecte legate de personal
în conformitate cu articolul 86 din Statutul funcționarilor Uniunii Europene („Statutul funcționarilor”) și cu anexa IX la
Statutul funcționarilor, precum și cu articolele 50a și 119 din Regimul aplicabil celorlalți agenți ai Uniunii Europene (6)
(„Regimul aplicabil celorlalți agenți”), precum și investigații în contextul cererilor de asistență transmise în temeiul
articolului 24 din Statutul funcționarilor și al articolelor 11 și 81 din Regimul aplicabil celorlalți agenți și cu privire la
presupusele cazuri de hărțuire în sensul articolului 12a din Statutul funcționarilor;

(b) în temeiul articolului 25 alineatul (1) literele (b), (c), (f) și (h) din RPDUE, atunci când autoritatea împuternicită să facă
numiri evaluează cererile și plângerile transmise de funcționari și de alți agenți ai Comitetului (denumiți în continuare
„membri ai personalului”) în conformitate cu articolul 90 din Statutul funcționarilor și cu articolele 46 și 117 din
Regimul aplicabil celorlalți agenți;

(c) în temeiul articolului 25 alineatul (1) literele (c) și (h) din RPDUE, atunci când autoritatea împuternicită să facă numiri
pune în aplicare politica Comitetului privind personalul efectuând proceduri de selecție (recrutare), evaluare și
promovare;

(6) Anexa la Regulamentul nr. 31 (CEE), 11 (CEEA) al Consiliului de stabilire a Statutului funcționarilor și a regimului aplicabil celorlalți
agenți ai Comunității Economice Europene și ai Comunității Europene a Energiei Atomice (JO P 45, 14.6.1962, p. 1385), astfel cum a
fost modificat prin Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului
funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor
măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1), astfel cum a fost modificat ulterior, reafirmat,
completat.
11.3.2022 RO Jurnalul Oficial al Uniunii Europene L 84/47

(d) în temeiul articolului 25 alineatul (1) literele (c), (f), (g) și (h) din RPDUE, atunci când ordonatorul de credite al
Comitetului (denumit în continuare „ordonatorul de credite”) pune în aplicare secțiunea privind Comitetul din bugetul
general al Uniunii Europene efectuând proceduri de atribuire în conformitate cu normele financiare aplicabile
bugetului general al Uniunii (7) („Regulamentul financiar” sau „RF”);

(e) în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din RPDUE, atunci când ordonatorul de credite
desfășoară acțiuni de monitorizare și investigații privind legalitatea tranzacțiilor financiare efectuate de Comitet și în
cadrul Comitetului, privind drepturile financiare (8) ale membrilor și ale membrilor supleanți ai Comitetului
(„membrii Comitetului”) și privind finanțarea activităților și evenimentelor organizate sau co-organizate de Comitet și
tratează neregulile financiare constatate la nivelul unui membru al personalului în temeiul articolului 93 din RF;

(f) în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) și (h) din RPDUE, atunci când Comitetul furnizează
informații și documente Oficiului European de Luptă Antifraudă (OLAF), la cererea acestuia sau din proprie inițiativă,
îi notifică acestuia cazuri sau prelucrează informații și documente primite de la OLAF (9);

(g) în temeiul articolului 25 alineatul (1) literele (c), (g) și (h) din RPDUE, atunci când Comitetul efectuează audituri interne
în scopurile enunțate în articolele 118 și 119 din RF și în legătură cu activitățile și procedurile departamentelor sale;

(h) în temeiul articolului 25 alineatul (1) literele (c), (d) și (h) din RPDUE, atunci când Comitetul efectuează evaluări interne
ale riscurilor, controale ale accesului, inclusiv verificări ale antecedentelor, măsuri de prevenție și investigații ale
incidentelor de siguranță și securitate, inclusiv incidente în care sunt implicați membrii Comitetului sau membri ai
personalului, precum și incidente legate de infrastructura și de tehnologia informației și comunicațiilor din cadrul
Comitetului, dar și anchete de securitate și investigații auxiliare, inclusiv asupra rețelei sale de comunicații electronice,
din proprie inițiativă sau la cererea terților;

(i) în temeiul articolului 25 alineatul (1) literele (c), (d) și (h) din RPDUE, atunci când responsabilul cu protecția datelor,
din proprie inițiativă sau la cererea terților, efectuează investigații asupra unor aspecte și evenimente legate direct de
sarcinile sale de care a luat cunoștință, în conformitate cu articolul 45 alineatul (2) din RPDUE;

(j) în temeiul articolului 25 alineatul (1) litera (h) din RPDUE, atunci când operatorii de date prelucrează date cu caracter
personal obținute în contextul raportării de către un membru al personalului, cu bună credință, a unor elemente
factuale care indică fie existența unor posibile activități ilegale, inclusiv a fraudei și a corupției, care sunt nocive pentru
interesele Uniunii („nereguli grave”), fie comportamente legate de îndeplinirea îndatoririlor profesionale care pot
constitui o încălcare gravă a obligațiilor membrilor personalului (denumite în continuare „abateri grave”);

(k) în temeiul articolului 25 alineatul (1) litera (h) din RPDUE, atunci când operatorii de date prelucrează date cu caracter
personal obținute de consilieri confidențiali în contextul procedurii informale pentru cazurile de presupusă hărțuire;

(l) în temeiul articolului 25 alineatul (1) litera (h) din RPDUE, atunci când operatorii de date prelucrează date cu caracter
personal referitoare la starea de sănătate („date medicale”) a unui membru al Comitetului sau a unui membru al
personalului, inclusiv cu caracter psihologic sau psihiatric, care se regăsesc în dosarul medical deținut de Comitet
privind persoana vizată în cauză;

(m) în temeiul articolului 25 alineatul (1) litera (e) din RPDUE, atunci când operatorii de date prelucrează date cu caracter
personal din documentele redactate sau obținute de părți sau de intervenienți în contextul procedurilor desfășurate în
fața Curții de Justiție a Uniunii Europene („Curtea de Justiție”);

(7) Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare
aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013,
(UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și
de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).
(8) Inclusiv indemnizații pentru cheltuieli generale, indemnizații pentru personal, indemnizații pentru echipamente și instalații,
indemnizații pentru călătorii, ședere și reuniuni (la distanță), precum și alte indemnizații plătite în temeiul articolului 238 din RF, dar
nu numai.
(9) Acest punct nu se aplică prelucrării datelor cu caracter personal pentru care OLAF este operator unic, în special atunci când OLAF
prelucrează date cu caracter personal deținute la sediul Comitetului.
L 84/48 RO Jurnalul Oficial al Uniunii Europene 11.3.2022

(n) în temeiul articolului 25 alineatul (1) literele (b), (c), (d), (g) și (h) din RPDUE, atunci când Comitetul acordă asistență
altor instituții, organe, oficii și agenții ale Uniunii sau beneficiază de asistență din partea acestora ori cooperează cu
acestea în contextul activităților sau procedurilor prevăzute la alineatul (1) literele (a)-(m) și în conformitate cu
acordurile aplicabile privind nivelul serviciilor, cu memorandumurile de înțelegere și cu acordurile de cooperare;

(o) în temeiul articolului 25 alineatul (1) literele (b), (c), (g) și (h) din RPDUE, atunci când Comitetul acordă asistență
autorităților statelor membre, autorităților din țări terțe sau organizațiilor internaționale sau beneficiază de asistență
din partea acestora ori cooperează cu aceste autorități și organizații, la cererea lor sau din proprie inițiativă;

(p) în temeiul articolului 25 alineatul (1) literele (a), (b), (e) și (f) din RPDUE, atunci când Comitetul furnizează autorităților
statelor membre, autorităților din țări terțe sau organizațiilor internaționale informații și documente solicitate de
acestea în contextul investigațiilor.

(2) Restricțiile menționate la alineatul (1) se pot referi la date cu caracter personal obiective („hard data”) și subiective
(„soft data”) deopotrivă, în special la una sau mai multe dintre următoarele categorii, dar nu numai:

(a) date de identificare;

(b) date de contact;

(c) date profesionale (10);

(d) date financiare;

(e) date de supraveghere (11);

(f) date privind traficul (12);

(g) date medicale (13);

(h) date genetice (13);

(i) date biometrice (13);

(j) date privind viața sexuală sau orientarea sexuală a unei persoane fizice (13);

(k) date care dezvăluie originea rasială sau etnică, convingerile religioase sau filosofice, opiniile politice sau afilierea
politică ori apartenența sindicală (13);

(l) date care dezvăluie activitățile sau conduita persoanelor fizice care participă la proceduri de selecție (recrutare),
evaluare sau promovare (14);

(m) date privind prezența persoanelor fizice;

(n) date privind activitățile externe ale persoanelor fizice;

(o) date privind suspiciuni de contravenții, contravenții, condamnări penale sau măsuri de securitate;

(p) comunicații electronice;

(q) toate celelalte date legate de subiectul activității sau procedurii relevante care necesită prelucrarea datelor respective.

(10) Inclusiv contracte de muncă, contracte de prestări servicii și date privind misiunile, dar nu numai.
(11) Inclusiv înregistrări audio-video și registre ale conectărilor și deconectărilor, dar nu numai.
(12) Inclusiv perioadele de conectare și de deconectare, accesul la aplicații interne și la resurse din rețea și utilizarea internetului, dar nu
numai.
(13) În măsura în care aceste date sunt prelucrate în temeiul articolului 10 alineatul (2) din RPDUE.
(14) Inclusiv teste scrise, discursuri înregistrate, fișe de evaluare și evaluări, observații sau opinii ale evaluatorilor, dar nu numai.
11.3.2022 RO Jurnalul Oficial al Uniunii Europene L 84/49

(3) Orice restricție trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și
proporțională într-o societate democratică și este limitată la ceea ce este strict necesar pentru atingerea obiectivului.

(4) Orice restricționare a aplicării articolului 36 din EUDPR (Confidențialitatea comunicațiilor electronice), fie ea totală sau
parțială, în conformitate cu alineatul (1), respectă dreptul aplicabil al Uniunii privind confidențialitatea comunicațiilor
electronice (15).

(5) Operatorii de date evaluează periodic aplicarea restricțiilor menționate la alineatul (1), cel puțin o dată la șase luni de
la adoptarea acestora, dar și atunci când se modifică elemente esențiale și decisive ale cazului și la finalizarea sau încetarea
activității sau procedurii care a generat restricțiile. Ulterior, aceștia monitorizează anual necesitatea de a menține restricțiile.

(6) Restricțiile menționate la alineatul (1) continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.
Atunci când motivele unei restricții menționate la alineatul (1) nu mai există, operatorii de date ridică restricția respectivă.

(7) Atunci când prelucrează date cu caracter personal primite de la părți terțe în contextul sarcinilor Comitetului,
operatorii de date se consultă cu părțile terțe respective cu privire la potențialele motive pentru impunerea de restricții și
cu privire la necesitatea și proporționalitatea restricțiilor vizate, cu excepția cazului în care acest lucru ar afecta activitățile
sau procedurile Comitetului.

Articolul 4

Evaluarea caracterului necesar și proporțional

(1) Înainte de a aplica orice restricții, operatorii de date evaluează, pentru fiecare caz, dacă restricțiile analizate sunt
necesare și proporționale.

(2) La evaluarea necesității și proporționalității unei restricții, operatorii de date iau de fiecare dată în considerare
riscurile potențiale pentru drepturile și libertățile persoanelor vizate.

(3) Evaluările riscurilor pentru drepturile și libertățile persoanelor vizate ce rezultă din impunerea restricțiilor, în special
riscul ca datele cu caracter personal ale acestora să poată fi prelucrate ulterior fără știrea lor și riscul ca acestea să nu-și poată
exercita drepturile în conformitate cu regulamentul, precum și detaliile privind perioada de aplicare a restricțiilor respective
se înregistrează în evidența activităților de prelucrare ținută de operatorii de date în temeiul articolului 31 alineatul (1) din
RPDUE. Acestea sunt înregistrate, de asemenea, în orice evaluare a impactului restricțiilor asupra protecției datelor,
efectuată în temeiul articolului 39 din RPDUE.

Articolul 5

Consemnarea și înregistrarea restricțiilor

(1) Ori de câte ori aplică restricții, operatorii de date consemnează:

(a) motivele aplicării restricțiilor;
(b) temeiul juridic al aplicării restricțiilor;
(c) modul în care exercitarea drepturilor persoanelor vizate ar afecta scopul sau rezultatul uneia sau al mai multor activități
sau proceduri desfășurate de Comitet;
(d) rezultatul evaluării menționate la articolul 4 alineatul (1).

(2) Evidențele menționate la alineatul (1) fac parte din registrul central prevăzut la articolul 31 alineatul (5) din RPDUE și
sunt puse la dispoziția AEPD, la cerere.

(3) Atunci când operatorii de date restricționează aplicarea articolului 35 din RPDUE (Informarea persoanei vizate cu privire
la încălcarea securității datelor cu caracter personal), evidența menționată la alineatul (1) este inclusă în notificarea AEPD
prevăzută la articolul 34 alineatul (1) din RPDUE.

(15) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea
confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201,
31.7.2002, p. 37).
L 84/50 RO Jurnalul Oficial al Uniunii Europene 11.3.2022

Articolul 6

Garanții și perioada de păstrare

(1) Operatorii de date pun în aplicare garanții pentru a preveni abuzul legat de datele cu caracter personal care fac sau ar
putea face obiectul unor restricții în temeiul articolului 3 alineatul (1), accesul ilegal la astfel de date sau transferul lor. Astfel
de garanții conțin măsuri tehnice și organizatorice adecvate, iar dacă este necesar, sunt detaliate în deciziile, procedurile și
normele de punere în aplicare interne relevante ale Comitetului.

(2) Garanțiile menționate la alineatul (1) includ:

(a) o definire clară a rolurilor, responsabilităților și etapelor procedurale;

(b) dacă este cazul, un mediu electronic securizat care previne accesarea datelor electronice de către persoane neautorizate
sau transferul acestora către persoane neautorizate, în mod ilegal sau accidental;

(c) dacă este cazul, stocarea și prelucrarea în condiții de siguranță a documentelor pe suport de hârtie;

(d) monitorizarea corespunzătoare a restricțiilor și o revizuire periodică a aplicării lor.

(3) Datele cu caracter personal sunt păstrate în conformitate cu normele aplicabile privind păstrarea datelor ale
Comitetului (16), care urmează să fie prevăzute în evidențele ținute de operatorii de date în temeiul articolului 31 alineatul
(1) din RPDUE. La încheierea perioadei de păstrare, datele cu caracter personal sunt șterse, anonimizate astfel încât
persoana vizată să nu fie sau să nu mai fie identificabilă sau sunt transferate în arhivele Comitetului, conform
articolului 13 din RPDUE, după caz.

Articolul 7

Informarea persoanelor vizate cu privire la restricționarea drepturilor

(1) Anunțurile privind protecția datelor publicate pe site-ul web public al Comitetului și pe paginile sale de intranet
includ o secțiune în care persoanelor vizate li se furnizează informații generale cu privire la posibilitatea ca drepturile lor să
fie restricționate în contextul activităților și procedurilor Comitetului care implică prelucrarea datelor lor cu caracter
personal. Această secțiune specifică drepturile care pot fi restricționate, motivele pentru care se pot aplica restricțiile,
durata potențială a acestor restricții și căile de atac administrative și juridice aflate la dispoziția persoanelor vizate.

(2) Ori de câte ori aplică restricții, operatorii de date informează fiecare persoană vizată, fără întârzieri nejustificate și în
formatul cel mai adecvat, cu privire la:

(a) orice restricții existente sau viitoare asupra drepturilor lor;

(b) principalele motive pe care se bazează aplicarea restricției;

(c) dreptul de a consulta responsabilul cu protecția datelor în vederea contestării restricției;

(d) dreptul de a depune o plângere la AEPD;

(e) dreptul la o cale de atac în fața Curții de Justiție.

(3) Fără a aduce atingere dispozițiilor de la alineatul (2), atunci când operatorii de date restricționează, în cazuri
excepționale, aplicarea articolului 35 din RPDUE (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter
personal), aceștia comunică persoanei vizate încălcarea securității datelor cu caracter personal și furnizează informațiile
menționate la alineatul (2) literele (b), (d) și (e), de îndată ce motivele pentru restricționarea acestei informări nu mai există.

(4) Fără a aduce atingere dispozițiilor de la alineatul (2), atunci când operatorii de date restricționează, în cazuri
excepționale, aplicarea articolului 36 din RPDUE (Confidențialitatea comunicațiilor electronice), aceștia furnizează informațiile
menționate la alineatul (2) în răspunsul lor la orice solicitare din partea persoanei vizate.

(16) Decizia nr. 129/2003 a secretarului general al Comitetului Regiunilor din 17 iunie 2003 privind gestionarea documentelor în cadrul
Comitetului Regiunilor.
11.3.2022 RO Jurnalul Oficial al Uniunii Europene L 84/51

(5) Operatorii de date pot amâna, omite sau refuza furnizarea informațiilor menționate la alineatul (2) („amânarea,
omiterea sau refuzarea informațiilor”) atât timp cât acest lucru ar anula efectul restricției. Ei furnizează persoanei vizate
informațiile menționate la alineatul (2) de îndată ce acest lucru nu ar mai conduce la ineficacitatea restricției.

(6) Articolele 4 și 5 se aplică prin analogie în ceea ce privește orice situație de amânare, omitere sau refuzare a
informațiilor.

Articolul 8

Implicarea responsabilului cu protecția datelor din cadrul Comitetului

(1) Operatorii de date informează responsabilul cu protecția datelor în scris, fără întârzieri nejustificate, ori de câte ori
restricționează drepturile unei persoane vizate în temeiul articolului 3 alineatul (1), efectuează evaluările periodice
menționate la articolul 3 alineatul (5), ridică restricțiile conform prevederilor articolului 3 alineatul (6) sau amână, omit ori
refuză furnizarea informațiilor menționate la articolul 7 alineatul (2) în temeiul articolului 7 alineatul (5). La cerere,
responsabilul cu protecția datelor primește acces la evidențele asociate și la orice document care conține elemente factuale
și juridice subiacente.

(2) Responsabilul cu protecția datelor poate solicita operatorilor de date să revizuiască orice restricții existente, precum
și amânările, omisiunile sau refuzurile de a furniza informații și aplicarea acestora. Responsabilul cu protecția datelor este
informat în scris cu privire la rezultatul revizuirii solicitate.

(3) Implicarea responsabilului cu protecția datelor prevăzută la alineatele (1) și (2) în ceea ce privește aplicarea
restricțiilor și a amânărilor, omisiunilor sau refuzurilor de a furniza informații este documentată în mod adecvat de
operatorii de date, inclusiv în ceea ce privește informațiile comunicate responsabilului cu protecția datelor.

(4) La cerere, responsabilul cu protecția datelor furnizează operatorilor de date avizul său privind stabilirea responsabi­
lităților acestora în contextul unui acord privind exercitarea în comun a competenței de operator în temeiul articolului 28
alineatul (1) din RPDUE.

Articolul 9

Servicii comune

Responsabilul cu protecția datelor cooperează cu responsabilul cu protecția datelor din cadrul CESE în ceea ce privește
prelucrarea datelor cu caracter personal de către serviciile comune, pentru a asigura punerea eficace în aplicare a prezentei
decizii.

Articolul 10

Dispoziții finale

(1) În funcție de necesități, secretarul general poate emite instrucțiuni sau poate adopta măsuri de punere în aplicare
pentru a detalia și a pune în aplicare, după caz, orice dispoziție a prezentei decizii, în conformitate cu aceasta.

(2) Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Adoptată la Bruxelles, 25 ianuarie 2022.

Pentru Biroul Comitetului Regiunilor

Apostolos TZITZIKOSTAS
Președintele