Regulament general de protectie date
REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
(la data 31-oct-2018 actul a fost in legatura cu Decizia 174/2018 )
(la data 25-mai-2018 a se vedea referinte de aplicare din Decizia 743/16-mai-2018 ) (la data 06-oct-2016 actul a fost in legatura cu Directiva 1629/14-sep-2016 )
(la data 05-mai-2016 actul a fost in legatura cu Directiva 680/27-apr-2016 )
(Text cu relevanţa pentru SEE)
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având in vedere Tratatul privind funcţionarea Uniunii Europene, in special articolul 16,
având in vedere propunerea Comisiei Europene,
dupa transmiterea proiectului de act legislativ catre parlamentele naţionale,
având in vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 229, 31.7.2012, p. 90.
având in vedere avizul Comitetului Regiunilor (2),
(2)JO C 391, 18.12.2012, p. 127.
hotarând in conformitate cu procedura legislativa ordinara (3),
(3)Poziţia Parlamentului European din 12 martie 2014 (nepublicata inca in Jurnalul Oficial) şi Poziţia in prima lectura a Consiliului din 8 aprilie 2016 (nepublicata inca in Jurnalul Oficial). Poziţia Parlamentului European din 14 aprilie 2016.
intrucât:
(1)Protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protecţia datelor cu caracter personal care o privesc.
(2)Principiile şi normele referitoare la protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetaţenia sau de locul de reşedinţa al persoanelor fizice, sa respecte drepturile şi libertaţile fundamentale ale acestora, in special dreptul la protecţia datelor cu caracter personal. Prezentul regulament urmareşte sa contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor in cadrul pieţei interne şi la bunastarea persoanelor fizice. (3)Directiva 95/46/CE a Parlamentului European şi a Consiliului (4) vizeaza armonizarea nivelului de protecţie a drepturilor şi libertaţilor fundamentale ale persoanelor fizice in ceea ce priveşte activitaţile de prelucrare şi asigurarea liberei circulaţii a datelor cu caracter personal intre statele membre. (4)Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (JO L 281, 23.11.1995, p. 31).
(4)Prelucrarea datelor cu caracter personal ar trebui sa fie in serviciul cetaţenilor. Dreptul la protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat in considerare in raport cu funcţia pe care o indeplineşte in societate şi echilibrat cu alte drepturi fundamentale, in conformitate cu principiul proporţionalitaţii. Prezentul regulament respecta toate drepturile fundamentale şi libertaţile şi principiile recunoscute in carta astfel cum sunt consacrate in tratate, in special respectarea vieţii private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertaţii de gândire, de conştiinţa şi de religie, a libertaţii de exprimare şi de informare, a libertaţii de a desfaşura o activitate comerciala, dreptul la o cale de atac eficienta şi la un proces echitabil, precum şi diversitatea culturala, religioasa şi lingvistica.
(5)Integrarea economica şi sociala care rezulta din funcţionarea pieţei interne a condus la o creştere substanţiala a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal intre actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi intreprinderi, s-a intensificat in intreaga Uniune. Conform dreptului Uniunii, autoritaţile naţionale din statele membre sunt chemate sa coopereze şi sa faca schimb de date cu caracter personal pentru a putea sa işi indeplineasca atribuţiile sau sa execute sarcini in numele unei autoritaţi dintr-un alt stat membru.
(6)Evoluţiile tehnologice rapide şi globalizarea au generat noi provocari pentru protecţia datelor cu caracter personal. Amploarea colectarii şi a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atât societaţilor private, cât şi autoritaţilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitaţilor lor. Din ce in ce mai mult, persoanele fizice fac publice la nivel mondial informaţii cu caracter personal. Tehnologia a transformat deopotriva economia şi viaţa sociala şi ar trebui sa faciliteze in continuare libera circulaţie a datelor cu caracter personal in cadrul Uniunii şi transferul catre ţari terţe şi organizaţii internaţionale, asigurând, totodata, un nivel ridicat de protecţie a datelor cu caracter personal.
(7)Aceste evoluţii impun un cadru solid şi mai coerent in materie de protecţie a datelor in Uniune, insoţit de o aplicare riguroasa a normelor, luând in considerare importanţa crearii unui climat de incredere care va permite economiei digitale sa se dezvolte pe piaţa interna. Persoanele fizice ar trebui sa aiba control asupra propriilor date cu caracter personal, iar securitatea juridica şi practica pentru persoane fizice, operatori economici şi autoritaţi publice ar trebui sa fie consolidata.
(8)În cazul in care prezentul regulament prevede specificari sau restricţionari ale normelor sale de catre dreptul intern, statele membre pot, in masura in care acest lucru este necesar pentru coerenţa şi pentru a asigura inţelegerea dispoziţiilor naţionale de catre persoanele carora li se aplica acestea, sa incorporeze elemente din prezentul regulament in dreptul lor intern.
(9)Obiectivele şi principiile Directivei 95/46/CE ramân solide, dar aceasta nu a prevenit fragmentarea modului in care protecţia datelor este pusa in aplicare in Uniune, insecuritatea juridica sau percepţia publica larg raspândita conform careia exista riscuri semnificative pentru protecţia persoanelor fizice, in special in legatura cu activitatea online. Diferenţele dintre nivelurile de protecţie a drepturilor şi libertaţilor persoanelor fizice, in special a dreptului la protecţia datelor cu caracter personal, in ceea ce priveşte prelucrarea datelor cu caracter personal din statele membre pot impiedica libera circulaţie a datelor cu caracter personal in intreaga Uniune. Aceste diferenţe pot constitui, prin urmare, un obstacol in desfaşurarea de activitaţi economice la nivelul Uniunii, pot denatura concurenţa şi pot impiedica autoritaţile sa indeplineasca responsabilitaţile care le revin in temeiul dreptului Uniunii. Aceasta diferenţa intre nivelurile de protecţie este cauzata de existenţa unor deosebiri in ceea ce priveşte transpunerea şi aplicarea Directivei 95/46/CE.
(10)Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a se indeparta obstacolele din calea circulaţiei datelor cu caracter personal in cadrul Uniunii, nivelul protecţiei drepturilor şi libertaţilor persoanelor fizice in ceea ce priveşte prelucrarea unor astfel de date ar trebui sa fie echivalent in toate statele membre. Aplicarea consecventa şi omogena a normelor in materie de protecţie a drepturilor şi libertaţilor fundamentale ale persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal ar trebui sa fie asigurata in intreaga Uniune. În ceea ce priveşte prelucrarea datelor cu caracter personal in vederea respectarii unei obligaţii legale, a indeplinirii unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este investit operatorul, statelor membre ar trebui sa li se permita sa menţina sau sa introduca dispoziţii de drept intern care sa clarifice intr-o mai mare masura aplicarea normelor prezentului regulament. În coroborare cu legislaţia generala şi orizontala privind protecţia datelor, prin care este pusa in aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice in domenii care necesita dispoziţii mai precise. Prezentul regulament ofera, de asemenea, statelor membre o marja de manevra in specificarea normelor sale, inclusiv in ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal („date sensibile”). În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileşte circumstanţele aferente unor situaţii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiţiilor in care prelucrarea datelor cu caracter personal este legala.
(11)Protecţia efectiva a datelor cu caracter personal in intreaga Uniune necesita nu numai consolidarea şi stabilirea in detaliu a drepturilor persoanelor vizate şi a obligaţiilor celor care prelucreaza şi decid prelucrarea datelor cu caracter personal, ci şi competenţe echivalente pentru
monitorizarea şi asigurarea conformitaţii cu normele de protecţie a datelor cu caracter personal şi sancţiuni echivalente pentru infracţiuni in statele membre.
(12)Articolul 16 alineatul (2) din TFUE mandateaza Parlamentul European şi Consiliul sa stabileasca normele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum şi normele privind libera circulaţie a acestor date.
(13)În vederea asigurarii unui nivel uniform de protecţie pentru persoanele fizice in intreaga Uniune şi a preintâmpinarii discrepanţelor care impiedica libera circulaţie a datelor in cadrul pieţei interne, este necesar un regulament in scopul de a furniza securitate juridica şi transparenţa pentru operatorii economici, inclusiv microintreprinderi şi intreprinderi mici şi mijlocii, precum şi de a oferi persoanelor fizice in toate statele membre acelaşi nivel de drepturi, obligaţii şi responsabilitaţi opozabile din punct de vedere juridic pentru operatori şi persoanele imputernicite de aceştia, pentru a se asigura o monitorizare coerenta a prelucrarii datelor cu caracter personal, sancţiuni echivalente in toate statele membre, precum şi cooperarea eficace a autoritaţilor de supraveghere ale diferitelor state membre. Pentru buna funcţionare a pieţei interne este necesar ca libera circulaţie a datelor cu caracter personal in cadrul Uniunii sa nu fie restricţionata sau interzisa din motive legate de protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal. Pentru a se lua in considerare situaţia specifica a microintreprinderilor şi a intreprinderilor mici şi mijlocii, prezentul regulament include o derogare pentru organizaţiile cu mai puţin de 250 de angajaţi in ceea ce priveşte pastrarea evidenţelor. În plus, instituţiile şi organele Uniunii şi statele membre şi autoritaţile lor de supraveghere sunt incurajate sa ia in considerare necesitaţile specifice ale microintreprinderilor şi ale intreprinderilor mici şi mijlocii in aplicarea prezentului regulament. Noţiunea de microintreprinderi şi de intreprinderi mici şi mijlocii ar trebui sa se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1). (1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microintreprinderilor şi a intreprinderilor mici şi mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36).
(14)Protecţia conferita de prezentul regulament ar trebui sa vizeze persoanele fizice, indiferent de cetaţenia sau de locul de reşedinţa al acestora, in ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal care privesc persoane juridice şi, in special, intreprinderi cu personalitate juridica, inclusiv numele şi tipul de persoana juridica şi datele de contact ale persoanei juridice.
(15)Pentru a preveni apariţia unui risc major de eludare, protecţia persoanelor fizice ar trebui sa fie neutra din punct de vedere tehnologic şi sa nu depinda de tehnologiile utilizate. Protecţia persoanelor fizice ar trebui sa se aplice prelucrarii datelor cu caracter personal prin mijloace automatizate, precum şi prelucrarii manuale, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse intr-un sistem de evidenţa. Dosarele sau seturile de dosare, precum şi copertele acestora, care nu sunt structurate in conformitate cu criterii specifice nu ar trebui sa intre in domeniul de aplicare al prezentului regulament.
(16)Prezentul regulament nu se aplica chestiunilor de protecţie a drepturilor şi libertaţilor fundamentale sau la libera circulaţie a datelor cu caracter personal referitoare la activitaţi care nu intra in domeniul de aplicare al dreptului Uniunii, de exemplu activitaţile privind securitatea naţionala. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre statele membre atunci când acestea desfaşoara activitaţi legate de politica externa şi de securitatea comuna a Uniunii. (17)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (2) se aplica prelucrarii de date cu caracter personal de catre instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal ar trebui adaptate la principiile şi normele stabilite in prezentul regulament şi aplicate in conformitate cu prezentul regulament. În vederea asigurarii unui cadru solid şi coerent in materie de protecţie a datelor in Uniune, ar trebui ca dupa adoptarea prezentului regulament sa se aduca Regulamentului (CE) nr. 45/2001 adaptarile necesare, astfel incât acestea sa poata fi aplicate odata cu prezentul regulament.
(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).
(18)Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre o persoana fizica in cadrul unei activitaţi exclusiv personale sau domestice şi care, prin urmare, nu are legatura cu o activitate profesionala sau comerciala. Activitaţile personale sau domestice ar putea include corespondenţa şi repertoriul de adrese sau activitaţile din cadrul reţelelor sociale şi activitaţile online desfaşurate in contextul respectivelor activitaţi. Cu toate acestea, prezentul regulament se aplica operatorilor sau persoanelor imputernicite de operatori care furnizeaza mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activitaţi personale sau domestice.
(19)Protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal de catre autoritaţile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infracţiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva ameninţarilor la adresa siguranţei publice şi al prevenirii acestora, precum şi libera circulaţie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui sa se aplice activitaţilor de prelucrare in aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de catre autoritaţile publice in temeiul prezentului regulament, atunci când sunt utilizate in aceste scopuri, ar trebui sa fie reglementate printr- un act juridic mai specific al Uniunii, şi anume Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (1). Statele membre pot incredinţa autoritaţilor competente in sensul Directivei (UE)2016/680 sarcini care nu sunt neaparat indeplinite in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infracţiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva ameninţarilor la adresa siguranţei publice şi al prevenirii acestora, astfel incât prelucrarea datelor cu caracter personal pentru alte scopuri, in masura in care se incadreaza in domeniul de aplicare al dreptului Uniunii, sa intre in domeniul de aplicare al prezentului regulament.
(1)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritaţile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infracţiunilor sau al executarii pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).
În ceea ce priveşte prelucrarea datelor cu caracter personal de catre aceste autoritaţi competente in scopuri care intra in domeniul de aplicare al prezentului regulament, statele membre ar trebui sa poata menţine sau introduce dispoziţii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziţii pot stabili mai precis cerinţe specifice pentru prelucrarea datelor cu caracter personal de catre respectivele autoritaţi competente in aceste alte scopuri, ţinând seama de structura constituţionala, organizatorica şi administrativa a statului membru in cauza. Atunci când prelucrarea de date cu caracter personal de catre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui sa prevada posibilitatea ca statele membre, in anumite condiţii, sa impuna prin lege restricţii asupra anumitor obligaţii şi drepturi, in cazul in care asemenea restricţii constituie o masura necesara şi proporţionala intr-o societate democratica in scopul garantarii unor interese specifice importante, printre care se numara siguranţa publica şi prevenirea, investigarea, depistarea şi urmarirea penala a infracţiunilor sau executarea pedepselor, inclusiv protejarea impotriva ameninţarilor la adresa siguranţei publice şi prevenirea acestora. Acest lucru este relevant, de exemplu, in cadrul combaterii spalarii de bani sau al activitaţilor laboratoarelor criminalistice.
(20)Deşi prezentul regulament se aplica, inter alia, activitaţilor instanţelor şi ale altor autoritaţi judiciare, dreptul Uniunii sau al statelor membre ar putea sa precizeze operaţiunile şi procedurile de prelucrare in ceea ce priveşte prelucrarea datelor cu caracter personal de catre instanţe şi alte autoritaţi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui sa fie de competenţa autoritaţilor de supraveghere in cazul in care instanţele işi exercita atribuţiile judiciare, in scopul garantarii independenţei sistemului judiciar in indeplinirea sarcinilor sale judiciare, inclusiv in luarea deciziilor. Supravegherea unor astfel de operaţiuni de prelucrare a datelor ar trebui sa poata fi incredinţata unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui sa asigure in special respectarea normelor prevazute de prezentul regulament, sa sensibilizeze membrii sistemului judiciar cu privire la obligaţiile care le revin in temeiul prezentului regulament şi sa trateze plângerile in legatura cu astfel de operaţiuni de prelucrare a datelor.
(21)Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE a Parlamentului European şi a Consiliului (2), in special normelor privind raspunderea furnizorilor intermediari de servicii prevazute la articolele 12-15 din directiva menţionata. Respectiva directiva işi propune sa contribuie la buna funcţionare a pieţei interne, prin asigurarea liberei circulaţii a serviciilor societaţii informaţionale intre statele membre.
(2)Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societaţii informaţionale, in special ale comerţului electronic, pe piaţa interna (directiva privind comerţul electronic) (JO L 178, 17.7.2000, p. 1).
(22)Orice prelucrare a datelor cu caracter personal in cadrul activitaţilor unui sediu al unui operator sau al unei persoane imputernicite de operator din Uniune ar trebui efectuata in conformitate cu prezentul regulament, indiferent daca procesul de prelucrare in sine are loc sau nu in cadrul Uniunii. Sediul implica exercitarea efectiva şi reala a unei activitaţi in cadrul unor inţelegeri stabile. Forma juridica a unor astfel de inţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridica, nu este factorul determinant in aceasta privinţa.
(23)Pentru a se asigura ca persoanele fizice nu sunt lipsite de protecţia la care au dreptul in temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu işi are sediul in Uniune ar trebui sa faca obiectul prezentului regulament in cazul in care activitaţile de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent daca acestea sunt sau nu legate de o plata. Pentru a determina daca un astfel de operator sau o astfel de persoana imputernicita de operator ofera bunuri sau servicii unor persoane vizate care se afla pe teritoriul Uniunii, ar trebui sa se stabileasca daca reiese ca operatorul sau persoana imputernicita de operator intenţioneaza sa furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt ca exista acces la un site al operatorului, al persoanei imputernicite de operator sau al unui intermediar in Uniune, ca este disponibila o adresa de e-mail şi alte date de contact sau ca este utilizata o limba folosita in general in ţara terţa in care operatorul işi are sediul este insuficient pentru a confirma o astfel de intenţie, factori precum utilizarea unei limbi sau a unei monede utilizate in general in unul sau mai multe state membre cu posibilitatea de a comanda bunuri şi servicii in respectiva limba sau menţionarea unor clienţi sau utilizatori care se afla pe teritoriul Uniunii pot conduce la concluzia ca operatorul intenţioneaza sa ofere bunuri sau servicii unor persoane vizate in Uniune.
(24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu işi are sediul in Uniune ar trebui, de asemenea, sa faca obiectul prezentului regulament in cazul in care este legata de monitorizarea comportamentului unor astfel de persoane vizate, in masura in care acest comportament se manifesta pe teritoriul Uniunii. Pentru a se determina daca o activitate de prelucrare poate fi considerata ca „monitorizare a comportamentului” persoanelor vizate, ar trebui sa se stabileasca daca persoanele fizice sunt urmarite pe internet, inclusiv posibila utilizare ulterioara a unor tehnici de prelucrare a datelor cu caracter personal care constau in crearea unui profil al unei persoane fizice, in special in scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.
(25)În cazul in care dreptul unui stat membru se aplica in temeiul dreptului internaţional public, prezentul regulament ar trebui sa se aplice, de asemenea, unui operator care nu este stabilit in Uniune, ci, de exemplu, intr-o misiune diplomatica sau intr-un oficiu consular al unui stat membru. (26)Principiile protecţiei datelor ar trebui sa se aplice oricarei informaţii referitoare la o persoana fizica identificata sau identificabila. Datele cu caracter personal care au fost supuse pseudonimizarii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, ar trebui considerate informaţii referitoare la o persoana fizica identificabila. Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana, in scopul identificarii, in mod direct sau indirect, a persoanei fizice respective. Pentru a se determina daca este probabil, in mod rezonabil, sa fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi in
considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare, ţinându-se seama atât de tehnologia disponibila la momentul prelucrarii, cât şi de dezvoltarea tehnologica. Principiile protecţiei datelor ar trebui, prin urmare, sa nu se aplice informaţiilor anonime, adica informaţiilor care nu sunt legate de o persoana fizica identificata sau identificabila sau datelor cu caracter personal care sunt anonimizate astfel incât persoana vizata nu este sau nu mai este identificabila. Prin urmare, prezentul regulament nu se aplica prelucrarii unor astfel de informaţii anonime, inclusiv in cazul in care acestea sunt utilizate in scopuri statistice sau de cercetare. (27)Prezentul regulament nu se aplica datelor cu caracter personal referitoare la persoane decedate. Statele membre pot sa prevada norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.
(28)Aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate şi poate ajuta operatorii şi persoanele imputernicite de aceştia sa işi indeplineasca obligaţiile de protecţie a datelor. Introducerea explicita a conceptului de „pseudonimizare” in prezentul regulament nu este destinata sa impiedice alte eventuale masuri de protecţie a datelor.
(29)Pentru a crea stimulente pentru aplicarea pseudonimizarii atunci când sunt prelucrate date cu caracter personal, ar trebui sa fie posibile masuri de pseudonimizare, permiţând in acelaşi timp analiza generala, in cadrul aceluiaşi operator atunci când operatorul a luat masurile tehnice şi organizatorice necesare pentru a se asigura ca prezentul regulament este pus in aplicare in ceea ce priveşte respectiva prelucrare a datelor şi ca informaţiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pastrate separat. Operatorul care prelucreaza datele cu caracter personal ar trebui sa indice persoanele autorizate din cadrul aceluiaşi operator.(30)Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lasa urme care, in special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.
(31)Autoritaţile publice carora le sunt divulgate date cu caracter personal in conformitate cu o obligaţie legala in vederea exercitarii funcţiei lor oficiale, cum ar fi autoritaţile fiscale şi vamale, unitaţile de investigare financiara, autoritaţile administrative independente sau autoritaţile pieţelor financiare responsabile de reglementarea şi supravegherea pieţelor titlurilor de valoare, nu ar trebui sa fie considerate destinatari in cazul in care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, in conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritaţile publice ar trebui sa fie intotdeauna prezentate in scris, motivate şi ocazionale şi nu ar trebui sa se refere la un sistem de evidenţa in totalitate sau sa conduca la interconectarea sistemelor de evidenţa. Prelucrarea datelor cu caracter personal de catre autoritaţile publice respective ar trebui sa respecte normele aplicabile in materie de protecţie a datelor in conformitate cu scopurile prelucrarii.
(32)Consimţamântul ar trebui acordat printr-o acţiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunoştinţa de cauza şi clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie facuta in scris, inclusiv in format electronic, sau verbal. Acesta ar putea include bifarea unei casuţe atunci când persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societaţii informaţionale sau orice alta declaraţie sau acţiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui raspuns, casuţele bifate in prealabil sau absenţa unei acţiuni nu ar trebui sa constituie un consimţamânt. Consimţamântul ar trebui sa vizeze toate activitaţile de prelucrare efectuate in acelaşi scop sau in aceleaşi scopuri. Daca prelucrarea datelor se face in mai multe scopuri, consimţamântul ar trebui dat pentru toate scopurile prelucrarii. În cazul in care consimţamântul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara şi concisa şi sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimţamântul.
(33)Adesea nu este posibil, in momentul colectarii datelor cu caracter personal, sa se identifice pe deplin scopul prelucrarii datelor in scopuri de cercetare ştiinţifica. Din acest motiv, persoanelor vizate ar
trebui sa li se permita sa işi exprime consimţamântul pentru anumite domenii ale cercetarii ştiinţifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea ştiinţifica. Persoanele vizate ar trebui sa aiba posibilitatea de a-şi exprima consimţamântul doar pentru anumite domenii de cercetare sau parţi ale proiectelor de cercetare in masura permisa de scopul preconizat.
(34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care rezulta in urma unei analize a unei mostre de material biologic al persoanei fizice in cauza, in special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricarui alt element ce permite obţinerea unor informaţii echivalente.
(35)Datele cu caracter personal privind sanatatea ar trebui sa includa toate datele având legatura cu starea de sanatate a persoanei vizate care dezvaluie informaţii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate. Acestea includ informaţii despre persoana fizica colectate in cadrul inscrierii acesteia la serviciile de asistenţa medicala sau in cadrul acordarii serviciilor respective persoanei fizice in cauza, astfel cum sunt menţionate in Directiva 2011/24/UE a Parlamentului European şi a Consiliului (1); un numar, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulara a acesteia in scopuri medicale; informaţii rezultate din testarea sau examinarea unei parţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boala, un handicap, un risc de imbolnavire, istoricul medical, tratamentul clinic sau starea fiziologica sau biomedicala a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
(1)Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienţilor in cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45). (36)Sediul principal al unui operator in Uniune ar trebui sa fie locul in care se afla administraţia centrala a acestuia in Uniune, cu excepţia cazului in care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului in Uniune. În acest caz, acesta din urma ar trebui considerat drept sediul principal. Sediul principal al unui operator in Uniune ar trebui sa fie determinat conform unor criterii obiective şi ar trebui sa implice exercitarea efectiva şi reala a unor activitaţi de gestionare care sa determine principalele decizii cu privire la scopurile şi mijloacele de prelucrare in cadrul unor inţelegeri stabile. Acest criteriu nu ar trebui sa depinda de realizarea prelucrarii datelor cu caracter personal in locul respectiv. Prezenţa şi utilizarea mijloacelor tehnice şi a tehnologiilor de prelucrare a datelor cu caracter personal sau activitaţile de prelucrare nu constituie un sediu principal şi, prin urmare, nu sunt criteriul determinant in acest sens. Sediul principal al persoanei imputernicite de operator ar trebui sa fie locul in care se afla administraţia centrala a acestuia in Uniune sau, in cazul in care nu are o administraţie centrala in Uniune, locul in care se desfaşoara principalele activitaţi de prelucrare in Uniune. În cazurile care implica atât operatorul, cât şi persoana imputernicita de operator, autoritatea de supraveghere principala competenta ar trebui sa ramâna autoritatea de supraveghere a statului membru in care operatorul işi are sediul principal, dar autoritatea de supraveghere a persoanei imputernicite de operator ar trebui considerata ca fiind o autoritate de supraveghere vizata şi acea autoritate de supraveghere ar trebui sa participe la procedura de cooperare prevazuta de prezentul regulament. În orice caz, autoritaţile de supraveghere ale statului membru sau ale statelor membre in care persoana imputernicita de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoritaţi de supraveghere vizate in cazul in care proiectul de decizie nu se refera decât la operator. În cazul in care prelucrarea este efectuata de un grup de intreprinderi, sediul principal al intreprinderii care exercita controlul ar trebui considerat drept sediul principal al grupului de intreprinderi, cu excepţia cazului in care scopurile şi mijloacele aferente prelucrarii sunt stabilite de o alta intreprindere.
(37)Un grup de intreprinderi ar trebui sa cuprinda o intreprindere care exercita controlul şi intreprinderile controlate de aceasta, in cadrul caruia intreprinderea care exercita controlul ar trebui sa fie intreprinderea care poate exercita o influenţa dominanta asupra celorlalte intreprinderi, de exemplu in temeiul proprietaţii, al participarii financiare sau al regulilor care o reglementeaza sau al competenţei de a pune in aplicare norme in materie de protecţie a datelor cu caracter personal. O intreprindere care
controleaza prelucrarea datelor cu caracter personal in intreprinderile sale afiliate ar trebui considerata, impreuna cu acestea din urma, drept „grup de intreprinderi”.
(38)Copiii au nevoie de o protecţie specifica a datelor lor cu caracter personal, intrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile in cauza şi drepturile lor in ceea ce priveşte prelucrarea datelor cu caracter personal. Aceasta protecţie specifica ar trebui sa se aplice in special utilizarii datelor cu caracter personal ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor. Consimţamântul titularului raspunderii parinteşti nu ar trebui sa fie necesar in contextul serviciilor de prevenire sau consiliere oferite direct copiilor.
(39)Orice prelucrare de date cu caracter personal ar trebui sa fie legala şi echitabila. Ar trebui sa fie transparent pentru persoanele fizice ca sunt colectate, utilizate, consultate sau prelucrate in alt mod datele cu caracter personal care le privesc şi in ce masura datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenţei prevede ca orice informaţii şi comunicari referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de inţeles şi ca se utilizeaza un limbaj simplu şi clar. Acest principiu se refera in special la informarea persoanelor vizate privind identitatea operatorului şi scopurile prelucrarii, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabila şi transparenta in ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile in materie de prelucrare a datelor cu caracter personal şi cu privire la modul in care sa işi exercite drepturile in legatura cu prelucrarea. În special, scopurile specifice in care datele cu caracter personal sunt prelucrate ar trebui sa fie explicite şi legitime şi sa fie determinate la momentul colectarii datelor respective. Datele cu caracter personal ar trebui sa fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile in care sunt prelucrate. Aceasta necesita, in special, asigurarea faptului ca perioada pentru care datele cu caracter personal sunt stocate este limitata strict la minimum. Datele cu caracter personal ar trebui prelucrate doar daca scopul prelucrarii nu poate fi indeplinit in mod rezonabil prin alte mijloace. În vederea asigurarii faptului ca datele cu caracter personal nu sunt pastrate mai mult timp decât este necesar, ar trebui sa se stabileasca de catre operator termene pentru ştergere sau revizuirea periodica. Ar trebui sa fie luate toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea şi confidenţialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.
(40)Pentru ca prelucrarea datelor cu caracter personal sa fie legala, aceasta ar trebui efectuata pe baza consimţamântului persoanei vizate sau in temeiul unui alt motiv legitim, prevazut de lege, fie in prezentul regulament, fie in alt act din dreptul Uniunii sau din dreptul intern, dupa cum se prevede in prezentul regulament, inclusiv necesitatea respectarii obligaţiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizata este parte sau pentru a parcurge etapele premergatoare incheierii unui contract, la solicitarea persoanei vizate.
(41)Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament, fara a aduce atingere cerinţelor care decurg din ordinea constituţionala a statului membru in cauza. Cu toate acestea, un astfel de temei juridic sau o astfel de masura legislativa ar trebui sa fie clara şi precisa, iar aplicarea acesteia ar trebui sa fie previzibila pentru persoanele vizate de aceasta, in conformitate cu jurisprudenţa Curţii de Justiţie a Uniunii Europene („Curtea de Justiţie”) şi a Curţii Europene a Drepturilor Omului.
(42)În cazul in care prelucrarea se bazeaza pe consimţamântul persoanei vizate, operatorul ar trebui sa fie in masura sa demonstreze faptul ca persoana vizata şi-a dat consimţamântul pentru operaţiunea de prelucrare. În special, in contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile ar trebui sa asigure ca persoana vizata este conştienta de faptul ca şi-a dat consimţamântul şi in ce masura a facut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebui furnizata o declaraţie de consimţamânt formulata in prealabil de catre operator, intr-o forma inteligibila
şi uşor accesibila, utilizând un limbaj clar şi simplu, iar aceasta declaraţie nu ar trebui sa conţina clauze abuzive. Pentru ca acordarea consimţamântului sa fie in cunoştinţa de cauza, persoana vizata ar trebui sa fie la curent cel puţin cu identitatea operatorului şi cu scopurile prelucrarii pentru care sunt destinate datele cu caracter personal. Consimţamântul nu ar trebui considerat ca fiind acordat in mod liber daca persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa işi retraga consimţamântul fara a fi prejudiciata.
(1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive in contractele incheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(43)Pentru a garanta faptul ca a fost acordat in mod liber, consimţamântul nu ar trebui sa constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal in cazul particular in care exista un dezechilibru evident intre persoana vizata şi operator, in special in cazul in care operatorul este o autoritate publica, iar acest lucru face improbabila acordarea consimţamântului in mod liber in toate circumstanţele aferente respectivei situaţii particulare. Consimţamântul este considerat a nu fi acordat in mod liber in cazul in care aceasta nu permite sa se acorde consimţamântul separat pentru diferitele operaţiuni de prelucrare a datelor cu caracter personal, deşi acest lucru este adecvat in cazul particular, sau daca executarea unui contract, inclusiv furnizarea unui serviciu, este condiţionata de consimţamânt, in ciuda faptului ca consimţamântul in cauza nu este necesar pentru executarea contractului.
(44)Prelucrarea ar trebui sa fie considerata legala in cazul in care este necesara in cadrul unui contract sau in vederea incheierii unui contract.
(45)În cazul in care prelucrarea este efectuata in conformitate cu o obligaţie legala a operatorului sau in cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autoritaţii publice, prelucrarea ar trebui sa aiba un temei in dreptul Uniunii sau in dreptul intern. Prezentul regulament nu impune existenţa unei legi specifice pentru fiecare prelucrare in parte. Poate fi suficienta o singura lege drept temei pentru mai multe operaţiuni de prelucrare efectuate in conformitate cu o obligaţie legala a operatorului sau in cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autoritaţii publice. De asemenea, ar trebui ca scopul prelucrarii sa fie stabilit in dreptul Uniunii sau in dreptul intern. Mai mult decât atât, dreptul respectiv ar putea sa specifice condiţiile generale ale prezentului regulament care reglementeaza legalitatea prelucrarii datelor cu caracter personal, sa determine specificaţiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrarii, a persoanelor vizate, a entitaţilor carora le pot fi divulgate datele cu caracter personal, a limitarilor in funcţie de scop, a perioadei de stocare şi a altor masuri pentru a garanta o prelucrare legala şi echitabila. De asemenea, ar trebui sa se stabileasca in dreptul Uniunii sau in dreptul intern daca operatorul care indeplineşte o sarcina care serveşte unui interes public sau care face parte din exercitarea autoritaţii publice ar trebui sa fie o autoritate publica sau o alta persoana fizica sau juridica guvernata de dreptul public sau, atunci când motive de interes public justifica acest lucru, inclusiv in scopuri medicale, precum sanatatea publica şi protecţia sociala, precum şi gestionarea serviciilor de asistenţa medicala, de dreptul privat, cum ar fi o asociaţie profesionala.
(46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, sa fie considerata legala in cazul in care este necesara in scopul asigurarii protecţiei unui interes care este esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuata numai in cazul in care prelucrarea nu se poate baza in mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, de exemplu in cazul in care prelucrarea este necesara in scopuri umanitare, inclusiv in vederea monitorizarii unei epidemii şi a raspândirii acesteia sau in situaţii de urgenţe umanitare, in special in situaţii de dezastre naturale sau provocate de om.
(47)Interesele legitime ale unui operator, inclusiv cele ale unui operator caruia ii pot fi divulgate datele cu caracter personal sau ale unei terţe parţi, pot constitui un temei juridic pentru prelucrare, cu condiţia sa nu prevaleze interesele sau drepturile şi libertaţile fundamentale ale persoanei vizate, luând
in considerare aşteptarile rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când exista o relaţie relevanta şi adecvata intre persoana vizata şi operator, cum ar fi cazul in care persoana vizata este un client al operatorului sau se afla in serviciul acestuia. În orice caz, existenţa unui interes legitim ar necesita o evaluare atenta, care sa stabileasca inclusiv daca o persoana vizata poate preconiza in mod rezonabil, in momentul şi in contextul colectarii datelor cu caracter personal, posibilitatea prelucrarii in acest scop. Interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala in special in raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate in circumstanţe in care persoanele vizate nu preconizeaza in mod rezonabil o prelucrare ulterioara. Întrucât legiuitorul trebuie sa furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de catre autoritaţile publice, temeiul juridic respectiv nu ar trebui sa se aplice prelucrarii de catre autoritaţile publice in indeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesara in scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date in cauza. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerata ca fiind desfaşurata pentru un interes legitim.
(48)Operatorii care fac parte dintr-un grup de intreprinderi sau instituţii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal in cadrul grupului de intreprinderi in scopuri administrative interne, inclusiv in scopul prelucrarii datelor cu caracter personal ale clienţilor sau angajaţilor. Principiile generale ale transferului de date cu caracter personal, in cadrul unui grup de intreprinderi, catre o intreprindere situata intr-o ţara terţa ramân neschimbate.
(49)Prelucrarea datelor cu caracter personal in masura strict necesara şi proporţionala in scopul asigurarii securitaţii reţelelor şi a informaţiilor, şi anume capacitatea unei reţele sau a unui sistem de informaţii de a face faţa, la un anumit nivel de incredere, evenimentelor accidentale sau acţiunilor ilegale sau rau intenţionate care compromit disponibilitatea, autenticitatea, integritatea şi confidenţialitatea datelor cu caracter personal stocate sau transmise, precum şi securitatea serviciilor conexe oferite de aceste reţele şi sisteme, sau accesibile prin intermediul acestora, de catre autoritaţile publice, echipele de intervenţie in caz de urgenţa informatica, echipele de intervenţie in cazul producerii unor incidente care afecteaza securitatea informatica, furnizorii de reţele şi servicii de comunicaţii electronice, precum şi de catre furnizorii de servicii şi tehnologii de securitate, constituie un interes legitim al operatorului de date in cauza. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reţelele de comunicaţii electronice şi a difuzarii de coduri daunatoare şi oprirea atacurilor de „blocare a serviciului”, precum şi prevenirea daunelor aduse calculatoarelor şi sistemelor de comunicaţii electronice.
(50)Prelucrarea datelor cu caracter personal in alte scopuri decât scopurile pentru care datele cu caracter personal au fost iniţial colectate ar trebui sa fie permisa doar atunci când prelucrarea este compatibila cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza caruia a fost permisa colectarea datelor cu caracter personal. În cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este investit operatorul, dreptul Uniunii sau dreptul intern poate stabili şi specifica sarcinile şi scopurile pentru care prelucrarea ulterioara ar trebui considerata a fi compatibila şi legala. Prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice ar trebui considerata ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic prevazut in dreptul Uniunii sau in dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioara. Pentru a stabili daca scopul prelucrarii ulterioare este compatibil cu scopul pentru care au fost colectate iniţial datele cu caracter personal, operatorul, dupa ce a indeplinit toate cerinţele privind legalitatea prelucrarii iniţiale, ar trebui sa ţina seama, printre altele, de orice legatura intre respectivele scopuri şi scopurile prelucrarii ulterioare preconizate, de contextul in care au fost colectate datele cu caracter personal, in special de aşteptarile rezonabile ale persoanelor vizate, bazate pe relaţia lor cu operatorul, in ceea ce priveşte utilizarea ulterioara a datelor, de natura datelor cu caracter personal, de consecinţele prelucrarii ulterioare
preconizate asupra persoanelor vizate, precum şi de existenţa garanţiilor corespunzatoare atât in cadrul operaţiunilor de prelucrare iniţiale, cât şi in cadrul operaţiunilor de prelucrare ulterioare preconizate.
În cazul in care persoana vizata şi-a dat consimţamântul sau prelucrarea se bazeaza pe dreptul Uniunii sau pe dreptul intern, care constituie o masura necesara şi proporţionala intr-o societate democratica pentru a proteja, in special, obiective importante de interes public general, operatorul ar trebui sa aiba posibilitatea de a prelucra in continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor stabilite de prezentul regulament şi, in special, informarea persoanei vizate cu privire la aceste alte scopuri şi la drepturile sale, inclusiv dreptul la opoziţie, ar trebui sa fie garantate. Indicarea unor posibile infracţiuni sau ameninţari la adresa siguranţei publice de catre operator şi transmiterea catre o autoritate competenta a datelor cu caracter personal relevante in cazuri individuale sau in mai multe cazuri legate de aceeaşi infracţiune sau de aceleaşi ameninţari la adresa siguranţei publice ar trebui considerata ca fiind in interesul legitim urmarit de operator. Cu toate acestea, o astfel de transmitere in interesul legitim al operatorului sau prelucrarea ulterioara a datelor cu caracter personal ar trebui interzisa in cazul in care prelucrarea nu este compatibila cu o obligaţie legala, profesionala sau cu o alta obligaţie de pastrare a confidenţialitaţii.
(51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile in ceea ce priveşte drepturile şi libertaţile fundamentale necesita o protecţie specifica, deoarece contextul prelucrarii acestora ar putea genera riscuri considerabile la adresa drepturilor şi libertaţilor fundamentale. Aceste date cu caracter personal ar trebui sa includa datele cu caracter personal care dezvaluie originea rasiala sau etnica, utilizarea termenului „origine rasiala” in prezentul regulament neimplicând o acceptare de catre Uniune a teoriilor care urmaresc sa stabileasca existenţa unor rase umane separate. Prelucrarea fotografiilor nu ar trebui sa fie considerata in mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, intrucât fotografiile intra sub incidenţa definiţiei datelor biometrice doar in cazurile in care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unica sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepţia cazului in care prelucrarea este permisa in cazuri specifice prevazute de prezentul regulament, ţinând seama de faptul ca dreptul statelor membre poate prevedea dispoziţii specifice cu privire la protecţia datelor in scopul adaptarii aplicarii normelor din prezentul regulament in vederea respectarii unei obligaţii legale sau a indeplinirii unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este investit operatorul. Pe lânga cerinţele specifice pentru o astfel de prelucrare, ar trebui sa se aplice principiile generale şi alte norme prevazute de prezentul regulament, in special in ceea ce priveşte condiţiile pentru prelucrarea legala. Ar trebui prevazute in mod explicit derogari de la interdicţia generala de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizata işi da consimţamântul explicit sau in ceea ce priveşte nevoile specifice in special atunci când prelucrarea este efectuata in cadrul unor activitaţi legitime de catre anumite asociaţii sau fundaţii al caror scop este de a permite exercitarea libertaţilor fundamentale.
(52)Derogarea de la interdicţia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui sa fie permisa, de asemenea, in cazul in care dreptul Uniunii sau dreptul intern prevede acest lucru şi ar trebui sa faca obiectul unor garanţii adecvate, astfel incât sa fie protejate datele cu caracter personal şi alte drepturi fundamentale, atunci când acest lucru se justifica din motive de interes public, in special in cazul prelucrarii datelor cu caracter personal in domeniul legislaţiei privind ocuparea forţei de munca, protecţia sociala, inclusiv pensiile, precum şi in scopuri de securitate, supraveghere şi alerta in materie de sanatate, pentru prevenirea sau controlul bolilor transmisibile şi a altor ameninţari grave la adresa sanataţii. Aceasta derogare poate fi acordata in scopuri medicale, inclusiv sanatatea publica şi gestionarea serviciilor de asistenţa medicala, in special in vederea asigurarii calitaţii şi eficienţei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluţionarea cererilor de prestaţii şi servicii in cadrul sistemului de asigurari de sanatate, sau in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisa, printr-o derogare, atunci când este necesara pentru constatarea, exercitarea sau apararea unui drept in justiţie, indiferent daca are loc in cadrul unei
proceduri in faţa unei instanţe sau in cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53)Categoriile speciale de date cu caracter personal care necesita un nivel mai ridicat de protecţie ar trebui prelucrate doar in scopuri legate de sanatate atunci când este necesar pentru realizarea acestor scopuri in beneficiul persoanelor fizice şi al societaţii in general, in special in contextul gestionarii serviciilor şi sistemelor de sanatate sau de asistenţa sociala, inclusiv prelucrarea acestor date de catre autoritaţile de management şi de catre autoritaţile centrale naţionale din domeniul sanataţii in scopul controlului calitaţii, furnizarii de informaţii de gestiune şi al supravegherii generale a sistemului de sanatate sau de asistenţa sociala la nivel naţional şi local, precum şi in contextul asigurarii continuitaţii asistenţei medicale sau sociale şi a asistenţei medicale transfrontaliere ori in scopuri de securitate, supraveghere şi alerta in materie de sanatate ori in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice in temeiul dreptului Uniunii sau al dreptului intern, care trebuie sa urmareasca un obiectiv de interes public, precum şi in cazul studiilor realizate in interes public in domeniul sanataţii publice. Prin urmare, prezentul regulament ar trebui sa prevada condiţii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sanatatea, in ceea ce priveşte nevoile specifice, in special atunci când prelucrarea acestor date este efectuata in anumite scopuri legate de sanatate de catre persoane care fac obiectul unei obligaţii legale de a pastra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui sa prevada masuri specifice şi adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui sa aiba posibilitatea de a menţine sau de a introduce condiţii suplimentare, inclusiv restricţii, in ceea ce priveşte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea. Totuşi, acest lucru nu ar trebui sa impiedice libera circulaţie a datelor cu caracter personal in cadrul Uniunii atunci când aceste condiţii se aplica prelucrarii transfrontaliere a unor astfel de date.
(54)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesara din motive de interes public in domeniile sanataţii publice, fara consimţamântul persoanei vizate. O astfel de prelucrare ar trebui condiţionata de masuri adecvate şi specifice destinate sa protejeze drepturile şi libertaţile persoanelor fizice. În acest context, conceptul de „sanatate publica” ar trebui interpretat astfel cum este definit in Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului (1), şi anume toate elementele referitoare la sanatate şi anume starea de sanatate, inclusiv morbiditatea sau handicapul, factorii determinanţi care au efect asupra starii de sanatate, necesitaţile in domeniul asistenţei medicale, resursele alocate asistenţei medicale, furnizarea asistenţei medicale şi asigurarea accesului universal la aceasta, precum şi cheltuielile şi sursele de finanţare in domeniul sanataţii şi cauzele mortalitaţii. Aceasta prelucrare a datelor privind sanatatea din motive de interes public nu ar trebui sa duca la prelucrarea acestor date in alte scopuri de catre parţi terţe, cum ar fi angajatorii sau societaţile de asigurari şi bancile.
(1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sanatatea publica, precum şi la sanatatea şi siguranţa la locul de munca (JO L 354, 31.12.2008, p. 70).
(55)În plus, prelucrarea datelor cu caracter personal de catre autoritaţile publice in vederea realizarii obiectivelor prevazute de dreptul constituţional sau de dreptul internaţional public, ale asociaţiilor religioase recunoscute oficial se efectueaza din motive de interes public.
(56)În cazul in care, in cadrul activitaţilor electorale, funcţionarea sistemului democratic necesita, intr- un stat membru, ca partidele politice sa colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisa din motive de interes public, cu condiţia sa se prevada garanţiile corespunzatoare.
(57)Daca datele cu caracter personal prelucrate de un operator nu ii permit acestuia sa identifice o persoana fizica, operatorul de date nu ar trebui sa aiba obligaţia de a obţine informaţii suplimentare in vederea identificarii persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziţiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui sa refuze sa preia informaţiile suplimentare furnizate de persoana vizata cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui sa includa identificarea digitala a unei persoane vizate, de exemplu prin mecanisme de
autentificare precum aceleaşi acreditari utilizate de catre persoana vizata pentru a accesa serviciile online oferite de operatorul de date.
(58)Principiul transparenţei prevede ca orice informaţii care se adreseaza publicului sau persoanei vizate sa fie concise, uşor accesibile şi uşor de inţeles şi sa se utilizeze un limbaj simplu şi clar, precum şi vizualizare acolo unde este cazul. Aceste informaţii ar putea fi furnizate in format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important in special in situaţii in care datorita multitudinii actorilor şi a complexitaţii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizata sa ştie şi sa inţeleaga daca datele cu caracter personal care o privesc sunt colectate, de catre cine şi in ce scop, cum este cazul publicitaţii online. Întrucât copii necesita o protecţie specifica, orice informaţii şi orice comunicare, in cazul in care prelucrarea vizeaza un copil, ar trebui sa fie exprimate intr-un limbaj simplu şi clar, astfel incât copilul sa il poata inţelege cu uşurinţa.
(59)Ar trebui sa fie prevazute modalitaţi de facilitare a exercitarii de catre persoana vizata a drepturilor care ii sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita şi, daca este cazul, obţine, in mod gratuit, in special, acces la datele cu caracter personal, precum şi rectificarea sau ştergerea acestora, şi exercitarea dreptului la opoziţie. Operatorul ar trebui sa ofere, de asemenea, modalitaţi de introducere a cererilor pe cale electronica, mai ales in cazul in care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui sa aiba obligaţia de a raspunde cererilor persoanelor vizate fara intârzieri nejustificate şi cel târziu in termen de o luna şi, in cazul in care nu intenţioneaza sa se conformeze respectivele cereri, sa motiveze acest refuz.(60)Conform principiilor prelucrarii echitabile şi transparente, persoana vizata este informata cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui sa furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabila şi transparenta, ţinând seama de circumstanţele specifice şi de contextul in care sunt prelucrate datele cu caracter personal. În plus, persoana vizata ar trebui informata cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizata, aceasta ar trebui informata, de asemenea, daca are obligaţia de a furniza datele cu caracter personal şi care sunt consecinţele in cazul unui refuz. Aceste informaţii pot fi furnizate in combinaţie cu pictograme standardizate pentru a oferi intr-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute in vedere. În cazul in care pictogramele sunt prezentate in format electronic, acestea ar trebui sa poata fi citite automat.
(61)Informaţiile in legatura cu prelucrarea datelor cu caracter personal referitoare la persoana vizata ar trebui furnizate acesteia la momentul colectarii de la persoana vizata sau, in cazul in care datele cu caracter personal sunt obţinute din alta sursa, intr-o perioada rezonabila, in funcţie de circumstanţele cazului. În cazul in care datele cu caracter personal pot fi divulgate in mod legitim unui alt destinatar, persoana vizata ar trebui informata atunci când datele cu caracter personal sunt divulgate pentru prima data destinatarului. În cazul in care operatorul intenţioneaza sa prelucreze datele cu caracter personal intr-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui sa furnizeze persoanei vizate, inainte de aceasta prelucrare ulterioara, informaţii privind scopul secundar respectiv şi alte informaţii necesare. În cazul in care originea datelor cu caracter personal nu a putut fi comunicata persoanei vizate din cauza ca au fost utilizate surse diverse, informaţiile generale ar trebui furnizate. (62)Cu toate acestea, nu este necesara impunerea obligaţiei de a furniza informaţii in cazul in care persoana vizata deţine deja informaţiile, in cazul in care inregistrarea sau divulgarea datelor cu caracter personal este prevazuta in mod expres de lege sau in cazul in care informarea persoanei vizate se dovedeşte imposibila sau ar implica eforturi disproporţionate. Acesta din urma ar putea fi cazul in special atunci când prelucrarea se efectueaza in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice. În aceasta privinţa, ar trebui luate in considerare numarul persoanelor vizate, vechimea datelor şi orice garanţii adecvate adoptate.
(63)O persoana vizata ar trebui sa aiba drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui sa işi exercite acest drept cu uşurinţa şi la intervale de timp rezonabile, pentru a fi informata cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sanatatea, de exemplu datele din registrele lor
medicale conţinând informaţii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor curanţi şi orice tratament sau intervenţie efectuata. Orice persoana vizata ar trebui, prin urmare, sa aiba dreptul de a cunoaşte şi de a i se comunica in special scopurile in care sunt prelucrate datele, daca este posibil perioada pentru care se prelucreaza datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automata a datelor cu caracter personal şi, cel puţin in cazul in care se bazeaza pe crearea de profiluri, consecinţele unei astfel de prelucrari. Daca acest lucru este posibil, operatorul de date ar trebui sa poata furniza acces de la distanţa la un sistem sigur, care sa ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui sa aduca atingere drepturilor sau libertaţilor altora, inclusiv secretului comercial sau proprietaţii intelectuale şi, in special, drepturilor de autor care asigura protecţia programelor software. Cu toate acestea, consideraţiile de mai sus nu ar trebui sa aiba drept rezultat refuzul de a furniza toate informaţiile persoanei vizate. Atunci când operatorul prelucreaza un volum mare de informaţii privind persoana vizata, operatorul ar trebui sa poata solicita ca, inainte de a ii fi furnizate informaţiile, persoana vizata sa precizeze informaţiile sau activitaţile de prelucrare la care se refera cererea sa. (64)Operatorul ar trebui sa ia toate masurile rezonabile pentru a verifica identitatea unei persoane vizate care solicita acces la date, in special in contextul serviciilor online şi al identificatorilor online. Un operator nu ar trebui sa reţina datele cu caracter personal in scopul exclusiv de a fi in masura sa reacţioneze la cereri potenţiale.
(65)O persoana vizata ar trebui sa aiba dreptul la rectificarea datelor cu caracter personal care o privesc şi „dreptul de a fi uitata”, in cazul in care pastrarea acestor date incalca prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa caruia intra operatorul. În special, persoanele vizate ar trebui sa aiba dreptul ca datele lor cu caracter personal sa fie şterse şi sa nu mai fie prelucrate, in cazul in care datele cu caracter personal nu mai sunt necesare pentru scopurile in care sunt colectate sau sunt prelucrate, in cazul in care persoanele vizate şi-au retras consimţamântul pentru prelucrare sau in cazul in care acestea se opun prelucrarii datelor cu caracter personal care le privesc sau in cazul in care prelucrarea datelor cu caracter personal ale acestora nu este conforma cu prezentul regulament. Acest drept este relevant in special in cazul in care persoana vizata şi-a dat consimţamântul când era copil şi nu cunoştea pe deplin riscurile pe care le implica prelucrarea, iar ulterior doreşte sa elimine astfel de date cu caracter personal, in special de pe internet. Persoana vizata ar trebui sa aiba posibilitatea de a-şi exercita acest drept in pofida faptului ca nu mai este copil. Cu toate acestea, pastrarea in continuare a datelor cu caracter personal ar trebui sa fie legala in cazul in care este necesara pentru exercitarea dreptului la libertatea de exprimare şi de informare, pentru respectarea unei obligaţii legale, pentru indeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este investit operatorul, din motive de interes public in domeniul sanataţii publice, in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice sau pentru constatarea, exercitarea sau apararea unui drept in instanţa.
(66)Pentru a se consolida „dreptul de a fi uitat” in mediul online, dreptul de ştergere ar trebui sa fie extins astfel incât un operator care a facut publice date cu caracter personal ar trebui sa aiba obligaţia de a informa operatorii care prelucreaza respectivele date cu caracter personal sa ştearga orice linkuri catre datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul in cauza ar trebui sa ia masuri rezonabile, ţinând seama de tehnologia disponibila şi de mijloacele aflate la dispoziţia lui, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal in ceea ce priveşte cererea persoanei vizate.
(67)Metodele de restricţionare a prelucrarii de date cu caracter personal ar putea include, printre altele, mutarea temporara a datelor cu caracter personal selectate intr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau inlaturarea temporara a datelor publicate de pe un site. În ceea ce priveşte sistemele automatizate de evidenţa a datelor, restricţionarea prelucrarii ar trebui, in principiu, asigurata prin mijloace tehnice in aşa fel incât datele cu caracter personal sa nu faca obiectul unor operaţiuni de prelucrare ulterioara şi sa nu mai poata fi schimbate. Faptul ca prelucrarea datelor cu caracter personal este restricţionata ar trebui indicat in mod clar in sistem.
(68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizata ar trebui, in cazul in care datele cu caracter personal sunt prelucrate prin mijloace automate, sa poata primi datele cu caracter personal care o privesc şi pe care le-a furnizat unui operator, intr-un format structurat, utilizat in mod curent, prelucrabil automat şi interoperabil şi sa le poata transmite unui alt operator. Operatorii de date ar trebui sa fie incurajaţi sa dezvolte formate interoperabile care sa permita portabilitatea datelor. Acest drept ar trebui sa se aplice in cazul in care persoana vizata a furnizat datele cu caracter personal pe baza propriului consimţamânt sau in cazul in care prelucrarea datelor este necesara pentru executarea unui contract. Acest drept nu ar trebui sa se aplice in cazul in care prelucrarea se bazeaza pe un alt temei juridic decât consimţamântul sau contractul. Prin insaşi natura sa, acest drept nu ar trebui exercitat impotriva operatorilor care prelucreaza date cu caracter personal in cadrul exercitarii funcţiilor lor publice. Acesta nu ar trebui sa se aplice in special in cazul in care prelucrarea de date cu caracter personal este necesara in vederea respectarii unei obligaţii legale careia ii este supus operatorul sau in cazul indeplinirii unei sarcini care serveşte unui interes public sau care rezulta din exercitarea unei autoritaţi publice cu care este investit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui sa creeze pentru operatori obligaţia de a adopta sau de a menţine sisteme de prelucrare care sa fie compatibile din punct de vedere tehnic. În cazul in care, intr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui sa aduca atingere drepturilor şi libertaţilor altor persoane vizate, in conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui sa aduca atingere dreptului persoanei vizate de a obţine ştergerea datelor cu caracter personal şi limitarilor dreptului respectiv, astfel cum sunt prevazute in prezentul regulament, şi nu ar trebui, in special, sa implice ştergerea acelor date cu caracter personal referitoare la persoana vizata care au fost furnizate de catre aceasta in vederea executarii unui contract, in masura in care şi atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizata ar trebui sa aiba dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul, daca acest lucru este fezabil din punct de vedere tehnic.
(69)În cazurile in care datele cu caracter personal ar putea fi prelucrate in mod legal deoarece prelucrarea este necesara pentru indeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este investit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei parţi terţe, o persoana vizata ar trebui sa aiba totuşi dreptul de a se opune prelucrarii oricaror date cu caracter personal care se refera la situaţia sa particulara. Ar trebui sa revina operatorului sarcina de a demonstra ca interesele sale legitime şi imperioase prevaleaza asupra intereselor sau a drepturilor şi libertaţilor fundamentale ale persoanei vizate.
(70)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de marketing direct, persoana vizata ar trebui sa aiba dreptul de a se opune unei astfel de prelucrari, inclusiv crearii de profiluri in masura in care aceasta are legatura cu marketingul direct, indiferent daca prelucrarea in cauza este cea iniţiala sau una ulterioara, in orice moment şi in mod gratuit. Acest drept ar trebui adus in mod explicit in atenţia persoanei vizate şi prezentat in mod clar şi separat de orice alte informaţii.
(71)Persoana vizata ar trebui sa aiba dreptul de a nu face obiectul unei decizii, care poate include o masura, care evalueaza aspecte personale referitoare la persoana vizata, care se bazeaza exclusiv pe
prelucrarea automata şi care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronica, fara intervenţie umana. O astfel de prelucrare include „crearea de profiluri”, care consta in orice forma de prelucrare automata a datelor cu caracter personal
prin evaluarea aspectelor personale referitoare la o persoana fizica, in special in vederea analizarii sau preconizarii anumitor aspecte privind randamentul la locul de munca al persoanei vizate, situaţia economica, starea de sanatate, preferinţele sau interesele personale, fiabilitatea sau comportamentul,
locaţia sau deplasarile, atunci când aceasta produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrari, inclusiv crearea de profiluri, ar trebui permisa in cazul in care este autorizata in mod expres in dreptul Uniunii sau in dreptul intern care se aplica operatorului, inclusiv in scopul
monitorizarii şi prevenirii fraudei şi a evaziunii fiscale, desfaşurate in conformitate cu reglementarile,
standardele şi recomandarile instituţiilor Uniunii sau ale organismelor naţionale de supraveghere, şi in scopul asigurarii securitaţii şi fiabilitaţii unui serviciu oferit de operator sau in cazul in care este
necesara pentru incheierea sau executarea unui contract intre persoana vizata şi un operator sau in cazul in care persoana vizata şi-a dat in mod explicit consimţamântul. În orice caz, o astfel de prelucrare ar trebui sa faca obiectul unor garanţii corespunzatoare, care ar trebui sa includa o informare specifica a persoanei vizate şi dreptul acesteia de a obţine intervenţie umana, de a-şi
exprima punctul de vedere, de a primi o explicaţie privind decizia luata in urma unei astfel de evaluari,
precum şi dreptul de a contesta decizia. O astfel de masura nu ar trebui sa se refere la un copil.
Pentru a asigura o prelucrare echitabila şi transparenta in ceea ce priveşte persoana vizata, având in
vedere circumstanţele specifice şi contextul in care sunt prelucrate datele cu caracter personal, operatorul ar trebui sa utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, sa implementeze masuri tehnice şi organizatorice adecvate pentru a asigura in special faptul ca factorii care duc la inexactitaţi ale datelor cu caracter personal sunt corectaţi şi ca riscul de erori este
redus la minimum, precum şi sa securizeze datele cu caracter personal intr-un mod care sa ţina seama de pericolele potenţiale la adresa intereselor şi drepturilor persoanei vizate şi sa previna, printre altele, efectele discriminatorii impotriva persoanelor pe motiv de rasa sau origine etnica, opinii politice, religie
sau convingeri, apartenenţa sindicala, caracteristici genetice, stare de sanatate sau orientare sexuala sau prelucrari care sa duca la masuri care sa aiba astfel de efecte. Procesul decizional automatizat şi crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise
numai in condiţii specifice.
(la data 23-mai-2018 alin. (71
) rectificat de punctul 1. din Rectificare din 23-mai-2018 )
(72)Crearea de profiluri este supusa normelor prezentului regulament care reglementeaza prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrarii sau principiile de protecţie a datelor. Comitetul european pentru protecţia datelor instituit prin prezentul regulament („comitetul”) ar trebui sa poata emite orientari in acest context.
(73)Dreptul Uniunii sau dreptul intern poate impune restricţii in privinţa unor principii specifice, in privinţa dreptului de informare, a dreptului de acces la datele cu caracter personal şi de rectificare sau ştergere a acestora, in privinţa dreptului la portabilitatea datelor, a dreptului la opoziţie, a deciziilor bazate pe crearea de profiluri, precum şi in privinţa comunicarii unei incalcari a securitaţii datelor cu caracter personal persoanei vizate şi a anumitor obligaţii conexe ale operatorilor, in masura in care acest lucru este necesar şi proporţional intr-o societate democratica pentru a se garanta siguranţa publica, inclusiv protecţia vieţii oamenilor, in special ca raspuns la dezastre naturale sau provocate de om, prevenirea, investigarea şi urmarirea penala a infracţiunilor sau executarea pedepselor, inclusiv protejarea impotriva ameninţarilor la adresa siguranţei publice sau impotriva incalcarii eticii in cazul profesiilor reglementate şi prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, in special un interes economic sau financiar important al Uniunii sau al unui stat membru, menţinerea de registre publice din motive de interes public general, prelucrarea ulterioara a datelor cu caracter personal arhivate pentru a transmite informaţii specifice legate de comportamentul politic in perioada regimurilor fostelor state totalitare, protecţia persoanei vizate sau a drepturilor şi libertaţilor unor terţi, inclusiv protecţia sociala, sanatatea publica şi scopurile umanitare. Aceste restricţii ar trebui sa fie conforme cu cerinţele prevazute de carta şi de Convenţia europeana pentru apararea drepturilor omului şi a libertaţilor fundamentale.
(74)Ar trebui sa se stabileasca responsabilitatea şi raspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuata de catre acesta sau in numele sau. În special, operatorul ar trebui sa fie obligat sa implementeze masuri adecvate şi eficace şi sa fie in masura sa demonstreze conformitatea activitaţilor de prelucrare cu prezentul regulament, inclusiv eficacitatea masurilor. Aceste masuri ar trebui sa ţina seama de natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi de riscul pentru drepturile şi libertaţile persoanelor fizice.
(75)Riscul pentru drepturile şi libertaţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrari a datelor cu caracter personal care ar putea genera prejudicii de natura fizica, materiala sau morala, in special in cazurile in care: prelucrarea poate conduce la discriminare, furt sau frauda a identitaţii, pierdere financiara, compromiterea
reputaţiei, pierderea confidenţialitaţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizata a pseudonimizarii sau la orice alt dezavantaj semnificativ de natura economica sau sociala; persoanele vizate ar putea fi private de drepturile şi libertaţile lor sau impiedicate sa-şi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvaluie originea rasiala sau etnica, opiniile politice, religia sau convingerile filozofice, apartenenţa sindicala; sunt prelucrate date genetice, date privind sanatatea sau date privind viaţa sexuala sau privind condamnarile penale şi infracţiunile sau masurile de securitate conexe; sunt evaluate aspecte de natura personala, in special analizarea sau previzionarea unor aspecte privind randamentul la locul de munca, situaţia economica, starea de sanatate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasarile, in scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, in special ale unor copii; sau prelucrarea implica un volum mare de date cu caracter personal şi afecteaza un numar larg de persoane vizate.
(76)Probabilitatea de a se materializa şi gravitatea riscului pentru drepturile şi libertaţile persoanei vizate ar trebui sa fie determinate in funcţie de natura, domeniul de aplicare, contextul şi scopurile prelucrarii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluari obiective prin care se stabileşte daca operaţiunile de prelucrare a datelor prezinta un risc sau un risc ridicat. (77)Orientari pentru implementarea unor masuri adecvate şi pentru demonstrarea conformitaţii de catre operator sau persoana imputernicita de operator, mai ales in ceea ce priveşte identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilitaţii de a se materializa şi al gravitaţii, precum şi identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite in special prin coduri de conduita aprobate, certificari aprobate, orientari ale comitetului sau prin indicaţii furnizate de un responsabil cu protecţia datelor. Comitetul poate, de asemenea, sa emita orientari cu privire la operaţiunile de prelucrare care sunt considerate puţin susceptibile de a genera un risc ridicat pentru drepturile şi libertaţile persoanelor fizice şi sa indice masurile care se pot dovedi suficiente in asemenea cazuri pentru a aborda un astfel de risc.
(78)Protecţia drepturilor şi libertaţilor persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice şi organizatorice corespunzatoare pentru a se asigura indeplinirea cerinţelor din prezentul regulament. Pentru a fi in masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne şi sa puna in aplicare masuri care sa respecte in special principiul protecţiei datelor incepând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, in reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa in ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranţa şi sa le imbunataţeasca. Atunci când elaboreaza, proiecteaza, selecteaza şi utilizeaza aplicaţii, servicii şi produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-şi indeplini rolul, producatorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui sa fie incurajaţi sa aiba in vedere dreptul la protecţia datelor la momentul elaborarii şi proiectarii unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii şi persoanele imputernicite de operatori sunt in masura sa işi indeplineasca obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor incepând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui sa fie luate in considerare şi in contextul licitaţiilor publice.
(79)Protecţia drepturilor şi libertaţilor persoanelor vizate, precum şi responsabilitatea şi raspunderea operatorilor şi a persoanelor imputernicite de operator, inclusiv in ceea ce priveşte monitorizarea de catre autoritaţile de supraveghere şi masurile adoptate de acestea, necesita o atribuire clara a responsabilitaţilor in temeiul prezentului regulament, inclusiv in cazul in care un operator stabileşte scopurile şi mijloacele prelucrarii impreuna cu alţi operatori sau in cazul in care o operaţiune de prelucrare este efectuata in numele unui operator.
(80)Atunci când un operator sau o persoana imputernicita de operator care nu este stabilita in Uniune prelucreaza date cu caracter personal ale unor persoane vizate care se afla pe teritoriul Uniunii, iar
activitaţile sale de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plaţi de catre persoana vizata, sau cu monitorizarea comportamentului unor persoane vizate daca acesta se manifesta in cadrul Uniunii, operatorul sau persoana imputernicita de operator ar trebui sa desemneze un reprezentant, cu excepţia cazului in care prelucrarea are caracter ocazional, nu include prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal şi nici prelucrarea de date referitoare la condamnari penale şi la infracţiuni, şi este puţin susceptibila sa genereze un risc pentru drepturile şi libertaţile persoanelor fizice, având in vedere natura, contextul, domeniul de aplicare şi scopurile prelucrarii, precum şi a cazului in care operatorul este o autoritate publica sau un organism public. Reprezentantul ar trebui sa acţioneze in numele operatorului sau al persoanei imputernicite de operator, putând fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat in mod explicit, printr-un mandat scris al operatorului sau al persoanei imputernicite de operator, sa acţioneze in numele acestuia (acesteia) in ceea ce priveşte obligaţiile lor in temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilitaţii sau raspunderii operatorului sau a persoanei imputernicite de operator in temeiul prezentului regulament. Un astfel de reprezentant ar trebui sa işi indeplineasca sarcinile in conformitate cu mandatul primit de la operator sau de la persoana imputernicita de operator, inclusiv sa coopereze cu autoritaţile de supraveghere competente in ceea ce priveşte orice acţiune intreprinsa pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui sa fie supus unor proceduri de asigurare a respectarii legii in cazul nerespectarii prezentului regulament de catre operator sau de catre persoana imputernicita de operator.
(81)Pentru a asigura respectarea cerinţelor impuse de prezentul regulament in ceea ce priveşte prelucrarea care trebuie efectuata in numele operatorului de catre persoana imputernicita de operator, atunci când atribuie activitaţi de prelucrare unei persoane imputernicite de operator, acesta din urma ar trebui sa utilizeze numai persoane imputernicite care ofera garanţii suficiente, in special in ceea ce priveşte cunoştinţele de specialitate, fiabilitatea şi resursele, pentru a implementa masuri tehnice şi organizatorice care indeplinesc cerinţele impuse de prezentul regulament, inclusiv pentru securitatea prelucrarii. Aderarea de catre persoana imputernicita de operator la un cod de conduita aprobat sau la un mecanism de certificare aprobat poate fi utilizata drept element care sa demonstreze respectarea obligaţiilor de catre operator. Efectuarea prelucrarii de catre o persoana imputernicita de un operator ar trebui sa fie reglementata printr-un contract sau un alt tip de act juridic, in temeiul dreptului Uniunii sau al dreptului intern, care creeaza obligaţii pentru persoana imputernicita de operator in raport cu operatorul şi care stabileşte obiectul şi durata prelucrarii, natura şi scopurile prelucrarii, tipul de date cu caracter personal şi categoriile de persoane vizate, şi ar trebui sa ţina seama de sarcinile şi responsabilitaţile specifice ale persoanei imputernicite de operator in contextul prelucrarii care trebuie efectuata, precum şi de riscul pentru drepturile şi libertaţile persoanei vizate. Operatorul şi persoana imputernicita de operator pot alege sa utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere in conformitate cu mecanismul de asigurare a coerenţei şi apoi adoptate de Comisie. Dupa finalizarea prelucrarii in numele operatorului, persoana imputernicita de operator ar trebui sa returneze sau sa ştearga, in funcţie de opţiunea operatorului, datele cu caracter personal, cu excepţia cazului in care exista o cerinţa de stocare a datelor cu caracter personal in temeiul dreptului Uniunii sau al dreptului intern care instituie obligaţii pentru persoana imputernicita de operator.
(82)În vederea demonstrarii conformitaţii cu prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa pastreze evidenţe ale activitaţilor de prelucrare aflate in responsabilitatea sa. Fiecare operator şi fiecare persoana imputernicita de operator ar trebui sa aiba obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate in scopul monitorizarii operaţiunilor de prelucrare respective. (83)În vederea menţinerii securitaţii şi a prevenirii prelucrarilor care incalca prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii şi sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv confidenţialitatea, luând in considerare stadiul actual al dezvoltarii şi costurile implementarii in raport cu riscurile şi cu natura datelor cu
caracter personal a caror protecţie trebuie asigurata. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui sa se acorde atenţie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod, in mod accidental sau ilegal, care pot duce in special la prejudicii fizice, materiale sau morale.
(84)Pentru a favoriza respectarea dispoziţiilor prezentului regulament in cazurile in care operaţiunile de prelucrare sunt susceptibile sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, operatorul ar trebui sa fie responsabil de efectuarea unei evaluari a impactului asupra protecţiei datelor, care sa estimeze, in special, originea, natura, specificitatea şi gravitatea acestui risc. Rezultatul evaluarii ar trebui luat in considerare la stabilirea masurilor adecvate care trebuie luate pentru a demonstra ca prelucrarea datelor cu caracter personal respecta prezentul regulament. În cazul in care o evaluare a impactului asupra protecţiei datelor arata ca operaţiunile de prelucrare implica un risc ridicat, pe care operatorul nu il poate atenua prin masuri adecvate sub aspectul tehnologiei disponibile şi al costurilor implementarii, ar trebui sa aiba loc o consultare a autoritaţii de supraveghere inainte de prelucrare.
(85)Daca nu este soluţionata la timp şi intr-un mod adecvat, o incalcare a securitaţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau frauda de identitate, pierdere financiara, inversarea neautorizata a pseudonimizarii, compromiterea reputaţiei, pierderea confidenţialitaţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natura economica sau sociala adus persoanei fizice in cauza. Prin urmare, de indata ce a luat cunoştinţa de producerea unei incalcari a securitaţii datelor cu caracter personal, operatorul ar trebui sa notifice aceasta incalcare autoritaţii de supraveghere, fara intârziere nejustificata şi, daca este posibil, in cel mult 72 de ore dupa ce a luat la cunoştinţa de existenţa acesteia, cu excepţia cazului in care operatorul este in masura sa demonstreze, in conformitate cu principiul responsabilitaţii, ca incalcarea securitaţii datelor cu caracter personal nu este susceptibila sa genereze un risc pentru drepturile şi libertaţile persoanelor fizice. Atunci când notificarea nu se poate realiza in termen de 72 de ore, aceasta ar trebui sa cuprinda motivele intârzierii, iar informaţiile pot fi furnizate treptat, fara alta intârziere.
(86)Operatorul ar trebui sa comunice persoanei vizate o incalcare a securitaţii datelor cu caracter personal, fara intârzieri nejustificate, atunci când incalcarea este susceptibila sa genereze un risc ridicat pentru drepturile şi libertaţile persoanei fizice, pentru a-i permite sa ia masurile de precauţie necesare. Comunicarea ar trebui sa descrie natura incalcarii securitaţii datelor cu caracter personal şi sa cuprinda recomandari pentru persoana fizica in cauza in scopul atenuarii eventualelor efecte negative. Comunicarile catre persoanele vizate ar trebui efectuate in cel mai scurt timp posibil in mod rezonabil şi in strânsa cooperare cu autoritatea de supraveghere, respectându-se orientarile furnizate de aceasta sau de alte autoritaţi competente, cum ar fi autoritaţile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine catre persoanele vizate, in timp ce necesitatea de a implementa masuri corespunzatoare impotriva incalcarii in continuare a securitaţii datelor cu caracter personal sau impotriva unor incalcari similare ale securitaţii datelor cu caracter personal ar putea justifica un termen mai indelungat pentru comunicare. (87)Ar trebui sa se stabileasca daca au fost implementate toate masurile tehnologice de protecţie şi organizatorice corespunzatoare in scopul de a se stabili imediat daca s-a produs o incalcare a securitaţii datelor cu caracter personal şi de a se informa cu promptitudine autoritatea de supraveghere şi persoana vizata. Faptul ca notificarea a fost efectuata fara intârziere nejustificata ar trebui stabilit luându-se in considerare, in special, natura şi gravitatea incalcarii securitaţii datelor cu caracter personal, precum şi consecinţele şi efectele negative ale acesteia asupra persoanei vizate. Aceasta notificare poate conduce la o intervenţie a autoritaţii de supraveghere, in conformitate cu sarcinile şi competenţele specificate in prezentul regulament.
(88)La stabilirea de norme detaliate privind formatul şi procedurile aplicabile notificarii referitoare la incalcarile securitaţii datelor cu caracter personal, ar trebui sa se acorde atenţia cuvenita circumstanţelor in care a avut loc incalcarea, stabilindu-se inclusiv daca protecţia datelor cu caracter
personal a fost sau nu a fost asigurata prin masuri tehnice de protecţie corespunzatoare, care sa limiteze efectiv probabilitatea fraudarii identitaţii sau a altor forme de utilizare abuziva. În plus, astfel de norme şi proceduri ar trebui sa ţina cont de interesele legitime ale autoritaţilor de aplicare a legii in cazurile in care divulgarea timpurie ar putea ingreuna in mod inutil investigarea circumstanţelor in care a avut loc o incalcare a datelor cu caracter personal.
(89)Directiva 95/46/CE a prevazut o obligaţie generala de a notifica prelucrarea datelor cu caracter personal autoritaţilor de supraveghere. Cu toate ca obligaţia respectiva genereaza sarcini administrative şi financiare, aceasta nu a contribuit intotdeauna la imbunataţirea protecţiei datelor cu caracter personal. Prin urmare, astfel de obligaţii de notificare generala nediferenţiata ar trebui sa fie abrogate şi inlocuite cu proceduri şi mecanisme eficace care sa puna accentul, in schimb, pe acele tipuri de operaţiuni de prelucrare susceptibile sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice prin insaşi natura lor, prin domeniul lor de aplicare, prin contextul şi prin scopurile lor. Astfel de tipuri de operaţiuni de prelucrare pot fi cele care presupun, in special, utilizarea unor noi tehnologii sau care reprezinta un nou tip de operaţiuni, pentru care nicio evaluare a impactului asupra protecţiei datelor nu a fost efectuata anterior de catre operator ori care devin necesare data fiind perioada de timp care s-a scurs de la prelucrarea iniţiala.
(90)În astfel de cazuri, operatorul ar trebui sa efectueze, inainte de prelucrare, o evaluare a impactului asupra protecţiei datelor, in scopul evaluarii gradului specific de probabilitate a materializarii riscului ridicat şi gravitatea acestuia, având in vedere natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi sursele riscului. Respectiva evaluare a impactului ar trebui sa includa, in special, masurile, garanţiile şi mecanismele avute in vedere pentru atenuarea riscului respectiv, pentru asigurarea protecţiei datelor cu caracter personal şi pentru demonstrarea conformitaţii cu prezentul regulament.
(91)Aceasta ar trebui sa se aplice, in special, operaţiunilor de prelucrare la scara larga, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naţional sau supranaţional, care ar putea afecta un numar mare de persoane vizate şi care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitaţii lor, in cazul in care, in conformitate cu nivelul atins al cunoştinţelor tehnologice, se foloseşte la scara larga o tehnologie noua, precum şi altor operaţiuni de prelucrare care genereaza un risc ridicat pentru drepturile şi libertaţile persoanelor vizate, in special in cazul in care operaţiunile respective limiteaza capacitatea persoanelor vizate de a-şi exercita drepturile. Ar trebui efectuata o evaluare a impactului asupra protecţiei datelor şi in situaţiile in care datele cu caracter personal sunt prelucrate in scopul luarii de decizii care vizeaza anumite persoane fizice in urma unei evaluari sistematice şi cuprinzatoare a aspectelor personale referitoare la persoane fizice, pe baza crearii de profiluri pentru datele respective, sau in urma prelucrarii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnarile penale şi infracţiunile sau masurile de securitate conexe. Este la fel de necesara o evaluare a impactului asupra protecţiei datelor pentru monitorizarea la scara larga a zonelor accesibile publicului, mai ales in cazul utilizarii dispozitivelor optoelectronice sau pentru orice alte operaţiuni in cazul in care autoritatea de supraveghere competenta considera ca prelucrarea este susceptibila de a genera un risc ridicat pentru drepturile şi libertaţile persoanelor vizate, in special deoarece acestea impiedica persoanele vizate sa exercite un drept sau sa utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate in mod sistematic la scara larga. Prelucrarea datelor cu caracter personal nu ar trebui considerata a fi la scara larga in cazul in care prelucrarea se refera la date cu caracter personal de la pacienţi sau clienţi de catre un anumit medic, un alt profesionist in domeniul sanataţii sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecţiei datelor nu ar trebui sa fie obligatorie.
(92)În unele circumstanţe ar putea fi rezonabil şi util din punct de vedere economic ca o evaluare a impactului asupra protecţiei datelor sa aiba o perspectiva mai extinsa decât cea a unui singur proiect, de exemplu in cazul in care autoritaţi sau organisme publice intenţioneaza sa instituie o aplicaţie sau o platforma de prelucrare comuna sau in cazul in care mai mulţi operatori preconizeaza sa introduca o aplicaţie comuna sau un mediu de prelucrare comun in cadrul unui sector sau segment industrial sau pentru o activitate orizontala utilizata la scara larga.
(93)În contextul adoptarii legislaţiei naţionale pe care se bazeaza indeplinirea sarcinilor autoritaţii publice sau ale organismului public şi care reglementeaza operaţiunea sau seria de operaţiuni de prelucrare in cauza, statele membre pot considera ca este necesara efectuarea unei astfel de evaluari inaintea desfaşurarii activitaţilor de prelucrare.
(94)În cazul in care o evaluare a impactului asupra protecţiei datelor arata ca prelucrarea ar genera, in absenţa garanţiilor, masurilor de securitate şi mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, iar operatorul considera ca riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile şi al costurilor implementarii, autoritatea de supraveghere ar trebui sa fie consultata inainte de inceperea activitaţilor de prelucrare. Un astfel de risc ridicat este susceptibil sa fie generat de anumite tipuri de prelucrare, precum şi de amploarea şi frecvenţa prelucrarii, care pot duce şi la producerea unor prejudicii sau pot atinge drepturile şi libertaţile persoanelor fizice. Autoritatea de supraveghere ar trebui sa raspunda cererii de consultare intr-un anumit termen. Cu toate acestea, lipsa unei reacţii din partea autoritaţii de supraveghere in termenul respectiv ar trebui sa nu aduca atingere niciunei intervenţii a autoritaţii de supraveghere in conformitate cu sarcinile şi competenţele sale prevazute in prezentul regulament, inclusiv competenţa de a interzice operaţiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluari a impactului asupra protecţiei datelor efectuate cu privire la prelucrarea in cauza poate fi transmis autoritaţii de supraveghere, in special masurile avute in vedere pentru a atenua riscul pentru drepturile şi libertaţile persoanelor fizice.
(95)Persoana imputernicita de operator ar trebui sa acorde asistenţa operatorului, daca este necesar şi la cerere, la asigurarea respectarii obligaţiilor care decurg din realizarea de evaluari ale impactului asupra protecţiei datelor şi din consultarea prealabila a autoritaţii de supraveghere.
(96)În timpul elaborarii unei masuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, sa aiba loc o consultare a autoritaţii de supraveghere, pentru a garanta conformitatea prelucrarii avute in vedere cu prezentul regulament şi, in special, pentru a atenua riscul la care este expusa persoana vizata.
(97)În cazul in care prelucrarea este efectuata de o autoritate publica, cu excepţia instanţelor sau a autoritaţilor judiciare independente atunci când acţioneaza in calitatea lor judiciara, in cazul in care, in sectorul privat, prelucrarea este efectuata de un operator a carui activitate principala consta in operaţiuni de prelucrare care necesita o monitorizare regulata şi sistematica a persoanelor vizate pe scara larga, sau in cazul in care activitatea principala a operatorului sau a persoanei imputernicite de operator consta in prelucrarea pe scara larga de categorii speciale de date cu caracter personal şi de date privind condamnarile penale şi infracţiunile, o persoana care deţine cunoştinţe de specialitate in materie de legislaţie şi practici privind protecţia datelor ar trebui sa acorde asistenţa operatorului sau persoanei imputernicite de operator pentru monitorizarea conformitaţii, la nivel intern, cu prezentul regulament. În sectorul privat, activitaţile principale ale unui operator se refera la activitaţile sale de baza, şi nu la prelucrarea datelor cu caracter personal drept activitaţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui sa fie stabilit in special in funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana imputernicita de operator. Aceşti responsabili cu protecţia datelor, indiferent daca sunt sau nu angajaţi ai operatorului, ar trebui sa fie in masura sa işi indeplineasca atribuţiile şi sarcinile in mod independent.
(98)Asociaţiile sau alte organisme care reprezinta categorii de operatori sau de persoane imputernicite de operatori ar trebui incurajate sa elaboreze coduri de conduita, in limitele prezentului regulament, astfel incât sa se faciliteze aplicarea efectiva a prezentului regulament, luându-se in considerare caracteristicile specifice ale prelucrarii efectuate in anumite sectoare şi necesitaţile specifice ale microintreprinderilor şi ale intreprinderilor mici şi mijlocii. În special, astfel de coduri de conduita ar putea sa ajusteze obligaţiile operatorilor şi ale persoanelor imputernicite de operatori, ţinând seama de riscul aferent prelucrarii care este susceptibil de a fi generat pentru drepturile şi libertaţile persoanelor fizice.
(99)Atunci când elaboreaza un cod de conduita sau când modifica sau extind un astfel de cod, asociaţiile şi alte organisme care reprezinta categorii de operatori sau persoane imputernicite de
operatori ar trebui sa consulte parţile implicate relevante, inclusiv persoanele vizate, daca este fezabil, şi sa ia in considerare contribuţiile transmise şi opiniile exprimate in cadrul unor astfel de consultari. (100)Pentru a se imbunataţi transparenţa şi conformitatea cu prezentul regulament, ar trebui sa se incurajeze instituirea de mecanisme de certificare, precum şi de sigilii şi marci in materie de protecţie a datelor, care sa permita persoanelor vizate sa evalueze rapid nivelul de protecţie a datelor aferent produselor şi serviciilor relevante.
(101)Fluxurile de date cu caracter personal catre şi dinspre ţari situate in afara Uniunii şi organizaţii internaţionale sunt necesare pentru dezvoltarea comerţului internaţional şi a cooperarii internaţionale. Creşterea acestor fluxuri a generat noi provocari şi preocupari cu privire la protecţia datelor cu caracter personal. Cu toate acestea, in cazul in care se transfera date cu caracter personal din Uniune catre operatori, persoane imputernicite de operatori sau alţi destinatari din ţari terţe sau organizaţii internaţionale, nivelul de protecţie a persoanelor fizice asigurat in Uniune prin prezentul regulament nu ar trebui sa fie diminuat, inclusiv in cazurile de transferuri ulterioare de date cu caracter personal dinspre ţara terţa sau organizaţia internaţionala catre operatori, persoane imputernicite de operatori din aceeaşi sau dintr-o alta ţara terţa sau organizaţie internaţionala. În orice caz, transferurile catre ţari terţe şi organizaţii internaţionale pot fi desfaşurate numai in conformitate deplina cu prezentul regulament. Un transfer ar putea avea loc numai daca, sub rezerva respectarii celorlalte dispoziţii ale prezentului regulament, operatorul sau persoana imputernicita de operator indeplineşte condiţiile prevazute de dispoziţiile prezentului regulament privind transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale.
(102)Prezentul regulament nu aduce atingere acordurilor internaţionale incheiate intre Uniune şi ţari terţe in vederea reglementarii transferului de date cu caracter personal, inclusiv garanţii adecvate pentru persoanele vizate. Statele membre pot incheia acorduri internaţionale care implica transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale, in masura in care astfel de acorduri nu afecteaza prezentul regulament şi nici alte dispoziţii din dreptul Uniunii şi includ un nivel corespunzator de protecţie a drepturilor fundamentale ale persoanelor vizate.
(103)Comisia poate decide, cu efect in intreaga Uniune, ca o ţara terţa, un teritoriu sau un anumit sector dintr-o ţara terţa sau o organizaţie internaţionala ofera un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridica şi uniformitate in Uniune in ceea ce priveşte ţara terţa sau organizaţia internaţionala care este considerata a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal catre ţara terţa sau organizaţia internaţionala respectiva pot avea loc fara a fi necesar sa se obţina autorizari suplimentare. De asemenea, Comisia poate sa decida, dupa trimiterea unei notificari şi a unei justificari complete ţarii terţe sau organizaţiei internaţionale, sa anuleze o astfel de decizie.
(104)În conformitate cu valorile fundamentale pe care se intemeiaza Uniunea, in special protecţia drepturilor omului, Comisia ar trebui, in evaluarea sa referitoare la ţara terţa sau la un teritoriu sau la un sector specificat dintr-o ţara terţa, sa ia in considerare modul in care aceasta respecta statul de drept, accesul la justiţie, precum şi normele şi standardele internaţionale in materie de drepturi ale omului şi legislaţia sa generala şi sectoriala, inclusiv legislaţia privind securitatea publica, apararea şi securitatea naţionala, precum şi ordinea publica şi dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecţie pentru un teritoriu sau un sector specificat dintr-o ţara terţa ar trebui sa ţina seama de criterii clare şi obiective, cum ar fi activitaţile specifice de prelucrare şi domeniul de aplicare al standardelor legale aplicabile şi legislaţia in vigoare in ţara terţa respectiva. Ţara terţa ar trebui sa ofere garanţii care sa asigure un nivel adecvat de protecţie, echivalent in esenţa cu cel asigurat in cadrul Uniunii, in special atunci când datele cu caracter personal sunt prelucrate in unul sau mai multe sectoare specifice. În special, ţara terţa ar trebui sa asigure o supraveghere efectiva independenta in materie de protecţie a datelor şi sa prevada mecanisme de cooperare cu autoritaţile statelor membre de protecţie a datelor, iar persoanele vizate ar trebui sa beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativa şi judiciara.
(105)Pe lânga angajamentele internaţionale asumate de ţara terţa sau de organizaţia internaţionala, Comisia ar trebui sa ţina seama de obligaţiile care decurg din participarea ţarii terţe sau a organizaţiei internaţionale la sistemele multilaterale sau regionale, in special in ceea ce priveşte protecţia datelor cu
caracter personal, precum şi de punerea in aplicare a unor astfel de obligaţii. În special, ar trebui sa fie luata in considerare aderarea ţarii terţe la Convenţia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor faţa de prelucrarea automatizata a datelor cu caracter personal şi protocolul adiţional la aceasta. Comisia ar trebui sa consulte comitetul atunci când evalueaza nivelul de protecţie din ţarile terţe sau din organizaţiile internaţionale.
(106)Comisia ar trebui sa monitorizeze funcţionarea deciziilor privind nivelul de protecţie dintr-o ţara terţa sau un teritoriu sau un anumit sector dintr-o ţara terţa sau dintr-o organizaţie internaţionala şi sa monitorizeze funcţionarea deciziilor adoptate in temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. În deciziile sale privind caracterul adecvat al nivelului de protecţie, Comisia ar trebui sa prevada un mecanism de revizuire periodica a modului lor de funcţionare. Aceasta revizuire periodica ar trebui sa fie efectuata in consultare cu ţara terţa sau organizaţia internaţionala in cauza şi ar trebui sa ia in considerare toate evoluţiile relevante din ţara terţa sau organizaţia internaţionala. În scopul monitorizarii şi al efectuarii revizuirilor periodice, Comisia ar trebui sa ia in considerare opiniile şi constatarile Parlamentului European şi ale Consiliului, precum şi ale altor organisme şi surse relevante. Comisia ar trebui sa evalueze, intr-un termen rezonabil, funcţionarea deciziilor din urma şi sa raporteze toate constatarile relevante comitetului, in sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (1), dupa cum s-a stabilit in temeiul prezentului regulament, Parlamentului European şi Consiliului.
(1)Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de catre statele membre al exercitarii competenţelor de executare de catre Comisie (JO L 55, 28.2.2011, p. 13).
(107)Comisia poate sa recunoasca faptul ca o ţara terţa,un teritoriu sau un sector specificat dintr-o ţara terţa sau o organizaţie internaţionala nu mai asigura un nivel adecvat de protecţie a datelor. În consecinţa, transferul de date cu caracter personal catre ţara terţa sau organizaţia internaţionala respectiva ar trebui sa fie interzis, cu excepţia cazului in care sunt indeplinite cerinţele prevazute in prezentul regulament privind transferurile in baza unor garanţii adecvate, inclusiv regulile corporatiste obligatorii şi derogarile de la situaţiile specifice. În acest caz, ar trebui sa se prevada dispoziţii pentru consultari intre Comisie şi astfel de ţari terţe sau organizaţii internaţionale. Comisia ar trebui ca, in timp util, sa informeze ţara terţa sau organizaţia internaţionala cu privire la aceste motive şi sa iniţieze consultari cu aceasta pentru remedierea situaţiei.
(108)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau persoana imputernicita de operator ar trebui sa adopte masuri pentru a compensa lipsa protecţiei datelor intr-o ţara terţa prin intermediul unor garanţii adecvate pentru persoana vizata. Astfel de garanţii adecvate pot consta in utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui sa asigure respectarea cerinţelor in materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzatoare prelucrarii in interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor cai de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativa sau judiciara şi dreptul de a solicita despagubiri, in Uniune sau intr-o ţara terţa. Acestea ar trebui sa se refere in special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor incepând cu momentul conceperii şi principiul protecţiei implicite a datelor. Transferurile pot fi efectuate şi de catre autoritaţile sau organismele publice cu autoritaţi sau organisme publice in ţari terţe sau cu organizaţii internaţionale cu atribuţii şi funcţii corespunzatoare, inclusiv pe baza dispoziţiilor care prevad drepturi opozabile şi efective pentru persoanele vizate, care trebuie introduse in acordurile administrative, cum ar fi un memorandum de inţelegere. Autorizaţia din partea autoritaţii de supraveghere competente ar trebui obţinuta atunci când garanţiile sunt oferite in cadrul unor acorduri administrative fara caracter juridic obligatoriu.
(109)Posibilitatea ca operatorul sau persoana imputernicita de operator sa utilizeze clauze standard in materie de protecţie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui sa impiedice operatorii sau persoanele imputernicite de aceştia sa includa clauzele standard in materie
de protecţie a datelor intr-un contract mai amplu, precum un contract intre persoana imputernicita de operator şi o alta persoana imputernicita de operator, şi nici sa adauge alte clauze sau garanţii suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciaza drepturile sau libertaţile fundamentale ale persoanelor vizate. Operatorii şi persoanele imputernicite de operatori ar trebui sa fie incurajaţi sa ofere garanţii suplimentare prin intermediul unor angajamente contractuale care sa completeze clauzele standard in materie de protecţie.
(110)Un grup de intreprinderi sau un grup de intreprinderi implicat intr-o activitate economica comuna ar trebui sa poata utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaţionale dinspre Uniune catre organizaţii din cadrul aceluiaşi grup de intreprinderi sau grup de intreprinderi implicate intr-o activitate economica comuna, cu condiţia ca astfel de reguli corporatiste sa includa toate principiile esenţiale şi drepturile opozabile in scopul asigurarii unor garanţii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal.
(111)Ar trebui sa se prevada posibilitatea de a se efectua transferuri in anumite circumstanţe in care persoana vizata şi-a dat consimţamântul explicit, in care transferul este ocazional şi necesar in legatura cu un contract sau cu o acţiune in justiţie, indiferent daca este in contextul unei proceduri judiciare sau in contextul unei proceduri administrative sau extrajudiciare, inclusiv in cadrul procedurilor inaintate organismelor de reglementare. De asemenea, ar trebui sa se prevada posibilitatea de a se efectua transferuri in cazul in care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau in cazul in care transferul se efectueaza dintr-un registru instituit prin lege şi destinat sa fie consultat de catre public sau de catre persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui sa implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date conţinute in registru, iar atunci când registrul este destinat sa fie consultat de persoane care au un interes legitim, transferul ar trebui sa fie efectuat doar la cererea persoanelor respective sau daca acestea sunt destinatarii, luând pe deplin in considerare interesele şi drepturile fundamentale ale persoanei vizate.
(112)Aceste derogari ar trebui sa se aplice, in special, transferurilor de date solicitate şi necesare din considerente importante de interes public, de exemplu in cazul schimbului internaţional de date intre autoritaţile din domeniul concurenţei, administraţiile fiscale sau vamale, intre autoritaţile de supraveghere financiara, intre serviciile competente in materie de securitate sociala sau de sanatate publica, de exemplu in cazul depistarii punctelor de contact pentru bolile contagioase sau pentru reducerea şi/sau eliminarea dopajului in sport. Un transfer de date cu caracter personal ar trebui, de asemenea, sa fie considerat legal in cazul in care este necesar in scopul protejarii unui interes care este esenţial in interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizica sau pentru viaţa acesteia, in cazul in care persona vizata nu are capacitatea sa işi dea consimţamântul. În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili in mod expres limite asupra transferului unor categorii specifice de date catre o ţara terţa sau o organizaţie internaţionala. Statele membre ar trebui sa notifice Comisiei aceste dispoziţii. Orice transfer catre o organizaţie umanitara internaţionala al datelor cu caracter personal ale unei persoane vizate care se afla in incapacitate fizica sau juridica de a işi da consimţamântul, in vederea indeplinirii unei sarcini care decurge din Convenţiile de la Geneva sau in vederea conformarii cu dreptul internaţional umanitar aplicabil in conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru ca este in interesul vital al persoanei vizate.
(113)Transferurile care pot fi considerate ca nefiind repetitive şi care se refera doar la un numar limitat de persoane vizate, ar putea, de asemenea, sa fie efectuate in scopul realizarii intereselor legitime urmarite de operator, atunci când asupra respectivelor interese nu prevaleaza interesele sau drepturile şi libertaţile persoanei vizate şi atunci când operatorul a evaluat toate circumstanţele aferente transferului de date. Operatorul ar trebui sa acorde o atenţie deosebita naturii datelor cu caracter personal, scopului şi duratei operaţiunii sau operaţiunilor propuse de prelucrare, precum şi situaţiei din ţara de origine, din ţara terţa şi din ţara de destinaţie finala şi ar trebui sa ofere garanţii adecvate pentru protecţia drepturilor şi libertaţilor fundamentale ale persoanelor fizice in ceea ce
priveşte prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui sa fie posibile numai in cazurile reziduale in care nu se poate aplica niciunul dintre celelalte motive de transfer. În ceea ce priveşte scopurile de cercetare ştiinţifica sau istorica sau scopurile statistice, ar trebui sa se ia in considerare aşteptarile legitime ale societaţii cu privire la creşterea nivelului de cunoştinţe. Operatorul ar trebui sa informeze autoritatea de supraveghere şi persoana vizata cu privire la transfer.
(114)În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecţie a datelor dintr-o ţara terţa, operatorul sau persoana imputernicita de operator ar trebui sa utilizeze soluţii care sa ofere persoanelor vizate drepturi opozabile şi efective in ceea ce priveşte prelucrarea datelor lor in Uniune odata ce aceste date au fost transferate, astfel incât persoanele vizate sa beneficieze in continuare de drepturi fundamentale şi garanţii.
(115)Unele ţari terţe au adoptat legi, reglementari şi alte acte juridice care au drept obiectiv sa reglementeze in mod direct activitaţile de prelucrare a datelor ale persoanelor fizice şi juridice aflate sub jurisdicţia statelor membre. Aceasta poate include hotarâri ale instanţelor judecatoreşti sau decizii ale autoritaţilor administrative din ţari terţe care solicita unui operator sau unei persoane imputernicite de operator sa transfere sau sa divulge date cu caracter personal şi care nu se bazeaza pe un acord internaţional, cum ar fi un tratat de asistenţa juridica reciproca, in vigoare intre ţara terţa solicitanta şi Uniune sau un stat membru. Aplicarea extrateritoriala a acestor legi, reglementari şi alte acte juridice poate incalca dreptul internaţional şi poate impiedica asigurarea protecţiei persoanelor fizice asigurata in Uniune prin prezentul regulament. Transferurile ar trebui sa fie permise numai in cazul indeplinirii condiţiilor prevazute de prezentul regulament pentru un transfer catre ţari terţe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesara dintr-un motiv important de interes public recunoscut in dreptul Uniunii sau in dreptul intern care se aplica operatorului.
(116)Fluxul transfrontalier de date cu caracter personal in afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-şi exercita drepturile in materie de protecţie a datelor, in special pentru a-şi asigura protecţia impotriva utilizarii sau a divulgarii ilegale a acestor informaţii. În acelaşi timp, autoritaţile de supraveghere pot constata ca se afla in imposibilitatea de a trata plângeri sau de a efectua investigaţii referitoare la activitaţile desfaşurate in afara frontierelor lor. Eforturile acestora de a conlucra in context transfrontalier pot fi, de asemenea, ingreunate de insuficienţa competenţelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice şi de existenţa unor obstacole de ordin practic, cum ar fi constrângerile in materie de resurse. Prin urmare, este necesar sa se promoveze o cooperare mai strânsa intre autoritaţile de supraveghere a protecţiei datelor pentru a putea face schimb de informaţii şi a desfaşura investigaţii impreuna cu omologii lor internaţionali. În scopul elaborarii de mecanisme de cooperare internaţionala pentru a facilita şi a oferi asistenţa internaţionala reciproca in asigurarea aplicarii legislaţiei din domeniul protecţiei datelor cu caracter personal, Comisia şi autoritaţile de supraveghere ar trebui sa faca schimb de informaţii şi sa coopereze in cadrul activitaţilor legate de exercitarea competenţelor lor cu autoritaţile competente din ţari terţe, pe baza de reciprocitate şi in conformitate cu prezentul regulament.
(117)Instituirea in statele membre a unor autoritaţi de supraveghere, imputernicite sa işi indeplineasca sarcinile şi sa işi exercite competenţele in deplina independenţa, este un element esenţial al protecţiei persoanelor fizice in ceea ce priveşte prelucrarea datelor lor cu caracter personal. Statele membre ar trebui sa poata institui mai multe autoritaţi de supraveghere, pentru a reflecta structura lor constituţionala, organizatorica şi administrativa.
(118)Independenţa autoritaţilor de supraveghere nu ar trebui sa insemne ca autoritaţile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare in ceea ce priveşte cheltuielile acestora sau unui control jurisdicţional.
(119)În cazul in care un stat membru instituie mai multe autoritaţi de supraveghere, acesta ar trebui sa stabileasca prin lege mecanisme care sa asigure participarea efectiva a autoritaţilor de supraveghere respective la mecanismul pentru asigurarea coerenţei. Statul membru respectiv ar trebui, in special, sa desemneze autoritatea de supraveghere care indeplineşte funcţia de punct unic de contact pentru participarea efectiva a acestor autoritaţi la mecanism, in scopul asigurarii unei cooperari rapide şi armonioase cu alte autoritaţi de supraveghere, cu comitetul şi cu Comisia.
(120)Fiecare autoritate de supraveghere ar trebui sa beneficieze de resurse financiare şi umane, de spaţiile şi de infrastructura necesare pentru indeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenţa reciproca şi cooperarea cu alte autoritaţi de supraveghere in intreaga Uniune. Fiecare autoritate de supraveghere ar trebui sa aiba un buget public anual separat, care poate face parte din bugetul general de stat sau naţional.
(121)Condiţiile generale pentru membrul sau membrii autoritaţii de supraveghere ar trebui stabilite de lege in fiecare stat membru şi ar trebui, in special, sa prevada ca respectivii membri sunt numiţi printr- o procedura transparenta fie de parlamentul, de guvernul ori şeful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de catre un organism independent imputernicit prin dreptul intern. În vederea asigurarii independenţei autoritaţii de supraveghere, membrul sau membrii acesteia ar trebui sa acţioneze cu integritate, sa nu intreprinda acţiuni incompatibile cu indatoririle lor, iar, pe durata mandatului, ar trebui sa nu desfaşoare activitaţi incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui sa aiba personal propriu, ales de autoritatea de supraveghere sau de un organism independent infiinţat in temeiul dreptului intern, care ar trebui sa fie subordonat exclusiv membrului sau membrilor autoritaţii de supraveghere.
(122)Fiecare autoritate de supraveghere ar trebui sa aiba, pe teritoriul statului membru de care aparţine, atribuţia de a exercita competenţele şi de a indeplini sarcinile cu care este investita in conformitate cu prezentul regulament.
Aceasta ar trebui sa includa in special prelucrarea in contextul activitaţilor unui sediu al operatorului sau al persoanei imputernicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuata de autoritaţile publice sau de organisme private care acţioneaza in interes public, prelucrarea care afecteaza persoanele vizate de pe teritoriul sau sau prelucrarea efectuata de catre un operator sau o persoana imputernicita de operator care nu işi are sediul in Uniune in cazul in care aceasta priveşte persoane vizate care işi au reşedinţa pe teritoriul sau. Aceasta ar trebui sa includa tratarea plângerilor depuse de o persoana vizata, efectuarea de investigaţii privind aplicarea prezentului regulament şi promovarea informarii publicului cu privire la riscurile, normele, garanţiile şi drepturile in materie de prelucrare a datelor cu caracter personal.
(123)Autoritaţile de supraveghere ar trebui sa monitorizeze aplicarea dispoziţiilor prevazute de prezentul regulament şi sa contribuie la aplicarea coerenta a acestuia in intreaga Uniune, in scopul asigurarii protecţiei persoanelor fizice in ceea ce priveşte prelucrarea datelor lor cu caracter personal şi al facilitarii liberei circulaţii a datelor cu caracter personal in interiorul pieţei interne. În acest sens, autoritaţile de supraveghere ar trebui sa coopereze reciproc, precum şi cu Comisia, fara sa fie necesar niciun acord intre statele membre cu privire la acordarea de asistenţa reciproca sau cu privire la respectiva cooperare.
(124)În cazul in care prelucrarea datelor cu caracter personal se desfaşoara in cadrul activitaţilor unui sediu al unui operator sau al unei persoane imputernicite de operator din Uniune, iar operatorul sau persoana imputernicita de operator are sedii in mai multe state membre, sau in cazul in care prelucrarea care se desfaşoara in contextul activitaţilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator din Uniune afecteaza sau este susceptibila sa afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei imputernicite de operator ori a sediului unic al operatorului sau al persoanei imputernicite de operator ar trebui sa acţioneze in calitate de autoritate principala. Aceasta ar trebui sa coopereze cu celelalte autoritaţi vizate, pentru ca operatorul sau persoana imputernicita de operator are un sediu pe teritoriul statului lor membru, pentru ca persoanele vizate care işi au reşedinţa pe teritoriul lor sunt afectate in mod semnificativ sau pentru ca le-a fost inaintata o plângere. De asemenea, in cazul in care o persoana vizata care nu işi are reşedinţa in statul membru respectiv a depus o plângere, autoritatea de supraveghere la care a fost depusa plângerea ar trebui, de asemenea, sa fie o autoritate de supraveghere vizata. În cadrul sarcinilor sale de a emite orientari cu privire la orice chestiune referitoare la punerea in aplicare a prezentului regulament, comitetul ar trebui sa poata emite orientari privind, in special, criteriile care trebuie luate in considerare pentru a se stabili daca
prelucrarea in cauza afecteaza in mod semnificativ persoane vizate din mai multe state membre şi privind conţinutul unei obiecţii relevante şi motivate.
(125)Autoritatea principala ar trebui sa aiba competenţa de a adopta decizii obligatorii privind masurile de aplicare a competenţelor care ii sunt conferite in conformitate cu prezentul regulament. În calitatea sa de autoritate principala, autoritatea de supraveghere ar trebui sa implice indeaproape şi sa coordoneze activitaţile autoritaţilor de supraveghere vizate in procesul decizional. În cazurile in care decizia este de respingere parţiala sau totala a plângerii din partea persoanei vizate, o asemenea decizie ar trebui adoptata de catre autoritatea de supraveghere la care s-a depus plângerea. (126)Decizia ar trebui convenita in comun de autoritatea de supraveghere principala şi de autoritaţile de supraveghere vizate şi ar trebui sa vizeze sediul principal sau sediul unic al operatorului sau al persoanei imputernicite de operator şi sa fie obligatorie pentru operator şi pentru persoana imputernicita de operator. Operatorul sau persoana imputernicita de operator ar trebui sa ia masurile necesare pentru a asigura conformitatea cu prezentul regulament şi punerea in aplicare a deciziei notificate de autoritatea de supraveghere principala sediului principal al operatorului sau al persoanei imputernicite de operator in ceea ce priveşte activitaţile de prelucrare in Uniune.
(127)Fiecare autoritate de supraveghere care nu acţioneaza ca autoritate de supraveghere principala ar trebui sa aiba competenţa de a trata cazuri locale, in care operatorul sau persoana imputernicita de operator are sedii in mai multe state membre, dar obiectul respectivei prelucrari priveşte doar prelucrarea efectuata intr-un singur stat membru şi implicând doar persoane vizate din acel unic stat membru, de exemplu in cazul in care obiectul il constituie prelucrarea datelor cu caracter personal ale angajaţilor in contextul specific legat de forţa de munca dintr-un stat membru. În astfel de cazuri, autoritatea de supraveghere ar trebui sa informeze fara intârziere autoritatea de supraveghere principala cu privire la aceasta chestiune. Dupa ce a fost informata, autoritatea de supraveghere principala ar trebui sa decida daca va trata ea insaşi cazul in temeiul dispoziţiei privind cooperarea intre autoritatea de supraveghere principala şi alte autoritaţi de supraveghere vizate („mecanismul ghişeului unic”), sau daca autoritatea de supraveghere care a informat-o ar trebui sa se ocupe de caz la nivel local. Atunci când decide daca va trata cazul, autoritatea de supraveghere principala ar trebui sa ia in considerare daca exista un sediu al operatorului sau al persoanei imputernicite de operator in statul membru al autoritaţii de supraveghere care a informat-o, in vederea garantarii respectarii efective a unei decizii in ceea ce priveşte operatorul sau persoana imputernicita de operator. În cazul in care autoritatea de supraveghere principala decide sa trateze cazul, autoritatea de supraveghere care a informat-o ar trebui sa beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea de supraveghere principala ar trebui sa ţina seama in cea mai mare masura atunci când pregateşte proiectul sau de decizie in cadrul respectivului mecanism al ghişeului unic.
(128)Normele privind autoritatea de supraveghere principala şi mecanismul ghişeului unic nu ar trebui sa se aplice in cazul in care prelucrarea este efectuata de autoritaţi publice sau organisme private in interes public. În asemenea cazuri, singura autoritate de supraveghere competenta sa işi exercite competenţele care i-au fost atribuite in conformitate cu prezentul regulament ar trebui sa fie autoritatea de supraveghere a statului membru in care autoritatea publica sau organismul privat işi are sediul.
(129)Pentru a se asigura consecvenţa monitorizarii şi a aplicarii prezentului regulament in intreaga Uniune, autoritaţile de supraveghere ar trebui sa aiba in fiecare stat membru aceleaşi sarcini şi competenţe efective, inclusiv competenţe de investigare, competenţe corective şi sancţiuni, precum şi competenţe de autorizare şi de consiliere, in special in cazul plângerilor depuse de persoane fizice, precum şi, fara a aduce atingere competenţelor autoritaţilor de urmarire penala in temeiul dreptului intern, de a aduce in atenţia autoritaţilor judiciare cazurile de incalcare a prezentului regulament şi de a se implica in proceduri judiciare. Aceste competenţe ar trebui sa includa şi competenţa de a impune o limitare temporara sau definitiva, inclusiv o interdicţie, asupra prelucrarii. Statele membre pot stabili alte sarcini legate de protecţia datelor cu caracter personal in temeiul prezentului regulament. Competenţele autoritaţilor de supraveghere ar trebui exercitate in conformitate cu garanţii procedurale adecvate prevazute in dreptul Uniunii şi in dreptul intern, in mod imparţial, echitabil şi intr-un termen rezonabil. În special, fiecare masura ar trebui sa fie adecvata, necesara şi proporţionala in scopul de a
asigura conformitatea cu dispoziţiile prezentului regulament, luând in considerare circumstanţele fiecarui caz in parte, sa respecte dreptul oricarei persoane de a fi ascultata inainte de luarea oricarei masuri individuale care ar putea sa ii aduca atingere şi sa evite costurile inutile şi inconvenientele excesive pentru persoanele in cauza. Competenţele de investigare in ceea ce priveşte accesul in incinte ar trebui exercitate in conformitate cu cerinţele specifice din dreptul procedural naţional, cum ar fi obligaţia de a obţine in prealabil o autorizare judiciara. Fiecare masura obligatorie din punct de vedere juridic luata de autoritatea de supraveghere ar trebui sa fie prezentata in scris, sa fie clara şi lipsita de ambiguitate, sa indice autoritatea de supraveghere care a emis masura, data emiterii masurii, sa poarte semnatura şefului sau a unui membru al autoritaţii de supraveghere autorizat de acesta, sa furnizeze motivele pentru care s-a luat masura şi sa faca trimitere la dreptul la o cale de atac eficienta. Acest lucru nu ar trebui sa excluda cerinţe suplimentare in conformitate cu dreptul procedural naţional. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implica faptul ca se poate da naştere unui control jurisdicţional in statul membru al autoritaţii de supraveghere care a adoptat decizia.
(130)În cazul in care autoritatea de supraveghere la care s-a depus plângerea nu este autoritatea de supraveghere principala, autoritatea de supraveghere principala ar trebui sa coopereze indeaproape cu autoritatea de supraveghere la care s-a depus plângerea, in conformitate cu dispoziţiile privind cooperarea şi consecvenţa prevazute in prezentul regulament. În astfel de cazuri, autoritatea de supraveghere principala ar trebui, atunci când ia masuri destinate sa produca efecte juridice, inclusiv impunerea de amenzi administrative, sa ţina seama cât mai mult posibil de opinia autoritaţii de supraveghere la care a fost depusa plângerea şi care ar trebui sa işi menţina competenţa de a desfaşura orice investigaţie pe teritoriul propriului stat membru, in colaborare cu autoritatea de supraveghere principala.
(131)În cazurile in care o alta autoritate de supraveghere ar trebui sa acţioneze in calitate de autoritate de supraveghere principala pentru activitaţile de prelucrare ale operatorului sau ale persoanei imputernicite de operator, dar obiectul concret al unei plângeri sau posibila incalcare vizeaza numai activitaţile de prelucrare ale operatorului sau ale persoanei imputernicite de operator in statul membru in care a fost depusa plângerea sau a fost depistata posibila incalcare, iar chestiunea nu afecteaza in mod substanţial sau nu este susceptibila sa afecteze in mod substanţial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o plângere sau a depistat ori a fost informata in alt mod asupra unor situaţii de posibile incalcari ale prezentului regulament ar trebui sa incerce o soluţionare pe cale amiabila cu operatorul şi, in cazul in care aceasta eşueaza, sa işi exercite plenitudinea competenţelor. Aceasta ar trebui sa includa activitaţi specifice de prelucrare efectuate pe teritoriul statului membru al autoritaţii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat membru, activitaţi de prelucrare care au loc in contextul unei oferte de bunuri sau servicii destinate in mod special persoanelor vizate pe teritoriul statului membru al autoritaţii de supraveghere sau activitaţi de prelucrare care trebuie evaluate ţinând seama de obligaţiile juridice relevante in temeiul dreptului intern.
(132)Activitaţile de creştere a gradului de conştientizare organizate pentru public de autoritaţile de supraveghere ar trebui sa includa masuri specifice care sa vizeze operatorii şi persoanele imputernicite de operatori, inclusiv microintreprinderile şi intreprinderile mici şi mijlocii, precum şi persoanele fizice, in special in context educaţional.
(133)Autoritaţile de supraveghere ar trebui sa işi acorde reciproc asistenţa in indeplinirea sarcinilor care le revin, pentru a se asigura coerenţa aplicarii prezentului regulament pe piaţa interna. O autoritate de supraveghere care solicita asistenţa reciproca poate adopta o masura provizorie in cazul in care nu primeşte un raspuns la o solicitare de asistenţa reciproca in termen de o luna de la primirea solicitarii de catre cealalta autoritate de supraveghere.
(134)Fiecare autoritate de supraveghere ar trebui sa participe, dupa caz, la operaţiuni comune intre autoritaţile de supraveghere. Autoritatea de supraveghere careia i s-a adresat solicitarea ar trebui sa aiba obligaţia de a raspunde cererii intr-un anumit termen.
(135)Pentru a se asigura aplicarea coerenta a prezentului regulament in intreaga Uniune, ar trebui sa se instituie un mecanism pentru asigurarea coerenţei in cadrul caruia autoritaţile de supraveghere sa
coopereze. Acest mecanism ar trebui sa se aplice, in special, in cazul in care o autoritate de supraveghere intenţioneaza sa adopte o masura prevazuta a produce efecte juridice in ceea ce priveşte operaţiunile de prelucrare care afecteaza in mod substanţial un numar semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui sa se aplice, de asemenea, in cazul in care o autoritate de supraveghere vizata sau Comisia solicita ca aspectul respectiv sa fie tratat in cadrul mecanismului pentru asigurarea coerenţei. Acest mecanism nu ar trebui sa aduca atingere masurilor pe care Comisia le poate adopta in exercitarea competenţelor care ii revin in temeiul tratatelor.
(136)În aplicarea mecanismului pentru asigurarea coerenţei, comitetul ar trebui, intr-un anumit termen, sa emita un aviz in cazul in care o majoritate a membrilor sai decide astfel sau in cazul in care orice autoritate de supraveghere vizata sau Comisia solicita acest lucru. Comitetul ar trebui, de asemenea, sa fie imputernicit sa adopte decizii obligatorii din punct de vedere juridic in cazul unor litigii intre autoritaţile de supraveghere. În acest scop, acesta ar trebui sa emita, in principiu cu o majoritate de doua treimi din membrii sai, decizii obligatorii din punct de vedere juridic, in cazuri bine definite, in cazul in care exista opinii divergente intre autoritaţile de supraveghere, in special in cadrul mecanismului de cooperare intre autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate privind fondul cauzei, in special existenţa sau nu a unei incalcari a prezentului regulament. (137)Este posibil sa existe o necesitate urgenta de a se acţiona pentru asigurarea protecţiei drepturilor şi libertaţilor persoanelor vizate, in special in cazul in care exista pericolul ca exercitarea unui drept al unei persoane vizate sa fie impiedicata in mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui sa poata adopta masuri provizorii pe teritoriul sau, justificate in mod corespunzator, având o perioada de valabilitate determinata care nu ar trebui sa depaşeasca trei luni.
(138)Aplicarea unui astfel de mecanism ar trebui sa constituie o condiţie pentru legalitatea unei masuri destinate sa produca efecte juridice, luate de o autoritate de supraveghere, in cazurile in care aplicarea acesteia este obligatorie. În alte cazuri cu relevanţa transfrontaliera, ar trebui pus in aplicare mecanismul de cooperare intre autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate, iar intre autoritaţile de supraveghere vizate s-ar putea acorda asistenţa reciproca şi s-ar putea desfaşura operaţiuni comune pe baza bilaterala sau multilaterala, fara declanşarea mecanismului pentru asigurarea coerenţei.
(139)Cu scopul de a promova aplicarea coerenta a prezentului regulament, comitetul ar trebui instituit ca organ independent al Uniunii. Pentru a-şi indeplini obiectivele, comitetul ar trebui sa aiba personalitate juridica. Comitetul ar trebui sa fie reprezentat de preşedintele sau. Acesta ar trebui sa inlocuiasca Grupul de lucru pentru protecţia persoanelor in ceea ce priveşte prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui sa fie alcatuit din şefii autoritaţilor de supraveghere din fiecare stat membru şi din Autoritatea Europeana pentru Protecţia Datelor sau reprezentanţii acestora. Comisia ar trebui sa participe la activitaţile comitetului fara a avea drept de vot, iar Autoritatea Europeana pentru Protecţia Datelor ar trebui sa aiba drepturi de vot speciale. Comitetul ar trebui sa contribuie la aplicarea coerenta a prezentului regulament in intreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, in special cu privire la nivelul de protecţie in ţarile terţe şi in cadrul organizaţiilor internaţionale, şi prin promovarea cooperarii autoritaţilor de supraveghere in intreaga Uniune. Comitetul ar trebui sa acţioneze in mod independent in indeplinirea sarcinilor sale. (140)Comitetul ar trebui sa fie asistat de un secretariat asigurat de Autoritatea Europeana pentru Protecţia Datelor. Personalul Autoritaţii Europene pentru Protecţia Datelor implicat in indeplinirea sarcinilor conferite comitetului in temeiul prezentului regulament ar trebui sa işi indeplineasca sarcinile exclusiv conform instrucţiunilor preşedintelui comitetului şi sa raporteze acestuia.
(141)Orice persoana vizata ar trebui sa aiba dreptul de a depune o plângere la o singura autoritate de supraveghere, in special in statul membru in care işi are reşedinţa obişnuita, precum şi dreptul la o cale de atac eficienta in conformitate cu articolul 47 din carta, in cazul in care persoana vizata considera ca drepturile sale in temeiul prezentului regulament sunt incalcate sau in cazul in care autoritatea de supraveghere nu reacţioneaza la o plângere, respinge sau refuza parţial sau total o plângere sau nu acţioneaza atunci când o astfel de acţiune este necesara pentru asigurarea protecţiei drepturilor persoanei vizate. Investigaţia in urma unei plângeri ar trebui sa fie efectuata, sub control judiciar, in masura in care este necesar, in funcţie de caz. Autoritatea de supraveghere ar trebui sa informeze
persoana vizata cu privire la evoluţia şi soluţionarea plângerii intr-un termen rezonabil. În eventualitatea in care cazul necesita o investigare suplimentara sau coordonarea cu o alta autoritate de supraveghere, ar trebui sa se furnizeze informaţii intermediare persoanei vizate. În vederea facilitarii depunerii plângerilor, fiecare autoritate de supraveghere ar trebui sa ia masuri precum punerea la dispoziţie a unui formular de depunere a plângerii, care sa poata fi completat inclusiv in format electronic, fara a exclude alte mijloace de comunicare.
(142)În cazul in care persoana vizata considera ca drepturile sale in temeiul prezentului regulament sunt incalcate, aceasta ar trebui sa aiba dreptul de a mandata un organism, o organizaţie sau o asociaţie fara scop lucrativ care este infiinţat(a) in conformitate cu dreptul intern, ale carui (carei) obiective statutare sunt in interesul public şi care işi desfaşoara activitatea in domeniul asigurarii protecţiei datelor cu caracter personal, sa depuna o plângere in numele sau la o autoritate de supraveghere, sa exercite dreptul la o cale de atac in numele persoanelor vizate sau, in cazul in care se prevede in dreptul intern, sa exercite dreptul de a primi despagubiri in numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizaţie sau asociaţie sa aiba dreptul de a depune o plângere in statul membru respectiv, independent de mandatul acordat de o persoana vizata, şi sa aiba dreptul la o cale de atac eficienta in cazul in care are motive sa considere ca drepturile unei persoane vizate au fost incalcate ca rezultat al unei prelucrari a datelor cu caracter personal care incalca prezentul regulament. Organismul, organizaţia sau asociaţia in cauza nu poate pretinde despagubiri in numele unei persoane vizate, independent de mandatul acordat de persoana vizata. (143)Orice persoana fizica sau juridica are dreptul de a introduce o acţiune in anulare impotriva deciziilor comitetului in faţa Curţii de Justiţie, in conformitate cu condiţiile prevazute la articolul 263 din TFUE. În calitate de destinatare ale acestor decizii, autoritaţile de supraveghere vizate care doresc sa le conteste trebuie sa introduca o acţiune impotriva deciziilor respective in termen de doua luni de la data la care le-au fost notificate, in conformitate cu articolul 263 din TFUE. În cazul in care deciziile comitetului vizeaza in mod direct şi individual un operator, o persoana imputernicita de operator sau reclamantul, aceştia din urma pot introduce o acţiune in anularea respectivelor decizii in termen de doua luni de la publicarea acestora pe site-ul comitetului, in conformitate cu articolul 263 din TFUE. Fara a aduce atingere acestui drept in temeiul articolului 263 din TFUE, orice persoana fizica sau juridica ar trebui sa aiba dreptul la o cale de atac judiciara eficienta in faţa instanţei naţionale competente impotriva unei decizii a unei autoritaţi de supraveghere care produce efecte juridice privind respectiva persoana. O astfel de decizie se refera in special la exercitarea competenţelor de investigare, corective şi de autorizare de catre autoritatea de supraveghere sau la refuzul sau respingerea plângerilor. Cu toate acestea, dreptul la o cale de atac judiciara eficienta nu include masuri ale autoritaţilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizata de aceasta. Acţiunile impotriva unei autoritaţi de supraveghere ar trebui sa fie aduse in faţa instanţelor statului membru in care este stabilita autoritatea de supraveghere şi ar trebui sa se desfaşoare in conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanţe ar trebui sa işi exercite competenţa judiciara deplina, care ar trebui sa includa competenţa de a examina toate aspectele de fapt sau de drept care au relevanţa pentru litigiul cu care acestea sunt sesizate.
În cazul in care o plângere a fost respinsa sau refuzata de o autoritate de supraveghere, reclamantul poate introduce o acţiune la instanţele din acelaşi stat membru. În contextul cailor de atac judiciare privind aplicarea prezentului regulament, instanţele naţionale care considera necesara o decizie privind chestiunea respectiva pentru a le permite sa ia o hotarâre pot sau, in cazul prevazut la articolul 267 din TFUE, trebuie sa solicite Curţii de Justiţie sa pronunţe o decizie preliminara privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. În plus, in cazul in care o decizie a unei autoritaţi de supraveghere care pune in aplicare o decizie a comitetului este contestata in faţa unei instanţe naţionale şi este in discuţie validitatea deciziei comitetului, respectiva instanţa naţionala nu are competenţa de a declara nula decizia comitetului, ci trebuie sa aduca chestiunea validitaţii in faţa Curţii de Justiţie, in conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justiţie, ori de câte ori instanţa naţionala considera decizia nula. Cu toate acestea, o instanţa naţionala nu poate sa transmita o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane
fizice sau juridice care a avut posibilitatea de a introduce o acţiune in anulare impotriva respectivei decizii, in special daca aceasta era vizata in mod direct şi individual de decizia in cauza, dar nu a facut acest lucru in termenul prevazut la articolul 263 din TFUE.
(144)Atunci când o instanţa sesizata cu o procedura impotriva unei decizii a unei autoritaţi de supraveghere are motive sa creada ca in faţa unei instanţe competente dintr-un alt stat membru au fost introduse proceduri cu privire la aceeaşi prelucrare, cum ar fi acelaşi obiect al prelucrarii, de catre acelaşi operator sau aceleaşi persoana imputernicita de operator, sau aceeaşi cauza, instanţa respectiva ar trebui sa contacteze cea de a doua instanţa pentru a confirma existenţa unor astfel de proceduri conexe. În cazul in care aceste proceduri conexe se afla pe rolul unei instanţe dintr-un alt stat membru, orice instanţa, cu excepţia celei sesizate iniţial, poate sa işi suspende procedurile sau, la cererea uneia dintre parţi, işi poate declina competenţa in favoarea instanţei sesizate iniţial, cu condiţia ca aceasta din urma sa aiba competenţa de a soluţiona procedurile in cauza şi ca dreptul care i se aplica sa ii permita consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci când sunt atât de strâns legate intre ele incât este oportuna instrumentarea şi judecarea lor in acelaşi timp pentru a se evita riscul pronunţarii unor hotarâri ireconciliabile in cazul judecarii lor in mod separat.
(145)În ceea ce priveşte acţiunile iniţiate impotriva unui operator sau unei persoane imputernicite de operator, reclamantul ar trebui sa aiba posibilitatea de a introduce acţiunea in faţa instanţelor din statele membre in care operatorul sau persoana imputernicita de operator are un sediu sau in care persoana vizata işi are reşedinţa, cu excepţia cazului in care operatorul este o autoritate publica dintr- un stat membru ce acţioneaza in exercitarea competenţelor sale publice.
(146)Operatorul sau persoana imputernicita de operator ar trebui sa plateasca despagubiri pentru orice prejudiciu pe care o persoana il poate suferi ca urmare a unei prelucrari care incalca prezentul regulament. Operatorul sau persoana imputernicita de operator ar trebui sa fie exoneraţi de raspundere daca dovedesc ca nu sunt in niciun fel raspunzatori pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat in sens larg, din perspectiva jurisprudenţei Curţii de Justiţie, intr-un mod care sa reflecte pe deplin obiectivele prezentului regulament. Aceasta dispoziţie nu aduce atingere niciunei cereri de despagubire care rezulta din incalcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care incalca prezentul regulament include şi prelucrarea care incalca actele delegate şi de punere in aplicare adoptate in conformitate cu prezentul regulament şi cu dreptul intern care specifica norme din prezentul regulament. Persoanele vizate ar trebui sa primeasca despagubiri integrale şi eficace pentru prejudiciul pe care le-au suferit. În cazul in care operatorii sau persoanele imputernicite de operatori sunt implicate in aceeaşi prelucrare, fiecare operator sau fiecare persoana imputernicita de operator ar trebui sa fie considerata raspunzatoare pentru intregul prejudiciu. Cu toate acestea, atunci când procedurile juridice care le vizeaza sunt conexate, in conformitate cu dreptul intern, despagubirile pot fi imparţite in funcţie de raspunderea fiecarui operator sau a fiecarei persoane imputernicite de operator, cu condiţia sa se asigure despagubirea integrala şi efectiva a persoanei vizate care a suferit prejudiciul. Orice operator sau persoana imputernicita de operator care a platit despagubiri integrale poate formula ulterior o acţiune in regres impotriva altor operatori sau persoane imputernicite de operatori implicate in aceeaşi prelucrare.
(147)În cazul in care prezentul regulament cuprinde norme specifice privind competenţa judiciara, in special in ceea ce priveşte caile de atac judiciare, inclusiv acţiunile in despagubiri, impotriva unui operator sau a unei persoane imputernicite de operator, normele generale privind competenţa judiciara precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului (1) nu ar trebui sa aduca atingere aplicarii unor astfel de norme specifice.
(1)Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului din 12 decembrie 2012 privind competenţa judiciara, recunoaşterea şi executarea hotarârilor in materie civila şi comerciala (JO L 351, 20.12.2012, p. 1).
(148)Pentru a consolida respectarea aplicarii normelor prevazute in prezentul regulament, ar trebui impuse sancţiuni, inclusiv amenzi administrative, pentru orice incalcare a prezentului regulament, pe lânga sau in locul masurilor adecvate impuse de autoritatea de supraveghere in temeiul prezentului regulament. În cazul unei incalcari minore sau in cazul in care amenda susceptibila de a fi impusa ar
constitui o sarcina disproporţionata pentru o persoana fizica, poate fi emis un avertisment in locul unei amenzi. Cu toate acestea, ar trebui sa se ia in considerare in mod corespunzator natura, gravitatea şi durata incalcarii, caracterul deliberat al incalcarii, acţiunile intreprinse pentru a reduce prejudiciul cauzat, gradul de raspundere sau orice incalcari anterioare relevante, modul in care incalcarea a fost adusa la cunoştinţa autoritaţii de supraveghere, conformitatea cu masurile adoptate impotriva operatorului sau a persoanei imputernicite de operator, aderarea la un cod de conduita şi orice alt factor agravant sau atenuant. Impunerea de sancţiuni, inclusiv de amenzi administrative, ar trebui sa faca obiectul unor garanţii procedurale adecvate, in conformitate cu principiile generale ale dreptului Uniunii şi cu carta, inclusiv o protecţie judiciara eficienta şi un proces echitabil.
(149)Statele membre ar trebui sa poata stabili normele privind sancţiunile penale pentru incalcarile prezentului regulament, inclusiv pentru incalcarea normelor de drept intern adoptate in temeiul şi in limitele prezentului regulament. Respectivele sancţiuni penale pot, de asemenea, permite privarea de profiturile obţinute prin incalcarea prezentului regulament. Cu toate acestea, impunerea de sancţiuni penale pentru incalcari ale unor asemenea norme de drept intern şi de sancţiuni administrative nu ar trebui sa duca la incalcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiţie.
(150)Pentru consolidarea şi armonizarea sancţiunilor administrative in cazul incalcarii prezentului regulament, fiecare autoritate de supraveghere ar trebui sa aiba competenţa de a impune amenzi administrative. Prezentul regulament ar trebui sa indice incalcarile, şi limita maxima şi criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui sa fie stabilite de autoritatea de supraveghere competenta in fiecare caz in parte, ţinând seama de toate circumstanţele relevante ale situaţiei specifice, luându-se in considerare in mod corespunzator, in special, natura, gravitatea şi durata incalcarii, precum şi consecinţele acesteia şi masurile luate pentru a se asigura respectarea obligaţiilor in temeiul prezentului regulament şi pentru a se preveni sau atenua consecinţele incalcarii. În cazul in care amenzile administrative sunt impuse unei intreprinderi, o intreprindere ar trebui inţeleasa ca fiind o intreprindere in conformitate cu articolele 101 şi 102 din TFUE in aceste scopuri. În cazul in care se impun amenzi administrative unor persoane care nu sunt intreprinderi, autoritatea de supraveghere ar trebui sa ţina seama de nivelul general al veniturilor din statul membru respectiv, precum şi de situaţia economica a persoanei atunci când estimeaza cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coerenţei poate fi, de asemenea, utilizat pentru a promova aplicarea consecventa a amenzilor administrative. Competenţa de a stabili daca şi in ce masura autoritaţile publice ar trebui sa faca obiectul unor amenzi administrative ar trebui sa revina statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizari nu afecteaza aplicarea altor competenţe ale autoritaţilor de supraveghere sau a altor sancţiuni in temeiul prezentului regulament. (151)Sistemele juridice ale Danemarcei şi Estoniei nu permit amenzi administrative astfel cum sunt prevazute in prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel incât, in Danemarca, amenda sa fie impusa de instanţele naţionale competente ca sancţiune penala, iar in Estonia amenda sa fie impusa de autoritatea de supraveghere in cadrul unei proceduri privind delictele, cu condiţia ca o astfel de aplicare a normelor in statele membre respective sa aiba un efect echivalent cu cel al amenzilor administrative impuse de autoritaţile de supraveghere. Prin urmare, instanţele naţionale competente ar trebui sa ţina seama de recomandarea autoritaţii de supraveghere care a iniţiat amenda. În orice caz, amenzile impuse ar trebui sa fie eficace, proporţionale şi disuasive. (152)În cazul in care prezentul regulament nu armonizeaza sancţiunile administrative sau in alte cazuri, acolo unde este necesar, de exemplu in cazul unor incalcari grave ale prezentului regulament, statele membre ar trebui sa puna in aplicare un sistem care sa prevada sancţiuni eficace, proporţionale şi disuasive. Natura unor astfel de sancţiuni, penale sau administrative, ar trebui stabilita in dreptul intern.
(153)Dreptul statelor membre ar trebui sa stabileasca un echilibru intre normele care reglementeaza libertatea de exprimare şi de informare, inclusiv exprimarea jurnalistica, academica, artistica şi/sau literara, şi dreptul la protecţia datelor cu caracter personal in temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare ar trebui sa faca obiectul unor derogari sau al unor excepţii de la
anumite dispoziţii ale prezentului regulament in cazul in care este necesara stabilirea unui echilibru intre dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare şi de informare, astfel cum este prevazut in articolul 11 din carta. Acest lucru ar trebui sa se aplice in special prelucrarii datelor cu caracter personal in domeniul audiovizualului, precum şi in arhivele de ştiri şi in bibliotecile ziarelor. Prin urmare, statele membre ar trebui sa adopte masuri legislative care sa prevada excepţiile şi derogarile necesare in vederea asigurarii echilibrului intre aceste drepturi fundamentale. Statele membre ar trebui sa adopte astfel de excepţii şi derogari in ceea ce priveşte principiile generale, drepturile persoanelor vizate, operatorul şi persoana imputernicita de operator, transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale, autoritaţile de supraveghere independente, cooperarea şi coerenţa, precum şi in ceea ce priveşte situaţii specifice de prelucrare a datelor. În cazul in care aceste excepţii sau derogari difera de la un stat membru la altul, ar trebui sa se aplice dreptul statului membru sub incidenţa caruia intra operatorul. Pentru a ţine seama de importanţa dreptului la libertatea de exprimare in fiecare societate democratica, este necesar ca noţiunile legate de aceasta libertate, cum ar fi jurnalismul, sa fie interpretate in sens larg.
(154)Prezentul regulament permite luarea in considerare a principiului accesului public la documente oficiale in aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi in interes public. Datele cu caracter personal din documentele deţinute de o autoritate publica sau de un organism public ar trebui sa poata fi divulgate de autoritatea respectiva sau de organismul respectiv in cazul in care dreptul Uniunii sau dreptul intern sub incidenţa caruia intra autoritatea publica sau organismul public prevede acest lucru. Dreptul Uniunii şi dreptul intern ar trebui sa asigure un echilibru intre accesul public la documentele oficiale şi reutilizarea informaţiilor din sectorul public, pe de o parte, şi dreptul la protecţia datelor cu caracter personal, pe de alta parte, şi ar putea prin urmare sa prevada echilibrul necesar cu dreptul la protecţia datelor cu caracter personal in temeiul prezentului regulament. Trimiterea la autoritaţile şi organismele publice ar trebui, in acest context, sa includa toate autoritaţile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European şi a Consiliului (1) lasa intact şi nu aduce atingere in niciun fel nivelului de protecţie a persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal in conformitate cu dreptul Uniunii şi cu cel intern şi, in special, nu modifica drepturile şi obligaţiile prevazute de prezentul regulament. În special, directiva sus-menţionata nu se aplica documentelor la care accesul este exclus sau restrâns in temeiul regimurilor de acces din motive legate de protecţia datelor cu caracter personal şi nici parţilor din documente accesibile in temeiul respectivelor regimuri care conţin date cu caracter personal a caror reutilizare a fost stabilita prin lege ca fiind incompatibila cu dreptul privind protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal.
(1)Directiva 2003/98/CE a Parlamentului European şi a Consiliului din 17 noiembrie 2003 privind reutilizarea informaţiilor din sectorul public (JO L 345, 31.12.2003, p. 90).
(155)Dreptul intern sau acordurile colective, inclusiv „acordurile de munca”, pot prevedea norme specifice care sa reglementeze prelucrarea datelor cu caracter personal ale angajaţilor in contextul ocuparii unui loc de munca, in special condiţiile in care datele cu caracter personal in contextul ocuparii unui loc de munca pot fi prelucrate pe baza consimţamântului angajatului, in scopul recrutarii, al respectarii clauzelor contractului de munca, inclusiv descarcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii şi organizarii muncii, al egalitaţii şi diversitaţii la locul de munca, al asigurarii sanataţii şi securitaţii la locul de munca, precum şi in scopul exercitarii şi beneficierii, in mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de munca, precum şi in scopul incetarii raporturilor de munca.
(156)Prelucrarea datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice ar trebui sa faca obiectul unor garanţii adecvate pentru drepturile şi libertaţile persoanei vizate in temeiul prezentului regulament. Respectivele garanţii ar trebui sa asigure faptul ca au fost instituite masuri tehnice şi organizatorice necesare pentru a se asigura, in special, principiul reducerii la minimum a datelor. Prelucrarea ulterioara a datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice se efectueaza atunci când operatorul a evaluat fezabilitatea pentru indeplinirea
acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiţia sa existe garanţii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Statele membre ar trebui sa prevada garanţii adecvate pentru prelucrarea datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice. Statele membre ar trebui sa fie autorizate sa ofere, in anumite condiţii şi sub rezerva unor garanţii adecvate pentru persoanele vizate, precizari şi derogari in ceea ce priveşte cererile de informaţii şi dreptul la rectificare, dreptul la ştergere, dreptul de a fi uitat, dreptul la restricţionarea prelucrarii,dreptul la portabilitatea datelor, precum şi dreptul la opoziţie in cazul prelucrarii datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice. Condiţiile şi garanţiile in cauza pot genera proceduri specifice astfel incât persoanele vizate sa işi exercite respectivele drepturi daca acest lucru este adecvat in contextul scopurilor vizate de prelucrarea specifica, precum şi masuri tehnice şi organizaţionale vizând reducerea la minimum a prelucrarii datelor cu caracter personal, in conformitate cu principiile proporţionalitaţii şi necesitaţii. Prelucrarea datelor cu caracter personal in scopuri ştiinţifice ar trebui sa fie, de asemenea, conforma cu alte acte legislative relevante, cum ar fi cele privind studiile clinice.
(157)Prin combinarea informaţiilor din registre, cercetatorii pot obţine noi cunoştinţe de mare valoare in ceea ce priveşte bolile cu larga raspândire, cum ar fi bolile cardiovasculare, cancerul şi depresia. Pe baza registrelor, rezultatele cercetarilor pot fi intarite, intrucât acestea se bazeaza pe o populaţie mai mare. În domeniul ştiinţelor sociale, cercetarea pe baza registrelor le permite cercetatorilor sa obţina informaţii esenţiale despre corelarea pe termen lung a unei serii de condiţii sociale, precum şomajul sau educaţia, cu alte condiţii de viaţa. Rezultatele cercetarilor obţinute pe baza registrelor furnizeaza cunoştinţe solide, de inalta calitate, care pot constitui baza pentru elaborarea şi punerea in aplicare a unor politici bazate pe cunoaştere şi care pot imbunataţi calitatea vieţii pentru un numar de persoane, eficienţa serviciilor sociale. Pentru a facilita cercetarea ştiinţifica, datele cu caracter personal pot fi prelucrate in scopuri de cercetare ştiinţifica, sub rezerva condiţiilor şi a garanţiilor corespunzatoare stabilite in dreptul Uniunii sau in dreptul intern.
(158)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de arhivare, prezentul regulament ar trebui sa se aplice şi prelucrarii respective, ţinând seama de faptul ca prezentul regulament nu ar trebui sa se aplice persoanelor decedate. Autoritaţile publice sau organismele publice sau private care deţin evidenţe de interes public ar trebui, in temeiul dreptului Uniunii sau al dreptului naţional, sa aiba o obligaţie legala de a dobândi, a pastra, a evalua, a pregati, a descrie, a comunica, a promova, a disemina şi a asigura accesul la evidenţe de valoare durabila de interes public general. Statele membre ar trebui, de asemenea, sa poata sa prevada prelucrarea ulterioara a datelor cu caracter personal in scopuri de arhivare, de exemplu cu scopul de a furniza informaţii specifice referitoare la comportamentul politic in perioada fostelor regimuri de stat totalitare, la genociduri, la crime impotriva umanitaţii, in special holocaustul, sau la crime de razboi.
(159)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare ştiinţifica, prezentul regulament ar trebui sa se aplice şi prelucrarii respective. În sensul prezentului regulament, prelucrarea datelor cu caracter personal in scopuri de cercetare ştiinţifica ar trebui sa fie interpretata in sens larg, incluzând de exemplu dezvoltarea tehnologica şi activitaţile demonstrative, cercetarea fundamentala, cercetarea aplicata şi cercetarea finanţata din surse private. Ar trebui, in plus, luat in considerare obiectivul Uniunii de creare a unui Spaţiu european de cercetare, astfel cum este menţionat la articolul 179 alineatul (1) din TFUE. Scopurile de cercetare ştiinţifica ar trebui sa includa, de asemenea, studii efectuate in interes public in domeniul sanataţii publice. Pentru a indeplini caracteristicile specifice ale prelucrarii datelor cu caracter personal in scopuri de cercetare ştiinţifica, ar trebui sa se aplice condiţii specifice, in special in ceea ce priveşte publicarea sau divulgarea intr-un alt mod a datelor cu caracter personal in contextul scopurilor de cercetare ştiinţifica. În cazul in care rezultatul cercetarii ştiinţifice, in special in contextul sanataţii, constituie un motiv pentru masuri suplimentare in interesul persoanei vizate, normele generale ale prezentului regulament ar trebui sa se aplice având in vedere aceste masuri.
(160)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare istorica, prezentul regulament ar trebui sa se aplice şi prelucrarii respective. Acest lucru ar trebui sa includa, de asemenea, cercetarea istorica şi cercetarea in scopuri genealogice, ţinând seama de faptul ca prezentul regulament nu ar trebui sa se aplice persoanelor decedate.
(161)În scopul acordarii consimţamântului de a participa la activitaţi de cercetare ştiinţifica in cadrul testelor clinice, ar trebui sa se aplice dispoziţiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European şi al Consiliului (1).
(1)Regulamentul (UE) nr. 536/2014 al Parlamentului European şi al Consiliului din 16 aprilie 2014 privind studiile clinice intervenţionale cu medicamente de uz uman şi de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).
(162)În cazul in care datele cu caracter personal sunt prelucrate in scopuri statistice, prezentul regulament ar trebui sa se aplice prelucrarii respective. Dreptul Uniunii sau dreptul intern ar trebui, in limitele prezentului regulament, sa determine conţinutul statistic, controlul accesului, specificaţiile pentru prelucrarea datelor cu caracter personal in scopuri statistice şi masurile adecvate pentru a proteja drepturile şi libertaţile persoanelor vizate şi pentru a asigura confidenţialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior in diferite scopuri, inclusiv in scopuri de cercetare ştiinţifica. Scopuri statistice inseamna orice operaţiune de colectare şi prelucrare de date cu caracter personal necesara pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun ca rezultatul prelucrarii in scopuri statistice nu constituie date cu caracter personal, ci date agregate şi ca acest rezultat sau datele cu caracter personal nu sunt utilizate in sprijinul unor masuri sau decizii privind o anumita persoana fizica.
(163)Informaţiile confidenţiale pe care autoritaţile statistice de la nivelul Uniunii şi de la nivel naţional le colecteaza in vederea elaborarii de statistici europene şi naţionale oficiale ar trebui sa fie protejate. Statisticile europene ar trebui concepute, elaborate şi difuzate in conformitate cu principiile statistice prevazute la articolul 338 alineatul (2) din TFUE, in timp ce statisticile naţionale ar trebui, de asemenea, sa fie in conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului (2) prevede specificaţii suplimentare privind confidenţialitatea datelor statistice pentru statisticile europene.
(2)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunitaţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunitaţilor Europene (JO L 87, 31.3.2009, p. 164).
(164)În ceea ce priveşte competenţele autoritaţilor de supraveghere de a obţine de la operator sau de la persoana imputernicita de operator accesul la datele cu caracter personal şi accesul in cladirile lor, statele membre pot adopta, pe cale legislativa şi in limitele stabilite de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor obligaţii echivalente, in masura in care acest lucru este necesar pentru a asigura un echilibru intre dreptul la protecţia datelor cu caracter personal şi obligaţia de pastrare a secretului profesional. Aceasta nu aduce atingere obligaţiilor existente ale statelor membre de a adopta norme privind secretul profesional in situaţiile cerute de dreptul Uniunii.
(165)Prezentul regulament respecta şi nu aduce atingere statutului de care beneficiaza, in temeiul dreptului constituţional existent, bisericile şi asociaţiile sau comunitaţile religioase din statele membre, astfel cum este recunoscut in articolul 17 din TFUE.
(166)În vederea indeplinirii obiectivelor prezentului regulament, şi anume protejarea drepturilor şi libertaţilor fundamentale ale persoanelor fizice şi, in special, a dreptului acestora la protecţia datelor cu caracter personal, şi pentru a se garanta libera circulaţie a datelor cu caracter personal pe teritoriul Uniunii, competenţa de a adopta acte in conformitate cu articolul 290 din TFUE ar trebui sa fie delegata Comisiei. În special, ar trebui adoptate acte delegate in ceea ce priveşte criteriile şi cerinţele privind mecanismele de certificare, informaţiile care trebuie prezentate prin pictograme standardizate şi procedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, in cadrul
activitaţii sale pregatitoare, Comisia sa organizeze consultari adecvate, inclusiv la nivel de experţi. Atunci când pregateşte şi elaboreaza acte delegate, Comisia ar trebui sa asigure transmiterea simultana, la timp şi in mod corespunzator a documentelor relevante catre Parlamentul European şi catre Consiliu.
(167)În vederea asigurarii unor condiţii uniforme de punere in aplicare a prezentului regulament, Comisia ar trebui investita cu competenţe de executare in situaţiile stabilite de prezentul regulament. Competenţele respective ar trebui sa fie exercitate in conformitate cu Regulamentul (UE) nr. 182/2011. În acest context, Comisia ar trebui sa ia in considerare masuri specifice pentru microintreprinderi şi pentru intreprinderile mici şi mijlocii.
(168)Procedura de examinare ar trebui utilizata pentru adoptarea de acte de punere in aplicare privind: clauzele contractuale standard dintre operatori şi persoanele imputernicite de operatori, precum şi dintre persoanele imputernicite de operatori; codurile de conduita; standardele tehnice şi mecanismele de certificare; nivelul adecvat de protecţie oferit de o ţara terţa, de un teritoriu sau de un anumit sector de prelucrare din ţara terţa respectiva, sau de o organizaţie internaţionala; clauzele standard de protecţie a datelor; formatele şi procedurile pentru schimbul electronic de informaţii intre operatori, persoanele imputernicite de operatori şi autoritaţile de supraveghere pentru regulile corporatiste obligatorii; asistenţa reciproca; precum şi modalitaţile de realizare a schimbului electronic de informaţii intre autoritaţile de supraveghere, precum şi intre autoritaţile de supraveghere şi comitetul.
(169)Comisia ar trebui sa adopte acte de punere in aplicare imediat aplicabile atunci când dovezile disponibile arata ca o ţara terţa, un teritoriu sau un anumit sector de prelucrare din ţara terţa respectiva, sau o organizaţie internaţionala nu asigura un nivel de protecţie adecvat, precum şi din motive imperative de urgenţa.
(170)Deoarece obiectivul prezentului regulament, şi anume asigurarea unui nivel echivalent de protecţie a persoanelor fizice şi libera circulaţie a datelor cu caracter personal in intreaga Uniune, nu poate fi realizat in mod satisfacator de catre statele membre dar, având in vedere amploarea sau efectele acţiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta masuri in conformitate cu principiul subsidiaritaţii, astfel cum este definit la articolul 5 din Tratatul privind Uniunea Europeana („Tratatul UE”). În conformitate cu principiul proporţionalitaţii, astfel cum este definit la articolul respectiv, prezentul regulament nu depaşeşte ceea ce este necesar pentru realizarea obiectivelor menţionate.
(171)Directiva 95/46/CE ar trebui sa fie abrogata prin prezentul regulament. Prelucrarile in derulare la data aplicarii prezentului regulament ar trebui sa fie aduse in conformitate cu prezentul regulament in termen de doi ani de la data intrarii in vigoare a prezentului regulament. În cazul in care prelucrarile se bazeaza pe consimţamânt in temeiul Directivei 95/46/CE, nu este necesar ca persoana vizata sa işi dea inca o data consimţamântul in cazul in care modul in care consimţamântul a fost dat este in conformitate cu condiţiile din prezentul regulament, astfel incât operatorului sa i se permita sa continue o astfel de prelucrare dupa data aplicarii prezentului regulament. Deciziile adoptate ale Comisiei şi autorizaţiile autoritaţilor de supraveghere emise pe baza Directivei 95/46/CE ramân in vigoare pâna când vor fi modificate, inlocuite sau abrogate.
(172)Autoritatea Europeana pentru Protecţia Datelor a fost consultata in conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 şi a emis un aviz la 7 martie 2012 (1).
(1)JO C 192, 30.6.2012, p. 7.
(173)Prezentul regulament ar trebui sa se aplice tuturor aspectelor referitoare la protecţia drepturilor şi libertaţilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligaţii specifice cu acelaşi obiectiv ca cel stabilit in Directiva 2002/58/CE a Parlamentului European şi a Consiliului (2), inclusiv obligaţiile privind operatorul şi drepturile persoanelor fizice. Pentru a se clarifica relaţia dintre prezentul regulament şi Directiva 2002/58/CE, respectiva directiva ar trebui sa fie modificata in consecinţa. Dupa adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui sa fie revizuita in special pentru a se asigura coerenţa cu prezentul regulament,
(2)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialitaţii in sectorul comunicaţiilor publice (Directiva asupra confidenţialitaţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).
ADOPTĂ PREZENTUL REGULAMENT:
-****-
CAPITOLUL I: Dispoziţii generale
Art. 1: Obiect şi obiective
(1)Prezentul regulament stabileşte normele referitoare la protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi normele referitoare la libera circulaţie a datelor cu caracter personal.
(2)Prezentul regulament asigura protecţia drepturilor şi libertaţilor fundamentale ale persoanelor fizice şi in special a dreptului acestora la protecţia datelor cu caracter personal.
(3)Libera circulaţie a datelor cu caracter personal in interiorul Uniunii nu poate fi restricţionata sau interzisa din motive legate de protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal.
Art. 2: Domeniul de aplicare material
(1)Prezentul regulament se aplica prelucrarii datelor cu caracter personal, efectuata total sau parţial prin mijloace automatizate, precum şi prelucrarii prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţa a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenţa a datelor.
(2)Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal:
a)in cadrul unei activitaţi care nu intra sub incidenţa dreptului Uniunii;
b)de catre statele membre atunci când desfaşoara activitaţi care intra sub incidenţa capitolului 2 al titlului V din Tratatul UE;
c)de catre o persoana fizica in cadrul unei activitaţi exclusiv personale sau domestice;
d)de catre autoritaţile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infracţiunilor, sau al executarii sancţiunilor penale, inclusiv al protejarii impotriva ameninţarilor la adresa siguranţei publice şi al prevenirii acestora.
(3)Pentru prelucrarea datelor cu caracter personal de catre instituţiile, organele, oficiile şi agenţiile Uniunii, se aplica Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal se adapteaza la principiile şi normele din prezentul regulament in conformitate cu articolul 98.
(4)Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE, in special normelor privind raspunderea furnizorilor de servicii intermediari, prevazute la articolele 12-15 din directiva menţionata.
Art. 3: Domeniul de aplicare teritorial
(1)Prezentul regulament se aplica prelucrarii datelor cu caracter personal in cadrul activitaţilor unui sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, indiferent daca prelucrarea are loc sau nu pe teritoriul Uniunii.
(2)Prezentul regulament se aplica prelucrarii datelor cu caracter personal ale unor persoane vizate care se afla in Uniune de catre un operator sau o persoana imputernicita de operator care nu este stabilit(a) in Uniune, atunci când activitaţile de prelucrare sunt legate de:
a)oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plaţi de catre persoana vizata; sau
b)monitorizarea comportamentului lor daca acesta se manifesta in cadrul Uniunii.
(3)Prezentul regulament se aplica prelucrarii datelor cu caracter personal de catre un operator care nu este stabilit in Uniune, ci intr-un loc in care dreptul intern se aplica in temeiul dreptului internaţional public.
Art. 4: Definiţii
În sensul prezentului regulament:
1.”date cu caracter personal” inseamna orice informaţii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi
identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitaţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; 2.”prelucrare” inseamna orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie in orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;3.”restricţionarea prelucrarii” inseamna marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
4.”creare de profiluri” inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanţa la locul de munca, situaţia economica, sanatatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
5.”pseudonimizare” inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incât acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare sa fie stocate separat şi sa faca obiectul unor masuri de natura tehnica şi organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
6.”sistem de evidenţa a datelor” inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii funcţionale sau geografice;
7.”operator” inseamna persoana fizica sau juridica, autoritatea publica, agenţia sau alt organism care, singur sau impreuna cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;
8.”persoana imputernicita de operator” inseamna persoana fizica sau juridica, autoritatea publica, agenţia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului; 9.”destinatar” inseamna persoana fizica sau juridica, autoritatea publica, agenţia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terţa. Cu toate acestea, autoritaţile publice carora li se pot comunica date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritaţile publice respective respecta normele aplicabile in materie de protecţie a datelor, in conformitate cu scopurile prelucrarii;
10.”parte terţa” inseamna o persoana fizica sau juridica, autoritate publica, agenţie sau organism altul decât persoana vizata, operatorul, persoana imputernicita de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
11.”consimţamânt” al persoanei vizate inseamna orice manifestare de voinţa libera, specifica, informata şi lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaraţie sau printr-o acţiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate; 12.”incalcarea securitaţii datelor cu caracter personal” inseamna o incalcare a securitaţii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
13.”date genetice” inseamna datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care ofera informaţii unice privind fiziologia sau sanatatea persoanei respective şi care rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la persoana in cauza;
14.”date biometrice” inseamna o date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unica a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
15.”date privind sanatatea” inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenţa medicala, care dezvaluie informaţii despre starea de sanatate a acesteia;
16.”sediu principal” inseamna:
(a)in cazul unui operator cu sedii in cel puţin doua state membre, locul in care se afla administraţia centrala a acestuia in Uniune, cu excepţia cazului in care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea in aplicare a acestor decizii, caz in care sediul care a luat deciziile respective este considerat a fi sediul principal;
(b)in cazul unei persoane imputernicite de operator cu sedii in cel puţin doua state membre, locul in care se afla administraţia centrala a acesteia in Uniune, sau, in cazul in care persoana imputernicita de operator nu are o administraţie centrala in Uniune, sediul din Uniune al persoanei imputernicite de operator in care au loc activitaţile principale de prelucrare, in contextul activitaţilor unui sediu al persoanei imputernicite de operator, in masura in care aceasta este supusa unor obligaţii specifice in temeiul prezentului regulament;
17.”reprezentant” inseamna o persoana fizica sau juridica stabilita in Uniune, desemnata in scris de catre operator sau persoana imputernicita de operator in temeiul articolului 27, care reprezinta operatorul sau persoana imputernicita in ceea ce priveşte obligaţiile lor respective care le revin in temeiul prezentului regulament;
18.”intreprindere” inseamna o persoana fizica sau juridica ce desfaşoara o activitate economica, indiferent de forma juridica a acesteia, inclusiv parteneriate sau asociaţii care desfaşoara in mod regulat o activitate economica;
19.”grup de intreprinderi” inseamna o intreprindere care exercita controlul şi intreprinderile controlate de aceasta;
20.”reguli corporatiste obligatorii” inseamna politicile in materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoana imputernicita de operator stabilita pe teritoriul unui stat membru, in ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal catre un operator sau o persoana imputernicita de operator in una sau mai multe ţari terţe in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna;
21.”autoritate de supraveghere” inseamna o autoritate publica independenta instituita de un stat membru in temeiul articolului 51;
22.”autoritate de supraveghere vizata” inseamna o autoritate de supraveghere care este vizata de procesul de prelucrare a datelor cu caracter personal deoarece:
(a)operatorul sau persoana imputernicita de operator este stabilita pe teritoriul statului membru al autoritaţii de supraveghere respective;
(b)persoanele vizate care işi au reşedinţa in statul membru in care se afla autoritatea de supraveghere respectiva sunt afectate in mod semnificativ sau sunt susceptibile de a fi afectate in mod semnificativ de prelucrare; sau
(c)la autoritatea de supraveghere respectiva a fost depusa o plângere;
23.”prelucrare transfrontaliera” inseamna:
(a)fie prelucrarea datelor cu caracter personal care are loc in contextul activitaţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane imputernicite de operator pe teritoriul Uniunii, daca operatorul sau persoana imputernicita de operator are sedii in cel puţin doua state membre; sau
(b)fie prelucrarea datelor cu caracter personal care are loc in contextul activitaţilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, dar care afecteaza in
mod semnificativ sau este susceptibila de a afecta in mod semnificativ persoane vizate din cel puţin doua state membre;
24.”obiecţie relevanta şi motivata” inseamna o obiecţie la un proiect de decizie in scopul de a stabili daca exista o incalcare a prezentului regulament sau daca masurile preconizate in ceea ce priveşte operatorul sau persoana imputernicita de operator respecta prezentul regulament, care demonstreaza in mod clar importanţa riscurilor pe care le prezinta proiectul de decizie in ceea ce priveşte drepturile şi libertaţile fundamentale ale persoanelor vizate şi, dupa caz, libera circulaţie a datelor cu caracter personal in cadrul Uniunii;
25.«serviciile societaţii informaţionale» inseamna un serviciu astfel cum este definit la articolul 1
alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European şi a Consiliului (1);
(1)Directiva (UE) 2015/1535 a Parlamentului European şi a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informaţii in domeniul reglementarilor tehnice şi al normelor privind serviciile societaţii informaţionale (JO L 241, 17.9.2015, p. 1).
(la data 23-mai-2018 Art. 4, punctul 25. din capitolul I rectificat de punctul 2. din Rectificare din 23-mai-2018 )
26.”organizaţie internaţionala” inseamna o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord incheiat intre doua sau mai multe ţari sau in temeiul unui astfel de acord.
CAPITOLUL II: Principii
Art. 5: Principii legate de prelucrarea datelor cu caracter personal
(1)Datele cu caracter personal sunt:
a)prelucrate in mod legal, echitabil şi transparent faţa de persoana vizata („legalitate, echitate şi transparenţa”);
b)colectate in scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri; prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice nu este considerata incompatibila cu scopurile iniţiale, in conformitate cu articolul 89 alineatul (1) („limitari legate de scop”);
c)adecvate, relevante şi limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate („reducerea la minimum a datelor”);
d)exacte şi, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, având in vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fara intârziere („exactitate”);
e)pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaşeşte perioada necesara indeplinirii scopurilor in care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi in masura in care acestea vor fi prelucrate exclusiv in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), sub rezerva punerii in aplicare a masurilor de ordin tehnic şi organizatoric adecvate prevazute in prezentul regulament in vederea garantarii drepturilor şi libertaţilor persoanei vizate („limitari legate de stocare”);
f)prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protecţia impotriva prelucrarii neautorizate sau ilegale şi impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate şi confidenţialitate”).
(2)Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra aceasta respectare („responsabilitate”).
Art. 6: Legalitatea prelucrarii
(1)Prelucrarea este legala numai daca şi in masura in care se aplica cel puţin una dintre urmatoarele condiţii:
a)persoana vizata şi-a dat consimţamântul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b)prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
c)prelucrarea este necesara in vederea indeplinirii unei obligaţii legale care ii revine operatorului;
d)prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e)prelucrarea este necesara pentru indeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este investit operatorul;
f)prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terţa, cu excepţia cazului in care prevaleaza interesele sau drepturile şi libertaţile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci când persoana vizata este un copil.
Litera (f) din primul paragraf nu se aplica in cazul prelucrarii efectuate de autoritaţi publice in indeplinirea atribuţiilor lor.
(2)Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicarii normelor prezentului regulament in ceea ce priveşte prelucrarea in vederea respectarii alineatului (1) literele (c) şi (e) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor masuri de asigurare a unei prelucrari legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevazut in capitolul IX.
(3)Temeiul pentru prelucrarea menţionata la alineatul (1) literele (c) şi (e) trebuie sa fie prevazut in: a)dreptul Uniunii; sau
b)dreptul intern care se aplica operatorului.
Scopul prelucrarii este stabilit pe baza respectivului temei juridic sau, in ceea ce priveşte prelucrarea menţionata la alineatul (1) litera (e), este necesar pentru indeplinirea unei sarcini efectuate in interes public sau in cadrul exercitarii unei funcţii publice atribuite operatorului. Respectivul temei juridic poate conţine dispoziţii specifice privind adaptarea aplicarii normelor prezentului regulament, printre altele: condiţiile generale care reglementeaza legalitatea prelucrarii de catre operator; tipurile de date care fac obiectul prelucrarii; persoanele vizate; entitaţile carora le pot fi divulgate datele şi scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitarile legate de scop; perioadele de stocare; şi operaţiunile şi procedurile de prelucrare, inclusiv masurile de asigurare a unei prelucrari legale şi echitabile cum sunt cele pentru alte situaţii concrete de prelucrare astfel cum sunt prevazute in capitolul IX. Dreptul Uniunii sau dreptul intern urmareşte un obiectiv de interes public şi este proporţional cu obiectivul legitim urmarit.
(4)În cazul in care prelucrarea in alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazeaza pe consimţamântul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o masura necesara şi proporţionala intr-o societate democratica pentru a proteja obiectivele menţionate la articolul 23 alineatul (1), operatorul, pentru a stabili daca prelucrarea in alt scop este compatibila cu scopul pentru care datele cu caracter personal au fost colectate iniţial, ia in considerare, printre altele:
a)orice legatura dintre scopurile in care datele cu caracter personal au fost colectate şi scopurile prelucrarii ulterioare preconizate;
b)contextul in care datele cu caracter personal au fost colectate, in special in ceea ce priveşte relaţia dintre persoanele vizate şi operator;
c)natura datelor cu caracter personal, in special in cazul prelucrarii unor categorii speciale de date cu caracter personal, in conformitate cu articolul 9, sau in cazul in care sunt prelucrate date cu caracter personal referitoare la condamnari penale şi infracţiuni, in conformitate cu articolul 10;
d)posibilele consecinţe asupra persoanelor vizate ale prelucrarii ulterioare preconizate;
e)existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.
Art. 7: Condiţii privind consimţamântul
(1)În cazul in care prelucrarea se bazeaza pe consimţamânt, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata şi-a dat consimţamântul pentru prelucrarea datelor sale cu caracter personal.
(2)În cazul in care consimţamântul persoanei vizate este dat in contextul unei declaraţii scrise care se refera şi la alte aspecte, cererea privind consimţamântul trebuie sa fie prezentata intr-o forma care o diferenţiaza in mod clar de celelalte aspecte, intr-o forma inteligibila şi uşor accesibila, utilizând un
limbaj clar şi simplu. Nicio parte a respectivei declaraţii care constituie o incalcare a prezentului regulament nu este obligatorie.
(3)Persoana vizata are dreptul sa işi retraga in orice moment consimţamântul. Retragerea consimţamântului nu afecteaza legalitatea prelucrarii efectuate pe baza consimţamântului inainte de retragerea acestuia. Înainte de acordarea consimţamântului, persoana vizata este informata cu privire la acest lucru. Retragerea consimţamântului se face la fel de simplu ca acordarea acestuia.
(4)Atunci când se evalueaza daca consimţamântul este dat in mod liber, se ţine seama cât mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionata sau nu de consimţamântul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.
Art. 8: Condiţii aplicabile in ceea ce priveşte consimţamântul copiilor in legatura cu serviciile societaţii informaţionale
(1)În cazul in care se aplica articolul 6 alineatul (1) litera (a), in ceea ce priveşte oferirea de servicii ale societaţii informaţionale in mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legala daca copilul are cel puţin vârsta de 16 ani. Daca copilul are sub vârsta de 16 ani, respectiva prelucrare este legala numai daca şi in masura in care consimţamântul respectiv este acordat sau autorizat de titularul raspunderii parinteşti asupra copilului.
Statele membre pot prevedea prin lege o vârsta inferioara in aceste scopuri, cu condiţia ca acea vârsta inferioara sa nu fie mai mica de 13 ani.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica in astfel de cazuri ca titularul raspunderii parinteşti a acordat sau a autorizat consimţamântul, ţinând seama de tehnologiile disponibile.
(3)Alineatul (1) nu afecteaza dreptul general al contractelor aplicabil in statele membre, cum ar fi normele privind valabilitatea, incheierea sau efectele unui contract in legatura cu un copil.
Art. 9: Prelucrarea de categorii speciale de date cu caracter personal
(1)Se interzice prelucrarea de date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viaţa sexuala sau orientarea sexuala ale unei persoane fizice.
(2)Alineatul (1) nu se aplica in urmatoarele situaţii:
a)persoana vizata şi-a dat consimţamântul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului in care dreptul Uniunii sau dreptul intern prevede ca interdicţia prevazuta la alineatul (1) sa nu poata fi ridicata prin consimţamântul persoanei vizate;
b)prelucrarea este necesara in scopul indeplinirii obligaţiilor şi al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii forţei de munca şi al securitaţii sociale şi protecţiei sociale, in masura in care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munca incheiat in temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate;
c)prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizata se afla in incapacitate fizica sau juridica de a-şi da consimţamântul;
d)prelucrarea este efectuata in cadrul activitaţilor lor legitime şi cu garanţii adecvate de catre o fundaţie, o asociaţie sau orice alt organism fara scop lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea sa se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente in legatura cu scopurile sale şi ca datele cu caracter personal sa nu fie comunicate terţilor fara consimţamântul persoanelor vizate; e)prelucrarea se refera la date cu caracter personal care sunt facute publice in mod manifest de catre persoana vizata;
f)prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanţa sau ori de câte ori instanţele acţioneaza in exerciţiul funcţiei lor judiciare;
g)prelucrarea este necesara din motive de interes public major, in baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmarit, respecta esenţa dreptului la protecţia datelor şi prevede masuri corespunzatoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate;
h)prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitaţii de munca a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţa medicala sau sociala sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sanatate sau de asistenţa sociala, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru medical şi sub rezerva respectarii condiţiilor şi garanţiilor prevazute la alineatul (3);
i)prelucrarea este necesara din motive de interes public in domeniul sanataţii publice, cum ar fi protecţia impotriva ameninţarilor transfrontaliere grave la adresa sanataţii sau asigurarea de standarde ridicate de calitate şi siguranţa a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, in temeiul dreptului Uniunii sau al dreptului intern, care prevede masuri adecvate şi specifice pentru protejarea drepturilor şi libertaţilor persoanei vizate, in special a secretului profesional; sau j)prelucrarea este necesara in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmarit, respecta esenţa dreptului la protecţia datelor şi prevede masuri corespunzatoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.
(3)Datele cu caracter personal menţionate la alineatul (1) pot fi prelucrate in scopurile menţionate la alineatul (2) litera (h) in cazul in care datele respective sunt prelucrate de catre un profesionist supus obligaţiei de pastrare a secretului profesional sau sub responsabilitatea acestuia, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul normelor stabilite de organisme naţionale competente sau de o alta persoana supusa, de asemenea, unei obligaţii de confidenţialitate in temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente.
(4)Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, in ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sanatatea.
Art. 10: Prelucrarea de date cu caracter personal referitoare la condamnari penale şi infracţiuni
Prelucrarea de date cu caracter personal referitoare la condamnari penale şi infracţiuni sau la masuri de securitate conexe in temeiul articolului 6 alineatul (1) se efectueaza numai sub controlul unei autoritaţi de stat sau atunci când prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern care prevede garanţii adecvate pentru drepturile şi libertaţile persoanelor vizate. Orice registru cuprinzator al condamnarilor penale se ţine numai sub controlul unei autoritaţi de stat.
Art. 11: Prelucrarea care nu necesita identificare
(1)În cazul in care scopurile pentru care un operator prelucreaza date cu caracter personal nu necesita sau nu mai necesita identificarea unei persoane vizate de catre operator, operatorul nu are obligaţia de a pastra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizata in scopul unic al respectarii prezentului regulament.
(2)Daca, in cazurile menţionate la alineatul (1) din prezentul articol, operatorul poate demonstra ca nu este in masura sa identifice persoana vizata, operatorul informeaza persoana vizata in mod corespunzator, in cazul in care este posibil. În astfel de cazuri, articolele 15-20 nu se aplica, cu excepţia cazului in care persoana vizata, in scopul exercitarii drepturilor sale in temeiul respectivelor articole, ofera informaţii suplimentare care permit identificarea sa.
CAPITOLUL III: Drepturile persoanei vizate
Secţiunea 1: Transparenţa şi modalitaţi
Art. 12: Transparenţa informaţiilor, a comunicarilor şi a modalitaţilor de exercitare a drepturilor persoanei vizate
(1)Operatorul ia masuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicari in temeiul articolelor 15-22 şi 34 referitoare la prelucrare, intr-o forma concisa, transparenta, inteligibila şi uşor accesibila, utilizând un limbaj clar şi simplu, in special
pentru orice informaţii adresate in mod specific unui copil. Informaţiile se furnizeaza in scris sau prin alte mijloace, inclusiv, atunci când este oportun, in format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate sa fie dovedita prin alte mijloace.
(2)Operatorul faciliteaza exercitarea drepturilor persoanei vizate in temeiul articolelor 15-22. În cazurile menţionate la articolul 11 alineatul (2), operatorul nu refuza sa dea curs cererii persoanei vizate de a-şi exercita drepturile in conformitate cu articolele 15-22, cu excepţia cazului in care operatorul demonstreaza ca nu este in masura sa identifice persoana vizata.
(3)Operatorul furnizeaza persoanei vizate informaţii privind acţiunile intreprinse in urma unei cereri in temeiul articolelor 15-22, fara intârzieri nejustificate şi in orice caz in cel mult o luna de la primirea cererii. Aceasta perioada poate fi prelungita cu doua luni atunci când este necesar, ţinându-se seama de complexitatea şi numarul cererilor. Operatorul informeaza persoana vizata cu privire la orice astfel de prelungire, in termen de o luna de la primirea cererii, prezentând şi motivele intârzierii. În cazul in care persoana vizata introduce o cerere in format electronic, informaţiile sunt furnizate in format electronic acolo unde este posibil, cu excepţia cazului in care persoana vizata solicita un alt format. (4)Daca nu ia masuri cu privire la cererea persoanei vizate, operatorul informeaza persoana vizata, fara intârziere şi in termen de cel mult o luna de la primirea cererii, cu privire la motivele pentru care nu ia masuri şi la posibilitatea de a depune o plângere in faţa unei autoritaţi de supraveghere şi de a introduce o cale de atac judiciara.
(5)Informaţiile furnizate in temeiul articolelor 13 şi 14 şi orice comunicare şi orice masuri luate in temeiul articolelor 15-22 şi 34 sunt oferite gratuit. În cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, operatorul poate:
a)fie sa perceapa o taxa rezonabila ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicarii sau pentru luarea masurilor solicitate;
b)fie sa refuze sa dea curs cererii.
În aceste cazuri, operatorului ii revine sarcina de a demonstra caracterul vadit nefondat sau excesiv al cererii.
(6)Fara a aduce atingere articolului 11, in cazul in care are indoieli intemeiate cu privire la identitatea persoanei fizice care inainteaza cererea menţionata la articolele 15-21, operatorul poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate. (7)Informaţiile care urmeaza sa fie furnizate persoanelor vizate in temeiul articolelor 13 şi 14 pot fi furnizate in combinaţie cu pictograme standardizate pentru a oferi intr-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute in vedere. În cazul in care pictogramele sunt prezentate in format electronic, acestea trebuie sa poata fi citite automat. (8)Comisia este imputernicita sa adopte acte delegate in conformitate cu articolul 92 in vederea determinarii informaţiilor care urmeaza sa fie prezentate de pictograme şi a procedurilor pentru furnizarea de pictograme standardizate.
Secţiunea 2: Informare şi acces la date cu caracter personal
Art. 13: Informaţii care se furnizeaza in cazul in care datele cu caracter personal sunt colectate de la persoana vizata
(1)În cazul in care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, operatorul, in momentul obţinerii acestor date cu caracter personal, furnizeaza persoanei vizate toate informaţiile urmatoare:
a)identitatea şi datele de contact ale operatorului şi, dupa caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecţia datelor, dupa caz;
c)scopurile in care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrarii; d)in cazul in care prelucrarea se face in temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmarite de operator sau de o parte terţa;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f)daca este cazul, intenţia operatorului de a transfera date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat
sau, in cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzatoare şi la mijloacele de a obţine o copie a acestora, in cazul in care acestea au fost puse la dispoziţie.
(2)În plus faţa de informaţiile menţionate la alineatul (1), in momentul in care datele cu caracter personal sunt obţinute, operatorul furnizeaza persoanei vizate urmatoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabila şi transparenta:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b)existenţa dreptului de a solicita operatorului, in ceea ce priveşte datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrarii sau a dreptului de a se opune prelucrarii, precum şi a dreptului la portabilitatea datelor; c)atunci când prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţamântul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimţamântului inainte de retragerea acestuia;
d)dreptul de a depune o plângere in faţa unei autoritaţi de supraveghere;
e)daca furnizarea de date cu caracter personal reprezinta o obligaţie legala sau contractuala sau o obligaţie necesara pentru incheierea unui contract, precum şi daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectarii acestei obligaţii;
f)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin in cazurile respective, informaţii pertinente privind logica utilizata şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrari pentru persoana vizata.
(3)În cazul in care operatorul intenţioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, in conformitate cu alineatul (2).
(4)Alineatele (1), (2) şi (3) nu se aplica daca şi in masura in care persoana vizata deţine deja informaţiile respective.
Art. 14: Informaţii care se furnizeaza in cazul in care datele cu caracter personal nu au fost obţinute de la persoana vizata
(1)În cazul in care datele cu caracter personal nu au fost obţinute de la persoana vizata, operatorul furnizeaza persoanei vizate urmatoarele informaţii:
a)identitatea şi datele de contact ale operatorului şi, dupa caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecţia datelor, dupa caz;
c)scopurile in care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrarii; d)categoriile de date cu caracter personal vizate;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dupa caz;
f)daca este cazul, intenţia operatorului de a transfera date cu caracter personal catre un destinatar dintr-o ţara terţa sau o organizaţie internaţionala şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, in cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzatoare şi la mijloacele de a obţine o copie a acestora, in cazul in care acestea au fost puse la dispoziţie.
(2)Pe lânga informaţiile menţionate la alineatul (1), operatorul furnizeaza persoanei vizate urmatoarele informaţii necesare pentru a asigura o prelucrare echitabila şi transparenta in ceea ce priveşte persoana vizata:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b)in cazul in care prelucrarea se face in temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmarite de operator sau de o parte terţa;
c)existenţa dreptului de a solicita operatorului, in ceea ce priveşte datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrarii şi a dreptului de a se opune prelucrarii, precum şi a dreptului la portabilitatea datelor; d)atunci când prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţamântul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimţamântului inainte de retragerea acestuia;
e)dreptul de a depune o plângere in faţa unei autoritaţi de supraveghere;
f)sursa din care provin datele cu caracter personal şi, daca este cazul, daca acestea provin din surse disponibile public;
g)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin in cazurile respective, informaţii pertinente privind logica utilizata şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrari pentru persoana vizata.
(3)Operatorul furnizeaza informaţiile menţionate la alineatele (1) şi (2):
a)intr-un termen rezonabil dupa obţinerea datelor cu caracter personal, dar nu mai mare de o luna, ţinându-se seama de circumstanţele specifice in care sunt prelucrate datele cu caracter personal; b)daca datele cu caracter personal urmeaza sa fie utilizate pentru comunicarea cu persoana vizata, cel târziu in momentul primei comunicari catre persoana vizata respectiva; sau
c)daca se intenţioneaza divulgarea datelor cu caracter personal catre un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oara.
(4)În cazul in care operatorul intenţioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, in conformitate cu alineatul (2).
(5)Alineatele (1)-(4) nu se aplica daca şi in masura in care:
a)persoana vizata deţine deja informaţiile;
b)furnizarea acestor informaţii se dovedeşte a fi imposibila sau ar implica eforturi disproporţionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevazute la articolul 89 alineatul (1), sau in masura in care obligaţia menţionata la alineatul (1) din prezentul articol este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective In astfel de cazuri, operatorul ia masuri adecvate pentru a proteja drepturile, libertaţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;
c)obţinerea sau divulgarea datelor este prevazuta in mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa caruia intra operatorul şi care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
d)in cazul in care datele cu caracter personal trebuie sa ramâna confidenţiale in temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a pastra secretul.
Art. 15: Dreptul de acces al persoanei vizate
(1)Persoana vizata are dreptul de a obţine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc şi, in caz afirmativ, acces la datele respective şi la urmatoarele informaţii:
a)scopurile prelucrarii;
b)categoriile de date cu caracter personal vizate;
c)destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din ţari terţe sau organizaţii internaţionale;
d)acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada; e)existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
f)dreptul de a depune o plângere in faţa unei autoritaţi de supraveghere;
g)in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informaţii disponibile privind sursa acestora;
h)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin in cazurile respective, informaţii pertinente privind logica utilizata şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrari pentru persoana vizata.
(2)În cazul in care datele cu caracter personal sunt transferate catre o ţara terţa sau o organizaţie internaţionala, persoana vizata are dreptul sa fie informata cu privire la garanţiile adecvate in temeiul articolului 46 referitoare la transfer.
(3)Operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. În cazul in care persoana vizata introduce cererea in format electronic şi cu excepţia cazului in care persoana vizata solicita un alt format, informaţiile sunt furnizate intr-un format electronic utilizat in mod curent.
(4)Dreptul de a obţine o copie menţionata la alineatul (3) nu aduce atingere drepturilor şi libertaţilor altora.
Secţiunea 3: Rectificare şi ştergere
Art. 16: Dreptul la rectificare
Persoana vizata are dreptul de a obţine de la operator, fara intârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
Art. 17: Dreptul la ştergerea datelor („dreptul de a fi uitat”)
(1)Persoana vizata are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fara intârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fara intârzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive: a)datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b)persoana vizata işi retrage consimţamântul pe baza caruia are loc prelucrarea, in conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu exista niciun alt temei juridic pentru prelucrarea;
c)persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (1) şi nu exista motive legitime care sa prevaleze in ceea ce priveşte prelucrarea sau persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenţa caruia se afla operatorul; f)datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societaţii informaţionale menţionate la articolul 8 alineatul (1).
(2)În cazul in care operatorul a facut publice datele cu caracter personal şi este obligat, in temeiul alineatului (1), sa le ştearga, operatorul, ţinând seama de tehnologia disponibila şi de costul implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat ştergerea de catre aceşti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.
(3)Alineatele (1) şi (2) nu se aplica in masura in care prelucrarea este necesara:
a)pentru exercitarea dreptului la libera exprimare şi la informare;
b)pentru respectarea unei obligaţii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes
public sau in cadrul exercitarii unei autoritaţi oficiale cu care este investit operatorul;
c)din motive de interes public in domeniul sanataţii publice, in conformitate cu articolul 9 alineatul (2)
literele (h) şi (i) şi cu articolul 9 alineatul (3);
d)in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in masura in care dreptul menţionat la alineatul (1) este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii
respective; sau
e)pentru constatarea, exercitarea sau apararea unui drept in instanţa. (la data 23-mai-2018 Art. 17, alin. (3) din capitolul III, sectiunea 3 rectificat de punctul 3. din Rectificare din 23-mai-
2018 )
Art. 18: Dreptul la restricţionarea prelucrarii
(1)Persoana vizata are dreptul de a obţine din partea operatorului restricţionarea prelucrarii in cazul in care se aplica unul din urmatoarele cazuri:
a)persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor;
b)prelucrarea este ilegala, iar persoana vizata se opune ştergerii datelor cu caracter personal, solicitând in schimb restricţionarea utilizarii lor;
c)operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanţa; sau
d)persoana vizata s-a opus prelucrarii in conformitate cu articolul 21 alineatul (1), pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate.
(2)În cazul in care prelucrarea a fost restricţionata in temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepţia stocarii, sa fie prelucrate numai cu consimţamântul persoanei vizate sau pentru constatarea, exercitarea sau apararea unui drept in instanţa sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
(3)O persoana vizata care a obţinut restricţionarea prelucrarii in temeiul alineatului (1) este informata de catre operator inainte de ridicarea restricţiei de prelucrare.
Art. 19: Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrarii
Operatorul comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrarii efectuate in conformitate cu articolul 16, articolul 17 alineatul (1) şi articolul 18, cu excepţia cazului in care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informeaza persoana vizata cu privire la destinatarii respectivi daca persoana vizata solicita acest lucru.
Art. 20: Dreptul la portabilitatea datelor
(1)Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal, in cazul in care:
a)prelucrarea se bazeaza pe consimţamânt in temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract in temeiul articolului 6 alineatul (1) litera (b); şi b)prelucrarea este efectuata prin mijloace automate.
(2)În exercitarea dreptului sau la portabilitatea datelor in temeiul alineatului (1), persoana vizata are dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
(3)Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplica prelucrarii necesare pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritaţi oficiale cu care este investit operatorul.
(4)Dreptul menţionat la alineatul (1) nu aduce atingere drepturilor şi libertaţilor altora.
Secţiunea 4: Dreptul la opoziţie şi procesul decizional individual automatizat
Art. 21: Dreptul la opoziţie
(1)În orice moment, persoana vizata are dreptul sa se opuna, din motive legate de situaţia particulara in care se afla, prelucrarii in temeiul articolului 6 alineatul (1) litera (e) sau (f), a datelor cu caracter
personal care o privesc, inclusiv crearii de profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucreaza datele cu caracter personal, cu excepţia cazului in care operatorul demonstreaza ca are motive legitime şi imperioase care justifica prelucrarea şi care prevaleaza asupra intereselor, drepturilor şi libertaţilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in
instanţa.
(la data
23-mai-2018 Art. 21, alin. (1) din capitolul III, sectiunea 4 rectificat de punctul 4. din Rectificare din 23-mai- 2018 )
(2)Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizata are dreptul de a se opune in orice moment prelucrarii in acest scop a datelor cu caracter personal care o privesc, inclusiv crearii de profiluri, in masura in care este legata de marketingul direct respectiv.
(3)În cazul in care persoana vizata se opune prelucrarii in scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate in acest scop.
(4)Cel târziu in momentul primei comunicari cu persoana vizata, dreptul menţionat la alineatele (1) şi (2) este adus in mod explicit in atenţia persoanei vizate şi este prezentat in mod clar şi separat de orice alte informaţii.
(5)În contextual utilizarii serviciilor societaţii informaţionale şi in pofida Directivei 2002/58/CE, persoana vizata işi poate exercita dreptul de a se opune prin mijloace automate care utilizeaza specificaţii tehnice.
(6)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare ştiinţifica sau istorica sau in scopuri statistice in conformitate cu articolul 89 alineatul (1), persoana vizata, din motive legate de situaţia sa particulara, are dreptul de a se opune prelucrarii datelor cu caracter personal care o privesc, cu excepţia cazului in care prelucrarea este necesara pentru indeplinirea unei sarcini din motive de interes public.
Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri
(1)Persoana vizata are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa.
(2)Alineatul (1) nu se aplica in cazul in care decizia:
a)este necesara pentru incheierea sau executarea unui contract intre persoana vizata şi un operator de date;
b)este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului şi care prevede, de asemenea, masuri corespunzatoare pentru protejarea drepturilor, libertaţilor şi intereselor legitime ale persoanei vizate; sau
c)are la baza consimţamântul explicit al persoanei vizate.
(3)În cazurile menţionate la alineatul (2) literele (a) şi (c), operatorul de date pune in aplicare masuri corespunzatoare pentru protejarea drepturilor, libertaţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umana din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.
(4)Deciziile menţionate la alineatul (2) nu au la baza categoriile speciale de date cu caracter personal menţionate la articolul 9 alineatul (1), cu excepţia cazului in care se aplica articolul 9 alineatul (2) litera (a) sau (g) şi in care au fost instituite masuri corespunzatoare pentru protejarea drepturilor, libertaţilor şi intereselor legitime ale persoanei vizate.
Secţiunea 5: Restricţii
Art. 23: Restricţii
(1)Dreptul Uniunii sau dreptul intern care se aplica operatorului de date sau persoanei imputernicite de operator poate restricţiona printr-o masura legislativa domeniul de aplicare al obligaţiilor şi al drepturilor prevazute la articolele 12-22 şi 34, precum şi la articolul 5 in masura in care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevazute la articolele 12-22, atunci când o astfel de
restricţie respecta esenţa drepturilor şi libertaţilor fundamentale şi constituie o masura necesara şi proporţionala intr-o societate democratica, pentru a asigura:
a)securitatea naţionala;
b)apararea;
c)securitatea publica;
d)prevenirea, investigarea, depistarea sau urmarirea penala a infracţiunilor sau executarea sancţiunilor penale, inclusiv protejarea impotriva ameninţarilor la adresa securitaţii publice şi prevenirea acestora; e)alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, in special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv in domeniile monetar, bugetar şi fiscal şi in domeniul sanataţii publice şi al securitaţii sociale;
f)protejarea independenţei judiciare şi a procedurilor judiciare;
g)prevenirea, investigarea, depistarea şi urmarirea penala a incalcarii eticii in cazul profesiilor reglementate;
h)funcţia de monitorizare, inspectare sau reglementare legata, chiar şi ocazional, de exercitarea autoritaţii oficiale in cazurile menţionate la literele (a)-(e) şi (g);
i)protecţia persoanei vizate sau a drepturilor şi libertaţilor altora; (j) punerea in aplicare a pretenţiilor de drept civil.
(2)În special, orice masura legislativa menţionata la alineatul (1) conţine dispoziţii specifice cel puţin, daca este cazul, in ceea ce priveşte:
a)scopurile prelucrarii sau ale categoriilor de prelucrare;
b)categoriile de date cu caracter personal;
c)domeniul de aplicare al restricţiilor introduse;
d)garanţiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
e)menţionarea operatorului sau a categoriilor de operatori;
f)perioadele de stocare şi garanţiile aplicabile având in vedere natura, domeniul de aplicare şi scopurile prelucrarii sau ale categoriilor de prelucrare;
g)riscurile pentru drepturile şi libertaţilor persoanelor vizate; şi
h)dreptul persoanelor vizate de a fi informate cu privire la restricţie, cu excepţia cazului in care acest lucru poate aduce atingere scopului restricţiei.
CAPITOLUL IV: Operatorul şi persoana imputernicita de operator
Secţiunea 1: Obligaţii generale
Art. 24: Responsabilitatea operatorului
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertaţile persoanelor fizice, operatorul pune in aplicare masuri tehnice şi organizatorice adecvate pentru a garanta şi a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc şi se actualizeaza daca este necesar.
(2)Atunci când sunt proporţionale in raport cu operaţiunile de prelucrare, masurile menţionate la alineatul (1) includ punerea in aplicare de catre operator a unor politici adecvate de protecţie a datelor. (3)Aderarea la coduri de conduita aprobate, menţionate la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizata ca element care sa demonstreze respectarea obligaţiilor de catre operator.
Art. 25: Asigurarea protecţiei datelor incepând cu momentul conceperii şi in mod implicit (1)Având in vedere stadiul actual al tehnologiei, costurile implementarii, şi natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertaţile persoanelor fizice pe care le prezinta prelucrarea, operatorul, atât in momentul stabilirii mijloacelor de prelucrare, cât şi in cel al prelucrarii in sine, pune in aplicare masuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate sa puna in aplicare in mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi sa integreze garanţiile necesare in cadrul prelucrarii, pentru a indeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.
(2)Operatorul pune in aplicare masuri tehnice şi organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Respectiva obligaţie se aplica volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilitaţii lor. În special, astfel de masuri asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara intervenţia persoanei, de un numar nelimitat de persoane.
(3)Un mecanism de certificare aprobat in conformitate cu articolul 42 poate fi utilizat drept element care sa demonstreze indeplinirea cerinţelor prevazute la alineatele (1) şi (2) ale prezentului articol.
Art. 26: Operatori asociaţi
(1)În cazul in care doi sau mai mulţi operatori stabilesc in comun scopurile şi mijloacele de prelucrare, aceştia sunt operatori asociaţi. Ei stabilesc intr-un mod transparent responsabilitaţile fiecaruia in ceea ce priveşte indeplinirea obligaţiilor care le revin in temeiul prezentului regulament, in special in ceea ce priveşte exercitarea drepturilor persoanelor vizate şi indatoririle fiecaruia de furnizare a informaţiilor prevazute la articolele 13 şi 14, prin intermediul unui acord intre ei, cu excepţia cazului şi in masura in care responsabilitaţile operatorilor sunt stabilite in dreptul Uniunii sau in dreptul intern care se aplica acestora. Acordul poate sa desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menţionat la alineatul (1) reflecta in mod adecvat rolurile şi raporturile respective ale operatorilor asociaţi faţa de persoanele vizate. Esenţa acestui acord este facuta cunoscuta persoanei vizate.
(3)Indiferent de clauzele acordului menţionat la alineatul (1), persoana vizata işi poate exercita drepturile in temeiul prezentului regulament cu privire la şi in raport cu fiecare dintre operatori.
Art. 27: Reprezentanţii operatorilor sau ai persoanelor imputernicite de operatori care nu işi au sediul in Uniune
(1)În cazul in care se aplica articolul 3 alineatul (2), operatorul sau persoana imputernicita de operator desemneaza in scris un reprezentant in Uniune.
(2)Obligaţia prevazuta la alineatul (1) din prezentul articol nu se aplica:
a)prelucrarii care are un caracter ocazional, care nu include, pe scara larga, prelucrarea unor categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea unor date cu caracter personal referitoare la condamnari penale şi infracţiuni menţionata la articolul 10, şi care este puţin susceptibila de a genera un risc pentru drepturile şi libertaţile persoanelor, ţinând cont de natura, contextul, domeniul de aplicare şi scopurile prelucrarii; sau
b)unei autoritaţi sau unui organism public.
(3)Reprezentantul işi are sediul in unul dintre statele membre in care se afla persoanele vizate ale caror date cu caracter personal sunt prelucrate in legatura cu furnizarea de bunuri şi servicii sau al caror comportament este monitorizat.
(4)Reprezentantul primeşte din partea operatorului sau a persoanei imputernicite de operator un mandat prin care autoritaţile de supraveghere şi persoanele vizate, in special, se pot adresa reprezentantului, in plus faţa de operator sau persoana imputernicita de operator sau in locul acestora, cu privire la toate chestiunile legate de prelucrarea, in scopul asigurarii respectarii prezentului regulament.
(5)Desemnarea unui reprezentant de catre operator sau persoana imputernicita de operator nu aduce atingere acţiunilor in justiţie care ar putea fi introduse impotriva operatorului sau persoanei imputernicite de operator inseşi.
Art. 28: Persoana imputernicita de operator
(1)În cazul in care prelucrarea urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care ofera garanţii suficiente pentru punerea in aplicare a unor masuri tehnice şi organizatorice adecvate, astfel incât prelucrarea sa respecte cerinţele prevazute in prezentul regulament şi sa asigure protecţia drepturilor persoanei vizate.
(2)Persoana imputernicita de operator nu recruteaza o alta persoana imputernicita de operator fara a primi in prealabil o autorizaţie scrisa, specifica sau generala, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana imputernicita de operator informeaza operatorul cu privire la orice
modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţa de aceste modificari.
(3)Prelucrarea de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic in temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana imputernicita de operator in raport cu operatorul şi care stabileşte obiectul şi durata prelucrarii, natura şi scopul prelucrarii, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede in special ca persoana imputernicita de operator:
a)prelucreaza datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului, inclusiv in ceea ce priveşte transferurile de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala, cu excepţia cazului in care aceasta obligaţie ii revine persoanei imputernicite in temeiul dreptului Uniunii sau al dreptului intern care i se aplica; in acest caz, notifica aceasta obligaţie juridica operatorului inainte de prelucrare, cu excepţia cazului in care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;
b)se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidenţialitatea sau au o obligaţie statutara adecvata de confidenţialitate;
c)adopta toate masurile necesare in conformitate cu articolul 32;
d)respecta condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane imputernicite de operator;
e)ţinând seama de natura prelucrarii, ofera asistenţa operatorului prin masuri tehnice şi organizatorice adecvate, in masura in care acest lucru este posibil, pentru indeplinirea obligaţiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in capitolul III; f)ajuta operatorul sa asigure respectarea obligaţiilor prevazute la articolele 32-36, ţinând seama de caracterul prelucrarii şi informaţiile aflate la dispoziţia persoanei imputernicite de operator;
g)la alegerea operatorului, şterge sau returneaza operatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare şi elimina copiile existente, cu excepţia cazului in care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevazute la prezentul articol, permite desfaşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.
În ceea ce priveşte primul paragraf litera (h), persoana imputernicita de operator informeaza imediat operatorul in cazul in care, in opinia sa, o instrucţiune incalca prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
(4)În cazul in care o persoana imputernicita de un operator recruteaza o alta persoana imputernicita pentru efectuarea de activitaţi de prelucrare specifice in numele operatorului, aceleaşi obligaţii privind protecţia datelor prevazute in contractul sau in alt act juridic incheiat intre operator şi persoana imputernicita de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane imputernicite, prin intermediul unui contract sau al unui alt act juridic, in temeiul dreptului Uniunii sau al dreptului intern, in special furnizarea de garanţii suficiente pentru punerea in aplicare a unor masuri tehnice şi organizatorice adecvate, astfel incât prelucrarea sa indeplineasca cerinţele prezentului regulament. În cazul in care aceasta a doua persoana imputernicita nu işi respecta obligaţiile privind protecţia datelor, persoana imputernicita iniţiala ramâne pe deplin raspunzatoare faţa de operator in ceea ce priveşte indeplinirea obligaţiilor acestei a doua persoane imputernicite.
(5)Aderarea persoanei imputernicite de operator la un cod de conduita aprobat, menţionat la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze existenţa garanţiilor suficiente menţionate la alineatele (1) şi (4) din prezentul articol.
(6)Fara a aduce atingere unui contract individual incheiat intre operator şi persoana imputernicita de operator, contractul sau celalalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauze contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordata operatorului sau persoanei imputernicite de operator in temeiul articolelor 42 şi 43.
(7)Comisia poate sa prevada clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
(8)O autoritate de supraveghere poate sa adopte clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi in conformitate cu mecanismul pentru asigurarea coerenţei menţionat la articolul 63.
(9)Contractul sau celalalt act juridic menţionat la alineatele (3) şi (4) se formuleaza in scris, inclusiv in format electronic.
(10)Fara a aduce atingere articolelor 82, 83 şi 84, in cazul in care o persoana imputernicita de operator incalca prezentul regulament, prin stabilirea scopurilor şi mijloacelor de prelucrare a datelor cu caracter personal, persoana imputernicita de operator este considerata a fi un operator in ceea ce priveşte prelucrarea respectiva.
Art. 29: Desfaşurarea activitaţii de prelucrare sub autoritatea operatorului sau a persoanei imputernicite de operator
Persoana imputernicita de operator şi orice persoana care acţioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator care are acces la date cu caracter personal nu le prelucreaza decât la cererea operatorului, cu excepţia cazului in care dreptul Uniunii sau dreptul intern il obliga sa faca acest lucru.
Art. 30: Evidenţele activitaţilor de prelucrare
(1)Fiecare operator şi, dupa caz, reprezentantul acestuia pastreaza o evidenţa a activitaţilor de prelucrare desfaşurate sub responsabilitatea lor. Respectiva evidenţa cuprinde toate urmatoarele informaţii:
a)numele şi datele de contact ale operatorului şi, dupa caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrarii;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal; d)categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţari terţe sau organizaţii internaţionale;
e)daca este cazul, transferurile de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala, inclusiv identificarea ţarii terţe sau a organizaţiei internaţionale respective şi, in cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limita preconizate pentru ştergerea diferitelor categorii de date; g)acolo unde este posibil, o descriere generala a masurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).
(2)Fiecare persoana imputernicita de operator şi, dupa caz, reprezentantul persoanei imputernicite de operator pastreaza o evidenţa a tuturor categoriilor de activitaţi de prelucrare desfaşurate in numele
operatorului, care cuprind:
a)numele şi datele de contact ale persoanei sau persoanelor imputernicite de operator şi ale fiecarui operator in numele caruia acţioneaza aceasta persoana (aceste persoane), precum şi, dupa caz, ale
reprezentantului operatorului sau ale reprezentantului persoanei imputernicite de operator, şi ale
responsabilului cu protecţia datelor;
b)categoriile de activitaţi de prelucrare desfaşurate in numele fiecarui operator;
c)daca este cazul, transferurile de date cu caracter personal catre o ţara terţa sau o organizaţie
internaţionala, inclusiv identificarea ţarii terţe sau a organizaţiei internaţionale respective şi, in cazul transferurilor prevazute la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte
existenţa unor garanţii adecvate;
d)acolo unde este posibil, o descriere generala a masurilor tehnice şi organizatorice de securitate
menţionate la articolul 32 alineatul (1).
(la data 23-mai-2018 Art. 30, alin. (2) din c
apitolul IV, sectiunea 1 rectificat de punctul 5. din Rectificare din 23-mai- (3)Evidenţele menţionate la alineatele (1) şi (2) se formuleaza in scris, inclusiv in format electronic.
2018 )
(4)Operatorul sau persoana imputernicita de acesta, precum şi, dupa caz, reprezentantul operatorului sau al persoanei imputernicite de operator pun evidenţele la dispoziţia autoritaţii de supraveghere, la cererea acesteia.
(5)Obligaţiile menţionate la alineatele 1 şi 2 nu se aplica unei intreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului in care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile şi libertaţile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnari penale şi infracţiuni, astfel cum se menţioneaza la articolul 10.
Art. 31: Cooperarea cu autoritatea de supraveghere
Operatorul şi persoana imputernicita de operator şi, dupa caz, reprezentantul acestora coopereaza, la
cerere, cu autoritatea de supraveghere in indeplinirea sarcinilor acesteia.
(la data 23-mai-2018 Art. 31 din capitolul IV, sectiunea 1 rectificat de punctul 7. din Re
ctificare din 23-mai-2018 )
Secţiunea 2: Securitatea datelor cu caracter personal
Art. 32: Securitatea prelucrarii
(1)Având in vedere stadiul actual al dezvoltarii, costurile implementarii şi natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertaţile persoanelor fizice, operatorul şi persoana imputernicita de acesta implementeaza masuri tehnice şi organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzând printre altele, dupa caz:
a)pseudonimizarea şi criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
d)un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacitaţii masurilor tehnice şi organizatorice pentru a garanta securitatea prelucrarii.
(2)La evaluarea nivelului adecvat de securitate, se ţine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
(3)Aderarea la un cod de conduita aprobat, menţionat la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze indeplinirea cerinţelor prevazute la alineatul (1) din prezentul articol.
(4)Operatorul şi persoana imputernicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care acţioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator şi care are acces la date cu caracter personal nu le prelucreaza decât la cererea operatorului, cu excepţia cazului in care aceasta obligaţie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
Art. 33: Notificarea autoritaţii de supraveghere in cazul incalcarii securitaţii datelor cu caracter personal
(1)În cazul in care are loc o incalcare a securitaţii datelor cu caracter personal, operatorul notifica
acest lucru autoritaţii de supraveghere competente in temeiul articolului 55, fara intârzieri nejustificate şi, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunoştinţa de aceasta, cu excepţia cazului in care este puţin probabil sa genereze un risc pentru drepturile şi libertaţile
persoanelor fizice. În cazul in care notificarea catre autoritatea de supraveghere nu are loc in termen
de 72 de ore, aceasta este insoţita de o explicaţie motivata pentru intârziere.
(la data 23-mai-2018 Art. 33, alin. (1) din capitolul IV, sectiunea 2 rectificat de punctul
8. din Rectificare din 23-mai-
2018 )
(2)Persoana imputernicita de operator inştiinţeaza operatorul fara intârzieri nejustificate dupa ce ia cunoştinţa de o incalcare a securitaţii datelor cu caracter personal.
(3)Notificarea menţionata la alineatul (1) cel puţin:
a)descrie caracterul incalcarii securitaţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numarul aproximativ al persoanelor vizate in cauza, precum şi categoriile şi numarul aproximativ al inregistrarilor de date cu caracter personal in cauza;
b)comunica numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c)descrie consecinţele probabile ale incalcarii securitaţii datelor cu caracter personal;
d)descrie masurile luate sau propuse spre a fi luate de operator pentru a remedia problema incalcarii securitaţii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.
(4)Atunci când şi in masura in care nu este posibil sa se furnizeze informaţiile in acelaşi timp, acestea pot fi furnizate in mai multe etape, fara intârzieri nejustificate.
(5)Operatorul pastreaza documente referitoare la toate cazurile de incalcare a securitaţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt in care a avut loc incalcarea securitaţii datelor cu caracter personal, a efectelor acesteia şi a masurilor de remediere intreprinse. Aceasta documentaţie permite autoritaţii de supraveghere sa verifice conformitatea cu prezentul articol.
Art. 34: Informarea persoanei vizate cu privire la incalcarea securitaţii datelor cu caracter personal
(1)În cazul in care incalcarea securitaţii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, operatorul informeaza persoana vizata fara intârzieri nejustificate cu privire la aceasta incalcare.
(2)În informarea transmisa persoanei vizate prevazuta la alineatul (1) din prezentul articol se include o descriere intr-un limbaj clar şi simplu a caracterului incalcarii securitaţii datelor cu caracter personal, precum şi cel puţin informaţiile şi masurile menţionate la articolul 33 alineatul (3) literele (b), (c) şi (d).
(3)Informarea persoanei vizate menţionata la alineatul (1) nu este necesara in cazul in care oricare dintre urmatoarele condiţii este indeplinita:
a)operatorul a implementat masuri de protecţie tehnice şi organizatorice adecvate, iar aceste masuri au fost aplicate in cazul datelor cu caracter personal afectate de incalcarea securitaţii datelor cu caracter personal, in special masuri prin care se asigura ca datele cu caracter personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea;
b)operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat pentru drepturile şi libertaţile persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil sa se materializeze;
c)ar necesita un efort disproporţionat. În aceasta situaţie, se efectueaza in loc o informare publica sau se ia o masura similara prin care persoanele vizate sunt informate intr-un mod la fel de eficace.
(4)În cazul in care operatorul nu a comunicat deja incalcarea securitaţii datelor cu caracter personal catre persoana vizata, autoritatea de supraveghere, dupa ce a luat in considerare probabilitatea ca incalcarea securitaţii datelor cu caracter personal sa genereze un risc ridicat, poate sa ii solicite acestuia sa faca acest lucru sau poate decide ca oricare dintre condiţiile menţionate la alineatul (3) sunt indeplinite.
Secţiunea 3: Evaluarea impactului asupra protecţiei datelor şi consultarea prealabila
Art. 35: Evaluarea impactului asupra protecţiei datelor
(1)Având in vedere natura, domeniul de aplicare, contextul şi scopurile prelucrarii, in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operaţiunilor de prelucrare prevazute asupra protecţiei datelor cu caracter personal. O evaluare unica poate aborda un set de operaţiuni de prelucrare similare care prezinta riscuri ridicate similare.
(2)La realizarea unei evaluari a impactului asupra protecţiei datelor, operatorul solicita avizul responsabilului cu protecţia datelor, daca acesta a fost desemnat.
(3)Evaluarea impactului asupra protecţiei datelor menţionata la alineatul (1) se impune mai ales in cazul:
a)unei evaluari sistematice şi cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, şi care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;
b)prelucrarii pe scara larga a unor categorii speciale de date, menţionata la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnari penale şi infracţiuni, menţionata la articolul 10; sau
c)unei monitorizari sistematice pe scara larga a unei zone accesibile publicului.
(4)Autoritatea de supraveghere intocmeşte şi publica o lista a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluari a impactului asupra protecţiei datelor, in conformitate cu alineatul (1). Autoritatea de supraveghere comunica aceste liste comitetului menţionat la articolul 68.
(5)Autoritatea de supraveghere poate, de asemenea, sa stabileasca şi sa puna la dispoziţia publicului o lista a tipurilor de operaţiuni de prelucrare pentru care nu este necesara o evaluare a impactului asupra protecţiei datelor. Autoritatea de supraveghere comunica aceste liste comitetului.
(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5), autoritatea de supraveghere competenta aplica mecanismul pentru asigurarea coerenţei menţionat la articolul 63 in cazul in care aceste liste implica activitaţi de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii catre persoane vizate sau monitorizarea comportamentului acestora in mai multe state membre ori care pot afecta in mod substanţial libera circulaţie a datelor cu caracter personal in cadrul Uniunii. (7)Evaluarea conţine cel puţin:
a)o descriere sistematica a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator;
b)o evaluare a necesitaţii şi proporţionalitaţii operaţiunilor de prelucrare in legatura cu aceste scopuri; c)o evaluare a riscurilor pentru drepturile şi libertaţile persoanelor vizate menţionate la alineatul (1); şi d)masurile preconizate in vederea abordarii riscurilor, inclusiv garanţiile, masurile de securitate şi mecanismele menite sa asigure protecţia datelor cu caracter personal şi sa demonstreze conformitatea cu dispoziţiile prezentului regulament, luând in considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de operatorii sau de persoanele imputernicite de operatori relevante, se are in vedere in mod corespunzator respectarea de catre operatorii sau persoanele imputernicite respective a codurilor de conduita aprobate menţionate la articolul 40, in special in vederea unei evaluari a impactului asupra protecţiei datelor.
(9)Operatorul solicita, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanţilor acestora privind prelucrarea prevazuta, fara a aduce atingere protecţiei intereselor comerciale sau publice ori securitaţii operaţiunilor de prelucrare.
(10)Atunci când prelucrarea in temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic in dreptul Uniunii sau al unui stat membru sub incidenţa caruia intra operatorul, iar dreptul respectiv reglementeaza operaţiunea de prelucrare specifica sau setul de operaţiuni specifice in cauza şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluari a impactului generale in contextul adoptarii respectivului temei juridic, alineatele (1)-(7) nu se aplica, cu excepţia cazului in care statele membre considera ca este necesara efectuarea unei astfel de evaluari inaintea desfaşurarii activitaţilor de prelucrare.
(11)Acolo unde este necesar, operatorul efectueaza o analiza pentru a evalua daca prelucrarea are loc in conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.
Art. 36: Consultarea prealabila
(1)Operatorul consulta autoritatea de supraveghere inainte de prelucrarea atunci când evaluarea impactului asupra protecţiei datelor prevazuta la articolul 35 indica faptul ca prelucrarea ar genera un risc ridicat in absenţa unor masuri luate de operator pentru atenuarea riscului.
(2)Atunci când considera ca prelucrarea prevazuta menţionata la alineatul (1) ar incalca prezentul regulament, in special atunci când riscul nu a fost identificat sau atenuat intr-o masura suficienta de
catre operator, autoritatea de supraveghere ofera consiliere in scris operatorului şi, dupa caz, persoanei imputernicite de operator, in cel mult opt saptamâni de la primirea cererii de consultare, şi işi poate utiliza oricare dintre competenţele menţionate la articolul 58. Aceasta perioada poate fi prelungita cu şase saptamâni, ţinându-se seama de complexitatea prelucrarii prevazute. Autoritatea de supraveghere informeaza operatorul şi, dupa caz, persoana imputernicita de operator, in termen de o luna de la primirea cererii, cu privire la orice astfel de prelungire, prezentând motivele intârzierii. Aceste perioade pot fi suspendate pâna când autoritatea de supraveghere a obţinut informaţiile pe care le-a solicitat in scopul consultarii.
(3)Atunci când consulta autoritatea de supraveghere in conformitate cu alineatul (1), operatorul ii furnizeaza acesteia:
a)daca este cazul, responsabilitaţile respective ale operatorului, ale operatorilor asociaţi şi ale persoanelor imputernicite de operator implicate in activitaţile de prelucrare, in special pentru prelucrarea in cadrul unui grup de intreprinderi;
b)scopurile şi mijloacele prelucrarii preconizate;
c)masurile şi garanţiile prevazute pentru protecţia drepturilor şi libertaţilor persoanelor vizate, in conformitate cu prezentul regulament;
d)daca este cazul, datele de contact ale responsabilului cu protecţia datelor;
e)evaluarea impactului asupra protecţiei datelor prevazuta la articolul 35; şi
f)orice alte informaţii solicitate de autoritatea de supraveghere.
(4)Statele membre consulta autoritatea de supraveghere in cadrul procesului de pregatire a unei propuneri de masura legislativa care urmeaza sa fie adoptata de un parlament naţional sau a unei masuri de reglementare intemeiate pe o astfel de masura legislativa, care se refera la prelucrarea. (5)În pofida alineatului (1), dreptul intern poate impune operatorilor sa se consulte cu autoritatea de supraveghere şi sa obţina in prealabil autorizarea din partea acesteia in legatura cu prelucrarea de catre un operator in vederea indeplinirii unei sarcini exercitate de acesta in interes public, inclusiv prelucrarea in legatura cu protecţia sociala şi sanatatea publica.
Secţiunea 4: Responsabilul cu protecţia datelor
Art. 37: Desemnarea responsabilului cu protecţia datelor
(1)Operatorul şi persoana imputernicita de operator desemneaza un responsabil cu protecţia datelor ori de câte ori:
a)prelucrarea este efectuata de o autoritate sau un organism public, cu excepţia instanţelor care acţioneaza in exerciţiul funcţiei lor jurisdicţionale;
b)activitaţile principale ale operatorului sau ale persoanei imputernicite de operator constau in operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesita o monitorizare periodica şi sistematica a persoanelor vizate pe scara larga; sau
c)activitaţile principale ale operatorului sau ale persoanei imputernicite de operator constau in
prelucrarea pe scara larga a unor categorii speciale de date in temeiul articolului 9 sau a unor date cu
caracter personal referitoare la condamnari penale şi infracţiuni, menţionata la articolul 10.
(la data 23-mai-2018 Art. 37, alin. (1), litera C. din capitolul IV, sectiunea 4 rectificat de punctul 9. din Rectificare din 23-
mai-2018 )
(2)Un grup de intreprinderi poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor sa fie uşor accesibil din fiecare intreprindere.
(3)În cazul in care operatorul sau persoana imputernicita de operator este o autoritate publica sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autoritaţi sau organisme, luând in considerare structura organizatorica şi dimensiunea acestora. (4)În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana imputernicita de operator ori asociaţiile şi alte organisme care reprezinta categorii de operatori sau de persoane imputernicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicita acest lucru, desemneaza un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate sa acţioneze in favoarea unor astfel de asociaţii şi alte organisme care reprezinta operatori sau persoane imputernicite de operatori.
(5)Responsabilul cu protecţia datelor este desemnat pe baza calitaţilor profesionale şi, in special, a cunoştinţelor de specialitate in dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacitaţii de a indeplini sarcinile prevazute la articolul 39.
(6)Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului sau persoanei imputernicite de operator sau poate sa işi indeplineasca sarcinile in baza unui contract de servicii. (7)Operatorul sau persoana imputernicita de operator publica datele de contact ale responsabilului cu protecţia datelor şi le comunica autoritaţii de supraveghere.
Art. 38: Funcţia responsabilului cu protecţia datelor
(1)Operatorul şi persoana imputernicita de operator se asigura ca responsabilul cu protecţia datelor este implicat in mod corespunzator şi in timp util in toate aspectele legate de protecţia datelor cu caracter personal.
(2)Operatorul şi persoana imputernicita de operator sprijina responsabilul cu protecţia datelor in indeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate.
(3)Operatorul şi persoana imputernicita de operator se asigura ca responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni in ceea ce priveşte indeplinirea acestor sarcini. Acesta nu este demis sau sancţionat de catre operator sau de persoana imputernicita de operator pentru indeplinirea sarcinilor sale. Responsabilul cu protecţia datelor raspunde direct in faţa celui mai inalt nivel al conducerii operatorului sau persoanei imputernicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor in temeiul prezentului regulament. (5)Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau confidenţialitatea in ceea ce priveşte indeplinirea sarcinilor sale, in conformitate cu dreptul Uniunii sau cu dreptul intern. (6)Responsabilul cu protecţia datelor poate indeplini şi alte sarcini şi atribuţii. Operatorul sau persoana imputernicita de operator se asigura ca niciuna dintre aceste sarcini şi atribuţii nu genereaza un conflict de interese.
Art. 39: Sarcinile responsabilului cu protecţia datelor
(1)Responsabilul cu protecţia datelor are cel puţin urmatoarele sarcini:
a)informarea şi consilierea operatorului, sau a persoanei imputernicite de operator, precum şi a angajaţilor care se ocupa de prelucrare cu privire la obligaţiile care le revin in temeiul prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor; b)monitorizarea respectarii prezentului regulament, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei imputernicite de operator in ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilitaţilor şi acţiunile de sensibilizare şi de formare a personalului implicat in operaţiunile de prelucrare, precum şi auditurile aferente;
c)furnizarea de consiliere la cerere in ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionarii acesteia, in conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila menţionata la articolul 36, precum şi, daca este cazul, consultarea cu privire la orice alta chestiune.
(2)În indeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama in mod corespunzator de riscul asociat operaţiunilor de prelucrare, luând in considerare natura, domeniul de aplicare, contextul şi scopurile prelucrarii.
Secţiunea 5: Coduri de conduita şi certificare
Art. 40: Coduri de conduita
(1)Statele membre, autoritaţile de supraveghere, comitetul şi Comisia incurajeaza elaborarea de coduri de conduita menite sa contribuie la buna aplicare a prezentului regulament, ţinând seama de caracteristicile specifice ale diverselor sectoare de prelucrare şi de nevoile specifice ale microintreprinderilor şi ale intreprinderilor mici şi mijlocii.
(2)Asociaţiile şi alte organisme care reprezinta categorii de operatori sau de persoane imputernicite de operatori pot pregati coduri de conduita sau le pot modifica sau extinde pe cele existente, in scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi in ceea ce priveşte:
a)prelucrarea in mod echitabil şi transparent;
b)interesele legitime urmarite de operatori in contexte specifice; c)colectarea datelor cu caracter personal;
d)pseudonimizarea datelor cu caracter personal;
e)informarea publicului şi a persoanelor vizate;
f)exercitarea drepturilor persoanelor vizate;
g)informarea şi protejarea copiilor şi modalitatea in care trebuie obţinut consimţamântul titularilor raspunderii parinteşti asupra copiilor;
h)masurile şi procedurile menţionate la articolele 24 şi 25 şi masurile de asigurare a securitaţii prelucrarii, menţionate la articolul 32;
i)notificarea autoritaţilor de supraveghere cu privire la incalcarile securitaţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste incalcari;
j)transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale; sau
k)proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor pentru soluţionarea litigiilor intre operatori şi persoanele vizate in ceea ce priveşte prelucrarea, fara a aduce atingere drepturilor persoanelor vizate, in temeiul articolelor 77 şi 79.
(3)La codurile de conduita aprobate in temeiul alineatului (5) din prezentul articol şi care au o valabilitate generala in temeiul alineatului (9) din prezentul articol pot adera nu numai operatorii sau persoanele imputernicite de operatori care fac obiectul prezentului regulament, ci şi operatorii sau persoanele imputernicite de operatori care nu fac obiectul prezentului regulament in temeiul articolului 3, in scopul de a oferi garanţii adecvate in cadrul transferurilor de date cu caracter personal catre ţari terţe sau organizaţii internaţionale in condiţiile menţionate la articolul 46 alineatul (2) litera (e). Aceşti operatori sau persoane imputernicite de operatori işi asuma angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, in scopul aplicarii garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(4)Codul de conduita prevazut la alineatul (2) din prezentul articol cuprinde mecanisme care permit organismului menţionat la articolul 41 alineatul (1) sa efectueze monitorizarea obligatorie a respectarii dispoziţiilor acestuia de catre operatorii sau persoanele imputernicite de operatori care se angajeaza sa il aplice, fara a aduce atingere sarcinilor şi competenţelor autoritaţilor de supraveghere care sunt competente in temeiul articolului 55 sau 56.
(5)Asociaţiile şi alte organisme menţionate la alineatul (2) din prezentul articol care intenţioneaza sa pregateasca un cod de conduita sau sa modifice sau sa extinda un cod existent transmit proiectul de cod, de modificare sau de extindere autoritaţii de supraveghere care este competenta in temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere şi il aproba in cazul in care se constata ca acesta ofera garanţii adecvate suficiente.
(6)În cazul in care proiectul de cod, de modificare sau de extindere este aprobat in conformitate cu alineatul (5), iar codul de conduita in cauza nu are legatura cu activitaţile de prelucrare din mai multe state membre, autoritatea de supraveghere inregistreaza şi publica codul.
(7)În cazul in care un proiect de cod de conduita, de modificare sau de extindere are legatura cu activitaţile de prelucrare din mai multe state membre, inainte de aprobare, autoritatea de supraveghere competenta in temeiul articolului 55 il transmite, prin procedura menţionata la articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului respectiv, sau, in situaţia menţionata la alineatul (3) din prezentul articol, ofera garanţii adecvate.
(8)În cazul in care avizul menţionat la alineatul (7) confirma conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere sau in cazul in care, in situaţia menţionata la alineatul (3), ofera garanţii adecvate, comitetul transmite avizul sau Comisiei.
(9)Comisia poate adopta acte de punere in aplicare pentru a decide ca codul de conduita, modificarea sau extinderea aprobate care i-au fost prezentate in temeiul alineatului (8) din prezentul articol au valabilitate generala in Uniune. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare prevazuta la articolul 93 alineatul (2).
(10)Comisia asigura publicitatea adecvata pentru codurile aprobate asupra carora s-a decis ca au valabilitate generala in conformitate cu alineatul (9).
(11)Comitetul regrupeaza toate codurile de conduita, modificarile şi extinderile aprobate intr-un registru şi le pune la dispoziţia publicului prin mijloace corespunzatoare.
Art. 41: Monitorizarea codurilor de conduita aprobate
(1)Fara a aduce atingere sarcinilor şi competenţelor autoritaţii de supraveghere competente in temeiul articolelor 57 şi 58, monitorizarea respectarii unui cod de conduita in temeiul articolului 40 poate fi realizata de un organism care dispune de un nivel adecvat de expertiza in legatura cu obiectul codului şi care este acreditat in acest scop de autoritatea de supraveghere competenta.
(2)Un organism menţionat la alineatul (1) poate fi acreditat pentru monitorizarea respectarii unui cod de conduita daca:
a)a demonstrat autoritaţii de supraveghere competente, intr-un mod satisfacator, independenţa şi expertiza sa in legatura cu obiectul codului;
b)a instituit proceduri care ii permit sa evalueze eligibilitatea operatorilor şi a persoanelor imputernicite de operatori in vederea aplicarii codului, sa monitorizeze respectarea de catre aceştia a dispoziţiilor codului şi sa revizuiasca periodic funcţionarea acestuia;
c)a instituit proceduri şi structuri pentru tratarea plângerilor privind incalcari ale codului sau privind modul in care codul a fost sau este pus in aplicare de un operator sau o persoana imputernicita de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
d)a demonstrat autoritaţii de supraveghere competente, intr-un mod satisfacator, ca sarcinile şi atribuţiile sale nu creeaza conflicte de interese.
(3)Autoritatea de supraveghere competenta transmite proiectul de cerinţe pentru acreditarea unui organism menţionat la alineatul (1) din prezentul articol comitetului, in conformitate cu mecanismul
pentru asigurarea coerenţei menţionat la articolul 63.
(la data 23-mai-2018 Art. 41, alin. (3) din capitolul IV, sectiu
nea 5 rectificat de punctul 10. din Rectificare din 23-mai-
2018 )
(4)Fara a aduce atingere sarcinilor şi competenţelor autoritaţii de supraveghere competente şi dispoziţiilor capitolului VIII, un organism menţionat la alineatul (1) din prezentul articol ia masuri corespunzatoare, sub rezerva unor garanţii adecvate, in cazul incalcarii codului de catre un operator sau o persoana imputernicita de operator, inclusiv prin suspendarea sau excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul in cauza informeaza autoritatea de supraveghere competenta cu privire la aceste masuri şi la motivele care le-au determinat.
(5)Autoritatea de supraveghere competenta revoca acreditarea unui organism menţionat la alineatul
(1) in cazul in care nu mai sunt indeplinite cerinţele pentru acreditare sau masurile luate de organismul
in cauza incalca prezentul regulament.
(la data 23-mai-2018 Art. 41, alin. (5) din c
apitolul IV, sectiunea 5 rectificat de punctul 11. din Rectificare din 23-mai-
2018 )
(6)Prezentul articol nu se aplica prelucrarii efectuate de autoritaţi şi organisme publice.
Art. 42: Certificare
(1)Statele membre, autoritaţile de supraveghere, comitetul şi Comisia incurajeaza, in special la nivelul Uniunii, instituirea de mecanisme de certificare in domeniul protecţiei datelor, precum şi de sigilii şi marci in acest domeniu, care sa permita demonstrarea faptului ca operaţiunile de prelucrare efectuate de operatori şi de persoanele imputernicite de operatori respecta prezentul regulament. Sunt luate in considerare necesitaţile specifice ale microintreprinderilor şi ale intreprinderilor mici şi mijlocii. (2)Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau marcile aprobate in temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele imputernicite de operatori care fac obiectul prezentului regulament, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau de persoanele imputernicite de
operatori care nu fac obiectul prezentului regulament, in temeiul articolului 3, in cadrul transferurilor de date cu caracter personal catre ţari terţe sau organizaţii internaţionale in condiţiile menţionate la articolul 46 alineatul (2) litera (f). Aceşti operatori sau persoane imputernicite de operatori işi asuma angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, in scopul aplicarii garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(3)Certificarea este voluntara şi disponibila prin intermediul unui proces transparent.
(4)Certificarea in conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei imputernicite de operator de a respecta prezentul regulament şi nu aduce atingere sarcinilor şi competenţelor autoritaţilor de supraveghere care sunt competente in temeiul articolului 55 sau 56. (5)Organismele de certificare menţionate la articolul 43 sau autoritatea de supraveghere competenta emit o certificare in temeiul prezentului articol, pe baza criteriilor aprobate de catre autoritatea de supraveghere competenta respectiva in temeiul articolului 58 alineatul (3), sau de catre comitet in temeiul articolului 63. În cazul in care criteriile sunt aprobate de comitet, aceasta poate duce la o certificare comuna, şi anume sigiliul european privind protecţia datelor.
(6)Operatorul sau persoana imputernicita de operator care supune activitaţile sale de prelucrare mecanismului de certificare ofera organismului de certificare menţionat la articolul 43 sau, dupa caz, autoritaţii de supraveghere competente, toate informaţiile necesare pentru desfaşurarea procedurii de certificare, precum şi accesul la activitaţile de prelucrare respective.
(7)Certificarea este eliberata unui operator sau unei persoane imputernicite de operator pentru o
perioada maxima de trei ani şi poate fi reinnoita in aceleaşi condiţii, cu condiţia ca criteriile relevante sa fie indeplinite in continuare. Certificarea este retrasa, dupa caz, de catre organismele de certificare menţionate la articolul 43 sau de catre autoritatea de supraveghere competenta in cazul in care nu mai
sunt indeplinite criteriile pentru certificare.
(la data 23-mai-2018 Art. 42, alin. (7) din capito
lul IV, sectiunea 5 rectificat de punctul 12. din Rectificare din 23-mai-
2018 )
(8)Comitetul regrupeaza toate mecanismele de certificare şi sigiliile şi marcile de protecţie a datelor intr-un registru şi le pune la dispoziţia publicului prin orice mijloc corespunzator.
Art. 43: Organisme de certificare
(1)Fara a aduce atingere sarcinilor şi competenţelor autoritaţii de supraveghere competente, prevazute la articolele 57 şi 58, organismele de certificare care dispun de un nivel adecvat de competenţa in domeniul protecţiei datelor, dupa ce informeaza autoritatea de supraveghere pentru a-i permite sa işi exercite competenţele in temeiul articolului 58 alineatul (2) litera (h), emit şi reinnoiesc certificarea. Statele membre se asigura ca aceste organisme de certificare sunt acreditate de catre una sau amândoua dintre urmatoarele entitaţi:
a)autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56;
b)organismul naţional de acreditare desemnat in conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (1) in conformitate cu standardul EN-ISO/IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56.
(1)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei in ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30)
(2)Un organism de certificare menţionat la alineatul (1) este acreditat in conformitate cu alineatul respectiv numai daca:
a)a demonstrat autoritaţii de supraveghere competente, intr-un mod satisfacator, independenţa şi expertiza sa in legatura cu obiectul certificarii;
b)s-a angajat sa respecte criteriile menţionate la articolul 42 alineatul (5) şi aprobate de autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56, sau de catre comitet in temeiul articolului 63;
c)a instituit proceduri pentru emiterea, revizuirea periodica şi retragerea certificarii, a sigiliilor şi marcilor din domeniul protecţiei datelor;
d)a instituit proceduri şi structuri pentru tratarea plângerilor privind incalcari ale certificarii sau privind modul in care certificarea a fost sau este pusa in aplicare de un operator sau o persoana imputernicita de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
e)a demonstrat autoritaţii de supraveghere competente, intr-un mod satisfacator, ca sarcinile şi atribuţiile sale nu creeaza conflicte de interese.
(3)Acreditarea organismelor de certificare menţionate la alineatele (1) şi (2) din prezentul articol se realizeaza pe baza cerinţelor aprobate de catre autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56, sau de catre comitet in temeiul articolului 63. În cazul unei acreditari in
temeiul alineatului (1) litera (b) din prezentul articol, aceste cerinţe le completeaza pe cele prevazute in Regulamentul (CE) nr. 765/2008 şi normele tehnice care descriu metodele şi procedurile organismelor
de certificare.
(la data 23-ma
i-2018 Art. 43, alin. (3) din capitolul IV, sectiunea 5 rectificat de punctul 13. din Rectificare din 23-mai-
2018 )
(4)Organismele de certificare menţionate la alineatul (1) sunt responsabile cu realizarea unei evaluari adecvate in vederea certificarii sau retragerii acestei certificari, fara a aduce atingere responsabilitaţii operatorului sau a persoanei imputernicite de operator de a respecta prezentul regulament. Acreditarea se elibereaza pentru o perioada maxima de cinci ani şi poate fi reinnoita in aceleaşi condiţii, cu condiţia ca organismul de certificare sa indeplineasca cerinţele prevazute in prezentul articol.
(5)Organismele de certificare menţionate la alineatul (1) transmite autoritaţilor de supraveghere competente motivele acordarii sau retragerii certificarii solicitate.
(6)Cerinţele menţionate la alineatul (3) din prezentul articol şi criteriile menţionate la articolul 42 alineatul (5) se publica de catre autoritatea de supraveghere intr-o forma uşor de accesat. Autoritaţile
de supraveghere transmit, de asemenea, aceste cerinţe şi criterii comitetului.
(la data 23-mai-2018 Art. 43, alin. (6) din capitolul IV, sectiunea 5 rectificat de punctul 1
4. din Rectificare din 23-mai-
2018 )
(7)Fara a aduce atingere dispoziţiilor capitolului VIII, autoritatea de supraveghere competenta sau organismul naţional de acreditare revoca acreditarea acordata unui organism de certificare in temeiul alineatului (1) din prezentul articol in cazul in care nu sunt sau nu mai sunt indeplinite condiţiile pentru acreditare sau masurile luate de organismul de acreditare incalca prezentul regulament.
(8)Comisia este imputernicita sa adopte acte delegate in conformitate cu articolul 92, in scopul specificarii cerinţelor care trebuie luate in considerare pentru mecanismele de certificare din domeniul protecţiei datelor, menţionate la articolul 42 alineatul (1).
(9)Comisia poate adopta acte de punere in aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare şi pentru sigiliile şi marcile din domeniul protecţiei datelor, precum şi mecanisme de promovare şi recunoaştere a acelor mecanisme de certificare, sigilii şi marci. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
CAPITOLUL V: Transferurile de date cu caracter personal catre ţari terţe sau organizaţii internaţionale
Art. 44: Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrarii sau care urmeaza a fi prelucrate dupa ce sunt transferate intr-o ţara terţa sau catre o organizaţie internaţionala pot fi transferate doar daca, sub rezerva celorlalte dispoziţii ale prezentului regulament, condiţiile prevazute in prezentul capitol sunt respectate de operator şi de persoana imputernicita de operator, inclusiv in ceea ce priveşte transferurile ulterioare de date cu caracter personal din ţara terţa sau de la organizaţia internaţionala catre o alta ţara terţa sau catre o alta organizaţie internaţionala. Toate dispoziţiile din prezentul capitol se aplica pentru a se asigura ca nivelul de protecţie a persoanelor fizice garantat prin prezentul regulament nu este subminat.
Art. 45: Transferuri in temeiul unei decizii privind caracterul adecvat al nivelului de protecţie
(1)Transferul de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala se poate realiza atunci când Comisia a decis ca ţara terţa, un teritoriu ori unul sau mai multe sectoare specificate
din acea ţara terţa sau organizaţia internaţionala in cauza asigura un nivel de protecţie adecvat. Transferurile realizate in aceste condiţii nu necesita autorizari speciale.
(2)Atunci când evalueaza caracterul adecvat al nivelului de protecţie, Comisia ţine seama, in special, de urmatoarele elemente:
a)statul de drept, respectarea drepturilor omului şi a libertaţilor fundamentale, legislaţia relevanta, atât generala, cât şi sectoriala, inclusiv privind securitatea publica, apararea, securitatea naţionala şi dreptul penal, precum şi accesul autoritaţilor publice la datele cu caracter personal, precum şi punerea in aplicare a acestei legislaţii, normele de protecţie a datelor, normele profesionale şi masurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal catre o alta ţara terţa sau organizaţie internaţionala, care sunt respectate in ţara terţa respectiva sau in organizaţia internaţionala respectiva, jurisprudenţa, precum şi existenţa unor drepturi efective şi opozabile ale persoanelor vizate şi a unor reparaţii efective pe cale administrativa şi judiciara pentru persoanele vizate ale caror date cu caracter personal sunt transferate;
b)existenţa şi funcţionarea eficienta a uneia sau mai multor autoritaţi de supraveghere independente in ţara terţa sau sub jurisdicţia carora intra o organizaţie internaţionala, cu responsabilitate pentru asigurarea şi impunerea respectarii normelor de protecţie a datelor, incluzând competenţe adecvate de asigurare a respectarii aplicarii, pentru acordarea de asistenţa şi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora şi pentru cooperarea cu autoritaţile de supraveghere din statele membre; şi
c)angajamentele internaţionale la care a aderat ţara terţa sau organizaţia internaţionala in cauza sau alte obligaţii care decurg din convenţii sau instrumente obligatorii din punct de vedere juridic, precum şi din participarea acesteia la sisteme multilaterale sau regionale, mai ales in domeniul protecţiei datelor cu caracter personal.
(3)Comisia, dupa ce evalueaza caracterul adecvat al nivelului de protecţie, poate decide, printr-un act de punere in aplicare, ca o ţara terţa, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ţara terţa sau o organizaţie internaţionala asigura un nivel de protecţie adecvat in sensul alineatului (2) din prezentul articol. Actul de punere in aplicare prevede un mecanism de revizuire periodica, cel puţin o data la patru ani, care ia in considerare toate evoluţiile relevante din ţara terţa sau organizaţia internaţionala. Actul de punere in aplicare menţioneaza aplicarea geografica şi sectoriala, şi, dupa caz, identifica autoritatea sau autoritaţile de supraveghere menţionate la alineatul (2) litera (b) din prezentul articol. Actul de punere in aplicare se adopta in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
(4)Comisia monitorizeaza continuu evoluţiile din ţarile terţe şi de la nivelul organizaţiilor internaţionale care ar putea afecta funcţionarea deciziilor adoptate in temeiul alineatului (3) din prezentul articol şi a deciziilor adoptate in temeiul articolului 25 alineatul (6) din Directiva 95/46/CE.
(5)În cazul in care informaţiile disponibile dezvaluie, in special in urma revizuirii menţionate la alineatul (3) din prezentul articol, ca o ţara terţa, un teritoriu sau un sector specificat din acea ţara terţa sau o organizaţie internaţionala nu mai asigura un nivel de protecţie adecvat in sensul alineatului (2) din prezentul articol, Comisia, daca este necesar, abroga, modifica sau suspenda, prin intermediul unui act de punere in aplicare, decizia menţionata la alineatul (3) din prezentul articol fara efect retroactiv. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
Din motive imperioase de urgenţa, Comisia adopta acte de punere in aplicare imediat aplicabile in conformitate cu procedura menţionata la articolul 93 alineatul (3).
(6)Comisia iniţiaza consultari cu ţara terţa sau organizaţia internaţionala in vederea remedierii situaţiei care a stat la baza deciziei luate in conformitate cu alineatul (5).
(7)O decizie luata in temeiul alineatului (5) din prezentul articol nu aduce atingere transferurilor de date cu caracter personal catre ţara terţa, un teritoriu sau unul sau mai multe sectoare specificate din acea ţara terţa sau catre organizaţia internaţionala in cauza in conformitate cu articolele 46-49. (8)Comisia publica in Jurnalul Oficial al Uniunii Europene şi pe site-ul sau o lista a ţarilor terţe, a teritoriilor şi sectoarelor specificate dintr-o ţara terţa şi a organizaţiilor internaţionale in cazul carora a decis ca nivelul de protecţie adecvat este asigurat sau nu mai este asigurat.
(9)Deciziile adoptate de Comisie in temeiul articolului 25 alineatul (6) din Directiva 95/46/CE ramân in vigoare pâna când sunt modificate, inlocuite sau abrogate de o decizie a Comisiei adoptata in conformitate cu alineatul (3) sau (5) din prezentul articol.
Art. 46: Transferuri in baza unor garanţii adecvate
(1)În absenţa unei decizii in temeiul articolului 45 alineatul (3), operatorul sau persoana imputernicita de operator poate transfera date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala numai daca operatorul sau persoana imputernicita de operator a oferit garanţii adecvate şi cu condiţia sa existe drepturi opozabile şi cai de atac eficiente pentru persoanele vizate.
(2)Garanţiile adecvate menţionate la alineatul 1 pot fi furnizate fara sa fie nevoie de nicio autorizaţie specifica din partea unei autoritaţi de supraveghere, prin:
a)un instrument obligatoriu din punct de vedere juridic şi executoriu intre autoritaţile sau organismele publice;
b)reguli corporatiste obligatorii in conformitate cu articolul 47;
c)clauze standard de protecţie a datelor adoptate de Comisie in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2);
d)clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2);
e)un cod de conduita aprobat in conformitate cu articolul 40, insoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei imputernicite de operator din ţara terţa de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
f)un mecanism de certificare aprobat in conformitate cu articolul 42, insoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei imputernicite de operator din ţara terţa de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.
(3)Sub rezerva autorizarii din partea autoritaţii de supraveghere competente, garanţiile adecvate menţionate la alineatul (1) pot fi furnizate de asemenea, in special, prin:
a)clauze contractuale intre operator sau persoana imputernicita de operator şi operatorul, persoana imputernicita de operator sau destinatarul datelor cu caracter personal din ţara terţa sau organizaţia internaţionala; sau
b)dispoziţii care urmeaza sa fie incluse in acordurile administrative dintre autoritaţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.
(4)Autoritatea de supraveghere aplica mecanismul pentru asigurarea coerenţei menţionat la articolul 63, in cazurile menţionate la alineatul (3) din prezentul articol.
(5)Autorizaţiile acordate de un stat membru sau de o autoritate de supraveghere in temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile pâna la data la care sunt modificate, inlocuite sau abrogate, daca este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie in temeiul articolului 26 alineatul (4) din Directiva 95/46/CE ramân in vigoare pâna când sunt modificate, inlocuite sau abrogate, daca este necesar, de o decizie a Comisiei adoptata in conformitate cu alineatul (2) din prezentul articol.
Art. 47: Reguli corporatiste obligatorii
(1)În conformitate cu mecanismul pentru asigurarea coerenţei prevazut la articolul 63, autoritatea de supraveghere competenta aproba reguli corporatiste obligatorii, cu condiţia ca acestea:
a)sa fie obligatorii din punct de vedere juridic şi sa se aplice fiecarui membru vizat al grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, inclusiv angajaţilor acestuia, precum şi sa fie puse in aplicare de membrii in cauza;
b)sa confere, in mod expres, drepturi opozabile persoanelor vizate in ceea ce priveşte prelucrarea datelor lor cu caracter personal; şi
c)sa indeplineasca cerinţele prevazute la alineatul (2).
(2)Regulile corporatiste obligatorii menţionate la alineatul (1) precizeaza cel puţin:
a)structura şi datele de contact ale grupului de intreprinderi sau ale grupului de intreprinderi implicate intr-o activitate economica comuna şi ale fiecaruia dintre membrii sai;
b)transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrarii şi scopurile prelucrarii, tipurile de persoane vizate afectate şi identificarea ţarii terţe sau a ţarilor terţe in cauza;
c)caracterul lor juridic obligatoriu, atât pe plan intern, cât şi extern;
d)aplicarea principiilor generale in materie de protecţie a datelor, in special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protecţia datelor incepând cu momentul conceperii şi protecţia implicita, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, masurile de asigurare a securitaţii datelor, precum şi cerinţele referitoare la transferurile ulterioare catre organisme care nu fac obiectul regulilor corporatiste obligatorii;
e)drepturile persoanelor vizate in ceea ce priveşte prelucrarea şi mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, in conformitate cu articolul 22, dreptul de a depune o plângere in faţa autoritaţii de supraveghere competente şi in faţa instanţelor competente ale statelor membre, in conformitate cu articolul 79, precum şi dreptul de a obţine reparaţii şi, dupa caz, despagubiri pentru incalcarea regulilor corporatiste obligatorii;
f)acceptarea de catre operator sau de persoana imputernicita de operator, care işi are sediul pe teritoriul unui stat membru, a raspunderii pentru orice incalcare a regulilor corporatiste obligatorii de catre orice membru in cauza care nu işi are sediul in Uniune; operatorul sau persoana imputernicita de operator este exonerat(a) de aceasta raspundere, integral sau parţial, numai daca dovedeşte ca membrul respectiv nu a fost raspunzator de evenimentul care a cauzat prejudiciul;
g)modul in care informaţiile privind regulile corporatiste obligatorii, in special privind dispoziţiile menţionate la literele (d), (e) şi (f) de la prezentul alineat, sunt furnizate persoanelor vizate in completarea informaţiilor menţionate la articolele 13 şi 14;
h)sarcinile oricarui responsabil cu protecţia datelor desemnat in conformitate cu articolul 37 sau ale oricarei alte persoane sau entitaţi insarcinate cu monitorizarea respectarii regulilor corporatiste obligatorii in cadrul grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, a activitaţilor de formare şi a gestionarii plângerilor;
i)procedurile de formulare a plângerilor;
j)mecanismele din cadrul grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, menite sa asigure verificarea conformitaţii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecţia datelor şi metodele de asigurare a acţiunilor corective menite sa protejeze drepturile persoanei vizate. Rezultatele acestor verificari ar trebui sa fie comunicate persoanei sau entitaţii menţionate la litera (h) şi consiliului de administraţie al intreprinderii care exercita controlul grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna şi ar trebui sa fie puse la dispoziţia autoritaţii de supraveghere competente, la cerere;
k)mecanismele de raportare şi inregistrare a modificarilor aduse regulilor şi de raportare a acestor modificari autoritaţii de supraveghere;
l)mecanismul de cooperare cu autoritatea de supraveghere in vederea asigurarii respectarii regulilor de catre orice membru al grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, in special prin punerea la dispoziţia autoritaţii de supraveghere a rezultatelor verificarilor cu privire la masurile menţionate la punctul (j);
m)mecanismele de raportare catre autoritatea de supraveghere competenta a oricaror cerinţe legale impuse unui membru al grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna intr-o ţara terţa care pot avea un efect advers considerabil asupra garanţiilor furnizate prin regulile corporatiste obligatorii; şi
n)formarea corespunzatoare in domeniul protecţiei datelor a personalului care are un acces permanent sau periodic la date cu caracter personal.
(3)Comisia poate preciza formatul şi procedurile pentru schimbul de informaţii intre operatori, persoanele imputernicite de operatori şi autoritaţile de supraveghere pentru regulile corporatiste
obligatorii in sensul prezentului articol. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare prevazuta la articolul 93 alineatul (2).
Art. 48: Transferurile sau divulgarile de informaţii neautorizate de dreptul Uniunii
Orice hotarâre a unei instanţe sau a unui tribunal şi orice decizie a unei autoritaţi administrative a unei ţari terţe care impun unui operator sau persoanei imputernicite de operator sa transfere sau sa divulge date cu caracter personal poate fi recunoscuta sau executata in orice fel numai daca se bazeaza pe un acord internaţional, cum ar fi un tratat de asistenţa judiciara reciproca in vigoare intre ţara terţa solicitanta şi Uniune sau un stat membru, fara a se aduce atingere altor motive de transfer in temeiul prezentului capitol.
Art. 49: Derogari pentru situaţii specifice
(1)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie in conformitate cu articolul 45 alineatul (3) sau a unor garanţii adecvate in conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala poate avea loc numai in una dintre condiţiile urmatoare: a)persoana vizata şi-a exprimat in mod explicit acordul cu privire la transferul propus, dupa ce a fost informata asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizata ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;
b)transferul este necesar pentru executarea unui contract intre persoana vizata şi operator sau pentru aplicarea unor masuri precontractuale adoptate la cererea persoanei vizate;
c)transferul este necesar pentru incheierea unui contract sau pentru executarea unui contract incheiat in interesul persoanei vizate intre operator şi o alta persoana fizica sau juridica;
d)transferul este necesar din considerente importante de interes public;
e)transferul este necesar pentru stabilirea, exercitarea sau apararea unui drept in instanţa;
f)transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizata nu are capacitatea fizica sau juridica de a-şi exprima acordul; g)transferul se realizeaza dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public in general, fie de orice persoana care poate face dovada unui interes legitim, dar numai in masura in care sunt indeplinite condiţiile cu privire la consultare prevazute de dreptul Uniunii sau de dreptul intern in acel caz specific. În cazul in care un transfer nu ar putea sa se intemeieze pe o dispoziţie prevazuta la articolul 45 sau 46, inclusiv dispoziţii privind reguli corporatiste obligatorii, şi nu este aplicabila niciuna dintre derogarile pentru situaţii specifice prevazute la primul paragraf din prezentul alineat, un transfer catre o ţara terţa sau o organizaţie internaţionala poate avea loc numai in cazul in care transferul nu este repetitiv, se refera doar la un numar limitat de persoane vizate, este necesar in scopul realizarii intereselor legitime majore urmarite de operator asupra caruia nu prevaleaza interesele sau drepturile şi libertaţile persoanei vizate şi operatorul a evaluat toate circumstanţele aferente transferului de date şi, pe baza acestei evaluari, a prezentat garanţii corespunzatoare in ceea ce priveşte protecţia datelor cu caracter personal. Operatorul informeaza autoritatea de supraveghere cu privire la transfer. Operatorul, in plus faţa de furnizarea informaţiilor menţionate la articolele 13 şi 14, informeaza persoana vizata cu privire la transfer şi la interesele legitime majore pe care le urmareşte.
(2)Transferul in temeiul alineatului (1) primul paragraf litera (g) nu implica totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse in registru. Atunci când registrul urmeaza a fi consultat de catre persoane care au un interes legitim, transferul se efectueaza numai la cererea persoanelor respective sau in cazul in care acestea vor fi destinatarii. (3)Alineatul (1) primul paragraf literele (a), (b) şi (c) şi paragraful al doilea nu se aplica in cazul activitaţilor desfaşurate de autoritaţile publice in exercitarea competenţelor lor publice.
(4)Interesul public prevazut la alineatul (1) primul paragraf litera (d) este recunoscut in dreptul Uniunii sau in dreptul statului membru sub incidenţa caruia intra operatorul.
(5)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, sa stabileasca in mod expres limite
asupra transferului unor categorii specifice de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala. Statele membre notifica aceste dispoziţii Comisiei.
(6)Operatorul sau persoana imputernicita de operator consemneaza evaluarea, precum şi garanţiile adecvate prevazute la paragraful al doilea al alineatului (1) din prezentul articol, in evidenţele menţionate la articolul 30.
Art. 50: Cooperarea internaţionala in domeniul protecţiei datelor cu caracter personal
În ceea ce priveşte ţarile terţe şi organizaţiile internaţionale, Comisia şi autoritaţile de supraveghere iau masurile corespunzatoare pentru:
(a)elaborarea de mecanisme de cooperare internaţionala pentru a facilita asigurarea aplicarii efective a legislaţiei privind protecţia datelor cu caracter personal;
(b)acordarea de asistenţa internaţionala reciproca in asigurarea aplicarii legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor, asistenţa in investigaţii şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertaţi fundamentale;
(c)implicarea parţilor interesate relevante in discuţiile şi activitaţile care au ca scop intensificarea cooperarii internaţionale in domeniul aplicarii legislaţiei privind protecţia datelor cu caracter personal; (d)promovarea schimbului reciproc şi a documentaţiei cu privire la legislaţia şi practicile in materie de protecţie a datelor cu caracter personal, inclusiv in ceea ce priveşte conflictele jurisdicţionale cu ţarile terţe.
CAPITOLUL VI: Autoritaţi de supraveghere independente
Secţiunea 1: Statutul independent
Art. 51: Autoritatea de supraveghere
(1)Fiecare stat membru se asigura ca una sau mai multe autoritaţi publice independente sunt responsabile de monitorizarea aplicarii prezentului regulament, in vederea protejarii drepturilor şi libertaţilor fundamentale ale persoanelor fizice in ceea ce priveşte prelucrarea şi in vederea facilitarii liberei circulaţii a datelor cu caracter personal in cadrul Uniunii („autoritatea de supraveghere”). (2)Fiecare autoritate de supraveghere contribuie la aplicarea coerenta a prezentului regulament in intreaga Uniune. În acest scop, autoritaţile de supraveghere coopereaza atât intre ele, cât şi cu Comisia, in conformitate cu capitolul VII.
(3)În cazul in care mai multe autoritaţi de supraveghere sunt instituite intr-un stat membru, acesta desemneaza autoritatea de supraveghere care reprezinta autoritaţile respective in cadrul comitetului şi instituie un mecanism prin care sa asigure respectarea de catre celelalte autoritaţi a normelor privind mecanismul pentru asigurarea coerenţei prevazut la articolul 63.
(4)Fiecare stat membru notifica Comisiei dispoziţiile de drept pe care le adopta in temeiul prezentului capitol pâna la 25 mai 2018 şi, fara intârziere, orice modificare ulterioara pe care o aduce acestor dispoziţii.
Art. 52: Independenţa
(1)Fiecare autoritate de supraveghere beneficiaza de independenţa deplina in indeplinirea sarcinilor sale şi exercitarea competenţelor sale in conformitate cu prezentul regulament.
(2)Membrul sau membrii fiecarei autoritaţi de supraveghere, in cadrul indeplinirii sarcinilor şi al exercitarii competenţelor sale (lor) in conformitate cu prezentul regulament, ramâne (ramân) independent (independenţi) de orice influenţa externa directa sau indirecta şi nici nu solicita, nici nu accepta instrucţiuni de la o parte externa.
(3)Membrul sau membrii fiecarei autoritaţi de supraveghere se abţin de la a intreprinde acţiuni incompatibile cu atribuţiile lor, iar pe durata mandatului, nu desfaşoara activitaţi incompatibile, remunerate sau nu.
(4)Fiecare stat membru se asigura ca fiecare autoritate de supraveghere beneficiaza de resurse umane, tehnice şi financiare, de un sediu şi de infrastructura necesara pentru indeplinirea sarcinilor şi exercitarea efectiva a competenţelor sale, inclusiv a celor care urmeaza sa fie aplicate in contextul asistenţei reciproce, al cooperarii şi al participarii in cadrul comitetului.
(5)Fiecare stat membru se asigura ca fiecare autoritate de supraveghere işi selecteaza personalul propriu şi deţine personal propriu aflat sub conducerea exclusiva a membrului sau membrilor autoritaţii de supraveghere respective.
(6)Fiecare stat membru se asigura ca fiecare autoritate de supraveghere face obiectul unui control financiar care nu aduce atingere independenţei sale şi ca dispune de bugete anuale distincte, publice, care pot face parte din bugetul general de stat sau naţional.
Art. 53: Condiţii generale aplicabile membrilor autoritaţii de supraveghere
(1)Statele membre se asigura ca fiecare membru al autoritaţii lor de supraveghere este numit prin intermediul unei proceduri transparente:
– de parlament;
– de guvern;
– de şeful statului; sau
– de un organism independent imputernicit sa faca numiri in temeiul dreptului intern.
(2)Fiecare membru in cauza are calificarile, experienţa şi competenţele necesare, in special in domeniul protecţiei datelor cu caracter personal, pentru a-şi putea indeplini atribuţiile şi exercita competenţele.
(3)Atribuţiile unui membru inceteaza in cazul expirarii mandatului, in cazul demisiei sau pensionarii din oficiu in conformitate cu dreptul intern relevant.
(4)Un membru poate fi demis doar in cazuri de abateri grave sau daca nu mai indeplineşte condiţiile necesare pentru indeplinirea atribuţiilor sale.
Art. 54: Norme privind instituirea autoritaţii de supraveghere
(1)Fiecare stat membru prevede, pe cale legislativa, urmatoarele:
a)instituirea fiecarei autoritaţi de supraveghere;
b)calificarile şi condiţiile de eligibilitate necesare pentru a fi numit in calitate de membru al fiecarei autoritaţi de supraveghere;
c)normele şi procedurile pentru numirea membrului sau a membrilor fiecarei autoritaţi de supraveghere;
d)durata mandatului membrului sau membrilor fiecarei autoritaţi de supraveghere, de minimum patru ani, cu excepţia primei numiri dupa 24 mai 2016, din care o parte poate fi pe o perioada mai scurta in cazul in care acest lucru este necesar pentru a proteja independenţa autoritaţii de supraveghere printr- o procedura de numiri eşalonate;
e)daca şi de câte ori este eligibil pentru reinnoire mandatul membrului sau membrilor fiecarei autoritaţi de supraveghere;
f)condiţiile care reglementeaza obligaţiile membrului sau membrilor şi ale personalului fiecarei autoritaţi de supraveghere, interdicţii privind acţiunile, ocupaţiile şi beneficiile incompatibile cu acestea in cursul mandatului şi dupa incetarea acestuia, precum şi normele care reglementeaza incetarea contractului de angajare.
(2)Membrul sau membrii şi personalul fiecarei autoritaţi de supraveghere au obligaţia, in conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta atât pe parcursul mandatului, cât şi dupa incetarea acestuia, secretul profesional in ceea ce priveşte informaţiile confidenţiale de care au luat cunoştinţa in cursul indeplinirii sarcinilor sau al exercitarii competenţelor lor. Pe durata mandatului lor, aceasta obligaţie de pastrare a secretului profesional se aplica in special in ceea ce priveşte raportarea de catre persoane fizice a incalcarilor prezentului regulament.
Secţiunea 2: Abilitari, sarcini şi competenţe
Art. 55: Competenţa
(1)Fiecare autoritate de supraveghere are competenţa sa indeplineasca sarcinile şi sa exercite competenţele care ii sunt conferite in conformitate cu prezentul regulament pe teritoriul statului membru de care aparţine.
(2)În cazul in care prelucrarea este efectuata de autoritaţi publice sau de organisme private care acţioneaza pe baza articolului 6 alineatul (1) litera (c) sau (e), autoritatea de supraveghere din statul
membru respectiv are competenţa. În astfel de cazuri, articolul 56 nu se aplica.
(la data 23-mai-2018 Art. 55, alin. (2) din capitolul VI, sectiunea 2 rectificat de punctul 15. din Rectificare din 23-mai- 2018 )
(3)Autoritaţile de supraveghere nu sunt competente sa supravegheze operaţiunile de prelucrare ale instanţelor care acţioneaza in exerciţiul funcţiei lor judiciare.
Art. 56: Competenţa autoritaţii de supraveghere principale
(1)Fara a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei imputernicite de operator este competenta sa acţioneze in calitate de autoritate de supraveghere principala pentru prelucrarea transfrontaliera efectuata de respectivul operator sau respectiva persoana imputernicita in cauza in conformitate cu procedura prevazuta la articolul 60.
(2)Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competenta sa trateze o plângere depusa in atenţia sa sau o eventuala incalcare a prezentului regulament, in cazul in care obiectul acesteia se refera numai la un sediu aflat in statul sau membru sau afecteaza in mod semnificativ persoane vizate numai in statul sau membru.
(3)În cazurile menţionate la alineatul (2) din prezentul articol, autoritatea de supraveghere informeaza fara intârziere autoritatea de supraveghere principala cu privire la aceasta chestiune. În termen de trei saptamâni de la momentul informarii, autoritatea de supraveghere principala decide daca trateaza sau nu cazul respectiv in conformitate cu procedura prevazuta la articolul 60, luând in considerare daca exista sau nu un sediu al operatorului sau al persoanei imputernicite de operator pe teritoriul statului membru a carui autoritate de supraveghere a informat-o.
(4)În cazul in care autoritatea de supraveghere principala decide sa trateze cazul, se aplica procedura prevazuta la articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principala poate inainta un proiect de decizie acesteia din urma. Autoritatea de supraveghere principala ţine seama in cea mai mare masura posibila de proiectul respectiv atunci când pregateşte proiectul de decizie prevazut la articolul 60 alineatul (3).
(5)În cazul in care autoritatea de supraveghere principala decide sa nu trateze cazul, autoritatea de supraveghere care a informat autoritatea de supraveghere principala trateaza cazul in conformitate cu articolele 61 şi 62.
(6)Autoritatea de supraveghere principala este singurul interlocutor al operatorului sau al persoanei imputernicite de operator in ceea ce priveşte prelucrarea transfrontaliera efectuata de respectivul operator sau de respectiva persoana imputernicita de operator.
Art. 57: Sarcini
(1)Fara a aduce atingere altor sarcini stabilite in temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul sau:
a)monitorizeaza şi asigura aplicarea prezentului regulament;
b)promoveaza acţiuni de sensibilizare şi de inţelegere in rândul publicului a riscurilor, normelor, garanţiilor şi drepturilor in materie de prelucrare. Se acorda atenţie speciala activitaţilor care se adreseaza in mod specific copiilor;
c)ofera consiliere, in conformitate cu dreptul intern, parlamentului naţional, guvernului şi altor instituţii şi organisme cu privire la masurile legislative şi administrative referitoare la protecţia drepturilor şi libertaţilor persoanelor fizice in ceea ce priveşte prelucrarea;
d)promoveaza acţiuni de sensibilizare a operatorilor şi a persoanelor imputernicite de aceştia cu privire la obligaţiile care le revin in temeiul prezentului regulament;
e)la cerere, furnizeaza informaţii oricarei persoane vizate in legatura cu exercitarea drepturilor sale in conformitate cu prezentul regulament şi, daca este cazul, coopereaza cu autoritaţile de supraveghere din alte state membre in acest scop;
f)trateaza plângerile depuse de o persoana vizata, un organism, o organizaţie sau o asociaţie in conformitate cu articolul 80 şi investigheaza intr-o masura adecvata obiectul plângerii şi informeaza reclamantul cu privire la evoluţia şi rezultatul investigaţiei, intr-un termen rezonabil, in special daca este necesara efectuarea unei investigaţii mai amanunţite sau coordonarea cu o alta autoritate de supraveghere;
g)coopereaza, inclusiv prin schimb de informaţii, cu alte autoritaţi de supraveghere şi işi ofera asistenţa reciproca pentru a asigura coerenţa aplicarii şi respectarii prezentului regulament;
h)desfaşoara investigaţii privind aplicarea prezentului regulament, inclusiv pe baza unor informaţii primite de la o alta autoritate de supraveghere sau de la o alta autoritate publica;
i)monitorizeaza evoluţiile relevante, in masura in care acestea au impact asupra protecţiei datelor cu caracter personal, in special evoluţia tehnologiilor informaţiei şi comunicaţiilor şi a practicilor comerciale;
j)adopta clauze contractuale standard menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d);
k)intocmeşte şi menţine la zi o lista in legatura cu cerinţa privind evaluarea impactului asupra protecţiei datelor, in conformitate cu articolul 35 alineatul (4);
l)ofera consiliere cu privire la operaţiunile de prelucrare menţionate la articolul 36 alineatul (2); m)incurajeaza elaborarea de coduri de conduita in conformitate cu articolul 40 alineatul (1), işi da avizul cu privire la acestea şi le aproba pe cele care ofera suficiente garanţii, in conformitate cu articolul 40 alineatul (5);
n)incurajeaza stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi marci in domeniul protecţiei datelor in conformitate cu articolul 42 alineatul (1) şi aproba criteriile de certificare in conformitate cu articolul 42 alineatul (5);
o)acolo unde este cazul, efectueaza o revizuire periodica a certificarilor acordate, in conformitate cu articolul 42 alineatul (7);
p)elaboreaza şi publica cerinţele de acreditare a unui organism de monitorizare a codurilor de conduita
in conformitate cu articolul 41 şi a unui organism de certificare in conformitate cu articolul 43;
(la data 23-mai-2018 Art. 57, alin. (1), litera P. din capitolul VI, sectiunea 2 rectificat de punctul 16. din Rectificare din 23-
mai-2018 )
q)coordoneaza procedura de acreditare a unui organism de monitorizare a codurilor de conduita in conformitate cu articolul 41 şi a unui organism de certificare in conformitate cu articolul 43; r)autorizeaza clauzele şi dispoziţiile contractuale menţionate la articolul 46 alineatul (3);
s)aproba regulile corporatiste obligatorii in conformitate cu articolul 47;
t)contribuie la activitaţile comitetului;
u)menţine la zi evidenţe interne privind incalcarile prezentului regulament şi masurile luate, in special avertismentele emise şi sancţiunile impuse in conformitate cu articolul 58 alineatul (2); şi v)indeplineşte orice alte sarcini legate de protecţia datelor cu caracter personal.
(2)Fiecare autoritate de supraveghere faciliteaza depunerea plângerilor menţionate la alineatul (1) litera (f) prin masuri precum punerea la dispoziţie a unui formular de depunere a plângerii care sa poata fi completat inclusiv in format electronic, fara a exclude alte mijloace de comunicare. (3)Îndeplinirea sarcinilor fiecarei autoritaţi de supraveghere este gratuita pentru persoana vizata şi, dupa caz, pentru responsabilul cu protecţia datelor.
(4)În cazul in care cererile sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxa rezonabila, bazata pe costurile administrative, sau poate refuza sa le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autoritaţii de supraveghere.
Art. 58: Competenţe
(1)Fiecare autoritate de supraveghere are toate urmatoarele competenţe de investigare:
a)de a da dispoziţii operatorului şi persoanei imputernicite de operator şi, dupa caz, reprezentantului operatorului sau al persoanei imputernicite de operator sa furnizeze orice informaţii pe care autoritatea de supraveghere le solicita in vederea indeplinirii sarcinilor sale;
b)de a efectua investigaţii sub forma de audituri privind protecţia datelor;
c)de a efectua o revizuire a certificarilor acordate in temeiul articolului 42 alineatul (7);
d)de a notifica operatorul sau persoana imputernicita de operator cu privire la presupusa incalcare a prezentului regulament;
e)de a obţine, din partea operatorului şi a persoanei imputernicite de operator, accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru indeplinirea sarcinilor sale;
f)de a obţine accesul la oricare dintre incintele operatorului şi ale persoanei imputernicite de operator, inclusiv la orice echipamente şi mijloace de prelucrare a datelor, in conformitate cu dreptul Uniunii sau cu dreptul procesual intern.
(2)Fiecare autoritate de supraveghere are toate urmatoarele competenţe corective:
a)de a emite avertizari in atenţia unui operator sau a unei persoane imputernicite de operator cu privire la posibilitatea ca operaţiunile de prelucrare prevazute sa incalce dispoziţiile prezentului regulament;
b)de a emite avertismente adresate unui operator sau unei persoane imputernicite de operator in cazul
in care operaţiunile de prelucrare au incalcat dispoziţiile prezentului regulament;
(la data 23-mai-2018 Art. 58, alin. (2), litera B. din capitolul VI, sectiunea 2 rectificat de punctul 17. din Rectificare din 23-
mai-2018 )
c)de a da dispoziţii operatorului sau persoanei imputernicite de operator sa respecte cererile persoanei vizate de a-şi exercita drepturile in temeiul prezentului regulament;
d)de a da dispoziţii operatorului sau persoanei imputernicite de operator sa asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentului regulament, specificând, dupa caz, modalitatea şi termenul-limita pentru aceasta;
e)de a obliga operatorul sa informeze persoana vizata cu privire la o incalcare a protecţiei datelor cu caracter personal;
f)de a impune o limitare temporara sau definitiva, inclusiv o interdicţie asupra prelucrarii;
g)de a dispune rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrarii, in temeiul articolelor 16, 17 şi 18, precum şi notificarea acestor acţiuni destinatarilor carora le-au fost divulgate datele cu caracter personal, in conformitate cu articolul 17 alineatul (2) şi cu articolul 19; h)de a retrage o certificare sau de a obliga organismul de certificare sa retraga o certificare eliberata in temeiul articolul 42 şi 43 sau de a obliga organismul de certificare sa nu elibereze o certificare in cazul in care cerinţele de certificare nu sunt sau nu mai sunt indeplinite;
i)de a impune amenzi administrative in conformitate cu articolul 83, in completarea sau in locul masurilor menţionate la prezentul alineat, in funcţie de circumstanţele fiecarui caz in parte;
j)de a dispune suspendarea fluxurilor de date catre un destinatar dintr-o ţara terţa sau catre o organizaţie internaţionala.
(3)Fiecare autoritate de supraveghere are toate urmatoarele competenţe de autorizare şi de consiliere: a)de a oferi consiliere operatorului in conformitate cu procedura de consultare prealabila menţionata la articolul 36;
b)de a emite avize, din proprie iniţiativa sau la cerere, parlamentului naţional, guvernului statului membru sau, in conformitate cu dreptul intern, altor instituţii şi organisme, precum şi publicului, cu privire la orice aspect legat de protecţia datelor cu caracter personal;
c)de a autoriza prelucrarea menţionata la articolul 36 alineatul (5), in cazul in care dreptul statului membru prevede o astfel de autorizare prealabila;
d)de a emite un aviz şi de a aproba proiectele de coduri de conduita, in conformitate cu articolul 40 alineatul (5);
e)de a acredita organismele de certificare in conformitate cu articolul 43;
f)de a emite certificari şi de a aproba criterii de certificare in conformitate cu articolul 42 alineatul (5); g)de a adopta clauzele standard in materie de protecţie a datelor menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d);
h)de a autoriza clauzele contractuale menţionate la articolul 46 alineatul (3) litera (a);
i)de a autoriza acordurile administrative menţionate la articolul 46 alineatul (3) litera (b); şi
j)de a aproba reguli corporatiste obligatorii in conformitate cu articolul 47.
(4)Exercitarea competenţelor conferite autoritaţii de supraveghere in temeiul prezentului articol face obiectul unor garanţii adecvate, inclusiv cai de atac judiciare eficiente şi procese echitabile, prevazute in dreptul Uniunii şi in dreptul intern in conformitate cu carta.
(5)Fiecare stat membru prevede, pe cale legislativa, faptul ca autoritatea sa de supraveghere are competenţa de a aduce in faţa autoritaţilor judiciare cazurile de incalcare a prezentului regulament şi,
dupa caz, de a iniţia sau de a se implica intr-un alt mod in proceduri judiciare, in scopul de a asigura aplicarea dispoziţiilor prezentului regulament.
(6)Fiecare stat membru poate sa prevada in dreptul sau faptul ca autoritatea sa de supraveghere are competenţe suplimentare, in afara celor menţionate la alineatele (1), (2) şi (3). Exercitarea acestor competenţe nu afecteaza modul de operare eficienta a capitolului VII.
Art. 59: Rapoarte de activitate
Fiecare autoritate de supraveghere intocmeşte un raport anual cu privire la activitaţile sale, care poate include o lista a tipurilor de incalcari notificate şi a tipurilor de masuri luate in conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului naţional, guvernului şi altor autoritaţi desemnate prin dreptul intern. Acestea se pun la dispoziţia publicului, a Comisiei şi a comitetului.
CAPITOLUL VII: Cooperare şi coerenţa
Secţiunea 1: Cooperare
Art. 60: Cooperarea dintre autoritatea de supraveghere principala şi celelalte autoritaţi de supraveghere vizate
(1)Autoritatea de supraveghere principala coopereaza cu celelalte autoritaţi de supraveghere vizate, in conformitate cu prezentul articol, in incercarea de a ajunge la un consens. Autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate işi comunica reciproc toate informaţiile relevante. (2)Autoritatea de supraveghere principala poate solicita in orice moment altor autoritaţi de supraveghere vizate sa ofere asistenţa reciproca in temeiul articolului 61 şi poate desfaşura operaţiuni comune in temeiul articolului 62, in special in vederea efectuarii de investigaţii sau a monitorizarii punerii in aplicare a unei masuri referitoare la un operator sau o persoana imputernicita de operator, stabilit(a) in alt stat membru.
(3)Autoritatea de supraveghere principala comunica fara intârziere informaţiile relevante referitoare la aceasta chestiune celorlalte autoritaţi de supraveghere vizate. Autoritatea de supraveghere principala transmite fara intârziere un proiect de decizie celorlalte autoritaţi de supraveghere vizate, pentru a obţine avizul lor, şi ţine seama in mod corespunzator de opiniile acestora.
(4)În cazul in care oricare dintre celelalte autoritaţi de supraveghere vizate exprima, in termen de patru saptamâni dupa ce a fost consultata in conformitate cu alineatul (3) din prezentul articol, o obiecţie relevanta şi motivata la proiectul de decizie, autoritatea de supraveghere principala, in cazul in care nu da curs obiecţiei relevante şi motivate sau considera ca obiecţia nu este relevanta sau motivata, sesizeaza mecanismul pentru asigurarea coerenţei menţionat la articolul 63.
(5)În cazul in care intenţioneaza sa dea curs obiecţiei relevante şi motivate formulate, autoritatea de supraveghere principala transmite celorlalte autoritaţi de supraveghere vizate un proiect revizuit de decizie pentru a obţine avizul acestora. Acest proiect revizuit de decizie face obiectul procedurii menţionate la alineatul (4) pe parcursul unei perioade de doua saptamâni.
(6)În cazul in care niciuna dintre celelalte autoritaţi de supraveghere vizate nu a formulat obiecţii la proiectul de decizie transmis de autoritatea de supraveghere principala in termenul menţionat la alineatele (4) şi (5), se considera ca autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine obligatoriu pentru acestea.
(7)Autoritatea de supraveghere principala adopta decizia şi o notifica sediului principal sau sediului unic al operatorului sau al persoanei imputernicite de operator, dupa caz, şi informeaza celelalte autoritaţi de supraveghere vizate şi comitetul cu privire la decizia in cauza, incluzând un rezumat al elementelor şi motivelor relevante. Autoritatea de supraveghere la care a fost depusa plângerea informeaza reclamantul cu privire la decizie.
(8)Prin derogare de la alineatul (7), in cazul in care o plângere este refuzata sau respinsa, autoritatea de supraveghere la care s-a depus plângerea adopta decizia, o notifica reclamantului şi informeaza operatorul cu privire la acest lucru.
(9)În cazul in care autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate sunt de acord sa refuze sau sa respinga anumite parţi ale unei plângeri şi sa dea curs altor parţi ale plângerii respective, se adopta o decizie separata pentru fiecare dintre aceste parţi. Autoritatea de supraveghere principala adopta decizia pentru partea care vizeaza acţiunile referitoare la operator, o notifica sediului
principal sau sediului unic al operatorului sau al persoanei imputernicite de operator de pe teritoriul statului membru in cauza şi informeaza reclamantul cu privire la acest lucru, in timp ce autoritatea de supraveghere a reclamantului adopta decizia pentru partea care vizeaza refuzarea sau respingerea plângerii respective, o notifica reclamantului şi informeaza operatorul sau persoana imputernicita de operator cu privire la acest lucru.
(10)În urma notificarii deciziei autoritaţii de supraveghere principale in temeiul alineatelor (7) şi (9), operatorul sau persoana imputernicita de operator ia masurile necesare pentru a se asigura ca activitaţile de prelucrare sunt in conformitate cu decizia in toate sediile sale din Uniune. Operatorul sau persoana imputernicita de operator notifica masurile luate in vederea respectarii deciziei autoritaţii de supraveghere principale, care informeaza celelalte autoritaţi de supraveghere vizate.
(11)În cazul in care, in circumstanţe excepţionale, o autoritate de supraveghere vizata are motive sa considere ca exista o nevoie urgenta de a acţiona in vederea protejarii intereselor persoanelor vizate, se aplica procedura de urgenţa prevazuta la articolul 66.
(12)Autoritatea de supraveghere principala şi celelalte autoritaţi de supraveghere vizate işi furnizeaza reciproc informaţiile solicitate in temeiul prezentului articol, pe cale electronica, utilizând un formular standard.
Art. 61: Asistenţa reciproca
(1)Autoritaţile de supraveghere işi furnizeaza reciproc informaţii relevante şi asistenţa pentru a pune in aplicare prezentul regulament in mod coerent şi instituie masuri de cooperare eficace intre ele. Asistenţa reciproca se refera, in special, la cereri de informaţii şi masuri de supraveghere, cum ar fi cereri privind autorizari şi consultari prealabile, inspecţii şi investigaţii.
(2)Fiecare autoritate de supraveghere ia toate masurile corespunzatoare necesare pentru a raspunde unei cererii a unei alte autoritaţi de supraveghere, fara intârzieri nejustificate şi cel târziu in termen de o luna de la data primirii cererii. Aceste masuri pot include, in special, transmiterea informaţiilor relevante privind desfaşurarea unei investigaţii.
(3)Cererile de asistenţa cuprind toate informaţiile necesare, inclusiv scopul cererii şi motivele care stau la baza acesteia. Informaţiile care fac obiectul schimbului se utilizeaza numai in scopul in care au fost solicitate.
(4)Autoritatea de supraveghere solicitata nu poate refuza sa dea curs cererii, cu excepţia cazului in care:
a)nu are competenţa privind obiectul cererii sau masurile pe care este solicitata sa le execute; sau
b)a da curs cererii ar incalca prezentul regulament sau dreptul Uniunii sau dreptului intern sub incidenţa caruia intra autoritatea de supraveghere care a primit cererea.
(5)Autoritatea de supraveghere careia i s-a adresat cererea informeaza autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, dupa caz, la progresele inregistrate ori masurile intreprinse pentru a raspunde cererii. Autoritatea de supraveghere solicitata işi motiveaza fiecare refuz de a da curs cererii in temeiul alineatului (4).
(6)Ca regula, autoritaţile de supraveghere solicitate furnizeaza informaţiile solicitate de alte autoritaţi de supraveghere pe cale electronica, utilizând un formular standard.
(7)Autoritaţile de supraveghere solicitate nu percep nicio taxa pentru acţiunile intreprinse de acestea in temeiul unei cereri de asistenţa reciproca. Autoritaţile de supraveghere pot conveni asupra unor norme privind retribuţiile reciproce in cazul unor cheltuieli specifice rezultate in urma acordarii de asistenţa reciproca in situaţii excepţionale.
(8)În cazul in care o autoritate de supraveghere nu furnizeaza informaţiile menţionate la alineatul (5) din prezentul articol in termen de o luna de la primirea cererii din partea altei autoritaţi de supraveghere, aceasta din urma poate adopta o masura provizorie pe teritoriul propriului stat membru, in conformitate cu articolul 55 alineatul (1). În acest caz, necesitatea urgenta de a acţiona in temeiul articolului 66 alineatul (1) este considerata a fi indeplinita şi necesita o decizie obligatorie urgenta din partea comitetului, in conformitate cu articolul 66 alineatul (2).
(9)Comisia, printr-un act de punere in aplicare, poate specifica forma şi procedurile pentru asistenţa reciproca menţionata in prezentul articol, precum şi modalitaţile de schimb de informaţii pe cale electronica intre autoritaţile de supraveghere şi intre autoritaţile de supraveghere şi comitet, in special
formularul standard menţionat la alineatul (6) din prezentul articol. Actele de punere in aplicare respective sunt adoptate in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
Art. 62: Operaţiuni comune ale autoritaţilor de supraveghere
(1)Dupa caz, autoritaţile de supraveghere desfaşoara operaţiuni comune, inclusiv investigaţii comune şi masuri comune de aplicare a legii, in care sunt implicaţi membri sau personal din autoritaţile de supraveghere ale altor state membre.
(2)În cazul in care operatorul sau persoana imputernicita de operator deţine sedii in mai multe state membre sau daca un numar semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate in mod semnificativ de operaţiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la operaţiunile comune. Autoritatea de supraveghere care este competenta in conformitate cu articolul 56 alineatul (1) sau alineatul (4) invita autoritaţile de supraveghere din fiecare dintre aceste state membre sa ia parte la operaţiunile comune respective şi raspunde fara intârziere la cererea de participare a unei autoritaţi de supraveghere.
(3)O autoritate de supraveghere poate, in conformitate cu dreptul intern şi cu acordul autoritaţii de supraveghere din statul membru de origine, sa acorde competenţe, inclusiv competenţe de investigare, membrilor sau personalului autoritaţii de supraveghere din statul membru de origine implicaţi in operaţiuni comune sau, in masura in care dreptul statului membru al autoritaţii de supraveghere din statul membru de primire permite acest lucru, poate autoriza membrii sau personalul autoritaţii de supraveghere din statul membru de origine sa işi exercite competenţele de investigare in conformitate cu dreptul statului membru al acestei din urma autoritaţi. Astfel de competenţe de investigare pot fi exercitate doar sub coordonarea şi in prezenţa membrilor sau personalului autoritaţii de supraveghere din statul membru de primire. Membrii sau personalul autoritaţii de supraveghere din statul membru de origine sunt supuşi dreptului intern sub incidenţa caruia intra autoritatea de supraveghere din statul membru de primire.
(4)În cazul in care, in conformitate cu alineatul (1), personalul unei autoritaţi de supraveghere din statul membru de origine işi desfaşoara activitatea intr-un alt stat membru, statul membru de primire işi asuma responsabilitatea pentru acţiunile personalului respectiv, inclusiv raspunderea pentru eventualele prejudicii cauzate de membrii personalului respectiv in cursul operaţiunilor acestora, in conformitate cu dreptul statului membru pe teritoriul caruia işi desfaşoara operaţiunile.
(5)Statul membru pe teritoriul caruia s-au produs prejudiciile repara aceste prejudicii in condiţiile aplicabile prejudiciilor cauzate de propriul sau personal. Statul membru de origine al autoritaţii de supraveghere al carei personal a cauzat prejudicii unei persoane de pe teritoriul unui alt stat membru ramburseaza acestui alt stat membru totalitatea sumelor pe care le-a platit persoanelor indreptaţite in numele acestora.
(6)Fara a aduce atingere exercitarii drepturilor sale faţa de terţe parţi şi cu excepţia alineatului (5), fiecare stat membru se abţine, in cazul prevazut la alineatul (1), de la a pretinde de la un alt stat membru rambursarea despagubirilor pentru prejudiciile menţionate la alineatul (4).
(7)În cazul in care este planificata o operaţiune comuna, iar o autoritate de supraveghere nu se conformeaza, in termen de o luna, obligaţiei prevazute in a doua teza a alineatului (2) din prezentul articol, celelalte autoritaţi de supraveghere pot adopta o masura provizorie pe teritoriul statului membru al respectivei autoritaţi, in conformitate cu articolul 55. În acest caz, necesitatea urgenta de a acţiona in temeiul articolului 66 alineatul (1) este considerata a fi indeplinita şi necesita un aviz de urgenţa sau o decizie obligatorie urgenta din partea comitetului, in conformitate cu articolul 66 alineatul (2).
Secţiunea 2: Asigurarea coerenţei
Art. 63: Mecanismul pentru asigurarea coerenţei
Pentru a contribui la aplicarea coerenta a prezentului regulament in intreaga Uniune, autoritaţile de supraveghere coopereaza intre ele şi, dupa caz, cu Comisia prin mecanismul pentru asigurarea coerenţei, astfel cum se prevede in prezenta secţiune.
Art. 64: Avizul comitetului
(1)Comitetul emite un aviz de fiecare data când o autoritate de supraveghere competenta intenţioneaza sa adopte oricare dintre masurile de mai jos. În acest scop, autoritatea de supraveghere competenta comunica proiectul de decizie comitetului, atunci când:
a)vizeaza adoptarea unei liste de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluari a impactului asupra protecţiei datelor, in conformitate cu articolul 35 alineatul (4);
b)in conformitate cu articolul 40 alineatul (7), se refera la conformitatea cu prezentul regulament a unui proiect de cod de conduita sau a unei modificari sau extinderi a unui cod de conduita;
c)vizeaza aprobarea cerinţelor pentru acreditarea unui organism in conformitate cu articolul 41
alineatul (3), a unui organism de certificare in conformitate cu articolul 43 alineatul (3) sau a criteriilor
de certificare menţionate la articolul 42 alineatul (5);
(la data 23-mai-2018 Art. 64, alin. (1), litera C. din capitolul
VII, sectiunea 2 rectificat de punctul 18. din Rectificare din
23-mai-2018 )
d)vizeaza determinarea clauzelor standard in materie de protecţie a datelor menţionate la articolul 46 alineatul (2) litera (d) sau la articolul 28 alineatul (8);
e)vizeaza autorizarea clauzelor contractuale menţionate la articolul 46 alineatul (3) litera (a); sau f)vizeaza aprobarea regulilor corporatiste obligatorii in sensul articolului 47.
(2)Orice autoritate de supraveghere, preşedintele comitetului sau Comisia poate solicita ca orice chestiune de aplicare generala sau care produce efecte in mai mult de un stat membru sa fie examinata de comitet in vederea obţinerii unui aviz, in special in cazul in care o autoritate de supraveghere competenta nu respecta obligaţiile privind asistenţa reciproca in conformitate cu articolul 61 sau privind operaţiunile comune in conformitate cu articolul 62.
(3)În cazurile menţionate la alineatele (1) şi (2), comitetul emite un aviz cu privire la chestiunea care ii este prezentata, cu condiţia sa nu fi emis deja un aviz cu privire la aceeaşi chestiune. Avizul respectiv este adoptat in termen de opt saptamâni cu majoritatea simpla a membrilor comitetului. Aceasta perioada poate fi prelungita cu şase saptamâni, ţinându-se seama de complexitatea chestiunii. În ceea ce priveşte proiectul de decizie menţionat la alineatul (1) transmis membrilor comitetului in conformitate cu alineatul (5), un membru care nu a emis obiecţii intr-un termen rezonabil indicat de preşedinte se considera a fi de acord cu proiectul de decizie.
(4)Autoritaţile de supraveghere şi Comisia comunica pe cale electronica comitetului, fara intârzieri nejustificate, printr-un formular standard, orice informaţie relevanta, inclusiv, dupa caz, o sinteza a faptelor, proiectul de decizie, motivele care fac necesara adoptarea unei astfel de masuri, precum şi opiniile altor autoritaţi de supraveghere vizate.
(5)Preşedintele comitetului informeaza pe cale electronica, fara intârzieri nejustificate:
a)membrii comitetului şi Comisia cu privire la orice informaţie relevanta care i-a fost comunicata, utilizând un formular standard. Secretariatul comitetului furnizeaza traduceri ale informaţiilor relevante, acolo unde este necesar; şi
b)autoritatea de supraveghere menţionata, dupa caz, la alineatele (1) şi (2), şi Comisia cu privire la aviz şi il publica.
(6)Autoritatea de supraveghere competenta menţionata la alineatul (1) nu işi adopta proiectul de
decizie menţionat la alineatul (1) in termenul menţionat la alineatul (3).
(la data 23-mai-2018 Art. 64, alin. (6) din capitolul VII, sectiunea 2 rectificat de pu
(7)Autoritatea de supraveghere competenta menţionata la alineatul (1) ţine seama pe deplin de avizul
nctul 19. din Rectificare din 23-mai-
2018 )
comitetului şi comunica pe cale electronica preşedintelui comitetului, in termen de doua saptamâni de la primirea avizului, daca işi va pastra sau işi va modifica proiectul de decizie şi, daca este cazul,
transmite proiectul de decizie modificat, utilizând un formular standard.
(la data 23-mai-2018 Art. 64, alin. (7) din capitolul VII, sectiunea 2 rectificat de pu
(8)În cazul in care autoritatea de supraveghere competenta menţionata la alineatul (1) informeaza preşedintele comitetului, in termenul menţionat la alineatul (7) din prezentul articol, ca intenţioneaza sa nu se conformeze avizului comitetului, integral sau parţial, oferind motivele relevante, se aplica articolul
nctul 19. din Rectificare din 23-mai-
2018 )
65 alineatul (1).
(la data 23-mai-2018 Art. 64, alin. (8) din capitolul VII, sectiunea 2 rectificat de punctul 19. din Rectificare din 23-mai- 2018 )
Art. 65: Soluţionarea litigiilor de catre comitet
(1)Pentru a asigura aplicarea corecta şi coerenta a prezentului regulament in cazuri individuale, comitetul adopta o decizie obligatorie in urmatoarele cazuri:
a)atunci când, in unul dintre cazurile menţionate la articolul 60 alineatul (4), o autoritate de supraveghere vizata a formulat o obiecţie relevanta şi motivata la un proiect de decizie a autoritaţii de
supraveghere principale şi autoritatea de supraveghere principala nu a dat curs obiecţiei sau a respins o astfel de obiecţie ca nefiind relevanta sau motivata. Decizia obligatorie se refera la toate chestiunile vizate de obiecţia relevanta şi motivata, in special la chestiunea daca prezentul regulament a fost
incalcat;
(la data
23-mai-2018 Art. 65, alin. (1), litera A. din capitolul VII, sectiunea 2 rectificat de punctul 20. din Rectificare din 23-mai-2018 )
b)in cazul in care exista opinii divergente cu privire la care dintre autoritaţile de supraveghere vizate deţine competenţa pentru sediul principal;
c)in cazul in care o autoritate de supraveghere competenta nu solicita avizul comitetului in cazurile menţionate la articolul 64 alineatul (1) sau nu ţine seama de avizul comitetului emis in temeiul articolului 64. În acest caz, orice autoritate de supraveghere vizata sau Comisia poate comunica chestiunea comitetului.
(2)Decizia menţionata la alineatul (1) se adopta in termen de o luna de la prezentarea chestiunii, cu o majoritate de doua treimi a membrilor comitetului. Acest termen poate fi prelungit cu o luna, ţinându- se seama de complexitatea chestiunii. Decizia menţionata la alineatul (1) se motiveaza şi se adreseaza autoritaţii de supraveghere principale şi tuturor autoritaţilor de supraveghere vizate, fiind obligatorie pentru acestea.
(3)În cazul in care comitetul nu a fost in masura sa adopte o decizie in termenele menţionate la alineatul (2), acesta işi adopta decizia in termen de doua saptamâni de la data expirarii celei de a doua luni menţionate la alineatul (2), cu o majoritate simpla a membrilor sai. În cazul in care membrii comitetului au opinii divergente in proporţii egale, decizia se adopta prin votul preşedintelui. (4)Autoritaţile de supraveghere vizate nu adopta o decizie asupra chestiunii prezentate comitetului in conformitate cu alineatul (1) in termenele menţionate la alineatele (2) şi (3).
(5)Preşedintele comitetului notifica, fara intârzieri nejustificate, decizia menţionata la alineatul (1) autoritaţilor de supraveghere vizate. Comitetul informeaza Comisia cu privire la acest lucru. Decizia se publica pe site-ul comitetului, fara intârziere, dupa notificarea de catre autoritatea de supraveghere a deciziei finale menţionate la alineatul (6).
(6)Autoritatea de supraveghere principala sau, daca este cazul, autoritatea de supraveghere la care s- a depus plângerea işi adopta decizia finala pe baza deciziei menţionate la alineatul (1) din prezentul articol, fara intârziere nejustificata şi in termen de cel mult o luna de la notificarea de catre comitet a deciziei sale. Autoritatea de supraveghere principala sau, daca este cazul, autoritatea de supraveghere la care s-a depus plângerea informeaza comitetul cu privire la data la care decizia sa finala este notificata operatorului sau persoanei imputernicite de operator şi, respectiv, persoanei vizate. Decizia finala a autoritaţilor de supraveghere vizate se adopta in conformitate cu condiţiile prevazute la articolul 60 alineatele (7), (8) şi (9). Decizia finala se refera la decizia menţionata la alineatul (1) din prezentul articol şi precizeaza faptul ca decizia menţionata la respectivul alineat va fi publicata pe site- ul al comitetului, in conformitate cu alineatul (5). La decizia finala se anexeaza decizia menţionata la alineatul (1) din prezentul articol.
Art. 66: Procedura de urgenţa
(1)În circumstanţe excepţionale, atunci când o autoritate de supraveghere vizata considera ca exista o necesitate urgenta de a acţiona in scopul protejarii drepturilor şi libertaţilor persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coerenţei menţionat la articolele 63, 64 şi 65 sau de la procedura menţionata la articolul 60, sa adopte de indata masuri provizorii menite sa produca efecte juridice pe propriul sau teritoriu, cu o perioada de valabilitate determinata, care sa nu depaşeasca trei luni. Autoritatea de supraveghere comunica fara intârziere aceste masuri şi motivele adoptarii lor celorlalte autoritaţi de supraveghere vizate, comitetului şi Comisiei.
(2)În cazul in care o autoritate de supraveghere a adoptat o masura in temeiul alineatului (1) şi considera ca este necesara adoptarea de urgenţa a unor masuri definitive, aceasta poate solicita un aviz de urgenţa sau o decizie obligatorie urgenta din partea comitetului, indicând motivele pentru aceasta solicitare.
(3)Orice autoritate de supraveghere poate solicita un aviz de urgenţa sau o decizie obligatorie urgenta, dupa caz, din partea comitetului in cazul in care o autoritate de supraveghere competenta nu a luat o masura adecvata intr-o situaţie in care exista o necesitate urgenta de a acţiona pentru a proteja drepturile şi libertaţile persoanelor vizate, indicând motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv pentru necesitatea urgenta de a acţiona.
(4)Prin derogare de la articolul 64 alineatul (3) şi de la articolul 65 alineatul (2), un aviz de urgenţa sau o decizie obligatorie urgenta menţionat(a) la alineatele (2) şi (3) de la prezentul articol este adoptat(a) in termen de doua saptamâni cu majoritate simpla a membrilor comitetului.
Art. 67: Schimb de informaţii
Comisia poate adopta acte de punere in aplicare cu un domeniu de aplicare general pentru a defini modalitaţile de realizare a schimbului electronic de informaţii intre autoritaţile de supraveghere, precum şi intre autoritaţile de supraveghere şi comitet, in special formularul standard menţionat la articolul 64. Actele de punere in aplicare respective sunt adoptate in conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
Secţiunea 3: Comitetul european pentru protecţia datelor
Art. 68: Comitetul european pentru protecţia datelor
(1)Comitetul european pentru protecţia datelor („comitetul”) este instituit ca organ al Uniunii şi are personalitate juridica.
(2)Comitetul este reprezentat de preşedintele sau.
(3)Comitetul este alcatuit din şeful unei autoritaţi de supraveghere din fiecare stat membru şi din Autoritatea Europeana pentru Protecţia Datelor sau reprezentanţii respectivi ai acestora.
(4)În cazul in care intr-un stat membru mai multe autoritaţi de supraveghere sunt responsabile de monitorizarea aplicarii dispoziţiilor adoptate in temeiul prezentului regulament, se numeşte un reprezentant comun in conformitate cu dreptul intern al statului membru respectiv.
(5)Comisia are dreptul de a participa la activitaţile şi reuniunile comitetului fara a avea drept de vot. Comisia numeşte un reprezentant. Preşedintele comitetului comunica Comisiei activitaţile comitetului. (6)În cazurile menţionate la articolul 65, Autoritatea Europeana pentru Protecţia Datelor deţine drept de vot numai cu privire la deciziile care privesc principiile şi normele aplicabile in ceea ce priveşte instituţiile, organismele, oficiile şi agenţiile Uniunii care corespund pe fond cu cele din prezentul regulament.
Art. 69: Independenţa
(1)Comitetul acţioneaza independent in indeplinirea sarcinilor sale sau in exercitarea competenţelor sale in conformitate cu articolele 70 şi 71.
(2)Fara a aduce atingere solicitarilor din partea Comisiei menţionate la articolul 70 alineatele (1) şi (2), comitetul, in indeplinirea sarcinilor sale sau in exercitarea competenţelor sale, nu solicita şi nu accepta
instrucţiuni de la nicio parte externa.
(la data 23-mai-2018 Art. 69, alin. (2) din
capitolul VII, sectiunea 3 rectificat de punctul 21. din Rectificare din 23-mai-
2018 )
Art. 70: Sarcinile comitetului
(1)Comitetul asigura aplicarea coerenta a prezentului regulament. În acest scop, din proprie iniţiativa sau, dupa caz, la solicitarea Comisiei, comitetul are, in special, urmatoarele sarcini:
a)sa monitorizeze şi sa asigure aplicarea corecta a prezentului regulament, in cazurile prevazute la articolele 64 şi 65, fara a aduce atingere sarcinilor autoritaţilor naţionale de supraveghere;
b)sa ofere consiliere Comisiei cu privire la orice aspect legat de protecţia datelor cu caracter personal in cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;
c)sa ofere consiliere Comisiei cu privire la formatul şi procedurile pentru schimbul de informaţii intre operatori, persoanele imputernicite de operatori şi autoritaţile de supraveghere pentru regulile corporatiste obligatorii;
d)sa emita orientari, recomandari şi bune practici privind procedurile de ştergere a linkurilor catre datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicaţii accesibile publicului, astfel cum se menţioneaza la articolul 17 alineatul (2);
e)sa examineze, din proprie iniţiativa, la cererea unuia dintre membrii sai sau la cererea Comisiei, orice chestiune referitoare la aplicarea prezentului regulament şi sa emita orientari, recomandari şi bune practici pentru a incuraja aplicarea coerenta a prezentului regulament;
f)sa emita orientari, recomandari şi bune practici in conformitate cu prezentul alineat litera (e) in vederea detalierii criteriilor şi condiţiilor pentru deciziile bazate pe crearea de profiluri menţionate la articolul 22 alineatul (2);
g)sa emita orientari, recomandari şi bune practici in conformitate cu litera (e) din prezentul alineat pentru stabilirea incalcarii securitaţii datelor cu caracter personal şi stabilirii intârzierilor nejustificate menţionate la articolul 33 alineatele (1) şi (2), precum şi pentru circumstanţele speciale in care un operator sau o persoana imputernicita de catre operator are obligaţia de a notifica incalcarea securitaţii datelor cu caracter personal;
h)sa emita orientari, recomandari şi bune practici in conformitate cu litera (e) din prezentul alineat in ceea ce priveşte circumstanţele in care o incalcare a securitaţii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, menţionate la articolul 34 alineatul (1);
i)sa emita orientari, recomandari şi bune practici in conformitate cu litera (e) din prezentul alineat in scopul detalierii criteriilor şi cerinţelor aplicabile transferurilor de date cu caracter personal bazate pe regulile corporatiste obligatorii care trebuie respectate de operatori şi cele care trebuie respectate de persoanele imputernicite de operatori, precum şi cu privire la cerinţe suplimentare necesare pentru a asigura protecţia datelor cu caracter personal ale persoanelor vizate menţionate la articolul 47;
j)sa emita orientari, recomandari şi bune practici in conformitate cu litera (e) din prezentul alineat in vederea detalierii criteriilor şi cerinţelor pentru transferurile de date cu caracter personal menţionate la articolul 49 alineatul (1);
k)sa elaboreze orientari destinate autoritaţilor de supraveghere, referitoare la aplicarea masurilor menţionate la articolul 58 alineatele (1), (2) şi (3) şi sa stabileasca amenzile administrative in conformitate cu articolul 83;
l 22. din Rectificare din
23-mai-2018 )
m)sa emita orientari, recomandari şi bune practici in conformitate cu litera (e) din prezentul alineat in vederea stabilirii procedurilor comune de raportare de catre persoanele fizice a incalcarilor prezentului regulament in conformitate cu articolul 54 alineatul (2);
n)sa incurajeze elaborarea de coduri de conduita şi stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi marci in domeniul protecţiei datelor, in conformitate cu articolele 40 şi 42;
l)sa revizuiasca aplicarea practica a orientarilor, recomandarilor şi bunelor practici; (la data 23-mai-2018 Art. 70, alin. (1), litera L. din capitolul VII, sectiunea 3 rectificat de punctu
o)sa aprobe criteriile de certificare in temeiul articolului 42 alineatul (5) şi sa ţina un registru public al
mecanismelor de certificare şi al sigiliilor şi marcilor in materie de protecţie a datelor, in temeiul articolului 42 alineatul (8), şi al operatorilor certificaţi sau al persoanelor imputernicite de operatori
certificate, stabiliţi (stabilite) in ţari terţe, in temeiul articolului 42 alineatul (7);
(la data 23-mai-2018 Art. 70, alin. (1), litera O. din capitolul VII, sectiunea 3 rectificat de p
unctul 23. din Rectificare din
23-mai-2018 )
p)sa aprobe cerinţele menţionate la articolul 43 alineatul (3), in vederea acreditarii organismelor de
certificare menţionate la articolul 43;
(la data 23-mai-2018 Art. 70, alin. (1), lite
ra P. din capitolul VII, sectiunea 3 rectificat de punctul 24. din Rectificare din
23-mai-2018 )
q)sa prezinte Comisiei un aviz privind cerinţele de certificare menţionate la articolul 43 alineatul (8); r)sa prezinte Comisiei un aviz privind pictogramele menţionate la articolul 12 alineatul (7);
s)sa prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protecţie intr-o ţara terţa sau o organizaţie internaţionala, inclusiv pentru a determina daca o ţara terţa, un teritoriu, sau unul sau mai multe sectoare specificate din acea ţara terţa, sau o organizaţie internaţionala nu mai asigura un nivel de protecţie adecvat. În acest scop, Comisia pune la dispoziţia comitetului toata
documentaţia necesara, inclusiv corespondenţa purtata cu autoritaţile publice ale ţarii terţe, in ceea ce priveşte acea ţara terţa, acel teritoriu sau acel sector, sau cu organizaţia internaţionala;
t)sa emita avize privind proiectele de decizii ale autoritaţilor de supraveghere in conformitate cu mecanismul pentru asigurarea coerenţei menţionat la articolul 64 alineatul (1) privind chestiunile prezentate in conformitate cu articolul 64 alineatul (2) şi sa emita decizii obligatorii in temeiul articolului 65, inclusiv in cazurile menţionate la articolul 66;
u)sa promoveze cooperarea şi schimbul eficient bilateral şi multilateral de informaţii şi bune practici intre autoritaţile de supraveghere;
v)sa promoveze programe comune de formare şi sa faciliteze schimburile de personal intre autoritaţile de supraveghere, precum şi, dupa caz, cu autoritaţile de supraveghere ale ţarilor terţe sau organizaţiilor internaţionale;
w)sa promoveze schimbul de cunoştinţe şi de documente privind legislaţia şi practicile in materie de protecţie a datelor cu autoritaţile de supraveghere a protecţiei datelor la nivel mondial;
x)sa emita avize privind codurile de conduita elaborate la nivelul Uniunii in temeiul articolului 40 alineatul (9); şi
y)sa ţina un registru electronic accesibil publicului cu deciziile luate de autoritaţile de supraveghere şi de instanţe cu privire la chestiuni tratate in cadrul mecanismului pentru asigurarea coerenţei.
(2)În cazul in care Comisia consulta comitetul, aceasta poate indica un termen limita, ţinând seama de caracterul urgent al chestiunii.
(3)Comitetul işi transmite avizele, orientarile, recomandarile şi bunele practici Comisiei şi comitetului menţionat la articolul 93 şi le face publice.
(4)Daca este cazul, comitetul consulta parţile interesate şi le ofera posibilitatea de a face observaţii intr-un termen rezonabil. Fara a aduce atingere dispoziţiilor articolului 76, comitetul publica rezultatele procedurii de consultare.
Art. 71: Rapoarte
(1)Comitetul intocmeşte un raport anual privind protecţia persoanelor fizice cu privire la prelucrare in Uniune şi, daca este relevant, in ţari terţe şi organizaţii internaţionale. Raportul este pus la dispoziţia publicului şi transmis Parlamentului European, Consiliului şi Comisiei.
(2)Raportul anual include o revizuire a aplicarii practice a orientarilor, recomandarilor şi bunelor practici menţionate la articolul 70 alineatul (1) litera (l), precum şi a deciziilor obligatorii menţionate la articolul 65.
Art. 72: Procedura
(1)Comitetul adopta decizii prin majoritate simpla a membrilor sai, cu excepţia cazului când se prevede altfel in prezentul regulament.
(2)Comitetul işi adopta propriul regulament de procedura cu o majoritate de doua treimi a membrilor sai şi işi organizeaza propriile mecanisme de funcţionare.
Art. 73: Preşedintele
(1)Comitetul alege un preşedinte şi doi vicepreşedinţi din rândul membrilor sai, cu majoritate simpla. (2)Mandatul preşedintelui şi al vicepreşedinţilor este de cinci ani şi poate fi reinnoit o singura data.
Art. 74: Sarcinile preşedintelui
(1)Preşedintele are urmatoarele sarcini:
a)sa convoace reuniunile comitetului şi sa stabileasca ordinea de zi;
b)sa notifice deciziile adoptate de comitet, in conformitate cu articolul 65, autoritaţii de supraveghere principale şi autoritaţilor de supraveghere vizate;
c)sa asigure indeplinirea la timp a sarcinilor comitetului, in special in ceea ce priveşte mecanismul pentru asigurarea coerenţei menţionat la articolul 63.
(2)Comitetul stabileşte in regulamentul sau de procedura repartizarea sarcinilor intre preşedinte şi vicepreşedinţi.
Art. 75: Secretariatul
(1)Comitetul dispune de un secretariat, care este asigurat de Autoritatea Europeana pentru Protecţia Datelor.
(2)Secretariatul işi indeplineşte sarcinile exclusiv pe baza instrucţiunilor preşedintelui comitetului.
(3)Personalul Autoritaţii Europene pentru Protecţia Datelor implicat in indeplinirea sarcinilor conferite comitetului in temeiul prezentului regulament face obiectul unor linii de raportare separate in raport cu personalul implicat in indeplinirea sarcinilor conferite Autoritaţii Europene pentru Protecţia Datelor. (4)Daca este oportun, comitetul şi Autoritatea Europeana pentru Protecţia Datelor elaboreaza şi publica un memorandum de inţelegere pentru punerea in aplicare a prezentului articol, care sa stabileasca condiţiile cooperarii şi sa se aplice personalului Autoritaţii Europene pentru Protecţia Datelor implicat in indeplinirea sarcinilor conferite comitetului in temeiul prezentului regulament. (5)Secretariatul ofera sprijin analitic, administrativ şi logistic comitetului.
(6)Secretariatul este responsabil in special de urmatoarele:
a)gestionarea curenta a activitaţii comitetului;
b)comunicarea dintre membrii comitetului, preşedintele acestuia şi Comisie;
c)comunicarea cu alte instituţii şi cu publicul;
d)utilizarea mijloacelor electronice pentru comunicarea interna şi externa;
e)traducerea informaţiilor relevante;
f)pregatirea şi monitorizarea acţiunilor ulterioare reuniunilor comitetului;
g)pregatirea, redactarea şi publicarea avizelor, deciziilor privind soluţionarea litigiilor dintre autoritaţile de supraveghere şi a altor texte adoptate de comitet.
Art. 76: Confidenţialitate
(1)Discuţiile din cadrul comitetului sunt confidenţiale in cazul in care comitetul considera ca acest lucru este necesar in conformitate cu regulamentul sau de procedura.
(2)Accesul la documentele prezentate membrilor comitetului, experţilor şi reprezentanţilor parţilor terţe este reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului (1).
(1)Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului şi ale Comisiei (JO L 145, 31.5.2001, p. 43).
CAPITOLUL VIII: Cai de atac, raspundere şi sancţiuni
Art. 77: Dreptul de a depune o plângere la o autoritate de supraveghere
(1)Fara a aduce atingere oricaror alte cai de atac administrative sau judiciare, orice persoana vizata are dreptul de a depune o plângere la o autoritate de supraveghere, in special in statul membru in care işi are reşedinţa obişnuita, in care se afla locul sau de munca sau in care a avut loc presupusa incalcare, in cazul in care considera ca prelucrarea datelor cu caracter personal care o vizeaza incalca prezentul regulament.
(2)Autoritatea de supraveghere la care s-a depus plângerea informeaza reclamantul cu privire la evoluţia şi rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciara in temeiul articolului 78.
Art. 78: Dreptul la o cale de atac judiciara eficienta impotriva unei autoritaţi de supraveghere
(1)Fara a aduce atingere oricaror alte cai de atac administrative sau nejudiciare, fiecare persoana fizica sau juridica are dreptul de a exercita o cale de atac judiciara eficienta impotriva unei decizii obligatorii din punct de vedere juridic a unei autoritaţi de supraveghere care o vizeaza.
(2)Fara a aduce atingere oricaror alte cai de atac administrative sau nejudiciare, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta in cazul in care autoritatea de supraveghere care este competenta in temeiul articolelor 55 şi 56 nu trateaza o plângere sau nu informeaza persoana vizata in termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse in temeiul articolului 77.
(3)Acţiunile introduse impotriva unei autoritaţi de supraveghere sunt aduse in faţa instanţelor din statul membru in care este stabilita autoritatea de supraveghere.
(4)În cazul in care acţiunile sunt introduse impotriva unei decizii a unei autoritaţi de supraveghere care a fost precedata de un aviz sau o decizie a comitetului in cadrul mecanismului pentru asigurarea coerenţei, autoritatea de supraveghere transmite curţii avizul respectiv sau decizia respectiva.
Art. 79: Dreptul la o cale de atac judiciara eficienta impotriva unui operator sau unei persoane imputernicite de operator
(1)Fara a aduce atingere vreunei cai de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere in temeiul articolului 77, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta in cazul in care considera ca drepturile de care beneficiaza in temeiul prezentului regulament au fost incalcate ca urmare a prelucrarii datelor sale cu caracter personal fara a se respecta prezentul regulament.
(2)Acţiunile introduse impotriva unui operator sau unei persoane imputernicite de operator sunt prezentate in faţa instanţelor din statul membru unde operatorul sau persoana imputernicita de operator işi are un sediu. Alternativ, o astfel de acţiune poate fi prezentata in faţa instanţelor din statul membru in care persoana vizata işi are reşedinţa obişnuita, cu excepţia cazului in care operatorul sau persoana imputernicita de operator este o autoritate publica a unui stat membru ce acţioneaza in exercitarea competenţelor sale publice.
Art. 80: Reprezentarea persoanelor vizate
(1)Persoana vizata are dreptul de a mandata un organism, o organizaţie sau o asociaţie fara scop lucrativ, care au fost constituite in mod corespunzator in conformitate cu dreptul intern, ale caror obiective statutare sunt de interes public, care sunt active in domeniul protecţiei drepturilor şi libertaţilor persoanelor vizate in ceea ce priveşte protecţia datelor lor cu caracter personal, sa depuna plângerea in numele sau, sa exercite in numele sau drepturile menţionate la articolele 77, 78 şi 79, precum şi sa exercite dreptul de a primi despagubiri menţionat la articolul 82 in numele persoanei vizate, daca acest lucru este prevazut in dreptul intern.
(2)Statele membre pot prevedea ca orice organism, organizaţie sau asociaţie menţionata la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune in statul membru respectiv o plângere la autoritatea de supraveghere care este competenta in temeiul articolului 77 şi de a exercita drepturile menţionate la articolele 78 şi 79, in cazul in care considera ca drepturile unei persoane vizate in temeiul prezentului regulament au fost incalcate ca urmare a prelucrarii.
Art. 81: Suspendarea procedurilor
(1)În cazul in care o instanţa competenta a unui stat membru are informaţii ca pe rolul unei instanţe dintr-un alt stat membru se afla o acţiune având acelaşi obiect in ceea ce priveşte activitaţile de prelucrare ale aceluiaşi operator sau ale aceleaşi persoane imputernicite de operator, instanţa respectiva contacteaza instanţa din celalalt stat membru pentru a confirma existenţa unor astfel de acţiuni.
(2)Atunci când pe rolul unei instanţe dintr-un alt stat membru se afla o acţiune având acelaşi obiect in ceea ce priveşte activitaţile de prelucrare ale aceluiaşi operator sau ale aceleaşi persoane imputernicite de operator, orice alta instanţa competenta decât instanţa sesizata iniţial poate suspenda acţiunea aflata la ea pe rol.
(3)În cazul in care o astfel de acţiune se judeca in prima instanţa, orice instanţa sesizata ulterior poate, de asemenea, la cererea uneia dintre parţi, sa-şi decline competenţa, cu condiţia ca respectiva acţiune sa fie de competenţa primei instanţe sesizate şi ca dreptul aplicabil acesteia sa permita conexarea acţiunilor.
Art. 82: Dreptul la despagubiri şi raspunderea
(1)Orice persoana care a suferit un prejudiciu materiale sau moral ca urmare a unei incalcari a prezentului regulament are dreptul sa obţina despagubiri de la operator sau de la persoana imputernicita de operator pentru prejudiciul suferit.
(2)Orice operator implicat in operaţiunile de prelucrare este raspunzator pentru prejudiciul cauzat de operaţiunile sale de prelucrare care incalca prezentul regulament. Persoana imputernicita de operator este raspunzatoare pentru prejudiciul cauzat de prelucrare numai in cazul in care nu a respectat obligaţiile din prezentul regulament care revin in mod specific persoanelor imputernicite de operator sau a acţionat in afara sau in contradicţie cu instrucţiunile legale ale operatorului.
(3)Operatorul sau persoana imputernicita de operator este exonerat(a) de raspundere in temeiul alineatului (2) daca dovedeşte ca nu este raspunzator (raspunzatoare) in niciun fel pentru evenimentul care a cauzat prejudiciul.
(4)În cazul in care mai mulţi operatori sau mai multe persoane imputernicite de operator, sau un operator şi o persoana imputernicita de operator sunt implicaţi (implicate) in aceeaşi operaţiune de prelucrare şi raspund, in temeiul alineatelor (2) şi (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoana imputernicita de operator este raspunzator (raspunzatoare) pentru intregul prejudiciu pentru a asigura despagubirea efectiva a persoanei vizate.
(5)În cazul in care un operator sau o persoana imputernicita de operator a platit, in conformitate cu alineatul (4), in totalitate despagubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoana imputernicita de operator are dreptul sa solicite de la ceilalţi operatori sau celelalte persoane imputernicite de operator implicate in aceeaşi operaţiune de prelucrare recuperarea acelei parţi din despagubiri care corespunde parţii lor de raspundere pentru prejudiciu, in conformitate cu condiţiile stabilite la alineatul (2).
(6)Acţiunile in exercitarea dreptului de recuperare a despagubirilor platite se introduc la instanţele competente in temeiul dreptului statului membru menţionat la articolul 79 alineatul (2).
Art. 83: Condiţii generale pentru impunerea amenzilor administrative
(1)Fiecare autoritate de supraveghere asigura faptul ca impunerea unor amenzi administrative in conformitate cu prezentul articol pentru incalcarile prezentului regulament menţionate la alineatele (4), (5) şi, (6) este, in fiecare caz, eficace, proporţionala şi disuasiva.
(2)În funcţie de circumstanţele fiecarui caz in parte, amenzile administrative sunt impuse in completarea sau in locul masurilor menţionate la articolul 58 alineatul (2) literele (a)-(h) şi (j). Atunci când se ia decizia daca sa se impuna o amenda administrativa şi decizia cu privire la valoarea amenzii administrative in fiecare caz in parte, se acorda atenţia cuvenita urmatoarelor aspecte:
a)natura, gravitatea şi durata incalcarii, ţinându-se seama de natura, domeniul de aplicare sau scopul prelucrarii in cauza, precum şi de numarul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea;
b)daca incalcarea a fost comisa intenţionat sau din neglijenţa;
c)orice acţiuni intreprinse de operator sau de persoana imputernicita de operator pentru a reduce prejudiciul suferit de persoana vizata;
d)gradul de responsabilitate al operatorului sau al persoanei imputernicite de operator ţinându-se seama de masurile tehnice şi organizatorice implementate de aceştia in temeiul articolelor 25 şi 32; e)eventualele incalcari anterioare relevante comise de operator sau de persoana imputernicita de operator;
f)gradul de cooperare cu autoritatea de supraveghere pentru a remedia incalcarea şi a atenua posibilele efecte negative ale incalcarii;
g)categoriile de date cu caracter personal afectate de incalcare;
h)modul in care incalcarea a fost adusa la cunoştinţa autoritaţii de supraveghere, in special daca şi in ce masura operatorul sau persoana imputernicita de operator a notificat incalcarea;
i)in cazul in care masurile menţionate la articolul 58 alineatul (2) au fost dispuse anterior impotriva operatorului sau persoanei imputernicite de operator in cauza cu privire la acelaşi obiect, respectarea respectivelor masuri;
j)aderarea la coduri de conduita aprobate, in conformitate cu articolul 40, sau la mecanisme de certificare aprobate, in conformitate cu articolul 42; şi
k)orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate in mod direct sau indirect de pe urma incalcarii.
(3)În cazul in care un operator sau o persoana imputernicita de operator incalca in mod intenţionat sau din neglijenţa, pentru aceeaşi operaţiune de prelucrare sau pentru operaţiuni de prelucrare conexe, mai multe dispoziţii din prezentul regulament, cuantumul total al amenzii administrative nu poate depaşi suma prevazuta pentru cea mai grava incalcare.
(4)Pentru incalcarile dispoziţiilor urmatoare, in conformitate cu alineatul (2), se aplica amenzi administrative de pâna la 10 000 000 EUR sau, in cazul unei intreprinderi, de pâna la 2 % din cifra de
afaceri mondiala totala anuala corespunzatoare exerciţiului financiar anterior, luându-se in calcul cea mai mare valoare:
a)obligaţiile operatorului şi ale persoanei imputernicite de operator in conformitate cu articolele 8, 11, 25-39, 42 şi 43;
b)obligaţiile organismului de certificare in conformitate cu articolele 42 şi 43;
c)obligaţiile organismului de monitorizare in conformitate cu articolul 41 alineatul (4).
(5)Pentru incalcarile dispoziţiilor urmatoare, in conformitate cu alineatul (2), se aplica amenzi administrative de pâna la 20 000 000 EUR sau, in cazul unei intreprinderi, de pâna la 4 % din cifra de afaceri mondiala totala anuala corespunzatoare exerciţiului financiar anterior, luându-se in calcul cea mai mare valoare:
a)principiile de baza pentru prelucrare, inclusiv condiţiile privind consimţamântul, in conformitate cu articolele 5, 6, 7 şi 9;
b)drepturile persoanelor vizate in conformitate cu articolele 12-22;
c)transferurile de date cu caracter personal catre un destinatar dintr-o ţara terţa sau o organizaţie internaţionala, in conformitate cu articolele 44-49;
d)orice obligaţii in temeiul legislaţiei naţionale adoptate in temeiul capitolului IX;
e)nerespectarea unui ordin sau a unei limitari temporare sau definitive asupra prelucrarii, sau a suspendarii fluxurilor de date, emisa de catre autoritatea de supraveghere in temeiul articolului 58 alineatul (2), sau neacordarea accesului, incalcând articolul 58 alineatul (1).
(6)Pentru incalcarea unui ordin emis de autoritatea de supraveghere in conformitate cu articolul 58 alineatul (2) se aplica, in conformitate cu alineatul (2) din prezentul articol, amenzi administrative de pâna la 20 000 000 EUR sau, in cazul unei intreprinderi, de pâna la 4 % din cifra de afaceri mondiala totala anuala corespunzatoare exerciţiului financiar anterior, luându-se in calcul cea mai mare valoare. (7)Fara a aduce atingere competenţelor corective ale autoritaţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care sa se stabileasca daca şi in ce masura pot fi impuse amenzi administrative autoritaţilor publice şi organismelor publice stabilite in statul membru respectiv.
(8)Exercitarea de catre autoritatea de supraveghere a competenţelor sale in temeiul prezentului articol are loc cu condiţia existenţei unor garanţii procedurale adecvate in conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv cai de atac judiciare eficiente şi dreptul la un proces echitabil.
(9)În cazul in care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel incât amenda sa fie iniţiata de autoritatea de supraveghere competenta şi impusa de instanţele naţionale competente, garantându-se, in acelaşi timp, faptul ca aceste cai de atac sunt eficiente şi au un efect echivalent cu cel al amenzilor administrative impuse de autoritaţile de supraveghere. În orice caz, amenzile impuse trebuie sa fie eficace, proporţionale şi disuasive. Respectivele state membre informeaza Comisia cu privire la dispoziţiile de drept intern pe care le adopta in temeiul prezentului alineat pâna la 25 mai 2018, precum şi, fara intârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioara a acestora.
Art. 84: Sancţiuni
(la data 29-dec-2017 Art. 84 din capitolul VIII a fost in legatura cu Regulamentul 2226/30-nov-2017 )
(1)Statele membre stabilesc normele privind alte sancţiunile aplicabile in caz de incalcare a prezentului regulament, in special pentru incalcari care nu fac obiectul unor amenzi administrative in temeiul articolului 83, şi iau toate masurile necesare pentru a garanta faptul ca acestea sunt puse in aplicare. Sancţiunile respective sunt eficace, proporţionale şi disuasive.
(2)Fiecare stat membru informeaza Comisia cu privire la dispoziţiile de drept intern pe care le adopta in temeiul alineatului (1) pâna la 25 mai 2018, precum şi, fara intârziere, cu privire la orice modificare ulterioara a acestora.
CAPITOLUL IX: Dispoziţii referitoare la situaţii specifice de prelucrare
Art. 85: Prelucrarea şi libertatea de exprimare şi de informare
(1)Prin intermediul dreptului intern, statele membre asigura un echilibru intre dreptul la protecţia datelor cu caracter personal in temeiul prezentului regulament şi dreptul la libertatea de exprimare şi
de informare, inclusiv prelucrarea in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare.
(2)Pentru prelucrarea efectuata in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare, statele membre prevad exonerari sau derogari de la dispoziţiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul şi persoana imputernicita de operator), ale capitolului V (transferul datelor cu caracter personal catre ţari terţe sau organizaţii internaţionale), ale capitolului VI (autoritaţi de supraveghere independente), ale capitolului VII (cooperare şi coerenţa) şi ale capitolului IX (situaţii specifice de prelucrare a datelor) in cazul in care acestea sunt necesare pentru a asigura un echilibru intre dreptul la protecţia datelor cu caracter personal şi libertatea de exprimare şi de informare.
(3)Fiecare stat membru informeaza Comisia cu privire la dispoziţiile de drept intern pe care le-a adoptat in temeiul alineatului (2) precum şi, fara intârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioara a acestora.
Art. 86: Prelucrarea şi accesul public la documente oficiale
Datele cu caracter personal din documentele oficiale deţinute de o autoritate publica sau de un organism public sau privat pentru indeplinirea unei sarcini care serveşte interesului public pot fi divulgate de autoritatea sau organismul respectiv in conformitate cu dreptul Uniunii sau cu dreptul intern sub incidenţa caruia intra autoritatea sau organismul, pentru a stabili un echilibru intre accesul public la documente oficiale şi dreptul la protecţia datelor cu caracter personal in temeiul prezentului regulament.
Art. 87: Prelucrarea unui numar de identificare naţional
Statele membre pot detalia in continuare condiţiile specifice de prelucrare a unui numar de identificare naţional sau a oricarui alt identificator cu aplicabilitate generala. În acest caz, numarul de identificare naţional sau orice alt identificator cu aplicabilitate generala este folosit numai in temeiul unor garanţii corespunzatoare pentru drepturile şi libertaţile persoanei vizate in temeiul prezentului regulament.
rt. 88: Prelucrarea in contextul ocuparii unui loc de munca
(1)Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecţia drepturilor şi a libertaţilor cu privire la prelucrarea datelor cu caracter personal ale angajaţilor in contextul ocuparii unui loc de munca, in special in scopul recrutarii, al indeplinirii clauzelor contractului de munca, inclusiv descarcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii şi organizarii muncii, al egalitaţii şi diversitaţii la locul de munca, al asigurarii sanataţii şi securitaţii la locul de munca, al protejarii proprietaţii angajatorului sau a clientului, precum şi in scopul exercitarii şi beneficierii, in mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de munca, precum şi pentru incetarea raporturilor de munca.
(2)Aceste norme includ masuri corespunzatoare şi specifice pentru garantarea demnitaţii umane, a intereselor legitime şi a drepturilor fundamentale ale persoanelor vizate, in special in ceea ce priveşte transparenţa prelucrarii, transferul de date cu caracter personal in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna şi sistemele de monitorizare la locul de munca.
(3)Fiecare stat membru informeaza Comisia cu privire la dispoziţiile de drept intern pe care le adopta in temeiul alineatului (1) pâna la 25 mai 2018, precum şi, fara intârziere, cu privire la orice modificare ulterioara a acestora.
Art. 89: Garanţii şi derogari privind prelucrarea in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice
(1)Prelucrarea in scopuri de arhivare in interes public, in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice are loc cu condiţia existenţei unor garanţii corespunzatoare, in conformitate cu prezentul regulament, pentru drepturile şi libertaţile persoanelor vizate. Respectivele garanţii asigura faptul ca au fost instituite masuri tehnice şi organizatorice necesare pentru a se asigura, in special, respectarea principiului reducerii la minimum a datelor. Respectivele masuri pot include pseudonimizarea, cu condiţia ca respectivele scopuri sa fie indeplinite in acest mod. Atunci când respectivele scopuri pot fi indeplinite printr-o prelucrare ulterioara care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt indeplinite in acest mod.
(2)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare ştiinţifica sau istorica ori in scopuri statistice, dreptul Uniunii sau dreptul intern poate sa prevada derogari de la drepturile menţionate la articolele 15, 16, 18 şi 21, sub rezerva condiţiilor şi a garanţiilor prevazute la alineatul (1) din prezentul articol, in masura in care drepturile respective sunt de natura sa faca imposibila sau sa afecteze in mod grav realizarea scopurilor specifice, iar derogarile respective sunt necesare pentru indeplinirea acestor scopuri.
(3)În cazul in care datele cu caracter personal sunt prelucrate in scopuri de arhivare in interes public, dreptul Uniunii sau dreptul intern poate sa prevada derogari de la drepturile menţionate la articolele 15, 16, 18, 19, 20 şi 21, sub rezerva condiţiilor şi a garanţiilor prevazute la alineatul (1) din prezentul articol, in masura in care drepturile respective sunt de natura sa faca imposibila sau sa afecteze in mod grav realizarea scopurilor specifice, iar derogarile respective sunt necesare pentru indeplinirea acestor scopuri.
(4)În cazul in care prelucrarea menţionata la alineatele (2) şi (3) serveşte in acelaşi timp şi altui scop, derogarile se aplica numai prelucrarii in scopurile menţionate la alineatele respective.
Art. 90: Obligaţii privind pastrarea confidenţialitaţii
(1)Statele membre pot adopta norme specifice pentru a stabili competenţele autoritaţilor de supraveghere, prevazute la articolul 58 alineatul (1) literele (e) şi (f), in legatura cu operatori sau cu persoane imputernicite de operatori care, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul normelor stabilite de organismele naţionale competente, au obligaţia de a pastra secretul profesional sau alte obligaţii echivalente de confidenţialitate, in cazul in care acest lucru este necesar şi proporţional pentru a stabili un echilibru intre dreptul la protecţia datelor cu caracter personal şi obligaţia pastrarii confidenţialitaţii. Respectivele norme se aplica doar in ceea ce priveşte datele cu caracter personal pe care operatorul sau persoana imputernicita de operator le-a primit in urma sau in contextul unei activitaţi care intra sub incidenţa acestei obligaţii de pastrare a confidenţialitaţii. (2)Fiecare stat membru notifica Comisiei normele adoptate in temeiul alineatului (1) pâna la 25 mai 2018, precum şi, fara intârziere, orice modificare ulterioara a acestora.
Art. 91: Normele existente in domeniul protecţiei datelor pentru biserici şi asociaţii religioase
(1)În cazul in care, intr-un stat membru, bisericile şi asociaţiile sau comunitaţile religioase aplica, la data intrarii in vigoare a prezentului regulament, un set cuprinzator de norme de protecţie a persoanelor fizice cu privire la prelucrare, aceste norme pot continua sa se aplice, cu condiţia sa fie aliniate la prezentul regulament.
(2)Bisericile şi asociaţiile religioase care aplica un set cuprinzator de norme in conformitate cu alineatul (1) din prezentul articol sunt supuse supravegherii unei autoritaţi de supraveghere independente care poate fi specifica, cu condiţia sa indeplineasca condiţiile stabilite in capitolul VI din prezentul regulament.
CAPITOLUL X: Acte delegate şi acte de punere in aplicare
Art. 92: Exercitarea delegarii
(1)Competenţa de a adopta acte delegate este conferita Comisiei in condiţiile prevazute de prezentul articol.
(2)Delegarea de competenţe prevazuta la articolul 12 alineatul (8) şi la articolul 43 alineatul (8) se confera Comisiei pe o perioada nedeterminata de la 24 mai 2016.
(3)Delegarea de competenţe menţionata la articolul 12 alineatul (8) şi la articolul 43 alineatul (8) poate fi revocata in orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune capat delegarii de competenţe specificata in decizia respectiva. Decizia produce efecte din ziua urmatoare datei publicarii acesteia in Jurnalul Oficial al Uniunii Europene sau de la o data ulterioara menţionata in decizie. Decizia nu aduce atingere validitaţii actelor delegate care sunt deja in vigoare.
(4)De indata ce adopta un act delegat, Comisia il notifica simultan Parlamentului European şi Consiliului.
(5)Un act delegat adoptat in conformitate cu articolul 12 alineatul (8) şi cu articolul 43 alineatul (8) intra in vigoare numai in cazul in care nici Parlamentul European şi nici Consiliul nu au formulat obiecţiuni in termen de trei luni de la notificarea acestuia Parlamentului European şi Consiliului, sau in
cazul in care, inainte de expirarea termenului respectiv, Parlamentul European şi Consiliul au informat Comisia ca nu vor formula obiecţiuni. Respectivul termen se prelungeşte cu trei luni la iniţiativa Parlamentului European sau a Consiliului.
Art. 93: Procedura comitetului
(1)Comisia este asistata de un comitet. Comitetul respectiv este un comitet in inţelesul Regulamentului (UE) nr. 182/2011.
(2)În cazul in care se face trimitere la prezentul alineat, se aplica articolul 5 din Regulamentul (UE) nr. 182/2011.
(3)În cazul in care se face trimitere la prezentul alineat, se aplica articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din respectivul regulament.
CAPITOLUL XI: Dispoziţii finale
Art. 94: Abrogarea Directivei 95/46/CE
(1)Decizia 95/46/CE se abroga cu efect de la 25 mai 2018.
(2)Trimiterile la directiva abrogata se interpreteaza ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecţia persoanelor in ceea ce priveşte prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaza ca trimiteri la Comitetul european pentru protecţia datelor instituit prin prezentul regulament.
Art. 95: Relaţia cu Directiva 2002/58/CE
Prezentul regulament nu impune obligaţii suplimentare pentru persoanele fizice sau juridice in ceea ce priveşte prelucrarea in legatura cu furnizarea de servicii de comunicaţii electronice destinate publicului in reţelele de comunicaţii publice din Uniune, cu privire la aspectele pentru care acestora le revin obligaţii specifice cu acelaşi obiectiv prevazut in Directiva 2002/58/CE.
Art. 96: Relaţia cu acordurile incheiate anterior
Acordurile internaţionale care implica transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale, care au fost incheiate de statele membre inainte de 24 mai 2016 şi care sunt in conformitate cu dreptul Uniunii aplicabil inainte de data respectiva, ramân in vigoare pâna când vor fi modificate, inlocuite sau revocate.
Art. 97: Rapoartele Comisiei
(1)Pâna la 25 mai 2020 şi, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European şi Consiliului un raport privind evaluarea şi revizuirea prezentului regulament. Rapoartele sunt facute publice.
(2)În contextul evaluarilor şi revizuirilor menţionate la alineatul (1), Comisia examineaza in special aplicarea şi funcţionarea:
a)capitolului V privind transferul datelor cu caracter personal catre ţari terţe sau organizaţii internaţionale, având in vedere in special deciziile adoptate in temeiul articolului 45 alineatul (3) din prezentul regulament şi deciziile adoptate in temeiul articolului 25 alineatul (6) din Directiva 95/46/CE;
b)capitolul VII privind cooperarea şi coerenţa.
(3)În scopul alineatului (1), Comisia poate solicita informaţii de la statele membre şi de la autoritaţile de supraveghere.
(4)La efectuarea evaluarilor şi a revizuirilor menţionate la alineatele (1) şi (2), Comisia ia in considerare poziţiile şi constatarile Parlamentului European, ale Consiliului, precum şi ale altor organisme sau surse relevante.
(5)Comisia transmite, daca este necesar, propuneri corespunzatoare de modificare a prezentului regulament, in special ţinând seama de evoluţiile din domeniul tehnologiei informaţiei şi având in vedere progresele societaţii informaţionale.
Art. 98: Revizuirea altor acte juridice ale Uniunii in materie de protecţie a datelor
Daca este cazul, Comisia prezinta propuneri legislative in vederea modificarii altor acte juridice ale Uniunii privind protecţia datelor cu caracter personal, in vederea asigurarii unei protecţii uniforme şi consecvente a persoanelor fizice in ceea ce priveşte prelucrarea. Acest lucru priveşte in special normele referitoare la protecţia persoanelor fizice in ceea ce priveşte prelucrarea de catre instituţiile, organismele, oficiile şi agenţiile Uniunii, precum şi normele referitoare la libera circulaţie a acestor date.
Art. 99: Intrare in vigoare şi aplicare
(1)Prezentul regulament intra in vigoare in a douazecea zi de la data publicarii in Jurnalul Oficial al Uniunii Europene.
(2)Prezentul regulament se aplica de la 25 mai 2018.
Prezentul regulament este obligatoriu in toate elementele sale şi se aplica direct in toate statele membre.
-****-
Adoptat la Bruxelles, 27 aprilie 2016.
J.A. HENNIS-PLASSCHAERT
Publicat in Jurnalul Oficial cu numarul 119L din data de 4 mai 2016
Pentru Parlamentul European Preşedintele
M. SCHULZ
Pentru Consiliu Preşedintele
