Regulament general de protectie date

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

(la data 31-oct-2018 actul a fost in legatura cu Decizia 174/2018 )
(la data 25-mai-2018 a se vedea referinte de aplicare din Decizia 743/16-mai-2018 ) (la data 06-oct-2016 actul a fost in legatura cu Directiva 1629/14-sep-2016 )
(la data 05-mai-2016 actul a fost in legatura cu Directiva 680/27-apr-2016 )

(Text cu relevanţa pentru SEE)
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 16,
având în vedere propunerea Comisiei Europene,
dupa transmiterea proiectului de act legislativ catre parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 229, 31.7.2012, p. 90.
având în vedere avizul Comitetului Regiunilor (2),
(2)JO C 391, 18.12.2012, p. 127.
hotarând în conformitate cu procedura legislativa ordinara (3),
(3)Poziţia Parlamentului European din 12 martie 2014 (nepublicata înca în Jurnalul Oficial) şi Poziţia în prima lectura a Consiliului din 8 aprilie 2016 (nepublicata înca în Jurnalul Oficial). Poziţia Parlamentului European din 14 aprilie 2016.
întrucât:
(1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protecţia datelor cu caracter personal care o privesc.
(2)Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetaţenia sau de locul de reşedinţa al persoanelor fizice, sa respecte drepturile şi libertaţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal. Prezentul regulament urmareşte sa contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunastarea persoanelor fizice. (3)Directiva 95/46/CE a Parlamentului European şi a Consiliului (4) vizeaza armonizarea nivelului de protecţie a drepturilor şi libertaţilor fundamentale ale persoanelor fizice în ceea ce priveşte activitaţile de prelucrare şi asigurarea liberei circulaţii a datelor cu caracter personal între statele membre. (4)Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (JO L 281, 23.11.1995, p. 31).
(4)Prelucrarea datelor cu caracter personal ar trebui sa fie în serviciul cetaţenilor. Dreptul la protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporţionalitaţii. Prezentul regulament respecta toate drepturile fundamentale şi libertaţile şi principiile recunoscute în carta astfel cum sunt consacrate în tratate, în special respectarea vieţii private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertaţii de gândire, de conştiinţa şi de religie, a libertaţii de exprimare şi de informare, a libertaţii de a desfaşura o activitate comerciala, dreptul la o cale de atac eficienta şi la un proces echitabil, precum şi diversitatea culturala, religioasa şi lingvistica.
(5)Integrarea economica şi sociala care rezulta din funcţionarea pieţei interne a condus la o creştere substanţiala a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal între actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi întreprinderi, s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autoritaţile naţionale din statele membre sunt chemate sa coopereze şi sa faca schimb de date cu caracter personal pentru a putea sa îşi îndeplineasca atribuţiile sau sa execute sarcini în numele unei autoritaţi dintr-un alt stat membru.
(6)Evoluţiile tehnologice rapide şi globalizarea au generat noi provocari pentru protecţia datelor cu caracter personal. Amploarea colectarii şi a schimbului de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite atât societaţilor private, cât şi autoritaţilor publice sa utilizeze date cu caracter personal la un nivel fara precedent în cadrul activitaţilor lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informaţii cu caracter personal. Tehnologia a transformat deopotriva economia şi viaţa sociala şi ar trebui sa faciliteze în continuare libera circulaţie a datelor cu caracter personal în cadrul Uniunii şi transferul catre ţari terţe şi organizaţii internaţionale, asigurând, totodata, un nivel ridicat de protecţie a datelor cu caracter personal.

(7)Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în Uniune, însoţit de o aplicare riguroasa a normelor, luând în considerare importanţa crearii unui climat de încredere care va permite economiei digitale sa se dezvolte pe piaţa interna. Persoanele fizice ar trebui sa aiba control asupra propriilor date cu caracter personal, iar securitatea juridica şi practica pentru persoane fizice, operatori economici şi autoritaţi publice ar trebui sa fie consolidata.

(8)În cazul în care prezentul regulament prevede specificari sau restricţionari ale normelor sale de catre dreptul intern, statele membre pot, în masura în care acest lucru este necesar pentru coerenţa şi pentru a asigura înţelegerea dispoziţiilor naţionale de catre persoanele carora li se aplica acestea, sa încorporeze elemente din prezentul regulament în dreptul lor intern.

(9)Obiectivele şi principiile Directivei 95/46/CE ramân solide, dar aceasta nu a prevenit fragmentarea modului în care protecţia datelor este pusa în aplicare în Uniune, insecuritatea juridica sau percepţia publica larg raspândita conform careia exista riscuri semnificative pentru protecţia persoanelor fizice, în special în legatura cu activitatea online. Diferenţele dintre nivelurile de protecţie a drepturilor şi libertaţilor persoanelor fizice, în special a dreptului la protecţia datelor cu caracter personal, în ceea ce priveşte prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulaţie a datelor cu caracter personal în întreaga Uniune. Aceste diferenţe pot constitui, prin urmare, un obstacol în desfaşurarea de activitaţi economice la nivelul Uniunii, pot denatura concurenţa şi pot împiedica autoritaţile sa îndeplineasca responsabilitaţile care le revin în temeiul dreptului Uniunii. Aceasta diferenţa între nivelurile de protecţie este cauzata de existenţa unor deosebiri în ceea ce priveşte transpunerea şi aplicarea Directivei 95/46/CE.

(10)Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a se îndeparta obstacolele din calea circulaţiei datelor cu caracter personal în cadrul Uniunii, nivelul protecţiei drepturilor şi libertaţilor persoanelor fizice în ceea ce priveşte prelucrarea unor astfel de date ar trebui sa fie echivalent în toate statele membre. Aplicarea consecventa şi omogena a normelor în materie de protecţie a drepturilor şi libertaţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal ar trebui sa fie asigurata în întreaga Uniune. În ceea ce priveşte prelucrarea datelor cu caracter personal în vederea respectarii unei obligaţii legale, a îndeplinirii unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este învestit operatorul, statelor membre ar trebui sa li se permita sa menţina sau sa introduca dispoziţii de drept intern care sa clarifice într-o mai mare masura aplicarea normelor prezentului regulament. În coroborare cu legislaţia generala şi orizontala privind protecţia datelor, prin care este pusa în aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice în domenii care necesita dispoziţii mai precise. Prezentul regulament ofera, de asemenea, statelor membre o marja de manevra în specificarea normelor sale, inclusiv în ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal („date sensibile”). În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileşte circumstanţele aferente unor situaţii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiţiilor în care prelucrarea datelor cu caracter personal este legala.

(11)Protecţia efectiva a datelor cu caracter personal în întreaga Uniune necesita nu numai consolidarea şi stabilirea în detaliu a drepturilor persoanelor vizate şi a obligaţiilor celor care prelucreaza şi decid prelucrarea datelor cu caracter personal, ci şi competenţe echivalente pentru

monitorizarea şi asigurarea conformitaţii cu normele de protecţie a datelor cu caracter personal şi sancţiuni echivalente pentru infracţiuni în statele membre.
(12)Articolul 16 alineatul (2) din TFUE mandateaza Parlamentul European şi Consiliul sa stabileasca normele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum şi normele privind libera circulaţie a acestor date.

(13)În vederea asigurarii unui nivel uniform de protecţie pentru persoanele fizice în întreaga Uniune şi a preîntâmpinarii discrepanţelor care împiedica libera circulaţie a datelor în cadrul pieţei interne, este necesar un regulament în scopul de a furniza securitate juridica şi transparenţa pentru operatorii economici, inclusiv microîntreprinderi şi întreprinderi mici şi mijlocii, precum şi de a oferi persoanelor fizice în toate statele membre acelaşi nivel de drepturi, obligaţii şi responsabilitaţi opozabile din punct de vedere juridic pentru operatori şi persoanele împuternicite de aceştia, pentru a se asigura o monitorizare coerenta a prelucrarii datelor cu caracter personal, sancţiuni echivalente în toate statele membre, precum şi cooperarea eficace a autoritaţilor de supraveghere ale diferitelor state membre. Pentru buna funcţionare a pieţei interne este necesar ca libera circulaţie a datelor cu caracter personal în cadrul Uniunii sa nu fie restricţionata sau interzisa din motive legate de protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. Pentru a se lua în considerare situaţia specifica a microîntreprinderilor şi a întreprinderilor mici şi mijlocii, prezentul regulament include o derogare pentru organizaţiile cu mai puţin de 250 de angajaţi în ceea ce priveşte pastrarea evidenţelor. În plus, instituţiile şi organele Uniunii şi statele membre şi autoritaţile lor de supraveghere sunt încurajate sa ia în considerare necesitaţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii în aplicarea prezentului regulament. Noţiunea de microîntreprinderi şi de întreprinderi mici şi mijlocii ar trebui sa se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1). (1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor şi a întreprinderilor mici şi mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36).

(14)Protecţia conferita de prezentul regulament ar trebui sa vizeze persoanele fizice, indiferent de cetaţenia sau de locul de reşedinţa al acestora, în ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal care privesc persoane juridice şi, în special, întreprinderi cu personalitate juridica, inclusiv numele şi tipul de persoana juridica şi datele de contact ale persoanei juridice.

(15)Pentru a preveni apariţia unui risc major de eludare, protecţia persoanelor fizice ar trebui sa fie neutra din punct de vedere tehnologic şi sa nu depinda de tehnologiile utilizate. Protecţia persoanelor fizice ar trebui sa se aplice prelucrarii datelor cu caracter personal prin mijloace automatizate, precum şi prelucrarii manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse într-un sistem de evidenţa. Dosarele sau seturile de dosare, precum şi copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui sa intre în domeniul de aplicare al prezentului regulament.

(16)Prezentul regulament nu se aplica chestiunilor de protecţie a drepturilor şi libertaţilor fundamentale sau la libera circulaţie a datelor cu caracter personal referitoare la activitaţi care nu intra în domeniul de aplicare al dreptului Uniunii, de exemplu activitaţile privind securitatea naţionala. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre statele membre atunci când acestea desfaşoara activitaţi legate de politica externa şi de securitatea comuna a Uniunii. (17)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (2) se aplica prelucrarii de date cu caracter personal de catre instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal ar trebui adaptate la principiile şi normele stabilite în prezentul regulament şi aplicate în conformitate cu prezentul regulament. În vederea asigurarii unui cadru solid şi coerent în materie de protecţie a datelor în Uniune, ar trebui ca dupa adoptarea prezentului regulament sa se aduca Regulamentului (CE) nr. 45/2001 adaptarile necesare, astfel încât acestea sa poata fi aplicate odata cu prezentul regulament.

(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).

(18)Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre o persoana fizica în cadrul unei activitaţi exclusiv personale sau domestice şi care, prin urmare, nu are legatura cu o activitate profesionala sau comerciala. Activitaţile personale sau domestice ar putea include corespondenţa şi repertoriul de adrese sau activitaţile din cadrul reţelelor sociale şi activitaţile online desfaşurate în contextul respectivelor activitaţi. Cu toate acestea, prezentul regulament se aplica operatorilor sau persoanelor împuternicite de operatori care furnizeaza mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activitaţi personale sau domestice.

(19)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de catre autoritaţile competente în scopul prevenirii, investigarii, depistarii sau urmaririi penale a infracţiunilor sau al executarii pedepselor, inclusiv al protejarii împotriva ameninţarilor la adresa siguranţei publice şi al prevenirii acestora, precum şi libera circulaţie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui sa se aplice activitaţilor de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de catre autoritaţile publice în temeiul prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui sa fie reglementate printr- un act juridic mai specific al Uniunii, şi anume Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (1). Statele membre pot încredinţa autoritaţilor competente în sensul Directivei (UE)2016/680 sarcini care nu sunt neaparat îndeplinite în scopul prevenirii, investigarii, depistarii sau urmaririi penale a infracţiunilor sau al executarii pedepselor, inclusiv al protejarii împotriva ameninţarilor la adresa siguranţei publice şi al prevenirii acestora, astfel încât prelucrarea datelor cu caracter personal pentru alte scopuri, în masura în care se încadreaza în domeniul de aplicare al dreptului Uniunii, sa intre în domeniul de aplicare al prezentului regulament.

(1)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritaţile competente în scopul prevenirii, depistarii, investigarii sau urmaririi penale a infracţiunilor sau al executarii pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).

În ceea ce priveşte prelucrarea datelor cu caracter personal de catre aceste autoritaţi competente în scopuri care intra în domeniul de aplicare al prezentului regulament, statele membre ar trebui sa poata menţine sau introduce dispoziţii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziţii pot stabili mai precis cerinţe specifice pentru prelucrarea datelor cu caracter personal de catre respectivele autoritaţi competente în aceste alte scopuri, ţinând seama de structura constituţionala, organizatorica şi administrativa a statului membru în cauza. Atunci când prelucrarea de date cu caracter personal de catre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui sa prevada posibilitatea ca statele membre, în anumite condiţii, sa impuna prin lege restricţii asupra anumitor obligaţii şi drepturi, în cazul în care asemenea restricţii constituie o masura necesara şi proporţionala într-o societate democratica în scopul garantarii unor interese specifice importante, printre care se numara siguranţa publica şi prevenirea, investigarea, depistarea şi urmarirea penala a infracţiunilor sau executarea pedepselor, inclusiv protejarea împotriva ameninţarilor la adresa siguranţei publice şi prevenirea acestora. Acest lucru este relevant, de exemplu, în cadrul combaterii spalarii de bani sau al activitaţilor laboratoarelor criminalistice.

(20)Deşi prezentul regulament se aplica, inter alia, activitaţilor instanţelor şi ale altor autoritaţi judiciare, dreptul Uniunii sau al statelor membre ar putea sa precizeze operaţiunile şi procedurile de prelucrare în ceea ce priveşte prelucrarea datelor cu caracter personal de catre instanţe şi alte autoritaţi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui sa fie de competenţa autoritaţilor de supraveghere în cazul în care instanţele îşi exercita atribuţiile judiciare, în scopul garantarii independenţei sistemului judiciar în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea deciziilor. Supravegherea unor astfel de operaţiuni de prelucrare a datelor ar trebui sa poata fi încredinţata unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui sa asigure în special respectarea normelor prevazute de prezentul regulament, sa sensibilizeze membrii sistemului judiciar cu privire la obligaţiile care le revin în temeiul prezentului regulament şi sa trateze plângerile în legatura cu astfel de operaţiuni de prelucrare a datelor.

(21)Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE a Parlamentului European şi a Consiliului (2), în special normelor privind raspunderea furnizorilor intermediari de servicii prevazute la articolele 12-15 din directiva menţionata. Respectiva directiva îşi propune sa contribuie la buna funcţionare a pieţei interne, prin asigurarea liberei circulaţii a serviciilor societaţii informaţionale între statele membre.

(2)Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societaţii informaţionale, în special ale comerţului electronic, pe piaţa interna (directiva privind comerţul electronic) (JO L 178, 17.7.2000, p. 1).
(22)Orice prelucrare a datelor cu caracter personal în cadrul activitaţilor unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuata în conformitate cu prezentul regulament, indiferent daca procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implica exercitarea efectiva şi reala a unei activitaţi în cadrul unor înţelegeri stabile. Forma juridica a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridica, nu este factorul determinant în aceasta privinţa.

(23)Pentru a se asigura ca persoanele fizice nu sunt lipsite de protecţia la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana împuternicita de acesta care nu îşi are sediul în Uniune ar trebui sa faca obiectul prezentului regulament în cazul în care activitaţile de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent daca acestea sunt sau nu legate de o plata. Pentru a determina daca un astfel de operator sau o astfel de persoana împuternicita de operator ofera bunuri sau servicii unor persoane vizate care se afla pe teritoriul Uniunii, ar trebui sa se stabileasca daca reiese ca operatorul sau persoana împuternicita de operator intenţioneaza sa furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt ca exista acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, ca este disponibila o adresa de e-mail şi alte date de contact sau ca este utilizata o limba folosita în general în ţara terţa în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie, factori precum utilizarea unei limbi sau a unei monede utilizate în general în unul sau mai multe state membre cu posibilitatea de a comanda bunuri şi servicii în respectiva limba sau menţionarea unor clienţi sau utilizatori care se afla pe teritoriul Uniunii pot conduce la concluzia ca operatorul intenţioneaza sa ofere bunuri sau servicii unor persoane vizate în Uniune.

(24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana împuternicita de acesta care nu îşi are sediul în Uniune ar trebui, de asemenea, sa faca obiectul prezentului regulament în cazul în care este legata de monitorizarea comportamentului unor astfel de persoane vizate, în masura în care acest comportament se manifesta pe teritoriul Uniunii. Pentru a se determina daca o activitate de prelucrare poate fi considerata ca „monitorizare a comportamentului” persoanelor vizate, ar trebui sa se stabileasca daca persoanele fizice sunt urmarite pe internet, inclusiv posibila utilizare ulterioara a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.

(25)În cazul în care dreptul unui stat membru se aplica în temeiul dreptului internaţional public, prezentul regulament ar trebui sa se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatica sau într-un oficiu consular al unui stat membru. (26)Principiile protecţiei datelor ar trebui sa se aplice oricarei informaţii referitoare la o persoana fizica identificata sau identificabila. Datele cu caracter personal care au fost supuse pseudonimizarii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, ar trebui considerate informaţii referitoare la o persoana fizica identificabila. Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana, în scopul identificarii, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina daca este probabil, în mod rezonabil, sa fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi în

considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare, ţinându-se seama atât de tehnologia disponibila la momentul prelucrarii, cât şi de dezvoltarea tehnologica. Principiile protecţiei datelor ar trebui, prin urmare, sa nu se aplice informaţiilor anonime, adica informaţiilor care nu sunt legate de o persoana fizica identificata sau identificabila sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizata nu este sau nu mai este identificabila. Prin urmare, prezentul regulament nu se aplica prelucrarii unor astfel de informaţii anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. (27)Prezentul regulament nu se aplica datelor cu caracter personal referitoare la persoane decedate. Statele membre pot sa prevada norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.

(28)Aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate şi poate ajuta operatorii şi persoanele împuternicite de aceştia sa îşi îndeplineasca obligaţiile de protecţie a datelor. Introducerea explicita a conceptului de „pseudonimizare” în prezentul regulament nu este destinata sa împiedice alte eventuale masuri de protecţie a datelor.

(29)Pentru a crea stimulente pentru aplicarea pseudonimizarii atunci când sunt prelucrate date cu caracter personal, ar trebui sa fie posibile masuri de pseudonimizare, permiţând în acelaşi timp analiza generala, în cadrul aceluiaşi operator atunci când operatorul a luat masurile tehnice şi organizatorice necesare pentru a se asigura ca prezentul regulament este pus în aplicare în ceea ce priveşte respectiva prelucrare a datelor şi ca informaţiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pastrate separat. Operatorul care prelucreaza datele cu caracter personal ar trebui sa indice persoanele autorizate din cadrul aceluiaşi operator.(30)Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lasa urme care, în special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.

(31)Autoritaţile publice carora le sunt divulgate date cu caracter personal în conformitate cu o obligaţie legala în vederea exercitarii funcţiei lor oficiale, cum ar fi autoritaţile fiscale şi vamale, unitaţile de investigare financiara, autoritaţile administrative independente sau autoritaţile pieţelor financiare responsabile de reglementarea şi supravegherea pieţelor titlurilor de valoare, nu ar trebui sa fie considerate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritaţile publice ar trebui sa fie întotdeauna prezentate în scris, motivate şi ocazionale şi nu ar trebui sa se refere la un sistem de evidenţa în totalitate sau sa conduca la interconectarea sistemelor de evidenţa. Prelucrarea datelor cu caracter personal de catre autoritaţile publice respective ar trebui sa respecte normele aplicabile în materie de protecţie a datelor în conformitate cu scopurile prelucrarii.

(32)Consimţamântul ar trebui acordat printr-o acţiune neechivoca care sa constituie o manifestare liber exprimata, specifica, în cunoştinţa de cauza şi clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie facuta în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei casuţe atunci când persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societaţii informaţionale sau orice alta declaraţie sau acţiune care indica în mod clar în acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui raspuns, casuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui sa constituie un consimţamânt. Consimţamântul ar trebui sa vizeze toate activitaţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Daca prelucrarea datelor se face în mai multe scopuri, consimţamântul ar trebui dat pentru toate scopurile prelucrarii. În cazul în care consimţamântul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara şi concisa şi sa nu perturbe în mod inutil utilizarea serviciului pentru care se acorda consimţamântul.

(33)Adesea nu este posibil, în momentul colectarii datelor cu caracter personal, sa se identifice pe deplin scopul prelucrarii datelor în scopuri de cercetare ştiinţifica. Din acest motiv, persoanelor vizate ar

trebui sa li se permita sa îşi exprime consimţamântul pentru anumite domenii ale cercetarii ştiinţifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea ştiinţifica. Persoanele vizate ar trebui sa aiba posibilitatea de a-şi exprima consimţamântul doar pentru anumite domenii de cercetare sau parţi ale proiectelor de cercetare în masura permisa de scopul preconizat.

(34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care rezulta în urma unei analize a unei mostre de material biologic al persoanei fizice în cauza, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricarui alt element ce permite obţinerea unor informaţii echivalente.

(35)Datele cu caracter personal privind sanatatea ar trebui sa includa toate datele având legatura cu starea de sanatate a persoanei vizate care dezvaluie informaţii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate. Acestea includ informaţii despre persoana fizica colectate în cadrul înscrierii acesteia la serviciile de asistenţa medicala sau în cadrul acordarii serviciilor respective persoanei fizice în cauza, astfel cum sunt menţionate în Directiva 2011/24/UE a Parlamentului European şi a Consiliului (1); un numar, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulara a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei parţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boala, un handicap, un risc de îmbolnavire, istoricul medical, tratamentul clinic sau starea fiziologica sau biomedicala a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(1)Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45). (36)Sediul principal al unui operator în Uniune ar trebui sa fie locul în care se afla administraţia centrala a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz, acesta din urma ar trebui considerat drept sediul principal. Sediul principal al unui operator în Uniune ar trebui sa fie determinat conform unor criterii obiective şi ar trebui sa implice exercitarea efectiva şi reala a unor activitaţi de gestionare care sa determine principalele decizii cu privire la scopurile şi mijloacele de prelucrare în cadrul unor înţelegeri stabile. Acest criteriu nu ar trebui sa depinda de realizarea prelucrarii datelor cu caracter personal în locul respectiv. Prezenţa şi utilizarea mijloacelor tehnice şi a tehnologiilor de prelucrare a datelor cu caracter personal sau activitaţile de prelucrare nu constituie un sediu principal şi, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de operator ar trebui sa fie locul în care se afla administraţia centrala a acestuia în Uniune sau, în cazul în care nu are o administraţie centrala în Uniune, locul în care se desfaşoara principalele activitaţi de prelucrare în Uniune. În cazurile care implica atât operatorul, cât şi persoana împuternicita de operator, autoritatea de supraveghere principala competenta ar trebui sa ramâna autoritatea de supraveghere a statului membru în care operatorul îşi are sediul principal, dar autoritatea de supraveghere a persoanei împuternicite de operator ar trebui considerata ca fiind o autoritate de supraveghere vizata şi acea autoritate de supraveghere ar trebui sa participe la procedura de cooperare prevazuta de prezentul regulament. În orice caz, autoritaţile de supraveghere ale statului membru sau ale statelor membre în care persoana împuternicita de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoritaţi de supraveghere vizate în cazul în care proiectul de decizie nu se refera decât la operator. În cazul în care prelucrarea este efectuata de un grup de întreprinderi, sediul principal al întreprinderii care exercita controlul ar trebui considerat drept sediul principal al grupului de întreprinderi, cu excepţia cazului în care scopurile şi mijloacele aferente prelucrarii sunt stabilite de o alta întreprindere.

(37)Un grup de întreprinderi ar trebui sa cuprinda o întreprindere care exercita controlul şi întreprinderile controlate de aceasta, în cadrul caruia întreprinderea care exercita controlul ar trebui sa fie întreprinderea care poate exercita o influenţa dominanta asupra celorlalte întreprinderi, de exemplu în temeiul proprietaţii, al participarii financiare sau al regulilor care o reglementeaza sau al competenţei de a pune în aplicare norme în materie de protecţie a datelor cu caracter personal. O întreprindere care

controleaza prelucrarea datelor cu caracter personal în întreprinderile sale afiliate ar trebui considerata, împreuna cu acestea din urma, drept „grup de întreprinderi”.
(38)Copiii au nevoie de o protecţie specifica a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauza şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal. Aceasta protecţie specifica ar trebui sa se aplice în special utilizarii datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizarii serviciilor oferite direct copiilor. Consimţamântul titularului raspunderii parinteşti nu ar trebui sa fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

(39)Orice prelucrare de date cu caracter personal ar trebui sa fie legala şi echitabila. Ar trebui sa fie transparent pentru persoanele fizice ca sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc şi în ce masura datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenţei prevede ca orice informaţii şi comunicari referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi ca se utilizeaza un limbaj simplu şi clar. Acest principiu se refera în special la informarea persoanelor vizate privind identitatea operatorului şi scopurile prelucrarii, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabila şi transparenta în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care sa îşi exercite drepturile în legatura cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui sa fie explicite şi legitime şi sa fie determinate la momentul colectarii datelor respective. Datele cu caracter personal ar trebui sa fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesita, în special, asigurarea faptului ca perioada pentru care datele cu caracter personal sunt stocate este limitata strict la minimum. Datele cu caracter personal ar trebui prelucrate doar daca scopul prelucrarii nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurarii faptului ca datele cu caracter personal nu sunt pastrate mai mult timp decât este necesar, ar trebui sa se stabileasca de catre operator termene pentru ştergere sau revizuirea periodica. Ar trebui sa fie luate toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter personal ar trebui prelucrate într-un mod care sa asigure în mod adecvat securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.

(40)Pentru ca prelucrarea datelor cu caracter personal sa fie legala, aceasta ar trebui efectuata pe baza consimţamântului persoanei vizate sau în temeiul unui alt motiv legitim, prevazut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, dupa cum se prevede în prezentul regulament, inclusiv necesitatea respectarii obligaţiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizata este parte sau pentru a parcurge etapele premergatoare încheierii unui contract, la solicitarea persoanei vizate.

(41)Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament, fara a aduce atingere cerinţelor care decurg din ordinea constituţionala a statului membru în cauza. Cu toate acestea, un astfel de temei juridic sau o astfel de masura legislativa ar trebui sa fie clara şi precisa, iar aplicarea acesteia ar trebui sa fie previzibila pentru persoanele vizate de aceasta, în conformitate cu jurisprudenţa Curţii de Justiţie a Uniunii Europene („Curtea de Justiţie”) şi a Curţii Europene a Drepturilor Omului.

(42)În cazul în care prelucrarea se bazeaza pe consimţamântul persoanei vizate, operatorul ar trebui sa fie în masura sa demonstreze faptul ca persoana vizata şi-a dat consimţamântul pentru operaţiunea de prelucrare. În special, în contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile ar trebui sa asigure ca persoana vizata este conştienta de faptul ca şi-a dat consimţamântul şi în ce masura a facut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebui furnizata o declaraţie de consimţamânt formulata în prealabil de catre operator, într-o forma inteligibila

şi uşor accesibila, utilizând un limbaj clar şi simplu, iar aceasta declaraţie nu ar trebui sa conţina clauze abuzive. Pentru ca acordarea consimţamântului sa fie în cunoştinţa de cauza, persoana vizata ar trebui sa fie la curent cel puţin cu identitatea operatorului şi cu scopurile prelucrarii pentru care sunt destinate datele cu caracter personal. Consimţamântul nu ar trebui considerat ca fiind acordat în mod liber daca persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este în masura sa refuze sau sa îşi retraga consimţamântul fara a fi prejudiciata.

(1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(43)Pentru a garanta faptul ca a fost acordat în mod liber, consimţamântul nu ar trebui sa constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care exista un dezechilibru evident între persoana vizata şi operator, în special în cazul în care operatorul este o autoritate publica, iar acest lucru face improbabila acordarea consimţamântului în mod liber în toate circumstanţele aferente respectivei situaţii particulare. Consimţamântul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite sa se acorde consimţamântul separat pentru diferitele operaţiuni de prelucrare a datelor cu caracter personal, deşi acest lucru este adecvat în cazul particular, sau daca executarea unui contract, inclusiv furnizarea unui serviciu, este condiţionata de consimţamânt, în ciuda faptului ca consimţamântul în cauza nu este necesar pentru executarea contractului.

(44)Prelucrarea ar trebui sa fie considerata legala în cazul în care este necesara în cadrul unui contract sau în vederea încheierii unui contract.
(45)În cazul în care prelucrarea este efectuata în conformitate cu o obligaţie legala a operatorului sau în cazul în care prelucrarea este necesara pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autoritaţii publice, prelucrarea ar trebui sa aiba un temei în dreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune existenţa unei legi specifice pentru fiecare prelucrare în parte. Poate fi suficienta o singura lege drept temei pentru mai multe operaţiuni de prelucrare efectuate în conformitate cu o obligaţie legala a operatorului sau în cazul în care prelucrarea este necesara pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autoritaţii publice. De asemenea, ar trebui ca scopul prelucrarii sa fie stabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea sa specifice condiţiile generale ale prezentului regulament care reglementeaza legalitatea prelucrarii datelor cu caracter personal, sa determine specificaţiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrarii, a persoanelor vizate, a entitaţilor carora le pot fi divulgate datele cu caracter personal, a limitarilor în funcţie de scop, a perioadei de stocare şi a altor masuri pentru a garanta o prelucrare legala şi echitabila. De asemenea, ar trebui sa se stabileasca în dreptul Uniunii sau în dreptul intern daca operatorul care îndeplineşte o sarcina care serveşte unui interes public sau care face parte din exercitarea autoritaţii publice ar trebui sa fie o autoritate publica sau o alta persoana fizica sau juridica guvernata de dreptul public sau, atunci când motive de interes public justifica acest lucru, inclusiv în scopuri medicale, precum sanatatea publica şi protecţia sociala, precum şi gestionarea serviciilor de asistenţa medicala, de dreptul privat, cum ar fi o asociaţie profesionala.

(46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, sa fie considerata legala în cazul în care este necesara în scopul asigurarii protecţiei unui interes care este esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuata numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesara în scopuri umanitare, inclusiv în vederea monitorizarii unei epidemii şi a raspândirii acesteia sau în situaţii de urgenţe umanitare, în special în situaţii de dezastre naturale sau provocate de om.

(47)Interesele legitime ale unui operator, inclusiv cele ale unui operator caruia îi pot fi divulgate datele cu caracter personal sau ale unei terţe parţi, pot constitui un temei juridic pentru prelucrare, cu condiţia sa nu prevaleze interesele sau drepturile şi libertaţile fundamentale ale persoanei vizate, luând

în considerare aşteptarile rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când exista o relaţie relevanta şi adecvata între persoana vizata şi operator, cum ar fi cazul în care persoana vizata este un client al operatorului sau se afla în serviciul acestuia. În orice caz, existenţa unui interes legitim ar necesita o evaluare atenta, care sa stabileasca inclusiv daca o persoana vizata poate preconiza în mod rezonabil, în momentul şi în contextul colectarii datelor cu caracter personal, posibilitatea prelucrarii în acest scop. Interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanţe în care persoanele vizate nu preconizeaza în mod rezonabil o prelucrare ulterioara. Întrucât legiuitorul trebuie sa furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de catre autoritaţile publice, temeiul juridic respectiv nu ar trebui sa se aplice prelucrarii de catre autoritaţile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesara în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauza. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerata ca fiind desfaşurata pentru un interes legitim.

(48)Operatorii care fac parte dintr-un grup de întreprinderi sau instituţii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrarii datelor cu caracter personal ale clienţilor sau angajaţilor. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, catre o întreprindere situata într-o ţara terţa ramân neschimbate.

(49)Prelucrarea datelor cu caracter personal în masura strict necesara şi proporţionala în scopul asigurarii securitaţii reţelelor şi a informaţiilor, şi anume capacitatea unei reţele sau a unui sistem de informaţii de a face faţa, la un anumit nivel de încredere, evenimentelor accidentale sau acţiunilor ilegale sau rau intenţionate care compromit disponibilitatea, autenticitatea, integritatea şi confidenţialitatea datelor cu caracter personal stocate sau transmise, precum şi securitatea serviciilor conexe oferite de aceste reţele şi sisteme, sau accesibile prin intermediul acestora, de catre autoritaţile publice, echipele de intervenţie în caz de urgenţa informatica, echipele de intervenţie în cazul producerii unor incidente care afecteaza securitatea informatica, furnizorii de reţele şi servicii de comunicaţii electronice, precum şi de catre furnizorii de servicii şi tehnologii de securitate, constituie un interes legitim al operatorului de date în cauza. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reţelele de comunicaţii electronice şi a difuzarii de coduri daunatoare şi oprirea atacurilor de „blocare a serviciului”, precum şi prevenirea daunelor aduse calculatoarelor şi sistemelor de comunicaţii electronice.

(50)Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost iniţial colectate ar trebui sa fie permisa doar atunci când prelucrarea este compatibila cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza caruia a fost permisa colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesara pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili şi specifica sarcinile şi scopurile pentru care prelucrarea ulterioara ar trebui considerata a fi compatibila şi legala. Prelucrarea ulterioara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice ar trebui considerata ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic prevazut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioara. Pentru a stabili daca scopul prelucrarii ulterioare este compatibil cu scopul pentru care au fost colectate iniţial datele cu caracter personal, operatorul, dupa ce a îndeplinit toate cerinţele privind legalitatea prelucrarii iniţiale, ar trebui sa ţina seama, printre altele, de orice legatura între respectivele scopuri şi scopurile prelucrarii ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de aşteptarile rezonabile ale persoanelor vizate, bazate pe relaţia lor cu operatorul, în ceea ce priveşte utilizarea ulterioara a datelor, de natura datelor cu caracter personal, de consecinţele prelucrarii ulterioare

preconizate asupra persoanelor vizate, precum şi de existenţa garanţiilor corespunzatoare atât în cadrul operaţiunilor de prelucrare iniţiale, cât şi în cadrul operaţiunilor de prelucrare ulterioare preconizate.
În cazul în care persoana vizata şi-a dat consimţamântul sau prelucrarea se bazeaza pe dreptul Uniunii sau pe dreptul intern, care constituie o masura necesara şi proporţionala într-o societate democratica pentru a proteja, în special, obiective importante de interes public general, operatorul ar trebui sa aiba posibilitatea de a prelucra în continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor stabilite de prezentul regulament şi, în special, informarea persoanei vizate cu privire la aceste alte scopuri şi la drepturile sale, inclusiv dreptul la opoziţie, ar trebui sa fie garantate. Indicarea unor posibile infracţiuni sau ameninţari la adresa siguranţei publice de catre operator şi transmiterea catre o autoritate competenta a datelor cu caracter personal relevante în cazuri individuale sau în mai multe cazuri legate de aceeaşi infracţiune sau de aceleaşi ameninţari la adresa siguranţei publice ar trebui considerata ca fiind în interesul legitim urmarit de operator. Cu toate acestea, o astfel de transmitere în interesul legitim al operatorului sau prelucrarea ulterioara a datelor cu caracter personal ar trebui interzisa în cazul în care prelucrarea nu este compatibila cu o obligaţie legala, profesionala sau cu o alta obligaţie de pastrare a confidenţialitaţii.

(51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveşte drepturile şi libertaţile fundamentale necesita o protecţie specifica, deoarece contextul prelucrarii acestora ar putea genera riscuri considerabile la adresa drepturilor şi libertaţilor fundamentale. Aceste date cu caracter personal ar trebui sa includa datele cu caracter personal care dezvaluie originea rasiala sau etnica, utilizarea termenului „origine rasiala” în prezentul regulament neimplicând o acceptare de catre Uniune a teoriilor care urmaresc sa stabileasca existenţa unor rase umane separate. Prelucrarea fotografiilor nu ar trebui sa fie considerata în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intra sub incidenţa definiţiei datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unica sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepţia cazului în care prelucrarea este permisa în cazuri specifice prevazute de prezentul regulament, ţinând seama de faptul ca dreptul statelor membre poate prevedea dispoziţii specifice cu privire la protecţia datelor în scopul adaptarii aplicarii normelor din prezentul regulament în vederea respectarii unei obligaţii legale sau a îndeplinirii unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este învestit operatorul. Pe lânga cerinţele specifice pentru o astfel de prelucrare, ar trebui sa se aplice principiile generale şi alte norme prevazute de prezentul regulament, în special în ceea ce priveşte condiţiile pentru prelucrarea legala. Ar trebui prevazute în mod explicit derogari de la interdicţia generala de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizata îşi da consimţamântul explicit sau în ceea ce priveşte nevoile specifice în special atunci când prelucrarea este efectuata în cadrul unor activitaţi legitime de catre anumite asociaţii sau fundaţii al caror scop este de a permite exercitarea libertaţilor fundamentale.

(52)Derogarea de la interdicţia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui sa fie permisa, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru şi ar trebui sa faca obiectul unor garanţii adecvate, astfel încât sa fie protejate datele cu caracter personal şi alte drepturi fundamentale, atunci când acest lucru se justifica din motive de interes public, în special în cazul prelucrarii datelor cu caracter personal în domeniul legislaţiei privind ocuparea forţei de munca, protecţia sociala, inclusiv pensiile, precum şi în scopuri de securitate, supraveghere şi alerta în materie de sanatate, pentru prevenirea sau controlul bolilor transmisibile şi a altor ameninţari grave la adresa sanataţii. Aceasta derogare poate fi acordata în scopuri medicale, inclusiv sanatatea publica şi gestionarea serviciilor de asistenţa medicala, în special în vederea asigurarii calitaţii şi eficienţei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluţionarea cererilor de prestaţii şi servicii în cadrul sistemului de asigurari de sanatate, sau în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisa, printr-o derogare, atunci când este necesara pentru constatarea, exercitarea sau apararea unui drept în justiţie, indiferent daca are loc în cadrul unei

proceduri în faţa unei instanţe sau în cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53)Categoriile speciale de date cu caracter personal care necesita un nivel mai ridicat de protecţie ar trebui prelucrate doar în scopuri legate de sanatate atunci când este necesar pentru realizarea acestor scopuri în beneficiul persoanelor fizice şi al societaţii în general, în special în contextul gestionarii serviciilor şi sistemelor de sanatate sau de asistenţa sociala, inclusiv prelucrarea acestor date de catre autoritaţile de management şi de catre autoritaţile centrale naţionale din domeniul sanataţii în scopul controlului calitaţii, furnizarii de informaţii de gestiune şi al supravegherii generale a sistemului de sanatate sau de asistenţa sociala la nivel naţional şi local, precum şi în contextul asigurarii continuitaţii asistenţei medicale sau sociale şi a asistenţei medicale transfrontaliere ori în scopuri de securitate, supraveghere şi alerta în materie de sanatate ori în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice în temeiul dreptului Uniunii sau al dreptului intern, care trebuie sa urmareasca un obiectiv de interes public, precum şi în cazul studiilor realizate în interes public în domeniul sanataţii publice. Prin urmare, prezentul regulament ar trebui sa prevada condiţii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sanatatea, în ceea ce priveşte nevoile specifice, în special atunci când prelucrarea acestor date este efectuata în anumite scopuri legate de sanatate de catre persoane care fac obiectul unei obligaţii legale de a pastra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui sa prevada masuri specifice şi adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui sa aiba posibilitatea de a menţine sau de a introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea. Totuşi, acest lucru nu ar trebui sa împiedice libera circulaţie a datelor cu caracter personal în cadrul Uniunii atunci când aceste condiţii se aplica prelucrarii transfrontaliere a unor astfel de date.

(54)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesara din motive de interes public în domeniile sanataţii publice, fara consimţamântul persoanei vizate. O astfel de prelucrare ar trebui condiţionata de masuri adecvate şi specifice destinate sa protejeze drepturile şi libertaţile persoanelor fizice. În acest context, conceptul de „sanatate publica” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului (1), şi anume toate elementele referitoare la sanatate şi anume starea de sanatate, inclusiv morbiditatea sau handicapul, factorii determinanţi care au efect asupra starii de sanatate, necesitaţile în domeniul asistenţei medicale, resursele alocate asistenţei medicale, furnizarea asistenţei medicale şi asigurarea accesului universal la aceasta, precum şi cheltuielile şi sursele de finanţare în domeniul sanataţii şi cauzele mortalitaţii. Aceasta prelucrare a datelor privind sanatatea din motive de interes public nu ar trebui sa duca la prelucrarea acestor date în alte scopuri de catre parţi terţe, cum ar fi angajatorii sau societaţile de asigurari şi bancile.

(1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sanatatea publica, precum şi la sanatatea şi siguranţa la locul de munca (JO L 354, 31.12.2008, p. 70).
(55)În plus, prelucrarea datelor cu caracter personal de catre autoritaţile publice în vederea realizarii obiectivelor prevazute de dreptul constituţional sau de dreptul internaţional public, ale asociaţiilor religioase recunoscute oficial se efectueaza din motive de interes public.

(56)În cazul în care, în cadrul activitaţilor electorale, funcţionarea sistemului democratic necesita, într- un stat membru, ca partidele politice sa colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisa din motive de interes public, cu condiţia sa se prevada garanţiile corespunzatoare.

(57)Daca datele cu caracter personal prelucrate de un operator nu îi permit acestuia sa identifice o persoana fizica, operatorul de date nu ar trebui sa aiba obligaţia de a obţine informaţii suplimentare în vederea identificarii persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziţiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui sa refuze sa preia informaţiile suplimentare furnizate de persoana vizata cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui sa includa identificarea digitala a unei persoane vizate, de exemplu prin mecanisme de

autentificare precum aceleaşi acreditari utilizate de catre persoana vizata pentru a accesa serviciile online oferite de operatorul de date.
(58)Principiul transparenţei prevede ca orice informaţii care se adreseaza publicului sau persoanei vizate sa fie concise, uşor accesibile şi uşor de înţeles şi sa se utilizeze un limbaj simplu şi clar, precum şi vizualizare acolo unde este cazul. Aceste informaţii ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important în special în situaţii în care datorita multitudinii actorilor şi a complexitaţii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizata sa ştie şi sa înţeleaga daca datele cu caracter personal care o privesc sunt colectate, de catre cine şi în ce scop, cum este cazul publicitaţii online. Întrucât copii necesita o protecţie specifica, orice informaţii şi orice comunicare, în cazul în care prelucrarea vizeaza un copil, ar trebui sa fie exprimate într-un limbaj simplu şi clar, astfel încât copilul sa îl poata înţelege cu uşurinţa.

(59)Ar trebui sa fie prevazute modalitaţi de facilitare a exercitarii de catre persoana vizata a drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita şi, daca este cazul, obţine, în mod gratuit, în special, acces la datele cu caracter personal, precum şi rectificarea sau ştergerea acestora, şi exercitarea dreptului la opoziţie. Operatorul ar trebui sa ofere, de asemenea, modalitaţi de introducere a cererilor pe cale electronica, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui sa aiba obligaţia de a raspunde cererilor persoanelor vizate fara întârzieri nejustificate şi cel târziu în termen de o luna şi, în cazul în care nu intenţioneaza sa se conformeze respectivele cereri, sa motiveze acest refuz.(60)Conform principiilor prelucrarii echitabile şi transparente, persoana vizata este informata cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui sa furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabila şi transparenta, ţinând seama de circumstanţele specifice şi de contextul în care sunt prelucrate datele cu caracter personal. În plus, persoana vizata ar trebui informata cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizata, aceasta ar trebui informata, de asemenea, daca are obligaţia de a furniza datele cu caracter personal şi care sunt consecinţele în cazul unui refuz. Aceste informaţii pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea ar trebui sa poata fi citite automat.

(61)Informaţiile în legatura cu prelucrarea datelor cu caracter personal referitoare la persoana vizata ar trebui furnizate acesteia la momentul colectarii de la persoana vizata sau, în cazul în care datele cu caracter personal sunt obţinute din alta sursa, într-o perioada rezonabila, în funcţie de circumstanţele cazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizata ar trebui informata atunci când datele cu caracter personal sunt divulgate pentru prima data destinatarului. În cazul în care operatorul intenţioneaza sa prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui sa furnizeze persoanei vizate, înainte de aceasta prelucrare ulterioara, informaţii privind scopul secundar respectiv şi alte informaţii necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicata persoanei vizate din cauza ca au fost utilizate surse diverse, informaţiile generale ar trebui furnizate. (62)Cu toate acestea, nu este necesara impunerea obligaţiei de a furniza informaţii în cazul în care persoana vizata deţine deja informaţiile, în cazul în care înregistrarea sau divulgarea datelor cu caracter personal este prevazuta în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedeşte imposibila sau ar implica eforturi disproporţionate. Acesta din urma ar putea fi cazul în special atunci când prelucrarea se efectueaza în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice. În aceasta privinţa, ar trebui luate în considerare numarul persoanelor vizate, vechimea datelor şi orice garanţii adecvate adoptate.

(63)O persoana vizata ar trebui sa aiba drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui sa îşi exercite acest drept cu uşurinţa şi la intervale de timp rezonabile, pentru a fi informata cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sanatatea, de exemplu datele din registrele lor

medicale conţinând informaţii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor curanţi şi orice tratament sau intervenţie efectuata. Orice persoana vizata ar trebui, prin urmare, sa aiba dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, daca este posibil perioada pentru care se prelucreaza datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automata a datelor cu caracter personal şi, cel puţin în cazul în care se bazeaza pe crearea de profiluri, consecinţele unei astfel de prelucrari. Daca acest lucru este posibil, operatorul de date ar trebui sa poata furniza acces de la distanţa la un sistem sigur, care sa ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui sa aduca atingere drepturilor sau libertaţilor altora, inclusiv secretului comercial sau proprietaţii intelectuale şi, în special, drepturilor de autor care asigura protecţia programelor software. Cu toate acestea, consideraţiile de mai sus nu ar trebui sa aiba drept rezultat refuzul de a furniza toate informaţiile persoanei vizate. Atunci când operatorul prelucreaza un volum mare de informaţii privind persoana vizata, operatorul ar trebui sa poata solicita ca, înainte de a îi fi furnizate informaţiile, persoana vizata sa precizeze informaţiile sau activitaţile de prelucrare la care se refera cererea sa. (64)Operatorul ar trebui sa ia toate masurile rezonabile pentru a verifica identitatea unei persoane vizate care solicita acces la date, în special în contextul serviciilor online şi al identificatorilor online. Un operator nu ar trebui sa reţina datele cu caracter personal în scopul exclusiv de a fi în masura sa reacţioneze la cereri potenţiale.

(65)O persoana vizata ar trebui sa aiba dreptul la rectificarea datelor cu caracter personal care o privesc şi „dreptul de a fi uitata”, în cazul în care pastrarea acestor date încalca prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa caruia intra operatorul. În special, persoanele vizate ar trebui sa aiba dreptul ca datele lor cu caracter personal sa fie şterse şi sa nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate şi-au retras consimţamântul pentru prelucrare sau în cazul în care acestea se opun prelucrarii datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conforma cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizata şi-a dat consimţamântul când era copil şi nu cunoştea pe deplin riscurile pe care le implica prelucrarea, iar ulterior doreşte sa elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizata ar trebui sa aiba posibilitatea de a-şi exercita acest drept în pofida faptului ca nu mai este copil. Cu toate acestea, pastrarea în continuare a datelor cu caracter personal ar trebui sa fie legala în cazul în care este necesara pentru exercitarea dreptului la libertatea de exprimare şi de informare, pentru respectarea unei obligaţii legale, pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este învestit operatorul, din motive de interes public în domeniul sanataţii publice, în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice sau pentru constatarea, exercitarea sau apararea unui drept în instanţa.

(66)Pentru a se consolida „dreptul de a fi uitat” în mediul online, dreptul de ştergere ar trebui sa fie extins astfel încât un operator care a facut publice date cu caracter personal ar trebui sa aiba obligaţia de a informa operatorii care prelucreaza respectivele date cu caracter personal sa ştearga orice linkuri catre datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauza ar trebui sa ia masuri rezonabile, ţinând seama de tehnologia disponibila şi de mijloacele aflate la dispoziţia lui, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal în ceea ce priveşte cererea persoanei vizate.

(67)Metodele de restricţionare a prelucrarii de date cu caracter personal ar putea include, printre altele, mutarea temporara a datelor cu caracter personal selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlaturarea temporara a datelor publicate de pe un site. În ceea ce priveşte sistemele automatizate de evidenţa a datelor, restricţionarea prelucrarii ar trebui, în principiu, asigurata prin mijloace tehnice în aşa fel încât datele cu caracter personal sa nu faca obiectul unor operaţiuni de prelucrare ulterioara şi sa nu mai poata fi schimbate. Faptul ca prelucrarea datelor cu caracter personal este restricţionata ar trebui indicat în mod clar în sistem.

(68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizata ar trebui, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, sa poata primi datele cu caracter personal care o privesc şi pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod curent, prelucrabil automat şi interoperabil şi sa le poata transmite unui alt operator. Operatorii de date ar trebui sa fie încurajaţi sa dezvolte formate interoperabile care sa permita portabilitatea datelor. Acest drept ar trebui sa se aplice în cazul în care persoana vizata a furnizat datele cu caracter personal pe baza propriului consimţamânt sau în cazul în care prelucrarea datelor este necesara pentru executarea unui contract. Acest drept nu ar trebui sa se aplice în cazul în care prelucrarea se bazeaza pe un alt temei juridic decât consimţamântul sau contractul. Prin însaşi natura sa, acest drept nu ar trebui exercitat împotriva operatorilor care prelucreaza date cu caracter personal în cadrul exercitarii funcţiilor lor publice. Acesta nu ar trebui sa se aplice în special în cazul în care prelucrarea de date cu caracter personal este necesara în vederea respectarii unei obligaţii legale careia îi este supus operatorul sau în cazul îndeplinirii unei sarcini care serveşte unui interes public sau care rezulta din exercitarea unei autoritaţi publice cu care este învestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui sa creeze pentru operatori obligaţia de a adopta sau de a menţine sisteme de prelucrare care sa fie compatibile din punct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui sa aduca atingere drepturilor şi libertaţilor altor persoane vizate, în conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui sa aduca atingere dreptului persoanei vizate de a obţine ştergerea datelor cu caracter personal şi limitarilor dreptului respectiv, astfel cum sunt prevazute în prezentul regulament, şi nu ar trebui, în special, sa implice ştergerea acelor date cu caracter personal referitoare la persoana vizata care au fost furnizate de catre aceasta în vederea executarii unui contract, în masura în care şi atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizata ar trebui sa aiba dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul, daca acest lucru este fezabil din punct de vedere tehnic.

(69)În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal deoarece prelucrarea este necesara pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este învestit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei parţi terţe, o persoana vizata ar trebui sa aiba totuşi dreptul de a se opune prelucrarii oricaror date cu caracter personal care se refera la situaţia sa particulara. Ar trebui sa revina operatorului sarcina de a demonstra ca interesele sale legitime şi imperioase prevaleaza asupra intereselor sau a drepturilor şi libertaţilor fundamentale ale persoanei vizate.

(70)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizata ar trebui sa aiba dreptul de a se opune unei astfel de prelucrari, inclusiv crearii de profiluri în masura în care aceasta are legatura cu marketingul direct, indiferent daca prelucrarea în cauza este cea iniţiala sau una ulterioara, în orice moment şi în mod gratuit. Acest drept ar trebui adus în mod explicit în atenţia persoanei vizate şi prezentat în mod clar şi separat de orice alte informaţii.

(71)Persoana vizata ar trebui sa aiba dreptul de a nu face obiectul unei decizii, care poate include o masura, care evalueaza aspecte personale referitoare la persoana vizata, care se bazeaza exclusiv pe

prelucrarea automata şi care produce efecte juridice care privesc persoana vizata sau o afecteaza în mod similar într-o masura semnificativa, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronica, fara intervenţie umana. O astfel de prelucrare include „crearea de profiluri”, care consta în orice forma de prelucrare automata a datelor cu caracter personal

prin evaluarea aspectelor personale referitoare la o persoana fizica, în special în vederea analizarii sau preconizarii anumitor aspecte privind randamentul la locul de munca al persoanei vizate, situaţia economica, starea de sanatate, preferinţele sau interesele personale, fiabilitatea sau comportamentul,

locaţia sau deplasarile, atunci când aceasta produce efecte juridice care privesc persoana vizata sau o afecteaza în mod similar într-o masura semnificativa. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrari, inclusiv crearea de profiluri, ar trebui permisa în cazul în care este autorizata în mod expres în dreptul Uniunii sau în dreptul intern care se aplica operatorului, inclusiv în scopul

monitorizarii şi prevenirii fraudei şi a evaziunii fiscale, desfaşurate în conformitate cu reglementarile,

standardele şi recomandarile instituţiilor Uniunii sau ale organismelor naţionale de supraveghere, şi în scopul asigurarii securitaţii şi fiabilitaţii unui serviciu oferit de operator sau în cazul în care este

necesara pentru încheierea sau executarea unui contract între persoana vizata şi un operator sau în cazul în care persoana vizata şi-a dat în mod explicit consimţamântul. În orice caz, o astfel de prelucrare ar trebui sa faca obiectul unor garanţii corespunzatoare, care ar trebui sa includa o informare specifica a persoanei vizate şi dreptul acesteia de a obţine intervenţie umana, de a-şi

exprima punctul de vedere, de a primi o explicaţie privind decizia luata în urma unei astfel de evaluari,

precum şi dreptul de a contesta decizia. O astfel de masura nu ar trebui sa se refere la un copil.

Pentru a asigura o prelucrare echitabila şi transparenta în ceea ce priveşte persoana vizata, având în

vedere circumstanţele specifice şi contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui sa utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, sa implementeze masuri tehnice şi organizatorice adecvate pentru a asigura în special faptul ca factorii care duc la inexactitaţi ale datelor cu caracter personal sunt corectaţi şi ca riscul de erori este

redus la minimum, precum şi sa securizeze datele cu caracter personal într-un mod care sa ţina seama de pericolele potenţiale la adresa intereselor şi drepturilor persoanei vizate şi sa previna, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasa sau origine etnica, opinii politice, religie

sau convingeri, apartenenţa sindicala, caracteristici genetice, stare de sanatate sau orientare sexuala sau prelucrari care sa duca la masuri care sa aiba astfel de efecte. Procesul decizional automatizat şi crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise

numai în condiţii specifice.

(la data 23-mai-2018 alin. (71

) rectificat de punctul 1. din Rectificare din 23-mai-2018 )
(72)Crearea de profiluri este supusa normelor prezentului regulament care reglementeaza prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrarii sau principiile de protecţie a datelor. Comitetul european pentru protecţia datelor instituit prin prezentul regulament („comitetul”) ar trebui sa poata emite orientari în acest context.
(73)Dreptul Uniunii sau dreptul intern poate impune restricţii în privinţa unor principii specifice, în privinţa dreptului de informare, a dreptului de acces la datele cu caracter personal şi de rectificare sau ştergere a acestora, în privinţa dreptului la portabilitatea datelor, a dreptului la opoziţie, a deciziilor bazate pe crearea de profiluri, precum şi în privinţa comunicarii unei încalcari a securitaţii datelor cu caracter personal persoanei vizate şi a anumitor obligaţii conexe ale operatorilor, în masura în care acest lucru este necesar şi proporţional într-o societate democratica pentru a se garanta siguranţa publica, inclusiv protecţia vieţii oamenilor, în special ca raspuns la dezastre naturale sau provocate de om, prevenirea, investigarea şi urmarirea penala a infracţiunilor sau executarea pedepselor, inclusiv protejarea împotriva ameninţarilor la adresa siguranţei publice sau împotriva încalcarii eticii în cazul profesiilor reglementate şi prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, menţinerea de registre publice din motive de interes public general, prelucrarea ulterioara a datelor cu caracter personal arhivate pentru a transmite informaţii specifice legate de comportamentul politic în perioada regimurilor fostelor state totalitare, protecţia persoanei vizate sau a drepturilor şi libertaţilor unor terţi, inclusiv protecţia sociala, sanatatea publica şi scopurile umanitare. Aceste restricţii ar trebui sa fie conforme cu cerinţele prevazute de carta şi de Convenţia europeana pentru apararea drepturilor omului şi a libertaţilor fundamentale.
(74)Ar trebui sa se stabileasca responsabilitatea şi raspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuata de catre acesta sau în numele sau. În special, operatorul ar trebui sa fie obligat sa implementeze masuri adecvate şi eficace şi sa fie în masura sa demonstreze conformitatea activitaţilor de prelucrare cu prezentul regulament, inclusiv eficacitatea masurilor. Aceste masuri ar trebui sa ţina seama de natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi de riscul pentru drepturile şi libertaţile persoanelor fizice.
(75)Riscul pentru drepturile şi libertaţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrari a datelor cu caracter personal care ar putea genera prejudicii de natura fizica, materiala sau morala, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau frauda a identitaţii, pierdere financiara, compromiterea

reputaţiei, pierderea confidenţialitaţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizata a pseudonimizarii sau la orice alt dezavantaj semnificativ de natura economica sau sociala; persoanele vizate ar putea fi private de drepturile şi libertaţile lor sau împiedicate sa-şi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvaluie originea rasiala sau etnica, opiniile politice, religia sau convingerile filozofice, apartenenţa sindicala; sunt prelucrate date genetice, date privind sanatatea sau date privind viaţa sexuala sau privind condamnarile penale şi infracţiunile sau masurile de securitate conexe; sunt evaluate aspecte de natura personala, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de munca, situaţia economica, starea de sanatate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasarile, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implica un volum mare de date cu caracter personal şi afecteaza un numar larg de persoane vizate.

(76)Probabilitatea de a se materializa şi gravitatea riscului pentru drepturile şi libertaţile persoanei vizate ar trebui sa fie determinate în funcţie de natura, domeniul de aplicare, contextul şi scopurile prelucrarii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluari obiective prin care se stabileşte daca operaţiunile de prelucrare a datelor prezinta un risc sau un risc ridicat. (77)Orientari pentru implementarea unor masuri adecvate şi pentru demonstrarea conformitaţii de catre operator sau persoana împuternicita de operator, mai ales în ceea ce priveşte identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilitaţii de a se materializa şi al gravitaţii, precum şi identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite în special prin coduri de conduita aprobate, certificari aprobate, orientari ale comitetului sau prin indicaţii furnizate de un responsabil cu protecţia datelor. Comitetul poate, de asemenea, sa emita orientari cu privire la operaţiunile de prelucrare care sunt considerate puţin susceptibile de a genera un risc ridicat pentru drepturile şi libertaţile persoanelor fizice şi sa indice masurile care se pot dovedi suficiente în asemenea cazuri pentru a aborda un astfel de risc.

(78)Protecţia drepturilor şi libertaţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice şi organizatorice corespunzatoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne şi sa puna în aplicare masuri care sa respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, în reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranţa şi sa le îmbunataţeasca. Atunci când elaboreaza, proiecteaza, selecteaza şi utilizeaza aplicaţii, servicii şi produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-şi îndeplini rolul, producatorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui sa fie încurajaţi sa aiba în vedere dreptul la protecţia datelor la momentul elaborarii şi proiectarii unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii şi persoanele împuternicite de operatori sunt în masura sa îşi îndeplineasca obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui sa fie luate în considerare şi în contextul licitaţiilor publice.

(79)Protecţia drepturilor şi libertaţilor persoanelor vizate, precum şi responsabilitatea şi raspunderea operatorilor şi a persoanelor împuternicite de operator, inclusiv în ceea ce priveşte monitorizarea de catre autoritaţile de supraveghere şi masurile adoptate de acestea, necesita o atribuire clara a responsabilitaţilor în temeiul prezentului regulament, inclusiv în cazul în care un operator stabileşte scopurile şi mijloacele prelucrarii împreuna cu alţi operatori sau în cazul în care o operaţiune de prelucrare este efectuata în numele unui operator.

(80)Atunci când un operator sau o persoana împuternicita de operator care nu este stabilita în Uniune prelucreaza date cu caracter personal ale unor persoane vizate care se afla pe teritoriul Uniunii, iar

activitaţile sale de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent daca se solicita sau nu efectuarea unei plaţi de catre persoana vizata, sau cu monitorizarea comportamentului unor persoane vizate daca acesta se manifesta în cadrul Uniunii, operatorul sau persoana împuternicita de operator ar trebui sa desemneze un reprezentant, cu excepţia cazului în care prelucrarea are caracter ocazional, nu include prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal şi nici prelucrarea de date referitoare la condamnari penale şi la infracţiuni, şi este puţin susceptibila sa genereze un risc pentru drepturile şi libertaţile persoanelor fizice, având în vedere natura, contextul, domeniul de aplicare şi scopurile prelucrarii, precum şi a cazului în care operatorul este o autoritate publica sau un organism public. Reprezentantul ar trebui sa acţioneze în numele operatorului sau al persoanei împuternicite de operator, putând fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat în mod explicit, printr-un mandat scris al operatorului sau al persoanei împuternicite de operator, sa acţioneze în numele acestuia (acesteia) în ceea ce priveşte obligaţiile lor în temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilitaţii sau raspunderii operatorului sau a persoanei împuternicite de operator în temeiul prezentului regulament. Un astfel de reprezentant ar trebui sa îşi îndeplineasca sarcinile în conformitate cu mandatul primit de la operator sau de la persoana împuternicita de operator, inclusiv sa coopereze cu autoritaţile de supraveghere competente în ceea ce priveşte orice acţiune întreprinsa pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui sa fie supus unor proceduri de asigurare a respectarii legii în cazul nerespectarii prezentului regulament de catre operator sau de catre persoana împuternicita de operator.

(81)Pentru a asigura respectarea cerinţelor impuse de prezentul regulament în ceea ce priveşte prelucrarea care trebuie efectuata în numele operatorului de catre persoana împuternicita de operator, atunci când atribuie activitaţi de prelucrare unei persoane împuternicite de operator, acesta din urma ar trebui sa utilizeze numai persoane împuternicite care ofera garanţii suficiente, în special în ceea ce priveşte cunoştinţele de specialitate, fiabilitatea şi resursele, pentru a implementa masuri tehnice şi organizatorice care îndeplinesc cerinţele impuse de prezentul regulament, inclusiv pentru securitatea prelucrarii. Aderarea de catre persoana împuternicita de operator la un cod de conduita aprobat sau la un mecanism de certificare aprobat poate fi utilizata drept element care sa demonstreze respectarea obligaţiilor de catre operator. Efectuarea prelucrarii de catre o persoana împuternicita de un operator ar trebui sa fie reglementata printr-un contract sau un alt tip de act juridic, în temeiul dreptului Uniunii sau al dreptului intern, care creeaza obligaţii pentru persoana împuternicita de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrarii, natura şi scopurile prelucrarii, tipul de date cu caracter personal şi categoriile de persoane vizate, şi ar trebui sa ţina seama de sarcinile şi responsabilitaţile specifice ale persoanei împuternicite de operator în contextul prelucrarii care trebuie efectuata, precum şi de riscul pentru drepturile şi libertaţile persoanei vizate. Operatorul şi persoana împuternicita de operator pot alege sa utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere în conformitate cu mecanismul de asigurare a coerenţei şi apoi adoptate de Comisie. Dupa finalizarea prelucrarii în numele operatorului, persoana împuternicita de operator ar trebui sa returneze sau sa ştearga, în funcţie de opţiunea operatorului, datele cu caracter personal, cu excepţia cazului în care exista o cerinţa de stocare a datelor cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituie obligaţii pentru persoana împuternicita de operator.

(82)În vederea demonstrarii conformitaţii cu prezentul regulament, operatorul sau persoana împuternicita de operator ar trebui sa pastreze evidenţe ale activitaţilor de prelucrare aflate în responsabilitatea sa. Fiecare operator şi fiecare persoana împuternicita de operator ar trebui sa aiba obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizarii operaţiunilor de prelucrare respective. (83)În vederea menţinerii securitaţii şi a prevenirii prelucrarilor care încalca prezentul regulament, operatorul sau persoana împuternicita de operator ar trebui sa evalueze riscurile inerente prelucrarii şi sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv confidenţialitatea, luând în considerare stadiul actual al dezvoltarii şi costurile implementarii în raport cu riscurile şi cu natura datelor cu

caracter personal a caror protecţie trebuie asigurata. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui sa se acorde atenţie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.

(84)Pentru a favoriza respectarea dispoziţiilor prezentului regulament în cazurile în care operaţiunile de prelucrare sunt susceptibile sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, operatorul ar trebui sa fie responsabil de efectuarea unei evaluari a impactului asupra protecţiei datelor, care sa estimeze, în special, originea, natura, specificitatea şi gravitatea acestui risc. Rezultatul evaluarii ar trebui luat în considerare la stabilirea masurilor adecvate care trebuie luate pentru a demonstra ca prelucrarea datelor cu caracter personal respecta prezentul regulament. În cazul în care o evaluare a impactului asupra protecţiei datelor arata ca operaţiunile de prelucrare implica un risc ridicat, pe care operatorul nu îl poate atenua prin masuri adecvate sub aspectul tehnologiei disponibile şi al costurilor implementarii, ar trebui sa aiba loc o consultare a autoritaţii de supraveghere înainte de prelucrare.

(85)Daca nu este soluţionata la timp şi într-un mod adecvat, o încalcare a securitaţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau frauda de identitate, pierdere financiara, inversarea neautorizata a pseudonimizarii, compromiterea reputaţiei, pierderea confidenţialitaţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natura economica sau sociala adus persoanei fizice în cauza. Prin urmare, de îndata ce a luat cunoştinţa de producerea unei încalcari a securitaţii datelor cu caracter personal, operatorul ar trebui sa notifice aceasta încalcare autoritaţii de supraveghere, fara întârziere nejustificata şi, daca este posibil, în cel mult 72 de ore dupa ce a luat la cunoştinţa de existenţa acesteia, cu excepţia cazului în care operatorul este în masura sa demonstreze, în conformitate cu principiul responsabilitaţii, ca încalcarea securitaţii datelor cu caracter personal nu este susceptibila sa genereze un risc pentru drepturile şi libertaţile persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui sa cuprinda motivele întârzierii, iar informaţiile pot fi furnizate treptat, fara alta întârziere.

(86)Operatorul ar trebui sa comunice persoanei vizate o încalcare a securitaţii datelor cu caracter personal, fara întârzieri nejustificate, atunci când încalcarea este susceptibila sa genereze un risc ridicat pentru drepturile şi libertaţile persoanei fizice, pentru a-i permite sa ia masurile de precauţie necesare. Comunicarea ar trebui sa descrie natura încalcarii securitaţii datelor cu caracter personal şi sa cuprinda recomandari pentru persoana fizica în cauza în scopul atenuarii eventualelor efecte negative. Comunicarile catre persoanele vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil şi în strânsa cooperare cu autoritatea de supraveghere, respectându-se orientarile furnizate de aceasta sau de alte autoritaţi competente, cum ar fi autoritaţile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine catre persoanele vizate, în timp ce necesitatea de a implementa masuri corespunzatoare împotriva încalcarii în continuare a securitaţii datelor cu caracter personal sau împotriva unor încalcari similare ale securitaţii datelor cu caracter personal ar putea justifica un termen mai îndelungat pentru comunicare. (87)Ar trebui sa se stabileasca daca au fost implementate toate masurile tehnologice de protecţie şi organizatorice corespunzatoare în scopul de a se stabili imediat daca s-a produs o încalcare a securitaţii datelor cu caracter personal şi de a se informa cu promptitudine autoritatea de supraveghere şi persoana vizata. Faptul ca notificarea a fost efectuata fara întârziere nejustificata ar trebui stabilit luându-se în considerare, în special, natura şi gravitatea încalcarii securitaţii datelor cu caracter personal, precum şi consecinţele şi efectele negative ale acesteia asupra persoanei vizate. Aceasta notificare poate conduce la o intervenţie a autoritaţii de supraveghere, în conformitate cu sarcinile şi competenţele specificate în prezentul regulament.

(88)La stabilirea de norme detaliate privind formatul şi procedurile aplicabile notificarii referitoare la încalcarile securitaţii datelor cu caracter personal, ar trebui sa se acorde atenţia cuvenita circumstanţelor în care a avut loc încalcarea, stabilindu-se inclusiv daca protecţia datelor cu caracter

personal a fost sau nu a fost asigurata prin masuri tehnice de protecţie corespunzatoare, care sa limiteze efectiv probabilitatea fraudarii identitaţii sau a altor forme de utilizare abuziva. În plus, astfel de norme şi proceduri ar trebui sa ţina cont de interesele legitime ale autoritaţilor de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanţelor în care a avut loc o încalcare a datelor cu caracter personal.

(89)Directiva 95/46/CE a prevazut o obligaţie generala de a notifica prelucrarea datelor cu caracter personal autoritaţilor de supraveghere. Cu toate ca obligaţia respectiva genereaza sarcini administrative şi financiare, aceasta nu a contribuit întotdeauna la îmbunataţirea protecţiei datelor cu caracter personal. Prin urmare, astfel de obligaţii de notificare generala nediferenţiata ar trebui sa fie abrogate şi înlocuite cu proceduri şi mecanisme eficace care sa puna accentul, în schimb, pe acele tipuri de operaţiuni de prelucrare susceptibile sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice prin însaşi natura lor, prin domeniul lor de aplicare, prin contextul şi prin scopurile lor. Astfel de tipuri de operaţiuni de prelucrare pot fi cele care presupun, în special, utilizarea unor noi tehnologii sau care reprezinta un nou tip de operaţiuni, pentru care nicio evaluare a impactului asupra protecţiei datelor nu a fost efectuata anterior de catre operator ori care devin necesare data fiind perioada de timp care s-a scurs de la prelucrarea iniţiala.

(90)În astfel de cazuri, operatorul ar trebui sa efectueze, înainte de prelucrare, o evaluare a impactului asupra protecţiei datelor, în scopul evaluarii gradului specific de probabilitate a materializarii riscului ridicat şi gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi sursele riscului. Respectiva evaluare a impactului ar trebui sa includa, în special, masurile, garanţiile şi mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecţiei datelor cu caracter personal şi pentru demonstrarea conformitaţii cu prezentul regulament.

(91)Aceasta ar trebui sa se aplice, în special, operaţiunilor de prelucrare la scara larga, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naţional sau supranaţional, care ar putea afecta un numar mare de persoane vizate şi care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitaţii lor, în cazul în care, în conformitate cu nivelul atins al cunoştinţelor tehnologice, se foloseşte la scara larga o tehnologie noua, precum şi altor operaţiuni de prelucrare care genereaza un risc ridicat pentru drepturile şi libertaţile persoanelor vizate, în special în cazul în care operaţiunile respective limiteaza capacitatea persoanelor vizate de a-şi exercita drepturile. Ar trebui efectuata o evaluare a impactului asupra protecţiei datelor şi în situaţiile în care datele cu caracter personal sunt prelucrate în scopul luarii de decizii care vizeaza anumite persoane fizice în urma unei evaluari sistematice şi cuprinzatoare a aspectelor personale referitoare la persoane fizice, pe baza crearii de profiluri pentru datele respective, sau în urma prelucrarii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnarile penale şi infracţiunile sau masurile de securitate conexe. Este la fel de necesara o evaluare a impactului asupra protecţiei datelor pentru monitorizarea la scara larga a zonelor accesibile publicului, mai ales în cazul utilizarii dispozitivelor optoelectronice sau pentru orice alte operaţiuni în cazul în care autoritatea de supraveghere competenta considera ca prelucrarea este susceptibila de a genera un risc ridicat pentru drepturile şi libertaţile persoanelor vizate, în special deoarece acestea împiedica persoanele vizate sa exercite un drept sau sa utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate în mod sistematic la scara larga. Prelucrarea datelor cu caracter personal nu ar trebui considerata a fi la scara larga în cazul în care prelucrarea se refera la date cu caracter personal de la pacienţi sau clienţi de catre un anumit medic, un alt profesionist în domeniul sanataţii sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecţiei datelor nu ar trebui sa fie obligatorie.

(92)În unele circumstanţe ar putea fi rezonabil şi util din punct de vedere economic ca o evaluare a impactului asupra protecţiei datelor sa aiba o perspectiva mai extinsa decât cea a unui singur proiect, de exemplu în cazul în care autoritaţi sau organisme publice intenţioneaza sa instituie o aplicaţie sau o platforma de prelucrare comuna sau în cazul în care mai mulţi operatori preconizeaza sa introduca o aplicaţie comuna sau un mediu de prelucrare comun în cadrul unui sector sau segment industrial sau pentru o activitate orizontala utilizata la scara larga.

(93)În contextul adoptarii legislaţiei naţionale pe care se bazeaza îndeplinirea sarcinilor autoritaţii publice sau ale organismului public şi care reglementeaza operaţiunea sau seria de operaţiuni de prelucrare în cauza, statele membre pot considera ca este necesara efectuarea unei astfel de evaluari înaintea desfaşurarii activitaţilor de prelucrare.

(94)În cazul în care o evaluare a impactului asupra protecţiei datelor arata ca prelucrarea ar genera, în absenţa garanţiilor, masurilor de securitate şi mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, iar operatorul considera ca riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile şi al costurilor implementarii, autoritatea de supraveghere ar trebui sa fie consultata înainte de începerea activitaţilor de prelucrare. Un astfel de risc ridicat este susceptibil sa fie generat de anumite tipuri de prelucrare, precum şi de amploarea şi frecvenţa prelucrarii, care pot duce şi la producerea unor prejudicii sau pot atinge drepturile şi libertaţile persoanelor fizice. Autoritatea de supraveghere ar trebui sa raspunda cererii de consultare într-un anumit termen. Cu toate acestea, lipsa unei reacţii din partea autoritaţii de supraveghere în termenul respectiv ar trebui sa nu aduca atingere niciunei intervenţii a autoritaţii de supraveghere în conformitate cu sarcinile şi competenţele sale prevazute în prezentul regulament, inclusiv competenţa de a interzice operaţiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluari a impactului asupra protecţiei datelor efectuate cu privire la prelucrarea în cauza poate fi transmis autoritaţii de supraveghere, în special masurile avute în vedere pentru a atenua riscul pentru drepturile şi libertaţile persoanelor fizice.

(95)Persoana împuternicita de operator ar trebui sa acorde asistenţa operatorului, daca este necesar şi la cerere, la asigurarea respectarii obligaţiilor care decurg din realizarea de evaluari ale impactului asupra protecţiei datelor şi din consultarea prealabila a autoritaţii de supraveghere.
(96)În timpul elaborarii unei masuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, sa aiba loc o consultare a autoritaţii de supraveghere, pentru a garanta conformitatea prelucrarii avute în vedere cu prezentul regulament şi, în special, pentru a atenua riscul la care este expusa persoana vizata.

(97)În cazul în care prelucrarea este efectuata de o autoritate publica, cu excepţia instanţelor sau a autoritaţilor judiciare independente atunci când acţioneaza în calitatea lor judiciara, în cazul în care, în sectorul privat, prelucrarea este efectuata de un operator a carui activitate principala consta în operaţiuni de prelucrare care necesita o monitorizare regulata şi sistematica a persoanelor vizate pe scara larga, sau în cazul în care activitatea principala a operatorului sau a persoanei împuternicite de operator consta în prelucrarea pe scara larga de categorii speciale de date cu caracter personal şi de date privind condamnarile penale şi infracţiunile, o persoana care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor ar trebui sa acorde asistenţa operatorului sau persoanei împuternicite de operator pentru monitorizarea conformitaţii, la nivel intern, cu prezentul regulament. În sectorul privat, activitaţile principale ale unui operator se refera la activitaţile sale de baza, şi nu la prelucrarea datelor cu caracter personal drept activitaţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui sa fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicita de operator. Aceşti responsabili cu protecţia datelor, indiferent daca sunt sau nu angajaţi ai operatorului, ar trebui sa fie în masura sa îşi îndeplineasca atribuţiile şi sarcinile în mod independent.

(98)Asociaţiile sau alte organisme care reprezinta categorii de operatori sau de persoane împuternicite de operatori ar trebui încurajate sa elaboreze coduri de conduita, în limitele prezentului regulament, astfel încât sa se faciliteze aplicarea efectiva a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrarii efectuate în anumite sectoare şi necesitaţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii. În special, astfel de coduri de conduita ar putea sa ajusteze obligaţiile operatorilor şi ale persoanelor împuternicite de operatori, ţinând seama de riscul aferent prelucrarii care este susceptibil de a fi generat pentru drepturile şi libertaţile persoanelor fizice.

(99)Atunci când elaboreaza un cod de conduita sau când modifica sau extind un astfel de cod, asociaţiile şi alte organisme care reprezinta categorii de operatori sau persoane împuternicite de

operatori ar trebui sa consulte parţile implicate relevante, inclusiv persoanele vizate, daca este fezabil, şi sa ia în considerare contribuţiile transmise şi opiniile exprimate în cadrul unor astfel de consultari. (100)Pentru a se îmbunataţi transparenţa şi conformitatea cu prezentul regulament, ar trebui sa se încurajeze instituirea de mecanisme de certificare, precum şi de sigilii şi marci în materie de protecţie a datelor, care sa permita persoanelor vizate sa evalueze rapid nivelul de protecţie a datelor aferent produselor şi serviciilor relevante.

(101)Fluxurile de date cu caracter personal catre şi dinspre ţari situate în afara Uniunii şi organizaţii internaţionale sunt necesare pentru dezvoltarea comerţului internaţional şi a cooperarii internaţionale. Creşterea acestor fluxuri a generat noi provocari şi preocupari cu privire la protecţia datelor cu caracter personal. Cu toate acestea, în cazul în care se transfera date cu caracter personal din Uniune catre operatori, persoane împuternicite de operatori sau alţi destinatari din ţari terţe sau organizaţii internaţionale, nivelul de protecţie a persoanelor fizice asigurat în Uniune prin prezentul regulament nu ar trebui sa fie diminuat, inclusiv în cazurile de transferuri ulterioare de date cu caracter personal dinspre ţara terţa sau organizaţia internaţionala catre operatori, persoane împuternicite de operatori din aceeaşi sau dintr-o alta ţara terţa sau organizaţie internaţionala. În orice caz, transferurile catre ţari terţe şi organizaţii internaţionale pot fi desfaşurate numai în conformitate deplina cu prezentul regulament. Un transfer ar putea avea loc numai daca, sub rezerva respectarii celorlalte dispoziţii ale prezentului regulament, operatorul sau persoana împuternicita de operator îndeplineşte condiţiile prevazute de dispoziţiile prezentului regulament privind transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale.

(102)Prezentul regulament nu aduce atingere acordurilor internaţionale încheiate între Uniune şi ţari terţe în vederea reglementarii transferului de date cu caracter personal, inclusiv garanţii adecvate pentru persoanele vizate. Statele membre pot încheia acorduri internaţionale care implica transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale, în masura în care astfel de acorduri nu afecteaza prezentul regulament şi nici alte dispoziţii din dreptul Uniunii şi includ un nivel corespunzator de protecţie a drepturilor fundamentale ale persoanelor vizate.

(103)Comisia poate decide, cu efect în întreaga Uniune, ca o ţara terţa, un teritoriu sau un anumit sector dintr-o ţara terţa sau o organizaţie internaţionala ofera un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridica şi uniformitate în Uniune în ceea ce priveşte ţara terţa sau organizaţia internaţionala care este considerata a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal catre ţara terţa sau organizaţia internaţionala respectiva pot avea loc fara a fi necesar sa se obţina autorizari suplimentare. De asemenea, Comisia poate sa decida, dupa trimiterea unei notificari şi a unei justificari complete ţarii terţe sau organizaţiei internaţionale, sa anuleze o astfel de decizie.

(104)În conformitate cu valorile fundamentale pe care se întemeiaza Uniunea, în special protecţia drepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la ţara terţa sau la un teritoriu sau la un sector specificat dintr-o ţara terţa, sa ia în considerare modul în care aceasta respecta statul de drept, accesul la justiţie, precum şi normele şi standardele internaţionale în materie de drepturi ale omului şi legislaţia sa generala şi sectoriala, inclusiv legislaţia privind securitatea publica, apararea şi securitatea naţionala, precum şi ordinea publica şi dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecţie pentru un teritoriu sau un sector specificat dintr-o ţara terţa ar trebui sa ţina seama de criterii clare şi obiective, cum ar fi activitaţile specifice de prelucrare şi domeniul de aplicare al standardelor legale aplicabile şi legislaţia în vigoare în ţara terţa respectiva. Ţara terţa ar trebui sa ofere garanţii care sa asigure un nivel adecvat de protecţie, echivalent în esenţa cu cel asigurat în cadrul Uniunii, în special atunci când datele cu caracter personal sunt prelucrate în unul sau mai multe sectoare specifice. În special, ţara terţa ar trebui sa asigure o supraveghere efectiva independenta în materie de protecţie a datelor şi sa prevada mecanisme de cooperare cu autoritaţile statelor membre de protecţie a datelor, iar persoanele vizate ar trebui sa beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativa şi judiciara.

(105)Pe lânga angajamentele internaţionale asumate de ţara terţa sau de organizaţia internaţionala, Comisia ar trebui sa ţina seama de obligaţiile care decurg din participarea ţarii terţe sau a organizaţiei internaţionale la sistemele multilaterale sau regionale, în special în ceea ce priveşte protecţia datelor cu

caracter personal, precum şi de punerea în aplicare a unor astfel de obligaţii. În special, ar trebui sa fie luata în considerare aderarea ţarii terţe la Convenţia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor faţa de prelucrarea automatizata a datelor cu caracter personal şi protocolul adiţional la aceasta. Comisia ar trebui sa consulte comitetul atunci când evalueaza nivelul de protecţie din ţarile terţe sau din organizaţiile internaţionale.

(106)Comisia ar trebui sa monitorizeze funcţionarea deciziilor privind nivelul de protecţie dintr-o ţara terţa sau un teritoriu sau un anumit sector dintr-o ţara terţa sau dintr-o organizaţie internaţionala şi sa monitorizeze funcţionarea deciziilor adoptate în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. În deciziile sale privind caracterul adecvat al nivelului de protecţie, Comisia ar trebui sa prevada un mecanism de revizuire periodica a modului lor de funcţionare. Aceasta revizuire periodica ar trebui sa fie efectuata în consultare cu ţara terţa sau organizaţia internaţionala în cauza şi ar trebui sa ia în considerare toate evoluţiile relevante din ţara terţa sau organizaţia internaţionala. În scopul monitorizarii şi al efectuarii revizuirilor periodice, Comisia ar trebui sa ia în considerare opiniile şi constatarile Parlamentului European şi ale Consiliului, precum şi ale altor organisme şi surse relevante. Comisia ar trebui sa evalueze, într-un termen rezonabil, funcţionarea deciziilor din urma şi sa raporteze toate constatarile relevante comitetului, în sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (1), dupa cum s-a stabilit în temeiul prezentului regulament, Parlamentului European şi Consiliului.

(1)Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de catre statele membre al exercitarii competenţelor de executare de catre Comisie (JO L 55, 28.2.2011, p. 13).
(107)Comisia poate sa recunoasca faptul ca o ţara terţa,un teritoriu sau un sector specificat dintr-o ţara terţa sau o organizaţie internaţionala nu mai asigura un nivel adecvat de protecţie a datelor. În consecinţa, transferul de date cu caracter personal catre ţara terţa sau organizaţia internaţionala respectiva ar trebui sa fie interzis, cu excepţia cazului în care sunt îndeplinite cerinţele prevazute în prezentul regulament privind transferurile în baza unor garanţii adecvate, inclusiv regulile corporatiste obligatorii şi derogarile de la situaţiile specifice. În acest caz, ar trebui sa se prevada dispoziţii pentru consultari între Comisie şi astfel de ţari terţe sau organizaţii internaţionale. Comisia ar trebui ca, în timp util, sa informeze ţara terţa sau organizaţia internaţionala cu privire la aceste motive şi sa iniţieze consultari cu aceasta pentru remedierea situaţiei.

(108)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau persoana împuternicita de operator ar trebui sa adopte masuri pentru a compensa lipsa protecţiei datelor într-o ţara terţa prin intermediul unor garanţii adecvate pentru persoana vizata. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui sa asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzatoare prelucrarii în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor cai de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativa sau judiciara şi dreptul de a solicita despagubiri, în Uniune sau într-o ţara terţa. Acestea ar trebui sa se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor. Transferurile pot fi efectuate şi de catre autoritaţile sau organismele publice cu autoritaţi sau organisme publice în ţari terţe sau cu organizaţii internaţionale cu atribuţii şi funcţii corespunzatoare, inclusiv pe baza dispoziţiilor care prevad drepturi opozabile şi efective pentru persoanele vizate, care trebuie introduse în acordurile administrative, cum ar fi un memorandum de înţelegere. Autorizaţia din partea autoritaţii de supraveghere competente ar trebui obţinuta atunci când garanţiile sunt oferite în cadrul unor acorduri administrative fara caracter juridic obligatoriu.

(109)Posibilitatea ca operatorul sau persoana împuternicita de operator sa utilizeze clauze standard în materie de protecţie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui sa împiedice operatorii sau persoanele împuternicite de aceştia sa includa clauzele standard în materie

de protecţie a datelor într-un contract mai amplu, precum un contract între persoana împuternicita de operator şi o alta persoana împuternicita de operator, şi nici sa adauge alte clauze sau garanţii suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciaza drepturile sau libertaţile fundamentale ale persoanelor vizate. Operatorii şi persoanele împuternicite de operatori ar trebui sa fie încurajaţi sa ofere garanţii suplimentare prin intermediul unor angajamente contractuale care sa completeze clauzele standard în materie de protecţie.

(110)Un grup de întreprinderi sau un grup de întreprinderi implicat într-o activitate economica comuna ar trebui sa poata utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaţionale dinspre Uniune catre organizaţii din cadrul aceluiaşi grup de întreprinderi sau grup de întreprinderi implicate într-o activitate economica comuna, cu condiţia ca astfel de reguli corporatiste sa includa toate principiile esenţiale şi drepturile opozabile în scopul asigurarii unor garanţii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal.

(111)Ar trebui sa se prevada posibilitatea de a se efectua transferuri în anumite circumstanţe în care persoana vizata şi-a dat consimţamântul explicit, în care transferul este ocazional şi necesar în legatura cu un contract sau cu o acţiune în justiţie, indiferent daca este în contextul unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintate organismelor de reglementare. De asemenea, ar trebui sa se prevada posibilitatea de a se efectua transferuri în cazul în care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau în cazul în care transferul se efectueaza dintr-un registru instituit prin lege şi destinat sa fie consultat de catre public sau de catre persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui sa implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date conţinute în registru, iar atunci când registrul este destinat sa fie consultat de persoane care au un interes legitim, transferul ar trebui sa fie efectuat doar la cererea persoanelor respective sau daca acestea sunt destinatarii, luând pe deplin în considerare interesele şi drepturile fundamentale ale persoanei vizate.

(112)Aceste derogari ar trebui sa se aplice, în special, transferurilor de date solicitate şi necesare din considerente importante de interes public, de exemplu în cazul schimbului internaţional de date între autoritaţile din domeniul concurenţei, administraţiile fiscale sau vamale, între autoritaţile de supraveghere financiara, între serviciile competente în materie de securitate sociala sau de sanatate publica, de exemplu în cazul depistarii punctelor de contact pentru bolile contagioase sau pentru reducerea şi/sau eliminarea dopajului în sport. Un transfer de date cu caracter personal ar trebui, de asemenea, sa fie considerat legal în cazul în care este necesar în scopul protejarii unui interes care este esenţial în interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizica sau pentru viaţa acesteia, în cazul în care persona vizata nu are capacitatea sa îşi dea consimţamântul. În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili în mod expres limite asupra transferului unor categorii specifice de date catre o ţara terţa sau o organizaţie internaţionala. Statele membre ar trebui sa notifice Comisiei aceste dispoziţii. Orice transfer catre o organizaţie umanitara internaţionala al datelor cu caracter personal ale unei persoane vizate care se afla în incapacitate fizica sau juridica de a îşi da consimţamântul, în vederea îndeplinirii unei sarcini care decurge din Convenţiile de la Geneva sau în vederea conformarii cu dreptul internaţional umanitar aplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru ca este în interesul vital al persoanei vizate.

(113)Transferurile care pot fi considerate ca nefiind repetitive şi care se refera doar la un numar limitat de persoane vizate, ar putea, de asemenea, sa fie efectuate în scopul realizarii intereselor legitime urmarite de operator, atunci când asupra respectivelor interese nu prevaleaza interesele sau drepturile şi libertaţile persoanei vizate şi atunci când operatorul a evaluat toate circumstanţele aferente transferului de date. Operatorul ar trebui sa acorde o atenţie deosebita naturii datelor cu caracter personal, scopului şi duratei operaţiunii sau operaţiunilor propuse de prelucrare, precum şi situaţiei din ţara de origine, din ţara terţa şi din ţara de destinaţie finala şi ar trebui sa ofere garanţii adecvate pentru protecţia drepturilor şi libertaţilor fundamentale ale persoanelor fizice în ceea ce

priveşte prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui sa fie posibile numai în cazurile reziduale în care nu se poate aplica niciunul dintre celelalte motive de transfer. În ceea ce priveşte scopurile de cercetare ştiinţifica sau istorica sau scopurile statistice, ar trebui sa se ia în considerare aşteptarile legitime ale societaţii cu privire la creşterea nivelului de cunoştinţe. Operatorul ar trebui sa informeze autoritatea de supraveghere şi persoana vizata cu privire la transfer.

(114)În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecţie a datelor dintr-o ţara terţa, operatorul sau persoana împuternicita de operator ar trebui sa utilizeze soluţii care sa ofere persoanelor vizate drepturi opozabile şi efective în ceea ce priveşte prelucrarea datelor lor în Uniune odata ce aceste date au fost transferate, astfel încât persoanele vizate sa beneficieze în continuare de drepturi fundamentale şi garanţii.

(115)Unele ţari terţe au adoptat legi, reglementari şi alte acte juridice care au drept obiectiv sa reglementeze în mod direct activitaţile de prelucrare a datelor ale persoanelor fizice şi juridice aflate sub jurisdicţia statelor membre. Aceasta poate include hotarâri ale instanţelor judecatoreşti sau decizii ale autoritaţilor administrative din ţari terţe care solicita unui operator sau unei persoane împuternicite de operator sa transfere sau sa divulge date cu caracter personal şi care nu se bazeaza pe un acord internaţional, cum ar fi un tratat de asistenţa juridica reciproca, în vigoare între ţara terţa solicitanta şi Uniune sau un stat membru. Aplicarea extrateritoriala a acestor legi, reglementari şi alte acte juridice poate încalca dreptul internaţional şi poate împiedica asigurarea protecţiei persoanelor fizice asigurata în Uniune prin prezentul regulament. Transferurile ar trebui sa fie permise numai în cazul îndeplinirii condiţiilor prevazute de prezentul regulament pentru un transfer catre ţari terţe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesara dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în dreptul intern care se aplica operatorului.

(116)Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-şi exercita drepturile în materie de protecţie a datelor, în special pentru a-şi asigura protecţia împotriva utilizarii sau a divulgarii ilegale a acestor informaţii. În acelaşi timp, autoritaţile de supraveghere pot constata ca se afla în imposibilitatea de a trata plângeri sau de a efectua investigaţii referitoare la activitaţile desfaşurate în afara frontierelor lor. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficienţa competenţelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice şi de existenţa unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, este necesar sa se promoveze o cooperare mai strânsa între autoritaţile de supraveghere a protecţiei datelor pentru a putea face schimb de informaţii şi a desfaşura investigaţii împreuna cu omologii lor internaţionali. În scopul elaborarii de mecanisme de cooperare internaţionala pentru a facilita şi a oferi asistenţa internaţionala reciproca în asigurarea aplicarii legislaţiei din domeniul protecţiei datelor cu caracter personal, Comisia şi autoritaţile de supraveghere ar trebui sa faca schimb de informaţii şi sa coopereze în cadrul activitaţilor legate de exercitarea competenţelor lor cu autoritaţile competente din ţari terţe, pe baza de reciprocitate şi în conformitate cu prezentul regulament.

(117)Instituirea în statele membre a unor autoritaţi de supraveghere, împuternicite sa îşi îndeplineasca sarcinile şi sa îşi exercite competenţele în deplina independenţa, este un element esenţial al protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. Statele membre ar trebui sa poata institui mai multe autoritaţi de supraveghere, pentru a reflecta structura lor constituţionala, organizatorica şi administrativa.

(118)Independenţa autoritaţilor de supraveghere nu ar trebui sa însemne ca autoritaţile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare în ceea ce priveşte cheltuielile acestora sau unui control jurisdicţional.
(119)În cazul în care un stat membru instituie mai multe autoritaţi de supraveghere, acesta ar trebui sa stabileasca prin lege mecanisme care sa asigure participarea efectiva a autoritaţilor de supraveghere respective la mecanismul pentru asigurarea coerenţei. Statul membru respectiv ar trebui, în special, sa desemneze autoritatea de supraveghere care îndeplineşte funcţia de punct unic de contact pentru participarea efectiva a acestor autoritaţi la mecanism, în scopul asigurarii unei cooperari rapide şi armonioase cu alte autoritaţi de supraveghere, cu comitetul şi cu Comisia.

(120)Fiecare autoritate de supraveghere ar trebui sa beneficieze de resurse financiare şi umane, de spaţiile şi de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenţa reciproca şi cooperarea cu alte autoritaţi de supraveghere în întreaga Uniune. Fiecare autoritate de supraveghere ar trebui sa aiba un buget public anual separat, care poate face parte din bugetul general de stat sau naţional.

(121)Condiţiile generale pentru membrul sau membrii autoritaţii de supraveghere ar trebui stabilite de lege în fiecare stat membru şi ar trebui, în special, sa prevada ca respectivii membri sunt numiţi printr- o procedura transparenta fie de parlamentul, de guvernul ori şeful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de catre un organism independent împuternicit prin dreptul intern. În vederea asigurarii independenţei autoritaţii de supraveghere, membrul sau membrii acesteia ar trebui sa acţioneze cu integritate, sa nu întreprinda acţiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, ar trebui sa nu desfaşoare activitaţi incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui sa aiba personal propriu, ales de autoritatea de supraveghere sau de un organism independent înfiinţat în temeiul dreptului intern, care ar trebui sa fie subordonat exclusiv membrului sau membrilor autoritaţii de supraveghere.

(122)Fiecare autoritate de supraveghere ar trebui sa aiba, pe teritoriul statului membru de care aparţine, atribuţia de a exercita competenţele şi de a îndeplini sarcinile cu care este învestita în conformitate cu prezentul regulament.
Aceasta ar trebui sa includa în special prelucrarea în contextul activitaţilor unui sediu al operatorului sau al persoanei împuternicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuata de autoritaţile publice sau de organisme private care acţioneaza în interes public, prelucrarea care afecteaza persoanele vizate de pe teritoriul sau sau prelucrarea efectuata de catre un operator sau o persoana împuternicita de operator care nu îşi are sediul în Uniune în cazul în care aceasta priveşte persoane vizate care îşi au reşedinţa pe teritoriul sau. Aceasta ar trebui sa includa tratarea plângerilor depuse de o persoana vizata, efectuarea de investigaţii privind aplicarea prezentului regulament şi promovarea informarii publicului cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal.

(123)Autoritaţile de supraveghere ar trebui sa monitorizeze aplicarea dispoziţiilor prevazute de prezentul regulament şi sa contribuie la aplicarea coerenta a acestuia în întreaga Uniune, în scopul asigurarii protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal şi al facilitarii liberei circulaţii a datelor cu caracter personal în interiorul pieţei interne. În acest sens, autoritaţile de supraveghere ar trebui sa coopereze reciproc, precum şi cu Comisia, fara sa fie necesar niciun acord între statele membre cu privire la acordarea de asistenţa reciproca sau cu privire la respectiva cooperare.

(124)În cazul în care prelucrarea datelor cu caracter personal se desfaşoara în cadrul activitaţilor unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune, iar operatorul sau persoana împuternicita de operator are sedii în mai multe state membre, sau în cazul în care prelucrarea care se desfaşoara în contextul activitaţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator din Uniune afecteaza sau este susceptibila sa afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei împuternicite de operator ori a sediului unic al operatorului sau al persoanei împuternicite de operator ar trebui sa acţioneze în calitate de autoritate principala. Aceasta ar trebui sa coopereze cu celelalte autoritaţi vizate, pentru ca operatorul sau persoana împuternicita de operator are un sediu pe teritoriul statului lor membru, pentru ca persoanele vizate care îşi au reşedinţa pe teritoriul lor sunt afectate în mod semnificativ sau pentru ca le-a fost înaintata o plângere. De asemenea, în cazul în care o persoana vizata care nu îşi are reşedinţa în statul membru respectiv a depus o plângere, autoritatea de supraveghere la care a fost depusa plângerea ar trebui, de asemenea, sa fie o autoritate de supraveghere vizata. În cadrul sarcinilor sale de a emite orientari cu privire la orice chestiune referitoare la punerea în aplicare a prezentului regulament, comitetul ar trebui sa poata emite orientari privind, în special, criteriile care trebuie luate în considerare pentru a se stabili daca

prelucrarea în cauza afecteaza în mod semnificativ persoane vizate din mai multe state membre şi privind conţinutul unei obiecţii relevante şi motivate.
(125)Autoritatea principala ar trebui sa aiba competenţa de a adopta decizii obligatorii privind masurile de aplicare a competenţelor care îi sunt conferite în conformitate cu prezentul regulament. În calitatea sa de autoritate principala, autoritatea de supraveghere ar trebui sa implice îndeaproape şi sa coordoneze activitaţile autoritaţilor de supraveghere vizate în procesul decizional. În cazurile în care decizia este de respingere parţiala sau totala a plângerii din partea persoanei vizate, o asemenea decizie ar trebui adoptata de catre autoritatea de supraveghere la care s-a depus plângerea. (126)Decizia ar trebui convenita în comun de autoritatea de supraveghere principala şi de autoritaţile de supraveghere vizate şi ar trebui sa vizeze sediul principal sau sediul unic al operatorului sau al persoanei împuternicite de operator şi sa fie obligatorie pentru operator şi pentru persoana împuternicita de operator. Operatorul sau persoana împuternicita de operator ar trebui sa ia masurile necesare pentru a asigura conformitatea cu prezentul regulament şi punerea în aplicare a deciziei notificate de autoritatea de supraveghere principala sediului principal al operatorului sau al persoanei împuternicite de operator în ceea ce priveşte activitaţile de prelucrare în Uniune.

(127)Fiecare autoritate de supraveghere care nu acţioneaza ca autoritate de supraveghere principala ar trebui sa aiba competenţa de a trata cazuri locale, în care operatorul sau persoana împuternicita de operator are sedii în mai multe state membre, dar obiectul respectivei prelucrari priveşte doar prelucrarea efectuata într-un singur stat membru şi implicând doar persoane vizate din acel unic stat membru, de exemplu în cazul în care obiectul îl constituie prelucrarea datelor cu caracter personal ale angajaţilor în contextul specific legat de forţa de munca dintr-un stat membru. În astfel de cazuri, autoritatea de supraveghere ar trebui sa informeze fara întârziere autoritatea de supraveghere principala cu privire la aceasta chestiune. Dupa ce a fost informata, autoritatea de supraveghere principala ar trebui sa decida daca va trata ea însaşi cazul în temeiul dispoziţiei privind cooperarea între autoritatea de supraveghere principala şi alte autoritaţi de supraveghere vizate („mecanismul ghişeului unic”), sau daca autoritatea de supraveghere care a informat-o ar trebui sa se ocupe de caz la nivel local. Atunci când decide daca va trata cazul, autoritatea de supraveghere principala ar trebui sa ia în considerare daca exista un sediu al operatorului sau al persoanei împuternicite de operator în statul membru al autoritaţii de supraveghere care a informat-o, în vederea garantarii respectarii efective a unei decizii în ceea ce priveşte operatorul sau persoana împuternicita de operator. În cazul în care autoritatea de supraveghere principala decide sa trateze cazul, autoritatea de supraveghere care a informat-o ar trebui sa beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea de supraveghere principala ar trebui sa ţina seama în cea mai mare masura atunci când pregateşte proiectul sau de decizie în cadrul respectivului mecanism al ghişeului unic.

(128)Normele privind autoritatea de supraveghere principala şi mecanismul ghişeului unic nu ar trebui sa se aplice în cazul în care prelucrarea este efectuata de autoritaţi publice sau organisme private în interes public. În asemenea cazuri, singura autoritate de supraveghere competenta sa îşi exercite competenţele care i-au fost atribuite în conformitate cu prezentul regulament ar trebui sa fie autoritatea de supraveghere a statului membru în care autoritatea publica sau organismul privat îşi are sediul.

(129)Pentru a se asigura consecvenţa monitorizarii şi a aplicarii prezentului regulament în întreaga Uniune, autoritaţile de supraveghere ar trebui sa aiba în fiecare stat membru aceleaşi sarcini şi competenţe efective, inclusiv competenţe de investigare, competenţe corective şi sancţiuni, precum şi competenţe de autorizare şi de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum şi, fara a aduce atingere competenţelor autoritaţilor de urmarire penala în temeiul dreptului intern, de a aduce în atenţia autoritaţilor judiciare cazurile de încalcare a prezentului regulament şi de a se implica în proceduri judiciare. Aceste competenţe ar trebui sa includa şi competenţa de a impune o limitare temporara sau definitiva, inclusiv o interdicţie, asupra prelucrarii. Statele membre pot stabili alte sarcini legate de protecţia datelor cu caracter personal în temeiul prezentului regulament. Competenţele autoritaţilor de supraveghere ar trebui exercitate în conformitate cu garanţii procedurale adecvate prevazute în dreptul Uniunii şi în dreptul intern, în mod imparţial, echitabil şi într-un termen rezonabil. În special, fiecare masura ar trebui sa fie adecvata, necesara şi proporţionala în scopul de a

asigura conformitatea cu dispoziţiile prezentului regulament, luând în considerare circumstanţele fiecarui caz în parte, sa respecte dreptul oricarei persoane de a fi ascultata înainte de luarea oricarei masuri individuale care ar putea sa îi aduca atingere şi sa evite costurile inutile şi inconvenientele excesive pentru persoanele în cauza. Competenţele de investigare în ceea ce priveşte accesul în incinte ar trebui exercitate în conformitate cu cerinţele specifice din dreptul procedural naţional, cum ar fi obligaţia de a obţine în prealabil o autorizare judiciara. Fiecare masura obligatorie din punct de vedere juridic luata de autoritatea de supraveghere ar trebui sa fie prezentata în scris, sa fie clara şi lipsita de ambiguitate, sa indice autoritatea de supraveghere care a emis masura, data emiterii masurii, sa poarte semnatura şefului sau a unui membru al autoritaţii de supraveghere autorizat de acesta, sa furnizeze motivele pentru care s-a luat masura şi sa faca trimitere la dreptul la o cale de atac eficienta. Acest lucru nu ar trebui sa excluda cerinţe suplimentare în conformitate cu dreptul procedural naţional. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implica faptul ca se poate da naştere unui control jurisdicţional în statul membru al autoritaţii de supraveghere care a adoptat decizia.

(130)În cazul în care autoritatea de supraveghere la care s-a depus plângerea nu este autoritatea de supraveghere principala, autoritatea de supraveghere principala ar trebui sa coopereze îndeaproape cu autoritatea de supraveghere la care s-a depus plângerea, în conformitate cu dispoziţiile privind cooperarea şi consecvenţa prevazute în prezentul regulament. În astfel de cazuri, autoritatea de supraveghere principala ar trebui, atunci când ia masuri destinate sa produca efecte juridice, inclusiv impunerea de amenzi administrative, sa ţina seama cât mai mult posibil de opinia autoritaţii de supraveghere la care a fost depusa plângerea şi care ar trebui sa îşi menţina competenţa de a desfaşura orice investigaţie pe teritoriul propriului stat membru, în colaborare cu autoritatea de supraveghere principala.

(131)În cazurile în care o alta autoritate de supraveghere ar trebui sa acţioneze în calitate de autoritate de supraveghere principala pentru activitaţile de prelucrare ale operatorului sau ale persoanei împuternicite de operator, dar obiectul concret al unei plângeri sau posibila încalcare vizeaza numai activitaţile de prelucrare ale operatorului sau ale persoanei împuternicite de operator în statul membru în care a fost depusa plângerea sau a fost depistata posibila încalcare, iar chestiunea nu afecteaza în mod substanţial sau nu este susceptibila sa afecteze în mod substanţial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o plângere sau a depistat ori a fost informata în alt mod asupra unor situaţii de posibile încalcari ale prezentului regulament ar trebui sa încerce o soluţionare pe cale amiabila cu operatorul şi, în cazul în care aceasta eşueaza, sa îşi exercite plenitudinea competenţelor. Aceasta ar trebui sa includa activitaţi specifice de prelucrare efectuate pe teritoriul statului membru al autoritaţii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat membru, activitaţi de prelucrare care au loc în contextul unei oferte de bunuri sau servicii destinate în mod special persoanelor vizate pe teritoriul statului membru al autoritaţii de supraveghere sau activitaţi de prelucrare care trebuie evaluate ţinând seama de obligaţiile juridice relevante în temeiul dreptului intern.

(132)Activitaţile de creştere a gradului de conştientizare organizate pentru public de autoritaţile de supraveghere ar trebui sa includa masuri specifice care sa vizeze operatorii şi persoanele împuternicite de operatori, inclusiv microîntreprinderile şi întreprinderile mici şi mijlocii, precum şi persoanele fizice, în special în context educaţional.

(133)Autoritaţile de supraveghere ar trebui sa îşi acorde reciproc asistenţa în îndeplinirea sarcinilor care le revin, pentru a se asigura coerenţa aplicarii prezentului regulament pe piaţa interna. O autoritate de supraveghere care solicita asistenţa reciproca poate adopta o masura provizorie în cazul în care nu primeşte un raspuns la o solicitare de asistenţa reciproca în termen de o luna de la primirea solicitarii de catre cealalta autoritate de supraveghere.

(134)Fiecare autoritate de supraveghere ar trebui sa participe, dupa caz, la operaţiuni comune între autoritaţile de supraveghere. Autoritatea de supraveghere careia i s-a adresat solicitarea ar trebui sa aiba obligaţia de a raspunde cererii într-un anumit termen.
(135)Pentru a se asigura aplicarea coerenta a prezentului regulament în întreaga Uniune, ar trebui sa se instituie un mecanism pentru asigurarea coerenţei în cadrul caruia autoritaţile de supraveghere sa

coopereze. Acest mecanism ar trebui sa se aplice, în special, în cazul în care o autoritate de supraveghere intenţioneaza sa adopte o masura prevazuta a produce efecte juridice în ceea ce priveşte operaţiunile de prelucrare care afecteaza în mod substanţial un numar semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui sa se aplice, de asemenea, în cazul în care o autoritate de supraveghere vizata sau Comisia solicita ca aspectul respectiv sa fie tratat în cadrul mecanismului pentru asigurarea coerenţei. Acest mecanism nu ar trebui sa aduca atingere masurilor pe care Comisia le poate adopta în exercitarea competenţelor care îi revin în temeiul tratatelor.

(136)În aplicarea mecanismului pentru asigurarea coerenţei, comitetul ar trebui, într-un anumit termen, sa emita un aviz în cazul în care o majoritate a membrilor sai decide astfel sau în cazul în care orice autoritate de supraveghere vizata sau Comisia solicita acest lucru. Comitetul ar trebui, de asemenea, sa fie împuternicit sa adopte decizii obligatorii din punct de vedere juridic în cazul unor litigii între autoritaţile de supraveghere. În acest scop, acesta ar trebui sa emita, în principiu cu o majoritate de doua treimi din membrii sai, decizii obligatorii din punct de vedere juridic, în cazuri bine definite, în cazul în care exista opinii divergente între autoritaţile de supraveghere, în special în cadrul mecanismului de cooperare între autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate privind fondul cauzei, în special existenţa sau nu a unei încalcari a prezentului regulament. (137)Este posibil sa existe o necesitate urgenta de a se acţiona pentru asigurarea protecţiei drepturilor şi libertaţilor persoanelor vizate, în special în cazul în care exista pericolul ca exercitarea unui drept al unei persoane vizate sa fie împiedicata în mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui sa poata adopta masuri provizorii pe teritoriul sau, justificate în mod corespunzator, având o perioada de valabilitate determinata care nu ar trebui sa depaşeasca trei luni.

(138)Aplicarea unui astfel de mecanism ar trebui sa constituie o condiţie pentru legalitatea unei masuri destinate sa produca efecte juridice, luate de o autoritate de supraveghere, în cazurile în care aplicarea acesteia este obligatorie. În alte cazuri cu relevanţa transfrontaliera, ar trebui pus în aplicare mecanismul de cooperare între autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate, iar între autoritaţile de supraveghere vizate s-ar putea acorda asistenţa reciproca şi s-ar putea desfaşura operaţiuni comune pe baza bilaterala sau multilaterala, fara declanşarea mecanismului pentru asigurarea coerenţei.

(139)Cu scopul de a promova aplicarea coerenta a prezentului regulament, comitetul ar trebui instituit ca organ independent al Uniunii. Pentru a-şi îndeplini obiectivele, comitetul ar trebui sa aiba personalitate juridica. Comitetul ar trebui sa fie reprezentat de preşedintele sau. Acesta ar trebui sa înlocuiasca Grupul de lucru pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui sa fie alcatuit din şefii autoritaţilor de supraveghere din fiecare stat membru şi din Autoritatea Europeana pentru Protecţia Datelor sau reprezentanţii acestora. Comisia ar trebui sa participe la activitaţile comitetului fara a avea drept de vot, iar Autoritatea Europeana pentru Protecţia Datelor ar trebui sa aiba drepturi de vot speciale. Comitetul ar trebui sa contribuie la aplicarea coerenta a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, în special cu privire la nivelul de protecţie în ţarile terţe şi în cadrul organizaţiilor internaţionale, şi prin promovarea cooperarii autoritaţilor de supraveghere în întreaga Uniune. Comitetul ar trebui sa acţioneze în mod independent în îndeplinirea sarcinilor sale. (140)Comitetul ar trebui sa fie asistat de un secretariat asigurat de Autoritatea Europeana pentru Protecţia Datelor. Personalul Autoritaţii Europene pentru Protecţia Datelor implicat în îndeplinirea sarcinilor conferite comitetului în temeiul prezentului regulament ar trebui sa îşi îndeplineasca sarcinile exclusiv conform instrucţiunilor preşedintelui comitetului şi sa raporteze acestuia.

(141)Orice persoana vizata ar trebui sa aiba dreptul de a depune o plângere la o singura autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuita, precum şi dreptul la o cale de atac eficienta în conformitate cu articolul 47 din carta, în cazul în care persoana vizata considera ca drepturile sale în temeiul prezentului regulament sunt încalcate sau în cazul în care autoritatea de supraveghere nu reacţioneaza la o plângere, respinge sau refuza parţial sau total o plângere sau nu acţioneaza atunci când o astfel de acţiune este necesara pentru asigurarea protecţiei drepturilor persoanei vizate. Investigaţia în urma unei plângeri ar trebui sa fie efectuata, sub control judiciar, în masura în care este necesar, în funcţie de caz. Autoritatea de supraveghere ar trebui sa informeze

persoana vizata cu privire la evoluţia şi soluţionarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesita o investigare suplimentara sau coordonarea cu o alta autoritate de supraveghere, ar trebui sa se furnizeze informaţii intermediare persoanei vizate. În vederea facilitarii depunerii plângerilor, fiecare autoritate de supraveghere ar trebui sa ia masuri precum punerea la dispoziţie a unui formular de depunere a plângerii, care sa poata fi completat inclusiv în format electronic, fara a exclude alte mijloace de comunicare.

(142)În cazul în care persoana vizata considera ca drepturile sale în temeiul prezentului regulament sunt încalcate, aceasta ar trebui sa aiba dreptul de a mandata un organism, o organizaţie sau o asociaţie fara scop lucrativ care este înfiinţat(a) în conformitate cu dreptul intern, ale carui (carei) obiective statutare sunt în interesul public şi care îşi desfaşoara activitatea în domeniul asigurarii protecţiei datelor cu caracter personal, sa depuna o plângere în numele sau la o autoritate de supraveghere, sa exercite dreptul la o cale de atac în numele persoanelor vizate sau, în cazul în care se prevede în dreptul intern, sa exercite dreptul de a primi despagubiri în numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizaţie sau asociaţie sa aiba dreptul de a depune o plângere în statul membru respectiv, independent de mandatul acordat de o persoana vizata, şi sa aiba dreptul la o cale de atac eficienta în cazul în care are motive sa considere ca drepturile unei persoane vizate au fost încalcate ca rezultat al unei prelucrari a datelor cu caracter personal care încalca prezentul regulament. Organismul, organizaţia sau asociaţia în cauza nu poate pretinde despagubiri în numele unei persoane vizate, independent de mandatul acordat de persoana vizata. (143)Orice persoana fizica sau juridica are dreptul de a introduce o acţiune în anulare împotriva deciziilor comitetului în faţa Curţii de Justiţie, în conformitate cu condiţiile prevazute la articolul 263 din TFUE. În calitate de destinatare ale acestor decizii, autoritaţile de supraveghere vizate care doresc sa le conteste trebuie sa introduca o acţiune împotriva deciziilor respective în termen de doua luni de la data la care le-au fost notificate, în conformitate cu articolul 263 din TFUE. În cazul în care deciziile comitetului vizeaza în mod direct şi individual un operator, o persoana împuternicita de operator sau reclamantul, aceştia din urma pot introduce o acţiune în anularea respectivelor decizii în termen de doua luni de la publicarea acestora pe site-ul comitetului, în conformitate cu articolul 263 din TFUE. Fara a aduce atingere acestui drept în temeiul articolului 263 din TFUE, orice persoana fizica sau juridica ar trebui sa aiba dreptul la o cale de atac judiciara eficienta în faţa instanţei naţionale competente împotriva unei decizii a unei autoritaţi de supraveghere care produce efecte juridice privind respectiva persoana. O astfel de decizie se refera în special la exercitarea competenţelor de investigare, corective şi de autorizare de catre autoritatea de supraveghere sau la refuzul sau respingerea plângerilor. Cu toate acestea, dreptul la o cale de atac judiciara eficienta nu include masuri ale autoritaţilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizata de aceasta. Acţiunile împotriva unei autoritaţi de supraveghere ar trebui sa fie aduse în faţa instanţelor statului membru în care este stabilita autoritatea de supraveghere şi ar trebui sa se desfaşoare în conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanţe ar trebui sa îşi exercite competenţa judiciara deplina, care ar trebui sa includa competenţa de a examina toate aspectele de fapt sau de drept care au relevanţa pentru litigiul cu care acestea sunt sesizate.

În cazul în care o plângere a fost respinsa sau refuzata de o autoritate de supraveghere, reclamantul poate introduce o acţiune la instanţele din acelaşi stat membru. În contextul cailor de atac judiciare privind aplicarea prezentului regulament, instanţele naţionale care considera necesara o decizie privind chestiunea respectiva pentru a le permite sa ia o hotarâre pot sau, în cazul prevazut la articolul 267 din TFUE, trebuie sa solicite Curţii de Justiţie sa pronunţe o decizie preliminara privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. În plus, în cazul în care o decizie a unei autoritaţi de supraveghere care pune în aplicare o decizie a comitetului este contestata în faţa unei instanţe naţionale şi este în discuţie validitatea deciziei comitetului, respectiva instanţa naţionala nu are competenţa de a declara nula decizia comitetului, ci trebuie sa aduca chestiunea validitaţii în faţa Curţii de Justiţie, în conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justiţie, ori de câte ori instanţa naţionala considera decizia nula. Cu toate acestea, o instanţa naţionala nu poate sa transmita o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane

fizice sau juridice care a avut posibilitatea de a introduce o acţiune în anulare împotriva respectivei decizii, în special daca aceasta era vizata în mod direct şi individual de decizia în cauza, dar nu a facut acest lucru în termenul prevazut la articolul 263 din TFUE.
(144)Atunci când o instanţa sesizata cu o procedura împotriva unei decizii a unei autoritaţi de supraveghere are motive sa creada ca în faţa unei instanţe competente dintr-un alt stat membru au fost introduse proceduri cu privire la aceeaşi prelucrare, cum ar fi acelaşi obiect al prelucrarii, de catre acelaşi operator sau aceleaşi persoana împuternicita de operator, sau aceeaşi cauza, instanţa respectiva ar trebui sa contacteze cea de a doua instanţa pentru a confirma existenţa unor astfel de proceduri conexe. În cazul în care aceste proceduri conexe se afla pe rolul unei instanţe dintr-un alt stat membru, orice instanţa, cu excepţia celei sesizate iniţial, poate sa îşi suspende procedurile sau, la cererea uneia dintre parţi, îşi poate declina competenţa în favoarea instanţei sesizate iniţial, cu condiţia ca aceasta din urma sa aiba competenţa de a soluţiona procedurile în cauza şi ca dreptul care i se aplica sa îi permita consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci când sunt atât de strâns legate între ele încât este oportuna instrumentarea şi judecarea lor în acelaşi timp pentru a se evita riscul pronunţarii unor hotarâri ireconciliabile în cazul judecarii lor în mod separat.

(145)În ceea ce priveşte acţiunile iniţiate împotriva unui operator sau unei persoane împuternicite de operator, reclamantul ar trebui sa aiba posibilitatea de a introduce acţiunea în faţa instanţelor din statele membre în care operatorul sau persoana împuternicita de operator are un sediu sau în care persoana vizata îşi are reşedinţa, cu excepţia cazului în care operatorul este o autoritate publica dintr- un stat membru ce acţioneaza în exercitarea competenţelor sale publice.

(146)Operatorul sau persoana împuternicita de operator ar trebui sa plateasca despagubiri pentru orice prejudiciu pe care o persoana îl poate suferi ca urmare a unei prelucrari care încalca prezentul regulament. Operatorul sau persoana împuternicita de operator ar trebui sa fie exoneraţi de raspundere daca dovedesc ca nu sunt în niciun fel raspunzatori pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenţei Curţii de Justiţie, într-un mod care sa reflecte pe deplin obiectivele prezentului regulament. Aceasta dispoziţie nu aduce atingere niciunei cereri de despagubire care rezulta din încalcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care încalca prezentul regulament include şi prelucrarea care încalca actele delegate şi de punere în aplicare adoptate în conformitate cu prezentul regulament şi cu dreptul intern care specifica norme din prezentul regulament. Persoanele vizate ar trebui sa primeasca despagubiri integrale şi eficace pentru prejudiciul pe care le-au suferit. În cazul în care operatorii sau persoanele împuternicite de operatori sunt implicate în aceeaşi prelucrare, fiecare operator sau fiecare persoana împuternicita de operator ar trebui sa fie considerata raspunzatoare pentru întregul prejudiciu. Cu toate acestea, atunci când procedurile juridice care le vizeaza sunt conexate, în conformitate cu dreptul intern, despagubirile pot fi împarţite în funcţie de raspunderea fiecarui operator sau a fiecarei persoane împuternicite de operator, cu condiţia sa se asigure despagubirea integrala şi efectiva a persoanei vizate care a suferit prejudiciul. Orice operator sau persoana împuternicita de operator care a platit despagubiri integrale poate formula ulterior o acţiune în regres împotriva altor operatori sau persoane împuternicite de operatori implicate în aceeaşi prelucrare.

(147)În cazul în care prezentul regulament cuprinde norme specifice privind competenţa judiciara, în special în ceea ce priveşte caile de atac judiciare, inclusiv acţiunile în despagubiri, împotriva unui operator sau a unei persoane împuternicite de operator, normele generale privind competenţa judiciara precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului (1) nu ar trebui sa aduca atingere aplicarii unor astfel de norme specifice.

(1)Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului din 12 decembrie 2012 privind competenţa judiciara, recunoaşterea şi executarea hotarârilor în materie civila şi comerciala (JO L 351, 20.12.2012, p. 1).
(148)Pentru a consolida respectarea aplicarii normelor prevazute în prezentul regulament, ar trebui impuse sancţiuni, inclusiv amenzi administrative, pentru orice încalcare a prezentului regulament, pe lânga sau în locul masurilor adecvate impuse de autoritatea de supraveghere în temeiul prezentului regulament. În cazul unei încalcari minore sau în cazul în care amenda susceptibila de a fi impusa ar

constitui o sarcina disproporţionata pentru o persoana fizica, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui sa se ia în considerare în mod corespunzator natura, gravitatea şi durata încalcarii, caracterul deliberat al încalcarii, acţiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de raspundere sau orice încalcari anterioare relevante, modul în care încalcarea a fost adusa la cunoştinţa autoritaţii de supraveghere, conformitatea cu masurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduita şi orice alt factor agravant sau atenuant. Impunerea de sancţiuni, inclusiv de amenzi administrative, ar trebui sa faca obiectul unor garanţii procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii şi cu carta, inclusiv o protecţie judiciara eficienta şi un proces echitabil.

(149)Statele membre ar trebui sa poata stabili normele privind sancţiunile penale pentru încalcarile prezentului regulament, inclusiv pentru încalcarea normelor de drept intern adoptate în temeiul şi în limitele prezentului regulament. Respectivele sancţiuni penale pot, de asemenea, permite privarea de profiturile obţinute prin încalcarea prezentului regulament. Cu toate acestea, impunerea de sancţiuni penale pentru încalcari ale unor asemenea norme de drept intern şi de sancţiuni administrative nu ar trebui sa duca la încalcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiţie.

(150)Pentru consolidarea şi armonizarea sancţiunilor administrative în cazul încalcarii prezentului regulament, fiecare autoritate de supraveghere ar trebui sa aiba competenţa de a impune amenzi administrative. Prezentul regulament ar trebui sa indice încalcarile, şi limita maxima şi criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui sa fie stabilite de autoritatea de supraveghere competenta în fiecare caz în parte, ţinând seama de toate circumstanţele relevante ale situaţiei specifice, luându-se în considerare în mod corespunzator, în special, natura, gravitatea şi durata încalcarii, precum şi consecinţele acesteia şi masurile luate pentru a se asigura respectarea obligaţiilor în temeiul prezentului regulament şi pentru a se preveni sau atenua consecinţele încalcarii. În cazul în care amenzile administrative sunt impuse unei întreprinderi, o întreprindere ar trebui înţeleasa ca fiind o întreprindere în conformitate cu articolele 101 şi 102 din TFUE în aceste scopuri. În cazul în care se impun amenzi administrative unor persoane care nu sunt întreprinderi, autoritatea de supraveghere ar trebui sa ţina seama de nivelul general al veniturilor din statul membru respectiv, precum şi de situaţia economica a persoanei atunci când estimeaza cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coerenţei poate fi, de asemenea, utilizat pentru a promova aplicarea consecventa a amenzilor administrative. Competenţa de a stabili daca şi în ce masura autoritaţile publice ar trebui sa faca obiectul unor amenzi administrative ar trebui sa revina statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizari nu afecteaza aplicarea altor competenţe ale autoritaţilor de supraveghere sau a altor sancţiuni în temeiul prezentului regulament. (151)Sistemele juridice ale Danemarcei şi Estoniei nu permit amenzi administrative astfel cum sunt prevazute în prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel încât, în Danemarca, amenda sa fie impusa de instanţele naţionale competente ca sancţiune penala, iar în Estonia amenda sa fie impusa de autoritatea de supraveghere în cadrul unei proceduri privind delictele, cu condiţia ca o astfel de aplicare a normelor în statele membre respective sa aiba un efect echivalent cu cel al amenzilor administrative impuse de autoritaţile de supraveghere. Prin urmare, instanţele naţionale competente ar trebui sa ţina seama de recomandarea autoritaţii de supraveghere care a iniţiat amenda. În orice caz, amenzile impuse ar trebui sa fie eficace, proporţionale şi disuasive. (152)În cazul în care prezentul regulament nu armonizeaza sancţiunile administrative sau în alte cazuri, acolo unde este necesar, de exemplu în cazul unor încalcari grave ale prezentului regulament, statele membre ar trebui sa puna în aplicare un sistem care sa prevada sancţiuni eficace, proporţionale şi disuasive. Natura unor astfel de sancţiuni, penale sau administrative, ar trebui stabilita în dreptul intern.

(153)Dreptul statelor membre ar trebui sa stabileasca un echilibru între normele care reglementeaza libertatea de exprimare şi de informare, inclusiv exprimarea jurnalistica, academica, artistica şi/sau literara, şi dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice sau în scopul exprimarii academice, artistice sau literare ar trebui sa faca obiectul unor derogari sau al unor excepţii de la

anumite dispoziţii ale prezentului regulament în cazul în care este necesara stabilirea unui echilibru între dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare şi de informare, astfel cum este prevazut în articolul 11 din carta. Acest lucru ar trebui sa se aplice în special prelucrarii datelor cu caracter personal în domeniul audiovizualului, precum şi în arhivele de ştiri şi în bibliotecile ziarelor. Prin urmare, statele membre ar trebui sa adopte masuri legislative care sa prevada excepţiile şi derogarile necesare în vederea asigurarii echilibrului între aceste drepturi fundamentale. Statele membre ar trebui sa adopte astfel de excepţii şi derogari în ceea ce priveşte principiile generale, drepturile persoanelor vizate, operatorul şi persoana împuternicita de operator, transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale, autoritaţile de supraveghere independente, cooperarea şi coerenţa, precum şi în ceea ce priveşte situaţii specifice de prelucrare a datelor. În cazul în care aceste excepţii sau derogari difera de la un stat membru la altul, ar trebui sa se aplice dreptul statului membru sub incidenţa caruia intra operatorul. Pentru a ţine seama de importanţa dreptului la libertatea de exprimare în fiecare societate democratica, este necesar ca noţiunile legate de aceasta libertate, cum ar fi jurnalismul, sa fie interpretate în sens larg.

(154)Prezentul regulament permite luarea în considerare a principiului accesului public la documente oficiale în aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi în interes public. Datele cu caracter personal din documentele deţinute de o autoritate publica sau de un organism public ar trebui sa poata fi divulgate de autoritatea respectiva sau de organismul respectiv în cazul în care dreptul Uniunii sau dreptul intern sub incidenţa caruia intra autoritatea publica sau organismul public prevede acest lucru. Dreptul Uniunii şi dreptul intern ar trebui sa asigure un echilibru între accesul public la documentele oficiale şi reutilizarea informaţiilor din sectorul public, pe de o parte, şi dreptul la protecţia datelor cu caracter personal, pe de alta parte, şi ar putea prin urmare sa prevada echilibrul necesar cu dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament. Trimiterea la autoritaţile şi organismele publice ar trebui, în acest context, sa includa toate autoritaţile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European şi a Consiliului (1) lasa intact şi nu aduce atingere în niciun fel nivelului de protecţie a persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal în conformitate cu dreptul Uniunii şi cu cel intern şi, în special, nu modifica drepturile şi obligaţiile prevazute de prezentul regulament. În special, directiva sus-menţionata nu se aplica documentelor la care accesul este exclus sau restrâns în temeiul regimurilor de acces din motive legate de protecţia datelor cu caracter personal şi nici parţilor din documente accesibile în temeiul respectivelor regimuri care conţin date cu caracter personal a caror reutilizare a fost stabilita prin lege ca fiind incompatibila cu dreptul privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal.

(1)Directiva 2003/98/CE a Parlamentului European şi a Consiliului din 17 noiembrie 2003 privind reutilizarea informaţiilor din sectorul public (JO L 345, 31.12.2003, p. 90).
(155)Dreptul intern sau acordurile colective, inclusiv „acordurile de munca”, pot prevedea norme specifice care sa reglementeze prelucrarea datelor cu caracter personal ale angajaţilor în contextul ocuparii unui loc de munca, în special condiţiile în care datele cu caracter personal în contextul ocuparii unui loc de munca pot fi prelucrate pe baza consimţamântului angajatului, în scopul recrutarii, al respectarii clauzelor contractului de munca, inclusiv descarcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii şi organizarii muncii, al egalitaţii şi diversitaţii la locul de munca, al asigurarii sanataţii şi securitaţii la locul de munca, precum şi în scopul exercitarii şi beneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de munca, precum şi în scopul încetarii raporturilor de munca.

(156)Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice ar trebui sa faca obiectul unor garanţii adecvate pentru drepturile şi libertaţile persoanei vizate în temeiul prezentului regulament. Respectivele garanţii ar trebui sa asigure faptul ca au fost instituite masuri tehnice şi organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor. Prelucrarea ulterioara a datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice se efectueaza atunci când operatorul a evaluat fezabilitatea pentru îndeplinirea

acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiţia sa existe garanţii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Statele membre ar trebui sa prevada garanţii adecvate pentru prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice. Statele membre ar trebui sa fie autorizate sa ofere, în anumite condiţii şi sub rezerva unor garanţii adecvate pentru persoanele vizate, precizari şi derogari în ceea ce priveşte cererile de informaţii şi dreptul la rectificare, dreptul la ştergere, dreptul de a fi uitat, dreptul la restricţionarea prelucrarii,dreptul la portabilitatea datelor, precum şi dreptul la opoziţie în cazul prelucrarii datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice. Condiţiile şi garanţiile în cauza pot genera proceduri specifice astfel încât persoanele vizate sa îşi exercite respectivele drepturi daca acest lucru este adecvat în contextul scopurilor vizate de prelucrarea specifica, precum şi masuri tehnice şi organizaţionale vizând reducerea la minimum a prelucrarii datelor cu caracter personal, în conformitate cu principiile proporţionalitaţii şi necesitaţii. Prelucrarea datelor cu caracter personal în scopuri ştiinţifice ar trebui sa fie, de asemenea, conforma cu alte acte legislative relevante, cum ar fi cele privind studiile clinice.

(157)Prin combinarea informaţiilor din registre, cercetatorii pot obţine noi cunoştinţe de mare valoare în ceea ce priveşte bolile cu larga raspândire, cum ar fi bolile cardiovasculare, cancerul şi depresia. Pe baza registrelor, rezultatele cercetarilor pot fi întarite, întrucât acestea se bazeaza pe o populaţie mai mare. În domeniul ştiinţelor sociale, cercetarea pe baza registrelor le permite cercetatorilor sa obţina informaţii esenţiale despre corelarea pe termen lung a unei serii de condiţii sociale, precum şomajul sau educaţia, cu alte condiţii de viaţa. Rezultatele cercetarilor obţinute pe baza registrelor furnizeaza cunoştinţe solide, de înalta calitate, care pot constitui baza pentru elaborarea şi punerea în aplicare a unor politici bazate pe cunoaştere şi care pot îmbunataţi calitatea vieţii pentru un numar de persoane, eficienţa serviciilor sociale. Pentru a facilita cercetarea ştiinţifica, datele cu caracter personal pot fi prelucrate în scopuri de cercetare ştiinţifica, sub rezerva condiţiilor şi a garanţiilor corespunzatoare stabilite în dreptul Uniunii sau în dreptul intern.

(158)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare, prezentul regulament ar trebui sa se aplice şi prelucrarii respective, ţinând seama de faptul ca prezentul regulament nu ar trebui sa se aplice persoanelor decedate. Autoritaţile publice sau organismele publice sau private care deţin evidenţe de interes public ar trebui, în temeiul dreptului Uniunii sau al dreptului naţional, sa aiba o obligaţie legala de a dobândi, a pastra, a evalua, a pregati, a descrie, a comunica, a promova, a disemina şi a asigura accesul la evidenţe de valoare durabila de interes public general. Statele membre ar trebui, de asemenea, sa poata sa prevada prelucrarea ulterioara a datelor cu caracter personal în scopuri de arhivare, de exemplu cu scopul de a furniza informaţii specifice referitoare la comportamentul politic în perioada fostelor regimuri de stat totalitare, la genociduri, la crime împotriva umanitaţii, în special holocaustul, sau la crime de razboi.

(159)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifica, prezentul regulament ar trebui sa se aplice şi prelucrarii respective. În sensul prezentului regulament, prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifica ar trebui sa fie interpretata în sens larg, incluzând de exemplu dezvoltarea tehnologica şi activitaţile demonstrative, cercetarea fundamentala, cercetarea aplicata şi cercetarea finanţata din surse private. Ar trebui, în plus, luat în considerare obiectivul Uniunii de creare a unui Spaţiu european de cercetare, astfel cum este menţionat la articolul 179 alineatul (1) din TFUE. Scopurile de cercetare ştiinţifica ar trebui sa includa, de asemenea, studii efectuate în interes public în domeniul sanataţii publice. Pentru a îndeplini caracteristicile specifice ale prelucrarii datelor cu caracter personal în scopuri de cercetare ştiinţifica, ar trebui sa se aplice condiţii specifice, în special în ceea ce priveşte publicarea sau divulgarea într-un alt mod a datelor cu caracter personal în contextul scopurilor de cercetare ştiinţifica. În cazul în care rezultatul cercetarii ştiinţifice, în special în contextul sanataţii, constituie un motiv pentru masuri suplimentare în interesul persoanei vizate, normele generale ale prezentului regulament ar trebui sa se aplice având în vedere aceste masuri.

(160)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare istorica, prezentul regulament ar trebui sa se aplice şi prelucrarii respective. Acest lucru ar trebui sa includa, de asemenea, cercetarea istorica şi cercetarea în scopuri genealogice, ţinând seama de faptul ca prezentul regulament nu ar trebui sa se aplice persoanelor decedate.

(161)În scopul acordarii consimţamântului de a participa la activitaţi de cercetare ştiinţifica în cadrul testelor clinice, ar trebui sa se aplice dispoziţiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European şi al Consiliului (1).
(1)Regulamentul (UE) nr. 536/2014 al Parlamentului European şi al Consiliului din 16 aprilie 2014 privind studiile clinice intervenţionale cu medicamente de uz uman şi de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).

(162)În cazul în care datele cu caracter personal sunt prelucrate în scopuri statistice, prezentul regulament ar trebui sa se aplice prelucrarii respective. Dreptul Uniunii sau dreptul intern ar trebui, în limitele prezentului regulament, sa determine conţinutul statistic, controlul accesului, specificaţiile pentru prelucrarea datelor cu caracter personal în scopuri statistice şi masurile adecvate pentru a proteja drepturile şi libertaţile persoanelor vizate şi pentru a asigura confidenţialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior în diferite scopuri, inclusiv în scopuri de cercetare ştiinţifica. Scopuri statistice înseamna orice operaţiune de colectare şi prelucrare de date cu caracter personal necesara pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun ca rezultatul prelucrarii în scopuri statistice nu constituie date cu caracter personal, ci date agregate şi ca acest rezultat sau datele cu caracter personal nu sunt utilizate în sprijinul unor masuri sau decizii privind o anumita persoana fizica.

(163)Informaţiile confidenţiale pe care autoritaţile statistice de la nivelul Uniunii şi de la nivel naţional le colecteaza în vederea elaborarii de statistici europene şi naţionale oficiale ar trebui sa fie protejate. Statisticile europene ar trebui concepute, elaborate şi difuzate în conformitate cu principiile statistice prevazute la articolul 338 alineatul (2) din TFUE, în timp ce statisticile naţionale ar trebui, de asemenea, sa fie în conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului (2) prevede specificaţii suplimentare privind confidenţialitatea datelor statistice pentru statisticile europene.

(2)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunitaţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunitaţilor Europene (JO L 87, 31.3.2009, p. 164).

(164)În ceea ce priveşte competenţele autoritaţilor de supraveghere de a obţine de la operator sau de la persoana împuternicita de operator accesul la datele cu caracter personal şi accesul în cladirile lor, statele membre pot adopta, pe cale legislativa şi în limitele stabilite de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor obligaţii echivalente, în masura în care acest lucru este necesar pentru a asigura un echilibru între dreptul la protecţia datelor cu caracter personal şi obligaţia de pastrare a secretului profesional. Aceasta nu aduce atingere obligaţiilor existente ale statelor membre de a adopta norme privind secretul profesional în situaţiile cerute de dreptul Uniunii.

(165)Prezentul regulament respecta şi nu aduce atingere statutului de care beneficiaza, în temeiul dreptului constituţional existent, bisericile şi asociaţiile sau comunitaţile religioase din statele membre, astfel cum este recunoscut în articolul 17 din TFUE.
(166)În vederea îndeplinirii obiectivelor prezentului regulament, şi anume protejarea drepturilor şi libertaţilor fundamentale ale persoanelor fizice şi, în special, a dreptului acestora la protecţia datelor cu caracter personal, şi pentru a se garanta libera circulaţie a datelor cu caracter personal pe teritoriul Uniunii, competenţa de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui sa fie delegata Comisiei. În special, ar trebui adoptate acte delegate în ceea ce priveşte criteriile şi cerinţele privind mecanismele de certificare, informaţiile care trebuie prezentate prin pictograme standardizate şi procedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, în cadrul

activitaţii sale pregatitoare, Comisia sa organizeze consultari adecvate, inclusiv la nivel de experţi. Atunci când pregateşte şi elaboreaza acte delegate, Comisia ar trebui sa asigure transmiterea simultana, la timp şi în mod corespunzator a documentelor relevante catre Parlamentul European şi catre Consiliu.

(167)În vederea asigurarii unor condiţii uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestita cu competenţe de executare în situaţiile stabilite de prezentul regulament. Competenţele respective ar trebui sa fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011. În acest context, Comisia ar trebui sa ia în considerare masuri specifice pentru microîntreprinderi şi pentru întreprinderile mici şi mijlocii.

(168)Procedura de examinare ar trebui utilizata pentru adoptarea de acte de punere în aplicare privind: clauzele contractuale standard dintre operatori şi persoanele împuternicite de operatori, precum şi dintre persoanele împuternicite de operatori; codurile de conduita; standardele tehnice şi mecanismele de certificare; nivelul adecvat de protecţie oferit de o ţara terţa, de un teritoriu sau de un anumit sector de prelucrare din ţara terţa respectiva, sau de o organizaţie internaţionala; clauzele standard de protecţie a datelor; formatele şi procedurile pentru schimbul electronic de informaţii între operatori, persoanele împuternicite de operatori şi autoritaţile de supraveghere pentru regulile corporatiste obligatorii; asistenţa reciproca; precum şi modalitaţile de realizare a schimbului electronic de informaţii între autoritaţile de supraveghere, precum şi între autoritaţile de supraveghere şi comitetul.

(169)Comisia ar trebui sa adopte acte de punere în aplicare imediat aplicabile atunci când dovezile disponibile arata ca o ţara terţa, un teritoriu sau un anumit sector de prelucrare din ţara terţa respectiva, sau o organizaţie internaţionala nu asigura un nivel de protecţie adecvat, precum şi din motive imperative de urgenţa.

(170)Deoarece obiectivul prezentului regulament, şi anume asigurarea unui nivel echivalent de protecţie a persoanelor fizice şi libera circulaţie a datelor cu caracter personal în întreaga Uniune, nu poate fi realizat în mod satisfacator de catre statele membre dar, având în vedere amploarea sau efectele acţiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta masuri în conformitate cu principiul subsidiaritaţii, astfel cum este definit la articolul 5 din Tratatul privind Uniunea Europeana („Tratatul UE”). În conformitate cu principiul proporţionalitaţii, astfel cum este definit la articolul respectiv, prezentul regulament nu depaşeşte ceea ce este necesar pentru realizarea obiectivelor menţionate.

(171)Directiva 95/46/CE ar trebui sa fie abrogata prin prezentul regulament. Prelucrarile în derulare la data aplicarii prezentului regulament ar trebui sa fie aduse în conformitate cu prezentul regulament în termen de doi ani de la data intrarii în vigoare a prezentului regulament. În cazul în care prelucrarile se bazeaza pe consimţamânt în temeiul Directivei 95/46/CE, nu este necesar ca persoana vizata sa îşi dea înca o data consimţamântul în cazul în care modul în care consimţamântul a fost dat este în conformitate cu condiţiile din prezentul regulament, astfel încât operatorului sa i se permita sa continue o astfel de prelucrare dupa data aplicarii prezentului regulament. Deciziile adoptate ale Comisiei şi autorizaţiile autoritaţilor de supraveghere emise pe baza Directivei 95/46/CE ramân în vigoare pâna când vor fi modificate, înlocuite sau abrogate.

(172)Autoritatea Europeana pentru Protecţia Datelor a fost consultata în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 şi a emis un aviz la 7 martie 2012 (1).
(1)JO C 192, 30.6.2012, p. 7.
(173)Prezentul regulament ar trebui sa se aplice tuturor aspectelor referitoare la protecţia drepturilor şi libertaţilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligaţii specifice cu acelaşi obiectiv ca cel stabilit în Directiva 2002/58/CE a Parlamentului European şi a Consiliului (2), inclusiv obligaţiile privind operatorul şi drepturile persoanelor fizice. Pentru a se clarifica relaţia dintre prezentul regulament şi Directiva 2002/58/CE, respectiva directiva ar trebui sa fie modificata în consecinţa. Dupa adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui sa fie revizuita în special pentru a se asigura coerenţa cu prezentul regulament,

(2)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialitaţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialitaţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).
ADOPTĂ PREZENTUL REGULAMENT:

-****-

CAPITOLUL I: Dispoziţii generale
Art. 1: Obiect şi obiective
(1)Prezentul regulament stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi normele referitoare la libera circulaţie a datelor cu caracter personal.
(2)Prezentul regulament asigura protecţia drepturilor şi libertaţilor fundamentale ale persoanelor fizice şi în special a dreptului acestora la protecţia datelor cu caracter personal.
(3)Libera circulaţie a datelor cu caracter personal în interiorul Uniunii nu poate fi restricţionata sau interzisa din motive legate de protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal.
Art. 2: Domeniul de aplicare material
(1)Prezentul regulament se aplica prelucrarii datelor cu caracter personal, efectuata total sau parţial prin mijloace automatizate, precum şi prelucrarii prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţa a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenţa a datelor.
(2)Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal:
a)în cadrul unei activitaţi care nu intra sub incidenţa dreptului Uniunii;
b)de catre statele membre atunci când desfaşoara activitaţi care intra sub incidenţa capitolului 2 al titlului V din Tratatul UE;
c)de catre o persoana fizica în cadrul unei activitaţi exclusiv personale sau domestice;
d)de catre autoritaţile competente în scopul prevenirii, investigarii, depistarii sau urmaririi penale a infracţiunilor, sau al executarii sancţiunilor penale, inclusiv al protejarii împotriva ameninţarilor la adresa siguranţei publice şi al prevenirii acestora.
(3)Pentru prelucrarea datelor cu caracter personal de catre instituţiile, organele, oficiile şi agenţiile Uniunii, se aplica Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal se adapteaza la principiile şi normele din prezentul regulament în conformitate cu articolul 98.
(4)Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE, în special normelor privind raspunderea furnizorilor de servicii intermediari, prevazute la articolele 12-15 din directiva menţionata.
Art. 3: Domeniul de aplicare teritorial
(1)Prezentul regulament se aplica prelucrarii datelor cu caracter personal în cadrul activitaţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent daca prelucrarea are loc sau nu pe teritoriul Uniunii.
(2)Prezentul regulament se aplica prelucrarii datelor cu caracter personal ale unor persoane vizate care se afla în Uniune de catre un operator sau o persoana împuternicita de operator care nu este stabilit(a) în Uniune, atunci când activitaţile de prelucrare sunt legate de:
a)oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent daca se solicita sau nu efectuarea unei plaţi de catre persoana vizata; sau
b)monitorizarea comportamentului lor daca acesta se manifesta în cadrul Uniunii.
(3)Prezentul regulament se aplica prelucrarii datelor cu caracter personal de catre un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplica în temeiul dreptului internaţional public.
Art. 4: Definiţii
În sensul prezentului regulament:
1.”date cu caracter personal” înseamna orice informaţii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi

identificata, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitaţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; 2.”prelucrare” înseamna orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;3.”restricţionarea prelucrarii” înseamna marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

4.”creare de profiluri” înseamna orice forma de prelucrare automata a datelor cu caracter personal care consta în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de munca, situaţia economica, sanatatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se afla persoana fizica respectiva sau deplasarile acesteia;

5.”pseudonimizare” înseamna prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare sa fie stocate separat şi sa faca obiectul unor masuri de natura tehnica şi organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

6.”sistem de evidenţa a datelor” înseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii funcţionale sau geografice;
7.”operator” înseamna persoana fizica sau juridica, autoritatea publica, agenţia sau alt organism care, singur sau împreuna cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute în dreptul Uniunii sau în dreptul intern;

8.”persoana împuternicita de operator” înseamna persoana fizica sau juridica, autoritatea publica, agenţia sau alt organism care prelucreaza datele cu caracter personal în numele operatorului; 9.”destinatar” înseamna persoana fizica sau juridica, autoritatea publica, agenţia sau alt organism careia (caruia) îi sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terţa. Cu toate acestea, autoritaţile publice carora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de catre autoritaţile publice respective respecta normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrarii;

10.”parte terţa” înseamna o persoana fizica sau juridica, autoritate publica, agenţie sau organism altul decât persoana vizata, operatorul, persoana împuternicita de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate sa prelucreze date cu caracter personal;

11.”consimţamânt” al persoanei vizate înseamna orice manifestare de voinţa libera, specifica, informata şi lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaraţie sau printr-o acţiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate; 12.”încalcarea securitaţii datelor cu caracter personal” înseamna o încalcare a securitaţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

13.”date genetice” înseamna datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care ofera informaţii unice privind fiziologia sau sanatatea persoanei respective şi care rezulta în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauza;

14.”date biometrice” înseamna o date cu caracter personal care rezulta în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unica a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

15.”date privind sanatatea” înseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenţa medicala, care dezvaluie informaţii despre starea de sanatate a acesteia;
16.”sediu principal” înseamna:

(a)în cazul unui operator cu sedii în cel puţin doua state membre, locul în care se afla administraţia centrala a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;

(b)în cazul unei persoane împuternicite de operator cu sedii în cel puţin doua state membre, locul în care se afla administraţia centrala a acesteia în Uniune, sau, în cazul în care persoana împuternicita de operator nu are o administraţie centrala în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitaţile principale de prelucrare, în contextul activitaţilor unui sediu al persoanei împuternicite de operator, în masura în care aceasta este supusa unor obligaţii specifice în temeiul prezentului regulament;

17.”reprezentant” înseamna o persoana fizica sau juridica stabilita în Uniune, desemnata în scris de catre operator sau persoana împuternicita de operator în temeiul articolului 27, care reprezinta operatorul sau persoana împuternicita în ceea ce priveşte obligaţiile lor respective care le revin în temeiul prezentului regulament;

18.”întreprindere” înseamna o persoana fizica sau juridica ce desfaşoara o activitate economica, indiferent de forma juridica a acesteia, inclusiv parteneriate sau asociaţii care desfaşoara în mod regulat o activitate economica;
19.”grup de întreprinderi” înseamna o întreprindere care exercita controlul şi întreprinderile controlate de aceasta;

20.”reguli corporatiste obligatorii” înseamna politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoana împuternicita de operator stabilita pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal catre un operator sau o persoana împuternicita de operator în una sau mai multe ţari terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economica comuna;

21.”autoritate de supraveghere” înseamna o autoritate publica independenta instituita de un stat membru în temeiul articolului 51;
22.”autoritate de supraveghere vizata” înseamna o autoritate de supraveghere care este vizata de procesul de prelucrare a datelor cu caracter personal deoarece:

(a)operatorul sau persoana împuternicita de operator este stabilita pe teritoriul statului membru al autoritaţii de supraveghere respective;
(b)persoanele vizate care îşi au reşedinţa în statul membru în care se afla autoritatea de supraveghere respectiva sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau

(c)la autoritatea de supraveghere respectiva a fost depusa o plângere;
23.”prelucrare transfrontaliera” înseamna:
(a)fie prelucrarea datelor cu caracter personal care are loc în contextul activitaţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, daca operatorul sau persoana împuternicita de operator are sedii în cel puţin doua state membre; sau
(b)fie prelucrarea datelor cu caracter personal care are loc în contextul activitaţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afecteaza în

mod semnificativ sau este susceptibila de a afecta în mod semnificativ persoane vizate din cel puţin doua state membre;
24.”obiecţie relevanta şi motivata” înseamna o obiecţie la un proiect de decizie în scopul de a stabili daca exista o încalcare a prezentului regulament sau daca masurile preconizate în ceea ce priveşte operatorul sau persoana împuternicita de operator respecta prezentul regulament, care demonstreaza în mod clar importanţa riscurilor pe care le prezinta proiectul de decizie în ceea ce priveşte drepturile şi libertaţile fundamentale ale persoanelor vizate şi, dupa caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;

25.«serviciile societaţii informaţionale» înseamna un serviciu astfel cum este definit la articolul 1

alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European şi a Consiliului (1);

(1)Directiva (UE) 2015/1535 a Parlamentului European şi a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informaţii în domeniul reglementarilor tehnice şi al normelor privind serviciile societaţii informaţionale (JO L 241, 17.9.2015, p. 1).

(la data 23-mai-2018 Art. 4, punctul 25. din capitolul I rectificat de punctul 2. din Rectificare din 23-mai-2018 )

26.”organizaţie internaţionala” înseamna o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între doua sau mai multe ţari sau în temeiul unui astfel de acord.
CAPITOLUL II: Principii

Art. 5: Principii legate de prelucrarea datelor cu caracter personal
(1)Datele cu caracter personal sunt:
a)prelucrate în mod legal, echitabil şi transparent faţa de persoana vizata („legalitate, echitate şi transparenţa”);
b)colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice nu este considerata incompatibila cu scopurile iniţiale, în conformitate cu articolul 89 alineatul (1) („limitari legate de scop”);
c)adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
d)exacte şi, în cazul în care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fara întârziere („exactitate”);
e)pastrate într-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaşeşte perioada necesara îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în masura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a masurilor de ordin tehnic şi organizatoric adecvate prevazute în prezentul regulament în vederea garantarii drepturilor şi libertaţilor persoanei vizate („limitari legate de stocare”);
f)prelucrate într-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protecţia împotriva prelucrarii neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate şi confidenţialitate”).
(2)Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra aceasta respectare („responsabilitate”).
Art. 6: Legalitatea prelucrarii
(1)Prelucrarea este legala numai daca şi în masura în care se aplica cel puţin una dintre urmatoarele condiţii:
a)persoana vizata şi-a dat consimţamântul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b)prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c)prelucrarea este necesara în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

d)prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e)prelucrarea este necesara pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezulta din exercitarea autoritaţii publice cu care este învestit operatorul;

f)prelucrarea este necesara în scopul intereselor legitime urmarite de operator sau de o parte terţa, cu excepţia cazului în care prevaleaza interesele sau drepturile şi libertaţile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, în special atunci când persoana vizata este un copil.

Litera (f) din primul paragraf nu se aplica în cazul prelucrarii efectuate de autoritaţi publice în îndeplinirea atribuţiilor lor.
(2)Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicarii normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectarii alineatului (1) literele (c) şi (e) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor masuri de asigurare a unei prelucrari legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevazut în capitolul IX.

(3)Temeiul pentru prelucrarea menţionata la alineatul (1) literele (c) şi (e) trebuie sa fie prevazut în: a)dreptul Uniunii; sau
b)dreptul intern care se aplica operatorului.
Scopul prelucrarii este stabilit pe baza respectivului temei juridic sau, în ceea ce priveşte prelucrarea menţionata la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitarii unei funcţii publice atribuite operatorului. Respectivul temei juridic poate conţine dispoziţii specifice privind adaptarea aplicarii normelor prezentului regulament, printre altele: condiţiile generale care reglementeaza legalitatea prelucrarii de catre operator; tipurile de date care fac obiectul prelucrarii; persoanele vizate; entitaţile carora le pot fi divulgate datele şi scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitarile legate de scop; perioadele de stocare; şi operaţiunile şi procedurile de prelucrare, inclusiv masurile de asigurare a unei prelucrari legale şi echitabile cum sunt cele pentru alte situaţii concrete de prelucrare astfel cum sunt prevazute în capitolul IX. Dreptul Uniunii sau dreptul intern urmareşte un obiectiv de interes public şi este proporţional cu obiectivul legitim urmarit.

(4)În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazeaza pe consimţamântul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o masura necesara şi proporţionala într-o societate democratica pentru a proteja obiectivele menţionate la articolul 23 alineatul (1), operatorul, pentru a stabili daca prelucrarea în alt scop este compatibila cu scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare, printre altele:

a)orice legatura dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrarii ulterioare preconizate;
b)contextul în care datele cu caracter personal au fost colectate, în special în ceea ce priveşte relaţia dintre persoanele vizate şi operator;

c)natura datelor cu caracter personal, în special în cazul prelucrarii unor categorii speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnari penale şi infracţiuni, în conformitate cu articolul 10;
d)posibilele consecinţe asupra persoanelor vizate ale prelucrarii ulterioare preconizate;

e)existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.
Art. 7: Condiţii privind consimţamântul
(1)În cazul în care prelucrarea se bazeaza pe consimţamânt, operatorul trebuie sa fie în masura sa demonstreze ca persoana vizata şi-a dat consimţamântul pentru prelucrarea datelor sale cu caracter personal.
(2)În cazul în care consimţamântul persoanei vizate este dat în contextul unei declaraţii scrise care se refera şi la alte aspecte, cererea privind consimţamântul trebuie sa fie prezentata într-o forma care o diferenţiaza în mod clar de celelalte aspecte, într-o forma inteligibila şi uşor accesibila, utilizând un

limbaj clar şi simplu. Nicio parte a respectivei declaraţii care constituie o încalcare a prezentului regulament nu este obligatorie.
(3)Persoana vizata are dreptul sa îşi retraga în orice moment consimţamântul. Retragerea consimţamântului nu afecteaza legalitatea prelucrarii efectuate pe baza consimţamântului înainte de retragerea acestuia. Înainte de acordarea consimţamântului, persoana vizata este informata cu privire la acest lucru. Retragerea consimţamântului se face la fel de simplu ca acordarea acestuia.

(4)Atunci când se evalueaza daca consimţamântul este dat în mod liber, se ţine seama cât mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionata sau nu de consimţamântul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.

Art. 8: Condiţii aplicabile în ceea ce priveşte consimţamântul copiilor în legatura cu serviciile societaţii informaţionale

(1)În cazul în care se aplica articolul 6 alineatul (1) litera (a), în ceea ce priveşte oferirea de servicii ale societaţii informaţionale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legala daca copilul are cel puţin vârsta de 16 ani. Daca copilul are sub vârsta de 16 ani, respectiva prelucrare este legala numai daca şi în masura în care consimţamântul respectiv este acordat sau autorizat de titularul raspunderii parinteşti asupra copilului.

Statele membre pot prevedea prin lege o vârsta inferioara în aceste scopuri, cu condiţia ca acea vârsta inferioara sa nu fie mai mica de 13 ani.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri ca titularul raspunderii parinteşti a acordat sau a autorizat consimţamântul, ţinând seama de tehnologiile disponibile.

(3)Alineatul (1) nu afecteaza dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legatura cu un copil.
Art. 9: Prelucrarea de categorii speciale de date cu caracter personal
(1)Se interzice prelucrarea de date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viaţa sexuala sau orientarea sexuala ale unei persoane fizice.

(2)Alineatul (1) nu se aplica în urmatoarele situaţii:
a)persoana vizata şi-a dat consimţamântul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prevazuta la alineatul (1) sa nu poata fi ridicata prin consimţamântul persoanei vizate;
b)prelucrarea este necesara în scopul îndeplinirii obligaţiilor şi al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocuparii forţei de munca şi al securitaţii sociale şi protecţiei sociale, în masura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munca încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate;
c)prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizata se afla în incapacitate fizica sau juridica de a-şi da consimţamântul;
d)prelucrarea este efectuata în cadrul activitaţilor lor legitime şi cu garanţii adecvate de catre o fundaţie, o asociaţie sau orice alt organism fara scop lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea sa se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legatura cu scopurile sale şi ca datele cu caracter personal sa nu fie comunicate terţilor fara consimţamântul persoanelor vizate; e)prelucrarea se refera la date cu caracter personal care sunt facute publice în mod manifest de catre persoana vizata;
f)prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept în instanţa sau ori de câte ori instanţele acţioneaza în exerciţiul funcţiei lor judiciare;

g)prelucrarea este necesara din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmarit, respecta esenţa dreptului la protecţia datelor şi prevede masuri corespunzatoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate;

h)prelucrarea este necesara în scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitaţii de munca a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţa medicala sau sociala sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sanatate sau de asistenţa sociala, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectarii condiţiilor şi garanţiilor prevazute la alineatul (3);

i)prelucrarea este necesara din motive de interes public în domeniul sanataţii publice, cum ar fi protecţia împotriva ameninţarilor transfrontaliere grave la adresa sanataţii sau asigurarea de standarde ridicate de calitate şi siguranţa a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede masuri adecvate şi specifice pentru protejarea drepturilor şi libertaţilor persoanei vizate, în special a secretului profesional; sau j)prelucrarea este necesara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmarit, respecta esenţa dreptului la protecţia datelor şi prevede masuri corespunzatoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.

(3)Datele cu caracter personal menţionate la alineatul (1) pot fi prelucrate în scopurile menţionate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de catre un profesionist supus obligaţiei de pastrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente sau de o alta persoana supusa, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente.

(4)Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sanatatea.
Art. 10: Prelucrarea de date cu caracter personal referitoare la condamnari penale şi infracţiuni

Prelucrarea de date cu caracter personal referitoare la condamnari penale şi infracţiuni sau la masuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectueaza numai sub controlul unei autoritaţi de stat sau atunci când prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern care prevede garanţii adecvate pentru drepturile şi libertaţile persoanelor vizate. Orice registru cuprinzator al condamnarilor penale se ţine numai sub controlul unei autoritaţi de stat.

Art. 11: Prelucrarea care nu necesita identificare
(1)În cazul în care scopurile pentru care un operator prelucreaza date cu caracter personal nu necesita sau nu mai necesita identificarea unei persoane vizate de catre operator, operatorul nu are obligaţia de a pastra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizata în scopul unic al respectarii prezentului regulament.
(2)Daca, în cazurile menţionate la alineatul (1) din prezentul articol, operatorul poate demonstra ca nu este în masura sa identifice persoana vizata, operatorul informeaza persoana vizata în mod corespunzator, în cazul în care este posibil. În astfel de cazuri, articolele 15-20 nu se aplica, cu excepţia cazului în care persoana vizata, în scopul exercitarii drepturilor sale în temeiul respectivelor articole, ofera informaţii suplimentare care permit identificarea sa.
CAPITOLUL III: Drepturile persoanei vizate
Secţiunea 1: Transparenţa şi modalitaţi
Art. 12: Transparenţa informaţiilor, a comunicarilor şi a modalitaţilor de exercitare a drepturilor persoanei vizate
(1)Operatorul ia masuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicari în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o forma concisa, transparenta, inteligibila şi uşor accesibila, utilizând un limbaj clar şi simplu, în special

pentru orice informaţii adresate în mod specific unui copil. Informaţiile se furnizeaza în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate sa fie dovedita prin alte mijloace.

(2)Operatorul faciliteaza exercitarea drepturilor persoanei vizate în temeiul articolelor 15-22. În cazurile menţionate la articolul 11 alineatul (2), operatorul nu refuza sa dea curs cererii persoanei vizate de a-şi exercita drepturile în conformitate cu articolele 15-22, cu excepţia cazului în care operatorul demonstreaza ca nu este în masura sa identifice persoana vizata.

(3)Operatorul furnizeaza persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fara întârzieri nejustificate şi în orice caz în cel mult o luna de la primirea cererii. Aceasta perioada poate fi prelungita cu doua luni atunci când este necesar, ţinându-se seama de complexitatea şi numarul cererilor. Operatorul informeaza persoana vizata cu privire la orice astfel de prelungire, în termen de o luna de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizata introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizata solicita un alt format. (4)Daca nu ia masuri cu privire la cererea persoanei vizate, operatorul informeaza persoana vizata, fara întârziere şi în termen de cel mult o luna de la primirea cererii, cu privire la motivele pentru care nu ia masuri şi la posibilitatea de a depune o plângere în faţa unei autoritaţi de supraveghere şi de a introduce o cale de atac judiciara.

(5)Informaţiile furnizate în temeiul articolelor 13 şi 14 şi orice comunicare şi orice masuri luate în temeiul articolelor 15-22 şi 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vadit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

a)fie sa perceapa o taxa rezonabila ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicarii sau pentru luarea masurilor solicitate;

b)fie sa refuze sa dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vadit nefondat sau excesiv al cererii.
(6)Fara a aduce atingere articolului 11, în cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înainteaza cererea menţionata la articolele 15-21, operatorul poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate. (7)Informaţiile care urmeaza sa fie furnizate persoanelor vizate în temeiul articolelor 13 şi 14 pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie sa poata fi citite automat. (8)Comisia este împuternicita sa adopte acte delegate în conformitate cu articolul 92 în vederea determinarii informaţiilor care urmeaza sa fie prezentate de pictograme şi a procedurilor pentru furnizarea de pictograme standardizate.
Secţiunea 2: Informare şi acces la date cu caracter personal
Art. 13: Informaţii care se furnizeaza în cazul în care datele cu caracter personal sunt colectate de la persoana vizata
(1)În cazul în care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizeaza persoanei vizate toate informaţiile urmatoare:
a)identitatea şi datele de contact ale operatorului şi, dupa caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecţia datelor, dupa caz;
c)scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrarii; d)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmarite de operator sau de o parte terţa;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f)daca este cazul, intenţia operatorului de a transfera date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat

sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzatoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.
(2)În plus faţa de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizeaza persoanei vizate urmatoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabila şi transparenta:

a)perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
b)existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrarii sau a dreptului de a se opune prelucrarii, precum şi a dreptului la portabilitatea datelor; c)atunci când prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţamântul în orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimţamântului înainte de retragerea acestuia;

d)dreptul de a depune o plângere în faţa unei autoritaţi de supraveghere;
e)daca furnizarea de date cu caracter personal reprezinta o obligaţie legala sau contractuala sau o obligaţie necesara pentru încheierea unui contract, precum şi daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectarii acestei obligaţii;
f)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizata şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrari pentru persoana vizata.
(3)În cazul în care operatorul intenţioneaza sa prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizeaza persoanei vizate, înainte de aceasta prelucrare ulterioara, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).
(4)Alineatele (1), (2) şi (3) nu se aplica daca şi în masura în care persoana vizata deţine deja informaţiile respective.
Art. 14: Informaţii care se furnizeaza în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizata

(1)În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizata, operatorul furnizeaza persoanei vizate urmatoarele informaţii:
a)identitatea şi datele de contact ale operatorului şi, dupa caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecţia datelor, dupa caz;

c)scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrarii; d)categoriile de date cu caracter personal vizate;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dupa caz;
f)daca este cazul, intenţia operatorului de a transfera date cu caracter personal catre un destinatar dintr-o ţara terţa sau o organizaţie internaţionala şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzatoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2)Pe lânga informaţiile menţionate la alineatul (1), operatorul furnizeaza persoanei vizate urmatoarele informaţii necesare pentru a asigura o prelucrare echitabila şi transparenta în ceea ce priveşte persoana vizata:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;

b)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmarite de operator sau de o parte terţa;

c)existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrarii şi a dreptului de a se opune prelucrarii, precum şi a dreptului la portabilitatea datelor; d)atunci când prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţamântul în orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimţamântului înainte de retragerea acestuia;

e)dreptul de a depune o plângere în faţa unei autoritaţi de supraveghere;
f)sursa din care provin datele cu caracter personal şi, daca este cazul, daca acestea provin din surse disponibile public;
g)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizata şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrari pentru persoana vizata.
(3)Operatorul furnizeaza informaţiile menţionate la alineatele (1) şi (2):
a)într-un termen rezonabil dupa obţinerea datelor cu caracter personal, dar nu mai mare de o luna, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal; b)daca datele cu caracter personal urmeaza sa fie utilizate pentru comunicarea cu persoana vizata, cel târziu în momentul primei comunicari catre persoana vizata respectiva; sau
c)daca se intenţioneaza divulgarea datelor cu caracter personal catre un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oara.
(4)În cazul în care operatorul intenţioneaza sa prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizeaza persoanei vizate, înainte de aceasta prelucrare ulterioara, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).
(5)Alineatele (1)-(4) nu se aplica daca şi în masura în care:
a)persoana vizata deţine deja informaţiile;
b)furnizarea acestor informaţii se dovedeşte a fi imposibila sau ar implica eforturi disproporţionate, în special în cazul prelucrarii în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevazute la articolul 89 alineatul (1), sau în masura în care obligaţia menţionata la alineatul (1) din prezentul articol este susceptibil sa faca imposibila sau sa afecteze în mod grav realizarea obiectivelor prelucrarii respective In astfel de cazuri, operatorul ia masuri adecvate pentru a proteja drepturile, libertaţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;
c)obţinerea sau divulgarea datelor este prevazuta în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa caruia intra operatorul şi care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
d)în cazul în care datele cu caracter personal trebuie sa ramâna confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a pastra secretul.
Art. 15: Dreptul de acces al persoanei vizate
(1)Persoana vizata are dreptul de a obţine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la urmatoarele informaţii:
a)scopurile prelucrarii;
b)categoriile de date cu caracter personal vizate;
c)destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, în special destinatari din ţari terţe sau organizaţii internaţionale;
d)acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada; e)existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;

f)dreptul de a depune o plângere în faţa unei autoritaţi de supraveghere;
g)în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informaţii disponibile privind sursa acestora;
h)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizata şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrari pentru persoana vizata.
(2)În cazul în care datele cu caracter personal sunt transferate catre o ţara terţa sau o organizaţie internaţionala, persoana vizata are dreptul sa fie informata cu privire la garanţiile adecvate în temeiul articolului 46 referitoare la transfer.
(3)Operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. În cazul în care persoana vizata introduce cererea în format electronic şi cu excepţia cazului în care persoana vizata solicita un alt format, informaţiile sunt furnizate într-un format electronic utilizat în mod curent.
(4)Dreptul de a obţine o copie menţionata la alineatul (3) nu aduce atingere drepturilor şi libertaţilor altora.
Secţiunea 3: Rectificare şi ştergere
Art. 16: Dreptul la rectificare
Persoana vizata are dreptul de a obţine de la operator, fara întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizata are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
Art. 17: Dreptul la ştergerea datelor („dreptul de a fi uitat”)
(1)Persoana vizata are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fara întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fara întârzieri nejustificate în cazul în care se aplica unul dintre urmatoarele motive: a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b)persoana vizata îşi retrage consimţamântul pe baza caruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu exista niciun alt temei juridic pentru prelucrarea;
c)persoana vizata se opune prelucrarii în temeiul articolului 21 alineatul (1) şi nu exista motive legitime care sa prevaleze în ceea ce priveşte prelucrarea sau persoana vizata se opune prelucrarii în temeiul articolului 21 alineatul (2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa caruia se afla operatorul; f)datele cu caracter personal au fost colectate în legatura cu oferirea de servicii ale societaţii informaţionale menţionate la articolul 8 alineatul (1).
(2)În cazul în care operatorul a facut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), sa le ştearga, operatorul, ţinând seama de tehnologia disponibila şi de costul implementarii, ia masuri rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ca persoana vizata a solicitat ştergerea de catre aceşti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

(3)Alineatele (1) şi (2) nu se aplica în masura în care prelucrarea este necesara:

a)pentru exercitarea dreptului la libera exprimare şi la informare;

b)pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru îndeplinirea unei sarcini executate în interes

public sau în cadrul exercitarii unei autoritaţi oficiale cu care este învestit operatorul;

c)din motive de interes public în domeniul sanataţii publice, în conformitate cu articolul 9 alineatul (2)

literele (h) şi (i) şi cu articolul 9 alineatul (3);

d)în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în masura în care dreptul menţionat la alineatul (1) este susceptibil sa faca imposibila sau sa afecteze în mod grav realizarea obiectivelor prelucrarii

respective; sau

e)pentru constatarea, exercitarea sau apararea unui drept în instanţa. (la data 23-mai-2018 Art. 17, alin. (3) din capitolul III, sectiunea 3 rectificat de punctul 3. din Rectificare din 23-mai-

2018 )
Art. 18: Dreptul la restricţionarea prelucrarii
(1)Persoana vizata are dreptul de a obţine din partea operatorului restricţionarea prelucrarii în cazul în care se aplica unul din urmatoarele cazuri:
a)persoana vizata contesta exactitatea datelor, pentru o perioada care îi permite operatorului sa verifice exactitatea datelor;
b)prelucrarea este ilegala, iar persoana vizata se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizarii lor;
c)operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept în instanţa; sau
d)persoana vizata s-a opus prelucrarii în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate.
(2)În cazul în care prelucrarea a fost restricţionata în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepţia stocarii, sa fie prelucrate numai cu consimţamântul persoanei vizate sau pentru constatarea, exercitarea sau apararea unui drept în instanţa sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
(3)O persoana vizata care a obţinut restricţionarea prelucrarii în temeiul alineatului (1) este informata de catre operator înainte de ridicarea restricţiei de prelucrare.
Art. 19: Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrarii
Operatorul comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrarii efectuate în conformitate cu articolul 16, articolul 17 alineatul (1) şi articolul 18, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informeaza persoana vizata cu privire la destinatarii respectivi daca persoana vizata solicita acest lucru.
Art. 20: Dreptul la portabilitatea datelor
(1)Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a)prelucrarea se bazeaza pe consimţamânt în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b); şi b)prelucrarea este efectuata prin mijloace automate.
(2)În exercitarea dreptului sau la portabilitatea datelor în temeiul alineatului (1), persoana vizata are dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
(3)Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplica prelucrarii necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitarii unei autoritaţi oficiale cu care este învestit operatorul.
(4)Dreptul menţionat la alineatul (1) nu aduce atingere drepturilor şi libertaţilor altora.
Secţiunea 4: Dreptul la opoziţie şi procesul decizional individual automatizat
Art. 21: Dreptul la opoziţie

(1)În orice moment, persoana vizata are dreptul sa se opuna, din motive legate de situaţia particulara în care se afla, prelucrarii în temeiul articolului 6 alineatul (1) litera (e) sau (f), a datelor cu caracter

personal care o privesc, inclusiv crearii de profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucreaza datele cu caracter personal, cu excepţia cazului în care operatorul demonstreaza ca are motive legitime şi imperioase care justifica prelucrarea şi care prevaleaza asupra intereselor, drepturilor şi libertaţilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept în

instanţa.

(la data

23-mai-2018 Art. 21, alin. (1) din capitolul III, sectiunea 4 rectificat de punctul 4. din Rectificare din 23-mai- 2018 )

(2)Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizata are dreptul de a se opune în orice moment prelucrarii în acest scop a datelor cu caracter personal care o privesc, inclusiv crearii de profiluri, în masura în care este legata de marketingul direct respectiv.

(3)În cazul în care persoana vizata se opune prelucrarii în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.
(4)Cel târziu în momentul primei comunicari cu persoana vizata, dreptul menţionat la alineatele (1) şi (2) este adus în mod explicit în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii.

(5)În contextual utilizarii serviciilor societaţii informaţionale şi în pofida Directivei 2002/58/CE, persoana vizata îşi poate exercita dreptul de a se opune prin mijloace automate care utilizeaza specificaţii tehnice.
(6)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifica sau istorica sau în scopuri statistice în conformitate cu articolul 89 alineatul (1), persoana vizata, din motive legate de situaţia sa particulara, are dreptul de a se opune prelucrarii datelor cu caracter personal care o privesc, cu excepţia cazului în care prelucrarea este necesara pentru îndeplinirea unei sarcini din motive de interes public.

Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri
(1)Persoana vizata are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza în mod similar într-o masura semnificativa.

(2)Alineatul (1) nu se aplica în cazul în care decizia:
a)este necesara pentru încheierea sau executarea unui contract între persoana vizata şi un operator de date;
b)este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului şi care prevede, de asemenea, masuri corespunzatoare pentru protejarea drepturilor, libertaţilor şi intereselor legitime ale persoanei vizate; sau
c)are la baza consimţamântul explicit al persoanei vizate.
(3)În cazurile menţionate la alineatul (2) literele (a) şi (c), operatorul de date pune în aplicare masuri corespunzatoare pentru protejarea drepturilor, libertaţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umana din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.
(4)Deciziile menţionate la alineatul (2) nu au la baza categoriile speciale de date cu caracter personal menţionate la articolul 9 alineatul (1), cu excepţia cazului în care se aplica articolul 9 alineatul (2) litera (a) sau (g) şi în care au fost instituite masuri corespunzatoare pentru protejarea drepturilor, libertaţilor şi intereselor legitime ale persoanei vizate.
Secţiunea 5: Restricţii
Art. 23: Restricţii
(1)Dreptul Uniunii sau dreptul intern care se aplica operatorului de date sau persoanei împuternicite de operator poate restricţiona printr-o masura legislativa domeniul de aplicare al obligaţiilor şi al drepturilor prevazute la articolele 12-22 şi 34, precum şi la articolul 5 în masura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevazute la articolele 12-22, atunci când o astfel de

restricţie respecta esenţa drepturilor şi libertaţilor fundamentale şi constituie o masura necesara şi proporţionala într-o societate democratica, pentru a asigura:
a)securitatea naţionala;
b)apararea;

c)securitatea publica;
d)prevenirea, investigarea, depistarea sau urmarirea penala a infracţiunilor sau executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţarilor la adresa securitaţii publice şi prevenirea acestora; e)alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sanataţii publice şi al securitaţii sociale;
f)protejarea independenţei judiciare şi a procedurilor judiciare;
g)prevenirea, investigarea, depistarea şi urmarirea penala a încalcarii eticii în cazul profesiilor reglementate;
h)funcţia de monitorizare, inspectare sau reglementare legata, chiar şi ocazional, de exercitarea autoritaţii oficiale în cazurile menţionate la literele (a)-(e) şi (g);
i)protecţia persoanei vizate sau a drepturilor şi libertaţilor altora; (j) punerea în aplicare a pretenţiilor de drept civil.
(2)În special, orice masura legislativa menţionata la alineatul (1) conţine dispoziţii specifice cel puţin, daca este cazul, în ceea ce priveşte:
a)scopurile prelucrarii sau ale categoriilor de prelucrare;
b)categoriile de date cu caracter personal;
c)domeniul de aplicare al restricţiilor introduse;
d)garanţiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
e)menţionarea operatorului sau a categoriilor de operatori;
f)perioadele de stocare şi garanţiile aplicabile având în vedere natura, domeniul de aplicare şi scopurile prelucrarii sau ale categoriilor de prelucrare;
g)riscurile pentru drepturile şi libertaţilor persoanelor vizate; şi
h)dreptul persoanelor vizate de a fi informate cu privire la restricţie, cu excepţia cazului în care acest lucru poate aduce atingere scopului restricţiei.
CAPITOLUL IV: Operatorul şi persoana împuternicita de operator
Secţiunea 1: Obligaţii generale
Art. 24: Responsabilitatea operatorului
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertaţile persoanelor fizice, operatorul pune în aplicare masuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în masura sa demonstreze ca prelucrarea se efectueaza în conformitate cu prezentul regulament. Respectivele masuri se revizuiesc şi se actualizeaza daca este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, masurile menţionate la alineatul (1) includ punerea în aplicare de catre operator a unor politici adecvate de protecţie a datelor. (3)Aderarea la coduri de conduita aprobate, menţionate la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizata ca element care sa demonstreze respectarea obligaţiilor de catre operator.
Art. 25: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit (1)Având în vedere stadiul actual al tehnologiei, costurile implementarii, şi natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertaţile persoanelor fizice pe care le prezinta prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrarii în sine, pune în aplicare masuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate sa puna în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi sa integreze garanţiile necesare în cadrul prelucrarii, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.

(2)Operatorul pune în aplicare masuri tehnice şi organizatorice adecvate pentru a asigura ca, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Respectiva obligaţie se aplica volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilitaţii lor. În special, astfel de masuri asigura ca, în mod implicit, datele cu caracter personal nu pot fi accesate, fara intervenţia persoanei, de un numar nelimitat de persoane.

(3)Un mecanism de certificare aprobat în conformitate cu articolul 42 poate fi utilizat drept element care sa demonstreze îndeplinirea cerinţelor prevazute la alineatele (1) şi (2) ale prezentului articol.
Art. 26: Operatori asociaţi
(1)În cazul în care doi sau mai mulţi operatori stabilesc în comun scopurile şi mijloacele de prelucrare, aceştia sunt operatori asociaţi. Ei stabilesc într-un mod transparent responsabilitaţile fiecaruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul prezentului regulament, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecaruia de furnizare a informaţiilor prevazute la articolele 13 şi 14, prin intermediul unui acord între ei, cu excepţia cazului şi în masura în care responsabilitaţile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplica acestora. Acordul poate sa desemneze un punct de contact pentru persoanele vizate.

(2)Acordul menţionat la alineatul (1) reflecta în mod adecvat rolurile şi raporturile respective ale operatorilor asociaţi faţa de persoanele vizate. Esenţa acestui acord este facuta cunoscuta persoanei vizate.
(3)Indiferent de clauzele acordului menţionat la alineatul (1), persoana vizata îşi poate exercita drepturile în temeiul prezentului regulament cu privire la şi în raport cu fiecare dintre operatori.

Art. 27: Reprezentanţii operatorilor sau ai persoanelor împuternicite de operatori care nu îşi au sediul în Uniune
(1)În cazul în care se aplica articolul 3 alineatul (2), operatorul sau persoana împuternicita de operator desemneaza în scris un reprezentant în Uniune.

(2)Obligaţia prevazuta la alineatul (1) din prezentul articol nu se aplica:
a)prelucrarii care are un caracter ocazional, care nu include, pe scara larga, prelucrarea unor categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea unor date cu caracter personal referitoare la condamnari penale şi infracţiuni menţionata la articolul 10, şi care este puţin susceptibila de a genera un risc pentru drepturile şi libertaţile persoanelor, ţinând cont de natura, contextul, domeniul de aplicare şi scopurile prelucrarii; sau
b)unei autoritaţi sau unui organism public.
(3)Reprezentantul îşi are sediul în unul dintre statele membre în care se afla persoanele vizate ale caror date cu caracter personal sunt prelucrate în legatura cu furnizarea de bunuri şi servicii sau al caror comportament este monitorizat.
(4)Reprezentantul primeşte din partea operatorului sau a persoanei împuternicite de operator un mandat prin care autoritaţile de supraveghere şi persoanele vizate, în special, se pot adresa reprezentantului, în plus faţa de operator sau persoana împuternicita de operator sau în locul acestora, cu privire la toate chestiunile legate de prelucrarea, în scopul asigurarii respectarii prezentului regulament.
(5)Desemnarea unui reprezentant de catre operator sau persoana împuternicita de operator nu aduce atingere acţiunilor în justiţie care ar putea fi introduse împotriva operatorului sau persoanei împuternicite de operator înseşi.
Art. 28: Persoana împuternicita de operator
(1)În cazul în care prelucrarea urmeaza sa fie realizata în numele unui operator, operatorul recurge doar la persoane împuternicite care ofera garanţii suficiente pentru punerea în aplicare a unor masuri tehnice şi organizatorice adecvate, astfel încât prelucrarea sa respecte cerinţele prevazute în prezentul regulament şi sa asigure protecţia drepturilor persoanei vizate.
(2)Persoana împuternicita de operator nu recruteaza o alta persoana împuternicita de operator fara a primi în prealabil o autorizaţie scrisa, specifica sau generala, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicita de operator informeaza operatorul cu privire la orice

modificari preconizate privind adaugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţa de aceste modificari.

(3)Prelucrarea de catre o persoana împuternicita de un operator este reglementata printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicita de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrarii, natura şi scopul prelucrarii, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special ca persoana împuternicita de operator:

a)prelucreaza datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala, cu excepţia cazului în care aceasta obligaţie îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplica; în acest caz, notifica aceasta obligaţie juridica operatorului înainte de prelucrare, cu excepţia cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;

b)se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidenţialitatea sau au o obligaţie statutara adecvata de confidenţialitate;
c)adopta toate masurile necesare în conformitate cu articolul 32;
d)respecta condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de operator;

e)ţinând seama de natura prelucrarii, ofera asistenţa operatorului prin masuri tehnice şi organizatorice adecvate, în masura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute în capitolul III; f)ajuta operatorul sa asigure respectarea obligaţiilor prevazute la articolele 32-36, ţinând seama de caracterul prelucrarii şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;

g)la alegerea operatorului, şterge sau returneaza operatorului toate datele cu caracter personal dupa încetarea furnizarii serviciilor legate de prelucrare şi elimina copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevazute la prezentul articol, permite desfaşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.

În ceea ce priveşte primul paragraf litera (h), persoana împuternicita de operator informeaza imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalca prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
(4)În cazul în care o persoana împuternicita de un operator recruteaza o alta persoana împuternicita pentru efectuarea de activitaţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevazute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicita de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor masuri tehnice şi organizatorice adecvate, astfel încât prelucrarea sa îndeplineasca cerinţele prezentului regulament. În cazul în care aceasta a doua persoana împuternicita nu îşi respecta obligaţiile privind protecţia datelor, persoana împuternicita iniţiala ramâne pe deplin raspunzatoare faţa de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.

(5)Aderarea persoanei împuternicite de operator la un cod de conduita aprobat, menţionat la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze existenţa garanţiilor suficiente menţionate la alineatele (1) şi (4) din prezentul articol.

(6)Fara a aduce atingere unui contract individual încheiat între operator şi persoana împuternicita de operator, contractul sau celalalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauze contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordata operatorului sau persoanei împuternicite de operator în temeiul articolelor 42 şi 43.

(7)Comisia poate sa prevada clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
(8)O autoritate de supraveghere poate sa adopte clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu mecanismul pentru asigurarea coerenţei menţionat la articolul 63.

(9)Contractul sau celalalt act juridic menţionat la alineatele (3) şi (4) se formuleaza în scris, inclusiv în format electronic.
(10)Fara a aduce atingere articolelor 82, 83 şi 84, în cazul în care o persoana împuternicita de operator încalca prezentul regulament, prin stabilirea scopurilor şi mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicita de operator este considerata a fi un operator în ceea ce priveşte prelucrarea respectiva.

Art. 29: Desfaşurarea activitaţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator
Persoana împuternicita de operator şi orice persoana care acţioneaza sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucreaza decât la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul intern îl obliga sa faca acest lucru.

Art. 30: Evidenţele activitaţilor de prelucrare
(1)Fiecare operator şi, dupa caz, reprezentantul acestuia pastreaza o evidenţa a activitaţilor de prelucrare desfaşurate sub responsabilitatea lor. Respectiva evidenţa cuprinde toate urmatoarele informaţii:
a)numele şi datele de contact ale operatorului şi, dupa caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrarii;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal; d)categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţari terţe sau organizaţii internaţionale;
e)daca este cazul, transferurile de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala, inclusiv identificarea ţarii terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limita preconizate pentru ştergerea diferitelor categorii de date; g)acolo unde este posibil, o descriere generala a masurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

(2)Fiecare persoana împuternicita de operator şi, dupa caz, reprezentantul persoanei împuternicite de operator pastreaza o evidenţa a tuturor categoriilor de activitaţi de prelucrare desfaşurate în numele

operatorului, care cuprind:

a)numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecarui operator în numele caruia acţioneaza aceasta persoana (aceste persoane), precum şi, dupa caz, ale

reprezentantului operatorului sau ale reprezentantului persoanei împuternicite de operator, şi ale

responsabilului cu protecţia datelor;

b)categoriile de activitaţi de prelucrare desfaşurate în numele fiecarui operator;

c)daca este cazul, transferurile de date cu caracter personal catre o ţara terţa sau o organizaţie

internaţionala, inclusiv identificarea ţarii terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevazute la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte

existenţa unor garanţii adecvate;

d)acolo unde este posibil, o descriere generala a masurilor tehnice şi organizatorice de securitate

menţionate la articolul 32 alineatul (1).

(la data 23-mai-2018 Art. 30, alin. (2) din c

apitolul IV, sectiunea 1 rectificat de punctul 5. din Rectificare din 23-mai- (3)Evidenţele menţionate la alineatele (1) şi (2) se formuleaza în scris, inclusiv în format electronic.

2018 )

(4)Operatorul sau persoana împuternicita de acesta, precum şi, dupa caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autoritaţii de supraveghere, la cererea acesteia.
(5)Obligaţiile menţionate la alineatele 1 şi 2 nu se aplica unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile şi libertaţile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnari penale şi infracţiuni, astfel cum se menţioneaza la articolul 10.

Art. 31: Cooperarea cu autoritatea de supraveghere

Operatorul şi persoana împuternicita de operator şi, dupa caz, reprezentantul acestora coopereaza, la

cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor acesteia.

(la data 23-mai-2018 Art. 31 din capitolul IV, sectiunea 1 rectificat de punctul 7. din Re

ctificare din 23-mai-2018 )

Secţiunea 2: Securitatea datelor cu caracter personal
Art. 32: Securitatea prelucrarii
(1)Având în vedere stadiul actual al dezvoltarii, costurile implementarii şi natura, domeniul de aplicare, contextul şi scopurile prelucrarii, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertaţile persoanelor fizice, operatorul şi persoana împuternicita de acesta implementeaza masuri tehnice şi organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzând printre altele, dupa caz:
a)pseudonimizarea şi criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natura fizica sau tehnica;
d)un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacitaţii masurilor tehnice şi organizatorice pentru a garanta securitatea prelucrarii.
(2)La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3)Aderarea la un cod de conduita aprobat, menţionat la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze îndeplinirea cerinţelor prevazute la alineatul (1) din prezentul articol.
(4)Operatorul şi persoana împuternicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care acţioneaza sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucreaza decât la cererea operatorului, cu excepţia cazului în care aceasta obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Art. 33: Notificarea autoritaţii de supraveghere în cazul încalcarii securitaţii datelor cu caracter personal

(1)În cazul în care are loc o încalcare a securitaţii datelor cu caracter personal, operatorul notifica

acest lucru autoritaţii de supraveghere competente în temeiul articolului 55, fara întârzieri nejustificate şi, daca este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţa de aceasta, cu excepţia cazului în care este puţin probabil sa genereze un risc pentru drepturile şi libertaţile

persoanelor fizice. În cazul în care notificarea catre autoritatea de supraveghere nu are loc în termen

de 72 de ore, aceasta este însoţita de o explicaţie motivata pentru întârziere.

(la data 23-mai-2018 Art. 33, alin. (1) din capitolul IV, sectiunea 2 rectificat de punctul

8. din Rectificare din 23-mai-

2018 )
(2)Persoana împuternicita de operator înştiinţeaza operatorul fara întârzieri nejustificate dupa ce ia cunoştinţa de o încalcare a securitaţii datelor cu caracter personal.
(3)Notificarea menţionata la alineatul (1) cel puţin:

a)descrie caracterul încalcarii securitaţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numarul aproximativ al persoanelor vizate în cauza, precum şi categoriile şi numarul aproximativ al înregistrarilor de date cu caracter personal în cauza;
b)comunica numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;

c)descrie consecinţele probabile ale încalcarii securitaţii datelor cu caracter personal;
d)descrie masurile luate sau propuse spre a fi luate de operator pentru a remedia problema încalcarii securitaţii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.
(4)Atunci când şi în masura în care nu este posibil sa se furnizeze informaţiile în acelaşi timp, acestea pot fi furnizate în mai multe etape, fara întârzieri nejustificate.
(5)Operatorul pastreaza documente referitoare la toate cazurile de încalcare a securitaţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încalcarea securitaţii datelor cu caracter personal, a efectelor acesteia şi a masurilor de remediere întreprinse. Aceasta documentaţie permite autoritaţii de supraveghere sa verifice conformitatea cu prezentul articol.
Art. 34: Informarea persoanei vizate cu privire la încalcarea securitaţii datelor cu caracter personal
(1)În cazul în care încalcarea securitaţii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, operatorul informeaza persoana vizata fara întârzieri nejustificate cu privire la aceasta încalcare.
(2)În informarea transmisa persoanei vizate prevazuta la alineatul (1) din prezentul articol se include o descriere într-un limbaj clar şi simplu a caracterului încalcarii securitaţii datelor cu caracter personal, precum şi cel puţin informaţiile şi masurile menţionate la articolul 33 alineatul (3) literele (b), (c) şi (d).

(3)Informarea persoanei vizate menţionata la alineatul (1) nu este necesara în cazul în care oricare dintre urmatoarele condiţii este îndeplinita:
a)operatorul a implementat masuri de protecţie tehnice şi organizatorice adecvate, iar aceste masuri au fost aplicate în cazul datelor cu caracter personal afectate de încalcarea securitaţii datelor cu caracter personal, în special masuri prin care se asigura ca datele cu caracter personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea;

b)operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat pentru drepturile şi libertaţile persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil sa se materializeze;
c)ar necesita un efort disproporţionat. În aceasta situaţie, se efectueaza în loc o informare publica sau se ia o masura similara prin care persoanele vizate sunt informate într-un mod la fel de eficace.

(4)În cazul în care operatorul nu a comunicat deja încalcarea securitaţii datelor cu caracter personal catre persoana vizata, autoritatea de supraveghere, dupa ce a luat în considerare probabilitatea ca încalcarea securitaţii datelor cu caracter personal sa genereze un risc ridicat, poate sa îi solicite acestuia sa faca acest lucru sau poate decide ca oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.

Secţiunea 3: Evaluarea impactului asupra protecţiei datelor şi consultarea prealabila

Art. 35: Evaluarea impactului asupra protecţiei datelor
(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrarii, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, operatorul efectueaza, înaintea prelucrarii, o evaluare a impactului operaţiunilor de prelucrare prevazute asupra protecţiei datelor cu caracter personal. O evaluare unica poate aborda un set de operaţiuni de prelucrare similare care prezinta riscuri ridicate similare.
(2)La realizarea unei evaluari a impactului asupra protecţiei datelor, operatorul solicita avizul responsabilului cu protecţia datelor, daca acesta a fost desemnat.
(3)Evaluarea impactului asupra protecţiei datelor menţionata la alineatul (1) se impune mai ales în cazul:

a)unei evaluari sistematice şi cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, şi care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza în mod similar într-o masura semnificativa;

b)prelucrarii pe scara larga a unor categorii speciale de date, menţionata la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnari penale şi infracţiuni, menţionata la articolul 10; sau
c)unei monitorizari sistematice pe scara larga a unei zone accesibile publicului.

(4)Autoritatea de supraveghere întocmeşte şi publica o lista a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluari a impactului asupra protecţiei datelor, în conformitate cu alineatul (1). Autoritatea de supraveghere comunica aceste liste comitetului menţionat la articolul 68.

(5)Autoritatea de supraveghere poate, de asemenea, sa stabileasca şi sa puna la dispoziţia publicului o lista a tipurilor de operaţiuni de prelucrare pentru care nu este necesara o evaluare a impactului asupra protecţiei datelor. Autoritatea de supraveghere comunica aceste liste comitetului.
(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5), autoritatea de supraveghere competenta aplica mecanismul pentru asigurarea coerenţei menţionat la articolul 63 în cazul în care aceste liste implica activitaţi de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii catre persoane vizate sau monitorizarea comportamentului acestora în mai multe state membre ori care pot afecta în mod substanţial libera circulaţie a datelor cu caracter personal în cadrul Uniunii. (7)Evaluarea conţine cel puţin:

a)o descriere sistematica a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator;
b)o evaluare a necesitaţii şi proporţionalitaţii operaţiunilor de prelucrare în legatura cu aceste scopuri; c)o evaluare a riscurilor pentru drepturile şi libertaţile persoanelor vizate menţionate la alineatul (1); şi d)masurile preconizate în vederea abordarii riscurilor, inclusiv garanţiile, masurile de securitate şi mecanismele menite sa asigure protecţia datelor cu caracter personal şi sa demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.

(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de operatorii sau de persoanele împuternicite de operatori relevante, se are în vedere în mod corespunzator respectarea de catre operatorii sau persoanele împuternicite respective a codurilor de conduita aprobate menţionate la articolul 40, în special în vederea unei evaluari a impactului asupra protecţiei datelor.

(9)Operatorul solicita, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanţilor acestora privind prelucrarea prevazuta, fara a aduce atingere protecţiei intereselor comerciale sau publice ori securitaţii operaţiunilor de prelucrare.
(10)Atunci când prelucrarea în temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidenţa caruia intra operatorul, iar dreptul respectiv reglementeaza operaţiunea de prelucrare specifica sau setul de operaţiuni specifice în cauza şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluari a impactului generale în contextul adoptarii respectivului temei juridic, alineatele (1)-(7) nu se aplica, cu excepţia cazului în care statele membre considera ca este necesara efectuarea unei astfel de evaluari înaintea desfaşurarii activitaţilor de prelucrare.

(11)Acolo unde este necesar, operatorul efectueaza o analiza pentru a evalua daca prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.
Art. 36: Consultarea prealabila

(1)Operatorul consulta autoritatea de supraveghere înainte de prelucrarea atunci când evaluarea impactului asupra protecţiei datelor prevazuta la articolul 35 indica faptul ca prelucrarea ar genera un risc ridicat în absenţa unor masuri luate de operator pentru atenuarea riscului.
(2)Atunci când considera ca prelucrarea prevazuta menţionata la alineatul (1) ar încalca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o masura suficienta de

catre operator, autoritatea de supraveghere ofera consiliere în scris operatorului şi, dupa caz, persoanei împuternicite de operator, în cel mult opt saptamâni de la primirea cererii de consultare, şi îşi poate utiliza oricare dintre competenţele menţionate la articolul 58. Aceasta perioada poate fi prelungita cu şase saptamâni, ţinându-se seama de complexitatea prelucrarii prevazute. Autoritatea de supraveghere informeaza operatorul şi, dupa caz, persoana împuternicita de operator, în termen de o luna de la primirea cererii, cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate pâna când autoritatea de supraveghere a obţinut informaţiile pe care le-a solicitat în scopul consultarii.

(3)Atunci când consulta autoritatea de supraveghere în conformitate cu alineatul (1), operatorul îi furnizeaza acesteia:
a)daca este cazul, responsabilitaţile respective ale operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activitaţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;

b)scopurile şi mijloacele prelucrarii preconizate;
c)masurile şi garanţiile prevazute pentru protecţia drepturilor şi libertaţilor persoanelor vizate, în conformitate cu prezentul regulament;
d)daca este cazul, datele de contact ale responsabilului cu protecţia datelor;
e)evaluarea impactului asupra protecţiei datelor prevazuta la articolul 35; şi
f)orice alte informaţii solicitate de autoritatea de supraveghere.
(4)Statele membre consulta autoritatea de supraveghere în cadrul procesului de pregatire a unei propuneri de masura legislativa care urmeaza sa fie adoptata de un parlament naţional sau a unei masuri de reglementare întemeiate pe o astfel de masura legislativa, care se refera la prelucrarea. (5)În pofida alineatului (1), dreptul intern poate impune operatorilor sa se consulte cu autoritatea de supraveghere şi sa obţina în prealabil autorizarea din partea acesteia în legatura cu prelucrarea de catre un operator în vederea îndeplinirii unei sarcini exercitate de acesta în interes public, inclusiv prelucrarea în legatura cu protecţia sociala şi sanatatea publica.
Secţiunea 4: Responsabilul cu protecţia datelor
Art. 37: Desemnarea responsabilului cu protecţia datelor
(1)Operatorul şi persoana împuternicita de operator desemneaza un responsabil cu protecţia datelor ori de câte ori:
a)prelucrarea este efectuata de o autoritate sau un organism public, cu excepţia instanţelor care acţioneaza în exerciţiul funcţiei lor jurisdicţionale;
b)activitaţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesita o monitorizare periodica şi sistematica a persoanelor vizate pe scara larga; sau

c)activitaţile principale ale operatorului sau ale persoanei împuternicite de operator constau în

prelucrarea pe scara larga a unor categorii speciale de date în temeiul articolului 9 sau a unor date cu

caracter personal referitoare la condamnari penale şi infracţiuni, menţionata la articolul 10.

(la data 23-mai-2018 Art. 37, alin. (1), litera C. din capitolul IV, sectiunea 4 rectificat de punctul 9. din Rectificare din 23-

mai-2018 )
(2)Un grup de întreprinderi poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor sa fie uşor accesibil din fiecare întreprindere.
(3)În cazul în care operatorul sau persoana împuternicita de operator este o autoritate publica sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autoritaţi sau organisme, luând în considerare structura organizatorica şi dimensiunea acestora. (4)În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicita de operator ori asociaţiile şi alte organisme care reprezinta categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicita acest lucru, desemneaza un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate sa acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezinta operatori sau persoane împuternicite de operatori.

(5)Responsabilul cu protecţia datelor este desemnat pe baza calitaţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacitaţii de a îndeplini sarcinile prevazute la articolul 39.
(6)Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate sa îşi îndeplineasca sarcinile în baza unui contract de servicii. (7)Operatorul sau persoana împuternicita de operator publica datele de contact ale responsabilului cu protecţia datelor şi le comunica autoritaţii de supraveghere.

Art. 38: Funcţia responsabilului cu protecţia datelor
(1)Operatorul şi persoana împuternicita de operator se asigura ca responsabilul cu protecţia datelor este implicat în mod corespunzator şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal.
(2)Operatorul şi persoana împuternicita de operator sprijina responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate.
(3)Operatorul şi persoana împuternicita de operator se asigura ca responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini. Acesta nu este demis sau sancţionat de catre operator sau de persoana împuternicita de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor raspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul prezentului regulament. (5)Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern. (6)Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicita de operator se asigura ca niciuna dintre aceste sarcini şi atribuţii nu genereaza un conflict de interese.
Art. 39: Sarcinile responsabilului cu protecţia datelor
(1)Responsabilul cu protecţia datelor are cel puţin urmatoarele sarcini:
a)informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupa de prelucrare cu privire la obligaţiile care le revin în temeiul prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor; b)monitorizarea respectarii prezentului regulament, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilitaţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionarii acesteia, în conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila menţionata la articolul 36, precum şi, daca este cazul, consultarea cu privire la orice alta chestiune.
(2)În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod corespunzator de riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul şi scopurile prelucrarii.
Secţiunea 5: Coduri de conduita şi certificare
Art. 40: Coduri de conduita
(1)Statele membre, autoritaţile de supraveghere, comitetul şi Comisia încurajeaza elaborarea de coduri de conduita menite sa contribuie la buna aplicare a prezentului regulament, ţinând seama de caracteristicile specifice ale diverselor sectoare de prelucrare şi de nevoile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii.

(2)Asociaţiile şi alte organisme care reprezinta categorii de operatori sau de persoane împuternicite de operatori pot pregati coduri de conduita sau le pot modifica sau extinde pe cele existente, în scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi în ceea ce priveşte:
a)prelucrarea în mod echitabil şi transparent;

b)interesele legitime urmarite de operatori în contexte specifice; c)colectarea datelor cu caracter personal;
d)pseudonimizarea datelor cu caracter personal;
e)informarea publicului şi a persoanelor vizate;

f)exercitarea drepturilor persoanelor vizate;
g)informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţamântul titularilor raspunderii parinteşti asupra copiilor;
h)masurile şi procedurile menţionate la articolele 24 şi 25 şi masurile de asigurare a securitaţii prelucrarii, menţionate la articolul 32;
i)notificarea autoritaţilor de supraveghere cu privire la încalcarile securitaţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încalcari;
j)transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale; sau
k)proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor pentru soluţionarea litigiilor între operatori şi persoanele vizate în ceea ce priveşte prelucrarea, fara a aduce atingere drepturilor persoanelor vizate, în temeiul articolelor 77 şi 79.
(3)La codurile de conduita aprobate în temeiul alineatului (5) din prezentul articol şi care au o valabilitate generala în temeiul alineatului (9) din prezentul articol pot adera nu numai operatorii sau persoanele împuternicite de operatori care fac obiectul prezentului regulament, ci şi operatorii sau persoanele împuternicite de operatori care nu fac obiectul prezentului regulament în temeiul articolului 3, în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal catre ţari terţe sau organizaţii internaţionale în condiţiile menţionate la articolul 46 alineatul (2) litera (e). Aceşti operatori sau persoane împuternicite de operatori îşi asuma angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicarii garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(4)Codul de conduita prevazut la alineatul (2) din prezentul articol cuprinde mecanisme care permit organismului menţionat la articolul 41 alineatul (1) sa efectueze monitorizarea obligatorie a respectarii dispoziţiilor acestuia de catre operatorii sau persoanele împuternicite de operatori care se angajeaza sa îl aplice, fara a aduce atingere sarcinilor şi competenţelor autoritaţilor de supraveghere care sunt competente în temeiul articolului 55 sau 56.
(5)Asociaţiile şi alte organisme menţionate la alineatul (2) din prezentul articol care intenţioneaza sa pregateasca un cod de conduita sau sa modifice sau sa extinda un cod existent transmit proiectul de cod, de modificare sau de extindere autoritaţii de supraveghere care este competenta în temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere şi îl aproba în cazul în care se constata ca acesta ofera garanţii adecvate suficiente.
(6)În cazul în care proiectul de cod, de modificare sau de extindere este aprobat în conformitate cu alineatul (5), iar codul de conduita în cauza nu are legatura cu activitaţile de prelucrare din mai multe state membre, autoritatea de supraveghere înregistreaza şi publica codul.
(7)În cazul în care un proiect de cod de conduita, de modificare sau de extindere are legatura cu activitaţile de prelucrare din mai multe state membre, înainte de aprobare, autoritatea de supraveghere competenta în temeiul articolului 55 îl transmite, prin procedura menţionata la articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului respectiv, sau, în situaţia menţionata la alineatul (3) din prezentul articol, ofera garanţii adecvate.
(8)În cazul în care avizul menţionat la alineatul (7) confirma conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere sau în cazul în care, în situaţia menţionata la alineatul (3), ofera garanţii adecvate, comitetul transmite avizul sau Comisiei.

(9)Comisia poate adopta acte de punere în aplicare pentru a decide ca codul de conduita, modificarea sau extinderea aprobate care i-au fost prezentate în temeiul alineatului (8) din prezentul articol au valabilitate generala în Uniune. Actele de punere în aplicare respective se adopta în conformitate cu procedura de examinare prevazuta la articolul 93 alineatul (2).

(10)Comisia asigura publicitatea adecvata pentru codurile aprobate asupra carora s-a decis ca au valabilitate generala în conformitate cu alineatul (9).
(11)Comitetul regrupeaza toate codurile de conduita, modificarile şi extinderile aprobate într-un registru şi le pune la dispoziţia publicului prin mijloace corespunzatoare.

Art. 41: Monitorizarea codurilor de conduita aprobate
(1)Fara a aduce atingere sarcinilor şi competenţelor autoritaţii de supraveghere competente în temeiul articolelor 57 şi 58, monitorizarea respectarii unui cod de conduita în temeiul articolului 40 poate fi realizata de un organism care dispune de un nivel adecvat de expertiza în legatura cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competenta.
(2)Un organism menţionat la alineatul (1) poate fi acreditat pentru monitorizarea respectarii unui cod de conduita daca:
a)a demonstrat autoritaţii de supraveghere competente, într-un mod satisfacator, independenţa şi expertiza sa în legatura cu obiectul codului;
b)a instituit proceduri care îi permit sa evalueze eligibilitatea operatorilor şi a persoanelor împuternicite de operatori în vederea aplicarii codului, sa monitorizeze respectarea de catre aceştia a dispoziţiilor codului şi sa revizuiasca periodic funcţionarea acestuia;
c)a instituit proceduri şi structuri pentru tratarea plângerilor privind încalcari ale codului sau privind modul în care codul a fost sau este pus în aplicare de un operator sau o persoana împuternicita de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
d)a demonstrat autoritaţii de supraveghere competente, într-un mod satisfacator, ca sarcinile şi atribuţiile sale nu creeaza conflicte de interese.

(3)Autoritatea de supraveghere competenta transmite proiectul de cerinţe pentru acreditarea unui organism menţionat la alineatul (1) din prezentul articol comitetului, în conformitate cu mecanismul

pentru asigurarea coerenţei menţionat la articolul 63.

(la data 23-mai-2018 Art. 41, alin. (3) din capitolul IV, sectiu

nea 5 rectificat de punctul 10. din Rectificare din 23-mai-

2018 )
(4)Fara a aduce atingere sarcinilor şi competenţelor autoritaţii de supraveghere competente şi dispoziţiilor capitolului VIII, un organism menţionat la alineatul (1) din prezentul articol ia masuri corespunzatoare, sub rezerva unor garanţii adecvate, în cazul încalcarii codului de catre un operator sau o persoana împuternicita de operator, inclusiv prin suspendarea sau excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul în cauza informeaza autoritatea de supraveghere competenta cu privire la aceste masuri şi la motivele care le-au determinat.

(5)Autoritatea de supraveghere competenta revoca acreditarea unui organism menţionat la alineatul

(1) în cazul în care nu mai sunt îndeplinite cerinţele pentru acreditare sau masurile luate de organismul

în cauza încalca prezentul regulament.

(la data 23-mai-2018 Art. 41, alin. (5) din c

apitolul IV, sectiunea 5 rectificat de punctul 11. din Rectificare din 23-mai-

2018 )
(6)Prezentul articol nu se aplica prelucrarii efectuate de autoritaţi şi organisme publice.
Art. 42: Certificare
(1)Statele membre, autoritaţile de supraveghere, comitetul şi Comisia încurajeaza, în special la nivelul Uniunii, instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi marci în acest domeniu, care sa permita demonstrarea faptului ca operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respecta prezentul regulament. Sunt luate în considerare necesitaţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii. (2)Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau marcile aprobate în temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele împuternicite de operatori care fac obiectul prezentului regulament, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau de persoanele împuternicite de

operatori care nu fac obiectul prezentului regulament, în temeiul articolului 3, în cadrul transferurilor de date cu caracter personal catre ţari terţe sau organizaţii internaţionale în condiţiile menţionate la articolul 46 alineatul (2) litera (f). Aceşti operatori sau persoane împuternicite de operatori îşi asuma angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicarii garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

(3)Certificarea este voluntara şi disponibila prin intermediul unui proces transparent.
(4)Certificarea în conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei împuternicite de operator de a respecta prezentul regulament şi nu aduce atingere sarcinilor şi competenţelor autoritaţilor de supraveghere care sunt competente în temeiul articolului 55 sau 56. (5)Organismele de certificare menţionate la articolul 43 sau autoritatea de supraveghere competenta emit o certificare în temeiul prezentului articol, pe baza criteriilor aprobate de catre autoritatea de supraveghere competenta respectiva în temeiul articolului 58 alineatul (3), sau de catre comitet în temeiul articolului 63. În cazul în care criteriile sunt aprobate de comitet, aceasta poate duce la o certificare comuna, şi anume sigiliul european privind protecţia datelor.
(6)Operatorul sau persoana împuternicita de operator care supune activitaţile sale de prelucrare mecanismului de certificare ofera organismului de certificare menţionat la articolul 43 sau, dupa caz, autoritaţii de supraveghere competente, toate informaţiile necesare pentru desfaşurarea procedurii de certificare, precum şi accesul la activitaţile de prelucrare respective.

(7)Certificarea este eliberata unui operator sau unei persoane împuternicite de operator pentru o

perioada maxima de trei ani şi poate fi reînnoita în aceleaşi condiţii, cu condiţia ca criteriile relevante sa fie îndeplinite în continuare. Certificarea este retrasa, dupa caz, de catre organismele de certificare menţionate la articolul 43 sau de catre autoritatea de supraveghere competenta în cazul în care nu mai

sunt îndeplinite criteriile pentru certificare.

(la data 23-mai-2018 Art. 42, alin. (7) din capito

lul IV, sectiunea 5 rectificat de punctul 12. din Rectificare din 23-mai-

2018 )
(8)Comitetul regrupeaza toate mecanismele de certificare şi sigiliile şi marcile de protecţie a datelor într-un registru şi le pune la dispoziţia publicului prin orice mijloc corespunzator.
Art. 43: Organisme de certificare
(1)Fara a aduce atingere sarcinilor şi competenţelor autoritaţii de supraveghere competente, prevazute la articolele 57 şi 58, organismele de certificare care dispun de un nivel adecvat de competenţa în domeniul protecţiei datelor, dupa ce informeaza autoritatea de supraveghere pentru a-i permite sa îşi exercite competenţele în temeiul articolului 58 alineatul (2) litera (h), emit şi reînnoiesc certificarea. Statele membre se asigura ca aceste organisme de certificare sunt acreditate de catre una sau amândoua dintre urmatoarele entitaţi:
a)autoritatea de supraveghere care este competenta în temeiul articolului 55 sau 56;
b)organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (1) în conformitate cu standardul EN-ISO/IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere care este competenta în temeiul articolului 55 sau 56.
(1)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30)
(2)Un organism de certificare menţionat la alineatul (1) este acreditat în conformitate cu alineatul respectiv numai daca:
a)a demonstrat autoritaţii de supraveghere competente, într-un mod satisfacator, independenţa şi expertiza sa în legatura cu obiectul certificarii;
b)s-a angajat sa respecte criteriile menţionate la articolul 42 alineatul (5) şi aprobate de autoritatea de supraveghere care este competenta în temeiul articolului 55 sau 56, sau de catre comitet în temeiul articolului 63;
c)a instituit proceduri pentru emiterea, revizuirea periodica şi retragerea certificarii, a sigiliilor şi marcilor din domeniul protecţiei datelor;

d)a instituit proceduri şi structuri pentru tratarea plângerilor privind încalcari ale certificarii sau privind modul în care certificarea a fost sau este pusa în aplicare de un operator sau o persoana împuternicita de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi

e)a demonstrat autoritaţii de supraveghere competente, într-un mod satisfacator, ca sarcinile şi atribuţiile sale nu creeaza conflicte de interese.

(3)Acreditarea organismelor de certificare menţionate la alineatele (1) şi (2) din prezentul articol se realizeaza pe baza cerinţelor aprobate de catre autoritatea de supraveghere care este competenta în temeiul articolului 55 sau 56, sau de catre comitet în temeiul articolului 63. În cazul unei acreditari în

temeiul alineatului (1) litera (b) din prezentul articol, aceste cerinţe le completeaza pe cele prevazute în Regulamentul (CE) nr. 765/2008 şi normele tehnice care descriu metodele şi procedurile organismelor

de certificare.

(la data 23-ma

i-2018 Art. 43, alin. (3) din capitolul IV, sectiunea 5 rectificat de punctul 13. din Rectificare din 23-mai-

2018 )
(4)Organismele de certificare menţionate la alineatul (1) sunt responsabile cu realizarea unei evaluari adecvate în vederea certificarii sau retragerii acestei certificari, fara a aduce atingere responsabilitaţii operatorului sau a persoanei împuternicite de operator de a respecta prezentul regulament. Acreditarea se elibereaza pentru o perioada maxima de cinci ani şi poate fi reînnoita în aceleaşi condiţii, cu condiţia ca organismul de certificare sa îndeplineasca cerinţele prevazute în prezentul articol.
(5)Organismele de certificare menţionate la alineatul (1) transmite autoritaţilor de supraveghere competente motivele acordarii sau retragerii certificarii solicitate.

(6)Cerinţele menţionate la alineatul (3) din prezentul articol şi criteriile menţionate la articolul 42 alineatul (5) se publica de catre autoritatea de supraveghere într-o forma uşor de accesat. Autoritaţile

de supraveghere transmit, de asemenea, aceste cerinţe şi criterii comitetului.

(la data 23-mai-2018 Art. 43, alin. (6) din capitolul IV, sectiunea 5 rectificat de punctul 1

4. din Rectificare din 23-mai-

2018 )
(7)Fara a aduce atingere dispoziţiilor capitolului VIII, autoritatea de supraveghere competenta sau organismul naţional de acreditare revoca acreditarea acordata unui organism de certificare în temeiul alineatului (1) din prezentul articol în cazul în care nu sunt sau nu mai sunt îndeplinite condiţiile pentru acreditare sau masurile luate de organismul de acreditare încalca prezentul regulament.
(8)Comisia este împuternicita sa adopte acte delegate în conformitate cu articolul 92, în scopul specificarii cerinţelor care trebuie luate în considerare pentru mecanismele de certificare din domeniul protecţiei datelor, menţionate la articolul 42 alineatul (1).
(9)Comisia poate adopta acte de punere în aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare şi pentru sigiliile şi marcile din domeniul protecţiei datelor, precum şi mecanisme de promovare şi recunoaştere a acelor mecanisme de certificare, sigilii şi marci. Actele de punere în aplicare respective se adopta în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
CAPITOLUL V: Transferurile de date cu caracter personal catre ţari terţe sau organizaţii internaţionale
Art. 44: Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrarii sau care urmeaza a fi prelucrate dupa ce sunt transferate într-o ţara terţa sau catre o organizaţie internaţionala pot fi transferate doar daca, sub rezerva celorlalte dispoziţii ale prezentului regulament, condiţiile prevazute în prezentul capitol sunt respectate de operator şi de persoana împuternicita de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date cu caracter personal din ţara terţa sau de la organizaţia internaţionala catre o alta ţara terţa sau catre o alta organizaţie internaţionala. Toate dispoziţiile din prezentul capitol se aplica pentru a se asigura ca nivelul de protecţie a persoanelor fizice garantat prin prezentul regulament nu este subminat.
Art. 45: Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie
(1)Transferul de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala se poate realiza atunci când Comisia a decis ca ţara terţa, un teritoriu ori unul sau mai multe sectoare specificate

din acea ţara terţa sau organizaţia internaţionala în cauza asigura un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesita autorizari speciale.
(2)Atunci când evalueaza caracterul adecvat al nivelului de protecţie, Comisia ţine seama, în special, de urmatoarele elemente:

a)statul de drept, respectarea drepturilor omului şi a libertaţilor fundamentale, legislaţia relevanta, atât generala, cât şi sectoriala, inclusiv privind securitatea publica, apararea, securitatea naţionala şi dreptul penal, precum şi accesul autoritaţilor publice la datele cu caracter personal, precum şi punerea în aplicare a acestei legislaţii, normele de protecţie a datelor, normele profesionale şi masurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal catre o alta ţara terţa sau organizaţie internaţionala, care sunt respectate în ţara terţa respectiva sau în organizaţia internaţionala respectiva, jurisprudenţa, precum şi existenţa unor drepturi efective şi opozabile ale persoanelor vizate şi a unor reparaţii efective pe cale administrativa şi judiciara pentru persoanele vizate ale caror date cu caracter personal sunt transferate;

b)existenţa şi funcţionarea eficienta a uneia sau mai multor autoritaţi de supraveghere independente în ţara terţa sau sub jurisdicţia carora intra o organizaţie internaţionala, cu responsabilitate pentru asigurarea şi impunerea respectarii normelor de protecţie a datelor, incluzând competenţe adecvate de asigurare a respectarii aplicarii, pentru acordarea de asistenţa şi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora şi pentru cooperarea cu autoritaţile de supraveghere din statele membre; şi

c)angajamentele internaţionale la care a aderat ţara terţa sau organizaţia internaţionala în cauza sau alte obligaţii care decurg din convenţii sau instrumente obligatorii din punct de vedere juridic, precum şi din participarea acesteia la sisteme multilaterale sau regionale, mai ales în domeniul protecţiei datelor cu caracter personal.

(3)Comisia, dupa ce evalueaza caracterul adecvat al nivelului de protecţie, poate decide, printr-un act de punere în aplicare, ca o ţara terţa, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ţara terţa sau o organizaţie internaţionala asigura un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodica, cel puţin o data la patru ani, care ia în considerare toate evoluţiile relevante din ţara terţa sau organizaţia internaţionala. Actul de punere în aplicare menţioneaza aplicarea geografica şi sectoriala, şi, dupa caz, identifica autoritatea sau autoritaţile de supraveghere menţionate la alineatul (2) litera (b) din prezentul articol. Actul de punere în aplicare se adopta în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).

(4)Comisia monitorizeaza continuu evoluţiile din ţarile terţe şi de la nivelul organizaţiilor internaţionale care ar putea afecta funcţionarea deciziilor adoptate în temeiul alineatului (3) din prezentul articol şi a deciziilor adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE.
(5)În cazul în care informaţiile disponibile dezvaluie, în special în urma revizuirii menţionate la alineatul (3) din prezentul articol, ca o ţara terţa, un teritoriu sau un sector specificat din acea ţara terţa sau o organizaţie internaţionala nu mai asigura un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol, Comisia, daca este necesar, abroga, modifica sau suspenda, prin intermediul unui act de punere în aplicare, decizia menţionata la alineatul (3) din prezentul articol fara efect retroactiv. Actele de punere în aplicare respective se adopta în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).

Din motive imperioase de urgenţa, Comisia adopta acte de punere în aplicare imediat aplicabile în conformitate cu procedura menţionata la articolul 93 alineatul (3).
(6)Comisia iniţiaza consultari cu ţara terţa sau organizaţia internaţionala în vederea remedierii situaţiei care a stat la baza deciziei luate în conformitate cu alineatul (5).

(7)O decizie luata în temeiul alineatului (5) din prezentul articol nu aduce atingere transferurilor de date cu caracter personal catre ţara terţa, un teritoriu sau unul sau mai multe sectoare specificate din acea ţara terţa sau catre organizaţia internaţionala în cauza în conformitate cu articolele 46-49. (8)Comisia publica în Jurnalul Oficial al Uniunii Europene şi pe site-ul sau o lista a ţarilor terţe, a teritoriilor şi sectoarelor specificate dintr-o ţara terţa şi a organizaţiilor internaţionale în cazul carora a decis ca nivelul de protecţie adecvat este asigurat sau nu mai este asigurat.

(9)Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE ramân în vigoare pâna când sunt modificate, înlocuite sau abrogate de o decizie a Comisiei adoptata în conformitate cu alineatul (3) sau (5) din prezentul articol.
Art. 46: Transferuri în baza unor garanţii adecvate

(1)În absenţa unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicita de operator poate transfera date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala numai daca operatorul sau persoana împuternicita de operator a oferit garanţii adecvate şi cu condiţia sa existe drepturi opozabile şi cai de atac eficiente pentru persoanele vizate.

(2)Garanţiile adecvate menţionate la alineatul 1 pot fi furnizate fara sa fie nevoie de nicio autorizaţie specifica din partea unei autoritaţi de supraveghere, prin:
a)un instrument obligatoriu din punct de vedere juridic şi executoriu între autoritaţile sau organismele publice;

b)reguli corporatiste obligatorii în conformitate cu articolul 47;
c)clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2);
d)clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2);
e)un cod de conduita aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţa de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
f)un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţa de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

(3)Sub rezerva autorizarii din partea autoritaţii de supraveghere competente, garanţiile adecvate menţionate la alineatul (1) pot fi furnizate de asemenea, în special, prin:
a)clauze contractuale între operator sau persoana împuternicita de operator şi operatorul, persoana împuternicita de operator sau destinatarul datelor cu caracter personal din ţara terţa sau organizaţia internaţionala; sau

b)dispoziţii care urmeaza sa fie incluse în acordurile administrative dintre autoritaţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.
(4)Autoritatea de supraveghere aplica mecanismul pentru asigurarea coerenţei menţionat la articolul 63, în cazurile menţionate la alineatul (3) din prezentul articol.

(5)Autorizaţiile acordate de un stat membru sau de o autoritate de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile pâna la data la care sunt modificate, înlocuite sau abrogate, daca este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie în temeiul articolului 26 alineatul (4) din Directiva 95/46/CE ramân în vigoare pâna când sunt modificate, înlocuite sau abrogate, daca este necesar, de o decizie a Comisiei adoptata în conformitate cu alineatul (2) din prezentul articol.

Art. 47: Reguli corporatiste obligatorii
(1)În conformitate cu mecanismul pentru asigurarea coerenţei prevazut la articolul 63, autoritatea de supraveghere competenta aproba reguli corporatiste obligatorii, cu condiţia ca acestea:
a)sa fie obligatorii din punct de vedere juridic şi sa se aplice fiecarui membru vizat al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economica comuna, inclusiv angajaţilor acestuia, precum şi sa fie puse în aplicare de membrii în cauza;
b)sa confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce priveşte prelucrarea datelor lor cu caracter personal; şi
c)sa îndeplineasca cerinţele prevazute la alineatul (2).
(2)Regulile corporatiste obligatorii menţionate la alineatul (1) precizeaza cel puţin:
a)structura şi datele de contact ale grupului de întreprinderi sau ale grupului de întreprinderi implicate într-o activitate economica comuna şi ale fiecaruia dintre membrii sai;

b)transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrarii şi scopurile prelucrarii, tipurile de persoane vizate afectate şi identificarea ţarii terţe sau a ţarilor terţe în cauza;
c)caracterul lor juridic obligatoriu, atât pe plan intern, cât şi extern;

d)aplicarea principiilor generale în materie de protecţie a datelor, în special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protecţia datelor începând cu momentul conceperii şi protecţia implicita, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, masurile de asigurare a securitaţii datelor, precum şi cerinţele referitoare la transferurile ulterioare catre organisme care nu fac obiectul regulilor corporatiste obligatorii;

e)drepturile persoanelor vizate în ceea ce priveşte prelucrarea şi mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, în conformitate cu articolul 22, dreptul de a depune o plângere în faţa autoritaţii de supraveghere competente şi în faţa instanţelor competente ale statelor membre, în conformitate cu articolul 79, precum şi dreptul de a obţine reparaţii şi, dupa caz, despagubiri pentru încalcarea regulilor corporatiste obligatorii;

f)acceptarea de catre operator sau de persoana împuternicita de operator, care îşi are sediul pe teritoriul unui stat membru, a raspunderii pentru orice încalcare a regulilor corporatiste obligatorii de catre orice membru în cauza care nu îşi are sediul în Uniune; operatorul sau persoana împuternicita de operator este exonerat(a) de aceasta raspundere, integral sau parţial, numai daca dovedeşte ca membrul respectiv nu a fost raspunzator de evenimentul care a cauzat prejudiciul;

g)modul în care informaţiile privind regulile corporatiste obligatorii, în special privind dispoziţiile menţionate la literele (d), (e) şi (f) de la prezentul alineat, sunt furnizate persoanelor vizate în completarea informaţiilor menţionate la articolele 13 şi 14;
h)sarcinile oricarui responsabil cu protecţia datelor desemnat în conformitate cu articolul 37 sau ale oricarei alte persoane sau entitaţi însarcinate cu monitorizarea respectarii regulilor corporatiste obligatorii în cadrul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economica comuna, a activitaţilor de formare şi a gestionarii plângerilor;

i)procedurile de formulare a plângerilor;
j)mecanismele din cadrul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economica comuna, menite sa asigure verificarea conformitaţii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecţia datelor şi metodele de asigurare a acţiunilor corective menite sa protejeze drepturile persoanei vizate. Rezultatele acestor verificari ar trebui sa fie comunicate persoanei sau entitaţii menţionate la litera (h) şi consiliului de administraţie al întreprinderii care exercita controlul grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economica comuna şi ar trebui sa fie puse la dispoziţia autoritaţii de supraveghere competente, la cerere;
k)mecanismele de raportare şi înregistrare a modificarilor aduse regulilor şi de raportare a acestor modificari autoritaţii de supraveghere;
l)mecanismul de cooperare cu autoritatea de supraveghere în vederea asigurarii respectarii regulilor de catre orice membru al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economica comuna, în special prin punerea la dispoziţia autoritaţii de supraveghere a rezultatelor verificarilor cu privire la masurile menţionate la punctul (j);
m)mecanismele de raportare catre autoritatea de supraveghere competenta a oricaror cerinţe legale impuse unui membru al grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economica comuna într-o ţara terţa care pot avea un efect advers considerabil asupra garanţiilor furnizate prin regulile corporatiste obligatorii; şi
n)formarea corespunzatoare în domeniul protecţiei datelor a personalului care are un acces permanent sau periodic la date cu caracter personal.
(3)Comisia poate preciza formatul şi procedurile pentru schimbul de informaţii între operatori, persoanele împuternicite de operatori şi autoritaţile de supraveghere pentru regulile corporatiste

obligatorii în sensul prezentului articol. Actele de punere în aplicare respective se adopta în conformitate cu procedura de examinare prevazuta la articolul 93 alineatul (2).
Art. 48: Transferurile sau divulgarile de informaţii neautorizate de dreptul Uniunii
Orice hotarâre a unei instanţe sau a unui tribunal şi orice decizie a unei autoritaţi administrative a unei ţari terţe care impun unui operator sau persoanei împuternicite de operator sa transfere sau sa divulge date cu caracter personal poate fi recunoscuta sau executata în orice fel numai daca se bazeaza pe un acord internaţional, cum ar fi un tratat de asistenţa judiciara reciproca în vigoare între ţara terţa solicitanta şi Uniune sau un stat membru, fara a se aduce atingere altor motive de transfer în temeiul prezentului capitol.

Art. 49: Derogari pentru situaţii specifice
(1)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 45 alineatul (3) sau a unor garanţii adecvate în conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala poate avea loc numai în una dintre condiţiile urmatoare: a)persoana vizata şi-a exprimat în mod explicit acordul cu privire la transferul propus, dupa ce a fost informata asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizata ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;
b)transferul este necesar pentru executarea unui contract între persoana vizata şi operator sau pentru aplicarea unor masuri precontractuale adoptate la cererea persoanei vizate;
c)transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o alta persoana fizica sau juridica;
d)transferul este necesar din considerente importante de interes public;
e)transferul este necesar pentru stabilirea, exercitarea sau apararea unui drept în instanţa;
f)transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizata nu are capacitatea fizica sau juridica de a-şi exprima acordul; g)transferul se realizeaza dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoana care poate face dovada unui interes legitim, dar numai în masura în care sunt îndeplinite condiţiile cu privire la consultare prevazute de dreptul Uniunii sau de dreptul intern în acel caz specific. În cazul în care un transfer nu ar putea sa se întemeieze pe o dispoziţie prevazuta la articolul 45 sau 46, inclusiv dispoziţii privind reguli corporatiste obligatorii, şi nu este aplicabila niciuna dintre derogarile pentru situaţii specifice prevazute la primul paragraf din prezentul alineat, un transfer catre o ţara terţa sau o organizaţie internaţionala poate avea loc numai în cazul în care transferul nu este repetitiv, se refera doar la un numar limitat de persoane vizate, este necesar în scopul realizarii intereselor legitime majore urmarite de operator asupra caruia nu prevaleaza interesele sau drepturile şi libertaţile persoanei vizate şi operatorul a evaluat toate circumstanţele aferente transferului de date şi, pe baza acestei evaluari, a prezentat garanţii corespunzatoare în ceea ce priveşte protecţia datelor cu caracter personal. Operatorul informeaza autoritatea de supraveghere cu privire la transfer. Operatorul, în plus faţa de furnizarea informaţiilor menţionate la articolele 13 şi 14, informeaza persoana vizata cu privire la transfer şi la interesele legitime majore pe care le urmareşte.
(2)Transferul în temeiul alineatului (1) primul paragraf litera (g) nu implica totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmeaza a fi consultat de catre persoane care au un interes legitim, transferul se efectueaza numai la cererea persoanelor respective sau în cazul în care acestea vor fi destinatarii. (3)Alineatul (1) primul paragraf literele (a), (b) şi (c) şi paragraful al doilea nu se aplica în cazul activitaţilor desfaşurate de autoritaţile publice în exercitarea competenţelor lor publice.
(4)Interesul public prevazut la alineatul (1) primul paragraf litera (d) este recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidenţa caruia intra operatorul.
(5)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, sa stabileasca în mod expres limite

asupra transferului unor categorii specifice de date cu caracter personal catre o ţara terţa sau o organizaţie internaţionala. Statele membre notifica aceste dispoziţii Comisiei.
(6)Operatorul sau persoana împuternicita de operator consemneaza evaluarea, precum şi garanţiile adecvate prevazute la paragraful al doilea al alineatului (1) din prezentul articol, în evidenţele menţionate la articolul 30.

Art. 50: Cooperarea internaţionala în domeniul protecţiei datelor cu caracter personal
În ceea ce priveşte ţarile terţe şi organizaţiile internaţionale, Comisia şi autoritaţile de supraveghere iau masurile corespunzatoare pentru:
(a)elaborarea de mecanisme de cooperare internaţionala pentru a facilita asigurarea aplicarii efective a legislaţiei privind protecţia datelor cu caracter personal;
(b)acordarea de asistenţa internaţionala reciproca în asigurarea aplicarii legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor, asistenţa în investigaţii şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertaţi fundamentale;
(c)implicarea parţilor interesate relevante în discuţiile şi activitaţile care au ca scop intensificarea cooperarii internaţionale în domeniul aplicarii legislaţiei privind protecţia datelor cu caracter personal; (d)promovarea schimbului reciproc şi a documentaţiei cu privire la legislaţia şi practicile în materie de protecţie a datelor cu caracter personal, inclusiv în ceea ce priveşte conflictele jurisdicţionale cu ţarile terţe.
CAPITOLUL VI: Autoritaţi de supraveghere independente
Secţiunea 1: Statutul independent
Art. 51: Autoritatea de supraveghere
(1)Fiecare stat membru se asigura ca una sau mai multe autoritaţi publice independente sunt responsabile de monitorizarea aplicarii prezentului regulament, în vederea protejarii drepturilor şi libertaţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea şi în vederea facilitarii liberei circulaţii a datelor cu caracter personal în cadrul Uniunii („autoritatea de supraveghere”). (2)Fiecare autoritate de supraveghere contribuie la aplicarea coerenta a prezentului regulament în întreaga Uniune. În acest scop, autoritaţile de supraveghere coopereaza atât între ele, cât şi cu Comisia, în conformitate cu capitolul VII.
(3)În cazul în care mai multe autoritaţi de supraveghere sunt instituite într-un stat membru, acesta desemneaza autoritatea de supraveghere care reprezinta autoritaţile respective în cadrul comitetului şi instituie un mecanism prin care sa asigure respectarea de catre celelalte autoritaţi a normelor privind mecanismul pentru asigurarea coerenţei prevazut la articolul 63.
(4)Fiecare stat membru notifica Comisiei dispoziţiile de drept pe care le adopta în temeiul prezentului capitol pâna la 25 mai 2018 şi, fara întârziere, orice modificare ulterioara pe care o aduce acestor dispoziţii.
Art. 52: Independenţa
(1)Fiecare autoritate de supraveghere beneficiaza de independenţa deplina în îndeplinirea sarcinilor sale şi exercitarea competenţelor sale în conformitate cu prezentul regulament.
(2)Membrul sau membrii fiecarei autoritaţi de supraveghere, în cadrul îndeplinirii sarcinilor şi al exercitarii competenţelor sale (lor) în conformitate cu prezentul regulament, ramâne (ramân) independent (independenţi) de orice influenţa externa directa sau indirecta şi nici nu solicita, nici nu accepta instrucţiuni de la o parte externa.
(3)Membrul sau membrii fiecarei autoritaţi de supraveghere se abţin de la a întreprinde acţiuni incompatibile cu atribuţiile lor, iar pe durata mandatului, nu desfaşoara activitaţi incompatibile, remunerate sau nu.
(4)Fiecare stat membru se asigura ca fiecare autoritate de supraveghere beneficiaza de resurse umane, tehnice şi financiare, de un sediu şi de infrastructura necesara pentru îndeplinirea sarcinilor şi exercitarea efectiva a competenţelor sale, inclusiv a celor care urmeaza sa fie aplicate în contextul asistenţei reciproce, al cooperarii şi al participarii în cadrul comitetului.

(5)Fiecare stat membru se asigura ca fiecare autoritate de supraveghere îşi selecteaza personalul propriu şi deţine personal propriu aflat sub conducerea exclusiva a membrului sau membrilor autoritaţii de supraveghere respective.
(6)Fiecare stat membru se asigura ca fiecare autoritate de supraveghere face obiectul unui control financiar care nu aduce atingere independenţei sale şi ca dispune de bugete anuale distincte, publice, care pot face parte din bugetul general de stat sau naţional.

Art. 53: Condiţii generale aplicabile membrilor autoritaţii de supraveghere
(1)Statele membre se asigura ca fiecare membru al autoritaţii lor de supraveghere este numit prin intermediul unei proceduri transparente:
– de parlament;
– de guvern;
– de şeful statului; sau
– de un organism independent împuternicit sa faca numiri în temeiul dreptului intern.
(2)Fiecare membru în cauza are calificarile, experienţa şi competenţele necesare, în special în domeniul protecţiei datelor cu caracter personal, pentru a-şi putea îndeplini atribuţiile şi exercita competenţele.
(3)Atribuţiile unui membru înceteaza în cazul expirarii mandatului, în cazul demisiei sau pensionarii din oficiu în conformitate cu dreptul intern relevant.
(4)Un membru poate fi demis doar în cazuri de abateri grave sau daca nu mai îndeplineşte condiţiile necesare pentru îndeplinirea atribuţiilor sale.
Art. 54: Norme privind instituirea autoritaţii de supraveghere
(1)Fiecare stat membru prevede, pe cale legislativa, urmatoarele:
a)instituirea fiecarei autoritaţi de supraveghere;
b)calificarile şi condiţiile de eligibilitate necesare pentru a fi numit în calitate de membru al fiecarei autoritaţi de supraveghere;
c)normele şi procedurile pentru numirea membrului sau a membrilor fiecarei autoritaţi de supraveghere;
d)durata mandatului membrului sau membrilor fiecarei autoritaţi de supraveghere, de minimum patru ani, cu excepţia primei numiri dupa 24 mai 2016, din care o parte poate fi pe o perioada mai scurta în cazul în care acest lucru este necesar pentru a proteja independenţa autoritaţii de supraveghere printr- o procedura de numiri eşalonate;
e)daca şi de câte ori este eligibil pentru reînnoire mandatul membrului sau membrilor fiecarei autoritaţi de supraveghere;
f)condiţiile care reglementeaza obligaţiile membrului sau membrilor şi ale personalului fiecarei autoritaţi de supraveghere, interdicţii privind acţiunile, ocupaţiile şi beneficiile incompatibile cu acestea în cursul mandatului şi dupa încetarea acestuia, precum şi normele care reglementeaza încetarea contractului de angajare.
(2)Membrul sau membrii şi personalul fiecarei autoritaţi de supraveghere au obligaţia, în conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta atât pe parcursul mandatului, cât şi dupa încetarea acestuia, secretul profesional în ceea ce priveşte informaţiile confidenţiale de care au luat cunoştinţa în cursul îndeplinirii sarcinilor sau al exercitarii competenţelor lor. Pe durata mandatului lor, aceasta obligaţie de pastrare a secretului profesional se aplica în special în ceea ce priveşte raportarea de catre persoane fizice a încalcarilor prezentului regulament.
Secţiunea 2: Abilitari, sarcini şi competenţe
Art. 55: Competenţa
(1)Fiecare autoritate de supraveghere are competenţa sa îndeplineasca sarcinile şi sa exercite competenţele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparţine.

(2)În cazul în care prelucrarea este efectuata de autoritaţi publice sau de organisme private care acţioneaza pe baza articolului 6 alineatul (1) litera (c) sau (e), autoritatea de supraveghere din statul

membru respectiv are competenţa. În astfel de cazuri, articolul 56 nu se aplica.

(la data 23-mai-2018 Art. 55, alin. (2) din capitolul VI, sectiunea 2 rectificat de punctul 15. din Rectificare din 23-mai- 2018 )
(3)Autoritaţile de supraveghere nu sunt competente sa supravegheze operaţiunile de prelucrare ale instanţelor care acţioneaza în exerciţiul funcţiei lor judiciare.

Art. 56: Competenţa autoritaţii de supraveghere principale
(1)Fara a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competenta sa acţioneze în calitate de autoritate de supraveghere principala pentru prelucrarea transfrontaliera efectuata de respectivul operator sau respectiva persoana împuternicita în cauza în conformitate cu procedura prevazuta la articolul 60.
(2)Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competenta sa trateze o plângere depusa în atenţia sa sau o eventuala încalcare a prezentului regulament, în cazul în care obiectul acesteia se refera numai la un sediu aflat în statul sau membru sau afecteaza în mod semnificativ persoane vizate numai în statul sau membru.
(3)În cazurile menţionate la alineatul (2) din prezentul articol, autoritatea de supraveghere informeaza fara întârziere autoritatea de supraveghere principala cu privire la aceasta chestiune. În termen de trei saptamâni de la momentul informarii, autoritatea de supraveghere principala decide daca trateaza sau nu cazul respectiv în conformitate cu procedura prevazuta la articolul 60, luând în considerare daca exista sau nu un sediu al operatorului sau al persoanei împuternicite de operator pe teritoriul statului membru a carui autoritate de supraveghere a informat-o.
(4)În cazul în care autoritatea de supraveghere principala decide sa trateze cazul, se aplica procedura prevazuta la articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principala poate înainta un proiect de decizie acesteia din urma. Autoritatea de supraveghere principala ţine seama în cea mai mare masura posibila de proiectul respectiv atunci când pregateşte proiectul de decizie prevazut la articolul 60 alineatul (3).
(5)În cazul în care autoritatea de supraveghere principala decide sa nu trateze cazul, autoritatea de supraveghere care a informat autoritatea de supraveghere principala trateaza cazul în conformitate cu articolele 61 şi 62.
(6)Autoritatea de supraveghere principala este singurul interlocutor al operatorului sau al persoanei împuternicite de operator în ceea ce priveşte prelucrarea transfrontaliera efectuata de respectivul operator sau de respectiva persoana împuternicita de operator.
Art. 57: Sarcini
(1)Fara a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul sau:
a)monitorizeaza şi asigura aplicarea prezentului regulament;
b)promoveaza acţiuni de sensibilizare şi de înţelegere în rândul publicului a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare. Se acorda atenţie speciala activitaţilor care se adreseaza în mod specific copiilor;
c)ofera consiliere, în conformitate cu dreptul intern, parlamentului naţional, guvernului şi altor instituţii şi organisme cu privire la masurile legislative şi administrative referitoare la protecţia drepturilor şi libertaţilor persoanelor fizice în ceea ce priveşte prelucrarea;
d)promoveaza acţiuni de sensibilizare a operatorilor şi a persoanelor împuternicite de aceştia cu privire la obligaţiile care le revin în temeiul prezentului regulament;
e)la cerere, furnizeaza informaţii oricarei persoane vizate în legatura cu exercitarea drepturilor sale în conformitate cu prezentul regulament şi, daca este cazul, coopereaza cu autoritaţile de supraveghere din alte state membre în acest scop;
f)trateaza plângerile depuse de o persoana vizata, un organism, o organizaţie sau o asociaţie în conformitate cu articolul 80 şi investigheaza într-o masura adecvata obiectul plângerii şi informeaza reclamantul cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special daca este necesara efectuarea unei investigaţii mai amanunţite sau coordonarea cu o alta autoritate de supraveghere;

g)coopereaza, inclusiv prin schimb de informaţii, cu alte autoritaţi de supraveghere şi îşi ofera asistenţa reciproca pentru a asigura coerenţa aplicarii şi respectarii prezentului regulament;
h)desfaşoara investigaţii privind aplicarea prezentului regulament, inclusiv pe baza unor informaţii primite de la o alta autoritate de supraveghere sau de la o alta autoritate publica;

i)monitorizeaza evoluţiile relevante, în masura în care acestea au impact asupra protecţiei datelor cu caracter personal, în special evoluţia tehnologiilor informaţiei şi comunicaţiilor şi a practicilor comerciale;
j)adopta clauze contractuale standard menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d);

k)întocmeşte şi menţine la zi o lista în legatura cu cerinţa privind evaluarea impactului asupra protecţiei datelor, în conformitate cu articolul 35 alineatul (4);
l)ofera consiliere cu privire la operaţiunile de prelucrare menţionate la articolul 36 alineatul (2); m)încurajeaza elaborarea de coduri de conduita în conformitate cu articolul 40 alineatul (1), îşi da avizul cu privire la acestea şi le aproba pe cele care ofera suficiente garanţii, în conformitate cu articolul 40 alineatul (5);

n)încurajeaza stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi marci în domeniul protecţiei datelor în conformitate cu articolul 42 alineatul (1) şi aproba criteriile de certificare în conformitate cu articolul 42 alineatul (5);
o)acolo unde este cazul, efectueaza o revizuire periodica a certificarilor acordate, în conformitate cu articolul 42 alineatul (7);

p)elaboreaza şi publica cerinţele de acreditare a unui organism de monitorizare a codurilor de conduita

în conformitate cu articolul 41 şi a unui organism de certificare în conformitate cu articolul 43;

(la data 23-mai-2018 Art. 57, alin. (1), litera P. din capitolul VI, sectiunea 2 rectificat de punctul 16. din Rectificare din 23-

mai-2018 )
q)coordoneaza procedura de acreditare a unui organism de monitorizare a codurilor de conduita în conformitate cu articolul 41 şi a unui organism de certificare în conformitate cu articolul 43; r)autorizeaza clauzele şi dispoziţiile contractuale menţionate la articolul 46 alineatul (3);
s)aproba regulile corporatiste obligatorii în conformitate cu articolul 47;
t)contribuie la activitaţile comitetului;
u)menţine la zi evidenţe interne privind încalcarile prezentului regulament şi masurile luate, în special avertismentele emise şi sancţiunile impuse în conformitate cu articolul 58 alineatul (2); şi v)îndeplineşte orice alte sarcini legate de protecţia datelor cu caracter personal.
(2)Fiecare autoritate de supraveghere faciliteaza depunerea plângerilor menţionate la alineatul (1) litera (f) prin masuri precum punerea la dispoziţie a unui formular de depunere a plângerii care sa poata fi completat inclusiv în format electronic, fara a exclude alte mijloace de comunicare. (3)Îndeplinirea sarcinilor fiecarei autoritaţi de supraveghere este gratuita pentru persoana vizata şi, dupa caz, pentru responsabilul cu protecţia datelor.
(4)În cazul în care cererile sunt în mod vadit nefondate sau excesive, în special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxa rezonabila, bazata pe costurile administrative, sau poate refuza sa le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autoritaţii de supraveghere.
Art. 58: Competenţe
(1)Fiecare autoritate de supraveghere are toate urmatoarele competenţe de investigare:
a)de a da dispoziţii operatorului şi persoanei împuternicite de operator şi, dupa caz, reprezentantului operatorului sau al persoanei împuternicite de operator sa furnizeze orice informaţii pe care autoritatea de supraveghere le solicita în vederea îndeplinirii sarcinilor sale;
b)de a efectua investigaţii sub forma de audituri privind protecţia datelor;
c)de a efectua o revizuire a certificarilor acordate în temeiul articolului 42 alineatul (7);
d)de a notifica operatorul sau persoana împuternicita de operator cu privire la presupusa încalcare a prezentului regulament;
e)de a obţine, din partea operatorului şi a persoanei împuternicite de operator, accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale;

f)de a obţine accesul la oricare dintre incintele operatorului şi ale persoanei împuternicite de operator, inclusiv la orice echipamente şi mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual intern.
(2)Fiecare autoritate de supraveghere are toate urmatoarele competenţe corective:

a)de a emite avertizari în atenţia unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operaţiunile de prelucrare prevazute sa încalce dispoziţiile prezentului regulament;

b)de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul

în care operaţiunile de prelucrare au încalcat dispoziţiile prezentului regulament;

(la data 23-mai-2018 Art. 58, alin. (2), litera B. din capitolul VI, sectiunea 2 rectificat de punctul 17. din Rectificare din 23-

mai-2018 )
c)de a da dispoziţii operatorului sau persoanei împuternicite de operator sa respecte cererile persoanei vizate de a-şi exercita drepturile în temeiul prezentului regulament;
d)de a da dispoziţii operatorului sau persoanei împuternicite de operator sa asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentului regulament, specificând, dupa caz, modalitatea şi termenul-limita pentru aceasta;
e)de a obliga operatorul sa informeze persoana vizata cu privire la o încalcare a protecţiei datelor cu caracter personal;
f)de a impune o limitare temporara sau definitiva, inclusiv o interdicţie asupra prelucrarii;
g)de a dispune rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrarii, în temeiul articolelor 16, 17 şi 18, precum şi notificarea acestor acţiuni destinatarilor carora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) şi cu articolul 19; h)de a retrage o certificare sau de a obliga organismul de certificare sa retraga o certificare eliberata în temeiul articolul 42 şi 43 sau de a obliga organismul de certificare sa nu elibereze o certificare în cazul în care cerinţele de certificare nu sunt sau nu mai sunt îndeplinite;
i)de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul masurilor menţionate la prezentul alineat, în funcţie de circumstanţele fiecarui caz în parte;
j)de a dispune suspendarea fluxurilor de date catre un destinatar dintr-o ţara terţa sau catre o organizaţie internaţionala.
(3)Fiecare autoritate de supraveghere are toate urmatoarele competenţe de autorizare şi de consiliere: a)de a oferi consiliere operatorului în conformitate cu procedura de consultare prealabila menţionata la articolul 36;
b)de a emite avize, din proprie iniţiativa sau la cerere, parlamentului naţional, guvernului statului membru sau, în conformitate cu dreptul intern, altor instituţii şi organisme, precum şi publicului, cu privire la orice aspect legat de protecţia datelor cu caracter personal;
c)de a autoriza prelucrarea menţionata la articolul 36 alineatul (5), în cazul în care dreptul statului membru prevede o astfel de autorizare prealabila;
d)de a emite un aviz şi de a aproba proiectele de coduri de conduita, în conformitate cu articolul 40 alineatul (5);
e)de a acredita organismele de certificare în conformitate cu articolul 43;
f)de a emite certificari şi de a aproba criterii de certificare în conformitate cu articolul 42 alineatul (5); g)de a adopta clauzele standard în materie de protecţie a datelor menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d);
h)de a autoriza clauzele contractuale menţionate la articolul 46 alineatul (3) litera (a);
i)de a autoriza acordurile administrative menţionate la articolul 46 alineatul (3) litera (b); şi
j)de a aproba reguli corporatiste obligatorii în conformitate cu articolul 47.
(4)Exercitarea competenţelor conferite autoritaţii de supraveghere în temeiul prezentului articol face obiectul unor garanţii adecvate, inclusiv cai de atac judiciare eficiente şi procese echitabile, prevazute în dreptul Uniunii şi în dreptul intern în conformitate cu carta.
(5)Fiecare stat membru prevede, pe cale legislativa, faptul ca autoritatea sa de supraveghere are competenţa de a aduce în faţa autoritaţilor judiciare cazurile de încalcare a prezentului regulament şi,

dupa caz, de a iniţia sau de a se implica într-un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispoziţiilor prezentului regulament.
(6)Fiecare stat membru poate sa prevada în dreptul sau faptul ca autoritatea sa de supraveghere are competenţe suplimentare, în afara celor menţionate la alineatele (1), (2) şi (3). Exercitarea acestor competenţe nu afecteaza modul de operare eficienta a capitolului VII.

Art. 59: Rapoarte de activitate
Fiecare autoritate de supraveghere întocmeşte un raport anual cu privire la activitaţile sale, care poate include o lista a tipurilor de încalcari notificate şi a tipurilor de masuri luate în conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului naţional, guvernului şi altor autoritaţi desemnate prin dreptul intern. Acestea se pun la dispoziţia publicului, a Comisiei şi a comitetului.
CAPITOLUL VII: Cooperare şi coerenţa
Secţiunea 1: Cooperare
Art. 60: Cooperarea dintre autoritatea de supraveghere principala şi celelalte autoritaţi de supraveghere vizate
(1)Autoritatea de supraveghere principala coopereaza cu celelalte autoritaţi de supraveghere vizate, în conformitate cu prezentul articol, în încercarea de a ajunge la un consens. Autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate îşi comunica reciproc toate informaţiile relevante. (2)Autoritatea de supraveghere principala poate solicita în orice moment altor autoritaţi de supraveghere vizate sa ofere asistenţa reciproca în temeiul articolului 61 şi poate desfaşura operaţiuni comune în temeiul articolului 62, în special în vederea efectuarii de investigaţii sau a monitorizarii punerii în aplicare a unei masuri referitoare la un operator sau o persoana împuternicita de operator, stabilit(a) în alt stat membru.
(3)Autoritatea de supraveghere principala comunica fara întârziere informaţiile relevante referitoare la aceasta chestiune celorlalte autoritaţi de supraveghere vizate. Autoritatea de supraveghere principala transmite fara întârziere un proiect de decizie celorlalte autoritaţi de supraveghere vizate, pentru a obţine avizul lor, şi ţine seama în mod corespunzator de opiniile acestora.
(4)În cazul în care oricare dintre celelalte autoritaţi de supraveghere vizate exprima, în termen de patru saptamâni dupa ce a fost consultata în conformitate cu alineatul (3) din prezentul articol, o obiecţie relevanta şi motivata la proiectul de decizie, autoritatea de supraveghere principala, în cazul în care nu da curs obiecţiei relevante şi motivate sau considera ca obiecţia nu este relevanta sau motivata, sesizeaza mecanismul pentru asigurarea coerenţei menţionat la articolul 63.
(5)În cazul în care intenţioneaza sa dea curs obiecţiei relevante şi motivate formulate, autoritatea de supraveghere principala transmite celorlalte autoritaţi de supraveghere vizate un proiect revizuit de decizie pentru a obţine avizul acestora. Acest proiect revizuit de decizie face obiectul procedurii menţionate la alineatul (4) pe parcursul unei perioade de doua saptamâni.
(6)În cazul în care niciuna dintre celelalte autoritaţi de supraveghere vizate nu a formulat obiecţii la proiectul de decizie transmis de autoritatea de supraveghere principala în termenul menţionat la alineatele (4) şi (5), se considera ca autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine obligatoriu pentru acestea.
(7)Autoritatea de supraveghere principala adopta decizia şi o notifica sediului principal sau sediului unic al operatorului sau al persoanei împuternicite de operator, dupa caz, şi informeaza celelalte autoritaţi de supraveghere vizate şi comitetul cu privire la decizia în cauza, incluzând un rezumat al elementelor şi motivelor relevante. Autoritatea de supraveghere la care a fost depusa plângerea informeaza reclamantul cu privire la decizie.
(8)Prin derogare de la alineatul (7), în cazul în care o plângere este refuzata sau respinsa, autoritatea de supraveghere la care s-a depus plângerea adopta decizia, o notifica reclamantului şi informeaza operatorul cu privire la acest lucru.
(9)În cazul în care autoritatea de supraveghere principala şi autoritaţile de supraveghere vizate sunt de acord sa refuze sau sa respinga anumite parţi ale unei plângeri şi sa dea curs altor parţi ale plângerii respective, se adopta o decizie separata pentru fiecare dintre aceste parţi. Autoritatea de supraveghere principala adopta decizia pentru partea care vizeaza acţiunile referitoare la operator, o notifica sediului

principal sau sediului unic al operatorului sau al persoanei împuternicite de operator de pe teritoriul statului membru în cauza şi informeaza reclamantul cu privire la acest lucru, în timp ce autoritatea de supraveghere a reclamantului adopta decizia pentru partea care vizeaza refuzarea sau respingerea plângerii respective, o notifica reclamantului şi informeaza operatorul sau persoana împuternicita de operator cu privire la acest lucru.

(10)În urma notificarii deciziei autoritaţii de supraveghere principale în temeiul alineatelor (7) şi (9), operatorul sau persoana împuternicita de operator ia masurile necesare pentru a se asigura ca activitaţile de prelucrare sunt în conformitate cu decizia în toate sediile sale din Uniune. Operatorul sau persoana împuternicita de operator notifica masurile luate în vederea respectarii deciziei autoritaţii de supraveghere principale, care informeaza celelalte autoritaţi de supraveghere vizate.

(11)În cazul în care, în circumstanţe excepţionale, o autoritate de supraveghere vizata are motive sa considere ca exista o nevoie urgenta de a acţiona în vederea protejarii intereselor persoanelor vizate, se aplica procedura de urgenţa prevazuta la articolul 66.
(12)Autoritatea de supraveghere principala şi celelalte autoritaţi de supraveghere vizate îşi furnizeaza reciproc informaţiile solicitate în temeiul prezentului articol, pe cale electronica, utilizând un formular standard.

Art. 61: Asistenţa reciproca
(1)Autoritaţile de supraveghere îşi furnizeaza reciproc informaţii relevante şi asistenţa pentru a pune în aplicare prezentul regulament în mod coerent şi instituie masuri de cooperare eficace între ele. Asistenţa reciproca se refera, în special, la cereri de informaţii şi masuri de supraveghere, cum ar fi cereri privind autorizari şi consultari prealabile, inspecţii şi investigaţii.
(2)Fiecare autoritate de supraveghere ia toate masurile corespunzatoare necesare pentru a raspunde unei cererii a unei alte autoritaţi de supraveghere, fara întârzieri nejustificate şi cel târziu în termen de o luna de la data primirii cererii. Aceste masuri pot include, în special, transmiterea informaţiilor relevante privind desfaşurarea unei investigaţii.
(3)Cererile de asistenţa cuprind toate informaţiile necesare, inclusiv scopul cererii şi motivele care stau la baza acesteia. Informaţiile care fac obiectul schimbului se utilizeaza numai în scopul în care au fost solicitate.

(4)Autoritatea de supraveghere solicitata nu poate refuza sa dea curs cererii, cu excepţia cazului în care:

a)nu are competenţa privind obiectul cererii sau masurile pe care este solicitata sa le execute; sau
b)a da curs cererii ar încalca prezentul regulament sau dreptul Uniunii sau dreptului intern sub incidenţa caruia intra autoritatea de supraveghere care a primit cererea.
(5)Autoritatea de supraveghere careia i s-a adresat cererea informeaza autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, dupa caz, la progresele înregistrate ori masurile întreprinse pentru a raspunde cererii. Autoritatea de supraveghere solicitata îşi motiveaza fiecare refuz de a da curs cererii în temeiul alineatului (4).
(6)Ca regula, autoritaţile de supraveghere solicitate furnizeaza informaţiile solicitate de alte autoritaţi de supraveghere pe cale electronica, utilizând un formular standard.
(7)Autoritaţile de supraveghere solicitate nu percep nicio taxa pentru acţiunile întreprinse de acestea în temeiul unei cereri de asistenţa reciproca. Autoritaţile de supraveghere pot conveni asupra unor norme privind retribuţiile reciproce în cazul unor cheltuieli specifice rezultate în urma acordarii de asistenţa reciproca în situaţii excepţionale.
(8)În cazul în care o autoritate de supraveghere nu furnizeaza informaţiile menţionate la alineatul (5) din prezentul articol în termen de o luna de la primirea cererii din partea altei autoritaţi de supraveghere, aceasta din urma poate adopta o masura provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 55 alineatul (1). În acest caz, necesitatea urgenta de a acţiona în temeiul articolului 66 alineatul (1) este considerata a fi îndeplinita şi necesita o decizie obligatorie urgenta din partea comitetului, în conformitate cu articolul 66 alineatul (2).
(9)Comisia, printr-un act de punere în aplicare, poate specifica forma şi procedurile pentru asistenţa reciproca menţionata în prezentul articol, precum şi modalitaţile de schimb de informaţii pe cale electronica între autoritaţile de supraveghere şi între autoritaţile de supraveghere şi comitet, în special

formularul standard menţionat la alineatul (6) din prezentul articol. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).
Art. 62: Operaţiuni comune ale autoritaţilor de supraveghere

(1)Dupa caz, autoritaţile de supraveghere desfaşoara operaţiuni comune, inclusiv investigaţii comune şi masuri comune de aplicare a legii, în care sunt implicaţi membri sau personal din autoritaţile de supraveghere ale altor state membre.
(2)În cazul în care operatorul sau persoana împuternicita de operator deţine sedii în mai multe state membre sau daca un numar semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate în mod semnificativ de operaţiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la operaţiunile comune. Autoritatea de supraveghere care este competenta în conformitate cu articolul 56 alineatul (1) sau alineatul (4) invita autoritaţile de supraveghere din fiecare dintre aceste state membre sa ia parte la operaţiunile comune respective şi raspunde fara întârziere la cererea de participare a unei autoritaţi de supraveghere.

(3)O autoritate de supraveghere poate, în conformitate cu dreptul intern şi cu acordul autoritaţii de supraveghere din statul membru de origine, sa acorde competenţe, inclusiv competenţe de investigare, membrilor sau personalului autoritaţii de supraveghere din statul membru de origine implicaţi în operaţiuni comune sau, în masura în care dreptul statului membru al autoritaţii de supraveghere din statul membru de primire permite acest lucru, poate autoriza membrii sau personalul autoritaţii de supraveghere din statul membru de origine sa îşi exercite competenţele de investigare în conformitate cu dreptul statului membru al acestei din urma autoritaţi. Astfel de competenţe de investigare pot fi exercitate doar sub coordonarea şi în prezenţa membrilor sau personalului autoritaţii de supraveghere din statul membru de primire. Membrii sau personalul autoritaţii de supraveghere din statul membru de origine sunt supuşi dreptului intern sub incidenţa caruia intra autoritatea de supraveghere din statul membru de primire.

(4)În cazul în care, în conformitate cu alineatul (1), personalul unei autoritaţi de supraveghere din statul membru de origine îşi desfaşoara activitatea într-un alt stat membru, statul membru de primire îşi asuma responsabilitatea pentru acţiunile personalului respectiv, inclusiv raspunderea pentru eventualele prejudicii cauzate de membrii personalului respectiv în cursul operaţiunilor acestora, în conformitate cu dreptul statului membru pe teritoriul caruia îşi desfaşoara operaţiunile.

(5)Statul membru pe teritoriul caruia s-au produs prejudiciile repara aceste prejudicii în condiţiile aplicabile prejudiciilor cauzate de propriul sau personal. Statul membru de origine al autoritaţii de supraveghere al carei personal a cauzat prejudicii unei persoane de pe teritoriul unui alt stat membru ramburseaza acestui alt stat membru totalitatea sumelor pe care le-a platit persoanelor îndreptaţite în numele acestora.

(6)Fara a aduce atingere exercitarii drepturilor sale faţa de terţe parţi şi cu excepţia alineatului (5), fiecare stat membru se abţine, în cazul prevazut la alineatul (1), de la a pretinde de la un alt stat membru rambursarea despagubirilor pentru prejudiciile menţionate la alineatul (4).
(7)În cazul în care este planificata o operaţiune comuna, iar o autoritate de supraveghere nu se conformeaza, în termen de o luna, obligaţiei prevazute în a doua teza a alineatului (2) din prezentul articol, celelalte autoritaţi de supraveghere pot adopta o masura provizorie pe teritoriul statului membru al respectivei autoritaţi, în conformitate cu articolul 55. În acest caz, necesitatea urgenta de a acţiona în temeiul articolului 66 alineatul (1) este considerata a fi îndeplinita şi necesita un aviz de urgenţa sau o decizie obligatorie urgenta din partea comitetului, în conformitate cu articolul 66 alineatul (2).

Secţiunea 2: Asigurarea coerenţei
Art. 63: Mecanismul pentru asigurarea coerenţei
Pentru a contribui la aplicarea coerenta a prezentului regulament în întreaga Uniune, autoritaţile de supraveghere coopereaza între ele şi, dupa caz, cu Comisia prin mecanismul pentru asigurarea coerenţei, astfel cum se prevede în prezenta secţiune.

Art. 64: Avizul comitetului
(1)Comitetul emite un aviz de fiecare data când o autoritate de supraveghere competenta intenţioneaza sa adopte oricare dintre masurile de mai jos. În acest scop, autoritatea de supraveghere competenta comunica proiectul de decizie comitetului, atunci când:
a)vizeaza adoptarea unei liste de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluari a impactului asupra protecţiei datelor, în conformitate cu articolul 35 alineatul (4);
b)în conformitate cu articolul 40 alineatul (7), se refera la conformitatea cu prezentul regulament a unui proiect de cod de conduita sau a unei modificari sau extinderi a unui cod de conduita;

c)vizeaza aprobarea cerinţelor pentru acreditarea unui organism în conformitate cu articolul 41

alineatul (3), a unui organism de certificare în conformitate cu articolul 43 alineatul (3) sau a criteriilor

de certificare menţionate la articolul 42 alineatul (5);

(la data 23-mai-2018 Art. 64, alin. (1), litera C. din capitolul

VII, sectiunea 2 rectificat de punctul 18. din Rectificare din

23-mai-2018 )
d)vizeaza determinarea clauzelor standard în materie de protecţie a datelor menţionate la articolul 46 alineatul (2) litera (d) sau la articolul 28 alineatul (8);
e)vizeaza autorizarea clauzelor contractuale menţionate la articolul 46 alineatul (3) litera (a); sau f)vizeaza aprobarea regulilor corporatiste obligatorii în sensul articolului 47.
(2)Orice autoritate de supraveghere, preşedintele comitetului sau Comisia poate solicita ca orice chestiune de aplicare generala sau care produce efecte în mai mult de un stat membru sa fie examinata de comitet în vederea obţinerii unui aviz, în special în cazul în care o autoritate de supraveghere competenta nu respecta obligaţiile privind asistenţa reciproca în conformitate cu articolul 61 sau privind operaţiunile comune în conformitate cu articolul 62.
(3)În cazurile menţionate la alineatele (1) şi (2), comitetul emite un aviz cu privire la chestiunea care îi este prezentata, cu condiţia sa nu fi emis deja un aviz cu privire la aceeaşi chestiune. Avizul respectiv este adoptat în termen de opt saptamâni cu majoritatea simpla a membrilor comitetului. Aceasta perioada poate fi prelungita cu şase saptamâni, ţinându-se seama de complexitatea chestiunii. În ceea ce priveşte proiectul de decizie menţionat la alineatul (1) transmis membrilor comitetului în conformitate cu alineatul (5), un membru care nu a emis obiecţii într-un termen rezonabil indicat de preşedinte se considera a fi de acord cu proiectul de decizie.
(4)Autoritaţile de supraveghere şi Comisia comunica pe cale electronica comitetului, fara întârzieri nejustificate, printr-un formular standard, orice informaţie relevanta, inclusiv, dupa caz, o sinteza a faptelor, proiectul de decizie, motivele care fac necesara adoptarea unei astfel de masuri, precum şi opiniile altor autoritaţi de supraveghere vizate.

(5)Preşedintele comitetului informeaza pe cale electronica, fara întârzieri nejustificate:
a)membrii comitetului şi Comisia cu privire la orice informaţie relevanta care i-a fost comunicata, utilizând un formular standard. Secretariatul comitetului furnizeaza traduceri ale informaţiilor relevante, acolo unde este necesar; şi
b)autoritatea de supraveghere menţionata, dupa caz, la alineatele (1) şi (2), şi Comisia cu privire la aviz şi îl publica.

(6)Autoritatea de supraveghere competenta menţionata la alineatul (1) nu îşi adopta proiectul de

decizie menţionat la alineatul (1) în termenul menţionat la alineatul (3).

(la data 23-mai-2018 Art. 64, alin. (6) din capitolul VII, sectiunea 2 rectificat de pu

(7)Autoritatea de supraveghere competenta menţionata la alineatul (1) ţine seama pe deplin de avizul

nctul 19. din Rectificare din 23-mai-

2018 )

comitetului şi comunica pe cale electronica preşedintelui comitetului, în termen de doua saptamâni de la primirea avizului, daca îşi va pastra sau îşi va modifica proiectul de decizie şi, daca este cazul,

transmite proiectul de decizie modificat, utilizând un formular standard.

(la data 23-mai-2018 Art. 64, alin. (7) din capitolul VII, sectiunea 2 rectificat de pu

(8)În cazul în care autoritatea de supraveghere competenta menţionata la alineatul (1) informeaza preşedintele comitetului, în termenul menţionat la alineatul (7) din prezentul articol, ca intenţioneaza sa nu se conformeze avizului comitetului, integral sau parţial, oferind motivele relevante, se aplica articolul

nctul 19. din Rectificare din 23-mai-

2018 )

65 alineatul (1).

(la data 23-mai-2018 Art. 64, alin. (8) din capitolul VII, sectiunea 2 rectificat de punctul 19. din Rectificare din 23-mai- 2018 )
Art. 65: Soluţionarea litigiilor de catre comitet
(1)Pentru a asigura aplicarea corecta şi coerenta a prezentului regulament în cazuri individuale, comitetul adopta o decizie obligatorie în urmatoarele cazuri:

a)atunci când, în unul dintre cazurile menţionate la articolul 60 alineatul (4), o autoritate de supraveghere vizata a formulat o obiecţie relevanta şi motivata la un proiect de decizie a autoritaţii de

supraveghere principale şi autoritatea de supraveghere principala nu a dat curs obiecţiei sau a respins o astfel de obiecţie ca nefiind relevanta sau motivata. Decizia obligatorie se refera la toate chestiunile vizate de obiecţia relevanta şi motivata, în special la chestiunea daca prezentul regulament a fost

încalcat;

(la data

23-mai-2018 Art. 65, alin. (1), litera A. din capitolul VII, sectiunea 2 rectificat de punctul 20. din Rectificare din 23-mai-2018 )

b)în cazul în care exista opinii divergente cu privire la care dintre autoritaţile de supraveghere vizate deţine competenţa pentru sediul principal;
c)în cazul în care o autoritate de supraveghere competenta nu solicita avizul comitetului în cazurile menţionate la articolul 64 alineatul (1) sau nu ţine seama de avizul comitetului emis în temeiul articolului 64. În acest caz, orice autoritate de supraveghere vizata sau Comisia poate comunica chestiunea comitetului.

(2)Decizia menţionata la alineatul (1) se adopta în termen de o luna de la prezentarea chestiunii, cu o majoritate de doua treimi a membrilor comitetului. Acest termen poate fi prelungit cu o luna, ţinându- se seama de complexitatea chestiunii. Decizia menţionata la alineatul (1) se motiveaza şi se adreseaza autoritaţii de supraveghere principale şi tuturor autoritaţilor de supraveghere vizate, fiind obligatorie pentru acestea.

(3)În cazul în care comitetul nu a fost în masura sa adopte o decizie în termenele menţionate la alineatul (2), acesta îşi adopta decizia în termen de doua saptamâni de la data expirarii celei de a doua luni menţionate la alineatul (2), cu o majoritate simpla a membrilor sai. În cazul în care membrii comitetului au opinii divergente în proporţii egale, decizia se adopta prin votul preşedintelui. (4)Autoritaţile de supraveghere vizate nu adopta o decizie asupra chestiunii prezentate comitetului în conformitate cu alineatul (1) în termenele menţionate la alineatele (2) şi (3).

(5)Preşedintele comitetului notifica, fara întârzieri nejustificate, decizia menţionata la alineatul (1) autoritaţilor de supraveghere vizate. Comitetul informeaza Comisia cu privire la acest lucru. Decizia se publica pe site-ul comitetului, fara întârziere, dupa notificarea de catre autoritatea de supraveghere a deciziei finale menţionate la alineatul (6).

(6)Autoritatea de supraveghere principala sau, daca este cazul, autoritatea de supraveghere la care s- a depus plângerea îşi adopta decizia finala pe baza deciziei menţionate la alineatul (1) din prezentul articol, fara întârziere nejustificata şi în termen de cel mult o luna de la notificarea de catre comitet a deciziei sale. Autoritatea de supraveghere principala sau, daca este cazul, autoritatea de supraveghere la care s-a depus plângerea informeaza comitetul cu privire la data la care decizia sa finala este notificata operatorului sau persoanei împuternicite de operator şi, respectiv, persoanei vizate. Decizia finala a autoritaţilor de supraveghere vizate se adopta în conformitate cu condiţiile prevazute la articolul 60 alineatele (7), (8) şi (9). Decizia finala se refera la decizia menţionata la alineatul (1) din prezentul articol şi precizeaza faptul ca decizia menţionata la respectivul alineat va fi publicata pe site- ul al comitetului, în conformitate cu alineatul (5). La decizia finala se anexeaza decizia menţionata la alineatul (1) din prezentul articol.

Art. 66: Procedura de urgenţa
(1)În circumstanţe excepţionale, atunci când o autoritate de supraveghere vizata considera ca exista o necesitate urgenta de a acţiona în scopul protejarii drepturilor şi libertaţilor persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coerenţei menţionat la articolele 63, 64 şi 65 sau de la procedura menţionata la articolul 60, sa adopte de îndata masuri provizorii menite sa produca efecte juridice pe propriul sau teritoriu, cu o perioada de valabilitate determinata, care sa nu depaşeasca trei luni. Autoritatea de supraveghere comunica fara întârziere aceste masuri şi motivele adoptarii lor celorlalte autoritaţi de supraveghere vizate, comitetului şi Comisiei.

(2)În cazul în care o autoritate de supraveghere a adoptat o masura în temeiul alineatului (1) şi considera ca este necesara adoptarea de urgenţa a unor masuri definitive, aceasta poate solicita un aviz de urgenţa sau o decizie obligatorie urgenta din partea comitetului, indicând motivele pentru aceasta solicitare.

(3)Orice autoritate de supraveghere poate solicita un aviz de urgenţa sau o decizie obligatorie urgenta, dupa caz, din partea comitetului în cazul în care o autoritate de supraveghere competenta nu a luat o masura adecvata într-o situaţie în care exista o necesitate urgenta de a acţiona pentru a proteja drepturile şi libertaţile persoanelor vizate, indicând motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv pentru necesitatea urgenta de a acţiona.

(4)Prin derogare de la articolul 64 alineatul (3) şi de la articolul 65 alineatul (2), un aviz de urgenţa sau o decizie obligatorie urgenta menţionat(a) la alineatele (2) şi (3) de la prezentul articol este adoptat(a) în termen de doua saptamâni cu majoritate simpla a membrilor comitetului.
Art. 67: Schimb de informaţii

Comisia poate adopta acte de punere în aplicare cu un domeniu de aplicare general pentru a defini modalitaţile de realizare a schimbului electronic de informaţii între autoritaţile de supraveghere, precum şi între autoritaţile de supraveghere şi comitet, în special formularul standard menţionat la articolul 64. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menţionata la articolul 93 alineatul (2).

Secţiunea 3: Comitetul european pentru protecţia datelor
Art. 68: Comitetul european pentru protecţia datelor
(1)Comitetul european pentru protecţia datelor („comitetul”) este instituit ca organ al Uniunii şi are personalitate juridica.
(2)Comitetul este reprezentat de preşedintele sau.
(3)Comitetul este alcatuit din şeful unei autoritaţi de supraveghere din fiecare stat membru şi din Autoritatea Europeana pentru Protecţia Datelor sau reprezentanţii respectivi ai acestora.
(4)În cazul în care într-un stat membru mai multe autoritaţi de supraveghere sunt responsabile de monitorizarea aplicarii dispoziţiilor adoptate în temeiul prezentului regulament, se numeşte un reprezentant comun în conformitate cu dreptul intern al statului membru respectiv.
(5)Comisia are dreptul de a participa la activitaţile şi reuniunile comitetului fara a avea drept de vot. Comisia numeşte un reprezentant. Preşedintele comitetului comunica Comisiei activitaţile comitetului. (6)În cazurile menţionate la articolul 65, Autoritatea Europeana pentru Protecţia Datelor deţine drept de vot numai cu privire la deciziile care privesc principiile şi normele aplicabile în ceea ce priveşte instituţiile, organismele, oficiile şi agenţiile Uniunii care corespund pe fond cu cele din prezentul regulament.
Art. 69: Independenţa
(1)Comitetul acţioneaza independent în îndeplinirea sarcinilor sale sau în exercitarea competenţelor sale în conformitate cu articolele 70 şi 71.

(2)Fara a aduce atingere solicitarilor din partea Comisiei menţionate la articolul 70 alineatele (1) şi (2), comitetul, în îndeplinirea sarcinilor sale sau în exercitarea competenţelor sale, nu solicita şi nu accepta

instrucţiuni de la nicio parte externa.

(la data 23-mai-2018 Art. 69, alin. (2) din

capitolul VII, sectiunea 3 rectificat de punctul 21. din Rectificare din 23-mai-

2018 )
Art. 70: Sarcinile comitetului
(1)Comitetul asigura aplicarea coerenta a prezentului regulament. În acest scop, din proprie iniţiativa sau, dupa caz, la solicitarea Comisiei, comitetul are, în special, urmatoarele sarcini:
a)sa monitorizeze şi sa asigure aplicarea corecta a prezentului regulament, în cazurile prevazute la articolele 64 şi 65, fara a aduce atingere sarcinilor autoritaţilor naţionale de supraveghere;
b)sa ofere consiliere Comisiei cu privire la orice aspect legat de protecţia datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;
c)sa ofere consiliere Comisiei cu privire la formatul şi procedurile pentru schimbul de informaţii între operatori, persoanele împuternicite de operatori şi autoritaţile de supraveghere pentru regulile corporatiste obligatorii;

d)sa emita orientari, recomandari şi bune practici privind procedurile de ştergere a linkurilor catre datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicaţii accesibile publicului, astfel cum se menţioneaza la articolul 17 alineatul (2);
e)sa examineze, din proprie iniţiativa, la cererea unuia dintre membrii sai sau la cererea Comisiei, orice chestiune referitoare la aplicarea prezentului regulament şi sa emita orientari, recomandari şi bune practici pentru a încuraja aplicarea coerenta a prezentului regulament;

f)sa emita orientari, recomandari şi bune practici în conformitate cu prezentul alineat litera (e) în vederea detalierii criteriilor şi condiţiilor pentru deciziile bazate pe crearea de profiluri menţionate la articolul 22 alineatul (2);
g)sa emita orientari, recomandari şi bune practici în conformitate cu litera (e) din prezentul alineat pentru stabilirea încalcarii securitaţii datelor cu caracter personal şi stabilirii întârzierilor nejustificate menţionate la articolul 33 alineatele (1) şi (2), precum şi pentru circumstanţele speciale în care un operator sau o persoana împuternicita de catre operator are obligaţia de a notifica încalcarea securitaţii datelor cu caracter personal;

h)sa emita orientari, recomandari şi bune practici în conformitate cu litera (e) din prezentul alineat în ceea ce priveşte circumstanţele în care o încalcare a securitaţii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile şi libertaţile persoanelor fizice, menţionate la articolul 34 alineatul (1);

i)sa emita orientari, recomandari şi bune practici în conformitate cu litera (e) din prezentul alineat în scopul detalierii criteriilor şi cerinţelor aplicabile transferurilor de date cu caracter personal bazate pe regulile corporatiste obligatorii care trebuie respectate de operatori şi cele care trebuie respectate de persoanele împuternicite de operatori, precum şi cu privire la cerinţe suplimentare necesare pentru a asigura protecţia datelor cu caracter personal ale persoanelor vizate menţionate la articolul 47;

j)sa emita orientari, recomandari şi bune practici în conformitate cu litera (e) din prezentul alineat în vederea detalierii criteriilor şi cerinţelor pentru transferurile de date cu caracter personal menţionate la articolul 49 alineatul (1);
k)sa elaboreze orientari destinate autoritaţilor de supraveghere, referitoare la aplicarea masurilor menţionate la articolul 58 alineatele (1), (2) şi (3) şi sa stabileasca amenzile administrative în conformitate cu articolul 83;

l 22. din Rectificare din

23-mai-2018 )
m)sa emita orientari, recomandari şi bune practici în conformitate cu litera (e) din prezentul alineat în vederea stabilirii procedurilor comune de raportare de catre persoanele fizice a încalcarilor prezentului regulament în conformitate cu articolul 54 alineatul (2);
n)sa încurajeze elaborarea de coduri de conduita şi stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi marci în domeniul protecţiei datelor, în conformitate cu articolele 40 şi 42;

l)sa revizuiasca aplicarea practica a orientarilor, recomandarilor şi bunelor practici; (la data 23-mai-2018 Art. 70, alin. (1), litera L. din capitolul VII, sectiunea 3 rectificat de punctu

o)sa aprobe criteriile de certificare în temeiul articolului 42 alineatul (5) şi sa ţina un registru public al

mecanismelor de certificare şi al sigiliilor şi marcilor în materie de protecţie a datelor, în temeiul articolului 42 alineatul (8), şi al operatorilor certificaţi sau al persoanelor împuternicite de operatori

certificate, stabiliţi (stabilite) în ţari terţe, în temeiul articolului 42 alineatul (7);

(la data 23-mai-2018 Art. 70, alin. (1), litera O. din capitolul VII, sectiunea 3 rectificat de p

unctul 23. din Rectificare din

23-mai-2018 )

p)sa aprobe cerinţele menţionate la articolul 43 alineatul (3), în vederea acreditarii organismelor de

certificare menţionate la articolul 43;

(la data 23-mai-2018 Art. 70, alin. (1), lite

ra P. din capitolul VII, sectiunea 3 rectificat de punctul 24. din Rectificare din

23-mai-2018 )
q)sa prezinte Comisiei un aviz privind cerinţele de certificare menţionate la articolul 43 alineatul (8); r)sa prezinte Comisiei un aviz privind pictogramele menţionate la articolul 12 alineatul (7);
s)sa prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protecţie într-o ţara terţa sau o organizaţie internaţionala, inclusiv pentru a determina daca o ţara terţa, un teritoriu, sau unul sau mai multe sectoare specificate din acea ţara terţa, sau o organizaţie internaţionala nu mai asigura un nivel de protecţie adecvat. În acest scop, Comisia pune la dispoziţia comitetului toata

documentaţia necesara, inclusiv corespondenţa purtata cu autoritaţile publice ale ţarii terţe, în ceea ce priveşte acea ţara terţa, acel teritoriu sau acel sector, sau cu organizaţia internaţionala;
t)sa emita avize privind proiectele de decizii ale autoritaţilor de supraveghere în conformitate cu mecanismul pentru asigurarea coerenţei menţionat la articolul 64 alineatul (1) privind chestiunile prezentate în conformitate cu articolul 64 alineatul (2) şi sa emita decizii obligatorii în temeiul articolului 65, inclusiv în cazurile menţionate la articolul 66;

u)sa promoveze cooperarea şi schimbul eficient bilateral şi multilateral de informaţii şi bune practici între autoritaţile de supraveghere;
v)sa promoveze programe comune de formare şi sa faciliteze schimburile de personal între autoritaţile de supraveghere, precum şi, dupa caz, cu autoritaţile de supraveghere ale ţarilor terţe sau organizaţiilor internaţionale;

w)sa promoveze schimbul de cunoştinţe şi de documente privind legislaţia şi practicile în materie de protecţie a datelor cu autoritaţile de supraveghere a protecţiei datelor la nivel mondial;
x)sa emita avize privind codurile de conduita elaborate la nivelul Uniunii în temeiul articolului 40 alineatul (9); şi

y)sa ţina un registru electronic accesibil publicului cu deciziile luate de autoritaţile de supraveghere şi de instanţe cu privire la chestiuni tratate în cadrul mecanismului pentru asigurarea coerenţei.
(2)În cazul în care Comisia consulta comitetul, aceasta poate indica un termen limita, ţinând seama de caracterul urgent al chestiunii.

(3)Comitetul îşi transmite avizele, orientarile, recomandarile şi bunele practici Comisiei şi comitetului menţionat la articolul 93 şi le face publice.
(4)Daca este cazul, comitetul consulta parţile interesate şi le ofera posibilitatea de a face observaţii într-un termen rezonabil. Fara a aduce atingere dispoziţiilor articolului 76, comitetul publica rezultatele procedurii de consultare.

Art. 71: Rapoarte
(1)Comitetul întocmeşte un raport anual privind protecţia persoanelor fizice cu privire la prelucrare în Uniune şi, daca este relevant, în ţari terţe şi organizaţii internaţionale. Raportul este pus la dispoziţia publicului şi transmis Parlamentului European, Consiliului şi Comisiei.
(2)Raportul anual include o revizuire a aplicarii practice a orientarilor, recomandarilor şi bunelor practici menţionate la articolul 70 alineatul (1) litera (l), precum şi a deciziilor obligatorii menţionate la articolul 65.
Art. 72: Procedura
(1)Comitetul adopta decizii prin majoritate simpla a membrilor sai, cu excepţia cazului când se prevede altfel în prezentul regulament.
(2)Comitetul îşi adopta propriul regulament de procedura cu o majoritate de doua treimi a membrilor sai şi îşi organizeaza propriile mecanisme de funcţionare.
Art. 73: Preşedintele
(1)Comitetul alege un preşedinte şi doi vicepreşedinţi din rândul membrilor sai, cu majoritate simpla. (2)Mandatul preşedintelui şi al vicepreşedinţilor este de cinci ani şi poate fi reînnoit o singura data.
Art. 74: Sarcinile preşedintelui
(1)Preşedintele are urmatoarele sarcini:
a)sa convoace reuniunile comitetului şi sa stabileasca ordinea de zi;
b)sa notifice deciziile adoptate de comitet, în conformitate cu articolul 65, autoritaţii de supraveghere principale şi autoritaţilor de supraveghere vizate;
c)sa asigure îndeplinirea la timp a sarcinilor comitetului, în special în ceea ce priveşte mecanismul pentru asigurarea coerenţei menţionat la articolul 63.
(2)Comitetul stabileşte în regulamentul sau de procedura repartizarea sarcinilor între preşedinte şi vicepreşedinţi.
Art. 75: Secretariatul
(1)Comitetul dispune de un secretariat, care este asigurat de Autoritatea Europeana pentru Protecţia Datelor.
(2)Secretariatul îşi îndeplineşte sarcinile exclusiv pe baza instrucţiunilor preşedintelui comitetului.

(3)Personalul Autoritaţii Europene pentru Protecţia Datelor implicat în îndeplinirea sarcinilor conferite comitetului în temeiul prezentului regulament face obiectul unor linii de raportare separate în raport cu personalul implicat în îndeplinirea sarcinilor conferite Autoritaţii Europene pentru Protecţia Datelor. (4)Daca este oportun, comitetul şi Autoritatea Europeana pentru Protecţia Datelor elaboreaza şi publica un memorandum de înţelegere pentru punerea în aplicare a prezentului articol, care sa stabileasca condiţiile cooperarii şi sa se aplice personalului Autoritaţii Europene pentru Protecţia Datelor implicat în îndeplinirea sarcinilor conferite comitetului în temeiul prezentului regulament. (5)Secretariatul ofera sprijin analitic, administrativ şi logistic comitetului.

(6)Secretariatul este responsabil în special de urmatoarele:
a)gestionarea curenta a activitaţii comitetului;
b)comunicarea dintre membrii comitetului, preşedintele acestuia şi Comisie;
c)comunicarea cu alte instituţii şi cu publicul;
d)utilizarea mijloacelor electronice pentru comunicarea interna şi externa;
e)traducerea informaţiilor relevante;
f)pregatirea şi monitorizarea acţiunilor ulterioare reuniunilor comitetului;
g)pregatirea, redactarea şi publicarea avizelor, deciziilor privind soluţionarea litigiilor dintre autoritaţile de supraveghere şi a altor texte adoptate de comitet.
Art. 76: Confidenţialitate
(1)Discuţiile din cadrul comitetului sunt confidenţiale în cazul în care comitetul considera ca acest lucru este necesar în conformitate cu regulamentul sau de procedura.

(2)Accesul la documentele prezentate membrilor comitetului, experţilor şi reprezentanţilor parţilor terţe este reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului (1).
(1)Regulamentul (CE) nr. 1049/2001 al Parlamentului European şi al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului şi ale Comisiei (JO L 145, 31.5.2001, p. 43).

CAPITOLUL VIII: Cai de atac, raspundere şi sancţiuni
Art. 77: Dreptul de a depune o plângere la o autoritate de supraveghere
(1)Fara a aduce atingere oricaror alte cai de atac administrative sau judiciare, orice persoana vizata are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuita, în care se afla locul sau de munca sau în care a avut loc presupusa încalcare, în cazul în care considera ca prelucrarea datelor cu caracter personal care o vizeaza încalca prezentul regulament.
(2)Autoritatea de supraveghere la care s-a depus plângerea informeaza reclamantul cu privire la evoluţia şi rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciara în temeiul articolului 78.
Art. 78: Dreptul la o cale de atac judiciara eficienta împotriva unei autoritaţi de supraveghere
(1)Fara a aduce atingere oricaror alte cai de atac administrative sau nejudiciare, fiecare persoana fizica sau juridica are dreptul de a exercita o cale de atac judiciara eficienta împotriva unei decizii obligatorii din punct de vedere juridic a unei autoritaţi de supraveghere care o vizeaza.
(2)Fara a aduce atingere oricaror alte cai de atac administrative sau nejudiciare, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta în cazul în care autoritatea de supraveghere care este competenta în temeiul articolelor 55 şi 56 nu trateaza o plângere sau nu informeaza persoana vizata în termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse în temeiul articolului 77.
(3)Acţiunile introduse împotriva unei autoritaţi de supraveghere sunt aduse în faţa instanţelor din statul membru în care este stabilita autoritatea de supraveghere.
(4)În cazul în care acţiunile sunt introduse împotriva unei decizii a unei autoritaţi de supraveghere care a fost precedata de un aviz sau o decizie a comitetului în cadrul mecanismului pentru asigurarea coerenţei, autoritatea de supraveghere transmite curţii avizul respectiv sau decizia respectiva.

Art. 79: Dreptul la o cale de atac judiciara eficienta împotriva unui operator sau unei persoane împuternicite de operator
(1)Fara a aduce atingere vreunei cai de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta în cazul în care considera ca drepturile de care beneficiaza în temeiul prezentului regulament au fost încalcate ca urmare a prelucrarii datelor sale cu caracter personal fara a se respecta prezentul regulament.

(2)Acţiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în faţa instanţelor din statul membru unde operatorul sau persoana împuternicita de operator îşi are un sediu. Alternativ, o astfel de acţiune poate fi prezentata în faţa instanţelor din statul membru în care persoana vizata îşi are reşedinţa obişnuita, cu excepţia cazului în care operatorul sau persoana împuternicita de operator este o autoritate publica a unui stat membru ce acţioneaza în exercitarea competenţelor sale publice.

Art. 80: Reprezentarea persoanelor vizate
(1)Persoana vizata are dreptul de a mandata un organism, o organizaţie sau o asociaţie fara scop lucrativ, care au fost constituite în mod corespunzator în conformitate cu dreptul intern, ale caror obiective statutare sunt de interes public, care sunt active în domeniul protecţiei drepturilor şi libertaţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal, sa depuna plângerea în numele sau, sa exercite în numele sau drepturile menţionate la articolele 77, 78 şi 79, precum şi sa exercite dreptul de a primi despagubiri menţionat la articolul 82 în numele persoanei vizate, daca acest lucru este prevazut în dreptul intern.
(2)Statele membre pot prevedea ca orice organism, organizaţie sau asociaţie menţionata la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competenta în temeiul articolului 77 şi de a exercita drepturile menţionate la articolele 78 şi 79, în cazul în care considera ca drepturile unei persoane vizate în temeiul prezentului regulament au fost încalcate ca urmare a prelucrarii.
Art. 81: Suspendarea procedurilor
(1)În cazul în care o instanţa competenta a unui stat membru are informaţii ca pe rolul unei instanţe dintr-un alt stat membru se afla o acţiune având acelaşi obiect în ceea ce priveşte activitaţile de prelucrare ale aceluiaşi operator sau ale aceleaşi persoane împuternicite de operator, instanţa respectiva contacteaza instanţa din celalalt stat membru pentru a confirma existenţa unor astfel de acţiuni.
(2)Atunci când pe rolul unei instanţe dintr-un alt stat membru se afla o acţiune având acelaşi obiect în ceea ce priveşte activitaţile de prelucrare ale aceluiaşi operator sau ale aceleaşi persoane împuternicite de operator, orice alta instanţa competenta decât instanţa sesizata iniţial poate suspenda acţiunea aflata la ea pe rol.
(3)În cazul în care o astfel de acţiune se judeca în prima instanţa, orice instanţa sesizata ulterior poate, de asemenea, la cererea uneia dintre parţi, sa-şi decline competenţa, cu condiţia ca respectiva acţiune sa fie de competenţa primei instanţe sesizate şi ca dreptul aplicabil acesteia sa permita conexarea acţiunilor.
Art. 82: Dreptul la despagubiri şi raspunderea
(1)Orice persoana care a suferit un prejudiciu materiale sau moral ca urmare a unei încalcari a prezentului regulament are dreptul sa obţina despagubiri de la operator sau de la persoana împuternicita de operator pentru prejudiciul suferit.
(2)Orice operator implicat în operaţiunile de prelucrare este raspunzator pentru prejudiciul cauzat de operaţiunile sale de prelucrare care încalca prezentul regulament. Persoana împuternicita de operator este raspunzatoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligaţiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acţionat în afara sau în contradicţie cu instrucţiunile legale ale operatorului.

(3)Operatorul sau persoana împuternicita de operator este exonerat(a) de raspundere în temeiul alineatului (2) daca dovedeşte ca nu este raspunzator (raspunzatoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.
(4)În cazul în care mai mulţi operatori sau mai multe persoane împuternicite de operator, sau un operator şi o persoana împuternicita de operator sunt implicaţi (implicate) în aceeaşi operaţiune de prelucrare şi raspund, în temeiul alineatelor (2) şi (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoana împuternicita de operator este raspunzator (raspunzatoare) pentru întregul prejudiciu pentru a asigura despagubirea efectiva a persoanei vizate.

(5)În cazul în care un operator sau o persoana împuternicita de operator a platit, în conformitate cu alineatul (4), în totalitate despagubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoana împuternicita de operator are dreptul sa solicite de la ceilalţi operatori sau celelalte persoane împuternicite de operator implicate în aceeaşi operaţiune de prelucrare recuperarea acelei parţi din despagubiri care corespunde parţii lor de raspundere pentru prejudiciu, în conformitate cu condiţiile stabilite la alineatul (2).

(6)Acţiunile în exercitarea dreptului de recuperare a despagubirilor platite se introduc la instanţele competente în temeiul dreptului statului membru menţionat la articolul 79 alineatul (2).
Art. 83: Condiţii generale pentru impunerea amenzilor administrative
(1)Fiecare autoritate de supraveghere asigura faptul ca impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încalcarile prezentului regulament menţionate la alineatele (4), (5) şi, (6) este, în fiecare caz, eficace, proporţionala şi disuasiva.

(2)În funcţie de circumstanţele fiecarui caz în parte, amenzile administrative sunt impuse în completarea sau în locul masurilor menţionate la articolul 58 alineatul (2) literele (a)-(h) şi (j). Atunci când se ia decizia daca sa se impuna o amenda administrativa şi decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acorda atenţia cuvenita urmatoarelor aspecte:

a)natura, gravitatea şi durata încalcarii, ţinându-se seama de natura, domeniul de aplicare sau scopul prelucrarii în cauza, precum şi de numarul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea;
b)daca încalcarea a fost comisa intenţionat sau din neglijenţa;

c)orice acţiuni întreprinse de operator sau de persoana împuternicita de operator pentru a reduce prejudiciul suferit de persoana vizata;
d)gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ţinându-se seama de masurile tehnice şi organizatorice implementate de aceştia în temeiul articolelor 25 şi 32; e)eventualele încalcari anterioare relevante comise de operator sau de persoana împuternicita de operator;

f)gradul de cooperare cu autoritatea de supraveghere pentru a remedia încalcarea şi a atenua posibilele efecte negative ale încalcarii;
g)categoriile de date cu caracter personal afectate de încalcare;
h)modul în care încalcarea a fost adusa la cunoştinţa autoritaţii de supraveghere, în special daca şi în ce masura operatorul sau persoana împuternicita de operator a notificat încalcarea;

i)în cazul în care masurile menţionate la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauza cu privire la acelaşi obiect, respectarea respectivelor masuri;
j)aderarea la coduri de conduita aprobate, în conformitate cu articolul 40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42; şi

k)orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încalcarii.
(3)În cazul în care un operator sau o persoana împuternicita de operator încalca în mod intenţionat sau din neglijenţa, pentru aceeaşi operaţiune de prelucrare sau pentru operaţiuni de prelucrare conexe, mai multe dispoziţii din prezentul regulament, cuantumul total al amenzii administrative nu poate depaşi suma prevazuta pentru cea mai grava încalcare.

(4)Pentru încalcarile dispoziţiilor urmatoare, în conformitate cu alineatul (2), se aplica amenzi administrative de pâna la 10 000 000 EUR sau, în cazul unei întreprinderi, de pâna la 2 % din cifra de

afaceri mondiala totala anuala corespunzatoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare:
a)obligaţiile operatorului şi ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 şi 43;

b)obligaţiile organismului de certificare în conformitate cu articolele 42 şi 43;
c)obligaţiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4).
(5)Pentru încalcarile dispoziţiilor urmatoare, în conformitate cu alineatul (2), se aplica amenzi administrative de pâna la 20 000 000 EUR sau, în cazul unei întreprinderi, de pâna la 4 % din cifra de afaceri mondiala totala anuala corespunzatoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare:
a)principiile de baza pentru prelucrare, inclusiv condiţiile privind consimţamântul, în conformitate cu articolele 5, 6, 7 şi 9;
b)drepturile persoanelor vizate în conformitate cu articolele 12-22;
c)transferurile de date cu caracter personal catre un destinatar dintr-o ţara terţa sau o organizaţie internaţionala, în conformitate cu articolele 44-49;
d)orice obligaţii în temeiul legislaţiei naţionale adoptate în temeiul capitolului IX;
e)nerespectarea unui ordin sau a unei limitari temporare sau definitive asupra prelucrarii, sau a suspendarii fluxurilor de date, emisa de catre autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului, încalcând articolul 58 alineatul (1).
(6)Pentru încalcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) se aplica, în conformitate cu alineatul (2) din prezentul articol, amenzi administrative de pâna la 20 000 000 EUR sau, în cazul unei întreprinderi, de pâna la 4 % din cifra de afaceri mondiala totala anuala corespunzatoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare. (7)Fara a aduce atingere competenţelor corective ale autoritaţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care sa se stabileasca daca şi în ce masura pot fi impuse amenzi administrative autoritaţilor publice şi organismelor publice stabilite în statul membru respectiv.
(8)Exercitarea de catre autoritatea de supraveghere a competenţelor sale în temeiul prezentului articol are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv cai de atac judiciare eficiente şi dreptul la un proces echitabil.
(9)În cazul în care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel încât amenda sa fie iniţiata de autoritatea de supraveghere competenta şi impusa de instanţele naţionale competente, garantându-se, în acelaşi timp, faptul ca aceste cai de atac sunt eficiente şi au un efect echivalent cu cel al amenzilor administrative impuse de autoritaţile de supraveghere. În orice caz, amenzile impuse trebuie sa fie eficace, proporţionale şi disuasive. Respectivele state membre informeaza Comisia cu privire la dispoziţiile de drept intern pe care le adopta în temeiul prezentului alineat pâna la 25 mai 2018, precum şi, fara întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioara a acestora.

Art. 84: Sancţiuni
(la data 29-dec-2017 Art. 84 din capitolul VIII a fost in legatura cu Regulamentul 2226/30-nov-2017 )

(1)Statele membre stabilesc normele privind alte sancţiunile aplicabile în caz de încalcare a prezentului regulament, în special pentru încalcari care nu fac obiectul unor amenzi administrative în temeiul articolului 83, şi iau toate masurile necesare pentru a garanta faptul ca acestea sunt puse în aplicare. Sancţiunile respective sunt eficace, proporţionale şi disuasive.

(2)Fiecare stat membru informeaza Comisia cu privire la dispoziţiile de drept intern pe care le adopta în temeiul alineatului (1) pâna la 25 mai 2018, precum şi, fara întârziere, cu privire la orice modificare ulterioara a acestora.
CAPITOLUL IX: Dispoziţii referitoare la situaţii specifice de prelucrare

Art. 85: Prelucrarea şi libertatea de exprimare şi de informare
(1)Prin intermediul dreptului intern, statele membre asigura un echilibru între dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament şi dreptul la libertatea de exprimare şi

de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimarii academice, artistice sau literare.
(2)Pentru prelucrarea efectuata în scopuri jurnalistice sau în scopul exprimarii academice, artistice sau literare, statele membre prevad exonerari sau derogari de la dispoziţiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul şi persoana împuternicita de operator), ale capitolului V (transferul datelor cu caracter personal catre ţari terţe sau organizaţii internaţionale), ale capitolului VI (autoritaţi de supraveghere independente), ale capitolului VII (cooperare şi coerenţa) şi ale capitolului IX (situaţii specifice de prelucrare a datelor) în cazul în care acestea sunt necesare pentru a asigura un echilibru între dreptul la protecţia datelor cu caracter personal şi libertatea de exprimare şi de informare.

(3)Fiecare stat membru informeaza Comisia cu privire la dispoziţiile de drept intern pe care le-a adoptat în temeiul alineatului (2) precum şi, fara întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioara a acestora.
Art. 86: Prelucrarea şi accesul public la documente oficiale

Datele cu caracter personal din documentele oficiale deţinute de o autoritate publica sau de un organism public sau privat pentru îndeplinirea unei sarcini care serveşte interesului public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidenţa caruia intra autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale şi dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament.

Art. 87: Prelucrarea unui numar de identificare naţional
Statele membre pot detalia în continuare condiţiile specifice de prelucrare a unui numar de identificare naţional sau a oricarui alt identificator cu aplicabilitate generala. În acest caz, numarul de identificare naţional sau orice alt identificator cu aplicabilitate generala este folosit numai în temeiul unor garanţii corespunzatoare pentru drepturile şi libertaţile persoanei vizate în temeiul prezentului regulament.
rt. 88: Prelucrarea în contextul ocuparii unui loc de munca
(1)Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecţia drepturilor şi a libertaţilor cu privire la prelucrarea datelor cu caracter personal ale angajaţilor în contextul ocuparii unui loc de munca, în special în scopul recrutarii, al îndeplinirii clauzelor contractului de munca, inclusiv descarcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii şi organizarii muncii, al egalitaţii şi diversitaţii la locul de munca, al asigurarii sanataţii şi securitaţii la locul de munca, al protejarii proprietaţii angajatorului sau a clientului, precum şi în scopul exercitarii şi beneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de munca, precum şi pentru încetarea raporturilor de munca.
(2)Aceste norme includ masuri corespunzatoare şi specifice pentru garantarea demnitaţii umane, a intereselor legitime şi a drepturilor fundamentale ale persoanelor vizate, în special în ceea ce priveşte transparenţa prelucrarii, transferul de date cu caracter personal în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economica comuna şi sistemele de monitorizare la locul de munca.
(3)Fiecare stat membru informeaza Comisia cu privire la dispoziţiile de drept intern pe care le adopta în temeiul alineatului (1) pâna la 25 mai 2018, precum şi, fara întârziere, cu privire la orice modificare ulterioara a acestora.
Art. 89: Garanţii şi derogari privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice
(1)Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice are loc cu condiţia existenţei unor garanţii corespunzatoare, în conformitate cu prezentul regulament, pentru drepturile şi libertaţile persoanelor vizate. Respectivele garanţii asigura faptul ca au fost instituite masuri tehnice şi organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Respectivele masuri pot include pseudonimizarea, cu condiţia ca respectivele scopuri sa fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioara care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.

(2)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifica sau istorica ori în scopuri statistice, dreptul Uniunii sau dreptul intern poate sa prevada derogari de la drepturile menţionate la articolele 15, 16, 18 şi 21, sub rezerva condiţiilor şi a garanţiilor prevazute la alineatul (1) din prezentul articol, în masura în care drepturile respective sunt de natura sa faca imposibila sau sa afecteze în mod grav realizarea scopurilor specifice, iar derogarile respective sunt necesare pentru îndeplinirea acestor scopuri.

(3)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare în interes public, dreptul Uniunii sau dreptul intern poate sa prevada derogari de la drepturile menţionate la articolele 15, 16, 18, 19, 20 şi 21, sub rezerva condiţiilor şi a garanţiilor prevazute la alineatul (1) din prezentul articol, în masura în care drepturile respective sunt de natura sa faca imposibila sau sa afecteze în mod grav realizarea scopurilor specifice, iar derogarile respective sunt necesare pentru îndeplinirea acestor scopuri.

(4)În cazul în care prelucrarea menţionata la alineatele (2) şi (3) serveşte în acelaşi timp şi altui scop, derogarile se aplica numai prelucrarii în scopurile menţionate la alineatele respective.
Art. 90: Obligaţii privind pastrarea confidenţialitaţii
(1)Statele membre pot adopta norme specifice pentru a stabili competenţele autoritaţilor de supraveghere, prevazute la articolul 58 alineatul (1) literele (e) şi (f), în legatura cu operatori sau cu persoane împuternicite de operatori care, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organismele naţionale competente, au obligaţia de a pastra secretul profesional sau alte obligaţii echivalente de confidenţialitate, în cazul în care acest lucru este necesar şi proporţional pentru a stabili un echilibru între dreptul la protecţia datelor cu caracter personal şi obligaţia pastrarii confidenţialitaţii. Respectivele norme se aplica doar în ceea ce priveşte datele cu caracter personal pe care operatorul sau persoana împuternicita de operator le-a primit în urma sau în contextul unei activitaţi care intra sub incidenţa acestei obligaţii de pastrare a confidenţialitaţii. (2)Fiecare stat membru notifica Comisiei normele adoptate în temeiul alineatului (1) pâna la 25 mai 2018, precum şi, fara întârziere, orice modificare ulterioara a acestora.

Art. 91: Normele existente în domeniul protecţiei datelor pentru biserici şi asociaţii religioase
(1)În cazul în care, într-un stat membru, bisericile şi asociaţiile sau comunitaţile religioase aplica, la data intrarii în vigoare a prezentului regulament, un set cuprinzator de norme de protecţie a persoanelor fizice cu privire la prelucrare, aceste norme pot continua sa se aplice, cu condiţia sa fie aliniate la prezentul regulament.

(2)Bisericile şi asociaţiile religioase care aplica un set cuprinzator de norme în conformitate cu alineatul (1) din prezentul articol sunt supuse supravegherii unei autoritaţi de supraveghere independente care poate fi specifica, cu condiţia sa îndeplineasca condiţiile stabilite în capitolul VI din prezentul regulament.

CAPITOLUL X: Acte delegate şi acte de punere în aplicare
Art. 92: Exercitarea delegarii
(1)Competenţa de a adopta acte delegate este conferita Comisiei în condiţiile prevazute de prezentul articol.
(2)Delegarea de competenţe prevazuta la articolul 12 alineatul (8) şi la articolul 43 alineatul (8) se confera Comisiei pe o perioada nedeterminata de la 24 mai 2016.
(3)Delegarea de competenţe menţionata la articolul 12 alineatul (8) şi la articolul 43 alineatul (8) poate fi revocata în orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune capat delegarii de competenţe specificata în decizia respectiva. Decizia produce efecte din ziua urmatoare datei publicarii acesteia în Jurnalul Oficial al Uniunii Europene sau de la o data ulterioara menţionata în decizie. Decizia nu aduce atingere validitaţii actelor delegate care sunt deja în vigoare.
(4)De îndata ce adopta un act delegat, Comisia îl notifica simultan Parlamentului European şi Consiliului.
(5)Un act delegat adoptat în conformitate cu articolul 12 alineatul (8) şi cu articolul 43 alineatul (8) intra în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţiuni în termen de trei luni de la notificarea acestuia Parlamentului European şi Consiliului, sau în

cazul în care, înainte de expirarea termenului respectiv, Parlamentul European şi Consiliul au informat Comisia ca nu vor formula obiecţiuni. Respectivul termen se prelungeşte cu trei luni la iniţiativa Parlamentului European sau a Consiliului.
Art. 93: Procedura comitetului

(1)Comisia este asistata de un comitet. Comitetul respectiv este un comitet în înţelesul Regulamentului (UE) nr. 182/2011.
(2)În cazul în care se face trimitere la prezentul alineat, se aplica articolul 5 din Regulamentul (UE) nr. 182/2011.

(3)În cazul în care se face trimitere la prezentul alineat, se aplica articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din respectivul regulament.
CAPITOLUL XI: Dispoziţii finale
Art. 94: Abrogarea Directivei 95/46/CE

(1)Decizia 95/46/CE se abroga cu efect de la 25 mai 2018.
(2)Trimiterile la directiva abrogata se interpreteaza ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaza ca trimiteri la Comitetul european pentru protecţia datelor instituit prin prezentul regulament.
Art. 95: Relaţia cu Directiva 2002/58/CE
Prezentul regulament nu impune obligaţii suplimentare pentru persoanele fizice sau juridice în ceea ce priveşte prelucrarea în legatura cu furnizarea de servicii de comunicaţii electronice destinate publicului în reţelele de comunicaţii publice din Uniune, cu privire la aspectele pentru care acestora le revin obligaţii specifice cu acelaşi obiectiv prevazut în Directiva 2002/58/CE.
Art. 96: Relaţia cu acordurile încheiate anterior
Acordurile internaţionale care implica transferul de date cu caracter personal catre ţari terţe sau organizaţii internaţionale, care au fost încheiate de statele membre înainte de 24 mai 2016 şi care sunt în conformitate cu dreptul Uniunii aplicabil înainte de data respectiva, ramân în vigoare pâna când vor fi modificate, înlocuite sau revocate.
Art. 97: Rapoartele Comisiei
(1)Pâna la 25 mai 2020 şi, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European şi Consiliului un raport privind evaluarea şi revizuirea prezentului regulament. Rapoartele sunt facute publice.
(2)În contextul evaluarilor şi revizuirilor menţionate la alineatul (1), Comisia examineaza în special aplicarea şi funcţionarea:
a)capitolului V privind transferul datelor cu caracter personal catre ţari terţe sau organizaţii internaţionale, având în vedere în special deciziile adoptate în temeiul articolului 45 alineatul (3) din prezentul regulament şi deciziile adoptate în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE;
b)capitolul VII privind cooperarea şi coerenţa.
(3)În scopul alineatului (1), Comisia poate solicita informaţii de la statele membre şi de la autoritaţile de supraveghere.
(4)La efectuarea evaluarilor şi a revizuirilor menţionate la alineatele (1) şi (2), Comisia ia în considerare poziţiile şi constatarile Parlamentului European, ale Consiliului, precum şi ale altor organisme sau surse relevante.
(5)Comisia transmite, daca este necesar, propuneri corespunzatoare de modificare a prezentului regulament, în special ţinând seama de evoluţiile din domeniul tehnologiei informaţiei şi având în vedere progresele societaţii informaţionale.
Art. 98: Revizuirea altor acte juridice ale Uniunii în materie de protecţie a datelor
Daca este cazul, Comisia prezinta propuneri legislative în vederea modificarii altor acte juridice ale Uniunii privind protecţia datelor cu caracter personal, în vederea asigurarii unei protecţii uniforme şi consecvente a persoanelor fizice în ceea ce priveşte prelucrarea. Acest lucru priveşte în special normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea de catre instituţiile, organismele, oficiile şi agenţiile Uniunii, precum şi normele referitoare la libera circulaţie a acestor date.

Art. 99: Intrare în vigoare şi aplicare
(1)Prezentul regulament intra în vigoare în a douazecea zi de la data publicarii în Jurnalul Oficial al Uniunii Europene.
(2)Prezentul regulament se aplica de la 25 mai 2018.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplica direct în toate statele membre.
-****-
Adoptat la Bruxelles, 27 aprilie 2016.

J.A. HENNIS-PLASSCHAERT

Publicat în Jurnalul Oficial cu numarul 119L din data de 4 mai 2016

Pentru Parlamentul European Preşedintele
M. SCHULZ
Pentru Consiliu Preşedintele