Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.
En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.
En général, nos avis de contrôle préalable étaient publics.
Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.
Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:
L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.
Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.
Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.
Avis du 18 décembre 2013 sur la notification en vue d’un contrôle préalable reçue du délégué à la protection des données de l’Office de l’ORECE concernant les demandes et autorisations de congés de tout type (y compris les congés spéciaux) (Dossier 2013-0405)
Avis du 18 décembre 2013 sur la notification d'un contrôle préalable reçue du délégué à la protection des données du Parlement Européen à propos du dossier "Enquête anonyme ciblant le personnel du Parlement Européen ayant un handicap" (Dossier 2013-0656)
Avis du 17 décembre 2013 sur la notification en vue d’un contrôle préalable concernant la politique de vidéosurveillance adoptée par le Parlement européen (PE) le 20 avril 2013 (Dossier 2013-0471)
Avis du 16 décembre 2013 sur la notification d'un contrôle préalable concernant les rapports de stage du personnel de l’EIT (Dossier 2013 0813)
The mini-prior-check Opinion in case 2013-0797 covers the processing operations related to the OHIM's attestation procedure (ex-C and ex-D categories). As the EDPS issued Guidelines on the evaluation of statutory staff in the context of annual appraisal, probation, promotion or regarding certification and attestation (henceforth: "Guidelines"), the EDPS only addresses the existing data conservation policy which does not seem to be in conformity with the principles of the Regulation and with the Guidelines issued by the EDPS in July 2011. Article 4(1)(e) of the Regulation states that personal data can be kept in a form permitting identification of data subjects for no longer than necessary for the purpose for which they were collected or further processed.
The EDPS observes that conservation of attestation files of unsuccessful applicants for up to five years after the particular exercise can be considered as necessary for the related appeals. At the same time, there seem to be no sufficient evidence as to the necessity of storage of the actual attestation decisions beyond the end of the career at the OHIM. Therefore, the OHIM is invited to reconsider the existing time limit and to provide for precise justifications that will be taken into account in the on-going discussions with the relevant stakeholders.