Sunteți pe pagina 1din 88

4.5.

2016 RO Jurnalul Oficial al Uniunii Europene L 119/1

(Acte legislative)

REGULAMENTE

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN I AL CONSILIULUI


din 27 aprilie 2016
privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i
privind libera circulaie a acestor date i de abrogare a Directivei 95/46/CE (Regulamentul general
privind protecia datelor)

(Text cu relevan pentru SEE)

PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE,

avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 16,

avnd n vedere propunerea Comisiei Europene,

dup transmiterea proiectului de act legislativ ctre parlamentele naionale,

avnd n vedere avizul Comitetului Economic i Social European (1),

avnd n vedere avizul Comitetului Regiunilor (2),

hotrnd n conformitate cu procedura legislativ ordinar (3),

ntruct:

(1) Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal este un drept fundamental.
Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (carta) i articolul 16 alinea
tul (1) din Tratatul privind funcionarea Uniunii Europene (TFUE) prevd dreptul oricrei persoane la protecia
datelor cu caracter personal care o privesc.

(2) Principiile i normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea datelor lor cu
caracter personal ar trebui, indiferent de cetenia sau de locul de reedin al persoanelor fizice, s respecte
drepturile i libertile fundamentale ale acestora, n special dreptul la protecia datelor cu caracter personal.
Prezentul regulament urmrete s contribuie la realizarea unui spaiu de libertate, securitate i justiie i a unei
uniuni economice, la progresul economic i social, la consolidarea i convergena economiilor n cadrul pieei
interne i la bunstarea persoanelor fizice.

(3) Directiva 95/46/CE a Parlamentului European i a Consiliului (4) vizeaz armonizarea nivelului de protecie a
drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete activitile de prelucrare i
asigurarea liberei circulaii a datelor cu caracter personal ntre statele membre.

(1) JO C 229, 31.7.2012, p. 90.


(2) JO C 391, 18.12.2012, p.127.
(3) Poziia Parlamentului European din 12 martie 2014 (nepublicat nc n Jurnalul Oficial) i Poziia n prim lectur a Consiliului din
8 aprilie 2016 (nepublicat nc n Jurnalul Oficial). Poziia Parlamentului European din 14 aprilie 2016.
(4) Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce
privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date (JO L 281, 23.11.1995, p. 31).
L 119/2 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(4) Prelucrarea datelor cu caracter personal ar trebui s fie n serviciul cetenilor. Dreptul la protecia datelor cu
caracter personal nu este un drept absolut; acesta trebuie luat n considerare n raport cu funcia pe care o
ndeplinete n societate i echilibrat cu alte drepturi fundamentale, n conformitate cu principiul proporiona
litii. Prezentul regulament respect toate drepturile fundamentale i libertile i principiile recunoscute n cart
astfel cum sunt consacrate n tratate, n special respectarea vieii private i de familie, a reedinei i a comunica
iilor, a proteciei datelor cu caracter personal, a libertii de gndire, de contiin i de religie, a libertii de
exprimare i de informare, a libertii de a desfura o activitate comercial, dreptul la o cale de atac eficient i la
un proces echitabil, precum i diversitatea cultural, religioas i lingvistic.

(5) Integrarea economic i social care rezult din funcionarea pieei interne a condus la o cretere substanial a
fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal ntre actori publici
i privai, inclusiv persoane fizice, asociaii i ntreprinderi, s-a intensificat n ntreaga Uniune. Conform dreptului
Uniunii, autoritile naionale din statele membre sunt chemate s coopereze i s fac schimb de date cu caracter
personal pentru a putea s i ndeplineasc atribuiile sau s execute sarcini n numele unei autoriti dintr-un alt
stat membru.

(6) Evoluiile tehnologice rapide i globalizarea au generat noi provocri pentru protecia datelor cu caracter
personal. Amploarea colectrii i a schimbului de date cu caracter personal a crescut n mod semnificativ.
Tehnologia permite att societilor private, ct i autoritilor publice s utilizeze date cu caracter personal la un
nivel fr precedent n cadrul activitilor lor. Din ce n ce mai mult, persoanele fizice fac publice la nivel mondial
informaii cu caracter personal. Tehnologia a transformat deopotriv economia i viaa social i ar trebui s
faciliteze n continuare libera circulaie a datelor cu caracter personal n cadrul Uniunii i transferul ctre ri tere
i organizaii internaionale, asigurnd, totodat, un nivel ridicat de protecie a datelor cu caracter personal.

(7) Aceste evoluii impun un cadru solid i mai coerent n materie de protecie a datelor n Uniune, nsoit de o
aplicare riguroas a normelor, lund n considerare importana crerii unui climat de ncredere care va permite
economiei digitale s se dezvolte pe piaa intern. Persoanele fizice ar trebui s aib control asupra propriilor date
cu caracter personal, iar securitatea juridic i practic pentru persoane fizice, operatori economici i autoriti
publice ar trebui s fie consolidat.

(8) n cazul n care prezentul regulament prevede specificri sau restricionri ale normelor sale de ctre dreptul
intern, statele membre pot, n msura n care acest lucru este necesar pentru coeren i pentru a asigura
nelegerea dispoziiilor naionale de ctre persoanele crora li se aplic acestea, s ncorporeze elemente din
prezentul regulament n dreptul lor intern.

(9) Obiectivele i principiile Directivei 95/46/CE rmn solide, dar aceasta nu a prevenit fragmentarea modului n
care protecia datelor este pus n aplicare n Uniune, insecuritatea juridic sau percepia public larg rspndit
conform creia exist riscuri semnificative pentru protecia persoanelor fizice, n special n legtur cu activitatea
online. Diferenele dintre nivelurile de protecie a drepturilor i libertilor persoanelor fizice, n special a
dreptului la protecia datelor cu caracter personal, n ceea ce privete prelucrarea datelor cu caracter personal din
statele membre pot mpiedica libera circulaie a datelor cu caracter personal n ntreaga Uniune. Aceste diferene
pot constitui, prin urmare, un obstacol n desfurarea de activiti economice la nivelul Uniunii, pot denatura
concurena i pot mpiedica autoritile s ndeplineasc responsabilitile care le revin n temeiul dreptului
Uniunii. Aceast diferen ntre nivelurile de protecie este cauzat de existena unor deosebiri n ceea ce privete
transpunerea i aplicarea Directivei 95/46/CE.

(10) Pentru a se asigura un nivel consecvent i ridicat de protecie a persoanelor fizice i pentru a se ndeprta
obstacolele din calea circulaiei datelor cu caracter personal n cadrul Uniunii, nivelul proteciei drepturilor i
libertilor persoanelor fizice n ceea ce privete prelucrarea unor astfel de date ar trebui s fie echivalent n toate
statele membre. Aplicarea consecvent i omogen a normelor n materie de protecie a drepturilor i libertilor
fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal ar trebui s fie
asigurat n ntreaga Uniune. n ceea ce privete prelucrarea datelor cu caracter personal n vederea respectrii
unei obligaii legale, a ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea
autoritii publice cu care este nvestit operatorul, statelor membre ar trebui s li se permit s menin sau s
introduc dispoziii de drept intern care s clarifice ntr-o mai mare msur aplicarea normelor prezentului
regulament. n coroborare cu legislaia general i orizontal privind protecia datelor, prin care este pus n
aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice n domenii care necesit
dispoziii mai precise. Prezentul regulament ofer, de asemenea, statelor membre o marj de manevr n
specificarea normelor sale, inclusiv n ceea ce privete prelucrarea categoriilor speciale de date cu caracter
personal (date sensibile). n acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilete
circumstanele aferente unor situaii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiiilor
n care prelucrarea datelor cu caracter personal este legal.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/3

(11) Protecia efectiv a datelor cu caracter personal n ntreaga Uniune necesit nu numai consolidarea i stabilirea n
detaliu a drepturilor persoanelor vizate i a obligaiilor celor care prelucreaz i decid prelucrarea datelor cu
caracter personal, ci i competene echivalente pentru monitorizarea i asigurarea conformitii cu normele de
protecie a datelor cu caracter personal i sanciuni echivalente pentru infraciuni n statele membre.

(12) Articolul 16 alineatul (2) din TFUE mandateaz Parlamentul European i Consiliul s stabileasc normele privind
protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum i normele privind libera
circulaie a acestor date.

(13) n vederea asigurrii unui nivel uniform de protecie pentru persoanele fizice n ntreaga Uniune i a prentm
pinrii discrepanelor care mpiedic libera circulaie a datelor n cadrul pieei interne, este necesar un regulament
n scopul de a furniza securitate juridic i transparen pentru operatorii economici, inclusiv microntreprinderi
i ntreprinderi mici i mijlocii, precum i de a oferi persoanelor fizice n toate statele membre acelai nivel de
drepturi, obligaii i responsabiliti opozabile din punct de vedere juridic pentru operatori i persoanele mputer
nicite de acetia, pentru a se asigura o monitorizare coerent a prelucrrii datelor cu caracter personal, sanciuni
echivalente n toate statele membre, precum i cooperarea eficace a autoritilor de supraveghere ale diferitelor
state membre. Pentru buna funcionare a pieei interne este necesar ca libera circulaie a datelor cu caracter
personal n cadrul Uniunii s nu fie restricionat sau interzis din motive legate de protecia persoanelor fizice n
ceea ce privete prelucrarea datelor cu caracter personal. Pentru a se lua n considerare situaia specific a
microntreprinderilor i a ntreprinderilor mici i mijlocii, prezentul regulament include o derogare pentru organi
zaiile cu mai puin de 250 de angajai n ceea ce privete pstrarea evidenelor. n plus, instituiile i organele
Uniunii i statele membre i autoritile lor de supraveghere sunt ncurajate s ia n considerare necesitile
specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii n aplicarea prezentului regulament.
Noiunea de microntreprinderi i de ntreprinderi mici i mijlocii ar trebui s se bazeze pe articolul 2 din anexa
la Recomandarea 2003/361/CE a Comisiei (1).

(14) Protecia conferit de prezentul regulament ar trebui s vizeze persoanele fizice, indiferent de cetenia sau de
locul de reedin al acestora, n ceea ce privete prelucrarea datelor cu caracter personal ale acestora. Prezentul
regulament nu se aplic prelucrrii datelor cu caracter personal care privesc persoane juridice i, n special,
ntreprinderi cu personalitate juridic, inclusiv numele i tipul de persoan juridic i datele de contact ale
persoanei juridice.

(15) Pentru a preveni apariia unui risc major de eludare, protecia persoanelor fizice ar trebui s fie neutr din punct
de vedere tehnologic i s nu depind de tehnologiile utilizate. Protecia persoanelor fizice ar trebui s se aplice
prelucrrii datelor cu caracter personal prin mijloace automatizate, precum i prelucrrii manuale, n cazul n care
datele cu caracter personal sunt cuprinse sau destinate s fie cuprinse ntr-un sistem de eviden. Dosarele sau
seturile de dosare, precum i copertele acestora, care nu sunt structurate n conformitate cu criterii specificenu ar
trebui s intre n domeniul de aplicare al prezentului regulament.

(16) Prezentul regulament nu se aplic chestiunilor de protecie a drepturilor i libertilor fundamentale sau la libera
circulaie a datelor cu caracter personal referitoare la activiti care nu intr n domeniul de aplicare al dreptului
Uniunii, de exemplu activitile privind securitatea naional. Prezentul regulament nu se aplic prelucrrii datelor
cu caracter personal de ctre statele membre atunci cnd acestea desfoar activiti legate de politica extern i
de securitatea comun a Uniunii.

(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului (2) se aplic prelucrrii de date cu
caracter personal de ctre instituiile, organele, oficiile i ageniile Uniunii. Regulamentul (CE) nr. 45/2001 i alte
acte juridice ale Uniunii aplicabile unei asemenea prelucrri a datelor cu caracter personal ar trebui adaptate la
principiile i normele stabilite n prezentul regulament i aplicate n conformitate cu prezentul regulament. n
vederea asigurrii unui cadru solid i coerent n materie de protecie a datelor n Uniune, ar trebui ca dup
adoptarea prezentului regulament s se aduc Regulamentului (CE) nr. 45/2001 adaptrile necesare, astfel nct
acestea s poat fi aplicate odat cu prezentul regulament.

(18) Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre o persoan fizic n cadrul unei
activiti exclusiv personale sau domestice i care, prin urmare, nu are legtur cu o activitate profesional sau

(1) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microntreprinderilor i a ntreprinderilor mici i mijlocii
[C(2003) 1422] (JO L 124, 20.5.2003, p. 36).
(2) Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizice
cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date
(JO L 8, 12.1.2001, p. 1).
L 119/4 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

comercial. Activitile personale sau domestice ar putea include corespondena i repertoriul de adrese sau
activitile din cadrul reelelor sociale i activitile online desfurate n contextul respectivelor activiti. Cu toate
acestea, prezentul regulament se aplic operatorilor sau persoanelor mputernicite de operatori care furnizeaz
mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activiti personale sau domestice.

(19) Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal de ctre autoritile
competente n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii
pedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora,
precum i libera circulaie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul
regulament nu ar trebui s se aplice activitilor de prelucrare n aceste scopuri. Cu toate acestea, datele cu
caracter personal prelucrate de ctre autoritile publice n temeiul prezentului regulament, atunci cnd sunt
utilizate n aceste scopuri, ar trebui s fie reglementate printr-un act juridic mai specific al Uniunii, i anume
Directiva (UE) 2016/680 a Parlamentului European i a Consiliului (1). Statele membre pot ncredina autoritilor
competente n sensul Directivei (UE) 2016/680 sarcini care nu sunt neaprat ndeplinite n scopul prevenirii,
investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, inclusiv al protejrii
mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora, astfel nct prelucrarea datelor cu
caracter personal pentru alte scopuri, n msura n care se ncadreaz n domeniul de aplicare al dreptului
Uniunii, s intre n domeniul de aplicare al prezentului regulament.

n ceea ce privete prelucrarea datelor cu caracter personal de ctre aceste autoriti competente n scopuri care
intr n domeniul de aplicare al prezentului regulament, statele membre ar trebui s poat menine sau introduce
dispoziii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziii pot stabili
mai precis cerine specifice pentru prelucrarea datelor cu caracter personal de ctre respectivele autoriti
competente n aceste alte scopuri, innd seama de structura constituional, organizatoric i administrativ a
statului membru n cauz. Atunci cnd prelucrarea de date cu caracter personal de ctre organisme private face
obiectul prezentului regulament, prezentul regulament ar trebui s prevad posibilitatea ca statele membre, n
anumite condiii, s impun prin lege restricii asupra anumitor obligaii i drepturi, n cazul n care asemenea
restricii constituie o msur necesar i proporional ntr-o societate democratic n scopul garantrii unor
interese specifice importante, printre care se numr sigurana public i prevenirea, investigarea, depistarea i
urmrirea penal a infraciunilor sau executarea pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa
siguranei publice i prevenirea acestora. Acest lucru este relevant, de exemplu, n cadrul combaterii splrii de
bani sau al activitilor laboratoarelor criminalistice.

(20) Dei prezentul regulament se aplic, inter alia, activitilor instanelor i ale altor autoriti judiciare, dreptul
Uniunii sau al statelor membre ar putea s precizeze operaiunile i procedurile de prelucrare n ceea ce privete
prelucrarea datelor cu caracter personal de ctre instane i alte autoriti judiciare. Prelucrarea datelor cu caracter
personal nu ar trebui s fie de competena autoritilor de supraveghere n cazul n care instanele i exercit
atribuiile judiciare, n scopul garantrii independenei sistemului judiciar n ndeplinirea sarcinilor sale judiciare,
inclusiv n luarea deciziilor. Supravegherea unor astfel de operaiuni de prelucrare a datelor ar trebui s poat fi
ncredinat unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui s asigure
n special respectarea normelor prevzute de prezentul regulament, s sensibilizeze membrii sistemului judiciar cu
privire la obligaiile care le revin n temeiul prezentului regulament i s trateze plngerile n legtur cu astfel de
operaiuni de prelucrare a datelor.

(21) Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE a Parlamentului European i a
Consiliului (2), n special normelor privind rspunderea furnizorilor intermediari de servicii prevzute la artico
lele 12-15 din directiva menionat. Respectiva directiv i propune s contribuie la buna funcionare a pieei
interne, prin asigurarea liberei circulaii a serviciilor societii informaionale ntre statele membre.

(22) Orice prelucrare a datelor cu caracter personal n cadrul activitilor unui sediu al unui operator sau al unei
persoane mputernicite de operator din Uniune ar trebui efectuat n conformitate cu prezentul regulament,
indiferent dac procesul de prelucrare n sine are loc sau nu n cadrul Uniunii. Sediul implic exercitarea efectiv
i real a unei activiti n cadrul unor nelegeri stabile. Forma juridic a unor astfel de nelegeri, prin
intermediul unei sucursale sau al unei filiale cu personalitate juridic, nu este factorul determinant n aceast
privin.

(1) Directiva (UE) 2016/680 a Parlamentului European i a Consiliului din 27 aprilie 2016 privind protecia persoanelor fizice referitor la
prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, depistrii, investigrii sau urmririi penale a
infraciunilor sau al executrii pedepselor i privind libera circulaie a acestor date i de abrogare a Deciziei-cadru 2008/977/JAI a
Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).
(2) Directiva 2000/31/CE a Parlamentului European i a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor
societii informaionale, n special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) (JO L 178,
17.7.2000, p. 1).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/5

(23) Pentru a se asigura c persoanele fizice nu sunt lipsite de protecia la care au dreptul n temeiul prezentului
regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de
ctre un operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui s fac obiectul
prezentului regulament n cazul n care activitile de prelucrare au legtur cu oferirea de bunuri sau servicii
unor astfel de persoane vizate, indiferent dac acestea sunt sau nu legate de o plat. Pentru a determina dac un
astfel de operator sau o astfel de persoan mputernicit de operator ofer bunuri sau servicii unor persoane
vizate care se afl pe teritoriul Uniunii, ar trebui s se stabileasc dac reiese c operatorul sau persoana mputer
nicit de operator intenioneaz s furnizeze servicii persoanelor vizate din unul sau mai multe state membre din
Uniune. ntruct simplul fapt c exist acces la un site al operatorului, al persoanei mputernicite de operator sau
al unui intermediar n Uniune, c este disponibil o adres de e-mail i alte date de contact sau c este utilizat o
limb folosit n general n ara ter n care operatorul i are sediul este insuficient pentru a confirma o astfel de
intenie, factori precum utilizarea unei limbi sau a unei monede utilizate n general n unul sau mai multe state
membre cu posibilitatea de a comanda bunuri i servicii n respectiva limb sau menionarea unor clieni sau
utilizatori care se afl pe teritoriul Uniunii pot conduce la concluzia c operatorul intenioneaz s ofere bunuri
sau servicii unor persoane vizate n Uniune.

(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de ctre un
operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui, de asemenea, s fac
obiectul prezentului regulament n cazul n care este legat de monitorizarea comportamentului unor astfel de
persoane vizate, n msura n care acest comportament se manifest pe teritoriul Uniunii. Pentru a se determina
dac o activitate de prelucrare poate fi considerat ca monitorizare a comportamentului persoanelor vizate, ar
trebui s se stabileasc dac persoanele fizice sunt urmrite pe internet, inclusiv posibila utilizare ulterioar a
unor tehnici de prelucrare a datelor cu caracter personal care constau n crearea unui profil al unei persoane
fizice, n special n scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare
la preferinele personale, comportamentele i atitudinile acesteia.

(25) n cazul n care dreptul unui stat membru se aplic n temeiul dreptului internaional public, prezentul
regulament ar trebui s se aplice, de asemenea, unui operator care nu este stabilit n Uniune, ci, de exemplu,
ntr-o misiune diplomatic sau ntr-un oficiu consular al unui stat membru.

(26) Principiile proteciei datelor ar trebui s se aplice oricrei informaii referitoare la o persoan fizic identificat
sau identificabil. Datele cu caracter personal care au fost supuse pseudonimizrii, care ar putea fi atribuite unei
persoane fizice prin utilizarea de informaii suplimentare, ar trebui considerate informaii referitoare la o
persoan fizic identificabil. Pentru a se determina dac o persoan fizic este identificabil, ar trebui s se ia n
considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, n mod rezonabil, s le utilizeze fie
operatorul, fie o alt persoan, n scopul identificrii, n mod direct sau indirect, a persoanei fizice respective.
Pentru a se determina dac este probabil, n mod rezonabil, s fie utilizate mijloace pentru identificarea persoanei
fizice, ar trebui luai n considerare toi factorii obiectivi, precum costurile i intervalul de timp necesare pentru
identificare, inndu-se seama att de tehnologia disponibil la momentul prelucrrii, ct i de dezvoltarea
tehnologic. Principiile proteciei datelor ar trebui, prin urmare, s nu se aplice informaiilor anonime, adic
informaiilor care nu sunt legate de o persoan fizic identificat sau identificabil sau datelor cu caracter
personal care sunt anonimizate astfel nct persoana vizat nu este sau nu mai este identificabil. Prin urmare,
prezentul regulament nu se aplic prelucrrii unor astfel de informaii anonime, inclusiv n cazul n care acestea
sunt utilizate n scopuri statistice sau de cercetare.

(27) Prezentul regulament nu se aplic datelor cu caracter personal referitoare la persoane decedate. Statele membre
pot s prevad norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.

(28) Aplicarea pseudonimizrii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate i poate
ajuta operatorii i persoanele mputernicite de acetia s i ndeplineasc obligaiile de protecie a datelor.
Introducerea explicit a conceptului de pseudonimizare n prezentul regulament nu este destinat s mpiedice
alte eventuale msuri de protecie a datelor.

(29) Pentru a crea stimulente pentru aplicarea pseudonimizrii atunci cnd sunt prelucrate date cu caracter personal,
ar trebui s fie posibile msuri de pseudonimizare, permind n acelai timp analiza general, n cadrul aceluiai
operator atunci cnd operatorul a luat msurile tehnice i organizatorice necesare pentru a se asigura c
prezentul regulament este pus n aplicare n ceea ce privete respectiva prelucrare a datelor i c informaiile
suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pstrate separat.
Operatorul care prelucreaz datele cu caracter personal ar trebui s indice persoanele autorizate din cadrul
aceluiai operator.
L 119/6 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(30) Persoanele fizice pot fi asociate cu identificatorii online furnizai de dispozitivele, aplicaiile, instrumentele i
protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau ali identificatori precum etichetele de identificare
prin frecvene radio. Acetia pot lsa urme care, n special atunci cnd sunt combinate cu identificatori unici i
alte informaii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice i pentru identi
ficarea lor.

(31) Autoritile publice crora le sunt divulgate date cu caracter personal n conformitate cu o obligaie legal n
vederea exercitrii funciei lor oficiale, cum ar fi autoritile fiscale i vamale, unitile de investigare financiar,
autoritile administrative independente sau autoritile pieelor financiare responsabile de reglementarea i
supravegherea pieelor titlurilor de valoare, nu ar trebui s fie considerate destinatari n cazul n care primesc date
cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, n conformitate
cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritile publice ar trebui s fie
ntotdeauna prezentate n scris, motivate i ocazionale i nu ar trebui s se refere la un sistem de eviden n
totalitate sau s conduc la interconectarea sistemelor de eviden. Prelucrarea datelor cu caracter personal de
ctre autoritile publice respective ar trebui s respecte normele aplicabile n materie de protecie a datelor n
conformitate cu scopurile prelucrrii.

(32) Consimmntul ar trebui acordat printr-o aciune neechivoc care s constituie o manifestare liber exprimat,
specific, n cunotin de cauz i clar a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter
personal, ca de exemplu o declaraie fcut n scris, inclusiv n format electronic, sau verbal. Acesta ar putea
include bifarea unei csue atunci cnd persoana viziteaz un site, alegerea parametrilor tehnici pentru serviciile
societii informaionale sau orice alt declaraie sau aciune care indic n mod clar n acest context acceptarea
de ctre persoana vizat a prelucrrii propuse a datelor sale cu caracter personal. Prin urmare, absena unui
rspuns, csuele bifate n prealabil sau absena unei aciuni nu ar trebui s constituie un consimmnt. Consim
mntul ar trebui s vizeze toate activitile de prelucrare efectuate n acelai scop sau n aceleai scopuri. Dac
prelucrarea datelor se face n mai multe scopuri, consimmntul ar trebui dat pentru toate scopurile prelucrrii.
n cazul n care consimmntul persoanei vizate trebuie acordat n urma unei cereri transmise pe cale
electronic, cererea respectiv trebuie s fie clar i concis i s nu perturbe n mod inutil utilizarea serviciului
pentru care se acord consimmntul.

(33) Adesea nu este posibil, n momentul colectrii datelor cu caracter personal, s se identifice pe deplin scopul
prelucrrii datelor n scopuri de cercetare tiinific. Din acest motiv, persoanelor vizate ar trebui s li se permit
s i exprime consimmntul pentru anumite domenii ale cercetrii tiinifice atunci cnd sunt respectate
standardele etice recunoscute pentru cercetarea tiinific. Persoanele vizate ar trebui s aib posibilitatea de a-i
exprima consimmntul doar pentru anumite domenii de cercetare sau pri ale proiectelor de cercetare n
msura permis de scopul preconizat.

(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice motenite
sau dobndite ale unei persoane fizice, care rezult n urma unei analize a unei mostre de material biologic al
persoanei fizice n cauz, n special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic
(ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricrui alt element ce permite obinerea unor
informaii echivalente.

(35) Datele cu caracter personal privind sntatea ar trebui s includ toate datele avnd legtur cu starea de sntate
a persoanei vizate care dezvluie informaii despre starea de sntate fizic sau mental trecut, prezent sau
viitoare a persoanei vizate. Acestea includ informaii despre persoana fizic colectate n cadrul nscrierii acesteia la
serviciile de asisten medical sau n cadrul acordrii serviciilor respective persoanei fizice n cauz, astfel cum
sunt menionate n Directiva 2011/24/UE a Parlamentului European i a Consiliului (1); un numr, un simbol sau
un semn distinctiv atribuit unei persoane fizice pentru identificarea singular a acesteia n scopuri medicale;
informaii rezultate din testarea sau examinarea unei pri a corpului sau a unei substane corporale, inclusiv din
date genetice i eantioane de material biologic; precum i orice informaii privind, de exemplu, o boal, un
handicap, un risc de mbolnvire, istoricul medical, tratamentul clinic sau starea fiziologic sau biomedical a
persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un
dispozitiv medical sau un test de diagnostic in vitro.

(36) Sediul principal al unui operator n Uniune ar trebui s fie locul n care se afl administraia central a acestuia n
Uniune, cu excepia cazului n care deciziile privind scopurile i mijloacele de prelucrare a datelor cu caracter
personal se iau ntr-un alt sediu al operatorului n Uniune. n acest caz, acesta din urm ar trebui considerat drept

(1) Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienilor n cadrul
asistenei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/7

sediul principal. Sediul principal al unui operator n Uniune ar trebui s fie determinat conform unor criterii
obiective i ar trebui s implice exercitarea efectiv i real a unor activiti de gestionare care s determine
principalele decizii cu privire la scopurile i mijloacele de prelucrare n cadrul unor nelegeri stabile. Acest
criteriu nu ar trebui s depind de realizarea prelucrrii datelor cu caracter personal n locul respectiv. Prezena i
utilizarea mijloacelor tehnice i a tehnologiilor de prelucrare a datelor cu caracter personal sau activitile de
prelucrare nu constituie un sediu principal i, prin urmare, nu sunt criteriul determinant n acest sens. Sediul
principal al persoanei mputernicite de operator ar trebui s fie locul n care se afl administraia central a
acestuia n Uniune sau, n cazul n care nu are o administraie central n Uniune, locul n care se desfoar
principalele activiti de prelucrare n Uniune. n cazurile care implic att operatorul, ct i persoana mputer
nicit de operator, autoritatea de supraveghere principal competent ar trebui s rmn autoritatea de
supraveghere a statului membru n care operatorul i are sediul principal, dar autoritatea de supraveghere a
persoanei mputernicite de operator ar trebui considerat ca fiind o autoritate de supraveghere vizat i acea
autoritate de supraveghere ar trebui s participe la procedura de cooperare prevzut de prezentul regulament. n
orice caz, autoritile de supraveghere ale statului membru sau ale statelor membre n care persoana mputernicit
de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoriti de supraveghere vizate n
cazul n care proiectul de decizie nu se refer dect la operator. n cazul n care prelucrarea este efectuat de un
grup de ntreprinderi, sediul principal al ntreprinderii care exercit controlul ar trebui considerat drept sediul
principal al grupului de ntreprinderi, cu excepia cazului n care scopurile i mijloacele aferente prelucrrii sunt
stabilite de o alt ntreprindere.

(37) Un grup de ntreprinderi ar trebui s cuprind o ntreprindere care exercit controlul i ntreprinderile controlate
de aceasta, n cadrul cruia ntreprinderea care exercit controlul ar trebui s fie ntreprinderea care poate exercita
o influen dominant asupra celorlalte ntreprinderi, de exemplu n temeiul proprietii, al participrii financiare
sau al regulilor care o reglementeaz sau al competenei de a pune n aplicare norme n materie de protecie a
datelor cu caracter personal. O ntreprindere care controleaz prelucrarea datelor cu caracter personal n
ntreprinderile sale afiliate ar trebui considerat, mpreun cu acestea din urm, drept grup de ntreprinderi.

(38) Copiii au nevoie de o protecie specific a datelor lor cu caracter personal, ntruct pot fi mai puin contieni de
riscurile, consecinele, garaniile n cauz i drepturile lor n ceea ce privete prelucrarea datelor cu caracter
personal. Aceast protecie specific ar trebui s se aplice n special utilizrii datelor cu caracter personal ale
copiilor n scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator i la colectarea
datelor cu caracter personal privind copiii n momentul utilizrii serviciilor oferite direct copiilor. Consim
mntul titularului rspunderii printeti nu ar trebui s fie necesar n contextul serviciilor de prevenire sau
consiliere oferite direct copiilor.

(39) Orice prelucrare de date cu caracter personal ar trebui s fie legal i echitabil. Ar trebui s fie transparent
pentru persoanele fizice c sunt colectate, utilizate, consultate sau prelucrate n alt mod datele cu caracter
personal care le privesc i n ce msur datele cu caracter personal sunt sau vor fi prelucrate. Principiul transpa
renei prevede c orice informaii i comunicri referitoare la prelucrarea respectivelor date cu caracter personal
sunt uor accesibile i uor de neles i c se utilizeaz un limbaj simplu i clar. Acest principiu se refer n
special la informarea persoanelor vizate privind identitatea operatorului i scopurile prelucrrii, precum i la
oferirea de informaii suplimentare, pentru a asigura o prelucrare echitabil i transparent n ceea ce privete
persoanele fizice vizate i dreptul acestora de a li se confirma i comunica datele cu caracter personal care le
privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garaniile i
drepturile n materie de prelucrare a datelor cu caracter personal i cu privire la modul n care s i exercite
drepturile n legtur cu prelucrarea. n special, scopurile specifice n care datele cu caracter personal sunt
prelucrate ar trebui s fie explicite i legitime i s fie determinate la momentul colectrii datelor respective.
Datele cu caracter personal ar trebui s fie adecvate, relevante i limitate la ceea ce este necesar pentru scopurile
n care sunt prelucrate. Aceasta necesit, n special, asigurarea faptului c perioada pentru care datele cu caracter
personal sunt stocate este limitat strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dac
scopul prelucrrii nu poate fi ndeplinit n mod rezonabil prin alte mijloace. n vederea asigurrii faptului c
datele cu caracter personal nu sunt pstrate mai mult timp dect este necesar, ar trebui s se stabileasc de ctre
operator termene pentru tergere sau revizuirea periodic. Ar trebui s fie luate toate msurile rezonabile pentru
a se asigura c datele cu caracter personal care sunt inexacte sunt rectificate sau terse. Datele cu caracter personal
ar trebui prelucrate ntr-un mod care s asigure n mod adecvat securitatea i confidenialitatea acestora, inclusiv
n scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizat a datelor cu caracter personal i a
echipamentului utilizat pentru prelucrare.

(40) Pentru ca prelucrarea datelor cu caracter personal s fie legal, aceasta ar trebui efectuat pe baza consim
mntului persoanei vizate sau n temeiul unui alt motiv legitim, prevzut de lege, fie n prezentul regulament, fie
L 119/8 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

n alt act din dreptul Uniunii sau din dreptul intern, dup cum se prevede n prezentul regulament, inclusiv
necesitatea respectrii obligaiilor legale la care este supus operatorul sau necesitatea de a executa un contract la
care persoana vizat este parte sau pentru a parcurge etapele premergtoare ncheierii unui contract, la solicitarea
persoanei vizate.

(41) Ori de cte ori prezentul regulament face trimitere la un temei juridic sau la o msur legislativ, aceasta nu
necesit neaprat un act legislativ adoptat de ctre un parlament, fr a aduce atingere cerinelor care decurg din
ordinea constituional a statului membru n cauz. Cu toate acestea, un astfel de temei juridic sau o astfel de
msur legislativ ar trebui s fie clar i precis, iar aplicarea acesteia ar trebui s fie previzibil pentru
persoanele vizate de aceasta, n conformitate cu jurisprudena Curii de Justiie a Uniunii Europene (Curtea de
Justiie) i a Curii Europene a Drepturilor Omului.

(42) n cazul n care prelucrarea se bazeaz pe consimmntul persoanei vizate, operatorul ar trebui s fie n msur
s demonstreze faptul c persoana vizat i-a dat consimmntul pentru operaiunea de prelucrare. n special, n
contextul unei declaraii scrise cu privire la un alt aspect, garaniile ar trebui s asigure c persoana vizat este
contient de faptul c i-a dat consimmntul i n ce msur a fcut acest lucru. n conformitate cu Directiva
93/13/CEE a Consiliului (1), ar trebui furnizat o declaraie de consimmnt formulat n prealabil de ctre
operator, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar i simplu, iar aceast declaraie nu ar
trebui s conin clauze abuzive. Pentru ca acordarea consimmntului s fie n cunotin de cauz, persoana
vizat ar trebui s fie la curent cel puin cu identitatea operatorului i cu scopurile prelucrrii pentru care sunt
destinate datele cu caracter personal. Consimmntul nu ar trebui considerat ca fiind acordat n mod liber dac
persoana vizat nu dispune cu adevrat de libertatea de alegere sau nu este n msur s refuze sau s i retrag
consimmntul fr a fi prejudiciat.

(43) Pentru a garanta faptul c a fost acordat n mod liber, consimmntul nu ar trebui s constituie un temei juridic
valabil pentru prelucrarea datelor cu caracter personal n cazul particular n care exist un dezechilibru evident
ntre persoana vizat i operator, n special n cazul n care operatorul este o autoritate public, iar acest lucru
face improbabil acordarea consimmntului n mod liber n toate circumstanele aferente respectivei situaii
particulare. Consimmntul este considerat a nu fi acordat n mod liber n cazul n care aceasta nu permite s se
acorde consimmntul separat pentru diferitele operaiuni de prelucrare a datelor cu caracter personal, dei acest
lucru este adecvat n cazul particular, sau dac executarea unui contract, inclusiv furnizarea unui serviciu, este
condiionat de consimmnt, n ciuda faptului c consimmntul n cauz nu este necesar pentru executarea
contractului.

(44) Prelucrarea ar trebui s fie considerat legal n cazul n care este necesar n cadrul unui contract sau n vederea
ncheierii unui contract.

(45) n cazul n care prelucrarea este efectuat n conformitate cu o obligaie legal a operatorului sau n cazul n care
prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte din
exercitarea autoritii publice, prelucrarea ar trebui s aib un temei n dreptul Uniunii sau n dreptul intern.
Prezentul regulament nu impune existena unei legi specifice pentru fiecare prelucrare n parte. Poate fi suficient
o singur lege drept temei pentru mai multe operaiuni de prelucrare efectuate n conformitate cu o obligaie
legal a operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete
unui interes public sau care face parte din exercitarea autoritii publice. De asemenea, ar trebui ca scopul
prelucrrii s fie stabilit n dreptul Uniunii sau n dreptul intern. Mai mult dect att, dreptul respectiv ar putea s
specifice condiiile generale ale prezentului regulament care reglementeaz legalitatea prelucrrii datelor cu
caracter personal, s determine specificaiile pentru stabilirea operatorului, a tipului de date cu caracter personal
care fac obiectul prelucrrii, a persoanelor vizate, a entitilor crora le pot fi divulgate datele cu caracter
personal, a limitrilor n funcie de scop, a perioadei de stocare i a altor msuri pentru a garanta o prelucrare
legal i echitabil. De asemenea, ar trebui s se stabileasc n dreptul Uniunii sau n dreptul intern dac
operatorul care ndeplinete o sarcin care servete unui interes public sau care face parte din exercitarea
autoritii publice ar trebui s fie o autoritate public sau o alt persoan fizic sau juridic guvernat de dreptul
public sau, atunci cnd motive de interes public justific acest lucru, inclusiv n scopuri medicale, precum
sntatea public i protecia social, precum i gestionarea serviciilor de asisten medical, de dreptul privat,
cum ar fi o asociaie profesional.

(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul n care este
necesar n scopul asigurrii proteciei unui interes care este esenial pentru viaa persoanei vizate sau pentru

(1) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive n contractele ncheiate cu consumatorii (JO L 95,
21.4.1993, p. 29).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/9

viaa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale
unei alte persoane fizice ar trebui efectuat numai n cazul n care prelucrarea nu se poate baza n mod evident
pe un alt temei juridic. Unele tipuri de prelucrare pot servi att unor motive importante de interes public, ct i
intereselor vitale ale persoanei vizate, de exemplu n cazul n care prelucrarea este necesar n scopuri umanitare,
inclusiv n vederea monitorizrii unei epidemii i a rspndirii acesteia sau n situaii de urgene umanitare, n
special n situaii de dezastre naturale sau provocate de om.

(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator cruia i pot fi divulgate datele cu caracter
personal sau ale unei tere pri, pot constitui un temei juridic pentru prelucrare, cu condiia s nu prevaleze
interesele sau drepturile i libertile fundamentale ale persoanei vizate, lund n considerare ateptrile rezonabile
ale persoanelor vizate bazate pe relaia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu,
atunci cnd exist o relaie relevant i adecvat ntre persoana vizat i operator, cum ar fi cazul n care
persoana vizat este un client al operatorului sau se afl n serviciul acestuia. n orice caz, existena unui interes
legitim ar necesita o evaluare atent, care s stabileasc inclusiv dac o persoan vizat poate preconiza n mod
rezonabil, n momentul i n contextul colectrii datelor cu caracter personal, posibilitatea prelucrrii n acest
scop. Interesele i drepturile fundamentale ale persoanei vizate ar putea prevala n special n raport cu interesul
operatorului de date atunci cnd datele cu caracter personal sunt prelucrate n circumstane n care persoanele
vizate nu preconizeaz n mod rezonabil o prelucrare ulterioar. ntruct legiuitorul trebuie s furnizeze temeiul
juridic pentru prelucrarea datelor cu caracter personal de ctre autoritile publice, temeiul juridic respectiv nu ar
trebui s se aplice prelucrrii de ctre autoritile publice n ndeplinirea sarcinilor care le revin. Prelucrarea de
date cu caracter personal strict necesar n scopul prevenirii fraudelor constituie, de asemenea, un interes legitim
al operatorului de date n cauz. Prelucrarea de date cu caracter personal care are drept scop marketingul direct
poate fi considerat ca fiind desfurat pentru un interes legitim.

(48) Operatorii care fac parte dintr-un grup de ntreprinderi sau instituii afiliate unui organism central pot avea un
interes legitim de a transmite date cu caracter personal n cadrul grupului de ntreprinderi n scopuri adminis
trative interne, inclusiv n scopul prelucrrii datelor cu caracter personal ale clienilor sau angajailor. Principiile
generale ale transferului de date cu caracter personal, n cadrul unui grup de ntreprinderi, ctre o ntreprindere
situat ntr-o ar ter rmn neschimbate.

(49) Prelucrarea datelor cu caracter personal n msura strict necesar i proporional n scopul asigurrii securitii
reelelor i a informaiilor, i anume capacitatea unei reele sau a unui sistem de informaii de a face fa, la un
anumit nivel de ncredere, evenimentelor accidentale sau aciunilor ilegale sau ru intenionate care compromit
disponibilitatea, autenticitatea, integritatea i confidenialitatea datelor cu caracter personal stocate sau transmise,
precum i securitatea serviciilor conexe oferite de aceste reele i sisteme, sau accesibile prin intermediul acestora,
de ctre autoritile publice, echipele de intervenie n caz de urgen informatic, echipele de intervenie n cazul
producerii unor incidente care afecteaz securitatea informatic, furnizorii de reele i servicii de comunicaii
electronice, precum i de ctre furnizorii de servicii i tehnologii de securitate, constituie un interes legitim al
operatorului de date n cauz. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reelele de
comunicaii electronice i a difuzrii de coduri duntoare i oprirea atacurilor de blocare a serviciului, precum
i prevenirea daunelor aduse calculatoarelor i sistemelor de comunicaii electronice.

(50) Prelucrarea datelor cu caracter personal n alte scopuri dect scopurile pentru care datele cu caracter personal au
fost iniial colectate ar trebui s fie permis doar atunci cnd prelucrarea este compatibil cu scopurile respective
pentru care datele cu caracter personal au fost iniial colectate. n acest caz nu este necesar un temei juridic
separat de cel pe baza cruia a fost permis colectarea datelor cu caracter personal. n cazul n care prelucrarea
este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea
autoritii publice cu care este nvestit operatorul, dreptul Uniunii sau dreptul intern poate stabili i specifica
sarcinile i scopurile pentru care prelucrarea ulterioar ar trebui considerat a fi compatibil i legal. Prelucrarea
ulterioar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri
statistice ar trebui considerat ca reprezentnd operaiuni de prelucrare legale compatibile. Temeiul juridic
prevzut n dreptul Uniunii sau n dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui,
de asemenea, un temei juridic pentru prelucrarea ulterioar. Pentru a stabili dac scopul prelucrrii ulterioare este
compatibil cu scopul pentru care au fost colectate iniial datele cu caracter personal, operatorul, dup ce a
ndeplinit toate cerinele privind legalitatea prelucrrii iniiale, ar trebui s in seama, printre altele, de orice
legtur ntre respectivele scopuri i scopurile prelucrrii ulterioare preconizate, de contextul n care au fost
colectate datele cu caracter personal, n special de ateptrile rezonabile ale persoanelor vizate, bazate pe relaia
lor cu operatorul, n ceea ce privete utilizarea ulterioar a datelor, de natura datelor cu caracter personal, de
L 119/10 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

consecinele prelucrrii ulterioare preconizate asupra persoanelor vizate, precum i de existena garaniilor
corespunztoare att n cadrul operaiunilor de prelucrare iniiale, ct i n cadrul operaiunilor de prelucrare
ulterioare preconizate.

n cazul n care persoana vizat i-a dat consimmntul sau prelucrarea se bazeaz pe dreptul Uniunii sau pe
dreptul intern, care constituie o msur necesar i proporional ntr-o societate democratic pentru a proteja, n
special, obiective importante de interes public general, operatorul ar trebui s aib posibilitatea de a prelucra n
continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. n orice caz, aplicarea principiilor
stabilite de prezentul regulament i, n special, informarea persoanei vizate cu privire la aceste alte scopuri i la
drepturile sale, inclusiv dreptul la opoziie, ar trebui s fie garantate. Indicarea unor posibile infraciuni sau
ameninri la adresa siguranei publice de ctre operator i transmiterea ctre o autoritate competent a datelor
cu caracter personal relevante n cazuri individuale sau n mai multe cazuri legate de aceeai infraciune sau de
aceleai ameninri la adresa siguranei publice ar trebui considerat ca fiind n interesul legitim urmrit de
operator. Cu toate acestea, o astfel de transmitere n interesul legitim al operatorului sau prelucrarea ulterioar a
datelor cu caracter personal ar trebui interzis n cazul n care prelucrarea nu este compatibil cu o obligaie
legal, profesional sau cu o alt obligaie de pstrare a confidenialitii.

(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile n ceea ce privete drepturile i
libertile fundamentale necesit o protecie specific, deoarece contextul prelucrrii acestora ar putea genera
riscuri considerabile la adresa drepturilor i libertilor fundamentale. Aceste date cu caracter personal ar trebui s
includ datele cu caracter personal care dezvluie originea rasial sau etnic, utilizarea termenului origine rasial
n prezentul regulament neimplicnd o acceptare de ctre Uniune a teoriilor care urmresc s stabileasc existena
unor rase umane separate. Prelucrarea fotografiilor nu ar trebui s fie considerat n mod sistematic ca fiind o
prelucrare de categorii speciale de date cu caracter personal, ntruct fotografiile intr sub incidena definiiei
datelor biometrice doar n cazurile n care sunt prelucrate prin mijloace tehnice specifice care permit identificarea
unic sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu
excepia cazului n care prelucrarea este permis n cazuri specifice prevzute de prezentul regulament, innd
seama de faptul c dreptul statelor membre poate prevedea dispoziii specifice cu privire la protecia datelor n
scopul adaptrii aplicrii normelor din prezentul regulament n vederea respectrii unei obligaii legale sau a
ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care
este nvestit operatorul. Pe lng cerinele specifice pentru o astfel de prelucrare, ar trebui s se aplice principiile
generale i alte norme prevzute de prezentul regulament, n special n ceea ce privete condiiile pentru
prelucrarea legal. Ar trebui prevzute n mod explicit derogri de la interdicia general de prelucrare a acestor
categorii speciale de date cu caracter personal, printre altele atunci cnd persoana vizat i d consimmntul
explicit sau n ceea ce privete nevoile specifice n special atunci cnd prelucrarea este efectuat n cadrul unor
activiti legitime de ctre anumite asociaii sau fundaii al cror scop este de a permite exercitarea libertilor
fundamentale.

(52) Derogarea de la interdicia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui s fie
permis, de asemenea, n cazul n care dreptul Uniunii sau dreptul intern prevede acest lucru i ar trebui s fac
obiectul unor garanii adecvate, astfel nct s fie protejate datele cu caracter personal i alte drepturi
fundamentale, atunci cnd acest lucru se justific din motive de interes public, n special n cazul prelucrrii
datelor cu caracter personal n domeniul legislaiei privind ocuparea forei de munc, protecia social, inclusiv
pensiile, precum i n scopuri de securitate, supraveghere i alert n materie de sntate, pentru prevenirea sau
controlul bolilor transmisibile i a altor ameninri grave la adresa sntii. Aceast derogare poate fi acordat n
scopuri medicale, inclusiv sntatea public i gestionarea serviciilor de asisten medical, n special n vederea
asigurrii calitii i eficienei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluionarea
cererilor de prestaii i servicii n cadrul sistemului de asigurri de sntate, sau n scopuri de arhivare n interes
public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. De asemenea, prelucrarea unor
asemenea date cu caracter personal ar trebui permis, printr-o derogare, atunci cnd este necesar pentru
constatarea, exercitarea sau aprarea unui drept n justiie, indiferent dac are loc n cadrul unei proceduri n faa
unei instane sau n cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.

(53) Categoriile speciale de date cu caracter personal care necesit un nivel mai ridicat de protecie ar trebui prelucrate
doar n scopuri legate de sntate atunci cnd este necesar pentru realizarea acestor scopuri n beneficiul
persoanelor fizice i al societii n general, n special n contextul gestionrii serviciilor i sistemelor de sntate
sau de asisten social, inclusiv prelucrarea acestor date de ctre autoritile de management i de ctre
autoritile centrale naionale din domeniul sntii n scopul controlului calitii, furnizrii de informaii de
gestiune i al supravegherii generale a sistemului de sntate sau de asisten social la nivel naional i local,
precum i n contextul asigurrii continuitii asistenei medicale sau sociale i a asistenei medicale transfron
taliere ori n scopuri de securitate, supraveghere i alert n materie de sntate ori n scopuri de arhivare n
interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice n temeiul dreptului Uniunii
sau al dreptului intern, care trebuie s urmreasc un obiectiv de interes public, precum i n cazul studiilor
realizate n interes public n domeniul sntii publice. Prin urmare, prezentul regulament ar trebui s prevad
condiii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sntatea, n ceea
ce privete nevoile specifice, n special atunci cnd prelucrarea acestor date este efectuat n anumite scopuri
legate de sntate de ctre persoane care fac obiectul unei obligaii legale de a pstra secretul profesional. Dreptul
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/11

Uniunii sau dreptul intern ar trebui s prevad msuri specifice i adecvate pentru a proteja drepturile
fundamentale i datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s aib posibilitatea
de a menine sau de a introduce condiii suplimentare, inclusiv restricii, n ceea ce privete prelucrarea datelor
genetice, a datelor biometrice sau a datelor privind sntatea. Totui, acest lucru nu ar trebui s mpiedice libera
circulaie a datelor cu caracter personal n cadrul Uniunii atunci cnd aceste condiii se aplic prelucrrii
transfrontaliere a unor astfel de date.

(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar din motive de interes public n
domeniile sntii publice, fr consimmntul persoanei vizate. O astfel de prelucrare ar trebui condiionat de
msuri adecvate i specifice destinate s protejeze drepturile i libertile persoanelor fizice. n acest context,
conceptul de sntate public ar trebui interpretat astfel cum este definit n Regulamentul (CE) nr. 1338/2008 al
Parlamentului European i al Consiliului (1), i anume toate elementele referitoare la sntate i anume starea de
sntate, inclusiv morbiditatea sau handicapul, factorii determinani care au efect asupra strii de sntate,
necesitile n domeniul asistenei medicale, resursele alocate asistenei medicale, furnizarea asistenei medicale i
asigurarea accesului universal la aceasta, precum i cheltuielile i sursele de finanare n domeniul sntii i
cauzele mortalitii. Aceast prelucrare a datelor privind sntatea din motive de interes public nu ar trebui s
duc la prelucrarea acestor date n alte scopuri de ctre pri tere, cum ar fi angajatorii sau societile de asigurri
i bncile.

(55) n plus, prelucrarea datelor cu caracter personal de ctre autoritile publice n vederea realizrii obiectivelor
prevzute de dreptul constituional sau de dreptul internaional public, ale asociaiilor religioase recunoscute
oficial se efectueaz din motive de interes public.

(56) n cazul n care, n cadrul activitilor electorale, funcionarea sistemului democratic necesit, ntr-un stat
membru, ca partidele politice s colecteze date cu caracter personal privind opiniile politice ale persoanelor,
prelucrarea unor astfel de date poate fi permis din motive de interes public, cu condiia s se prevad garaniile
corespunztoare.

(57) Dac datele cu caracter personal prelucrate de un operator nu i permit acestuia s identifice o persoan fizic,
operatorul de date nu ar trebui s aib obligaia de a obine informaii suplimentare n vederea identificrii
persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziiile prezentului regulament. Cu toate acestea,
operatorul nu ar trebui s refuze s preia informaiile suplimentare furnizate de persoana vizat cu scopul de a
sprijini exercitarea drepturilor acesteia. Identificarea ar trebui s includ identificarea digital a unei persoane
vizate, de exemplu prin mecanisme de autentificare precum aceleai acreditri utilizate de ctre persoana vizat
pentru a accesa serviciile online oferite de operatorul de date.

(58) Principiul transparenei prevede c orice informaii care se adreseaz publicului sau persoanei vizate s fie
concise, uor accesibile i uor de neles i s se utilizeze un limbaj simplu i clar, precum i vizualizare acolo
unde este cazul. Aceste informaii ar putea fi furnizate n format electronic, de exemplu atunci cnd sunt adresate
publicului, prin intermediul unui site. Acest lucru este important n special n situaii n care datorit multitudinii
actorilor i a complexitii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizat s tie i s
neleag dac datele cu caracter personal care o privesc sunt colectate, de ctre cine i n ce scop, cum este cazul
publicitii online. ntruct copiiii necesit o protecie specific, orice informaii i orice comunicare, n cazul n
care prelucrarea vizeaz un copil, ar trebui s fie exprimate ntr-un limbaj simplu i clar, astfel nct copilul s l
poat nelege cu uurin.

(59) Ar trebui s fie prevzute modaliti de facilitare a exercitrii de ctre persoana vizat a drepturilor care i sunt
conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita i, dac este cazul,
obine, n mod gratuit, n special, acces la datele cu caracter personal, precum i rectificarea sau tergerea
acestora, i exercitarea dreptului la opoziie. Operatorul ar trebui s ofere, de asemenea, modaliti de introducere
a cererilor pe cale electronic, mai ales n cazul n care datele cu caracter personal sunt prelucrate prin mijloace
electronice. Operatorul ar trebui s aib obligaia de a rspunde cererilor persoanelor vizate fr ntrzieri nejusti
ficate i cel trziu n termen de o lun i, n cazul n care nu intenioneaz s se conformeze respectivele cereri, s
motiveze acest refuz.

(1) Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului din 16 decembrie 2008 privind statisticile comunitare
referitoare la sntatea public, precum i la sntatea i sigurana la locul de munc (JO L 354, 31.12.2008, p. 70).
L 119/12 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(60) Conform principiilor prelucrrii echitabile i transparente, persoana vizat este informat cu privire la existena
unei operaiuni de prelucrare i la scopurile acesteia. Operatorul ar trebui s furnizeze persoanei vizate orice
informaii suplimentare necesare pentru a asigura o prelucrare echitabil i transparent, innd seama de circum
stanele specifice i de contextul n care sunt prelucrate datele cu caracter personal. n plus, persoana vizat ar
trebui informat cu privire la crearea de profiluri, precum i la consecinele acesteia. Atunci cnd datele cu
caracter personal sunt colectate de la persoana vizat, aceasta ar trebui informat, de asemenea, dac are obligaia
de a furniza datele cu caracter personal i care sunt consecinele n cazul unui refuz. Aceste informaii pot fi
furnizate n combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clar
lizibil o imagine de ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele sunt
prezentate n format electronic, acestea ar trebui s poat fi citite automat.

(61) Informaiile n legtur cu prelucrarea datelor cu caracter personal referitoare la persoana vizat ar trebui
furnizate acesteia la momentul colectrii de la persoana vizat sau, n cazul n care datele cu caracter personal
sunt obinute din alt surs, ntr-o perioad rezonabil, n funcie de circumstanele cazului. n cazul n care
datele cu caracter personal pot fi divulgate n mod legitim unui alt destinatar, persoana vizat ar trebui informat
atunci cnd datele cu caracter personal sunt divulgate pentru prima dat destinatarului. n cazul n care
operatorul intenioneaz s prelucreze datele cu caracter personal ntr-un alt scop dect cel pentru care acestea au
fost colectate, operatorul ar trebui s furnizeze persoanei vizate, nainte de aceast prelucrare ulterioar,
informaii privind scopul secundar respectiv i alte informaii necesare. n cazul n care originea datelor cu
caracter personal nu a putut fi comunicat persoanei vizate din cauz c au fost utilizate surse diverse,
informaiile generale ar trebui furnizate.

(62) Cu toate acestea, nu este necesar impunerea obligaiei de a furniza informaii n cazul n care persoana vizat
deine deja informaiile, n cazul n care nregistrarea sau divulgarea datelor cu caracter personal este prevzut n
mod expres de lege sau n cazul n care informarea persoanei vizate se dovedete imposibil sau ar implica
eforturi disproporionate. Acesta din urm ar putea fi cazul n special atunci cnd prelucrarea se efectueaz n
scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. n
aceast privin, ar trebui luate n considerare numrul persoanelor vizate, vechimea datelor i orice garanii
adecvate adoptate.

(63) O persoan vizat ar trebui s aib drept de acces la datele cu caracter personal colectate care o privesc i ar
trebui s i exercite acest drept cu uurin i la intervale de timp rezonabile, pentru a fi informat cu privire la
prelucrare i pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la
datele lor privind sntatea, de exemplu datele din registrele lor medicale coninnd informaii precum
diagnostice, rezultate ale examinrilor, evaluri ale medicilor curani i orice tratament sau intervenie efectuat.
Orice persoan vizat ar trebui, prin urmare, s aib dreptul de a cunoate i de a i se comunica n special
scopurile n care sunt prelucrate datele, dac este posibil perioada pentru care se prelucreaz datele cu caracter
personal, destinatarii datelor cu caracter personal, logica de prelucrare automat a datelor cu caracter personal i,
cel puin n cazul n care se bazeaz pe crearea de profiluri, consecinele unei astfel de prelucrri. Dac acest
lucru este posibil, operatorul de date ar trebui s poat furniza acces de la distan la un sistem sigur, care s
ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui s aduc atingere
drepturilor sau libertilor altora, inclusiv secretului comercial sau proprietii intelectuale i, n special,
drepturilor de autor care asigur protecia programelor software. Cu toate acestea, consideraiile de mai sus nu ar
trebui s aib drept rezultat refuzul de a furniza toate informaiile persoanei vizate. Atunci cnd operatorul
prelucreaz un volum mare de informaii privind persoana vizat, operatorul ar trebui s poat solicita ca, nainte
de a i fi furnizate informaiile, persoana vizat s precizeze informaiile sau activitile de prelucrare la care se
refer cererea sa.

(64) Operatorul ar trebui s ia toate msurile rezonabile pentru a verifica identitatea unei persoane vizate care solicit
acces la date, n special n contextul serviciilor online i al identificatorilor online. Un operator nu ar trebui s
rein datele cu caracter personal n scopul exclusiv de a fi n msur s reacioneze la cereri poteniale.

(65) O persoan vizat ar trebui s aib dreptul la rectificarea datelor cu caracter personal care o privesc i dreptul de
a fi uitat, n cazul n care pstrarea acestor date ncalc prezentul regulament sau dreptul Uniunii sau dreptul
intern sub incidena cruia intr operatorul. n special, persoanele vizate ar trebui s aib dreptul ca datele lor cu
caracter personal s fie terse i s nu mai fie prelucrate, n cazul n care datele cu caracter personal nu mai sunt
necesare pentru scopurile n care sunt colectate sau sunt prelucrate, n cazul n care persoanele vizate i-au retras
consimmntul pentru prelucrare sau n cazul n care acestea se opun prelucrrii datelor cu caracter personal
care le privesc sau n cazul n care prelucrarea datelor cu caracter personal ale acestora nu este conform cu
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/13

prezentul regulament. Acest drept este relevant n special n cazul n care persoana vizat i-a dat consimmntul
cnd era copil i nu cunotea pe deplin riscurile pe care le implic prelucrarea, iar ulterior dorete s elimine
astfel de date cu caracter personal, n special de pe internet. Persoana vizat ar trebui s aib posibilitatea de a-i
exercita acest drept n pofida faptului c nu mai este copil. Cu toate acestea, pstrarea n continuare a datelor cu
caracter personal ar trebui s fie legal n cazul n care este necesar pentru exercitarea dreptului la libertatea de
exprimare i de informare, pentru respectarea unei obligaii legale, pentru ndeplinirea unei sarcini care servete
unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, din motive
de interes public n domeniul sntii publice, n scopuri de arhivare n interes public, n scopuri de cercetare
tiinific sau istoric ori n scopuri statistice sau pentru constatarea, exercitarea sau aprarea unui drept n
instan.

(66) Pentru a se consolida dreptul de a fi uitat n mediul online, dreptul de tergere ar trebui s fie extins astfel nct
un operator care a fcut publice date cu caracter personal ar trebui s aib obligaia de a informa operatorii care
prelucreaz respectivele date cu caracter personal s tearg orice linkuri ctre datele respective sau copii sau
reproduceri ale acestora. n acest scop, operatorul n cauz ar trebui s ia msuri rezonabile, innd seama de
tehnologia disponibil i de mijloacele aflate la dispoziia lui, inclusiv msuri tehnice, pentru a informa operatorii
care prelucreaz datele cu caracter personal n ceea ce privete cererea persoanei vizate.

(67) Metodele de restricionare a prelucrrii de date cu caracter personal ar putea include, printre altele, mutarea
temporar a datelor cu caracter personal selectate ntr-un alt sistem de prelucrare, sau anularea accesului utiliza
torilor la datele selectate sau nlturarea temporar a datelor publicate de pe un site. n ceea ce privete sistemele
automatizate de eviden a datelor, restricionarea prelucrrii ar trebui, n principiu, asigurat prin mijloace
tehnice n aa fel nct datele cu caracter personal s nu fac obiectul unor operaiuni de prelucrare ulterioar i
s nu mai poat fi schimbate. Faptul c prelucrarea datelor cu caracter personal este restricionat ar trebui
indicat n mod clar n sistem.

(68) Pentru a spori suplimentar controlul asupra propriilor date, persoana vizat ar trebui, n cazul n care datele cu
caracter personal sunt prelucrate prin mijloace automate, s poat primi datele cu caracter personal care o privesc
i pe care le-a furnizat unui operator, ntr-un format structurat, utilizat n mod curent, prelucrabil automat i
interoperabil i s le poat transmite unui alt operator. Operatorii de date ar trebui s fie ncurajai s dezvolte
formate interoperabile care s permit portabilitatea datelor. Acest drept ar trebui s se aplice n cazul n care
persoana vizat a furnizat datele cu caracter personal pe baza propriului consimmnt sau n cazul n care
prelucrarea datelor este necesar pentru executarea unui contract. Acest drept nu ar trebui s se aplice n cazul n
care prelucrarea se bazeaz pe un alt temei juridic dect consimmntul sau contractul. Prin nsi natura sa,
acest drept nu ar trebui exercitat mpotriva operatorilor care prelucreaz date cu caracter personal n cadrul
exercitrii funciilor lor publice. Acesta nu ar trebui s se aplice n special n cazul n care prelucrarea de date cu
caracter personal este necesar n vederea respectrii unei obligaii legale creia i este supus operatorul sau n
cazul ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea unei autoriti
publice cu care este nvestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter
personal care o privesc nu ar trebui s creeze pentru operatori obligaia de a adopta sau de a menine sisteme de
prelucrare care s fie compatibile din punct de vedere tehnic. n cazul n care, ntr-un anumit set de date cu
caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar
trebui s aduc atingere drepturilor i libertilor altor persoane vizate, n conformitate cu prezentul regulament.
De asemenea, acest drept nu ar trebui s aduc atingere dreptului persoanei vizate de a obine tergerea datelor cu
caracter personal i limitrilor dreptului respectiv, astfel cum sunt prevzute n prezentul regulament, i nu ar
trebui, n special, s implice tergerea acelor date cu caracter personal referitoare la persoana vizat care au fost
furnizate de ctre aceasta n vederea executrii unui contract, n msura n care i att timp ct datele respective
sunt necesare pentru executarea contractului. Persoana vizat ar trebui s aib dreptul ca datele cu caracter
personal s fie transmise direct de la un operator la altul, dac acest lucru este fezabil din punct de vedere tehnic.

(69) n cazurile n care datele cu caracter personal ar putea fi prelucrate n mod legal deoarece prelucrarea este
necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea
autoritii publice cu care este nvestit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei
pri tere, o persoan vizat ar trebui s aib totui dreptul de a se opune prelucrrii oricror date cu caracter
personal care se refer la situaia sa particular. Ar trebui s revin operatorului sarcina de a demonstra c
interesele sale legitime i imperioase prevaleaz asupra intereselor sau a drepturilor i libertilor fundamentale ale
persoanei vizate.

(70) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de marketing direct, persoana vizat ar
trebui s aib dreptul de a se opune unei astfel de prelucrri, inclusiv crerii de profiluri n msura n care aceasta
are legtur cu marketingul direct, indiferent dac prelucrarea n cauz este cea iniial sau una ulterioar, n orice
moment i n mod gratuit. Acest drept ar trebui adus n mod explicit n atenia persoanei vizate i prezentat n
mod clar i separat de orice alte informaii.
L 119/14 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(71) Persoana vizat ar trebui s aib dreptul de a nu face obiectul unei decizii, care poate include o msur, care
evalueaz aspecte personale referitoare la persoana vizat, care se bazeaz exclusiv pe prelucrarea automat i
care produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnifi
cativ, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronic, fr
intervenie uman. O astfel de prelucrare include crearea de profiluri, care const n orice form de prelucrare
automat a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoan fizic, n
special n vederea analizrii sau preconizrii anumitor aspecte privind randamentul la locul de munc al
persoanei vizate, situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau
comportamentul, locaia sau deplasrile, atunci cnd aceasta produce efecte juridice care privesc persoana vizat
sau o afecteaz n mod similar ntr-o msur semnificativ. Cu toate acestea, luarea de decizii pe baza unei astfel
de prelucrri, inclusiv crearea de profiluri, ar trebui permis n cazul n care este autorizat n mod expres n
dreptul Uniunii sau n dreptul intern care se aplic operatorului, inclusiv n scopul monitorizrii i prevenirii
fraudei i a evaziunii fiscale, desfurate n conformitate cu reglementrile, standardele i recomandrile institu
iilor Uniunii sau ale organismelor naionale de supraveghere, i n scopul asigurrii securitii i fiabilitii unui
serviciu oferit de operator sau n cazul n care este necesar pentru ncheierea sau executarea unui contract ntre
persoana vizat i un operator sau n cazul n care persoana vizat i-a dat n mod explicit consimmntul. n
orice caz, o astfel de prelucrare ar trebui s fac obiectul unor garanii corespunztoare, care ar trebui s includ
o informare specific a persoanei vizate i dreptul acesteia de a obine intervenie uman, de a-i exprima punctul
de vedere, de a primi o explicaie privind decizia luat n urma unei astfel de evaluri, precum i dreptul de a
contesta decizia. O astfel de msur nu ar trebui s se refere la un copil.

Pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat, avnd n vedere
circumstanele specifice i contextul n care sunt prelucrate datele cu caracter personal, operatorul ar trebui s
utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, s implementeze msuri tehnice
i organizatorice adecvate pentru a asigura n special faptul c factorii care duc la inexactiti ale datelor cu
caracter personal sunt corectai i c riscul de erori este redus la minimum, precum i s securizeze datele cu
caracter personal ntr-un mod care s in seama de pericolele poteniale la adresa intereselor i drepturilor
persoanei vizate i care s previn, printre altele, efectele discriminatorii mpotriva persoanelor pe motiv de ras
sau origine etnic, opinii politice, religie sau convingeri, apartenen sindical, caracteristici genetice, stare de
sntate sau orientare sexual sau care s duc la msuri care s aib astfel de efecte. Procesul decizional
automatizat i crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise
numai n condiii specifice.

(72) Crearea de profiluri este supus normelor prezentului regulament care reglementeaz prelucrarea datelor cu
caracter personal, precum temeiurile juridice ale prelucrrii sau principiile de protecie a datelor. Comitetul
european pentru protecia datelor instituit prin prezentul regulament (comitetul) ar trebui s poat emite
orientri n acest context.

(73) Dreptul Uniunii sau dreptul intern poate impune restricii n privina unor principii specifice, n privina dreptului
de informare, a dreptului de acces la datele cu caracter personal i de rectificare sau tergere a acestora, n privina
dreptului la portabilitatea datelor, a dreptului la opoziie, a deciziilor bazate pe crearea de profiluri, precum i n
privina comunicrii unei nclcri a securitii datelor cu caracter personal persoanei vizate i a anumitor
obligaii conexe ale operatorilor, n msura n care acest lucru este necesar i proporional ntr-o societate
democratic pentru a se garanta sigurana public, inclusiv protecia vieii oamenilor, n special ca rspuns la
dezastre naturale sau provocate de om, prevenirea, investigarea i urmrirea penal a infraciunilor sau executarea
pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice sau mpotriva nclcrii eticii
n cazul profesiilor reglementate i prevenirea acestora, alte obiective importante de interes public general ale
Uniunii sau ale unui stat membru, n special un interes economic sau financiar important al Uniunii sau al unui
stat membru, meninerea de registre publice din motive de interes public general, prelucrarea ulterioar a datelor
cu caracter personal arhivate pentru a transmite informaii specifice legate de comportamentul politic n perioada
regimurilor fostelor state totalitare, protecia persoanei vizate sau a drepturilor i libertilor unor teri, inclusiv
protecia social, sntatea public i scopurile umanitare. Aceste restricii ar trebui s fie conforme cu cerinele
prevzute de cart i de Convenia european pentru aprarea drepturilor omului i a libertilor fundamentale.

(74) Ar trebui s se stabileasc responsabilitatea i rspunderea operatorului pentru orice prelucrare a datelor cu
caracter personal efectuat de ctre acesta sau n numele su. n special, operatorul ar trebui s fie obligat s
implementeze msuri adecvate i eficace i s fie n msur s demonstreze conformitatea activitilor de
prelucrare cu prezentul regulament, inclusiv eficacitatea msurilor. Aceste msuri ar trebui s in seama de
natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i de riscul pentru drepturile i libertile
persoanelor fizice.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/15

(75) Riscul pentru drepturile i libertile persoanelor fizice, prezentnd grade diferite de probabilitate de materializare
i de gravitate, poate fi rezultatul unei prelucrri a datelor cu caracter personal care ar putea genera prejudicii de
natur fizic, material sau moral, n special n cazurile n care: prelucrarea poate conduce la discriminare, furt
sau fraud a identitii, pierdere financiar, compromiterea reputaiei, pierderea confidenialitii datelor cu
caracter personal protejate prin secret profesional, inversarea neautorizat a pseudonimizrii sau la orice alt
dezavantaj semnificativ de natur economic sau social; persoanele vizate ar putea fi private de drepturile i
libertile lor sau mpiedicate s-i exercite controlul asupra datelor lor cu caracter personal; datele cu caracter
personal prelucrate sunt date care dezvluie originea rasial sau etnic, opiniile politice, religia sau convingerile
filozofice, apartenena sindical; sunt prelucrate date genetice, date privind sntatea sau date privind viaa
sexual sau privind condamnrile penale i infraciunile sau msurile de securitate conexe; sunt evaluate aspecte
de natur personal, n special analizarea sau previzionarea unor aspecte privind randamentul la locul de munc,
situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau comportamentul,
locaia sau deplasrile, n scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu
caracter personal ale unor persoane vulnerabile, n special ale unor copii; sau prelucrarea implic un volum mare
de date cu caracter personal i afecteaz un numr larg de persoane vizate.

(76) Probabilitatea de a se materializa i gravitatea riscului pentru drepturile i libertile persoanei vizate ar trebui s
fie determinate n funcie de natura, domeniul de aplicare, contextul i scopurile prelucrrii datelor cu caracter
personal. Riscul ar trebui apreciat pe baza unei evaluri obiective prin care se stabilete dac operaiunile de
prelucrare a datelor prezint un risc sau un risc ridicat.

(77) Orientri pentru implementarea unor msuri adecvate i pentru demonstrarea conformitii de ctre operator sau
persoana mputernicit de operator, mai ales n ceea ce privete identificarea riscului legat de prelucrare, evaluarea
acestuia din punctul de vedere al originii, naturii, probabilitii de a se materializa i al gravitii, precum i identi
ficarea bunelor practici pentru atenuarea riscului ar putea fi oferite n special prin coduri de conduit aprobate,
certificri aprobate, orientri ale comitetului sau prin indicaii furnizate de un responsabil cu protecia datelor.
Comitetul poate, de asemenea, s emit orientri cu privire la operaiunile de prelucrare care sunt considerate
puin susceptibile de a genera un risc ridicat pentru drepturile i libertile persoanelor fizice i s indice msurile
care se pot dovedi suficiente n asemenea cazuri pentru a aborda un astfel de risc.

(78) Protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal
necesit adoptarea de msuri tehnice i organizatorice corespunztoare pentru a se asigura ndeplinirea cerinelor
din prezentul regulament. Pentru a fi n msur s demonstreze conformitatea cu prezentul regulament,
operatorul ar trebui s adopte politici interne i s pun n aplicare msuri care s respecte n special principiul
proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor. Astfel de msuri ar
putea consta, printre altele, n reducerea la minimum a prelucrrii datelor cu caracter personal, pseudonimizarea
acestor date ct mai curnd posibil, transparena n ceea ce privete funciile i prelucrarea datelor cu caracter
personal, abilitarea persoanei vizate s monitorizeze prelucrarea datelor, abilitarea operatorului s creeze elemente
de siguran i s le mbunteasc. Atunci cnd elaboreaz, proiecteaz, selecteaz i utilizeaz aplicaii, servicii
i produse care se bazeaz pe prelucrarea datelor cu caracter personal sau care prelucreaz date cu caracter
personal pentru a-i ndeplini rolul, productorii acestor produse i furnizorii acestor servicii i aplicaii ar trebui
s fie ncurajai s aib n vedere dreptul la protecia datelor la momentul elaborrii i proiectrii unor astfel de
produse, servicii i aplicaii i, innd cont de stadiul actual al dezvoltrii, s se asigure c operatorii i persoanele
mputernicite de operatori sunt n msur s i ndeplineasc obligaiile referitoare la protecia datelor.Principiul
proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor ar trebui s fie luate n
considerare i n contextul licitaiilor publice.

(79) Protecia drepturilor i libertilor persoanelor vizate, precum i responsabilitatea i rspunderea operatorilor i a
persoanelor mputernicite de operator, inclusiv n ceea ce privete monitorizarea de ctre autoritile de
supraveghere i msurile adoptate de acestea, necesit o atribuire clar a responsabilitilor n temeiul prezentului
regulament, inclusiv n cazul n care un operator stabilete scopurile i mijloacele prelucrrii mpreun cu ali
operatori sau n cazul n care o operaiune de prelucrare este efectuat n numele unui operator.

(80) Atunci cnd un operator sau o persoan mputernicit de operator care nu este stabilit n Uniune prelucreaz
date cu caracter personal ale unor persoane vizate care se afl pe teritoriul Uniunii, iar activitile sale de
prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac
se solicit sau nu efectuarea unei pli de ctre persoana vizat, sau cu monitorizarea comportamentului unor
persoane vizate dac acesta se manifest n cadrul Uniunii, operatorul sau persoana mputernicit de operator ar
trebui s desemneze un reprezentant, cu excepia cazului n care prelucrarea are caracter ocazional, nu include
prelucrarea pe scar larg a unor categorii speciale de date cu caracter personal i nici prelucrarea de date
L 119/16 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

referitoare la condamnri penale i la infraciuni, i este puin susceptibil s genereze un risc pentru drepturile i
libertile persoanelor fizice, avnd n vedere natura, contextul, domeniul de aplicare i scopurile prelucrrii,
precum i a cazului n care operatorul este o autoritate public sau un organism public. Reprezentantul ar trebui
s acioneze n numele operatorului sau al persoanei mputernicite de operator, putnd fi contactat de orice
autoritate de supraveghere. Reprezentantul ar trebui desemnat n mod explicit, printr-un mandat scris al
operatorului sau al persoanei mputernicite de operator, s acioneze n numele acestuia (acesteia) n ceea ce
privete obligaiile lor n temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce
atingere responsabilitii sau rspunderii operatorului sau a persoanei mputernicite de operator n temeiul
prezentului regulament. Un astfel de reprezentant ar trebui s i ndeplineasc sarcinile n conformitate cu
mandatul primit de la operator sau de la persoana mputernicit de operator, inclusiv s coopereze cu autoritile
de supraveghere competente n ceea ce privete orice aciune ntreprins pentru a asigura respectarea prezentului
regulament. Reprezentantul desemnat ar trebui s fie supus unor proceduri de asigurare a respectrii legii n cazul
nerespectrii prezentului regulament de ctre operator sau de ctre persoana mputernicit de operator.

(81) Pentru a asigura respectarea cerinelor impuse de prezentul regulament n ceea ce privete prelucrarea care
trebuie efectuat n numele operatorului de ctre persoana mputernicit de operator, atunci cnd atribuie
activiti de prelucrare unei persoane mputernicite de operator, acesta din urm ar trebui s utilizeze numai
persoane mputernicite care ofer garanii suficiente, n special n ceea ce privete cunotinele de specialitate,
fiabilitatea i resursele, pentru a implementa msuri tehnice i organizatorice care ndeplinesc cerinele impuse de
prezentul regulament, inclusiv pentru securitatea prelucrrii. Aderarea de ctre persoana mputernicit de
operator la un cod de conduit aprobat sau la un mecanism de certificare aprobat poate fi utilizat drept element
care s demonstreze respectarea obligaiilor de ctre operator. Efectuarea prelucrrii de ctre o persoan mputer
nicit de un operator ar trebui s fie reglementat printr-un contract sau un alt tip de act juridic, n temeiul
dreptului Uniunii sau al dreptului intern, care creeaz obligaii pentru persoana mputernicit de operator n
raport cu operatorul i care stabilete obiectul i durata prelucrrii, natura i scopurile prelucrrii, tipul de date cu
caracter personal i categoriile de persoane vizate, i ar trebui s in seama de sarcinile i responsabilitile
specifice ale persoanei mputernicite de operator n contextul prelucrrii care trebuie efectuat, precum i de
riscul pentru drepturile i libertile persoanei vizate. Operatorul i persoana mputernicit de operator pot alege
s utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de
o autoritate de supraveghere n conformitate cu mecanismul de asigurare a coerenei i apoi adoptate de Comisie.
Dup finalizarea prelucrrii n numele operatorului, persoana mputernicit de operator ar trebui s returneze sau
s tearg, n funcie de opiunea operatorului, datele cu caracter personal, cu excepia cazului n care exist o
cerin de stocare a datelor cu caracter personal n temeiul dreptului Uniunii sau al dreptului intern care instituie
obligaii pentru persoana mputernicit de operator.

(82) n vederea demonstrrii conformitii cu prezentul regulament, operatorul sau persoana mputernicit de operator
ar trebui s pstreze evidene ale activitilor de prelucrare aflate n responsabilitatea sa. Fiecare operator i fiecare
persoan mputernicit de operator ar trebui s aib obligaia de a coopera cu autoritatea de supraveghere i de a
pune la dispoziia acesteia, la cerere, aceste evidene, pentru a putea fi utilizate n scopul monitorizrii
operaiunilor de prelucrare respective.

(83) n vederea meninerii securitii i a prevenirii prelucrrilor care ncalc prezentul regulament, operatorul sau
persoana mputernicit de operator ar trebui s evalueze riscurile inerente prelucrrii i s implementeze msuri
pentru atenuarea acestor riscuri, cum ar fi criptarea. Msurile respective ar trebui s asigure un nivel
corespunztor de securitate, inclusiv confidenialitatea, lund n considerare stadiul actual al dezvoltrii i
costurile implementrii n raport cu riscurile i cu natura datelor cu caracter personal a cror protecie trebuie
asigurat. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui s se acorde atenie
riscurilor pe care le prezint prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea
neautorizat sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate n alt mod, n
mod accidental sau ilegal, care pot duce n special la prejudicii fizice, materiale sau morale.

(84) Pentru a favoriza respectarea dispoziiilor prezentului regulament n cazurile n care operaiunile de prelucrare
sunt susceptibile s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul ar trebui
s fie responsabil de efectuarea unei evaluri a impactului asupra proteciei datelor, care s estimeze, n special,
originea, natura, specificitatea i gravitatea acestui risc. Rezultatul evalurii ar trebui luat n considerare la
stabilirea msurilor adecvate care trebuie luate pentru a demonstra c prelucrarea datelor cu caracter personal
respect prezentul regulament. n cazul n care o evaluare a impactului asupra proteciei datelor arat c
operaiunile de prelucrare implic un risc ridicat, pe care operatorul nu l poate atenua prin msuri adecvate sub
aspectul tehnologiei disponibile i al costurilor implementrii, ar trebui s aib loc o consultare a autoritii de
supraveghere nainte de prelucrare.

(85) Dac nu este soluionat la timp i ntr-un mod adecvat, o nclcare a securitii datelor cu caracter personal
poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului
asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraud de identitate,
pierdere financiar, inversarea neautorizat a pseudonimizrii, compromiterea reputaiei, pierderea confidenia
litii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natur
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/17

economic sau social adus persoanei fizice n cauz. Prin urmare, de ndat ce a luat cunotin de producerea
unei nclcri a securitii datelor cu caracter personal, operatorul ar trebui s notifice aceast nclcare autoritii
de supraveghere, fr ntrziere nejustificat i, dac este posibil, n cel mult 72 de ore dup ce a luat la
cunotin de existena acesteia, cu excepia cazului n care operatorul este n msur s demonstreze, n
conformitate cu principiul responsabilitii, c nclcarea securitii datelor cu caracter personal nu este
susceptibil s genereze un risc pentru drepturile i libertile persoanelor fizice. Atunci cnd notificarea nu se
poate realiza n termen de 72 de ore, aceasta ar trebui s cuprind motivele ntrzierii, iar informaiile pot fi
furnizate treptat, fr alt ntrziere.

(86) Operatorul ar trebui s comunice persoanei vizate o nclcare a securitii datelor cu caracter personal, fr
ntrzieri nejustificate, atunci cnd nclcarea este susceptibil s genereze un risc ridicat pentru drepturile i
libertile persoanei fizice, pentru a-i permite s ia msurile de precauie necesare. Comunicarea ar trebui s
descrie natura nclcrii securitii datelor cu caracter personal i s cuprind recomandri pentru persoana fizic
n cauz n scopul atenurii eventualelor efecte negative. Comunicrile ctre persoanele vizate ar trebui efectuate
n cel mai scurt timp posibil n mod rezonabil i n strns cooperare cu autoritatea de supraveghere,
respectndu-se orientrile furnizate de aceasta sau de alte autoriti competente, cum ar fi autoritile de aplicare
a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune
comunicarea cu promptitudine ctre persoanele vizate, n timp ce necesitatea de a implementa msuri corespun
ztoare mpotriva nclcrii n continuare a securitii datelor cu caracter personal sau mpotriva unor nclcri
similare ale securitii datelor cu caracter personal ar putea justifica un termen mai ndelungat pentru
comunicare.

(87) Ar trebui s se stabileasc dac au fost implementate toate msurile tehnologice de protecie i organizatorice
corespunztoare n scopul de a se stabili imediat dac s-a produs o nclcare a securitii datelor cu caracter
personal i de a se informa cu promptitudine autoritatea de supraveghere i persoana vizat. Faptul c notificarea
a fost efectuat fr ntrziere nejustificat ar trebui stabilit lundu-se n considerare, n special, natura i
gravitatea nclcrii securitii datelor cu caracter personal, precum i consecinele i efectele negative ale acesteia
asupra persoanei vizate. Aceast notificare poate conduce la o intervenie a autoritii de supraveghere, n
conformitate cu sarcinile i competenele specificate n prezentul regulament.

(88) La stabilirea de norme detaliate privind formatul i procedurile aplicabile notificrii referitoare la nclcrile
securitii datelor cu caracter personal, ar trebui s se acorde atenia cuvenit circumstanelor n care a avut loc
nclcarea, stabilindu-se inclusiv dac protecia datelor cu caracter personal a fost sau nu a fost asigurat prin
msuri tehnice de protecie corespunztoare, care s limiteze efectiv probabilitatea fraudrii identitii sau a altor
forme de utilizare abuziv. n plus, astfel de norme i proceduri ar trebui s in cont de interesele legitime ale
autoritilor de aplicare a legii n cazurile n care divulgarea timpurie ar putea ngreuna n mod inutil investigarea
circumstanelor n care a avut loc o nclcare a datelor cu caracter personal.

(89) Directiva 95/46/CE a prevzut o obligaie general de a notifica prelucrarea datelor cu caracter personal autori
tilor de supraveghere. Cu toate c obligaia respectiv genereaz sarcini administrative i financiare, aceasta nu a
contribuit ntotdeauna la mbuntirea proteciei datelor cu caracter personal. Prin urmare, astfel de obligaii de
notificare general nedifereniat ar trebui s fie abrogate i nlocuite cu proceduri i mecanisme eficace care s
pun accentul, n schimb, pe acele tipuri de operaiuni de prelucrare susceptibile s genereze un risc ridicat
pentru drepturile i libertile persoanelor fizice prin nsi natura lor, prin domeniul lor de aplicare, prin
contextul i prin scopurile lor. Astfel de tipuri de operaiuni de prelucrare pot fi cele care presupun, n special,
utilizarea unor noi tehnologii sau care reprezint un nou tip de operaiuni, pentru care nicio evaluare a
impactului asupra proteciei datelor nu a fost efectuat anterior de ctre operator ori care devin necesare dat
fiind perioada de timp care s-a scurs de la prelucrarea iniial.

(90) n astfel de cazuri, operatorul ar trebui s efectueze, nainte de prelucrare, o evaluare a impactului asupra
proteciei datelor, n scopul evalurii gradului specific de probabilitate a materializrii riscului ridicat i gravitatea
acestuia, avnd n vedere natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i sursele
riscului. Respectiva evaluare a impactului ar trebui s includ, n special, msurile, garaniile i mecanismele avute
n vedere pentru atenuarea riscului respectiv, pentru asigurarea proteciei datelor cu caracter personal i pentru
demonstrarea conformitii cu prezentul regulament.

(91) Aceasta ar trebui s se aplice, n special, operaiunilor de prelucrare la scar larg, care au drept obiectiv
prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naional sau supranaional,
care ar putea afecta un numr mare de persoane vizate i care sunt susceptibile de a genera un risc ridicat, de
exemplu, din cauza sensibilitii lor, n cazul n care, n conformitate cu nivelul atins al cunotinelor tehnologice,
se folosete la scar larg o tehnologie nou, precum i altor operaiuni de prelucrare care genereaz un risc
ridicat pentru drepturile i libertile persoanelor vizate, n special n cazul n care operaiunile respective
L 119/18 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

limiteaz capacitatea persoanelor vizate de a-i exercita drepturile. Ar trebui efectuat o evaluare a impactului
asupra proteciei datelor i n situaiile n care datele cu caracter personal sunt prelucrate n scopul lurii de
decizii care vizeaz anumite persoane fizice n urma unei evaluri sistematice i cuprinztoare a aspectelor
personale referitoare la persoane fizice, pe baza crerii de profiluri pentru datele respective, sau n urma
prelucrrii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind
condamnrile penale i infraciunile sau msurile de securitate conexe. Este la fel de necesar o evaluare a
impactului asupra proteciei datelor pentru monitorizarea la scar larg a zonelor accesibile publicului, mai ales
n cazul utilizrii dispozitivelor optoelectronice sau pentru orice alte operaiuni n cazul n care autoritatea de
supraveghere competent consider c prelucrarea este susceptibil de a genera un risc ridicat pentru drepturile i
libertile persoanelor vizate, n special deoarece acestea mpiedic persoanele vizate s exercite un drept sau s
utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate n mod sistematic la scar larg.
Prelucrarea datelor cu caracter personal nu ar trebui considerat a fi la scar larg n cazul n care prelucrarea se
refer la date cu caracter personal de la pacieni sau clieni de ctre un anumit medic, un alt profesionist n
domeniul sntii sau un avocat. n aceste cazuri, o evaluare a impactului asupra proteciei datelor nu ar trebui
s fie obligatorie.

(92) n unele circumstane ar putea fi rezonabil i util din punct de vedere economic ca o evaluare a impactului asupra
proteciei datelor s aib o perspectiv mai extins dect cea a unui singur proiect, de exemplu n cazul n care
autoriti sau organisme publice intenioneaz s instituie o aplicaie sau o platform de prelucrare comun sau
n cazul n care mai muli operatori preconizeaz s introduc o aplicaie comun sau un mediu de prelucrare
comun n cadrul unui sector sau segment industrial sau pentru o activitate orizontal utilizat la scar larg.

(93) n contextul adoptrii legislaiei naionale pe care se bazeaz ndeplinirea sarcinilor autoritii publice sau ale
organismului public i care reglementeaz operaiunea sau seria de operaiuni de prelucrare n cauz, statele
membre pot considera c este necesar efectuarea unei astfel de evaluri naintea desfurrii activitilor de
prelucrare.

(94) n cazul n care o evaluare a impactului asupra proteciei datelor arat c prelucrarea ar genera, n absena
garaniilor, msurilor de securitate i mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile i
libertile persoanelor fizice, iar operatorul consider c riscul nu poate fi atenuat prin mijloace rezonabile sub
aspectul tehnologiilor disponibile i al costurilor implementrii, autoritatea de supraveghere ar trebui s fie
consultat nainte de nceperea activitilor de prelucrare. Un astfel de risc ridicat este susceptibil s fie generat de
anumite tipuri de prelucrare, precum i de amploarea i frecvena prelucrrii, care pot duce i la producerea unor
prejudicii sau pot atinge drepturile i libertile persoanelor fizice. Autoritatea de supraveghere ar trebui s
rspund cererii de consultare ntr-un anumit termen. Cu toate acestea, lipsa unei reacii din partea autoritii de
supraveghere n termenul respectiv ar trebui s nu aduc atingere niciunei intervenii a autoritii de supraveghere
n conformitate cu sarcinile i competenele sale prevzute n prezentul regulament, inclusiv competena de a
interzice operaiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluri a impactului
asupra proteciei datelor efectuate cu privire la prelucrarea n cauz poate fi transmis autoritii de supraveghere,
n special msurile avute n vedere pentru a atenua riscul pentru drepturile i libertile persoanelor fizice.

(95) Persoana mputernicit de operator ar trebui s acorde asisten operatorului, dac este necesar i la cerere, la
asigurarea respectrii obligaiilor care decurg din realizarea de evaluri ale impactului asupra proteciei datelor i
din consultarea prealabil a autoritii de supraveghere.

(96) n timpul elaborrii unei msuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter
personal ar trebui, de asemenea, s aib loc o consultare a autoritii de supraveghere, pentru a garanta confor
mitatea prelucrrii avute n vedere cu prezentul regulament i, n special, pentru a atenua riscul la care este
expus persoana vizat.

(97) n cazul n care prelucrarea este efectuat de o autoritate public, cu excepia instanelor sau a autoritilor
judiciare independente atunci cnd acioneaz n calitatea lor judiciar, n cazul n care, n sectorul privat,
prelucrarea este efectuat de un operator a crui activitate principal const n operaiuni de prelucrare care
necesit o monitorizare regulat i sistematic a persoanelor vizate pe scar larg, sau n cazul n care activitatea
principal a operatorului sau a persoanei mputernicite de operator const n prelucrarea pe scar larg de
categorii speciale de date cu caracter personal i de date privind condamnrile penale i infraciunile, o persoan
care deine cunotine de specialitate n materie de legislaie i practici privind protecia datelor ar trebui s
acorde asisten operatorului sau persoanei mputernicite de operator pentru monitorizarea conformitii, la nivel
intern, cu prezentul regulament. n sectorul privat, activitile principale ale unui operator se refer la activitile
sale de baz, i nu la prelucrarea datelor cu caracter personal drept activiti auxiliare. Nivelul necesar al
cunotinelor de specialitate ar trebui s fie stabilit n special n funcie de operaiunile de prelucrare a datelor
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/19

efectuate i de nivelul de protecie impus pentru datele cu caracter personal prelucrate de operator sau de
persoana mputernicit de operator. Aceti responsabili cu protecia datelor, indiferent dac sunt sau nu angajai
ai operatorului, ar trebui s fie n msur s i ndeplineasc atribuiile i sarcinile n mod independent.

(98) Asociaiile sau alte organisme care reprezint categorii de operatori sau de persoane mputernicite de operatori ar
trebui ncurajate s elaboreze coduri de conduit, n limitele prezentului regulament, astfel nct s se faciliteze
aplicarea efectiv a prezentului regulament, lundu-se n considerare caracteristicile specifice ale prelucrrii
efectuate n anumite sectoare i necesitile specifice ale microntreprinderilor i ale ntreprinderilor mici i
mijlocii. n special, astfel de coduri de conduit ar putea s ajusteze obligaiile operatorilor i ale persoanelor
mputernicite de operatori, innd seama de riscul aferent prelucrrii care este susceptibil de a fi generat pentru
drepturile i libertile persoanelor fizice.

(99) Atunci cnd elaboreaz un cod de conduit sau cnd modific sau extind un astfel de cod, asociaiile i alte
organisme care reprezint categorii de operatori sau persoane mputernicite de operatori ar trebui s consulte
prile implicate relevante, inclusiv persoanele vizate, dac este fezabil, i s ia n considerare contribuiile
transmise i opiniile exprimate n cadrul unor astfel de consultri.

(100) Pentru a se mbunti transparena i conformitatea cu prezentul regulament, ar trebui s se ncurajeze


instituirea de mecanisme de certificare, precum i de sigilii i mrci n materie de protecie a datelor, care s
permit persoanelor vizate s evalueze rapid nivelul de protecie a datelor aferent produselor i serviciilor
relevante.

(101) Fluxurile de date cu caracter personal ctre i dinspre ri situate n afara Uniunii i organizaii internaionale sunt
necesare pentru dezvoltarea comerului internaional i a cooperrii internaionale. Creterea acestor fluxuri a
generat noi provocri i preocupri cu privire la protecia datelor cu caracter personal. Cu toate acestea, n cazul
n care se transfer date cu caracter personal din Uniune ctre operatori, persoane mputernicite de operatori sau
ali destinatari din ri tere sau organizaii internaionale, nivelul de protecie a persoanelor fizice asigurat n
Uniune prin prezentul regulament nu ar trebui s fie diminuat, inclusiv n cazurile de transferuri ulterioare de
date cu caracter personal dinspre ara ter sau organizaia internaional ctre operatori, persoane mputernicite
de operatori din aceeai sau dintr-o alt ar ter sau organizaie internaional. n orice caz, transferurile ctre
ri tere i organizaii internaionale pot fi desfurate numai n conformitate deplin cu prezentul regulament.
Un transfer ar putea avea loc numai dac, sub rezerva respectrii celorlalte dispoziii ale prezentului regulament,
operatorul sau persoana mputernicit de operator ndeplinete condiiile prevzute de dispoziiile prezentului
regulament privind transferul de date cu caracter personal ctre ri tere sau organizaii internaionale.

(102) Prezentul regulament nu aduce atingere acordurilor internaionale ncheiate ntre Uniune i ri tere n vederea
reglementrii transferului de date cu caracter personal, inclusiv garanii adecvate pentru persoanele vizate. Statele
membre pot ncheia acorduri internaionale care implic transferul de date cu caracter personal ctre ri tere
sau organizaii internaionale, n msura n care astfel de acorduri nu afecteaz prezentul regulament i nici alte
dispoziii din dreptul Uniunii i includ un nivel corespunztor de protecie a drepturilor fundamentale ale
persoanelor vizate.

(103) Comisia poate decide, cu efect n ntreaga Uniune, c o ar ter, un teritoriu sau un anumit sector dintr-o ar
ter sau o organizaie internaional ofer un nivel adecvat de protecie a datelor, asigurnd astfel securitate
juridic i uniformitate n Uniune n ceea ce privete ara ter sau organizaia internaional care este considerat
a furniza un astfel de nivel de protecie. n aceste cazuri, transferurile de date cu caracter personal ctre ara ter
sau organizaia internaional respectiv pot avea loc fr a fi necesar s se obin autorizri suplimentare. De
asemenea, Comisia poate s decid, dup trimiterea unei notificri i a unei justificri complete rii tere sau
organizaiei internaionale, s anuleze o astfel de decizie.

(104) n conformitate cu valorile fundamentale pe care se ntemeiaz Uniunea, n special protecia drepturilor omului,
Comisia ar trebui, n evaluarea sa referitoare la ara ter sau la un teritoriu sau la un sector specificat dintr-o ar
ter, s ia n considerare modul n care aceasta respect statul de drept, accesul la justiie, precum i normele i
standardele internaionale n materie de drepturi ale omului i legislaia sa general i sectorial, inclusiv legislaia
privind securitatea public, aprarea i securitatea naional, precum i ordinea public i dreptul penal.
Adoptarea unei decizii privind caracterul adecvat al nivelului de protecie pentru un teritoriu sau un sector
specificat dintr-o ar ter ar trebui s in seama de criterii clare i obiective, cum ar fi activitile specifice de
prelucrare i domeniul de aplicare al standardelor legale aplicabile i legislaia n vigoare n ara ter respectiv.
ara ter ar trebui s ofere garanii care s asigure un nivel adecvat de protecie, echivalent n esen cu cel
L 119/20 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

asigurat n cadrul Uniunii, n special atunci cnd datele cu caracter personal sunt prelucrate n unul sau mai
multe sectoare specifice. n special, ara ter ar trebui s asigure o supraveghere efectiv independent n materie
de protecie a datelor i s prevad mecanisme de cooperare cu autoritile statelor membre de protecie a
datelor, iar persoanele vizate ar trebui s beneficieze de drepturi efective i opozabile i de reparaii efective pe
cale administrativ i judiciar.

(105) Pe lng angajamentele internaionale asumate de ara ter sau de organizaia internaional, Comisia ar trebui s
in seama de obligaiile care decurg din participarea rii tere sau a organizaiei internaionale la sistemele
multilaterale sau regionale, n special n ceea ce privete protecia datelor cu caracter personal, precum i de
punerea n aplicare a unor astfel de obligaii. n special, ar trebui s fie luat n considerare aderarea rii tere la
Convenia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor fa de prelucrarea
automatizat a datelor cu caracter personal i protocolul adiional la aceasta. Comisia ar trebui s consulte
comitetul atunci cnd evalueaz nivelul de protecie din rile tere sau din organizaiile internaionale.

(106) Comisia ar trebui s monitorizeze funcionarea deciziilor privind nivelul de protecie dintr-o ar ter sau un
teritoriu sau un anumit sector dintr-o ar ter sau dintr-o organizaie internaional i s monitorizeze
funcionarea deciziilor adoptate n temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din
Directiva 95/46/CE. n deciziile sale privind caracterul adecvat al nivelului de protecie, Comisia ar trebui s
prevad un mecanism de revizuire periodic a modului lor de funcionare. Aceast revizuire periodic ar trebui s
fie efectuat n consultare cu ara ter sau organizaia internaional n cauz i ar trebui s ia n considerare
toate evoluiile relevante din ara ter sau organizaia internaional. n scopul monitorizrii i al efecturii
revizuirilor periodice, Comisia ar trebui s ia n considerare opiniile i constatrile Parlamentului European i ale
Consiliului, precum i ale altor organisme i surse relevante. Comisia ar trebui s evalueze, ntr-un termen
rezonabil, funcionarea deciziilor din urm i s raporteze toate constatrile relevante comitetului, n sensul
Regulamentului (UE) nr. 182/2011 al Parlamentului European i al Consiliului (1), dup cum s-a stabilit n temeiul
prezentului regulament, Parlamentului European i Consiliului.

(107) Comisia poate s recunoasc faptul c o ar ter,un teritoriu sau un sector specificat dintr-o ar ter sau o
organizaie internaional nu mai asigur un nivel adecvat de protecie a datelor. n consecin, transferul de date
cu caracter personal ctre ara ter sau organizaia internaional respectiv ar trebui s fie interzis, cu excepia
cazului n care sunt ndeplinite cerinele prevzute n prezentul regulament privind transferurile n baza unor
garanii adecvate, inclusiv regulile corporatiste obligatorii i derogrile de la situaiile specifice. n acest caz, ar
trebui s se prevad dispoziii pentru consultri ntre Comisie i astfel de ri tere sau organizaii internaionale.
Comisia ar trebui ca, n timp util, s informeze ara ter sau organizaia internaional cu privire la aceste motive
i s iniieze consultri cu aceasta pentru remedierea situaiei.

(108) n absena unei decizii privind caracterul adecvat al nivelului de protecie, operatorul sau persoana mputernicit
de operator ar trebui s adopte msuri pentru a compensa lipsa proteciei datelor ntr-o ar ter prin
intermediul unor garanii adecvate pentru persoana vizat. Astfel de garanii adecvate pot consta n utilizarea
regulilor corporatiste obligatorii, a clauzelor standard de protecie a datelor adoptate de Comisie, a clauzelor
standard de protecie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de
o autoritate de supraveghere. Respectivele garanii ar trebui s asigure respectarea cerinelor n materie de
protecie a datelor i drepturi ale persoanelor vizate corespunztoare prelucrrii n interiorul Uniunii, inclusiv
disponibilitatea unor drepturi opozabile ale persoanelor vizate i a unor ci de atac eficiente, printre care dreptul
de acces la reparaii efective pe cale administrativ sau judiciar i dreptul de a solicita despgubiri, n Uniune sau
ntr-o ar ter. Acestea ar trebui s se refere n special la respectarea principiilor generale privind prelucrarea
datelor cu caracter personal: principiul proteciei datelor ncepnd cu momentul conceperii i principiul proteciei
implicite a datelor. Transferurile pot fi efectuate i de ctre autoritile sau organismele publice cu autoriti sau
organisme publice n ri tere sau cu organizaii internaionale cu atribuii i funcii corespunztoare, inclusiv pe
baza dispoziiilor care prevd drepturi opozabile i efective pentru persoanele vizate, care trebuie introduse n
acordurile administrative, cum ar fi un memorandum de nelegere. Autorizaia din partea autoritii de
supraveghere competente ar trebui obinut atunci cnd garaniile sunt oferite n cadrul unor acorduri adminis
trative fr caracter juridic obligatoriu.

(109) Posibilitatea ca operatorul sau persoana mputernicit de operator s utilizeze clauze standard n materie de
protecie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui s mpiedice operatorii

(1) Regulamentul (UE) nr. 182/2011 al Parlamentului European i al Consiliului din 16 februarie 2011 de stabilire a normelor i principiilor
generale privind mecanismele de control de ctre statele membre al exercitrii competenelor de executare de ctre Comisie (JO L 55,
28.2.2011, p. 13).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/21

sau persoanele mputernicite de acetia s includ clauzele standard n materie de protecie a datelor ntr-un
contract mai amplu, precum un contract ntre persoana mputernicit de operator i o alt persoan mputernicit
de operator, i nici s adauge alte clauze sau garanii suplimentare, att timp ct acestea nu contravin, direct sau
indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu
prejudiciaz drepturile sau libertile fundamentale ale persoanelor vizate. Operatorii i persoanele mputernicite
de operatori ar trebui s fie ncurajai s ofere garanii suplimentare prin intermediul unor angajamente
contractuale care s completeze clauzele standard n materie de protecie.

(110) Un grup de ntreprinderi sau un grup de ntreprinderi implicat ntr-o activitate economic comun ar trebui s
poat utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaionale dinspre Uniune ctre
organizaii din cadrul aceluiai grup de ntreprinderi sau grup de ntreprinderi implicate ntr-o activitate
economic comun, cu condiia ca astfel de reguli corporatiste s includ toate principiile eseniale i drepturile
opozabile n scopul asigurrii unor garanii adecvate pentru transferurile sau categoriile de transferuri de date cu
caracter personal.

(111) Ar trebui s se prevad posibilitatea de a se efectua transferuri n anumite circumstane n care persoana vizat
i-a dat consimmntul explicit, n care transferul este ocazional i necesar n legtur cu un contract sau cu o
aciune n justiie, indiferent dac este n contextul unei proceduri judiciare sau n contextul unei proceduri
administrative sau extrajudiciare, inclusiv n cadrul procedurilor naintate organismelor de reglementare. De
asemenea, ar trebui s se prevad posibilitatea de a se efectua transferuri n cazul n care motive importante de
interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau n cazul n care transferul se
efectueaz dintr-un registru instituit prin lege i destinat s fie consultat de ctre public sau de ctre persoane care
au un interes legitim. n acest ultim caz, un astfel de transfer nu ar trebui s implice totalitatea datelor cu caracter
personal sau ansamblul categoriilor de date coninute n registru, iar atunci cnd registrul este destinat s fie
consultat de persoane care au un interes legitim, transferul ar trebui s fie efectuat doar la cererea persoanelor
respective sau dac acestea sunt destinatarii, lund pe deplin n considerare interesele i drepturile fundamentale
ale persoanei vizate.

(112) Aceste derogri ar trebui s se aplice, n special, transferurilor de date solicitate i necesare din considerente
importante de interes public, de exemplu n cazul schimbului internaional de date ntre autoritile din domeniul
concurenei, administraiile fiscale sau vamale, ntre autoritile de supraveghere financiar, ntre serviciile
competente n materie de securitate social sau de sntate public, de exemplu n cazul depistrii punctelor de
contact pentru bolile contagioase sau pentru reducerea i/sau eliminarea dopajului n sport. Un transfer de date
cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul n care este necesar n scopul protejrii
unui interes care este esenial n interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru
integritatea fizic sau pentru viaa acesteia, n cazul n care persona vizat nu are capacitatea s i dea consim
mntul. n absena unei decizii privind caracterul adecvat al nivelului de protecie, dreptul Uniunii sau dreptul
intern poate, din considerente importante de interes public, stabili n mod expres limite asupra transferului unor
categorii specifice de date ctre o ar ter sau o organizaie internaional. Statele membre ar trebui s notifice
Comisiei aceste dispoziii. Orice transfer ctre o organizaie umanitar internaional al datelor cu caracter
personal ale unei persoane vizate care se afl n incapacitate fizic sau juridic de a i da consimmntul, n
vederea ndeplinirii unei sarcini care decurge din Conveniile de la Geneva sau n vederea conformrii cu dreptul
internaional umanitar aplicabil n conflictele armate, ar putea fi considerat necesar pentru un motiv important
de interes public sau pentru c este n interesul vital al persoanei vizate.

(113) Transferurile care pot fi considerate ca nefiind repetitive i care se refer doar la un numr limitat de persoane
vizate, ar putea, de asemenea, s fie efectuate n scopul realizrii intereselor legitime urmrite de operator, atunci
cnd asupra respectivelor interese nu prevaleaz interesele sau drepturile i libertile persoanei vizate i atunci
cnd operatorul a evaluat toate circumstanele aferente transferului de date. Operatorul ar trebui s acorde o
atenie deosebit naturii datelor cu caracter personal, scopului i duratei operaiunii sau operaiunilor propuse de
prelucrare, precum i situaiei din ara de origine, din ara ter i din ara de destinaie final i ar trebui s ofere
garanii adecvate pentru protecia drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete
prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui s fie posibile numai n cazurile
reziduale n care nu se poate aplica niciunul dintre celelalte motive de transfer. n ceea ce privete scopurile de
cercetare tiinific sau istoric sau scopurile statistice, ar trebui s se ia n considerare ateptrile legitime ale
societii cu privire la creterea nivelului de cunotine. Operatorul ar trebui s informeze autoritatea de
supraveghere i persoana vizat cu privire la transfer.

(114) n orice caz, atunci cnd Comisia nu a luat o decizie cu privire la nivelul adecvat de protecie a datelor dintr-o
ar ter, operatorul sau persoana mputernicit de operator ar trebui s utilizeze soluii care s ofere persoanelor
vizate drepturi opozabile i efective n ceea ce privete prelucrarea datelor lor n Uniune odat ce aceste date au
fost transferate, astfel nct persoanele vizate s beneficieze n continuare de drepturi fundamentale i garanii.
L 119/22 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(115) Unele ri tere au adoptat legi, reglementri i alte acte juridice care au drept obiectiv s reglementeze n mod
direct activitile de prelucrare a datelor ale persoanelor fizice i juridice aflate sub jurisdicia statelor membre.
Aceasta poate include hotrri ale instanelor judectoreti sau decizii ale autoritilor administrative din ri tere
care solicit unui operator sau unei persoane mputernicite de operator s transfere sau s divulge date cu caracter
personal i care nu se bazeaz pe un acord internaional, cum ar fi un tratat de asisten juridic reciproc, n
vigoare ntre ara ter solicitant i Uniune sau un stat membru. Aplicarea extrateritorial a acestor legi,
reglementri i alte acte juridice poate nclca dreptul internaional i poate mpiedica asigurarea proteciei
persoanelor fizice asigurat n Uniune prin prezentul regulament. Transferurile ar trebui s fie permise numai n
cazul ndeplinirii condiiilor prevzute de prezentul regulament pentru un transfer ctre ri tere. Acesta ar putea
fi cazul, inter alia, atunci cnd divulgarea este necesar dintr-un motiv important de interes public recunoscut n
dreptul Uniunii sau n dreptul intern care se aplic operatorului.

(116) Fluxul transfrontalier de date cu caracter personal n afara Uniunii poate expune unui risc sporit capacitatea
persoanelor fizice de a-i exercita drepturile n materie de protecie a datelor, n special pentru a-i asigura
protecia mpotriva utilizrii sau a divulgrii ilegale a acestor informaii. n acelai timp, autoritile de
supraveghere pot constata c se afl n imposibilitatea de a trata plngeri sau de a efectua investigaii referitoare
la activitile desfurate n afara frontierelor lor. Eforturile acestora de a conlucra n context transfrontalier pot fi,
de asemenea, ngreunate de insuficiena competenelor de prevenire sau remediere, de caracterul eterogen al
regimurilor juridice i de existena unor obstacole de ordin practic, cum ar fi constrngerile n materie de resurse.
Prin urmare, este necesar s se promoveze o cooperare mai strns ntre autoritile de supraveghere a proteciei
datelor pentru a putea face schimb de informaii i a desfura investigaii mpreun cu omologii lor interna
ionali. n scopul elaborrii de mecanisme de cooperare internaional pentru a facilita i a oferi asisten interna
ional reciproc n asigurarea aplicrii legislaiei din domeniul proteciei datelor cu caracter personal, Comisia i
autoritile de supraveghere ar trebui s fac schimb de informaii i s coopereze n cadrul activitilor legate de
exercitarea competenelor lor cu autoritile competente din ri tere, pe baz de reciprocitate i n conformitate
cu prezentul regulament.

(117) Instituirea n statele membre a unor autoriti de supraveghere, mputernicite s i ndeplineasc sarcinile i s i
exercite competenele n deplin independen, este un element esenial al proteciei persoanelor fizice n ceea ce
privete prelucrarea datelor lor cu caracter personal. Statele membre ar trebui s poat institui mai multe
autoriti de supraveghere, pentru a reflecta structura lor constituional, organizatoric i administrativ.

(118) Independena autoritilor de supraveghere nu ar trebui s nsemne c autoritile de supraveghere nu pot face
obiectul unor mecanisme de control sau de monitorizare n ceea ce privete cheltuielile acestora sau unui control
jurisdicional.

(119) n cazul n care un stat membru instituie mai multe autoriti de supraveghere, acesta ar trebui s stabileasc prin
lege mecanisme care s asigure participarea efectiv a autoritilor de supraveghere respective la mecanismul
pentru asigurarea coerenei. Statul membru respectiv ar trebui, n special, s desemneze autoritatea de
supraveghere care ndeplinete funcia de punct unic de contact pentru participarea efectiv a acestor autoriti la
mecanism, n scopul asigurrii unei cooperri rapide i armonioase cu alte autoriti de supraveghere, cu
comitetul i cu Comisia.

(120) Fiecare autoritate de supraveghere ar trebui s beneficieze de resurse financiare i umane, de spaiile i de infras
tructura necesare pentru ndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistena reciproc i
cooperarea cu alte autoriti de supraveghere n ntreaga Uniune. Fiecare autoritate de supraveghere ar trebui s
aib un buget public anual separat, care poate face parte din bugetul general de stat sau naional.

(121) Condiiile generale pentru membrul sau membrii autoritii de supraveghere ar trebui stabilite de lege n fiecare
stat membru i ar trebui, n special, s prevad c respectivii membri sunt numii printr-o procedur transparent
fie de parlamentul, de guvernul ori eful de stat al statului membru pe baza unei propuneri din partea
guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de ctre un
organism independent mputernicit prin dreptul intern. n vederea asigurrii independenei autoritii de
supraveghere, membrul sau membrii acesteia ar trebui s acioneze cu integritate, s nu ntreprind aciuni
incompatibile cu ndatoririle lor, iar, pe durata mandatului, ar trebui s nu desfoare activiti incompatibile,
remunerate sau nu. Autoritatea de supraveghere ar trebui s aib personal propriu, ales de autoritatea de
supraveghere sau de un organism independent nfiinat n temeiul dreptului intern, care ar trebui s fie
subordonat exclusiv membrului sau membrilor autoritii de supraveghere.

(122) Fiecare autoritate de supraveghere ar trebui s aib, pe teritoriul statului membru de care aparine, atribuia de a
exercita competenele i de a ndeplini sarcinile cu care este nvestit n conformitate cu prezentul regulament.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/23

Aceasta ar trebui s includ n special prelucrarea n contextul activitilor unui sediu al operatorului sau al
persoanei mputernicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal
efectuat de autoritile publice sau de organisme private care acioneaz n interes public, prelucrarea care
afecteaz persoanele vizate de pe teritoriul su sau prelucrarea efectuat de ctre un operator sau o persoan
mputernicit de operator care nu i are sediul n Uniune n cazul n care aceasta privete persoane vizate care i
au reedina pe teritoriul su. Aceasta ar trebui s includ tratarea plngerilor depuse de o persoan vizat,
efectuarea de investigaii privind aplicarea prezentului regulament i promovarea informrii publicului cu privire
la riscurile, normele, garaniile i drepturile n materie de prelucrare a datelor cu caracter personal.

(123) Autoritile de supraveghere ar trebui s monitorizeze aplicarea dispoziiilor prevzute de prezentul regulament i
s contribuie la aplicarea coerent a acestuia n ntreaga Uniune, n scopul asigurrii proteciei persoanelor fizice
n ceea ce privete prelucrarea datelor lor cu caracter personal i al facilitrii liberei circulaii a datelor cu caracter
personal n interiorul pieei interne. n acest sens, autoritile de supraveghere ar trebui s coopereze reciproc,
precum i cu Comisia, fr s fie necesar niciun acord ntre statele membre cu privire la acordarea de asisten
reciproc sau cu privire la respectiva cooperare.

(124) n cazul n care prelucrarea datelor cu caracter personal se desfoar n cadrul activitilor unui sediu al unui
operator sau al unei persoane mputernicite de operator din Uniune, iar operatorul sau persoana mputernicit de
operator are sedii n mai multe state membre, sau n cazul n care prelucrarea care se desfoar n contextul
activitilor unui singur sediu al unui operator sau al unei persoane mputernicite de operator din Uniune
afecteaz sau este susceptibil s afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de
supraveghere a sediului principal al operatorului sau al persoanei mputernicite de operator ori a sediului unic al
operatorului sau al persoanei mputernicite de operator ar trebui s acioneze n calitate de autoritate principal.
Aceasta ar trebui s coopereze cu celelalte autoriti vizate, pentru c operatorul sau persoana mputernicit de
operator are un sediu pe teritoriul statului lor membru, pentru c persoanele vizate care i au reedina pe
teritoriul lor sunt afectate n mod semnificativ sau pentru c le-a fost naintat o plngere. De asemenea, n cazul
n care o persoan vizat care nu i are reedina n statul membru respectiv a depus o plngere, autoritatea de
supraveghere la care a fost depus plngerea ar trebui, de asemenea, s fie o autoritate de supraveghere vizat. n
cadrul sarcinilor sale de a emite orientri cu privire la orice chestiune referitoare la punerea n aplicare a
prezentului regulament, comitetul ar trebui s poat emite orientri privind, n special, criteriile care trebuie luate
n considerare pentru a se stabili dac prelucrarea n cauz afecteaz n mod semnificativ persoane vizate din mai
multe state membre i privind coninutul unei obiecii relevante i motivate.

(125) Autoritatea principal ar trebui s aib competena de a adopta decizii obligatorii privind msurile de aplicare a
competenelor care i sunt conferite n conformitate cu prezentul regulament. n calitatea sa de autoritate
principal, autoritatea de supraveghere ar trebui s implice ndeaproape i s coordoneze activitile autoritilor
de supraveghere vizate n procesul decizional. n cazurile n care decizia este de respingere parial sau total a
plngerii din partea persoanei vizate, o asemenea decizie ar trebui adoptat de ctre autoritatea de supraveghere
la care s-a depus plngerea.

(126) Decizia ar trebui convenit n comun de autoritatea de supraveghere principal i de autoritile de supraveghere
vizate i ar trebui s vizeze sediul principal sau sediul unic al operatorului sau al persoanei mputernicite de
operator i s fie obligatorie pentru operator i pentru persoana mputernicit de operator. Operatorul sau
persoana mputernicit de operator ar trebui s ia msurile necesare pentru a asigura conformitatea cu prezentul
regulament i punerea n aplicare a deciziei notificate de autoritatea de supraveghere principal sediului principal
al operatorului sau al persoanei mputernicite de operator n ceea ce privete activitile de prelucrare n Uniune.

(127) Fiecare autoritate de supraveghere care nu acioneaz ca autoritate de supraveghere principal ar trebui s aib
competena de a trata cazuri locale, n care operatorul sau persoana mputernicit de operator are sedii n mai
multe state membre, dar obiectul respectivei prelucrri privete doar prelucrarea efectuat ntr-un singur stat
membru i implicnd doar persoane vizate din acel unic stat membru, de exemplu n cazul n care obiectul l
constituie prelucrarea datelor cu caracter personal ale angajailor n contextul specific legat de fora de munc
dintr-un stat membru. n astfel de cazuri, autoritatea de supraveghere ar trebui s informeze fr ntrziere
autoritatea de supraveghere principal cu privire la aceast chestiune. Dup ce a fost informat, autoritatea de
supraveghere principal ar trebui s decid dac va trata ea nsi cazul n temeiul dispoziiei privind cooperarea
ntre autoritatea de supraveghere principal i alte autoriti de supraveghere vizate (mecanismul ghieului unic),
sau dac autoritatea de supraveghere care a informat-o ar trebui s se ocupe de caz la nivel local. Atunci cnd
decide dac va trata cazul, autoritatea de supraveghere principal ar trebui s ia n considerare dac exist un
sediu al operatorului sau al persoanei mputernicite de operator n statul membru al autoritii de supraveghere
care a informat-o, n vederea garantrii respectrii efective a unei decizii n ceea ce privete operatorul sau
persoana mputernicit de operator. n cazul n care autoritatea de supraveghere principal decide s trateze
L 119/24 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

cazul, autoritatea de supraveghere care a informat-o ar trebui s beneficieze de posibilitatea de a prezenta un


proiect de decizie, de care autoritatea de supraveghere principal ar trebui s in seama n cea mai mare msur
atunci cnd pregtete proiectul su de decizie n cadrul respectivului mecanism al ghieului unic.

(128) Normele privind autoritatea de supraveghere principal i mecanismul ghieului unic nu ar trebui s se aplice n
cazul n care prelucrarea este efectuat de autoriti publice sau organisme private n interes public. n asemenea
cazuri, singura autoritate de supraveghere competent s i exercite competenele care i-au fost atribuite n
conformitate cu prezentul regulament ar trebui s fie autoritatea de supraveghere a statului membru n care
autoritatea public sau organismul privat i are sediul.

(129) Pentru a se asigura consecvena monitorizrii i a aplicrii prezentului regulament n ntreaga Uniune, autoritile
de supraveghere ar trebui s aib n fiecare stat membru aceleai sarcini i competene efective, inclusiv
competene de investigare, competene corective i sanciuni, precum i competene de autorizare i de consiliere,
n special n cazul plngerilor depuse de persoane fizice, precum i, fr a aduce atingere competenelor autori
tilor de urmrire penal n temeiul dreptului intern, de a aduce n atenia autoritilor judiciare cazurile de
nclcare a prezentului regulament i de a se implica n proceduri judiciare. Aceste competene ar trebui s
includ i competena de a impune o limitare temporar sau definitiv, inclusiv o interdicie, asupra prelucrrii.
Statele membre pot stabili alte sarcini legate de protecia datelor cu caracter personal n temeiul prezentului
regulament. Competenele autoritilor de supraveghere ar trebui exercitate n conformitate cu garanii
procedurale adecvate prevzute n dreptul Uniunii i n dreptul intern, n mod imparial, echitabil i ntr-un
termen rezonabil. n special, fiecare msur ar trebui s fie adecvat, necesar i proporional n scopul de a
asigura conformitatea cu dispoziiile prezentului regulament, lund n considerare circumstanele fiecrui caz n
parte, s respecte dreptul oricrei persoane de a fi ascultat nainte de luarea oricrei msuri individuale care ar
putea s i aduc atingere i s evite costurile inutile i inconvenientele excesive pentru persoanele n cauz.
Competenele de investigare n ceea ce privete accesul n incinte ar trebui exercitate n conformitate cu cerinele
specifice din dreptul procedural naional, cum ar fi obligaia de a obine n prealabil o autorizare judiciar. Fiecare
msur obligatorie din punct de vedere juridic luat de autoritatea de supraveghere ar trebui s fie prezentat n
scris, s fie clar i lipsit de ambiguitate, s indice autoritatea de supraveghere care a emis msura, data emiterii
msurii, s poarte semntura efului sau a unui membru al autoritii de supraveghere autorizat de acesta, s
furnizeze motivele pentru care s-a luat msura i s fac trimitere la dreptul la o cale de atac eficient. Acest
lucru nu ar trebui s exclud cerine suplimentare n conformitate cu dreptul procedural naional. Adoptarea
unor astfel de decizii obligatorii din punct de vedere juridic implic faptul c se poate da natere unui control
jurisdicional n statul membru al autoritii de supraveghere care a adoptat decizia.

(130) n cazul n care autoritatea de supraveghere la care s-a depus plngerea nu este autoritatea de supraveghere
principal, autoritatea de supraveghere principal ar trebui s coopereze ndeaproape cu autoritatea de
supraveghere la care s-a depus plngerea, n conformitate cu dispoziiile privind cooperarea i consecvena
prevzute n prezentul regulament. n astfel de cazuri, autoritatea de supraveghere principal ar trebui, atunci
cnd ia msuri destinate s produc efecte juridice, inclusiv impunerea de amenzi administrative, s in seama
ct mai mult posibil de opinia autoritii de supraveghere la care a fost depus plngerea i care ar trebui s i
menin competena de a desfura orice investigaie pe teritoriul propriului stat membru, n colaborare cu
autoritatea de supraveghere principal.

(131) n cazurile n care o alt autoritate de supraveghere ar trebui s acioneze n calitate de autoritate de supraveghere
principal pentru activitile de prelucrare ale operatorului sau ale persoanei mputernicite de operator, dar
obiectul concret al unei plngeri sau posibila nclcare vizeaz numai activitile de prelucrare ale operatorului
sau ale persoanei mputernicite de operator n statul membru n care a fost depus plngerea sau a fost depistat
posibila nclcare, iar chestiunea nu afecteaz n mod substanial sau nu este susceptibil s afecteze n mod
substanial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o plngere sau a
depistat ori a fost informat n alt mod asupra unor situaii de posibile nclcri ale prezentului regulament ar
trebui s ncerce o soluionare pe cale amiabil cu operatorul i, n cazul n care aceasta eueaz, s i exercite
plenitudinea competenelor. Aceasta ar trebui s includ activiti specifice de prelucrare efectuate pe teritoriul
statului membru al autoritii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat
membru, activiti de prelucrare care au loc n contextul unei oferte de bunuri sau servicii destinate n mod
special persoanelor vizate pe teritoriul statului membru al autoritii de supraveghere sau activiti de prelucrare
care trebuie evaluate innd seama de obligaiile juridice relevante n temeiul dreptului intern.

(132) Activitile de cretere a gradului de contientizare organizate pentru public de autoritile de supraveghere ar
trebui s includ msuri specifice care s vizeze operatorii i persoanele mputernicite de operatori, inclusiv
microntreprinderile i ntreprinderile mici i mijlocii, precum i persoanele fizice, n special n context
educaional.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/25

(133) Autoritile de supraveghere ar trebui s i acorde reciproc asisten n ndeplinirea sarcinilor care le revin,
pentru a se asigura coerena aplicrii prezentului regulament pe piaa intern. O autoritate de supraveghere care
solicit asisten reciproc poate adopta o msur provizorie n cazul n care nu primete un rspuns la o
solicitare de asisten reciproc n termen de o lun de la primirea solicitrii de ctre cealalt autoritate de
supraveghere.

(134) Fiecare autoritate de supraveghere ar trebui s participe, dup caz, la operaiuni comune ntre autoritile de
supraveghere. Autoritatea de supraveghere creia i s-a adresat solicitarea ar trebui s aib obligaia de a rspunde
cererii ntr-un anumit termen.

(135) Pentru a se asigura aplicarea coerent a prezentului regulament n ntreaga Uniune, ar trebui s se instituie un
mecanism pentru asigurarea coerenei n cadrul cruia autoritile de supraveghere s coopereze. Acest mecanism
ar trebui s se aplice, n special, n cazul n care o autoritate de supraveghere intenioneaz s adopte o msur
prevzut a produce efecte juridice n ceea ce privete operaiunile de prelucrare care afecteaz n mod substanial
un numr semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui s se aplice, de
asemenea, n cazul n care o autoritate de supraveghere vizat sau Comisia solicit ca aspectul respectiv s fie
tratat n cadrul mecanismului pentru asigurarea coerenei. Acest mecanism nu ar trebui s aduc atingere
msurilor pe care Comisia le poate adopta n exercitarea competenelor care i revin n temeiul tratatelor.

(136) n aplicarea mecanismului pentru asigurarea coerenei, comitetul ar trebui, ntr-un anumit termen, s emit un
aviz n cazul n care o majoritate a membrilor si decide astfel sau n cazul n care orice autoritate de
supraveghere vizat sau Comisia solicit acest lucru. Comitetul ar trebui, de asemenea, s fie mputernicit s
adopte decizii obligatorii din punct de vedere juridic n cazul unor litigii ntre autoritile de supraveghere. n
acest scop, acesta ar trebui s emit, n principiu cu o majoritate de dou treimi din membrii si, decizii
obligatorii din punct de vedere juridic, n cazuri bine definite, n cazul n care exist opinii divergente ntre
autoritile de supraveghere, n special n cadrul mecanismului de cooperare ntre autoritatea de supraveghere
principal i autoritile de supraveghere vizate privind fondul cauzei, n special existena sau nu a unei nclcri
a prezentului regulament.

(137) Este posibil s existe o necesitate urgent de a se aciona pentru asigurarea proteciei drepturilor i libertilor
persoanelor vizate, n special n cazul n care exist pericolul ca exercitarea unui drept al unei persoane vizate s
fie mpiedicat n mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui s poat adopta msuri
provizorii pe teritoriul su, justificate n mod corespunztor, avnd o perioad de valabilitate determinat care nu
ar trebui s depeasc trei luni.

(138) Aplicarea unui astfel de mecanism ar trebui s constituie o condiie pentru legalitatea unei msuri destinate s
produc efecte juridice, luate de o autoritate de supraveghere, n cazurile n care aplicarea acesteia este obligatorie.
n alte cazuri cu relevan transfrontalier, ar trebui pus n aplicare mecanismul de cooperare ntre autoritatea de
supraveghere principal i autoritile de supraveghere vizate, iar ntre autoritile de supraveghere vizate s-ar
putea acorda asisten reciproc i s-ar putea desfura operaiuni comune pe baz bilateral sau multilateral,
fr declanarea mecanismului pentru asigurarea coerenei.

(139) Cu scopul de a promova aplicarea coerent a prezentului regulament, comitetul ar trebui instituit ca organ
independent al Uniunii. Pentru a-i ndeplini obiectivele, comitetul ar trebui s aib personalitate juridic.
Comitetul ar trebui s fie reprezentat de preedintele su. Acesta ar trebui s nlocuiasc Grupul de lucru pentru
protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal, instituit prin
Directiva 95/46/CE. Acesta ar trebui s fie alctuit din efii autoritilor de supraveghere din fiecare stat membru
i din Autoritatea European pentru Protecia Datelor sau reprezentanii acestora. Comisia ar trebui s participe la
activitile comitetului fr a avea drept de vot, iar Autoritatea European pentru Protecia Datelor ar trebui s
aib drepturi de vot speciale. Comitetul ar trebui s contribuie la aplicarea coerent a prezentului regulament n
ntreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, n special cu privire la nivelul de protecie n rile
tere i n cadrul organizaiilor internaionale, i prin promovarea cooperrii autoritilor de supraveghere n
ntreaga Uniune. Comitetul ar trebui s acioneze n mod independent n ndeplinirea sarcinilor sale.

(140) Comitetul ar trebui s fie asistat de un secretariat asigurat de Autoritatea European pentru Protecia Datelor.
Personalul Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor conferite comitetului
n temeiul prezentului regulament ar trebui s i ndeplineasc sarcinile exclusiv conform instruciunilor
preedintelui comitetului i s raporteze acestuia.

(141) Orice persoan vizat ar trebui s aib dreptul de a depune o plngere la o singur autoritate de supraveghere, n
special n statul membru n care i are reedina obinuit, precum i dreptul la o cale de atac eficient n
L 119/26 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

conformitate cu articolul 47 din cart, n cazul n care persoana vizat consider c drepturile sale n temeiul
prezentului regulament sunt nclcate sau n cazul n care autoritatea de supraveghere nu reacioneaz la o
plngere, respinge sau refuz parial sau total o plngere sau nu acioneaz atunci cnd o astfel de aciune este
necesar pentru asigurarea proteciei drepturilor persoanei vizate. Investigaia n urma unei plngeri ar trebui s
fie efectuat, sub control judiciar, n msura n care este necesar, n funcie de caz. Autoritatea de supraveghere ar
trebui s informeze persoana vizat cu privire la evoluia i soluionarea plngerii ntr-un termen rezonabil. n
eventualitatea n care cazul necesit o investigare suplimentar sau coordonarea cu o alt autoritate de
supraveghere, ar trebui s se furnizeze informaii intermediare persoanei vizate. n vederea facilitrii depunerii
plngerilor, fiecare autoritate de supraveghere ar trebui s ia msuri precum punerea la dispoziie a unui formular
de depunere a plngerii, care s poat fi completat inclusiv n format electronic, fr a exclude alte mijloace de
comunicare.

(142) n cazul n care persoana vizat consider c drepturile sale n temeiul prezentului regulament sunt nclcate,
aceasta ar trebui s aib dreptul de a mandata un organism, o organizaie sau o asociaie fr scop lucrativ care
este nfiinat() n conformitate cu dreptul intern, ale crui (crei) obiective statutare sunt n interesul public i
care i desfoar activitatea n domeniul asigurrii proteciei datelor cu caracter personal, s depun o plngere
n numele su la o autoritate de supraveghere, s exercite dreptul la o cale de atac n numele persoanelor vizate
sau, n cazul n care se prevede n dreptul intern, s exercite dreptul de a primi despgubiri n numele persoanelor
vizate. Un stat membru poate prevedea ca un astfel de organism, organizaie sau asociaie s aib dreptul de a
depune o plngere n statul membru respectiv, independent de mandatul acordat de o persoan vizat, i s aib
dreptul la o cale de atac eficient n cazul n care are motive s considere c drepturile unei persoane vizate au
fost nclcate ca rezultat al unei prelucrri a datelor cu caracter personal care ncalc prezentul regulament.
Organismul, organizaia sau asociaia n cauza nu poate pretinde despgubiri n numele unei persoane vizate,
independent de mandatul acordat de persoana vizat.

(143) Orice persoan fizic sau juridic are dreptul de a introduce o aciune n anulare mpotriva deciziilor comitetului
n faa Curii de Justiie, n conformitate cu condiiile prevzute la articolul 263 din TFUE. n calitate de
destinatare ale acestor decizii, autoritile de supraveghere vizate care doresc s le conteste trebuie s introduc o
aciune mpotriva deciziilor respective n termen de dou luni de la data la care le-au fost notificate, n
conformitate cu articolul 263 din TFUE. n cazul n care deciziile comitetului vizeaz n mod direct i individual
un operator, o persoan mputernicit de operator sau reclamantul, acetia din urm pot introduce o aciune n
anularea respectivelor decizii n termen de dou luni de la publicarea acestora pe site-ul comitetului, n
conformitate cu articolul 263 din TFUE. Fr a aduce atingere acestui drept n temeiul articolului 263 din TFUE,
orice persoan fizic sau juridic ar trebui s aib dreptul la o cale de atac judiciar eficient n faa instanei
naionale competente mpotriva unei decizii a unei autoriti de supraveghere care produce efecte juridice privind
respectiva persoan. O astfel de decizie se refer n special la exercitarea competenelor de investigare, corective i
de autorizare de ctre autoritatea de supraveghere sau la refuzul sau respingerea plngerilor. Cu toate acestea,
dreptul la o cale de atac judiciar eficient nu include msuri ale autoritilor de supraveghere care nu sunt
obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere
furnizat de aceasta. Aciunile mpotriva unei autoriti de supraveghere ar trebui s fie aduse n faa instanelor
statului membru n care este stabilit autoritatea de supraveghere i ar trebui s se desfoare n conformitate cu
dreptul procesual al statului membru respectiv. Respectivele instane ar trebui s i exercite competena judiciar
deplin, care ar trebui s includ competena de a examina toate aspectele de fapt sau de drept care au relevan
pentru litigiul cu care acestea sunt sesizate.

n cazul n care o plngere a fost respins sau refuzat de o autoritate de supraveghere, reclamantul poate
introduce o aciune la instanele din acelai stat membru. n contextul cilor de atac judiciare privind aplicarea
prezentului regulament, instanele naionale care consider necesar o decizie privind chestiunea respectiv
pentru a le permite s ia o hotrre pot sau, n cazul prevzut la articolul 267 din TFUE, trebuie s solicite Curii
de Justiie s pronune o decizie preliminar privind interpretarea dreptului Uniunii, inclusiv a prezentului
regulament. n plus, n cazul n care o decizie a unei autoriti de supraveghere care pune n aplicare o decizie a
comitetului este contestat n faa unei instane naionale i este n discuie validitatea deciziei comitetului,
respectiva instan naional nu are competena de a declara nul decizia comitetului, ci trebuie s aduc
chestiunea validitii n faa Curii de Justiie, n conformitate cu articolul 267 din TFUE, astfel cum a fost
interpretat de Curtea de Justiie, ori de cte ori instana naional consider decizia nul. Cu toate acestea, o
instan naional nu poate s transmit o chestiune cu privire la validitatea deciziei comitetului la cererea unei
persoane fizice sau juridice care a avut posibilitatea de a introduce o aciune n anulare mpotriva respectivei
decizii, n special dac aceasta era vizat n mod direct i individual de decizia n cauz, dar nu a fcut acest lucru
n termenul prevzut la articolul 263 din TFUE.

(144) Atunci cnd o instan sesizat cu o procedur mpotriva unei decizii a unei autoriti de supraveghere are
motive s cread c n faa unei instane competente dintr-un alt stat membru au fost introduse proceduri cu
privire la aceeai prelucrare, cum ar fi acelai obiect al prelucrrii, de ctre acelai operator sau aceleeai persoan
mputernicit de operator, sau aceeai cauz, instana respectiv ar trebui s contacteze cea de a doua instan
pentru a confirma existena unor astfel de proceduri conexe. n cazul n care aceste proceduri conexe se afl pe
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/27

rolul unei instane dintr-un alt stat membru, orice instan, cu excepia celei sesizate iniial, poate s i suspende
procedurile sau, la cererea uneia dintre pri, i poate declina competena n favoarea instanei sesizate iniial, cu
condiia ca aceasta din urm s aib competena de a soluiona procedurile n cauz i ca dreptul care i se aplic
s i permit consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci cnd sunt att de
strns legate ntre ele nct este oportun instrumentarea i judecarea lor n acelai timp pentru a se evita riscul
pronunrii unor hotrri ireconciliabile n cazul judecrii lor n mod separat.

(145) n ceea ce privete aciunile iniiate mpotriva unui operator sau unei persoane mputernicite de operator,
reclamantul ar trebui s aib posibilitatea de a introduce aciunea n faa instanelor din statele membre n care
operatorul sau persoana mputernicit de operator are un sediu sau n care persoana vizat i are reedina, cu
excepia cazului n care operatorul este o autoritate public dintr-un stat membru ce acioneaz n exercitarea
competenelor sale publice.

(146) Operatorul sau persoana mputernicit de operator ar trebui s plteasc despgubiri pentru orice prejudiciu pe
care o persoan l poate suferi ca urmare a unei prelucrri care ncalc prezentul regulament. Operatorul sau
persoana mputernicit de operator ar trebui s fie exonerai de rspundere dac dovedesc c nu sunt n niciun fel
rspunztori pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat n sens larg, din perspectiva jurispru
denei Curii de Justiie, ntr-un mod care s reflecte pe deplin obiectivele prezentului regulament. Aceast
dispoziie nu aduce atingere niciunei cereri de despgubire care rezult din nclcarea altor norme din dreptul
Uniunii sau din dreptul intern. O prelucrare care ncalc prezentul regulament include i prelucrarea care ncalc
actele delegate i de punere n aplicare adoptate n conformitate cu prezentul regulament i cu dreptul intern care
specific norme din prezentul regulament. Persoanele vizate ar trebui s primeasc despgubiri integrale i eficace
pentru prejudiciul pe care le-au suferit. n cazul n care operatorii sau persoanele mputernicite de operatori sunt
implicate n aceeai prelucrare, fiecare operator sau fiecare persoan mputernicit de operator ar trebui s fie
considerat rspunztoare pentru ntregul prejudiciu. Cu toate acestea, atunci cnd procedurile juridice care le
vizeaz sunt conexate, n conformitate cu dreptul intern, despgubirile pot fi mprite n funcie de rspunderea
fiecrui operator sau a fiecrei persoane mputernicite de operator, cu condiia s se asigure despgubirea
integral i efectiv a persoanei vizate care a suferit prejudiciul. Orice operator sau persoan mputernicit de
operator care a pltit despgubiri integrale poate formula ulterior o aciune n regres mpotriva altor operatori
sau persoane mputernicite de operatori implicate n aceeai prelucrare.

(147) n cazul n care prezentul regulament cuprinde norme specifice privind competena judiciar, n special n ceea ce
privete cile de atac judiciare, inclusiv aciunile n despgubiri, mpotriva unui operator sau a unei persoane
mputernicite de operator, normele generale privind competena judiciar precum cele din Regulamentul (UE)
nr. 1215/2012 al Parlamentului European i al Consiliului (1) nu ar trebui s aduc atingere aplicrii unor astfel
de norme specifice.

(148) Pentru a consolida respectarea aplicrii normelor prevzute n prezentul regulament, ar trebui impuse sanciuni,
inclusiv amenzi administrative, pentru orice nclcare a prezentului regulament, pe lng sau n locul msurilor
adecvate impuse de autoritatea de supraveghere n temeiul prezentului regulament. n cazul unei nclcri minore
sau n cazul n care amenda susceptibil de a fi impus ar constitui o sarcin disproporionat pentru o persoan
fizic, poate fi emis un avertisment n locul unei amenzi. Cu toate acestea, ar trebui s se ia n considerare n
mod corespunztor natura, gravitatea i durata nclcrii, caracterul deliberat al nclcrii, aciunile ntreprinse
pentru a reduce prejudiciul cauzat, gradul de rspundere sau orice nclcri anterioare relevante, modul n care
nclcarea a fost adus la cunotina autoritii de supraveghere, conformitatea cu msurile adoptate mpotriva
operatorului sau a persoanei mputernicite de operator, aderarea la un cod de conduit i orice alt factor agravant
sau atenuant. Impunerea de sanciuni, inclusiv de amenzi administrative, ar trebui s fac obiectul unor garanii
procedurale adecvate, n conformitate cu principiile generale ale dreptului Uniunii i cu carta, inclusiv o protecie
judiciar eficient i un proces echitabil.

(149) Statele membre ar trebui s poat stabili normele privind sanciunile penale pentru nclcrile prezentului
regulament, inclusiv pentru nclcarea normelor de drept intern adoptate n temeiul i n limitele prezentului
regulament. Respectivele sanciuni penale pot, de asemenea, permite privarea de profiturile obinute prin
nclcarea prezentului regulament. Cu toate acestea, impunerea de sanciuni penale pentru nclcri ale unor
asemenea norme de drept intern i de sanciuni administrative nu ar trebui s duc la nclcarea principiului ne
bis in idem, astfel cum a fost interpretat de Curtea de Justiie.

(150) Pentru consolidarea i armonizarea sanciunilor administrative n cazul nclcrii prezentului regulament, fiecare
autoritate de supraveghere ar trebui s aib competena de a impune amenzi administrative. Prezentul regulament

(1) Regulamentul (UE) nr. 1215/2012 al Parlamentului European i al Consiliului din 12 decembrie 2012 privind competena judiciar,
recunoaterea i executarea hotrrilor n materie civil i comercial (JO L 351, 20.12.2012, p. 1).
L 119/28 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

ar trebui s indice nclcrile, i limita maxim i criteriile pentru stabilirea amenzilor administrative aferente,
care ar trebui s fie stabilite de autoritatea de supraveghere competent n fiecare caz n parte, innd seama de
toate circumstanele relevante ale situaiei specifice, lundu-se n considerare n mod corespunztor, n special,
natura, gravitatea i durata nclcrii, precum i consecinele acesteia i msurile luate pentru a se asigura
respectarea obligaiilor n temeiul prezentului regulament i pentru a se preveni sau atenua consecinele nclcrii.
n cazul n care amenzile administrative sunt impuse unei ntreprinderi, o ntreprindere ar trebui neleas ca fiind
o ntreprindere n conformitate cu articolele 101 i 102 din TFUE n aceste scopuri. n cazul n care se impun
amenzi administrative unor persoane care nu sunt ntreprinderi, autoritatea de supraveghere ar trebui s in
seama de nivelul general al veniturilor din statul membru respectiv, precum i de situaia economic a persoanei
atunci cnd estimeaz cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coerenei poate fi, de
asemenea, utilizat pentru a promova aplicarea consecvent a amenzilor administrative. Competena de a stabili
dac i n ce msur autoritile publice ar trebui s fac obiectul unor amenzi administrative ar trebui s revin
statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizri nu afecteaz aplicarea
altor competene ale autoritilor de supraveghere sau a altor sanciuni n temeiul prezentului regulament.

(151) Sistemele juridice ale Danemarcei i Estoniei nu permit amenzi administrative astfel cum sunt prevzute n
prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel nct, n Danemarca, amenda
s fie impus de instanele naionale competente ca sanciune penal, iar n Estonia amenda s fie impus de
autoritatea de supraveghere n cadrul unei proceduri privind delictele, cu condiia ca o astfel de aplicare a
normelor n statele membre respective s aib un efect echivalent cu cel al amenzilor administrative impuse de
autoritile de supraveghere. Prin urmare, instanele naionale competente ar trebui s in seama de
recomandarea autoritii de supraveghere care a iniiat amenda. n orice caz, amenzile impuse ar trebui s fie
eficace, proporionale i disuasive.

(152) n cazul n care prezentul regulament nu armonizeaz sanciunile administrative sau n alte cazuri, acolo unde
este necesar, de exemplu n cazul unor nclcri grave ale prezentului regulament, statele membre ar trebui s
pun n aplicare un sistem care s prevad sanciuni eficace, proporionale i disuasive. Natura unor astfel de
sanciuni, penale sau administrative, ar trebui stabilit n dreptul intern.

(153) Dreptul statelor membre ar trebui s stabileasc un echilibru ntre normele care reglementeaz libertatea de
exprimare i de informare, inclusiv exprimarea jurnalistic, academic, artistic i/sau literar, i dreptul la
protecia datelor cu caracter personal n temeiul prezentului regulament. Prelucrarea datelor cu caracter personal
exclusiv n scopuri jurnalistice sau n scopul exprimrii academice, artistice sau literare ar trebui s fac obiectul
unor derogri sau al unor excepii de la anumite dispoziii ale prezentului regulament n cazul n care este
necesar stabilirea unui echilibru ntre dreptul la protecia datelor cu caracter personal i dreptul la libertatea de
exprimare i de informare, astfel cum este prevzut n articolul 11 din cart. Acest lucru ar trebui s se aplice n
special prelucrrii datelor cu caracter personal n domeniul audiovizualului, precum i n arhivele de tiri i n
bibliotecile ziarelor. Prin urmare, statele membre ar trebui s adopte msuri legislative care s prevad excepiile
i derogrile necesare n vederea asigurrii echilibrului ntre aceste drepturi fundamentale. Statele membre ar
trebui s adopte astfel de excepii i derogri n ceea ce privete principiile generale, drepturile persoanelor vizate,
operatorul i persoana mputernicit de operator, transferul de date cu caracter personal ctre ri tere sau
organizaii internaionale, autoritile de supraveghere independente, cooperarea i coerena, precum i n ceea ce
privete situaii specifice de prelucrare a datelor. n cazul n care aceste excepii sau derogri difer de la un stat
membru la altul, ar trebui s se aplice dreptul statului membru sub incidena cruia intr operatorul. Pentru a
ine seama de importana dreptului la libertatea de exprimare n fiecare societate democratic, este necesar ca
noiunile legate de aceast libertate, cum ar fi jurnalismul, s fie interpretate n sens larg.

(154) Prezentul regulament permite luarea n considerare a principiului accesului public la documente oficiale n
aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi n interes public.
Datele cu caracter personal din documentele deinute de o autoritate public sau de un organism public ar trebui
s poat fi divulgate de autoritatea respectiv sau de organismul respectiv n cazul n care dreptul Uniunii sau
dreptul intern sub incidena cruia intr autoritatea public sau organismul public prevede acest lucru. Dreptul
Uniunii i dreptul intern ar trebui s asigure un echilibru ntre accesul public la documentele oficiale i
reutilizarea informaiilor din sectorul public, pe de o parte, i dreptul la protecia datelor cu caracter personal, pe
de alt parte, i ar putea prin urmare s prevad echilibrul necesar cu dreptul la protecia datelor cu caracter
personal n temeiul prezentului regulament. Trimiterea la autoritile i organismele publice ar trebui, n acest
context, s includ toate autoritile sau alte organisme reglementate de dreptul intern privind accesul public la
documente. Directiva 2003/98/CE a Parlamentului European i a Consiliului (1) las intact i nu aduce atingere n
niciun fel nivelului de protecie a persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal

(1) Directiva 2003/98/CE a Parlamentului European i a Consiliului din 17 noiembrie 2003 privind reutilizarea informaiilor din sectorul
public (JO L 345, 31.12.2003, p. 90).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/29

n conformitate cu dreptul Uniunii i cu cel intern i, n special, nu modific drepturile i obligaiile prevzute de
prezentul regulament. n special, directiva sus-menionat nu se aplic documentelor la care accesul este exclus
sau restrns n temeiul regimurilor de acces din motive legate de protecia datelor cu caracter personal i nici
prilor din documente accesibile n temeiul respectivelor regimuri care conin date cu caracter personal a cror
reutilizare a fost stabilit prin lege ca fiind incompatibil cu dreptul privind protecia persoanelor fizice n ceea ce
privete prelucrarea datelor cu caracter personal.

(155) Dreptul intern sau acordurile colective, inclusiv acordurile de munc, pot prevedea norme specifice care s
reglementeze prelucrarea datelor cu caracter personal ale angajailor n contextul ocuprii unui loc de munc, n
special condiiile n care datele cu caracter personal n contextul ocuprii unui loc de munc pot fi prelucrate pe
baza consimmntului angajatului, n scopul recrutrii, al respectrii clauzelor contractului de munc, inclusiv
descrcarea de obligaiile stabilite prin lege sau prin acorduri colective, al gestionrii, planificrii i organizrii
muncii, al egalitii i diversitii la locul de munc, al asigurrii sntii i securitii la locul de munc, precum
i n scopul exercitrii i beneficierii, n mod individual sau colectiv, de drepturile i beneficiile legate de ocuparea
unui loc de munc, precum i n scopul ncetrii raporturilor de munc.

(156) Prelucrarea datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare tiinific
sau istoric ori n scopuri statistice ar trebui s fac obiectul unor garanii adecvate pentru drepturile i libertile
persoanei vizate n temeiul prezentului regulament. Respectivele garanii ar trebui s asigure faptul c au fost
instituite msuri tehnice i organizatorice necesare pentru a se asigura, n special, principiul reducerii la minimum
a datelor. Prelucrarea ulterioar a datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri
de cercetare tiinific sau istoric ori n scopuri statistice se efectueaz atunci cnd operatorul a evaluat fezabi
litatea pentru ndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu
mai permit identificarea persoanelor vizate, cu condiia s existe garanii adecvate (cum ar fi pseudonimizarea
datelor cu caracter personal). Statele membre ar trebui s prevad garanii adecvate pentru prelucrarea datelor cu
caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n
scopuri statistice. Statele membre ar trebui s fie autorizate s ofere, n anumite condiii i sub rezerva unor
garanii adecvate pentru persoanele vizate, precizri i derogri n ceea ce privete cererile de informaii i dreptul
la rectificare, dreptul la tergere, dreptul de a fi uitat, dreptul la restricionarea prelucrrii,dreptul la portabilitatea
datelor, precum i dreptul la opoziie n cazul prelucrrii datelor cu caracter personal n scopuri de arhivare n
interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. Condiiile i garaniile n
cauz pot genera proceduri specifice astfel nct persoanele vizate s i exercite respectivele drepturi dac acest
lucru este adecvat n contextul scopurilor vizate de prelucrarea specific, precum i msuri tehnice i organiza
ionale viznd reducerea la minimum a prelucrrii datelor cu caracter personal, n conformitate cu principiile
proporionalitii i necesitii. Prelucrarea datelor cu caracter personal n scopuri tiinifice ar trebui s fie, de
asemenea, conform cu alte acte legislative relevante, cum ar fi cele privind studiile clinice.

(157) Prin combinarea informaiilor din registre, cercettorii pot obine noi cunotine de mare valoare n ceea ce
privete bolile cu larg rspndire, cum ar fi bolile cardiovasculare, cancerul i depresia. Pe baza registrelor,
rezultatele cercetrilor pot fi ntrite, ntruct acestea se bazeaz pe o populaie mai mare. n domeniul tiinelor
sociale, cercetarea pe baza registrelor le permite cercettorilor s obin informaii eseniale despre corelarea pe
termen lung a unei serii de condiii sociale, precum omajul sau educaia, cu alte condiii de via. Rezultatele
cercetrilor obinute pe baza registrelor furnizeaz cunotine solide, de nalt calitate, care pot constitui baza
pentru elaborarea i punerea n aplicare a unor politici bazate pe cunoatere i care pot mbunti calitatea vieii
pentru un numr de persoane, eficiena serviciilor sociale. Pentru a facilita cercetarea tiinific, datele cu caracter
personal pot fi prelucrate n scopuri de cercetare tiinific, sub rezerva condiiilor i a garaniilor corespunztoare
stabilite n dreptul Uniunii sau n dreptul intern.

(158) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de arhivare, prezentul regulament ar trebui
s se aplice i prelucrrii respective, innd seama de faptul c prezentul regulament nu ar trebui s se aplice
persoanelor decedate. Autoritile publice sau organismele publice sau private care dein evidene de interes
public ar trebui, n temeiul dreptului Uniunii sau al dreptului naional, s aib o obligaie legal de a dobndi, a
pstra, a evalua, a pregti, a descrie, a comunica, a promova, a disemina i a asigura accesul la evidene de valoare
durabil de interes public general. Statele membre ar trebui, de asemenea, s poat s prevad prelucrarea
ulterioar a datelor cu caracter personal n scopuri de arhivare, de exemplu cu scopul de a furniza informaii
specifice referitoare la comportamentul politic n perioada fostelor regimuri de stat totalitare, la genociduri, la
crime mpotriva umanitii, n special holocaustul, sau la crime de rzboi.
L 119/30 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(159) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare tiinific, prezentul regulament
ar trebui s se aplice i prelucrrii respective. n sensul prezentului regulament, prelucrarea datelor cu caracter
personal n scopuri de cercetare tiinific ar trebui s fie interpretat n sens larg, incluznd de exemplu
dezvoltarea tehnologic i activitile demonstrative, cercetarea fundamental, cercetarea aplicat i cercetarea
finanat din surse private. Ar trebui, n plus, luat n considerare obiectivul Uniunii de creare a unui Spaiu
european de cercetare, astfel cum este menionat la articolul 179 alineatul (1) din TFUE. Scopurile de cercetare
tiinific ar trebui s includ, de asemenea, studii efectuate n interes public n domeniul sntii publice. Pentru
a ndeplini caracteristicile specifice ale prelucrrii datelor cu caracter personal n scopuri de cercetare tiinific, ar
trebui s se aplice condiii specifice, n special n ceea ce privete publicarea sau divulgarea ntr-un alt mod a
datelor cu caracter personal n contextul scopurilor de cercetare tiinific. n cazul n care rezultatul cercetrii
tiinifice, n special n contextul sntii, constituie un motiv pentru msuri suplimentare n interesul persoanei
vizate, normele generale ale prezentului regulament ar trebui s se aplice avnd n vedere aceste msuri.

(160) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare istoric, prezentul regulament
ar trebui s se aplice i prelucrrii respective. Acest lucru ar trebui s includ, de asemenea, cercetarea istoric i
cercetarea n scopuri genealogice, innd seama de faptul c prezentul regulament nu ar trebui s se aplice
persoanelor decedate.

(161) n scopul acordrii consimmntului de a participa la activiti de cercetare tiinific n cadrul testelor clinice, ar
trebui s se aplice dispoziiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European i al
Consiliului (1).

(162) n cazul n care datele cu caracter personal sunt prelucrate n scopuri statistice, prezentul regulament ar trebui s
se aplice prelucrrii respective. Dreptul Uniunii sau dreptul intern ar trebui, n limitele prezentului regulament, s
determine coninutul statistic, controlul accesului, specificaiile pentru prelucrarea datelor cu caracter personal n
scopuri statistice i msurile adecvate pentru a proteja drepturile i libertile persoanelor vizate i pentru a
asigura confidenialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior n diferite scopuri,
inclusiv n scopuri de cercetare tiinific. Scopuri statistice nseamn orice operaiune de colectare i prelucrare
de date cu caracter personal necesar pentru anchetele statistice sau pentru producerea de rezultate statistice.
Scopurile statistice presupun c rezultatul prelucrrii n scopuri statistice nu constituie date cu caracter personal,
ci date agregate i c acest rezultat sau datele cu caracter personal nu sunt utilizate n sprijinul unor msuri sau
decizii privind o anumit persoan fizic.

(163) Informaiile confideniale pe care autoritile statistice de la nivelul Uniunii i de la nivel naional le colecteaz n
vederea elaborrii de statistici europene i naionale oficiale ar trebui s fie protejate. Statisticile europene ar
trebui concepute, elaborate i difuzate n conformitate cu principiile statistice prevzute la articolul 338
alineatul (2) din TFUE, n timp ce statisticile naionale ar trebui, de asemenea, s fie n conformitate cu dreptul
intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European i al Consiliului (2) prevede specificaii
suplimentare privind confidenialitatea datelor statistice pentru statisticile europene.

(164) n ceea ce privete competenele autoritilor de supraveghere de a obine de la operator sau de la persoana
mputernicit de operator accesul la datele cu caracter personal i accesul n cldirile lor, statele membre pot
adopta, pe cale legislativ i n limitele stabilite de prezentul regulament, norme specifice pentru protejarea
secretului profesional sau a altor obligaii echivalente, n msura n care acest lucru este necesar pentru a asigura
un echilibru ntre dreptul la protecia datelor cu caracter personal i obligaia de pstrare a secretului profesional.
Aceasta nu aduce atingere obligaiilor existente ale statelor membre de a adopta norme privind secretul
profesional n situaiile cerute de dreptul Uniunii.

(165) Prezentul regulament respect i nu aduce atingere statutului de care beneficiaz, n temeiul dreptului constitu
ional existent, bisericile i asociaiile sau comunitile religioase din statele membre, astfel cum este recunoscut n
articolul 17 din TFUE.

(166) n vederea ndeplinirii obiectivelor prezentului regulament, i anume protejarea drepturilor i libertilor
fundamentale ale persoanelor fizice i, n special, a dreptului acestora la protecia datelor cu caracter personal, i

(1) Regulamentul (UE) nr. 536/2014 al Parlamentului European i al Consiliului din 16 aprilie 2014 privind studiile clinice intervenionale
cu medicamente de uz uman i de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).
(2) Regulamentul (CE) nr. 223/2009 al Parlamentului European i al Consiliului din 11 martie 2009 privind statisticile europene i de
abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European i al Consiliului privind transmiterea de date
statistice confideniale Biroului Statistic al Comunitilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile
comunitare i a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunitilor
Europene (JO L 87, 31.3.2009, p. 164).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/31

pentru a se garanta libera circulaie a datelor cu caracter personal pe teritoriul Uniunii, competena de a adopta
acte n conformitate cu articolul 290 din TFUE ar trebui s fie delegat Comisiei. n special, ar trebui adoptate
acte delegate n ceea ce privete criteriile i cerinele privind mecanismele de certificare, informaiile care trebuie
prezentate prin pictograme standardizate i procedurile pentru furnizarea unor astfel de pictograme. Este deosebit
de important ca, n cadrul activitii sale pregtitoare, Comisia s organizeze consultri adecvate, inclusiv la nivel
de experi. Atunci cnd pregtete i elaboreaz acte delegate, Comisia ar trebui s asigure transmiterea simultan,
la timp i n mod corespunztor a documentelor relevante ctre Parlamentul European i ctre Consiliu.

(167) n vederea asigurrii unor condiii uniforme de punere n aplicare a prezentului regulament, Comisia ar trebui
nvestit cu competene de executare n situaiile stabilite de prezentul regulament. Competenele respective ar
trebui s fie exercitate n conformitate cu Regulamentul (UE) nr. 182/2011. n acest context, Comisia ar trebui s
ia n considerare msuri specifice pentru microntreprinderi i pentru ntreprinderile mici i mijlocii.

(168) Procedura de examinare ar trebui utilizat pentru adoptarea de acte de punere n aplicare privind: clauzele
contractuale standard dintre operatori i persoanele mputernicite de operatori, precum i dintre persoanele
mputernicite de operatori; codurile de conduit; standardele tehnice i mecanismele de certificare; nivelul adecvat
de protecie oferit de o ar ter, de un teritoriu sau de un anumit sector de prelucrare din ara ter respectiv,
sau de o organizaie internaional; clauzele standard de protecie a datelor; formatele i procedurile pentru
schimbul electronic de informaii ntre operatori, persoanele mputernicite de operatori i autoritile de
supraveghere pentru regulile corporatiste obligatorii; asistena reciproc; precum i modalitile de realizare a
schimbului electronic de informaii ntre autoritile de supraveghere, precum i ntre autoritile de supraveghere
i comitetul.

(169) Comisia ar trebui s adopte acte de punere n aplicare imediat aplicabile atunci cnd dovezile disponibile arat c
o ar ter, un teritoriu sau un anumit sector de prelucrare din ara ter respectiv, sau o organizaie interna
ional nu asigur un nivel de protecie adecvat, precum i din motive imperative de urgen.

(170) Deoarece obiectivul prezentului regulament, i anume asigurarea unui nivel echivalent de protecie a persoanelor
fizice i libera circulaie a datelor cu caracter personal n ntreaga Uniune, nu poate fi realizat n mod satisfctor
de ctre statele membre dar, avnd n vedere amploarea sau efectele aciunii, poate fi realizat mai bine la nivelul
Uniunii, aceasta poate adopta msuri n conformitate cu principiul subsidiaritii, astfel cum este definit la
articolul 5 din Tratatul privind Uniunea European (Tratatul UE). n conformitate cu principiul proporionalitii,
astfel cum este definit la articolul respectiv, prezentul regulament nu depete ceea ce este necesar pentru
realizarea obiectivelor menionate.

(171) Directiva 95/46/CE ar trebui s fie abrogat prin prezentul regulament. Prelucrrile n derulare la data aplicrii
prezentului regulament ar trebui s fie aduse n conformitate cu prezentul regulament n termen de doi ani de la
data intrrii n vigoare a prezentului regulament. n cazul n care prelucrrile se bazeaz pe consimmnt n
temeiul Directivei 95/46/CE, nu este necesar ca persoana vizat s i dea nc o dat consimmntul n cazul n
care modul n care consimmntul a fost dat este n conformitate cu condiiile din prezentul regulament, astfel
nct operatorului s i se permit s continue o astfel de prelucrare dup data aplicrii prezentului regulament.
Deciziile adoptate ale Comisiei i autorizaiile autoritilor de supraveghere emise pe baza Directivei 95/46/CE
rmn n vigoare pn cnd vor fi modificate, nlocuite sau abrogate.

(172) Autoritatea European pentru Protecia Datelor a fost consultat n conformitate cu articolul 28 alineatul (2) din
Regulamentul (CE) nr. 45/2001 i a emis un aviz la 7 martie 2012 (1).

(173) Prezentul regulament ar trebui s se aplice tuturor aspectelor referitoare la protecia drepturilor i libertilor
fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligaii specifice cu
acelai obiectiv ca cel stabilit n Directiva 2002/58/CE a Parlamentului European i a Consiliului (2), inclusiv
obligaiile privind operatorul i drepturile persoanelor fizice. Pentru a se clarifica relaia dintre prezentul
regulament i Directiva 2002/58/CE, respectiva directiv ar trebui s fie modificat n consecin. Dup adoptarea
prezentului regulament, Directiva 2002/58/CE ar trebui s fie revizuit n special pentru a se asigura coerena cu
prezentul regulament,

(1) JO C 192, 30.6.2012, p. 7.


(2) Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale i protejarea
confidenialitii n sectorul comunicaiilor publice (Directiva asupra confidenialitii i comunicaiilor electronice) (JO L 201,
31.7.2002, p. 37).
L 119/32 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

ADOPT PREZENTUL REGULAMENT:

CAPITOLUL I

Dispoziii generale

Articolul 1

Obiect i obiective

(1) Prezentul regulament stabilete normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea
datelor cu caracter personal, precum i normele referitoare la libera circulaie a datelor cu caracter personal.

(2) Prezentul regulament asigur protecia drepturilor i libertilor fundamentale ale persoanelor fizice i n special a
dreptului acestora la protecia datelor cu caracter personal.

(3) Libera circulaie a datelor cu caracter personal n interiorul Uniunii nu poate fi restricionat sau interzis din
motive legate de protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal.

Articolul 2

Domeniul de aplicare material

(1) Prezentul regulament se aplic prelucrrii datelor cu caracter personal, efectuat total sau parial prin mijloace
automatizate, precum i prelucrrii prin alte mijloace dect cele automatizate a datelor cu caracter personal care fac
parte dintr-un sistem de eviden a datelor sau care sunt destinate s fac parte dintr-un sistem de eviden a datelor.

(2) Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal:

(a) n cadrul unei activiti care nu intr sub incidena dreptului Uniunii;

(b) de ctre statele membre atunci cnd desfoar activiti care intr sub incidena capitolului 2 al titlului V din
Tratatul UE;

(c) de ctre o persoan fizic n cadrul unei activiti exclusiv personale sau domestice;

(d) de ctre autoritile competente n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor, sau
al executrii sanciunilor penale, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al
prevenirii acestora.

(3) Pentru prelucrarea datelor cu caracter personal de ctre instituiile, organele, oficiile i ageniile Uniunii, se aplic
Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 i alte acte juridice ale Uniunii aplicabile unei asemenea
prelucrri a datelor cu caracter personal se adapteaz la principiile i normele din prezentul regulament n conformitate
cu articolul 98.

(4) Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE, n special normelor privind rspunderea
furnizorilor de servicii intermediari, prevzute la articolele 12-15 din directiva menionat.

Articolul 3

Domeniul de aplicare teritorial

(1) Prezentul regulament se aplic prelucrrii datelor cu caracter personal n cadrul activitilor unui sediu al unui
operator sau al unei persoane mputernicite de operator pe teritoriul Uniunii, indiferent dac prelucrarea are loc sau nu
pe teritoriul Uniunii.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/33

(2) Prezentul regulament se aplic prelucrrii datelor cu caracter personal ale unor persoane vizate care se afl n
Uniune de ctre un operator sau o persoan mputernicit de operator care nu este stabilit() n Uniune, atunci cnd
activitile de prelucrare sunt legate de:

(a) oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit sau nu efectuarea
unei pli de ctre persoana vizat; sau

(b) monitorizarea comportamentului lor dac acesta se manifest n cadrul Uniunii.

(3) Prezentul regulament se aplic prelucrrii datelor cu caracter personal de ctre un operator care nu este stabilit n
Uniune, ci ntr-un loc n care dreptul intern se aplic n temeiul dreptului internaional public.

Articolul 4

Definiii

n sensul prezentului regulament:

1. date cu caracter personal nseamn orice informaii privind o persoan fizic identificat sau identificabil
(persoana vizat); o persoan fizic identificabil este o persoan care poate fi identificat, direct sau indirect, n
special prin referire la un element de identificare, cum ar fi un nume, un numr de identificare, date de localizare,
un identificator online, sau la unul sau mai multe elemente specifice, proprii identitii sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale;

2. prelucrare nseamn orice operaiune sau set de operaiuni efectuate asupra datelor cu caracter personal sau asupra
seturilor de date cu caracter personal, cu sau fr utilizarea de mijloace automatizate, cum ar fi colectarea, nregis
trarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea
prin transmitere, diseminarea sau punerea la dispoziie n orice alt mod, alinierea sau combinarea, restricionarea,
tergerea sau distrugerea;

3. restricionarea prelucrrii nseamn marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea
viitoare a acestora;

4. creare de profiluri nseamn orice form de prelucrare automat a datelor cu caracter personal care const n
utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoan fizic, n
special pentru a analiza sau prevedea aspecte privind performana la locul de munc, situaia economic, sntatea,
preferinele personale, interesele, fiabilitatea, comportamentul, locul n care se afl persoana fizic respectiv sau
deplasrile acesteia;

5. pseudonimizare nseamn prelucrarea datelor cu caracter personal ntr-un asemenea mod nct acestea s nu mai
poat fi atribuite unei anume persoane vizate fr a se utiliza informaii suplimentare, cu condiia ca aceste
informaii suplimentare s fie stocate separat i s fac obiectul unor msuri de natur tehnic i organizatoric care
s asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

6. sistem de eviden a datelor nseamn orice set structurat de date cu caracter personal accesibile conform unor
criterii specifice, fie ele centralizate, descentralizate sau repartizate dup criterii funcionale sau geografice;

7. operator nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt organism care, singur sau
mpreun cu altele, stabilete scopurile i mijloacele de prelucrare a datelor cu caracter personal; atunci cnd
scopurile i mijloacele prelucrrii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi prevzute n dreptul Uniunii sau n dreptul intern;

8. persoan mputernicit de operator nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt
organism care prelucreaz datele cu caracter personal n numele operatorului;

9. destinatar nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt organism creia (cruia) i sunt
divulgate datele cu caracter personal, indiferent dac este sau nu o parte ter. Cu toate acestea, autoritile publice
L 119/34 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

crora li se pot comunica date cu caracter personal n cadrul unei anumite anchete n conformitate cu dreptul
Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de ctre autoritile publice
respective respect normele aplicabile n materie de protecie a datelor, n conformitate cu scopurile prelucrrii;

10. parte ter nseamn o persoan fizic sau juridic, autoritate public, agenie sau organism altul dect persoana
vizat, operatorul, persoana mputernicit de operator i persoanele care, sub directa autoritate a operatorului sau a
persoanei mputernicite de operator, sunt autorizate s prelucreze date cu caracter personal;

11. consimmnt al persoanei vizate nseamn orice manifestare de voin liber, specific, informat i lipsit de
ambiguitate a persoanei vizate prin care aceasta accept, printr-o declaraie sau printr-o aciune fr echivoc, ca
datele cu caracter personal care o privesc s fie prelucrate;

12. nclcarea securitii datelor cu caracter personal nseamn o nclcare a securitii care duce, n mod accidental
sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizat a datelor cu caracter personal transmise,
stocate sau prelucrate ntr-un alt mod, sau la accesul neautorizat la acestea;

13. date genetice nseamn datele cu caracter personal referitoare la caracteristicile genetice motenite sau dobndite
ale unei persoane fizice, care ofer informaii unice privind fiziologia sau sntatea persoanei respective i care
rezult n special n urma unei analize a unei mostre de material biologic recoltate de la persoana n cauz;

14. date biometrice nseamn o date cu caracter personal care rezult n urma unor tehnici de prelucrare specifice
referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau
confirm identificarea unic a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

15. date privind sntatea nseamn date cu caracter personal legate de sntatea fizic sau mental a unei persoane
fizice, inclusiv prestarea de servicii de asisten medical, care dezvluie informaii despre starea de sntate a
acesteia;

16. sediu principal nseamn:

(a) n cazul unui operator cu sedii n cel puin dou state membre, locul n care se afl administraia central a
acestuia n Uniune, cu excepia cazului n care deciziile privind scopurile i mijloacele de prelucrare a datelor cu
caracter personal se iau ntr-un alt sediu al operatorului din Uniune, sediu care are competena de a dispune
punerea n aplicare a acestor decizii, caz n care sediul care a luat deciziile respective este considerat a fi sediul
principal;

(b) n cazul unei persoane mputernicite de operator cu sedii n cel puin dou state membre, locul n care se afl
administraia central a acesteia n Uniune, sau, n cazul n care persoana mputernicit de operator nu are o
administraie central n Uniune, sediul din Uniune al persoanei mputernicite de operator n care au loc
activitile principale de prelucrare, n contextul activitilor unui sediu al persoanei mputernicite de operator,
n msura n care aceasta este supus unor obligaii specifice n temeiul prezentului regulament;

17. reprezentant nseamn o persoan fizic sau juridic stabilit n Uniune, desemnat n scris de ctre operator sau
persoana mputernicit de operator n temeiul articolului 27, care reprezint operatorul sau persoana mputernicit
n ceea ce privete obligaiile lor respective care le revin n temeiul prezentului regulament;

18. ntreprindere nseamn o persoan fizic sau juridic ce desfoar o activitate economic, indiferent de forma
juridic a acesteia, inclusiv parteneriate sau asociaii care desfoar n mod regulat o activitate economic;

19. grup de ntreprinderi nseamn o ntreprindere care exercit controlul i ntreprinderile controlate de aceasta;

20. reguli corporatiste obligatorii nseamn politicile n materie de protecie a datelor cu caracter personal care trebuie
respectate de un operator sau de o persoan mputernicit de operator stabilit pe teritoriul unui stat membru, n
ceea ce privete transferurile sau seturile de transferuri de date cu caracter personal ctre un operator sau o
persoan mputernicit de operator n una sau mai multe ri tere n cadrul unui grup de ntreprinderi sau al unui
grup de ntreprinderi implicate ntr-o activitate economic comun;

21. autoritate de supraveghere nseamn o autoritate public independent instituit de un stat membru n temeiul
articolului 51;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/35

22. autoritate de supraveghere vizat nseamn o autoritate de supraveghere care este vizat de procesul de prelucrare
a datelor cu caracter personal deoarece:

(a) operatorul sau persoana mputernicit de operator este stabilit pe teritoriul statului membru al autoritii de
supraveghere respective;

(b) persoanele vizate care i au reedina n statul membru n care se afl autoritatea de supraveghere respectiv
sunt afectate n mod semnificativ sau sunt susceptibile de a fi afectate n mod semnificativ de prelucrare; sau

(c) la autoritatea de supraveghere respectiv a fost depus o plngere;

23. prelucrare transfrontalier nseamn:

(a) fie prelucrarea datelor cu caracter personal care are loc n contextul activitilor sediilor din mai multe state
membre ale unui operator sau ale unei persoane mputernicite de operator pe teritoriul Uniunii, dac operatorul
sau persoana mputernicit de operator are sedii n cel puin dou state membre; sau

(b) fie prelucrarea datelor cu caracter personal care are loc n contextul activitilor unui singur sediu al unui
operator sau al unei persoane mputernicite de operator pe teritoriul Uniunii, dar care afecteaz n mod
semnificativ sau este susceptibil de a afecta n mod semnificativ persoane vizate din cel puin dou state
membre;

24. obiecie relevant i motivat nseamn o obiecie la un proiect de decizie n scopul de a stabili dac exist o
nclcare a prezentului regulament sau dac msurile preconizate n ceea ce privete operatorul sau persoana
mputernicit de operator respect prezentul regulament, care demonstreaz n mod clar importana riscurilor pe
care le prezint proiectul de decizie n ceea ce privete drepturile i libertile fundamentale ale persoanelor vizate i,
dup caz, libera circulaie a datelor cu caracter personal n cadrul Uniunii;

25. serviciile societii informaionale nseamn un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b)
din Directiva 98/34/CE a Parlamentului European i a Consiliului (1);

26. organizaie internaional nseamn o organizaie i organismele sale subordonate reglementate de dreptul interna
ional public sau orice alt organism care este instituit printr-un acord ncheiat ntre dou sau mai multe ri sau n
temeiul unui astfel de acord.

CAPITOLUL II

Principii

Articolul 5

Principii legate de prelucrarea datelor cu caracter personal

(1) Datele cu caracter personal sunt:

(a) prelucrate n mod legal, echitabil i transparent fa de persoana vizat (legalitate, echitate i transparen);

(b) colectate n scopuri determinate, explicite i legitime i nu sunt prelucrate ulterior ntr-un mod incompatibil cu
aceste scopuri; prelucrarea ulterioar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau
istoric ori n scopuri statistice nu este considerat incompatibil cu scopurile iniiale, n conformitate cu
articolul 89 alineatul (1) (limitri legate de scop);

(c) adecvate, relevante i limitate la ceea ce este necesar n raport cu scopurile n care sunt prelucrate (reducerea la
minimum a datelor);

(d) exacte i, n cazul n care este necesar, s fie actualizate; trebuie s se ia toate msurile necesare pentru a se asigura
c datele cu caracter personal care sunt inexacte, avnd n vedere scopurile pentru care sunt prelucrate, sunt terse
sau rectificate fr ntrziere (exactitate);

(1) Directiva 98/34/CE a Parlamentului European i a Consiliului din 22 iunie 1998 de stabilire a unei proceduri pentru furnizarea de
informaii n domeniul standardelor i reglementrilor tehnice i al normelor privind serviciile societii informaionale (JO L 204,
21.7.1998, p. 37).
L 119/36 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(e) pstrate ntr-o form care permite identificarea persoanelor vizate pe o perioad care nu depete perioada necesar
ndeplinirii scopurilor n care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi
n msura n care acestea vor fi prelucrate exclusiv n scopuri de arhivare n interes public, n scopuri de cercetare
tiinific sau istoric ori n scopuri statistice, n conformitate cu articolul 89 alineatul (1), sub rezerva punerii n
aplicare a msurilor de ordin tehnic i organizatoric adecvate prevzute n prezentul regulament n vederea garantrii
drepturilor i libertilor persoanei vizate (limitri legate de stocare);

(f) prelucrate ntr-un mod care asigur securitatea adecvat a datelor cu caracter personal, inclusiv protecia mpotriva
prelucrrii neautorizate sau ilegale i mpotriva pierderii, a distrugerii sau a deteriorrii accidentale, prin luarea de
msuri tehnice sau organizatorice corespunztoare (integritate i confidenialitate).

(2) Operatorul este responsabil de respectarea alineatului (1) i poate demonstra aceast respectare (responsabilitate).

Articolul 6

Legalitatea prelucrrii

(1) Prelucrarea este legal numai dac i n msura n care se aplic cel puin una dintre urmtoarele condiii:

(a) persoana vizat i-a dat consimmntul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai
multe scopuri specifice;

(b) prelucrarea este necesar pentru executarea unui contract la care persoana vizat este parte sau pentru a face
demersuri la cererea persoanei vizate nainte de ncheierea unui contract;

(c) prelucrarea este necesar n vederea ndeplinirii unei obligaii legale care i revine operatorului;

(d) prelucrarea este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din
exercitarea autoritii publice cu care este nvestit operatorul;

(f) prelucrarea este necesar n scopul intereselor legitime urmrite de operator sau de o parte ter, cu excepia cazului
n care prevaleaz interesele sau drepturile i libertile fundamentale ale persoanei vizate, care necesit protejarea
datelor cu caracter personal, n special atunci cnd persoana vizat este un copil.

Litera (f) din primul paragraf nu se aplic n cazul prelucrrii efectuate de autoriti publice n ndeplinirea atribuiilor
lor.

(2) Statele membre pot menine sau introduce dispoziii mai specifice de adaptare a aplicrii normelor prezentului
regulament n ceea ce privete prelucrarea n vederea respectrii alineatului (1) literele (c) i (e) prin definirea unor
cerine specifice mai precise cu privire la prelucrare i a altor msuri de asigurare a unei prelucrri legale i echitabile,
inclusiv pentru alte situaii concrete de prelucrare, astfel cum este prevzut n capitolul IX.

(3) Temeiul pentru prelucrarea menionat la alineatul (1) literele (c) i (e) trebuie s fie prevzut n:

(a) dreptul Uniunii; sau

(b) dreptul intern care se aplic operatorului.

Scopul prelucrrii este stabilit pe baza respectivului temei juridic sau, n ceea ce privete prelucrarea menionat la
alineatul (1) litera (e), este necesar pentru ndeplinirea unei sarcini efectuate n interes public sau n cadrul exercitrii unei
funcii publice atribuite operatorului. Respectivul temei juridic poate conine dispoziii specifice privind adaptarea
aplicrii normelor prezentului regulament, printre altele: condiiile generale care reglementeaz legalitatea prelucrrii de
ctre operator; tipurile de date care fac obiectul prelucrrii; persoanele vizate; entitile crora le pot fi divulgate datele i
scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitrile legate de scop; perioadele de stocare;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/37

i operaiunile i procedurile de prelucrare, inclusiv msurile de asigurare a unei prelucrri legale i echitabile cum sunt
cele pentru alte situaii concrete de prelucrare astfel cum sunt prevzute n capitolul IX. Dreptul Uniunii sau dreptul
intern urmrete un obiectiv de interes public i este proporional cu obiectivul legitim urmrit.

(4) n cazul n care prelucrarea n alt scop dect cel pentru care datele cu caracter personal au fost colectate nu se
bazeaz pe consimmntul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o msur necesar
i proporional ntr-o societate democratic pentru a proteja obiectivele menionate la articolul 23 alineatul (1),
operatorul, pentru a stabili dac prelucrarea n alt scop este compatibil cu scopul pentru care datele cu caracter
personal au fost colectate iniial, ia n considerare, printre altele:

(a) orice legtur dintre scopurile n care datele cu caracter personal au fost colectate i scopurile prelucrrii ulterioare
preconizate;

(b) contextul n care datele cu caracter personal au fost colectate, n special n ceea ce privete relaia dintre persoanele
vizate i operator;

(c) natura datelor cu caracter personal, n special n cazul prelucrrii unor categorii speciale de date cu caracter
personal, n conformitate cu articolul 9, sau n cazul n care sunt prelucrate date cu caracter personal referitoare la
condamnri penale i infraciuni, n conformitate cu articolul 10;

(d) posibilele consecine asupra persoanelor vizate ale prelucrrii ulterioare preconizate;

(e) existena unor garanii adecvate, care pot include criptarea sau pseudonimizarea.

Articolul 7

Condiii privind consimmntul

(1) n cazul n care prelucrarea se bazeaz pe consimmnt, operatorul trebuie s fie n msur s demonstreze c
persoana vizat i-a dat consimmntul pentru prelucrarea datelor sale cu caracter personal.

(2) n cazul n care consimmntul persoanei vizate este dat n contextul unei declaraii scrise care se refer i la alte
aspecte, cererea privind consimmntul trebuie s fie prezentat ntr-o form care o difereniaz n mod clar de celelalte
aspecte, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar i simplu. Nicio parte a respectivei declaraii
care constituie o nclcare a prezentului regulament nu este obligatorie.

(3) Persoana vizat are dreptul s i retrag n orice moment consimmntul. Retragerea consimmntului nu
afecteaz legalitatea prelucrrii efectuate pe baza consimmntului nainte de retragerea acestuia. nainte de acordarea
consimmntului, persoana vizat este informat cu privire la acest lucru. Retragerea consimmntului se face la fel de
simplu ca acordarea acestuia.

(4) Atunci cnd se evalueaz dac consimmntul este dat n mod liber, se ine seama ct mai mult de faptul c,
printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiionat sau nu de consimmntul cu
privire la prelucrarea datelor cu caracter personal care nu este necesar pentru executarea acestui contract.

Articolul 8

Condiii aplicabile n ceea ce privete consimmntul copiilor n legtur cu serviciile societii


informaionale

(1) n cazul n care se aplic articolul 6 alineatul (1) litera (a), n ceea ce privete oferirea de servicii ale societii
informaionale n mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legal dac copilul
are cel puin vrsta de 16 ani. Dac copilul are sub vrsta de 16 ani, respectiva prelucrare este legal numai dac i n
msura n care consimmntul respectiv este acordat sau autorizat de titularul rspunderii printeti asupra copilului.

Statele membre pot prevedea prin lege o vrst inferioar n aceste scopuri, cu condiia ca acea vrst inferioar s nu fie
mai mic de 13 ani.
L 119/38 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(2) Operatorul depune toate eforturile rezonabile pentru a verifica n astfel de cazuri c titularul rspunderii printeti
a acordat sau a autorizat consimmntul, innd seama de tehnologiile disponibile.

(3) Alineatul (1) nu afecteaz dreptul general al contractelor aplicabil n statele membre, cum ar fi normele privind
valabilitatea, ncheierea sau efectele unui contract n legtur cu un copil.

Articolul 9

Prelucrarea de categorii speciale de date cu caracter personal

(1) Se interzice prelucrarea de date cu caracter personal care dezvluie originea rasial sau etnic, opiniile politice,
confesiunea religioas sau convingerile filozofice sau apartenena la sindicate i prelucrarea de date genetice, de date
biometrice pentru identificarea unic a unei persoane fizice, de date privind sntatea sau de date privind viaa sexual
sau orientarea sexual ale unei persoane fizice.

(2) Alineatul (1) nu se aplic n urmtoarele situaii:

(a) persoana vizat i-a dat consimmntul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau
mai multe scopuri specifice, cu excepia cazului n care dreptul Uniunii sau dreptul intern prevede ca interdicia
prevzut la alineatul (1) s nu poat fi ridicat prin consimmntul persoanei vizate;

(b) prelucrarea este necesar n scopul ndeplinirii obligaiilor i al exercitrii unor drepturi specifice ale operatorului sau
ale persoanei vizate n domeniul ocuprii forei de munc i al securitii sociale i proteciei sociale, n msura n
care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munc ncheiat n
temeiul dreptului intern care prevede garanii adecvate pentru drepturile fundamentale i interesele persoanei vizate;

(c) prelucrarea este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice,
atunci cnd persoana vizat se afl n incapacitate fizic sau juridic de a-i da consimmntul;

(d) prelucrarea este efectuat n cadrul activitilor lor legitime i cu garanii adecvate de ctre o fundaie, o asociaie sau
orice alt organism fr scop lucrativ i cu specific politic, filozofic, religios sau sindical, cu condiia ca prelucrarea s
se refere numai la membrii sau la fotii membri ai organismului respectiv sau la persoane cu care acesta are contacte
permanente n legtur cu scopurile sale i ca datele cu caracter personal s nu fie comunicate terilor fr consim
mntul persoanelor vizate;

(e) prelucrarea se refer la date cu caracter personal care sunt fcute publice n mod manifest de ctre persoana vizat;

(f) prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n instan sau ori de cte ori
instanele acioneaz n exerciiul funciei lor judiciare;

(g) prelucrarea este necesar din motive de interes public major, n baza dreptului Uniunii sau a dreptului intern, care
este proporional cu obiectivul urmrit, respect esena dreptului la protecia datelor i prevede msuri corespun
ztoare i specifice pentru protejarea drepturilor fundamentale i a intereselor persoanei vizate;

(h) prelucrarea este necesar n scopuri legate de medicina preventiv sau a muncii, de evaluarea capacitii de munc a
angajatului, de stabilirea unui diagnostic medical, de furnizarea de asisten medical sau social sau a unui
tratament medical sau de gestionarea sistemelor i serviciilor de sntate sau de asisten social, n temeiul dreptului
Uniunii sau al dreptului intern sau n temeiul unui contract ncheiat cu un cadru medical i sub rezerva respectrii
condiiilor i garaniilor prevzute la alineatul (3);

(i) prelucrarea este necesar din motive de interes public n domeniul sntii publice, cum ar fi protecia mpotriva
ameninrilor transfrontaliere grave la adresa sntii sau asigurarea de standarde ridicate de calitate i siguran a
asistenei medicale i a medicamentelor sau a dispozitivelor medicale, n temeiul dreptului Uniunii sau al dreptului
intern, care prevede msuri adecvate i specifice pentru protejarea drepturilor i libertilor persoanei vizate, n
special a secretului profesional; sau
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/39

(j) prelucrarea este necesar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n
scopuri statistice, n conformitate cu articolul 89 alineatul (1), n baza dreptului Uniunii sau a dreptului intern, care
este proporional cu obiectivul urmrit, respect esena dreptului la protecia datelor i prevede msuri corespun
ztoare i specifice pentru protejarea drepturilor fundamentale i a intereselor persoanei vizate.

(3) Datele cu caracter personal menionate la alineatul (1) pot fi prelucrate n scopurile menionate la alineatul (2)
litera (h) n cazul n care datele respective sunt prelucrate de ctre un profesionist supus obligaiei de pstrare a
secretului profesional sau sub responsabilitatea acestuia, n temeiul dreptului Uniunii sau al dreptului intern sau n
temeiul normelor stabilite de organisme naionale competente sau de o alt persoan supus, de asemenea, unei obligaii
de confidenialitate n temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naionale
competente.

(4) Statele membre pot menine sau introduce condiii suplimentare, inclusiv restricii, n ceea ce privete prelucrarea
de date genetice, date biometrice sau date privind sntatea.

Articolul 10

Prelucrarea de date cu caracter personal referitoare la condamnri penale i infraciuni

Prelucrarea de date cu caracter personal referitoare la condamnri penale i infraciuni sau la msuri de securitate conexe
n temeiul articolului 6 alineatul (1) se efectueaz numai sub controlul unei autoriti de stat sau atunci cnd prelucrarea
este autorizat de dreptul Uniunii sau de dreptul intern care prevede garanii adecvate pentru drepturile i libertile
persoanelor vizate. Orice registru cuprinztor al condamnrilor penale se ine numai sub controlul unei autoriti de
stat.

Articolul 11

Prelucrarea care nu necesit identificare

(1) n cazul n care scopurile pentru care un operator prelucreaz date cu caracter personal nu necesit sau nu mai
necesit identificarea unei persoane vizate de ctre operator, operatorul nu are obligaia de a pstra, obine sau prelucra
informaii suplimentare pentru a identifica persoana vizat n scopul unic al respectrii prezentului regulament.

(2) Dac, n cazurile menionate la alineatul (1) din prezentul articol, operatorul poate demonstra c nu este n
msur s identifice persoana vizat, operatorul informeaz persoana vizat n mod corespunztor, n cazul n care este
posibil. n astfel de cazuri, articolele 15-20 nu se aplic, cu excepia cazului n care persoana vizat, n scopul exercitrii
drepturilor sale n temeiul respectivelor articole, ofer informaii suplimentare care permit identificarea sa.

CAPITOLUL III

Drepturile persoanei vizate

S ec i u nea 1

Tr an s p ar en i m od al it i

Articolul 12

Transparena informaiilor, a comunicrilor i a modalitilor de exercitare a drepturilor persoanei


vizate

(1) Operatorul ia msuri adecvate pentru a furniza persoanei vizate orice informaii menionate la articolele 13 i 14
i orice comunicri n temeiul articolelor 15-22 i 34 referitoare la prelucrare, ntr-o form concis, transparent,
inteligibil i uor accesibil, utiliznd un limbaj clar i simplu, n special pentru orice informaii adresate n mod specific
unui copil. Informaiile se furnizeaz n scris sau prin alte mijloace, inclusiv, atunci cnd este oportun, n format
electronic. La solicitarea persoanei vizate, informaiile pot fi furnizate verbal, cu condiia ca identitatea persoanei vizate
s fie dovedit prin alte mijloace.
L 119/40 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(2) Operatorul faciliteaz exercitarea drepturilor persoanei vizate n temeiul articolelor 15-22. n cazurile menionate
la articolul 11 alineatul (2), operatorul nu refuz s dea curs cererii persoanei vizate de a-i exercita drepturile n
conformitate cu articolele 15-22, cu excepia cazului n care operatorul demonstreaz c nu este n msur s identifice
persoana vizat.

(3) Operatorul furnizeaz persoanei vizate informaii privind aciunile ntreprinse n urma unei cereri n temeiul
articolelor 15-22, fr ntrzieri nejustificate i n orice caz n cel mult o lun de la primirea cererii. Aceast perioad
poate fi prelungit cu dou luni atunci cnd este necesar, inndu-se seama de complexitatea i numrul cererilor.
Operatorul informeaz persoana vizat cu privire la orice astfel de prelungire, n termen de o lun de la primirea cererii,
prezentnd i motivele ntrzierii. n cazul n care persoana vizat introduce o cerere n format electronic, informaiile
sunt furnizate n format electronic acolo unde este posibil, cu excepia cazului n care persoana vizat solicit un alt
format.

(4) Dac nu ia msuri cu privire la cererea persoanei vizate, operatorul informeaz persoana vizat, fr ntrziere i
n termen de cel mult o lun de la primirea cererii, cu privire la motivele pentru care nu ia msuri i la posibilitatea de a
depune o plngere n faa unei autoriti de supraveghere i de a introduce o cale de atac judiciar.

(5) Informaiile furnizate n temeiul articolelor 13 i 14 i orice comunicare i orice msuri luate n temeiul
articolelor 15-22 i 34 sunt oferite gratuit. n cazul n care cererile din partea unei persoane vizate sunt n mod vdit
nefondate sau excesive, n special din cauza caracterului lor repetitiv, operatorul poate:

(a) fie s perceap o tax rezonabil innd cont de costurile administrative pentru furnizarea informaiilor sau a
comunicrii sau pentru luarea msurilor solicitate;

(b) fie s refuze s dea curs cererii.

n aceste cazuri, operatorului i revine sarcina de a demonstra caracterul vdit nefondat sau excesiv al cererii.

(6) Fr a aduce atingere articolului 11, n cazul n care are ndoieli ntemeiate cu privire la identitatea persoanei fizice
care nainteaz cererea menionat la articolele 15-21, operatorul poate solicita furnizarea de informaii suplimentare
necesare pentru a confirma identitatea persoanei vizate.

(7) Informaiile care urmeaz s fie furnizate persoanelor vizate n temeiul articolelor 13 i 14 pot fi furnizate n
combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clar lizibil o imagine de
ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele sunt prezentate n format
electronic, acestea trebuie s poat fi citite automat.

(8) Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 92 n vederea determinrii informa
iilor care urmeaz s fie prezentate de pictograme i a procedurilor pentru furnizarea de pictograme standardizate.

S ec iu n ea 2

In f or ma r e i a cce s l a da te c u car a cte r p e rso nal

Articolul 13

Informaii care se furnizeaz n cazul n care datele cu caracter personal sunt colectate de la
persoana vizat

(1) n cazul n care datele cu caracter personal referitoare la o persoan vizat sunt colectate de la aceasta, operatorul,
n momentul obinerii acestor date cu caracter personal, furnizeaz persoanei vizate toate informaiile urmtoare:

(a) identitatea i datele de contact ale operatorului i, dup caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecia datelor, dup caz;

(c) scopurile n care sunt prelucrate datele cu caracter personal, precum i temeiul juridic al prelucrrii;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/41

(d) n cazul n care prelucrarea se face n temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmrite de
operator sau de o parte ter;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dac este cazul, intenia operatorului de a transfera date cu caracter personal ctre o ar ter sau o organizaie
internaional i existena sau absena unei decizii a Comisiei privind caracterul adecvat sau, n cazul transferurilor
menionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garaniile adecvate
sau corespunztoare i la mijloacele de a obine o copie a acestora, n cazul n care acestea au fost puse la dispoziie.

(2) n plus fa de informaiile menionate la alineatul (1), n momentul n care datele cu caracter personal sunt
obinute, operatorul furnizeaz persoanei vizate urmtoarele informaii suplimentare necesare pentru a asigura o
prelucrare echitabil i transparent:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dac acest lucru nu este posibil, criteriile utilizate
pentru a stabili aceast perioad;

(b) existena dreptului de a solicita operatorului, n ceea ce privete datele cu caracter personal referitoare la persoana
vizat, accesul la acestea, rectificarea sau tergerea acestora sau restricionarea prelucrrii sau a dreptului de a se
opune prelucrrii, precum i a dreptului la portabilitatea datelor;

(c) atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a),
existena dreptului de a retrage consimmntul n orice moment, fr a afecta legalitatea prelucrrii efectuate pe
baza consimmntului nainte de retragerea acestuia;

(d) dreptul de a depune o plngere n faa unei autoriti de supraveghere;

(e) dac furnizarea de date cu caracter personal reprezint o obligaie legal sau contractual sau o obligaie necesar
pentru ncheierea unui contract, precum i dac persoana vizat este obligat s furnizeze aceste date cu caracter
personal i care sunt eventualele consecine ale nerespectrii acestei obligaii;

(f) existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la articolul 22 alineatele (1)
i (4), precum i, cel puin n cazurile respective, informaii pertinente privind logica utilizat i privind importana
i consecinele preconizate ale unei astfel de prelucrri pentru persoana vizat.

(3) n cazul n care operatorul intenioneaz s prelucreze ulterior datele cu caracter personal ntr-un alt scop dect
cel pentru care acestea au fost colectate, operatorul furnizeaz persoanei vizate, nainte de aceast prelucrare ulterioar,
informaii privind scopul secundar respectiv i orice informaii suplimentare relevante, n conformitate cu alineatul (2).

(4) Alineatele (1), (2) i (3) nu se aplic dac i n msura n care persoana vizat deine deja informaiile respective.

Articolul 14

Informaii care se furnizeaz n cazul n care datele cu caracter personal nu au fost obinute de la
persoana vizat

(1) n cazul n care datele cu caracter personal nu au fost obinute de la persoana vizat, operatorul furnizeaz
persoanei vizate urmtoarele informaii:

(a) identitatea i datele de contact ale operatorului i, dup caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecia datelor, dup caz;

(c) scopurile n care sunt prelucrate datele cu caracter personal, precum i temeiul juridic al prelucrrii;

(d) categoriile de date cu caracter personal vizate;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dup caz;
L 119/42 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(f) dac este cazul, intenia operatorului de a transfera date cu caracter personal ctre un destinatar dintr-o ar ter sau
o organizaie internaional i existena sau absena unei decizii a Comisiei privind caracterul adecvat sau, n cazul
transferurilor menionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la
garaniile adecvate sau corespunztoare i la mijloacele de a obine o copie a acestora, n cazul n care acestea au fost
puse la dispoziie.

(2) Pe lng informaiile menionate la alineatul (1), operatorul furnizeaz persoanei vizate urmtoarele informaii
necesare pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dac acest lucru nu este posibil, criteriile utilizate
pentru a stabili aceast perioad;

(b) n cazul n care prelucrarea se face n temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmrite de
operator sau de o parte ter;

(c) existena dreptului de a solicita operatorului, n ceea ce privete datele cu caracter personal referitoare la persoana
vizat, accesul la acestea, rectificarea sau tergerea acestora sau restricionarea prelucrrii i a dreptului de a se opune
prelucrrii, precum i a dreptului la portabilitatea datelor;

(d) atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a),
existena dreptului de a retrage consimmntul n orice moment, fr a afecta legalitatea prelucrrii efectuate pe
baza consimmntului nainte de retragerea acestuia;

(e) dreptul de a depune o plngere n faa unei autoriti de supraveghere;

(f) sursa din care provin datele cu caracter personal i, dac este cazul, dac acestea provin din surse disponibile public;

(g) existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la articolul 22 alineatele (1)
i (4), precum i, cel puin n cazurile respective, informaii pertinente privind logica utilizat i privind importana
i consecinele preconizate ale unei astfel de prelucrri pentru persoana vizat.

(3) Operatorul furnizeaz informaiile menionate la alineatele (1) i (2):

(a) ntr-un termen rezonabil dup obinerea datelor cu caracter personal, dar nu mai mare de o lun, inndu-se seama
de circumstanele specifice n care sunt prelucrate datele cu caracter personal;

(b) dac datele cu caracter personal urmeaz s fie utilizate pentru comunicarea cu persoana vizat, cel trziu n
momentul primei comunicri ctre persoana vizat respectiv; sau

(c) dac se intenioneaz divulgarea datelor cu caracter personal ctre un alt destinatar, cel mai trziu la data la care
acestea sunt divulgate pentru prima oar.

(4) n cazul n care operatorul intenioneaz s prelucreze ulterior datele cu caracter personal ntr-un alt scop dect
cel pentru care acestea au fost obinute, operatorul furnizeaz persoanei vizate, nainte de aceast prelucrare ulterioar,
informaii privind scopul secundar respectiv i orice informaii suplimentare relevante, n conformitate cu alineatul (2).

(5) Alineatele (1)-(4) nu se aplic dac i n msura n care:

(a) persoana vizat deine deja informaiile;

(b) furnizarea acestor informaii se dovedete a fi imposibil sau ar implica eforturi disproporionate, n special n cazul
prelucrrii n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri
statistice, sub rezerva condiiilor i a garaniilor prevzute la articolul 89 alineatul (1), sau n msura n care obligaia
menionat la alineatul (1) din prezentul articol este susceptibil s fac imposibil sau s afecteze n mod grav
realizarea obiectivelor prelucrrii respective In astfel de cazuri, operatorul ia msuri adecvate pentru a proteja
drepturile, libertile i interesele legitime ale persoanei vizate, inclusiv punerea informaiilor la dispoziia publicului;

(c) obinerea sau divulgarea datelor este prevzut n mod expres de dreptul Uniunii sau de dreptul intern sub incidena
cruia intr operatorul i care prevede msuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

(d) n cazul n care datele cu caracter personal trebuie s rmn confideniale n temeiul unei obligaii statutare de
secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaii legale de a pstra
secretul.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/43

Articolul 15

Dreptul de acces al persoanei vizate

(1) Persoana vizat are dreptul de a obine din partea operatorului o confirmare c se prelucreaz sau nu date cu
caracter personal care o privesc i, n caz afirmativ, acces la datele respective i la urmtoarele informaii:

(a) scopurile prelucrrii;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari crora datele cu caracter personal le-au fost sau urmeaz s le fie divulgate,
n special destinatari din ri tere sau organizaii internaionale;

(d) acolo unde este posibil, perioada pentru care se preconizeaz c vor fi stocate datele cu caracter personal sau, dac
acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast perioad;

(e) existena dreptului de a solicita operatorului rectificarea sau tergerea datelor cu caracter personal ori restricionarea
prelucrrii datelor cu caracter personal referitoare la persoana vizat sau a dreptului de a se opune prelucrrii;

(f) dreptul de a depune o plngere n faa unei autoriti de supraveghere;

(g) n cazul n care datele cu caracter personal nu sunt colectate de la persoana vizat, orice informaii disponibile
privind sursa acestora;

(h) existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la articolul 22 alineatele (1)
i (4), precum i, cel puin n cazurile respective, informaii pertinente privind logica utilizat i privind importana
i consecinele preconizate ale unei astfel de prelucrri pentru persoana vizat.

(2) n cazul n care datele cu caracter personal sunt transferate ctre o ar ter sau o organizaie internaional,
persoana vizat are dreptul s fie informat cu privire la garaniile adecvate n temeiul articolului 46 referitoare la
transfer.

(3) Operatorul furnizeaz o copie a datelor cu caracter personal care fac obiectul prelucrrii. Pentru orice alte copii
solicitate de persoana vizat, operatorul poate percepe o tax rezonabil, bazat pe costurile administrative. n cazul n
care persoana vizat introduce cererea n format electronic i cu excepia cazului n care persoana vizat solicit un alt
format, informaiile sunt furnizate ntr-un format electronic utilizat n mod curent.

(4) Dreptul de a obine o copie menionat la alineatul (3) nu aduce atingere drepturilor i libertilor altora.

Se c iu n ea 3

Rect if ic ar e i ter ge re

Articolul 16

Dreptul la rectificare

Persoana vizat are dreptul de a obine de la operator, fr ntrzieri nejustificate, rectificarea datelor cu caracter personal
inexacte care o privesc. inndu-se seama de scopurile n care au fost prelucrate datele, persoana vizat are dreptul de a
obine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraii
suplimentare.

Articolul 17

Dreptul la tergerea datelor (dreptul de a fi uitat)

(1) Persoana vizat are dreptul de a obine din partea operatorului tergerea datelor cu caracter personal care o
privesc, fr ntrzieri nejustificate, iar operatorul are obligaia de a terge datele cu caracter personal fr ntrzieri
nejustificate n cazul n care se aplic unul dintre urmtoarele motive:

(a) datele cu caracter personal nu mai sunt necesare pentru ndeplinirea scopurilor pentru care au fost colectate sau
prelucrate;
L 119/44 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(b) persoana vizat i retrage consimmntul pe baza cruia are loc prelucrarea, n conformitate cu articolul 6
alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), i nu exist niciun alt temei juridic pentru prelucrarea;

(c) persoana vizat se opune prelucrrii n temeiul articolului 21 alineatul (1) i nu exist motive legitime care s
prevaleze n ceea ce privete prelucrarea sau persoana vizat se opune prelucrrii n temeiul articolului 21
alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie terse pentru respectarea unei obligaii legale care revine operatorului n temeiul
dreptului Uniunii sau al dreptului intern sub incidena cruia se afl operatorul;

(f) datele cu caracter personal au fost colectate n legtur cu oferirea de servicii ale societii informaionale menionate
la articolul 8 alineatul (1).

(2) n cazul n care operatorul a fcut publice datele cu caracter personal i este obligat, n temeiul alineatului (1), s
le tearg, operatorul, innd seama de tehnologia disponibil i de costul implementrii, ia msuri rezonabile, inclusiv
msuri tehnice, pentru a informa operatorii care prelucreaz datele cu caracter personal c persoana vizat a solicitat
tergerea de ctre aceti operatori a oricror linkuri ctre datele respective sau a oricror copii sau reproduceri ale
acestor date cu caracter personal.

(3) Alineatele (1) i (2a) nu se aplic n msura n care prelucrarea este necesar:

(a) pentru exercitarea dreptului la liber exprimare i la informare;

(b) pentru respectarea unei obligaii legale care prevede prelucrarea n temeiul dreptului Uniunii sau al dreptului intern
care se aplic operatorului sau pentru ndeplinirea unei sarcini executate n interes public sau n cadrul exercitrii
unei autoriti oficiale cu care este nvestit operatorul;

(c) din motive de interes public n domeniul sntii publice, n conformitate cu articolul 9 alineatul (2) literele (h) i (i)
i cu articolul 9 alineatul (3);

(d) n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice, n
conformitate cu articolul 89 alineatul (1), n msura n care dreptul menionat la alineatul (1) este susceptibil s fac
imposibil sau s afecteze n mod grav realizarea obiectivelor prelucrrii respective; sau

(e) pentru constatarea, exercitarea sau aprarea unui drept n instan.

Articolul 18

Dreptul la restricionarea prelucrrii

(1) Persoana vizat are dreptul de a obine din partea operatorului restricionarea prelucrrii n cazul n care se aplic
unul din urmtoarele cazuri:

(a) persoana vizat contest exactitatea datelor, pentru o perioad care i permite operatorului s verifice exactitatea
datelor;

(b) prelucrarea este ilegal, iar persoana vizat se opune tergerii datelor cu caracter personal, solicitnd n schimb
restricionarea utilizrii lor;

(c) operatorul nu mai are nevoie de datele cu caracter personal n scopul prelucrrii, dar persoana vizat i le solicit
pentru constatarea, exercitarea sau aprarea unui drept n instan; sau

(d) persoana vizat s-a opus prelucrrii n conformitate cu articolul 21 alineatul (1), pentru intervalul de timp n care se
verific dac drepturile legitime ale operatorului prevaleaz asupra celor ale persoanei vizate.

(2) n cazul n care prelucrarea a fost restricionat n temeiul alineatului (1), astfel de date cu caracter personal pot,
cu excepia stocrii, s fie prelucrate numai cu consimmntul persoanei vizate sau pentru constatarea, exercitarea sau
aprarea unui drept n instan sau pentru protecia drepturilor unei alte persoane fizice sau juridice sau din motive de
interes public important al Uniunii sau al unui stat membru.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/45

(3) O persoan vizat care a obinut restricionarea prelucrrii n temeiul alineatului (1) este informat de ctre
operator nainte de ridicarea restriciei de prelucrare.

Articolul 19

Obligaia de notificare privind rectificarea sau tergerea datelor cu caracter personal sau restric
ionarea prelucrrii

Operatorul comunic fiecrui destinatar cruia i-au fost divulgate datele cu caracter personal orice rectificare sau tergere
a datelor cu caracter personal sau restricionare a prelucrrii efectuate n conformitate cu articolul 16, articolul 17
alineatul (1) i articolul 18, cu excepia cazului n care acest lucru se dovedete imposibil sau presupune eforturi dispro
porionate. Operatorul informeaz persoana vizat cu privire la destinatarii respectivi dac persoana vizat solicit acest
lucru.

Articolul 20

Dreptul la portabilitatea datelor

(1) Persoana vizat are dreptul de a primi datele cu caracter personal care o privesc i pe care le-a furnizat
operatorului ntr-un format structurat, utilizat n mod curent i care poate fi citit automat i are dreptul de a transmite
aceste date altui operator, fr obstacole din partea operatorului cruia i-au fost furnizate datele cu caracter personal, n
cazul n care:

(a) prelucrarea se bazeaz pe consimmnt n temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9
alineatul (2) litera (a) sau pe un contract n temeiul articolului 6 alineatul (1) litera (b); i

(b) prelucrarea este efectuat prin mijloace automate.

(2) n exercitarea dreptului su la portabilitatea datelor n temeiul alineatului (1), persoana vizat are dreptul ca datele
cu caracter personal s fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de
vedere tehnic.

(3) Exercitarea dreptului menionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul
drept nu se aplic prelucrrii necesare pentru ndeplinirea unei sarcini executate n interes public sau n cadrul exercitrii
unei autoriti oficiale cu care este nvestit operatorul.

(4) Dreptul menionat la alineatul (1) nu aduce atingere drepturilor i libertilor altora.

S eci u ne a 4

Dr e pt u l la o p oz i ie i p ro c esu l de ci z io na l indi vidu a l au to ma ti z at

Articolul 21

Dreptul la opoziie

(1) n orice moment, persoana vizat are dreptul de a se opune, din motive legate de situaia particular n care se
afl, prelucrrii n temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter
personal care o privesc, inclusiv crerii de profiluri pe baza respectivelor dispoziii. Operatorul nu mai prelucreaz datele
cu caracter personal, cu excepia cazului n care operatorul demonstreaz c are motive legitime i imperioase care
justific prelucrarea i care prevaleaz asupra intereselor, drepturilor i libertilor persoanei vizate sau c scopul este
constatarea, exercitarea sau aprarea unui drept n instan.

(2) Atunci cnd prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizat are dreptul
de a se opune n orice moment prelucrrii n acest scop a datelor cu caracter personal care o privesc, inclusiv crerii de
profiluri, n msura n care este legat de marketingul direct respectiv.

(3) n cazul n care persoana vizat se opune prelucrrii n scopul marketingului direct, datele cu caracter personal nu
mai sunt prelucrate n acest scop.
L 119/46 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(4) Cel trziu n momentul primei comunicri cu persoana vizat, dreptul menionat la alineatele (1) i (2) este adus
n mod explicit n atenia persoanei vizate i este prezentat n mod clar i separat de orice alte informaii.

(5) n contextual utilizrii serviciilor societii informaionale i n pofida Directivei 2002/58/CE, persoana vizat i
poate exercita dreptul de a se opune prin mijloace automate care utilizeaz specificaii tehnice.

(6) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare tiinific sau istoric sau n
scopuri statistice n conformitate cu articolul 89 alineatul (1), persoana vizat, din motive legate de situaia sa
particular, are dreptul de a se opune prelucrrii datelor cu caracter personal care o privesc, cu excepia cazului n care
prelucrarea este necesar pentru ndeplinirea unei sarcini din motive de interes public.

Articolul 22

Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizat are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automat, inclusiv
crearea de profiluri, care produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o
msur semnificativ.

(2) Alineatul (1) nu se aplic n cazul n care decizia:

(a) este necesar pentru ncheierea sau executarea unui contract ntre persoana vizat i un operator de date;

(b) este autorizat prin dreptul Uniunii sau dreptul intern care se aplic operatorului i care prevede, de asemenea,
msuri corespunztoare pentru protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate; sau

(c) are la baz consimmntul explicit al persoanei vizate.

(3) n cazurile menionate la alineatul (2) literele (a) i (c), operatorul de date pune n aplicare msuri corespunztoare
pentru protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate, cel puin dreptul acesteia de a obine
intervenie uman din partea operatorului, de a-i exprima punctul de vedere i de a contesta decizia.

(4) Deciziile menionate la alineatul (2) nu au la baz categoriile speciale de date cu caracter personal menionate la
articolul 9 alineatul (1), cu excepia cazului n care se aplic articolul 9 alineatul (2) litera (a) sau (g) i n care au fost
instituite msuri corespunztoare pentru protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate.

S ec i un ea 5

Re st r i ci i

Articolul 23

Restricii

(1) Dreptul Uniunii sau dreptul intern care se aplic operatorului de date sau persoanei mputernicite de operator
poate restriciona printr-o msur legislativ domeniul de aplicare al obligaiilor i al drepturilor prevzute la
articolele 12-22 i 34, precum i la articolul 5 n msura n care dispoziiile acestuia corespund drepturilor i obligaiilor
prevzute la articolele 12-22, atunci cnd o astfel de restricie respect esena drepturilor i libertilor fundamentale i
constituie o msur necesar i proporional ntr-o societate democratic, pentru a asigura:

(a) securitatea naional;

(b) aprarea;

(c) securitatea public;


4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/47

(d) prevenirea, investigarea, depistarea sau urmrirea penal a infraciunilor sau executarea sanciunilor penale, inclusiv
protejarea mpotriva ameninrilor la adresa securitii publice i prevenirea acestora;

(e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, n special un interes
economic sau financiar important al Uniunii sau al unui stat membru, inclusiv n domeniile monetar, bugetar i
fiscal i n domeniul sntii publice i al securitii sociale;

(f) protejarea independenei judiciare i a procedurilor judiciare;

(g) prevenirea, investigarea, depistarea i urmrirea penal a nclcrii eticii n cazul profesiilor reglementate;

(h) funcia de monitorizare, inspectare sau reglementare legat, chiar i ocazional, de exercitarea autoritii oficiale n
cazurile menionate la literele (a)-(e) i (g);

(i) protecia persoanei vizate sau a drepturilor i libertilor altora;

(j) punerea n aplicare a preteniilor de drept civil.

(2) n special, orice msur legislativ menionat la alineatul (1) conine dispoziii specifice cel puin, dac este cazul,
n ceea ce privete:

(a) scopurile prelucrrii sau ale categoriilor de prelucrare;

(b) categoriile de date cu caracter personal;

(c) domeniul de aplicare al restriciilor introduse;

(d) garaniile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e) menionarea operatorului sau a categoriilor de operatori;

(f) perioadele de stocare i garaniile aplicabile avnd n vedere natura, domeniul de aplicare i scopurile prelucrrii sau
ale categoriilor de prelucrare;

(g) riscurile pentru drepturile i libertilor persoanelor vizate; i

(h) dreptul persoanelor vizate de a fi informate cu privire la restricie, cu excepia cazului n care acest lucru poate
aduce atingere scopului restriciei.

CAPITOLUL IV

Operatorul i persoana mputernicit de operator

S e ci u n ea 1

O bli ga ii ge ne ra l e

Articolul 24

Responsabilitatea operatorului

(1) innd seama de natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i de riscurile cu grade
diferite de probabilitate i gravitate pentru drepturile i libertile persoanelor fizice, operatorul pune n aplicare msuri
tehnice i organizatorice adecvate pentru a garanta i a fi n msur s demonstreze c prelucrarea se efectueaz n
conformitate cu prezentul regulament. Respectivele msuri se revizuiesc i se actualizeaz dac este necesar.

(2) Atunci cnd sunt proporionale n raport cu operaiunile de prelucrare, msurile menionate la alineatul (1) includ
punerea n aplicare de ctre operator a unor politici adecvate de protecie a datelor.

(3) Aderarea la coduri de conduit aprobate, menionate la articolul 40, sau la un mecanism de certificare aprobat,
menionat la articolul 42, poate fi utilizat ca element care s demonstreze respectarea obligaiilor de ctre operator.
L 119/48 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

Articolul 25

Asigurarea proteciei datelor ncepnd cu momentul conceperii i n mod implicit

(1) Avnd n vedere stadiul actual al tehnologiei, costurile implementrii, i natura, domeniul de aplicare, contextul i
scopurile prelucrrii, precum i riscurile cu grade diferite de probabilitate i gravitate pentru drepturile i libertile
persoanelor fizice pe care le prezint prelucrarea, operatorul, att n momentul stabilirii mijloacelor de prelucrare, ct i
n cel al prelucrrii n sine, pune n aplicare msuri tehnice i organizatorice adecvate, cum ar fi pseudonimizarea, care
sunt destinate s pun n aplicare n mod eficient principiile de protecie a datelor, precum reducerea la minimum a
datelor, i s integreze garaniile necesare n cadrul prelucrrii, pentru a ndeplini cerinele prezentului regulament i a
proteja drepturile persoanelor vizate.

(2) Operatorul pune n aplicare msuri tehnice i organizatorice adecvate pentru a asigura c, n mod implicit, sunt
prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrrii. Respectiva
obligaie se aplic volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare i accesibilitii
lor. n special, astfel de msuri asigur c, n mod implicit, datele cu caracter personal nu pot fi accesate, fr intervenia
persoanei, de un numr nelimitat de persoane.

(3) Un mecanism de certificare aprobat n conformitate cu articolul 42 poate fi utilizat drept element care s
demonstreze ndeplinirea cerinelor prevzute la alineatele (1) i (2) ale prezentului articol.

Articolul 26

Operatori asociai

(1) n cazul n care doi sau mai muli operatori stabilesc n comun scopurile i mijloacele de prelucrare, acetia sunt
operatori asociai. Ei stabilesc ntr-un mod transparent responsabilitile fiecruia n ceea ce privete ndeplinirea
obligaiilor care le revin n temeiul prezentului regulament, n special n ceea ce privete exercitarea drepturilor
persoanelor vizate i ndatoririle fiecruia de furnizare a informaiilor prevzute la articolele 13 i 14, prin intermediul
unui acord ntre ei, cu excepia cazului i n msura n care responsabilitile operatorilor sunt stabilite n dreptul
Uniunii sau n dreptul intern care se aplic acestora. Acordul poate s desemneze un punct de contact pentru persoanele
vizate.

(2) Acordul menionat la alineatul (1) reflect n mod adecvat rolurile i raporturile respective ale operatorilor asociai
fa de persoanele vizate. Esena acestui acord este fcut cunoscut persoanei vizate.

(3) Indiferent de clauzele acordului menionat la alineatul (1), persoana vizat i poate exercita drepturile n temeiul
prezentului regulament cu privire la i n raport cu fiecare dintre operatori.

Articolul 27

Reprezentanii operatorilor sau ai persoanelor mputernicite de operatori care nu i au sediul n


Uniune

(1) n cazul n care se aplic articolul 3 alineatul (2), operatorul sau persoana mputernicit de operator desemneaz
n scris un reprezentant n Uniune.

(2) Obligaia prevzut la alineatul (1) din prezentul articol nu se aplic:

(a) prelucrrii care are un caracter ocazional, care nu include, pe scar larg, prelucrarea unor categorii speciale de date,
astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea unor date cu caracter personal referitoare la
condamnri penale i infraciuni menionat la articolul 10, i care este puin susceptibil de a genera un risc pentru
drepturile i libertile persoanelor, innd cont de natura, contextul, domeniul de aplicare i scopurile prelucrrii;
sau

(b) unei autoriti sau unui organism public.


4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/49

(3) Reprezentantul i are sediul n unul dintre statele membre n care se afl persoanele vizate ale cror date cu
caracter personal sunt prelucrate n legtur cu furnizarea de bunuri i servicii sau al cror comportament este
monitorizat.

(4) Reprezentantul primete din partea operatorului sau a persoanei mputernicite de operator un mandat prin care
autoritile de supraveghere i persoanele vizate, n special, se pot adresa reprezentantului, n plus fa de operator sau
persoana mputernicit de operator sau n locul acestora, cu privire la toate chestiunile legate de prelucrarea, n scopul
asigurrii respectrii prezentului regulament.

(5) Desemnarea unui reprezentant de ctre operator sau persoana mputernicit de operator nu aduce atingere
aciunilor n justiie care ar putea fi introduse mpotriva operatorului sau persoanei mputernicite de operator nsei.

Articolul 28

Persoana mputernicit de operator

(1) n cazul n care prelucrarea urmeaz s fie realizat n numele unui operator, operatorul recurge doar la persoane
mputernicite care ofer garanii suficiente pentru punerea n aplicare a unor msuri tehnice i organizatorice adecvate,
astfel nct prelucrarea s respecte cerinele prevzute n prezentul regulament i s asigure protecia drepturilor
persoanei vizate.

(2) Persoana mputernicit de operator nu recruteaz o alt persoan mputernicit de operator fr a primi n
prealabil o autorizaie scris, specific sau general, din partea operatorului. n cazul unei autorizaii generale scrise,
persoana mputernicit de operator informeaz operatorul cu privire la orice modificri preconizate privind adugarea
sau nlocuirea altor persoane mputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiecii fa
de aceste modificri.

(3) Prelucrarea de ctre o persoan mputernicit de un operator este reglementat printr-un contract sau alt act
juridic n temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana mputernicit de
operator n raport cu operatorul i care stabilete obiectul i durata prelucrrii, natura i scopul prelucrrii, tipul de date
cu caracter personal i categoriile de persoane vizate i obligaiile i drepturile operatorului. Respectivul contract sau act
juridic prevede n special c persoan mputernicit de operator:

(a) prelucreaz datele cu caracter personal numai pe baza unor instruciuni documentate din partea operatorului,
inclusiv n ceea ce privete transferurile de date cu caracter personal ctre o ar ter sau o organizaie interna
ional, cu excepia cazului n care aceast obligaie i revine persoanei mputernicite n temeiul dreptului Uniunii sau
al dreptului intern care i se aplic; n acest caz, notific aceast obligaie juridic operatorului nainte de prelucrare,
cu excepia cazului n care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul
public;

(b) se asigur c persoanele autorizate s prelucreze datele cu caracter personal s-au angajat s respecte confidenialitatea
sau au o obligaie statutar adecvat de confidenialitate;

(c) adopt toate msurile necesare n conformitate cu articolul 32;

(d) respect condiiile menionate la alineatele (2) i (4) privind recrutarea unei alte persoane mputernicite de operator;

(e) innd seama de natura prelucrrii, ofer asisten operatorului prin msuri tehnice i organizatorice adecvate, n
msura n care acest lucru este posibil, pentru ndeplinirea obligaiei operatorului de a rspunde cererilor privind
exercitarea de ctre persoana vizat a drepturilor prevzute n capitolul III;

(f) ajut operatorul s asigure respectarea obligaiilor prevzute la articolele 32-36, innd seama de caracterul
prelucrrii i informaiile aflate la dispoziia persoanei mputernicite de operator;

(g) la alegerea operatorului, terge sau returneaz operatorului toate datele cu caracter personal dup ncetarea furnizrii
serviciilor legate de prelucrare i elimin copiile existente, cu excepia cazului n care dreptul Uniunii sau dreptul
intern impune stocarea datelor cu caracter personal;

(h) pune la dispoziia operatorului toate informaiile necesare pentru a demonstra respectarea obligaiilor prevzute la
prezentul articol, permite desfurarea auditurilor, inclusiv a inspeciilor, efectuate de operator sau alt auditor
mandatat i contribuie la acestea.
L 119/50 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

n ceea ce privete primul paragraf litera (h), persoana mputernicit de operator informeaz imediat operatorul n cazul
n care, n opinia sa, o instruciune ncalc prezentul regulament sau alte dispoziii din dreptul intern sau din dreptul
Uniunii referitoare la protecia datelor.

(4) n cazul n care o persoan mputernicit de un operator recruteaz o alt persoan mputernicit pentru
efectuarea de activiti de prelucrare specifice n numele operatorului, aceleai obligaii privind protecia datelor
prevzute n contractul sau n alt act juridic ncheiat ntre operator i persoana mputernicit de operator, astfel cum se
prevede la alineatul (3), revin celei de a doua persoane mputernicite, prin intermediul unui contract sau al unui alt act
juridic, n temeiul dreptului Uniunii sau al dreptului intern, n special furnizarea de garanii suficiente pentru punerea n
aplicare a unor msuri tehnice i organizatorice adecvate, astfel nct prelucrarea s ndeplineasc cerinele prezentului
regulament. n cazul n care aceast a doua persoan mputernicit nu i respect obligaiile privind protecia datelor,
persoana mputernicit iniial rmne pe deplin rspunztoare fa de operator n ceea ce privete ndeplinirea
obligaiilor acestei a doua persoane mputernicite.

(5) Aderarea persoanei mputernicite de operator la un cod de conduit aprobat, menionat la articolul 40, sau la un
mecanism de certificare aprobat, menionat la articolul 42, poate fi utilizat ca element prin care s se demonstreze
existena garaniilor suficiente menionate la alineatele (1) i (4) din prezentul articol.

(6) Fr a aduce atingere unui contract individual ncheiat ntre operator i persoana mputernicit de operator,
contractul sau cellalt act juridic menionat la alineatele (3) i (4) din prezentul articol se poate baza, integral sau parial,
pe clauze contractuale standard menionate la alineatele (7) i (8) din prezentul articol, inclusiv atunci cnd fac parte
dintr-o certificare acordat operatorului sau persoanei mputernicite de operator n temeiul articolelor 42 i 43.

(7) Comisia poate s prevad clauze contractuale standard pentru aspectele menionate la alineatele (3) i (4) din
prezentul articol i n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2).

(8) O autoritate de supraveghere poate s adopte clauze contractuale standard pentru aspectele menionate la
alineatele (3) i (4) din prezentul articol i n conformitate cu mecanismul pentru asigurarea coerenei menionat la
articolul 63.

(9) Contractul sau cellalt act juridic menionat la alineatele (3) i (4) se formuleaz n scris, inclusiv n format
electronic.

(10) Fr a aduce atingere articolelor 82, 83 i 84, n cazul n care o persoan mputernicit de operator nclc
prezentul regulament, prin stabilirea scopurilor i mijloacelor de prelucrare a datelor cu caracter personal, persoana
mputernicit de operator este considerat a fi un operator n ceea ce privete prelucrarea respectiv.

Articolul 29

Desfurarea activitii de prelucrare sub autoritatea operatorului sau a persoanei mputernicite de


operator

Persoana mputernicit de operator i orice persoan care acioneaz sub autoritatea operatorului sau a persoanei
mputernicite de operator care are acces la date cu caracter personal nu le prelucreaz dect la cererea operatorului, cu
excepia cazului n care dreptul Uniunii sau dreptul intern l oblig s fac acest lucru.

Articolul 30

Evidenele activitilor de prelucrare

(1) Fiecare operator i, dup caz, reprezentantul acestuia pstreaz o eviden a activitilor de prelucrare desfurate
sub responsabilitatea lor. Respectiva eviden cuprinde toate urmtoarele informaii:

(a) numele i datele de contact ale operatorului i, dup caz, ale operatorului asociat, ale reprezentantului operatorului i
ale responsabilului cu protecia datelor;

(b) scopurile prelucrrii;

(c) o descriere a categoriilor de persoane vizate i a categoriilor de date cu caracter personal;


4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/51

(d) categoriile de destinatari crora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din
ri tere sau organizaii internaionale;

(e) dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o organizaie internaional, inclusiv
identificarea rii tere sau a organizaiei internaionale respective i, n cazul transferurilor menionate la articolul 49
alineatul (1) al doilea paragraf, documentaia care dovedete existena unor garanii adecvate;

(f) acolo unde este posibil, termenele-limit preconizate pentru tergerea diferitelor categorii de date;

(g) acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de securitate menionate la
articolul 32 alineatul (1).

(2) Fiecare operator i, dup caz, persoana mputernicit de operator pstreaz o eviden a tuturor categoriilor de
activiti de prelucrare desfurate n numele operatorului, care cuprind:

(a) numele i datele de contact ale persoanei sau persoanelor mputernicite de operator i ale fiecrui operator n
numele cruia acioneaz aceast persoan (aceste persoane), precum i ale reprezentantului operatorului sau al
persoanei mputernicite de operator, dup caz;

(b) categoriile de activiti de prelucrare desfurate n numele fiecrui operator;

(c) dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o organizaie internaional, inclusiv
identificarea rii tere sau a organizaiei internaionale respective i, n cazul transferurilor prevzute la articolul 49
alineatul (1) al doilea paragraf, documentaia care dovedete existena unor garanii adecvate;

(d) acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de securitate menionate la
articolul 32 alineatul (1).

(3) Evidenele menionate la alineatele (1) i (2) se formuleaz n scris, inclusiv n format electronic.

(4) Operatorul sau persoana mputernicit de acesta, precum i, dup caz, reprezentantul operatorului sau al
persoanei mputernicite de operator pun evidenele la dispoziia autoritii de supraveghere, la cererea acesteia.

(5) Obligaiile menionate la alineatele 1 i 2 nu se aplic unei ntreprinderi sau organizaii cu mai puin de
250 de angajai, cu excepia cazului n care prelucrarea pe care o efectueaz este susceptibil s genereze un risc pentru
drepturile i libertile persoanelor vizate, prelucrarea nu este ocazional sau prelucrarea include categorii speciale de
date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnri penale i
infraciuni, astfel cum se menioneaz la articolul 10.

Articolul 31

Cooperarea cu autoritatea de supraveghere

Operatorul i persoana mputernicit de operator i, dup caz, reprezentantul acestora coopereaz, la cerere, cu
autoritatea de supraveghere n ndeplinirea sarcinilor lor.

S eci u ne a 2

Se cur it at ea da te lo r cu ca r a cte r p er so nal

Articolul 32

Securitatea prelucrrii

(1) Avnd n vedere stadiul actual al dezvoltrii, costurile implementrii i natura, domeniul de aplicare, contextul i
scopurile prelucrrii, precum i riscul cu diferite grade de probabilitate i gravitate pentru drepturile i libertile
persoanelor fizice, operatorul i persoana mputernicit de acesta implementeaz msuri tehnice i organizatorice
adecvate n vederea asigurrii unui nivel de securitate corespunztor acestui risc, incluznd printre altele, dup caz:

(a) pseudonimizarea i criptarea datelor cu caracter personal;


L 119/52 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(b) capacitatea de a asigura confidenialitatea, integritatea, disponibilitatea i rezistena continue ale sistemelor i
serviciilor de prelucrare;

(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul la acestea n timp util n cazul n care
are loc un incident de natur fizic sau tehnic;

(d) un proces pentru testarea, evaluarea i aprecierea periodice ale eficacitii msurilor tehnice i organizatorice pentru
a garanta securitatea prelucrrii.

(2) La evaluarea nivelului adecvat de securitate, se ine seama n special de riscurile prezentate de prelucrare, generate
n special, n mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizat sau accesul
neautorizat la datele cu caracter personal transmise, stocate sau prelucrate ntr-un alt mod.

(3) Aderarea la un cod de conduit aprobat, menionat la articolul 40, sau la un mecanism de certificare aprobat,
menionat la articolul 42, poate fi utilizat ca element prin care s se demonstreze ndeplinirea cerinelor prevzute la
alineatul (1) din prezentul articol.

(4) Operatorul i persoana mputernicit de acesta iau msuri pentru a asigura faptul c orice persoan fizic care
acioneaz sub autoritatea operatorului sau a persoanei mputernicite de operator i care are acces la date cu caracter
personal nu le prelucreaz dect la cererea operatorului, cu excepia cazului n care aceast obligaie i revine n temeiul
dreptului Uniunii sau al dreptului intern.

Articolul 33

Notificarea autoritii de supraveghere n cazul nclcrii securitii datelor cu caracter personal

(1) n cazul n care are loc o nclcare a securitii datelor cu caracter personal, operatorul notific acest lucru
autoritii de supraveghere competente n temeiul articolului 55, fr ntrzieri nejustificate i, dac este posibil, n
termen de cel mult 72 de ore de la data la care a luat cunotin de aceasta, cu excepia cazului n care este susceptibil
s genereze un risc pentru drepturile i libertile persoanelor fizice. n cazul n care notificarea nu are loc n termen de
72 de ore, aceasta este nsoit de o explicaie motivat din partea autoritii de supraveghere n cazul n care.

(2) Persoana mputernicit de operator ntiineaz operatorul fr ntrzieri nejustificate dup ce ia cunotin de o
nclcare a securitii datelor cu caracter personal.

(3) Notificarea menionat la alineatul (1) cel puin:

(a) descrie caracterul nclcrii securitii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile i
numrul aproximativ al persoanelor vizate n cauz, precum i categoriile i numrul aproximativ al nregistrrilor
de date cu caracter personal n cauz;

(b) comunic numele i datele de contact ale responsabilului cu protecia datelor sau un alt punct de contact de unde se
pot obine mai multe informaii;

(c) descrie consecinele probabile ale nclcrii securitii datelor cu caracter personal;

(d) descrie msurile luate sau propuse spre a fi luate de operator pentru a remedia problema nclcrii securitii datelor
cu caracter personal, inclusiv, dup caz, msurile pentru atenuarea eventualelor sale efecte negative.

(4) Atunci cnd i n msura n care nu este posibil s se furnizeze informaiile n acelai timp, acestea pot fi furnizate
n mai multe etape, fr ntrzieri nejustificate.

(5) Operatorul pstreaz documente referitoare la toate cazurile de nclcare a securitii datelor cu caracter personal,
care cuprind o descriere a situaiei de fapt n care a avut loc nclcarea securitii datelor cu caracter personal, a efectelor
acesteia i a msurilor de remediere ntreprinse. Aceast documentaie permite autoritii de supraveghere s verifice
conformitatea cu prezentul articol.

Articolul 34

Informarea persoanei vizate cu privire la nclcarea securitii datelor cu caracter personal

(1) n cazul n care nclcarea securitii datelor cu caracter personal este susceptibil s genereze un risc ridicat
pentru drepturile i libertile persoanelor fizice, operatorul informeaz persoana vizat fr ntrzieri nejustificate cu
privire la aceast nclcare.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/53

(2) n informarea transmis persoanei vizate prevzut la alineatul (1) din prezentul articol se include o descriere
ntr-un limbaj clar i simplu a caracterului nclcrii securitii datelor cu caracter personal, precum i cel puin
informaiile i msurile menionate la articolul 33 alineatul (3) literele (b), (c) i (d).

(3) Informarea persoanei vizate menionat la alineatul (1) nu este necesar n cazul n care oricare dintre urmtoarele
condiii este ndeplinit:

(a) operatorul a implementat msuri de protecie tehnice i organizatorice adecvate, iar aceste msuri au fost aplicate n
cazul datelor cu caracter personal afectate de nclcarea securitii datelor cu caracter personal, n special msuri prin
care se asigur c datele cu caracter personal devin neinteligibile oricrei persoane care nu este autorizat s le
acceseze, cum ar fi criptarea;

(b) operatorul a luat msuri ulterioare prin care se asigur c riscul ridicat pentru drepturile i libertile persoanelor
vizate menionat la alineatul (1) nu mai este susceptibil s se materializeze;

(c) ar necesita un efort disproporionat. n aceast situaie, se efectueaz n loc o informare public sau se ia o msur
similar prin care persoanele vizate sunt informate ntr-un mod la fel de eficace.

(4) n cazul n care operatorul nu a comunicat deja nclcarea securitii datelor cu caracter personal ctre persoana
vizat, autoritatea de supraveghere, dup ce a luat n considerare probabilitatea ca nclcarea securitii datelor cu
caracter personal s genereze un risc ridicat, poate s i solicite acestuia s fac acest lucru sau poate decide c oricare
dintre condiiile menionate la alineatul (3) sunt ndeplinite.

S ec i un ea 3

Ev a l u a re a im p a ctul ui a su p ra p r ot ec ie i da te lo r i co ns u lt are a pr e ala bil

Articolul 35

Evaluarea impactului asupra proteciei datelor

(1) Avnd n vedere natura, domeniul de aplicare, contextul i scopurile prelucrrii, n cazul n care un tip de
prelucrare, n special cel bazat pe utilizarea noilor tehnologii, este susceptibil s genereze un risc ridicat pentru
drepturile i libertile persoanelor fizice, operatorul efectueaz, naintea prelucrrii, o evaluare a impactului operaiunilor
de prelucrare prevzute asupra proteciei datelor cu caracter personal. O evaluare unic poate aborda un set de
operaiuni de prelucrare similare care prezint riscuri ridicate similare.

(2) La realizarea unei evaluri a impactului asupra proteciei datelor, operatorul solicit avizul responsabilului cu
protecia datelor, dac acesta a fost desemnat.

(3) Evaluarea impactului asupra proteciei datelor menionat la alineatul (1) se impune mai ales n cazul:

(a) unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la persoane fizice, care se bazeaz pe
prelucrarea automat, inclusiv crearea de profiluri, i care st la baza unor decizii care produc efecte juridice privind
persoana fizic sau care o afecteaz n mod similar ntr-o msur semnificativ;

(b) prelucrrii pe scar larg a unor categorii speciale de date, menionat la articolul 9 alineatul (1), sau a unor date cu
caracter personal privind condamnri penale i infraciuni, menionat la articolul 10; sau

(c) unei monitorizri sistematice pe scar larg a unei zone accesibile publicului.

(4) Autoritatea de supraveghere ntocmete i public o list a tipurilor de operaiuni de prelucrare care fac obiectul
cerinei de efectuare a unei evaluri a impactului asupra proteciei datelor, n conformitate cu alineatul (1). Autoritatea de
supraveghere comunic aceste liste comitetului menionat la articolul 68.

(5) Autoritatea de supraveghere poate, de asemenea, s stabileasc i s pun la dispoziia publicului o list a tipurilor
de operaiuni de prelucrare pentru care nu este necesar o evaluare a impactului asupra proteciei datelor. Autoritatea de
supraveghere comunic aceste liste comitetului.

(6) nainte de adoptarea listelor menionate la alineatele (4) i (5), autoritatea de supraveghere competent aplic
mecanismul pentru asigurarea coerenei menionat la articolul 63 n cazul n care aceste liste implic activiti de
prelucrare care presupun furnizarea de bunuri sau prestarea de servicii ctre persoane vizate sau monitorizarea compor
tamentului acestora n mai multe state membre ori care pot afecta n mod substanial libera circulaie a datelor cu
caracter personal n cadrul Uniunii.
L 119/54 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(7) Evaluarea conine cel puin:

(a) o descriere sistematic a operaiunilor de prelucrare preconizate i a scopurilor prelucrrii, inclusiv, dup caz,
interesul legitim urmrit de operator;

(b) o evaluare a necesitii i proporionalitii operaiunilor de prelucrare n legtur cu aceste scopuri;

(c) o evaluare a riscurilor pentru drepturile i libertile persoanelor vizate menionate la alineatul (1); i

(d) msurile preconizate n vederea abordrii riscurilor, inclusiv garaniile, msurile de securitate i mecanismele menite
s asigure protecia datelor cu caracter personal i s demonstreze conformitatea cu dispoziiile prezentului
regulament, lund n considerare drepturile i interesele legitime ale persoanelor vizate i ale altor persoane
interesate.

(8) La evaluarea impactului operaiunilor de prelucrare efectuate de operatorii sau de persoanele mputernicite de
operatori relevante, se are n vedere n mod corespunztor respectarea de ctre operatorii sau persoanele mputernicite
respective a codurilor de conduit aprobate menionate la articolul 40, n special n vederea unei evaluri a impactului
asupra proteciei datelor.

(9) Operatorul solicit, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanilor acestora privind
prelucrarea prevzut, fr a aduce atingere proteciei intereselor comerciale sau publice ori securitii operaiunilor de
prelucrare.

(10) Atunci cnd prelucrarea n temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic n dreptul
Uniunii sau al unui stat membru sub incidena cruia intr operatorul, iar dreptul respectiv reglementeaz operaiunea
de prelucrare specific sau setul de operaiuni specifice n cauz i deja s-a efectuat o evaluare a impactului asupra
proteciei datelor ca parte a unei evaluri a impactului generale n contextul adoptrii respectivului temei juridic,
alineatele (1)-(7) nu se aplic, cu excepia cazului n care statele membre consider c este necesar efectuarea unei astfel
de evaluri naintea desfurrii activitilor de prelucrare.

(11) Acolo unde este necesar, operatorul efectueaz o analiz pentru a evalua dac prelucrarea are loc n conformitate
cu evaluarea impactului asupra proteciei datelor, cel puin atunci cnd are loc o modificare a riscului reprezentat de
operaiunile de prelucrare.

Articolul 36

Consultarea prealabil

(1) Operatorul consult autoritatea de supraveghere nainte de prelucrarea atunci cnd evaluarea impactului asupra
proteciei datelor prevzut la articolul 35 indic faptul c prelucrarea ar genera un risc ridicat n absena unor msuri
luate de operator pentru atenuarea riscului.

(2) Atunci cnd consider c prelucrarea prevzut menionat la alineatul (1) ar nclca prezentul regulament, n
special atunci cnd riscul nu a fost identificat sau atenuat ntr-o msur suficient de ctre operator, autoritatea de
supraveghere ofer consiliere n scris operatorului i, dup caz, persoanei mputernicite de operator, n cel mult opt
sptmni de la primirea cererii de consultare, i i poate utiliza oricare dintre competenele menionate la articolul 58.
Aceast perioad poate fi prelungit cu ase sptmni, inndu-se seama de complexitatea prelucrrii prevzute.
Autoritatea de supraveghere informeaz operatorul i, dup caz, persoana mputernicit de operator, n termen de o lun
de la primirea cererii, cu privire la orice astfel de prelungire, prezentnd motivele ntrzierii. Aceste perioade pot fi
suspendate pn cnd autoritatea de supraveghere a obinut informaiile pe care le-a solicitat n scopul consultrii.

(3) Atunci cnd consult autoritatea de supraveghere n conformitate cu alineatul (1), operatorul i furnizeaz acesteia:

(a) dac este cazul, responsabilitile respective ale operatorului, ale operatorilor asociai i ale persoanelor mputernicite
de operator implicate n activitile de prelucrare, n special pentru prelucrarea n cadrul unui grup de ntreprinderi;

(b) scopurile i mijloacele prelucrrii preconizate;

(c) msurile i garaniile prevzute pentru protecia drepturilor i libertilor persoanelor vizate, n conformitate cu
prezentul regulament;

(d) dac este cazul, datele de contact ale responsabilului cu protecia datelor;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/55

(e) evaluarea impactului asupra proteciei datelor prevzut la articolul 35; i

(f) orice alte informaii solicitate de autoritatea de supraveghere.

(4) Statele membre consult autoritatea de supraveghere n cadrul procesului de pregtire a unei propuneri de msur
legislativ care urmeaz s fie adoptat de un parlament naional sau a unei msuri de reglementare ntemeiate pe o
astfel de msur legislativ, care se refer la prelucrarea.

(5) n pofida alineatului (1), dreptul intern poate impune operatorilor s se consulte cu autoritatea de supraveghere i
s obin n prealabil autorizarea din partea acesteia n legtur cu prelucrarea de ctre un operator n vederea
ndeplinirii unei sarcini exercitate de acesta n interes public, inclusiv prelucrarea n legtur cu protecia social i
sntatea public.

S ec iu n ea 4

Re sp o n sa bil ul cu p r ot e c ia da t el o r

Articolul 37

Desemnarea responsabilului cu protecia datelor

(1) Operatorul i persoana mputernicit de operator desemneaz un responsabil cu protecia datelor ori de cte ori:

(a) prelucrarea este efectuat de o autoritate sau un organism public, cu excepia instanelor care acioneaz n exerciiul
funciei lor jurisdicionale;

(b) activitile principale ale operatorului sau ale persoanei mputernicite de operator constau n operaiuni de prelucrare
care, prin natura, domeniul de aplicare i/sau scopurile lor, necesit o monitorizare periodic i sistematic a
persoanelor vizate pe scar larg; sau

(c) activitile principale ale operatorului sau ale persoanei mputernicite de operator constau n prelucrarea pe scar
larg a unor categorii speciale de date, menionat la articolul 9, sau a unor date cu caracter personal privind
condamnri penale i infraciuni, menionat la articolul 10.

(2) Un grup de ntreprinderi poate numi un responsabil cu protecia datelor unic, cu condiia ca responsabilul cu
protecia datelor s fie uor accesibil din fiecare ntreprindere.

(3) n cazul n care operatorul sau persoana mputernicit de operator este o autoritate public sau un organism
public, poate fi desemnat un responsabil cu protecia datelor unic pentru mai multe dintre aceste autoriti sau
organisme, lund n considerare structura organizatoric i dimensiunea acestora.

(4) n alte cazuri dect cele menionate la alineatul (1), operatorul sau persoana mputernicit de operator ori
asociaiile i alte organisme care reprezint categorii de operatori sau de persoane mputernicite de operatori pot
desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicit acest lucru, desemneaz un responsabil cu protecia
datelor. Responsabilul cu protecia datelor poate s acioneze n favoarea unor astfel de asociaii i alte organisme care
reprezint operatori sau persoane mputernicite de operatori.

(5) Responsabilul cu protecia datelor este desemnat pe baza calitilor profesionale i, n special, a cunotinelor de
specialitate n dreptul i practicile din domeniul proteciei datelor, precum i pe baza capacitii de a ndeplini sarcinile
prevzute la articolul 39.

(6) Responsabilul cu protecia datelor poate fi un membru al personalului operatorului sau persoanei mputernicite de
operator sau poate s i ndeplineasc sarcinile n baza unui contract de servicii.

(7) Operatorul sau persoana mputernicit de operator public datele de contact ale responsabilului cu protecia
datelor i le comunic autoritii de supraveghere.

Articolul 38

Funcia responsabilului cu protecia datelor

(1) Operatorul i persoana mputernicit de operator se asigur c responsabilul cu protecia datelor este implicat n
mod corespunztor i n timp util n toate aspectele legate de protecia datelor cu caracter personal.
L 119/56 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(2) Operatorul i persoana mputernicit de operator sprijin responsabilul cu protecia datelor n ndeplinirea
sarcinilor menionate la articolul 39, asigurndu-i resursele necesare pentru executarea acestor sarcini, precum i
accesarea datelor cu caracter personal i a operaiunilor de prelucrare, i pentru meninerea cunotinelor sale de
specialitate.

(3) Operatorul i persoana mputernicit de operator se asigur c responsabilul cu protecia datelor nu primete
niciun fel de instruciuni n ceea ce privete ndeplinirea acestor sarcini. Acesta nu este demis sau sancionat de ctre
operator sau de persoana mputernicit de operator pentru ndeplinirea sarcinilor sale. Responsabilul cu protecia datelor
rspunde direct n faa celui mai nalt nivel al conducerii operatorului sau persoanei mputernicite de operator.

(4) Persoanele vizate pot contacta responsabilul cu protecia datelor cu privire la toate chestiunile legate de
prelucrarea datelor lor i la exercitarea drepturilor lor n temeiul prezentului regulament.

(5) Responsabilul cu protecia datelor are obligaia de a respecta secretul sau confidenialitatea n ceea ce privete
ndeplinirea sarcinilor sale, n conformitate cu dreptul Uniunii sau cu dreptul intern.

(6) Responsabilul cu protecia datelor poate ndeplini i alte sarcini i atribuii. Operatorul sau persoana mputernicit
de operator se asigur c niciuna dintre aceste sarcini i atribuii nu genereaz un conflict de interese.

Articolul 39

Sarcinile responsabilului cu protecia datelor

(1) Responsabilul cu protecia datelor are cel puin urmtoarele sarcini:

(a) informarea i consilierea operatorului, sau a persoanei mputernicite de operator, precum i a angajailor care se
ocup de prelucrare cu privire la obligaiile care le revin n temeiul prezentului regulament i al altor dispoziii de
drept al Uniunii sau drept intern referitoare la protecia datelor;

(b) monitorizarea respectrii prezentului regulament, a altor dispoziii de drept al Uniunii sau de drept intern referitoare
la protecia datelor i a politicilor operatorului sau ale persoanei mputernicite de operator n ceea ce privete
protecia datelor cu caracter personal, inclusiv alocarea responsabilitilor i aciunile de sensibilizare i de formare a
personalului implicat n operaiunile de prelucrare, precum i auditurile aferente;

(c) furnizarea de consiliere la cerere n ceea ce privete evaluarea impactului asupra proteciei datelor i monitorizarea
funcionrii acesteia, n conformitate cu articolul 35;

(d) cooperarea cu autoritatea de supraveghere;

(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare,
inclusiv consultarea prealabil menionat la articolul 36, precum i, dac este cazul, consultarea cu privire la orice
alt chestiune.

(2) n ndeplinirea sarcinilor sale, responsabilul cu protecia datelor ine seama n mod corespunztor de riscul asociat
operaiunilor de prelucrare, lund n considerare natura, domeniul de aplicare, contextul i scopurile prelucrrii.

S ec i u nea 5

Co dur i de co ndui t i ce r t if ica r e

Articolul 40

Coduri de conduit

(1) Statele membre, autoritile de supraveghere, comitetul i Comisia ncurajeaz elaborarea de coduri de conduit
menite s contribuie la buna aplicare a prezentului regulament, innd seama de caracteristicile specifice ale diverselor
sectoare de prelucrare i de nevoile specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii.

(2) Asociaiile i alte organisme care reprezint categorii de operatori sau de persoane mputernicite de operatori pot
pregti coduri de conduit sau le pot modifica sau extinde pe cele existente, n scopul de a specifica modul de aplicare a
prezentului regulament, cum ar fi n ceea ce privete:

(a) prelucrarea n mod echitabil i transparent;


4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/57

(b) interesele legitime urmrite de operatori n contexte specifice;

(c) colectarea datelor cu caracter personal;

(d) pseudonimizarea datelor cu caracter personal;

(e) informarea publicului i a persoanelor vizate;

(f) exercitarea drepturilor persoanelor vizate;

(g) informarea i protejarea copiilor i modalitatea n care trebuie obinut consimmntul titularilor rspunderii
printeti asupra copiilor;

(h) msurile i procedurile menionate la articolele 24 i 25 i msurile de asigurare a securitii prelucrrii, menionate
la articolul 32;

(i) notificarea autoritilor de supraveghere cu privire la nclcrile securitii datelor cu caracter personal i informarea
persoanelor vizate cu privire la aceste nclcri;

(j) transferul de date cu caracter personal ctre ri tere sau organizaii internaionale; sau

(k) proceduri extrajudiciare i alte proceduri de soluionare a litigiilor pentru soluionarea litigiilor ntre operatori i
persoanele vizate n ceea ce privete prelucrarea, fr a aduce atingere drepturilor persoanelor vizate, n temeiul
articolelor 77 i 79.

(3) La codurile de conduit aprobate n temeiul alineatului (5) din prezentul articol i care au o valabilitate general n
temeiul alineatului (9) din prezentul articol pot adera nu numai operatorii sau persoanele mputernicite de operatori care
fac obiectul prezentului regulament, ci i operatorii sau persoanele mputernicite de operatori care nu fac obiectul
prezentului regulament n temeiul articolului 3, n scopul de a oferi garanii adecvate n cadrul transferurilor de date cu
caracter personal ctre ri tere sau organizaii internaionale n condiiile menionate la articolul 46 alineatul (2)
litera (e). Aceti operatori sau persoane mputernicite de operatori i asum angajamente cu caracter obligatoriu i
executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere
juridic, n scopul aplicrii garaniilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

(4) Codul de conduit prevzut la alineatul (2) din prezentul articol cuprinde mecanisme care permit organismului
menionat la articolul 41 alineatul (1) s efectueze monitorizarea obligatorie a respectrii dispoziiilor acestuia de ctre
operatorii sau persoanele mputernicite de operatori care se angajeaz s l aplice, fr a aduce atingere sarcinilor i
competenelor autoritilor de supraveghere care sunt competente n temeiul articolului 55 sau 56.

(5) Asociaiile i alte organisme menionate la alineatul (2) din prezentul articol care intenioneaz s pregteasc un
cod de conduit sau s modifice sau s extind un cod existent transmit proiectul de cod, de modificare sau de extindere
autoritii de supraveghere care este competent n temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu
privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere i l aprob n
cazul n care se constat c acesta ofer garanii adecvate suficiente.

(6) n cazul n care proiectul de cod, de modificare sau de extindere este aprobat n conformitate cu alineatul (5), iar
codul de conduit n cauz nu are legtur cu activitile de prelucrare din mai multe state membre, autoritatea de
supraveghere nregistreaz i public codul.

(7) n cazul n care un proiect de cod de conduit, de modificare sau de extindere are legtur cu activitile de
prelucrare din mai multe state membre, nainte de aprobare, autoritatea de supraveghere competent n temeiul
articolului 55 l transmite, prin procedura menionat la articolul 63, comitetului, care emite un aviz cu privire la
conformitatea cu prezentul regulament a proiectului respectiv, sau, n situaia menionat la alineatul (3) din prezentul
articol, ofer garanii adecvate.

(8) n cazul n care avizul menionat la alineatul (7) confirm conformitatea cu prezentul regulament a proiectului de
cod, de modificare sau de extindere sau n cazul n care, n situaia menionat la alineatul (3), ofer garanii adecvate,
comitetul transmite avizul su Comisiei.

(9) Comisia poate adopta acte de punere n aplicare pentru a decide c codul de conduit, modificarea sau extinderea
aprobate care i-au fost prezentate n temeiul alineatului (8) din prezentul articol au valabilitate general n Uniune.
Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare prevzut la articolul 93
alineatul (2).
L 119/58 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(10) Comisia asigur publicitatea adecvat pentru codurile aprobate asupra crora s-a decis c au valabilitate general
n conformitate cu alineatul (9).

(11) Comitetul regrupeaz toate codurile de conduit, modificrile i extinderile aprobate ntr-un registru i le pune la
dispoziia publicului prin mijloace corespunztoare.

Articolul 41

Monitorizarea codurilor de conduit aprobate

(1) Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente n temeiul articolelor 57
i 58, monitorizarea respectrii unui cod de conduit n temeiul articolului 40 poate fi realizat de un organism care
dispune de un nivel adecvat de expertiz n legtur cu obiectul codului i care este acreditat n acest scop de autoritatea
de supraveghere competent.

(2) Un organism menionat la alineatul (1) poate fi acreditat pentru monitorizarea respectrii unui cod de conduit
dac:

(a) a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, independena i expertiza sa n
legtur cu obiectul codului;

(b) a instituit proceduri care i permit s evalueze eligibilitatea operatorilor i a persoanelor mputernicite de operatori n
vederea aplicrii codului, s monitorizeze respectarea de ctre acetia a dispoziiilor codului i s revizuiasc periodic
funcionarea acestuia;

(c) a instituit proceduri i structuri pentru tratarea plngerilor privind nclcri ale codului sau privind modul n care
codul a fost sau este pus n aplicare de un operator sau o persoan mputernicit de operator, precum i pentru
asigurarea transparenei acestor proceduri i structuri pentru persoanele vizate i pentru public; i

(d) a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, c sarcinile i atribuiile sale nu
creeaz conflicte de interese.

(3) Autoritatea de supraveghere competent transmite proiectul de criterii pentru acreditarea unui organism
menionat la alineatul (1) din prezentul articol comitetului, n conformitate cu mecanismul pentru asigurarea coerenei
menionat la articolul 63.

(4) Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente i dispoziiilor capitolu
lui VIII, un organism menionat la alineatul (1) din prezentul articol ia msuri corespunztoare, sub rezerva unor
garanii adecvate, n cazul nclcrii codului de ctre un operator sau o persoan mputernicit de operator, inclusiv prin
suspendarea sau excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul n cauz
informeaz autoritatea de supraveghere competent cu privire la aceste msuri i la motivele care le-au determinat.

(5) Autoritatea de supraveghere competent revoc acreditarea unui organism menionat la alineatul (1) n cazul n
care nu mai sunt ndeplinite condiiile pentru acreditare sau msurile luate de organismul n cauz ncalc prezentul
regulament.

(6) Prezentul articol nu se aplic prelucrrii efectuate de autoriti i organisme publice.

Articolul 42

Certificare

(1) Statele membre, autoritile de supraveghere, comitetul i Comisia ncurajeaz, n special la nivelul Uniunii,
instituirea de mecanisme de certificare n domeniul proteciei datelor, precum i de sigilii i mrci n acest domeniu, care
s permit demonstrarea faptului c operaiunile de prelucrare efectuate de operatori i de persoanele mputernicite de
operatori respect prezentul regulament. Sunt luate n considerare necesitile specifice ale microntreprinderilor i ale
ntreprinderilor mici i mijlocii.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/59

(2) Mecanismele de certificare din domeniul proteciei datelor, sigiliile sau mrcile aprobate n temeiul alineatului (5)
din prezentul articol sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele mputernicite de
operatori care fac obiectul prezentului regulament, ci i pentru a demonstra existena unor garanii adecvate oferite de
operatorii sau de persoanele mputernicite de operatori care nu fac obiectul prezentului regulament, n temeiul
articolului 3, n cadrul transferurilor de date cu caracter personal ctre ri tere sau organizaii internaionale n
condiiile menionate la articolul 46 alineatul (2) litera (f). Aceti operatori sau persoane mputernicite de operatori i
asum angajamente cu caracter obligatoriu i executoriu, prin intermediul unor instrumente contractuale sau al altor
instrumente obligatorii din punct de vedere juridic, n scopul aplicrii garaniilor adecvate respective, inclusiv cu privire
la drepturile persoanelor vizate.

(3) Certificarea este voluntar i disponibil prin intermediul unui proces transparent.

(4) Certificarea n conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei mputer
nicite de operator de a respecta prezentul regulament i nu aduce atingere sarcinilor i competenelor autoritilor de
supraveghere care sunt competente n temeiul articolului 55 sau 56.

(5) Organismele de certificare menionate la articolul 43 sau autoritatea de supraveghere competent emit o
certificare n temeiul prezentului articol, pe baza criteriilor aprobate de ctre autoritatea de supraveghere competent
respectiv n temeiul articolului 58 alineatul (3), sau de ctre comitet n temeiul articolului 63. n cazul n care criteriile
sunt aprobate de comitet, aceasta poate duce la o certificare comun, i anume sigiliul european privind protecia
datelor.

(6) Operatorul sau persoana mputernicit de operator care supune activitile sale de prelucrare mecanismului de
certificare ofer organismului de certificare menionat la articolul 43 sau, dup caz, autoritii de supraveghere
competente, toate informaiile necesare pentru desfurarea procedurii de certificare, precum i accesul la activitile de
prelucrare respective.

(7) Certificarea este eliberat unui operator sau unei persoane mputernicite de operator pentru o perioad maxim
de trei ani i poate fi rennoit n aceleai condiii, cu condiia ca cerinele relevante s fie ndeplinite n continuare.
Certificarea este retras, dup caz, de ctre organismele de certificare menionate la articolul 43 sau de ctre autoritatea
de supraveghere competent n cazul n care nu mai sunt ndeplinite cerinele pentru certificare.

(8) Comitetul regrupeaz toate mecanismele de certificare i sigiliile i mrcile de protecie a datelor ntr-un registru i
le pune la dispoziia publicului prin orice mijloc corespunztor.

Articolul 43

Organisme de certificare

(1) Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente, prevzute la articolele 57
i 58, organismele de certificare care dispun de un nivel adecvat de competen n domeniul proteciei datelor, dup ce
informeaz autoritatea de supraveghere pentru a-i permite s i exercite competenele n temeiul articolului 58 alinea
tul (2) litera (h), emit i rennoiesc certificarea. Statele membre se asigur c aceste organisme de certificare sunt
acreditate de ctre una sau amndou dintre urmtoarele entiti:

(a) autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56;

(b) organismul naional de acreditare desemnat n conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului
European i al Consiliului (1) n conformitate cu standardul EN-ISO/IEC 17065/2012 i cu cerinele suplimentare
stabilite de autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56.

(2) Un organism de certificare menionat la alineatul (1) este acreditat n conformitate cu alineatul respectiv numai
dac:

(a) a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, independena i expertiza sa n
legtur cu obiectul certificrii;

(1) Regulamentul (CE) nr. 765/2008 al Parlamentului European i al Consiliului din 9 iulie 2008 de stabilire a cerinelor de acreditare i de
supraveghere a pieei n ceea ce privete comercializarea produselor i de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218,
13.8.2008, p. 30)
L 119/60 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(b) s-a angajat s respecte criteriile menionate la articolul 42 alineatul (5) i aprobate de autoritatea de supraveghere
care este competent n temeiul articolului 55 sau 56, sau de ctre comitet n temeiul articolului 63;

(c) a instituit proceduri pentru emiterea, revizuirea periodic i retragerea certificrii, a sigiliilor i mrcilor din
domeniul proteciei datelor;

(d) a instituit proceduri i structuri pentru tratarea plngerilor privind nclcri ale certificrii sau privind modul n care
certificarea a fost sau este pus n aplicare de un operator sau o persoan mputernicit de operator, precum i
pentru asigurarea transparenei acestor proceduri i structuri pentru persoanele vizate i pentru public; i

(e) a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, c sarcinile i atribuiile sale nu
creeaz conflicte de interese.

(3) Acreditarea organismelor de certificare menionate la alineatele (1) i (2) din prezentul articol se realizeaz pe baza
criteriilor aprobate de ctre autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56, sau de
ctre comitet n temeiul articolului 63. n cazul unei acreditri n conformitate cu alineatul (1) litera (b) din prezentul
articol, aceste cerine le completeaz pe cele prevzute n Regulamentul (CE) nr. 765/2008 i normele tehnice care
descriu metodele i procedurile organismelor de certificare.

(4) Organismele de certificare menionate la alineatul (1) sunt responsabile cu realizarea unei evaluri adecvate n
vederea certificrii sau retragerii acestei certificri, fr a aduce atingere responsabilitii operatorului sau a persoanei
mputernicite de operator de a respecta prezentul regulament. Acreditarea se elibereaz pentru o perioad maxim de
cinci ani i poate fi rennoit n aceleai condiii, cu condiia ca organismul de certificare s ndeplineasc cerinele
prevzute n prezentul articol.

(5) Organismele de certificare menionate la alineatul (1) transmite autoritilor de supraveghere competente motivele
acordrii sau retragerii certificrii solicitate.

(6) Cerinele menionate la alineatul (3) din prezentul articol i criteriile menionate la articolul 42 alineatul (5) se
public de ctre autoritatea de supraveghere ntr-o form uor de accesat. Autoritile de supraveghere transmit, de
asemenea, aceste cerine i criterii comitetului. Comitetul regrupeaz toate mecanismele de certificare i sigiliile de
protecie a datelor ntr-un registru i le pune la dispoziia publicului prin orice mijloc corespunztor.

(7) Fr a aduce atingere dispoziiilor capitolului VIII, autoritatea de supraveghere competent sau organismul
naional de acreditare revoc acreditarea acordat unui organism de certificare n temeiul alineatului (1) din prezentul
articol n cazul n care nu sunt sau nu mai sunt ndeplinite condiiile pentru acreditare sau msurile luate de organismul
de acreditare ncalc prezentul regulament.

(8) Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 92, n scopul specificrii cerinelor
care trebuie luate n considerare pentru mecanismele de certificare din domeniul proteciei datelor, menionate la
articolul 42 alineatul (1).

(9) Comisia poate adopta acte de punere n aplicare pentru a stabili standarde tehnice pentru mecanismele de
certificare i pentru sigiliile i mrcile din domeniul proteciei datelor, precum i mecanisme de promovare i
recunoatere a acelor mecanisme de certificare, sigilii i mrci. Actele de punere n aplicare respective se adopt n
conformitate cu procedura de examinare menionat la articolul 93 alineatul (2).

CAPITOLUL V

Transferurile de date cu caracter personal ctre ri tere sau organizaii internaionale

Articolul 44

Principiul general al transferurilor

Orice date cu caracter personal care fac obiectul prelucrrii sau care urmeaz a fi prelucrate dup ce sunt transferate
ntr-o ar ter sau ctre o organizaie internaional pot fi transferate doar dac, sub rezerva celorlalte dispoziii ale
prezentului regulament, condiiile prevzute n prezentul capitol sunt respectate de operator i de persoana mputernicit
de operator, inclusiv n ceea ce privete transferurile ulterioare de date cu caracter personal din ara ter sau de la
organizaia internaional ctre o alt ar ter sau ctre o alt organizaie internaional. Toate dispoziiile din prezentul
capitol se aplic pentru a se asigura c nivelul de protecie a persoanelor fizice garantat prin prezentul regulament nu
este subminat.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/61

Articolul 45

Transferuri n temeiul unei decizii privind caracterul adecvat al nivelului de protecie

(1) Transferul de date cu caracter personal ctre o ar ter sau o organizaie internaional se poate realiza atunci
cnd Comisia a decis c ara ter, un teritoriu ori unul sau mai multe sectoare specificate din acea ar ter sau
organizaia internaional n cauz asigur un nivel de protecie adecvat. Transferurile realizate n aceste condiii nu
necesit autorizri speciale.

(2) Atunci cnd evalueaz caracterul adecvat al nivelului de protecie, Comisia ine seama, n special, de urmtoarele
elemente:

(a) statul de drept, respectarea drepturilor omului i a libertilor fundamentale, legislaia relevant, att general, ct i
sectorial, inclusiv privind securitatea public, aprarea, securitatea naional i dreptul penal, precum i accesul
autoritilor publice la datele cu caracter personal, precum i punerea n aplicare a acestei legislaii, normele de
protecie a datelor, normele profesionale i msurile de securitate, inclusiv normele privind transferul ulterior de date
cu caracter personal ctre o alt ar ter sau organizaie internaional, care sunt respectate n ara ter respectiv
sau n organizaia internaional respectiv, jurisprudena, precum i existena unor drepturi efective i opozabile ale
persoanelor vizate i a unor reparaii efective pe cale administrativ i judiciar pentru persoanele vizate ale cror
date cu caracter personal sunt transferate;

(b) existena i funcionarea eficient a uneia sau mai multor autoriti de supraveghere independente n ara ter sau
sub jurisdicia crora intr o organizaie internaional, cu responsabilitate pentru asigurarea i impunerea respectrii
normelor de protecie a datelor, incluznd competene adecvate de asigurare a respectrii aplicrii, pentru acordarea
de asisten i consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora i pentru cooperarea cu
autoritile de supraveghere din statele membre; i

(c) angajamentele internaionale la care a aderat ara ter sau organizaia internaional n cauz sau alte obligaii care
decurg din convenii sau instrumente obligatorii din punct de vedere juridic, precum i din participarea acesteia la
sisteme multilaterale sau regionale, mai ales n domeniul proteciei datelor cu caracter personal.

(3) Comisia, dup ce evalueaz caracterul adecvat al nivelului de protecie, poate decide, printr-un act de punere n
aplicare, c o ar ter, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ar ter sau o organizaie
internaional asigur un nivel de protecie adecvat n sensul alineatului (2) din prezentul articol. Actul de punere n
aplicare prevede un mecanism de revizuire periodic, cel puin o dat la patru ani, care ia n considerare toate evoluiile
relevante din ara ter sau organizaia internaional. Actul de punere n aplicare menioneaz aplicarea geografic i
sectorial, i, dup caz, identific autoritatea sau autoritile de supraveghere menionate la alineatul (2) litera (b) din
prezentul articol. Actul de punere n aplicare se adopt n conformitate cu procedura de examinare menionat la
articolul 93 alineatul (2).

(4) Comisia monitorizeaz continuu evoluiile din rile tere i de la nivelul organizaiilor internaionale care ar putea
afecta funcionarea deciziilor adoptate n temeiul alineatului (3) din prezentul articol i a deciziilor adoptate n temeiul
articolului 25 alineatul (6) din Directiva 95/46/CE.

(5) n cazul n care informaiile disponibile dezvluie, n special n urma revizuirii menionate la alineatul (3) din
prezentul articol, c o ar ter, un teritoriu sau un sector specificat din acea ar ter sau o organizaie internaional
nu mai asigur un nivel de protecie adecvat n sensul alineatului (2) din prezentul articol, Comisia, dac este necesar,
abrog, modific sau suspend, prin intermediul unui act de punere n aplicare, decizia menionat la alineatul (3) din
prezentul articol fr efect retroactiv. Actele de punere n aplicare respective se adopt n conformitate cu procedura de
examinare menionat la articolul 93 alineatul (2).

Din motive imperioase de urgen, Comisia adopt acte de punere n aplicare imediat aplicabile n conformitate cu
procedura menionat la articolul 93 alineatul (3).

(6) Comisia iniiaz consultri cu ara ter sau organizaia internaional n vederea remedierii situaiei care a stat la
baza deciziei luate n conformitate cu alineatul (5).

(7) O decizie luat n temeiul alineatului (5) din prezentul articol nu aduce atingere transferurilor de date cu caracter
personal ctre ara ter, un teritoriu sau unul sau mai multe sectoare specificate din acea ar ter sau ctre organizaia
internaional n cauz n conformitate cu articolele 46-49.

(8) Comisia public n Jurnalul Oficial al Uniunii Europene i pe site-ul su o list a rilor tere, a teritoriilor i
sectoarelor specificate dintr-o ar ter i a organizaiilor internaionale n cazul crora a decis c nivelul de protecie
adecvat este asigurat sau nu mai este asigurat.
L 119/62 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(9) Deciziile adoptate de Comisie n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE rmn n vigoare pn
cnd sunt modificate, nlocuite sau abrogate de o decizie a Comisiei adoptat n conformitate cu alineatul (3) sau (5) din
prezentul articol.

Articolul 46

Transferuri n baza unor garanii adecvate

(1) n absena unei decizii n temeiul articolului 45 alineatul (3), operatorul sau persoana mputernicit de operator
poate transfera date cu caracter personal ctre o ar ter sau o organizaie internaional numai dac operatorul sau
persoana mputernicit de operator a oferit garanii adecvate i cu condiia s existe drepturi opozabile i ci de atac
eficiente pentru persoanele vizate.

(2) Garaniile adecvate menionate la alineatul 1 pot fi furnizate fr s fie nevoie de nicio autorizaie specific din
partea unei autoriti de supraveghere, prin:

(a) un instrument obligatoriu din punct de vedere juridic i executoriu ntre autoritile sau organismele publice;

(b) reguli corporatiste obligatorii n conformitate cu articolul 47;

(c) clauze standard de protecie a datelor adoptate de Comisie n conformitate cu procedura de examinare menionat la
articolul 93 alineatul (2);

(d) clauze standard de protecie a datelor adoptate de o autoritate de supraveghere i aprobate de Comisie n
conformitate cu procedura de examinare menionat la articolul 93 alineatul (2);

(e) un cod de conduit aprobat n conformitate cu articolul 40, nsoit de un angajament obligatoriu i executoriu din
partea operatorului sau a persoanei mputernicite de operator din ara ter de a aplica garanii adecvate, inclusiv cu
privire la drepturile persoanelor vizate; sau

(f) un mecanism de certificare aprobat n conformitate cu articolul 42, nsoit de un angajament obligatoriu i
executoriu din partea operatorului sau a persoanei mputernicite de operator din ara ter de a aplica garanii
adecvate, inclusiv cu privire la drepturile persoanelor vizate.

(3) Sub rezerva autorizrii din partea autoritii de supraveghere competente, garaniile adecvate menionate la
alineatul (1) pot fi furnizate de asemenea, n special, prin:

(a) clauze contractuale ntre operator sau persoana mputernicit de operator i operatorul, persoana mputernicit de
operator sau destinatarul datelor cu caracter personal din ara ter sau organizaia internaional; sau

(b) dispoziii care urmeaz s fie incluse n acordurile administrative dintre autoritile sau organismele publice, care
includ drepturi opozabile i efective pentru persoanele vizate.

(4) Autoritatea de supraveghere aplic mecanismul pentru asigurarea coerenei menionat la articolul 63, n cazurile
menionate la alineatul (3) din prezentul articol.

(5) Autorizaiile acordate de un stat membru sau de o autoritate de supraveghere n temeiul articolului 26 alineatul (2)
din Directiva 95/46/CE sunt valabile pn la data la care sunt modificate, nlocuite sau abrogate, dac este necesar, de
respectiva autoritate de supraveghere. Deciziile adoptate de Comisie n temeiul articolului 26 alineatul (4) din Directiva
95/46/CE rmn n vigoare pn cnd sunt modificate, nlocuite sau abrogate, dac este necesar, de o decizie a Comisiei
adoptat n conformitate cu alineatul (2) din prezentul articol.

Articolul 47

Reguli corporatiste obligatorii

(1) n conformitate cu mecanismul pentru asigurarea coerenei prevzut la articolul 63, autoritatea de supraveghere
competent aprob reguli corporatiste obligatorii, cu condiia ca acestea:

(a) s fie obligatorii din punct de vedere juridic i s se aplice fiecrui membru vizat al grupului de ntreprinderi sau al
grupului de ntreprinderi implicate ntr-o activitate economic comun, inclusiv angajailor acestuia, precum i s fie
puse n aplicare de membrii n cauz;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/63

(b) s confere, n mod expres, drepturi opozabile persoanelor vizate n ceea ce privete prelucrarea datelor lor cu
caracter personal; i

(c) s ndeplineasc cerinele prevzute la alineatul (2).

(2) Regulile corporatiste obligatorii menionate la alineatul (1) precizeaz cel puin:

(a) structura i datele de contact ale grupului de ntreprinderi sau ale grupului de ntreprinderi implicate ntr-o activitate
economic comun i ale fiecruia dintre membrii si;

(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrrii i
scopurile prelucrrii, tipurile de persoane vizate afectate i identificarea rii tere sau a rilor tere n cauz;

(c) caracterul lor juridic obligatoriu, att pe plan intern, ct i extern;

(d) aplicarea principiilor generale n materie de protecie a datelor, n special limitarea scopului, reducerea la minimum
a datelor, perioadele de stocare limitate, calitatea datelor, protecia datelor ncepnd cu momentul conceperii i
protecia implicit, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal,
msurile de asigurare a securitii datelor, precum i cerinele referitoare la transferurile ulterioare ctre organisme
care nu fac obiectul regulilor corporatiste obligatorii;

(e) drepturile persoanelor vizate n ceea ce privete prelucrarea i mijloacele de exercitare a acestor drepturi, inclusiv
dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automat, inclusiv crearea de profiluri, n
conformitate cu articolul 22, dreptul de a depune o plngere n faa autoritii de supraveghere competente i n
faa instanelor competente ale statelor membre, n conformitate cu articolul 79, precum i dreptul de a obine
reparaii i, dup caz, despgubiri pentru nclcarea regulilor corporatiste obligatorii;

(f) acceptarea de ctre operator sau de persoana mputernicit de operator, care i are sediul pe teritoriul unui stat
membru, a rspunderii pentru orice nclcare a regulilor corporatiste obligatorii de ctre orice membru n cauz
care nu i are sediul n Uniune; operatorul sau persoana mputernicit de operator este exonerat() de aceast
rspundere, integral sau parial, numai dac dovedete c membrul respectiv nu a fost rspunztor de evenimentul
care a cauzat prejudiciul;

(g) modul n care informaiile privind regulile corporatiste obligatorii, n special privind dispoziiile menionate la
literele (d), (e) i (f) de la prezentul alineat, sunt furnizate persoanelor vizate n completarea informaiilor menionate
la articolele 13 i 14;

(h) sarcinile oricrui responsabil cu protecia datelor desemnat n conformitate cu articolul 37 sau ale oricrei alte
persoane sau entiti nsrcinate cu monitorizarea respectrii regulilor corporatiste obligatorii n cadrul grupului de
ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun, a activitilor de
formare i a gestionrii plngerilor;

(i) procedurile de formulare a plngerilor;

(j) mecanismele din cadrul grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate
economic comun, menite s asigure verificarea conformitii cu regulile corporatiste obligatorii. Aceste
mecanisme includ auditurile privind protecia datelor i metodele de asigurare a aciunilor corective menite s
protejeze drepturile persoanei vizate. Rezultatele acestor verificri ar trebui s fie comunicate persoanei sau entitii
menionate la litera (h) i consiliului de administraie al ntreprinderii care exercit controlul grupului de
ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun i ar trebui s fie puse la
dispoziia autoritii de supraveghere competente, la cerere;

(k) mecanismele de raportare i nregistrare a modificrilor aduse regulilor i de raportare a acestor modificri
autoritii de supraveghere;

(l) mecanismul de cooperare cu autoritatea de supraveghere n vederea asigurrii respectrii regulilor de ctre orice
membru al grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun,
n special prin punerea la dispoziia autoritii de supraveghere a rezultatelor verificrilor cu privire la msurile
menionate la punctul (j);

(m) mecanismele de raportare ctre autoritatea de supraveghere competent a oricror cerine legale impuse unui
membru al grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun
ntr-o ar ter care pot avea un efect advers considerabil asupra garaniilor furnizate prin regulile corporatiste
obligatorii; i

(n) formarea corespunztoare n domeniul proteciei datelor a personalului care are un acces permanent sau periodic la
date cu caracter personal.
L 119/64 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(3) Comisia poate preciza formatul i procedurile pentru schimbul de informaii ntre operatori, persoanele mputer
nicite de operatori i autoritile de supraveghere pentru regulile corporatiste obligatorii n sensul prezentului articol.
Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare prevzut la articolul 93
alineatul (2).

Articolul 48

Transferurile sau divulgrile de informaii neautorizate de dreptul Uniunii

Orice hotrre a unei instane sau a unui tribunal i orice decizie a unei autoriti administrative a unei ri tere care
impun unui operator sau persoanei mputernicite de operator s transfere sau s divulge date cu caracter personal poate
fi recunoscut sau executat n orice fel numai dac se bazeaz pe un acord internaional, cum ar fi un tratat de asisten
judiciar reciproc n vigoare ntre ara ter solicitant i Uniune sau un stat membru, fr a se aduce atingere altor
motive de transfer n temeiul prezentului capitol.

Articolul 49

Derogri pentru situaii specifice

(1) n absena unei decizii privind caracterul adecvat al nivelului de protecie n conformitate cu articolul 45 alinea
tul (3) sau a unor garanii adecvate n conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un
transfer sau un set de transferuri de date cu caracter personal ctre o ar ter sau o organizaie internaional poate
avea loc numai n una dintre condiiile urmtoare:

(a) persoana vizat i-a exprimat n mod explicit acordul cu privire la transferul propus, dup ce a fost informat asupra
posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizat ca urmare a lipsei unei decizii
privind caracterul adecvat al nivelului de protecie i a unor garanii adecvate;

(b) transferul este necesar pentru executarea unui contract ntre persoana vizat i operator sau pentru aplicarea unor
msuri precontractuale adoptate la cererea persoanei vizate;

(c) transferul este necesar pentru ncheierea unui contract sau pentru executarea unui contract ncheiat n interesul
persoanei vizate ntre operator i o alt persoan fizic sau juridic;

(d) transferul este necesar din considerente importante de interes public;

(e) transferul este necesar pentru stabilirea, exercitarea sau aprarea unui drept n instan;

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci cnd
persoana vizat nu are capacitatea fizic sau juridic de a-i exprima acordul;

(g) transferul se realizeaz dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a
furniza informaii publicului i care poate fi consultat fie de public n general, fie de orice persoan care poate face
dovada unui interes legitim, dar numai n msura n care sunt ndeplinite condiiile cu privire la consultare prevzute
de dreptul Uniunii sau de dreptul intern n acel caz specific.

n cazul n care un transfer nu ar putea s se ntemeieze pe o dispoziie prevzut la articolul 45 sau 46, inclusiv
dispoziii privind reguli corporatiste obligatorii, i nu este aplicabil niciuna dintre derogrile pentru situaii specifice
prevzute la primul paragraf din prezentul alineat, un transfer ctre o ar ter sau o organizaie internaional poate
avea loc numai n cazul n care transferul nu este repetitiv, se refer doar la un numr limitat de persoane vizate, este
necesar n scopul realizrii intereselor legitime majore urmrite de operator asupra cruia nu prevaleaz interesele sau
drepturile i libertile persoanei vizate i operatorul a evaluat toate circumstanele aferente transferului de date i, pe
baza acestei evaluri, a prezentat garanii corespunztoare n ceea ce privete protecia datelor cu caracter personal.
Operatorul informeaz autoritatea de supraveghere cu privire la transfer. Operatorul, n plus fa de furnizarea informa
iilor menionate la articolele 13 i 14, informeaz persoana vizat cu privire la transfer i la interesele legitime majore
pe care le urmrete.

(2) Transferul n temeiul alineatului (1) primul paragraf litera (g) nu implic totalitatea datelor cu caracter personal
sau ansamblul categoriilor de date cu caracter personal cuprinse n registru. Atunci cnd registrul urmeaz a fi consultat
de ctre persoane care au un interes legitim, transferul se efectueaz numai la cererea persoanelor respective sau n cazul
n care acestea vor fi destinatarii.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/65

(3) Alineatul (1) primul paragraf literele (a), (b) i (c) i paragraful al doilea nu se aplic n cazul activitilor
desfurate de autoritile publice n exercitarea competenelor lor publice.

(4) Interesul public prevzut la alineatul (1) primul paragraf litera (d) este recunoscut n dreptul Uniunii sau n dreptul
statului membru sub incidena cruia intr operatorul.

(5) n absena unei decizii privind caracterul adecvat al nivelului de protecie, dreptul Uniunii sau dreptul intern
poate, din considerente importante de interes public, s stabileasc n mod expres limite asupra transferului unor
categorii specifice de date cu caracter personal ctre o ar ter sau o organizaie internaional. Statele membre notific
aceste dispoziii Comisiei.

(6) Operatorul sau persoana mputernicit de operator consemneaz evaluarea, precum i garaniile adecvate
prevzute la paragraful al doilea al alineatului (1) din prezentul articol, n evidenele menionate la articolul 30.

Articolul 50

Cooperarea internaional n domeniul proteciei datelor cu caracter personal

n ceea ce privete rile tere i organizaiile internaionale, Comisia i autoritile de supraveghere iau msurile
corespunztoare pentru:

(a) elaborarea de mecanisme de cooperare internaional pentru a facilita asigurarea aplicrii efective a legislaiei privind
protecia datelor cu caracter personal;

(b) acordarea de asisten internaional reciproc n asigurarea aplicrii legislaiei din domeniul proteciei datelor cu
caracter personal, inclusiv prin notificare, transferul plngerilor, asisten n investigaii i schimb de informaii, sub
rezerva unor garanii adecvate pentru protecia datelor cu caracter personal i a altor drepturi i liberti
fundamentale;

(c) implicarea prilor interesate relevante n discuiile i activitile care au ca scop intensificarea cooperrii interna
ionale n domeniul aplicrii legislaiei privind protecia datelor cu caracter personal;

(d) promovarea schimbului reciproc i a documentaiei cu privire la legislaia i practicile n materie de protecie a
datelor cu caracter personal, inclusiv n ceea ce privete conflictele jurisdicionale cu rile tere.

CAPITOLUL VI

Autoriti de supraveghere independente

Sec i u n ea 1

S t a t utu l inde p e nd e nt

Articolul 51

Autoritatea de supraveghere

(1) Fiecare stat membru se asigur c una sau mai multe autoriti publice independente sunt responsabile de monito
rizarea aplicrii prezentului regulament, n vederea protejrii drepturilor i libertilor fundamentale ale persoanelor
fizice n ceea ce privete prelucrarea i n vederea facilitrii liberei circulaii a datelor cu caracter personal n cadrul
Uniunii (autoritatea de supraveghere).

(2) Fiecare autoritate de supraveghere contribuie la aplicarea coerent a prezentului regulament n ntreaga Uniune. n
acest scop, autoritile de supraveghere coopereaz att ntre ele, ct i cu Comisia, n conformitate cu capitolul VII.

(3) n cazul n care mai multe autoriti de supraveghere sunt instituite ntr-un stat membru, acesta desemneaz
autoritatea de supraveghere care reprezint autoritile respective n cadrul comitetului i instituie un mecanism prin
care s asigure respectarea de ctre celelalte autoriti a normelor privind mecanismul pentru asigurarea coerenei
prevzut la articolul 63.

(4) Fiecare stat membru notific Comisiei dispoziiile de drept pe care le adopt n temeiul prezentului capitol pn la
25 mai 2018 i, fr ntrziere, orice modificare ulterioar pe care o aduce acestor dispoziii.
L 119/66 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

Articolul 52

Independen

(1) Fiecare autoritate de supraveghere beneficiaz de independen deplin n ndeplinirea sarcinilor sale i exercitarea
competenelor sale n conformitate cu prezentul regulament.

(2) Membrul sau membrii fiecrei autoriti de supraveghere, n cadrul ndeplinirii sarcinilor i al exercitrii
competenelor sale (lor) n conformitate cu prezentul regulament, rmne (rmn) independent (independeni) de orice
influen extern direct sau indirect i nici nu solicit, nici nu accept instruciuni de la o parte extern.

(3) Membrul sau membrii fiecrei autoriti de supraveghere se abin de la a ntreprinde aciuni incompatibile cu
atribuiile lor, iar pe durata mandatului, nu desfoar activiti incompatibile, remunerate sau nu.

(4) Fiecare stat membru se asigur c fiecare autoritate de supraveghere beneficiaz de resurse umane, tehnice i
financiare, de un sediu i de infrastructura necesar pentru ndeplinirea sarcinilor i exercitarea efectiv a competenelor
sale, inclusiv a celor care urmeaz s fie aplicate n contextul asistenei reciproce, al cooperrii i al participrii n cadrul
comitetului.

(5) Fiecare stat membru se asigur c fiecare autoritate de supraveghere i selecteaz personalul propriu i deine
personal propriu aflat sub conducerea exclusiv a membrului sau membrilor autoritii de supraveghere respective.

(6) Fiecare stat membru se asigur c fiecare autoritate de supraveghere face obiectul unui control financiar care nu
aduce atingere independenei sale i c dispune de bugete anuale distincte, publice, care pot face parte din bugetul
general de stat sau naional.

Articolul 53

Condiii generale aplicabile membrilor autoritii de supraveghere

(1) Statele membre se asigur c fiecare membru al autoritii lor de supraveghere este numit prin intermediul unei
proceduri transparente:

de parlament;

de guvern;

de eful statului; sau

de un organism independent mputernicit s fac numiri n temeiul dreptului intern.

(2) Fiecare membru n cauz are calificrile, experiena i competenele necesare, n special n domeniul proteciei
datelor cu caracter personal, pentru a-i putea ndeplini atribuiile i exercita competenele.

(3) Atribuiile unui membru nceteaz n cazul expirrii mandatului, n cazul demisiei sau pensionrii din oficiu n
conformitate cu dreptul intern relevant.

(4) Un membru poate fi demis doar n cazuri de abateri grave sau dac nu mai ndeplinete condiiile necesare pentru
ndeplinirea atribuiilor sale.

Articolul 54

Norme privind instituirea autoritii de supraveghere

(1) Fiecare stat membru prevede, pe cale legislativ, urmtoarele:

(a) instituirea fiecrei autoriti de supraveghere;


4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/67

(b) calificrile i condiiile de eligibilitate necesare pentru a fi numit n calitate de membru al fiecrei autoriti de
supraveghere;

(c) normele i procedurile pentru numirea membrului sau a membrilor fiecrei autoriti de supraveghere;

(d) durata mandatului membrului sau membrilor fiecrei autoriti de supraveghere, de minimum patru ani, cu excepia
primei numiri dup 24 mai 2016, din care o parte poate fi pe o perioad mai scurt n cazul n care acest lucru este
necesar pentru a proteja independena autoritii de supraveghere printr-o procedur de numiri ealonate;

(e) dac i de cte ori este eligibil pentru rennoire mandatul membrului sau membrilor fiecrei autoriti de
supraveghere;

(f) condiiile care reglementeaz obligaiile membrului sau membrilor i ale personalului fiecrei autoriti de
supraveghere, interdicii privind aciunile, ocupaiile i beneficiile incompatibile cu acestea n cursul mandatului i
dup ncetarea acestuia, precum i normele care reglementeaz ncetarea contractului de angajare.

(2) Membrul sau membrii i personalul fiecrei autoriti de supraveghere au obligaia, n conformitate cu dreptul
Uniunii sau cu dreptul intern, de a respecta att pe parcursul mandatului, ct i dup ncetarea acestuia, secretul
profesional n ceea ce privete informaiile confideniale de care au luat cunotin n cursul ndeplinirii sarcinilor sau al
exercitrii competenelor lor. Pe durata mandatului lor, aceast obligaie de pstrare a secretului profesional se aplic n
special n ceea ce privete raportarea de ctre persoane fizice a nclcrilor prezentului regulament.

S ec iu n ea 2

A b il it r i, s a rcini i co m p et ene

Articolul 55

Competena

(1) Fiecare autoritate de supraveghere are competena s ndeplineasc sarcinile i s exercite competenele care i sunt
conferite n conformitate cu prezentul regulament pe teritoriul statului membru de care aparine.

(2) n cazul n care prelucrarea este efectuat de autoriti publice sau de organisme private care acioneaz pe baza
literei (c) sau (e) de la articolul 6 alineatul (1), este autoritatea de supraveghere din statul membru respectiv. n astfel de
cazuri, nu se aplic articolul 56.

(3) Autoritile de supraveghere nu sunt competente s supravegheze operaiunile de prelucrare ale instanelor care
acioneaz n exerciiul funciei lor judiciare.

Articolul 56

Competena autoritii de supraveghere principale

(1) Fr a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al
operatorului sau al persoanei mputernicite de operator este competent s acioneze n calitate de autoritate de
supraveghere principal pentru prelucrarea transfrontalier efectuat de respectivul operator sau respectiva persoan
mputernicit n cauz n conformitate cu procedura prevzut la articolul 60.

(2) Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competent s trateze o plngere depus n
atenia sa sau o eventual nclcare a prezentului regulament, n cazul n care obiectul acesteia se refer numai la un
sediu aflat n statul su membru sau afecteaz n mod semnificativ persoane vizate numai n statul su membru.

(3) n cazurile menionate la alineatul (2) din prezentul articol, autoritatea de supraveghere informeaz fr ntrziere
autoritatea de supraveghere principal cu privire la aceast chestiune. n termen de trei sptmni de la momentul
informrii, autoritatea de supraveghere principal decide dac trateaz sau nu cazul respectiv n conformitate cu
procedura prevzut la articolul 60, lund n considerare dac exist sau nu un sediu al operatorului sau al persoanei
mputernicite de operator pe teritoriul statului membru a crui autoritate de supraveghere a informat-o.
L 119/68 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(4) n cazul n care autoritatea de supraveghere principal decide s trateze cazul, se aplic procedura prevzut la
articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principal poate nainta un proiect
de decizie acesteia din urm. Autoritatea de supraveghere principal ine seama n cea mai mare msur posibil de
proiectul respectiv atunci cnd pregtete proiectul de decizie prevzut la articolul 60 alineatul (3).

(5) n cazul n care autoritatea de supraveghere principal decide s nu trateze cazul, autoritatea de supraveghere care
a informat autoritatea de supraveghere principal trateaz cazul n conformitate cu articolele 61 i 62.

(6) Autoritatea de supraveghere principal este singurul interlocutor al operatorului sau al persoanei mputernicite de
operator n ceea ce privete prelucrarea transfrontalier efectuat de respectivul operator sau de respectiva persoan
mputernicit de operator.

Articolul 57

Sarcini

(1) Fr a aduce atingere altor sarcini stabilite n temeiul prezentului regulament, fiecare autoritate de supraveghere,
pe teritoriul su:

(a) monitorizeaz i asigur aplicarea prezentului regulament;

(b) promoveaz aciuni de sensibilizare i de nelegere n rndul publicului a riscurilor, normelor, garaniilor i
drepturilor n materie de prelucrare. Se acord atenie special activitilor care se adreseaz n mod specific
copiilor;

(c) ofer consiliere, n conformitate cu dreptul intern, parlamentului naional, guvernului i altor instituii i organisme
cu privire la msurile legislative i administrative referitoare la protecia drepturilor i libertilor persoanelor fizice
n ceea ce privete prelucrarea;

(d) promoveaz aciuni de sensibilizare a operatorilor i a persoanelor mputernicite de acetia cu privire la obligaiile
care le revin n temeiul prezentului regulament;

(e) la cerere, furnizeaz informaii oricrei persoane vizate n legtur cu exercitarea drepturilor sale n conformitate cu
prezentul regulament i, dac este cazul, coopereaz cu autoritile de supraveghere din alte state membre n acest
scop;

(f) trateaz plngerile depuse de o persoan vizat, un organism, o organizaie sau o asociaie n conformitate cu
articolul 80 i investigheaz ntr-o msur adecvat obiectul plngerii i informeaz reclamantul cu privire la
evoluia i rezultatul investigaiei, ntr-un termen rezonabil, n special dac este necesar efectuarea unei investigaii
mai amnunite sau coordonarea cu o alt autoritate de supraveghere;

(g) coopereaz, inclusiv prin schimb de informaii, cu alte autoriti de supraveghere i i ofer asisten reciproc
pentru a asigura coerena aplicrii i respectrii prezentului regulament;

(h) desfoar investigaii privind aplicarea prezentului regulament, inclusiv pe baza unor informaii primite de la o alt
autoritate de supraveghere sau de la o alt autoritate public;

(i) monitorizeaz evoluiile relevante, n msura n care acestea au impact asupra proteciei datelor cu caracter
personal, n special evoluia tehnologiilor informaiei i comunicaiilor i a practicilor comerciale;

(j) adopt clauze contractuale standard menionate la articolul 28 alineatul (8) i la articolul 46 alineatul (2) litera (d);

(k) ntocmete i menine la zi o list n legtur cu cerina privind evaluarea impactului asupra proteciei datelor, n
conformitate cu articolul 35 alineatul (4);

(l) ofer consiliere cu privire la operaiunile de prelucrare menionate la articolul 36 alineatul (2);

(m) ncurajeaz elaborarea de coduri de conduit n conformitate cu articolul 40 alineatul (1), i d avizul cu privire la
acestea i le aprob pe cele care ofer suficiente garanii, n conformitate cu articolul 40 alineatul (5);

(n) ncurajeaz stabilirea unor mecanisme de certificare, precum i a unor sigilii i mrci n domeniul proteciei datelor
n conformitate cu articolul 42 alineatul (1) i aprob criteriile de certificare n conformitate cu articolul 42
alineatul (5);

(o) acolo unde este cazul, efectueaz o revizuire periodic a certificrilor acordate, n conformitate cu articolul 42
alineatul (7);
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/69

(p) elaboreaz i public criteriile de acreditare a unui organism de monitorizare a codurilor de conduit n
conformitate cu articolul 41 i a unui organism de certificare n conformitate cu articolul 43;

(q) coordoneaz procedura de acreditare a unui organism de monitorizare a codurilor de conduit n conformitate cu
articolul 41 i a unui organism de certificare n conformitate cu articolul 43;

(r) autorizeaz clauzele i dispoziiile contractuale menionate la articolul 46 alineatul (3);

(s) aprob regulile corporatiste obligatorii n conformitate cu articolul 47;

(t) contribuie la activitile comitetului;

(u) menine la zi evidene interne privind nclcrile prezentului regulament i msurile luate, n special avertismentele
emise i sanciunile impuse n conformitate cu articolul 58 alineatul (2); i

(v) ndeplinete orice alte sarcini legate de protecia datelor cu caracter personal.

(2) Fiecare autoritate de supraveghere faciliteaz depunerea plngerilor menionate la alineatul (1) litera (f) prin
msuri precum punerea la dispoziie a unui formular de depunere a plngerii care s poat fi completat inclusiv n
format electronic, fr a exclude alte mijloace de comunicare.

(3) ndeplinirea sarcinilor fiecrei autoriti de supraveghere este gratuit pentru persoana vizat i, dup caz, pentru
responsabilul cu protecia datelor.

(4) n cazul n care cererile sunt n mod vdit nefondate sau excesive, n special din cauza caracterului lor repetitiv,
autoritatea de supraveghere poate percepe o tax rezonabil, bazat pe costurile administrative, sau poate refuza s le
trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autoritii de supraveghere.

Articolul 58

Competene

(1) Fiecare autoritate de supraveghere are toate urmtoarele competene de investigare:

(a) de a da dispoziii operatorului i persoanei mputernicite de operator i, dup caz, reprezentantului operatorului sau
al persoanei mputernicite de operator s furnizeze orice informaii pe care autoritatea de supraveghere le solicit n
vederea ndeplinirii sarcinilor sale;

(b) de a efectua investigaii sub form de audituri privind protecia datelor;

(c) de a efectua o revizuire a certificrilor acordate n temeiul articolului 42 alineatul (7);

(d) de a notifica operatorul sau persoana mputernicit de operator cu privire la presupusa nclcare a prezentului
regulament;

(e) de a obine, din partea operatorului i a persoanei mputernicite de operator, accesul la toate datele cu caracter
personal i la toate informaiile necesare pentru ndeplinirea sarcinilor sale;

(f) de a obine accesul la oricare dintre incintele operatorului i ale persoanei mputernicite de operator, inclusiv la orice
echipamente i mijloace de prelucrare a datelor, n conformitate cu dreptul Uniunii sau cu dreptul procesual intern.

(2) Fiecare autoritate de supraveghere are toate urmtoarele competene corective:

(a) de a emite avertizri n atenia unui operator sau a unei persoane mputernicite de operator cu privire la posibilitatea
ca operaiunile de prelucrare prevzute s ncalce dispoziiile prezentului regulament;

(b) de a emite mustrri adresate unui operator sau unei persoane mputernicite de operator n cazul n care operaiunile
de prelucrare au nclcat dispoziiile prezentului regulament;

(c) de a da dispoziii operatorului sau persoanei mputernicite de operator s respecte cererile persoanei vizate de a-i
exercita drepturile n temeiul prezentului regulament;
L 119/70 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(d) de a da dispoziii operatorului sau persoanei mputernicite de operator s asigure conformitatea operaiunilor de
prelucrare cu dispoziiile prezentului regulament, specificnd, dup caz, modalitatea i termenul-limit pentru
aceasta;

(e) de a obliga operatorul s informeze persoana vizat cu privire la o nclcare a proteciei datelor cu caracter personal;

(f) de a impune o limitare temporar sau definitiv, inclusiv o interdicie asupra prelucrrii;

(g) de a dispune rectificarea sau tergerea datelor cu caracter personal sau restricionarea prelucrrii, n temeiul
articolelor 16, 17 i 18, precum i notificarea acestor aciuni destinatarilor crora le-au fost divulgate datele cu
caracter personal, n conformitate cu articolul 17 alineatul (2) i cu articolul 19;

(h) de a retrage o certificare sau de a obliga organismul de certificare s retrag o certificare eliberat n temeiul
articolul 42 i 43 sau de a obliga organismul de certificare s nu elibereze o certificare n cazul n care cerinele de
certificare nu sunt sau nu mai sunt ndeplinite;

(i) de a impune amenzi administrative n conformitate cu articolul 83, n completarea sau n locul msurilor
menionate la prezentul alineat, n funcie de circumstanele fiecrui caz n parte;

(j) de a dispune suspendarea fluxurilor de date ctre un destinatar dintr-o ar ter sau ctre o organizaie interna
ional.

(3) Fiecare autoritate de supraveghere are toate urmtoarele competene de autorizare i de consiliere:

(a) de a oferi consiliere operatorului n conformitate cu procedura de consultare prealabil menionat la articolul 36;

(b) de a emite avize, din proprie iniiativ sau la cerere, parlamentului naional, guvernului statului membru sau, n
conformitate cu dreptul intern, altor instituii i organisme, precum i publicului, cu privire la orice aspect legat de
protecia datelor cu caracter personal;

(c) de a autoriza prelucrarea menionat la articolul 36 alineatul (5), n cazul n care dreptul statului membru prevede o
astfel de autorizare prealabil;

(d) de a emite un aviz i de a aproba proiectele de coduri de conduit, n conformitate cu articolul 40 alineatul (5);

(e) de a acredita organismele de certificare n conformitate cu articolul 43;

(f) de a emite certificri i de a aproba criterii de certificare n conformitate cu articolul 42 alineatul (5);

(g) de a adopta clauzele standard n materie de protecie a datelor menionate la articolul 28 alineatul (8) i la
articolul 46 alineatul (2) litera (d);

(h) de a autoriza clauzele contractuale menionate la articolul 46 alineatul (3) litera (a);

(i) de a autoriza acordurile administrative menionate la articolul 46 alineatul (3) litera (b); i

(j) de a aproba reguli corporatiste obligatorii n conformitate cu articolul 47.

(4) Exercitarea competenelor conferite autoritii de supraveghere n temeiul prezentului articol face obiectul unor
garanii adecvate, inclusiv ci de atac judiciare eficiente i procese echitabile, prevzute n dreptul Uniunii i n dreptul
intern n conformitate cu carta.

(5) Fiecare stat membru prevede, pe cale legislativ, faptul c autoritatea sa de supraveghere are competena de a
aduce n faa autoritilor judiciare cazurile de nclcare a prezentului regulament i, dup caz, de a iniia sau de a se
implica ntr-un alt mod n proceduri judiciare, n scopul de a asigura aplicarea dispoziiilor prezentului regulament.

(6) Fiecare stat membru poate s prevad n dreptul su faptul c autoritatea sa de supraveghere are competene
suplimentare, n afara celor menionate la alineatele (1), (2) i (3). Exercitarea acestor competene nu afecteaz modul de
operare eficient a capitolului VII.

Articolul 59

Rapoarte de activitate

Fiecare autoritate de supraveghere ntocmete un raport anual cu privire la activitile sale, care poate include o list a
tipurilor de nclcri notificate i a tipurilor de msuri luate n conformitate cu articolul 58 alineatul (2). Rapoartele se
transmit parlamentului naional, guvernului i altor autoriti desemnate prin dreptul intern. Acestea se pun la dispoziia
publicului, a Comisiei i a comitetului.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/71

CAPITOLUL VII

Cooperare i coeren

S ec i u ne a 1

Co o p er a re

Articolul 60

Cooperarea dintre autoritatea de supraveghere principal i celelalte autoriti de supraveghere


vizate

(1) Autoritatea de supraveghere principal coopereaz cu celelalte autoriti de supraveghere vizate, n conformitate
cu prezentul articol, n ncercarea de a ajunge la un consens. Autoritatea de supraveghere principal i autoritile de
supraveghere vizate i comunic reciproc toate informaiile relevante.

(2) Autoritatea de supraveghere principal poate solicita n orice moment altor autoriti de supraveghere vizate s
ofere asisten reciproc n temeiul articolului 61 i poate desfura operaiuni comune n temeiul articolului 62, n
special n vederea efecturii de investigaii sau a monitorizrii punerii n aplicare a unei msuri referitoare la un operator
sau o persoan mputernicit de operator, stabilit() n alt stat membru.

(3) Autoritatea de supraveghere principal comunic fr ntrziere informaiile relevante referitoare la aceast
chestiune celorlalte autoriti de supraveghere vizate. Autoritatea de supraveghere principal transmite fr ntrziere un
proiect de decizie celorlalte autoriti de supraveghere vizate, pentru a obine avizul lor, i ine seama n mod
corespunztor de opiniile acestora.

(4) n cazul n care oricare dintre celelalte autoriti de supraveghere vizate exprim, n termen de patru sptmni
dup ce a fost consultat n conformitate cu alineatul (3) din prezentul articol, o obiecie relevant i motivat la
proiectul de decizie, autoritatea de supraveghere principal, n cazul n care nu d curs obieciei relevante i motivate sau
consider c obiecia nu este relevant sau motivat, sesizeaz mecanismul pentru asigurarea coerenei menionat la
articolul 63.

(5) n cazul n care intenioneaz s dea curs obieciei relevante i motivate formulate, autoritatea de supraveghere
principal transmite celorlalte autoriti de supraveghere vizate un proiect revizuit de decizie pentru a obine avizul
acestora. Acest proiect revizuit de decizie face obiectul procedurii menionate la alineatul (4) pe parcursul unei perioade
de dou sptmni.

(6) n cazul n care niciuna dintre celelalte autoriti de supraveghere vizate nu a formulat obiecii la proiectul de
decizie transmis de autoritatea de supraveghere principal n termenul menionat la alineatele (4) i (5), se consider c
autoritatea de supraveghere principal i autoritile de supraveghere vizate sunt de acord cu proiectul de decizie
respectiv, care devine obligatoriu pentru acestea.

(7) Autoritatea de supraveghere principal adopt decizia i o notific sediului principal sau sediului unic al
operatorului sau al persoanei mputernicite de operator, dup caz, i informeaz celelalte autoriti de supraveghere
vizate i comitetul cu privire la decizia n cauz, incluznd un rezumat al elementelor i motivelor relevante. Autoritatea
de supraveghere la care a fost depus plngerea informeaz reclamantul cu privire la decizie.

(8) Prin derogare de la alineatul (7), n cazul n care o plngere este refuzat sau respins, autoritatea de supraveghere
la care s-a depus plngerea adopt decizia, o notific reclamantului i informeaz operatorul cu privire la acest lucru.

(9) n cazul n care autoritatea de supraveghere principal i autoritile de supraveghere vizate sunt de acord s
refuze sau s resping anumite pri ale unei plngeri i s dea curs altor pri ale plngerii respective, se adopt o
decizie separat pentru fiecare dintre aceste pri. Autoritatea de supraveghere principal adopt decizia pentru partea
care vizeaz aciunile referitoare la operator, o notific sediului principal sau sediului unic al operatorului sau al
persoanei mputernicite de operator de pe teritoriul statului membru n cauz i informeaz reclamantul cu privire la
acest lucru, n timp ce autoritatea de supraveghere a reclamantului adopt decizia pentru partea care vizeaz refuzarea
sau respingerea plngerii respective, o notific reclamantului i informeaz operatorul sau persoana mputernicit de
operator cu privire la acest lucru.

(10) n urma notificrii deciziei autoritii de supraveghere principale n temeiul alineatelor (7) i (9), operatorul sau
persoana mputernicit de operator ia msurile necesare pentru a se asigura c activitile de prelucrare sunt n
conformitate cu decizia n toate sediile sale din Uniune. Operatorul sau persoana mputernicit de operator notific
msurile luate n vederea respectrii deciziei autoritii de supraveghere principale, care informeaz celelalte autoriti de
supraveghere vizate.
L 119/72 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(11) n cazul n care, n circumstane excepionale, o autoritate de supraveghere vizat are motive s considere c
exist o nevoie urgent de a aciona n vederea protejrii intereselor persoanelor vizate, se aplic procedura de urgen
prevzut la articolul 66.

(12) Autoritatea de supraveghere principal i celelalte autoriti de supraveghere vizate i furnizeaz reciproc
informaiile solicitate n temeiul prezentului articol, pe cale electronic, utiliznd un formular standard.

Articolul 61

Asisten reciproc

(1) Autoritile de supraveghere i furnizeaz reciproc informaii relevante i asisten pentru a pune n aplicare
prezentul regulament n mod coerent i instituie msuri de cooperare eficace ntre ele. Asistena reciproc se refer, n
special, la cereri de informaii i msuri de supraveghere, cum ar fi cereri privind autorizri i consultri prealabile,
inspecii i investigaii.

(2) Fiecare autoritate de supraveghere ia toate msurile corespunztoare necesare pentru a rspunde unei cererii a
unei alte autoriti de supraveghere, fr ntrzieri nejustificate i cel trziu n termen de o lun de la data primirii
cererii. Aceste msuri pot include, n special, transmiterea informaiilor relevante privind desfurarea unei investigaii.

(3) Cererile de asisten cuprind toate informaiile necesare, inclusiv scopul cererii i motivele care stau la baza
acesteia. Informaiile care fac obiectul schimbului se utilizeaz numai n scopul n care au fost solicitate.

(4) Autoritatea de supraveghere solicitat nu poate refuza s dea curs cererii, cu excepia cazului n care:

(a) nu are competen privind obiectul cererii sau msurile pe care este solicitat s le execute; sau

(b) a da curs cererii ar nclca prezentul regulament sau dreptul Uniunii sau dreptului intern sub incidena cruia intr
autoritatea de supraveghere care a primit cererea.

(5) Autoritatea de supraveghere creia i s-a adresat cererea informeaz autoritatea de supraveghere care a transmis
cererea cu privire la rezultate sau, dup caz, la progresele nregistrate ori msurile ntreprinse pentru a rspunde cererii.
Autoritatea de supraveghere solicitat i motiveaz fiecare refuz de a da curs cererii n temeiul alineatului (4).

(6) Ca regul, autoritile de supraveghere solicitate furnizeaz informaiile solicitate de alte autoriti de supraveghere
pe cale electronic, utiliznd un formular standard.

(7) Autoritile de supraveghere solicitate nu percep nicio tax pentru aciunile ntreprinse de acestea n temeiul unei
cereri de asisten reciproc. Autoritile de supraveghere pot conveni asupra unor norme privind retribuiile reciproce
n cazul unor cheltuieli specifice rezultate n urma acordrii de asisten reciproc n situaii excepionale.

(8) n cazul n care o autoritate de supraveghere nu furnizeaz informaiile menionate la alineatul (5) din prezentul
articol n termen de o lun de la primirea cererii din partea altei autoriti de supraveghere, aceasta din urm poate
adopta o msur provizorie pe teritoriul propriului stat membru, n conformitate cu articolul 55 alineatul (1). n acest
caz, necesitatea urgent de a aciona n temeiul articolului 66 alineatul (1) este considerat a fi ndeplinit i necesit o
decizie obligatorie urgent din partea comitetului, n conformitate cu articolul 66 alineatul (2).

(9) Comisia, printr-un act de punere n aplicare, poate specifica forma i procedurile pentru asistena reciproc
menionat n prezentul articol, precum i modalitile de schimb de informaii pe cale electronic ntre autoritile de
supraveghere i ntre autoritile de supraveghere i comitet, n special formularul standard menionat la alineatul (6) din
prezentul articol. Actele de punere n aplicare respective sunt adoptate n conformitate cu procedura de examinare
menionat la articolul 93 alineatul (2).

Articolul 62

Operaiuni comune ale autoritilor de supraveghere

(1) Dup caz, autoritile de supraveghere desfoar operaiuni comune, inclusiv investigaii comune i msuri
comune de aplicare a legii, n care sunt implicai membri sau personal din autoritile de supraveghere ale altor state
membre.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/73

(2) n cazul n care operatorul sau persoana mputernicit de operator deine sedii n mai multe state membre sau
dac un numr semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate n mod
semnificativ de operaiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are
dreptul de a participa la operaiunile comune. Autoritatea de supraveghere care este competent n conformitate cu
articolul 56 alineatul (1) sau alineatul (4) invit autoritile de supraveghere din fiecare dintre aceste state membre s ia
parte la operaiunile comune respective i rspunde fr ntrziere la cererea de participare a unei autoriti de
supraveghere.

(3) O autoritate de supraveghere poate, n conformitate cu dreptul intern i cu acordul autoritii de supraveghere din
statul membru de origine, s acorde competene, inclusiv competene de investigare, membrilor sau personalului
autoritii de supraveghere din statul membru de origine implicai n operaiuni comune sau, n msura n care dreptul
statului membru al autoritii de supraveghere din statul membru de primire permite acest lucru, poate autoriza
membrii sau personalul autoritii de supraveghere din statul membru de origine s i exercite competenele de
investigare n conformitate cu dreptul statului membru al acestei din urm autoriti. Astfel de competene de investigare
pot fi exercitate doar sub coordonarea i n prezena membrilor sau personalului autoritii de supraveghere din statul
membru de primire. Membrii sau personalul autoritii de supraveghere din statul membru de origine sunt supui
dreptului intern sub incidena cruia intr autoritatea de supraveghere din statul membru de primire.

(4) n cazul n care, n conformitate cu alineatul (1), personalul unei autoriti de supraveghere din statul membru de
origine i desfoar activitatea ntr-un alt stat membru, statul membru de primire i asum responsabilitatea pentru
aciunile personalului respectiv, inclusiv rspunderea pentru eventualele prejudicii cauzate de membrii personalului
respectiv n cursul operaiunilor acestora, n conformitate cu dreptul statului membru pe teritoriul cruia i desfoar
operaiunile.

(5) Statul membru pe teritoriul cruia s-au produs prejudiciile repar aceste prejudicii n condiiile aplicabile prejudi
ciilor cauzate de propriul su personal. Statul membru de origine al autoritii de supraveghere al crei personal a cauzat
prejudicii unei persoane de pe teritoriul unui alt stat membru ramburseaz acestui alt stat membru totalitatea sumelor
pe care le-a pltit persoanelor ndreptite n numele acestora.

(6) Fr a aduce atingere exercitrii drepturilor sale fa de tere pri i cu excepia alineatului (5), fiecare stat
membru se abine, n cazul prevzut la alineatul (1), de la a pretinde de la un alt stat membru rambursarea despgu
birilor pentru prejudiciile menionate la alineatul (4).

(7) n cazul n care este planificat o operaiune comun, iar o autoritate de supraveghere nu se conformeaz, n
termen de o lun, obligaiei prevzute n a doua tez a alineatului (2) din prezentul articol, celelalte autoriti de
supraveghere pot adopta o msur provizorie pe teritoriul statului membru al respectivei autoriti, n conformitate cu
articolul 55. n acest caz, necesitatea urgent de a aciona n temeiul articolului 66 alineatul (1) este considerat a fi
ndeplinit i necesit un aviz de urgen sau o decizie obligatorie urgent din partea comitetului, n conformitate cu
articolul 66 alineatul (2).

S ec i un ea 2
A sigu ra r ea c oe r en ei

Articolul 63

Mecanismul pentru asigurarea coerenei

Pentru a contribui la aplicarea coerent a prezentului regulament n ntreaga Uniune, autoritile de supraveghere
coopereaz ntre ele i, dup caz, cu Comisia prin mecanismul pentru asigurarea coerenei, astfel cum se prevede n
prezenta seciune.

Articolul 64

Avizul comitetului

(1) Comitetul emite un aviz de fiecare dat cnd o autoritate de supraveghere competent intenioneaz s adopte
oricare dintre msurile de mai jos. n acest scop, autoritatea de supraveghere competent comunic proiectul de decizie
comitetului, atunci cnd:
(a) vizeaz adoptarea unei liste de operaiuni de prelucrare care fac obiectul cerinei de efectuare a unei evaluri a
impactului asupra proteciei datelor, n conformitate cu articolul 35 alineatul (4);
(b) n conformitate cu articolul 40 alineatul (7), se refer la conformitatea cu prezentul regulament a unui proiect de
cod de conduit sau a unei modificri sau extinderi a unui cod de conduit;
L 119/74 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(c) vizeaz aprobarea criteriilor pentru acreditarea unui organism n conformitate cu articolul 41 alineatul (3) sau a
unui organism de certificare n conformitate cu articolul 43 alineatul (3);

(d) vizeaz determinarea clauzelor standard n materie de protecie a datelor menionate la articolul 46 alineatul (2)
litera (d) sau la articolul 28 alineatul (8);

(e) vizeaz autorizarea clauzelor contractuale menionate la articolul 46 alineatul (3) litera (a); sau

(f) vizeaz aprobarea regulilor corporatiste obligatorii n sensul articolului 47.

(2) Orice autoritate de supraveghere, preedintele comitetului sau Comisia poate solicita ca orice chestiune de aplicare
general sau care produce efecte n mai mult de un stat membru s fie examinat de comitet n vederea obinerii unui
aviz, n special n cazul n care o autoritate de supraveghere competent nu respect obligaiile privind asistena
reciproc n conformitate cu articolul 61 sau privind operaiunile comune n conformitate cu articolul 62.

(3) n cazurile menionate la alineatele (1) i (2), comitetul emite un aviz cu privire la chestiunea care i este
prezentat, cu condiia s nu fi emis deja un aviz cu privire la aceeai chestiune. Avizul respectiv este adoptat n termen
de opt sptmni cu majoritatea simpl a membrilor comitetului. Aceast perioad poate fi prelungit cu ase sptmni,
inndu-se seama de complexitatea chestiunii. n ceea ce privete proiectul de decizie menionat la alineatul (1) transmis
membrilor comitetului n conformitate cu alineatul (5), un membru care nu a emis obiecii ntr-un termen rezonabil
indicat de preedinte se consider a fi de acord cu proiectul de decizie.

(4) Autoritile de supraveghere i Comisia comunic pe cale electronic comitetului, fr ntrzieri nejustificate,
printr-un formular standard, orice informaie relevant, inclusiv, dup caz, o sintez a faptelor, proiectul de decizie,
motivele care fac necesar adoptarea unei astfel de msuri, precum i opiniile altor autoriti de supraveghere vizate.

(5) Preedintele comitetului informeaz pe cale electronic, fr ntrzieri nejustificate:

(a) membrii comitetului i Comisia cu privire la orice informaie relevant care i-a fost comunicat, utiliznd un
formular standard. Secretariatul comitetului furnizeaz traduceri ale informaiilor relevante, acolo unde este necesar;
i

(b) autoritatea de supraveghere menionat, dup caz, la alineatele (1) i (2), i Comisia cu privire la aviz i l public.

(6) Autoritatea de supraveghere competent nu i adopt proiectul de decizie menionat la alineatul (1) n termenul
menionat la alineatul (3).

(7) Autoritatea de supraveghere menionat la alineatul (1) ine seama pe deplin de avizul comitetului i comunic pe
cale electronic preedintelui comitetului, n termen de dou sptmni de la primirea avizului, dac i va pstra sau i
va modifica proiectul de decizie i, dac este cazul, transmite proiectul de decizie modificat, utiliznd un formular
standard.

(8) n cazul n care autoritatea de supraveghere vizat informeaz preedintele comitetului, n termenul menionat la
alineatul (7) din prezentul articol, c intenioneaz s nu se conformeze avizului comitetului, integral sau parial, oferind
motivele relevante, se aplic articolul 65 alineatul (1).

Articolul 65

Soluionarea litigiilor de ctre comitet

(1) Pentru a asigura aplicarea corect i coerent a prezentului regulament n cazuri individuale, comitetul adopt o
decizie obligatorie n urmtoarele cazuri:

(a) atunci cnd, n unul dintre cazurile menionate la articolul 60 alineatul (4), o autoritate de supraveghere vizat a
formulat o obiecie relevant i motivat la un proiect de decizie a autoritii principale sau autoritatea principal a
respins o astfel de obiecie ca nefiind relevant sau motivat. Decizia obligatorie se refer la toate chestiunile vizate
de obiecia relevant i motivat, n special la chestiunea dac prezentul regulament a fost nclcat;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/75

(b) n cazul n care exist opinii divergente cu privire la care dintre autoritile de supraveghere vizate deine competena
pentru sediul principal;

(c) n cazul n care o autoritate de supraveghere competent nu solicit avizul comitetului n cazurile menionate la
articolul 64 alineatul (1) sau nu ine seama de avizul comitetului emis n temeiul articolului 64. n acest caz, orice
autoritate de supraveghere vizat sau Comisia poate comunica chestiunea comitetului.

(2) Decizia menionat la alineatul (1) se adopt n termen de o lun de la prezentarea chestiunii, cu o majoritate de
dou treimi a membrilor comitetului. Acest termen poate fi prelungit cu o lun, inndu-se seama de complexitatea
chestiunii. Decizia menionat la alineatul (1) se motiveaz i se adreseaz autoritii de supraveghere principale i
tuturor autoritilor de supraveghere vizate, fiind obligatorie pentru acestea.

(3) n cazul n care comitetul nu a fost n msur s adopte o decizie n termenele menionate la alineatul (2), acesta
i adopt decizia n termen de dou sptmni de la data expirrii celei de a doua luni menionate la alineatul (2), cu o
majoritate simpl a membrilor si. n cazul n care membrii comitetului au opinii divergente n proporii egale, decizia
se adopt prin votul preedintelui.

(4) Autoritile de supraveghere vizate nu adopt o decizie asupra chestiunii prezentate comitetului n conformitate
cu alineatul (1) n termenele menionate la alineatele (2) i (3).

(5) Preedintele comitetului notific, fr ntrzieri nejustificate, decizia menionat la alineatul (1) autoritilor de
supraveghere vizate. Comitetul informeaz Comisia cu privire la acest lucru. Decizia se public pe site-ul comitetului,
fr ntrziere, dup notificarea de ctre autoritatea de supraveghere a deciziei finale menionate la alineatul (6).

(6) Autoritatea de supraveghere principal sau, dac este cazul, autoritatea de supraveghere la care s-a depus
plngerea i adopt decizia final pe baza deciziei menionate la alineatul (1) din prezentul articol, fr ntrziere nejusti
ficat i n termen de cel mult o lun de la notificarea de ctre comitet a deciziei sale. Autoritatea de supraveghere
principal sau, dac este cazul, autoritatea de supraveghere la care s-a depus plngerea informeaz comitetul cu privire la
data la care decizia sa final este notificat operatorului sau persoanei mputernicite de operator i, respectiv, persoanei
vizate. Decizia final a autoritilor de supraveghere vizate se adopt n conformitate cu condiiile prevzute la
articolul 60 alineatele (7), (8) i (9). Decizia final se refer la decizia menionat la alineatul (1) din prezentul articol i
precizeaz faptul c decizia menionat la respectivul alineat va fi publicat pe site-ul al comitetului, n conformitate cu
alineatul (5). La decizia final se anexeaz decizia menionat la alineatul (1) din prezentul articol.

Articolul 66

Procedura de urgen

(1) n circumstane excepionale, atunci cnd o autoritate de supraveghere vizat consider c exist o necesitate
urgent de a aciona n scopul protejrii drepturilor i libertilor persoanelor vizate, aceasta poate, prin derogare de la
mecanismul pentru asigurarea coerenei menionat la articolele 63, 64 i 65 sau de la procedura menionat la artico
lul 60, s adopte de ndat msuri provizorii menite s produc efecte juridice pe propriul su teritoriu, cu o perioad
de valabilitate determinat, care s nu depeasc trei luni. Autoritatea de supraveghere comunic fr ntrziere aceste
msuri i motivele adoptrii lor celorlalte autoriti de supraveghere vizate, comitetului i Comisiei.

(2) n cazul n care o autoritate de supraveghere a adoptat o msur n temeiul alineatului (1) i consider c este
necesar adoptarea de urgen a unor msuri definitive, aceasta poate solicita un aviz de urgen sau o decizie
obligatorie urgent din partea comitetului, indicnd motivele pentru aceast solicitare.

(3) Orice autoritate de supraveghere poate solicita un aviz de urgen sau o decizie obligatorie urgent, dup caz, din
partea comitetului n cazul n care o autoritate de supraveghere competent nu a luat o msur adecvat ntr-o situaie
n care exist o necesitate urgent de a aciona pentru a proteja drepturile i libertile persoanelor vizate, indicnd
motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv pentru necesitatea urgent de a
aciona.

(4) Prin derogare de la articolul 64 alineatul (3) i de la articolul 65 alineatul (2), un aviz de urgen sau o decizie
obligatorie urgent menionat() la alineatele (2) i (3) de la prezentul articol este adoptat() n termen de dou
sptmni cu majoritate simpl a membrilor comitetului.
L 119/76 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

Articolul 67

Schimb de informaii

Comisia poate adopta acte de punere n aplicare cu un domeniu de aplicare general pentru a defini modalitile de
realizare a schimbului electronic de informaii ntre autoritile de supraveghere, precum i ntre autoritile de
supraveghere i comitet, n special formularul standard menionat la articolul 64.

Actele de punere n aplicare respective sunt adoptate n conformitate cu procedura de examinare menionat la
articolul 93 alineatul (2).

S ec i un ea 3

C omi t et ul eu ro p ea n p entr u p ro te ci a da te lo r

Articolul 68

Comitetul european pentru protecia datelor

(1) Comitetul european pentru protecia datelor (comitetul) este instituit ca organ al Uniunii i are personalitate
juridic.

(2) Comitetul este reprezentat de preedintele su.

(3) Comitetul este alctuit din eful unei autoriti de supraveghere din fiecare stat membru i din Autoritatea
European pentru Protecia Datelor sau reprezentanii respectivi ai acestora.

(4) n cazul n care ntr-un stat membru mai multe autoriti de supraveghere sunt responsabile de monitorizarea
aplicrii dispoziiilor adoptate n temeiul prezentului regulament, se numete un reprezentant comun n conformitate cu
dreptul intern al statului membru respectiv.

(5) Comisia are dreptul de a participa la activitile i reuniunile comitetului fr a avea drept de vot. Comisia
numete un reprezentant. Preedintele comitetului comunic Comisiei activitile comitetului.

(6) n cazurile menionate la articolul 65, Autoritatea European pentru Protecia Datelor deine drept de vot numai
cu privire la deciziile care privesc principiile i normele aplicabile n ceea ce privete instituiile, organismele, oficiile i
ageniile Uniunii care corespund pe fond cu cele din prezentul regulament.

Articolul 69

Independen

(1) Comitetul acioneaz independent n ndeplinirea sarcinilor sale sau n exercitarea competenelor sale n
conformitate cu articolele 70 i 71.

(2) Fr a aduce atingere solicitrilor din partea Comisiei menionate la articolul 70 alineatul (1) litera (b) i la
articolul 70 alineatul (2), comitetul, n ndeplinirea sarcinilor sale sau n exercitarea competenelor sale, nu solicit i nu
accept instruciuni de la nicio parte extern.

Articolul 70

Sarcinile comitetului

(1) Comitetul asigur aplicarea coerent a prezentului regulament. n acest scop, din proprie iniiativ sau, dup caz,
la solicitarea Comisiei, comitetul are, n special, urmtoarele sarcini:

(a) s monitorizeze i s asigure aplicarea corect a prezentului regulament, n cazurile prevzute la articolele 64 i 65,
fr a aduce atingere sarcinilor autoritilor naionale de supraveghere;
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/77

(b) s ofere consiliere Comisiei cu privire la orice aspect legat de protecia datelor cu caracter personal n cadrul
Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;

(c) s ofere consiliere Comisiei cu privire la formatul i procedurile pentru schimbul de informaii ntre operatori,
persoanele mputernicite de operatori i autoritile de supraveghere pentru regulile corporatiste obligatorii;

(d) s emit orientri, recomandri i bune practici privind procedurile de tergere a linkurilor ctre datele cu caracter
personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicaii accesibile publicului, astfel
cum se menioneaz la articolul 17 alineatul (2);

(e) s examineze, din proprie iniiativ, la cererea unuia dintre membrii si sau la cererea Comisiei, orice chestiune
referitoare la aplicarea prezentului regulament i s emit orientri, recomandri i bune practici pentru a ncuraja
aplicarea coerent a prezentului regulament;

(f) s emit orientri, recomandri i bune practici n conformitate cu prezentul alineat litera (e) n vederea detalierii
criteriilor i condiiilor pentru deciziile bazate pe crearea de profiluri menionate la articolul 22 alineatul (2);

(g) s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat pentru stabilirea
nclcrii securitii datelor cu caracter personal i stabilirii ntrzierilor nejustificate menionate la articolul 33
alineatele (1) i (2), precum i pentru circumstanele speciale n care un operator sau o persoan mputernicit de
ctre operator are obligaia de a notifica nclcarea securitii datelor cu caracter personal;

(h) s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n ceea ce privete
circumstanele n care o nclcare a securitii datelor cu caracter personal este susceptibil s genereze un risc
ridicat pentru drepturile i libertile persoanelor fizice, menionate la articolul 34 alineatul (1);

(i) s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n scopul detalierii
criteriilor i cerinelor aplicabile transferurilor de date cu caracter personal bazate pe regulile corporatiste obligatorii
care trebuie respectate de operatori i cele care trebuie respectate de persoanele mputernicite de operatori, precum
i cu privire la cerine suplimentare necesare pentru a asigura protecia datelor cu caracter personal ale persoanelor
vizate menionate la articolul 47;

(j) s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n vederea
detalierii criteriilor i cerinelor pentru transferurile de date cu caracter personal menionate la articolul 49
alineatul (1);

(k) s elaboreze orientri destinate autoritilor de supraveghere, referitoare la aplicarea msurilor menionate la
articolul 58 alineatele (1), (2) i (3) i s stabileasc amenzile administrative n conformitate cu articolul 83;

(l) s revizuiasc aplicarea practic a orientrilor, recomandrilor i bunelor practici menionate la literele (e) i (f);

(m) s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n vederea stabilirii
procedurilor comune de raportare de ctre persoanele fizice a nclcrilor prezentului regulament n conformitate
cu articolul 54 alineatul (2);

(n) s ncurajeze elaborarea de coduri de conduit i stabilirea unor mecanisme de certificare, precum i a unor sigilii i
mrci n domeniul proteciei datelor, n conformitate cu articolele 40 i 42;

(o) s efectueze acreditarea organismelor de certificare i revizuirea periodic a acreditrii n conformitate cu


articolul 43 i s in un registru public al organismelor acreditate, n conformitate cu articolul 43 alineatul (6), i al
operatorilor acreditai sau al persoanelor mputernicite de operator acreditate, stabilii (stabilite) n ri tere, n
conformitate cu articolul 42 alineatul (7);

(p) s precizeze cerinele menionate la articolul 43 alineatul (3), n vederea acreditrii organismelor de certificare
prevzute la articolul 42;

(q) s prezinte Comisiei un aviz privind cerinele de certificare menionate la articolul 43 alineatul (8);

(r) s prezinte Comisiei un aviz privind pictogramele menionate la articolul 12 alineatul (7);

(s) s prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protecie ntr-o ar ter sau o
organizaie internaional, inclusiv pentru a determina dac o ar ter, un teritoriu, sau unul sau mai multe
sectoare specificate din acea ar ter, sau o organizaie internaional nu mai asigur un nivel de protecie adecvat.
n acest scop, Comisia pune la dispoziia comitetului toat documentaia necesar, inclusiv corespondena purtat
cu autoritile publice ale rii tere, n ceea ce privete acea ar ter, acel teritoriu sau acel sector, sau cu
organizaia internaional;
L 119/78 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(t) s emit avize privind proiectele de decizii ale autoritilor de supraveghere n conformitate cu mecanismul pentru
asigurarea coerenei menionat la articolul 64 alineatul (1) privind chestiunile prezentate n conformitate cu
articolul 64 alineatul (2) i s emit decizii obligatorii n temeiul articolului 65, inclusiv n cazurile menionate la
articolul 66;

(u) s promoveze cooperarea i schimbul eficient bilateral i multilateral de informaii i bune practici ntre autoritile
de supraveghere;

(v) s promoveze programe comune de formare i s faciliteze schimburile de personal ntre autoritile de
supraveghere, precum i, dup caz, cu autoritile de supraveghere ale rilor tere sau organizaiilor internaionale;

(w) s promoveze schimbul de cunotine i de documente privind legislaia i practicile n materie de protecie a
datelor cu autoritile de supraveghere a proteciei datelor la nivel mondial;

(x) s emit avize privind codurile de conduit elaborate la nivelul Uniunii n temeiul articolului 40 alineatul (9); i

(y) s in un registru electronic accesibil publicului cu deciziile luate de autoritile de supraveghere i de instane cu
privire la chestiuni tratate n cadrul mecanismului pentru asigurarea coerenei.

(2) n cazul n care Comisia consult comitetul, aceasta poate indica un termen limit, innd seama de caracterul
urgent al chestiunii.

(3) Comitetul i transmite avizele, orientrile, recomandrile i bunele practici Comisiei i comitetului menionat la
articolul 93 i le face publice.

(4) Dac este cazul, comitetul consult prile interesate i le ofer posibilitatea de a face observaii ntr-un termen
rezonabil. Fr a aduce atingere dispoziiilor articolului 76, comitetul public rezultatele procedurii de consultare.

Articolul 71

Rapoarte

(1) Comitetul ntocmete un raport anual privind protecia persoanelor fizice cu privire la prelucrare n Uniune i,
dac este relevant, n ri tere i organizaii internaionale. Raportul este pus la dispoziia publicului i transmis
Parlamentului European, Consiliului i Comisiei.

(2) Raportul anual include o revizuire a aplicrii practice a orientrilor, recomandrilor i bunelor practici menionate
la articolul 70 alineatul (1) litera (l), precum i a deciziilor obligatorii menionate la articolul 65.

Articolul 72

Procedura

(1) Comitetul adopt decizii prin majoritate simpl a membrilor si, cu excepia cazului cnd se prevede altfel n
prezentul regulament.

(2) Comitetul i adopt propriul regulament de procedur cu o majoritate de dou treimi a membrilor si i i
organizeaz propriile mecanisme de funcionare.

Articolul 73

Preedintele

(1) Comitetul alege un preedinte i doi vicepreedini din rndul membrilor si, cu majoritate simpl.

(2) Mandatul preedintelui i al vicepreedinilor este de cinci ani i poate fi rennoit o singur dat.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/79

Articolul 74

Sarcinile preedintelui

(1) Preedintele are urmtoarele sarcini:

(a) s convoace reuniunile comitetului i s stabileasc ordinea de zi;

(b) s notifice deciziile adoptate de comitet, n conformitate cu articolul 65, autoritii de supraveghere principale i
autoritilor de supraveghere vizate;

(c) s asigure ndeplinirea la timp a sarcinilor comitetului, n special n ceea ce privete mecanismul pentru asigurarea
coerenei menionat la articolul 63.

(2) Comitetul stabilete n regulamentul su de procedur repartizarea sarcinilor ntre preedinte i vicepreedini.

Articolul 75

Secretariatul

(1) Comitetul dispune de un secretariat, care este asigurat de Autoritatea European pentru Protecia Datelor.

(2) Secretariatul i ndeplinete sarcinile exclusiv pe baza instruciunilor preedintelui comitetului.

(3) Personalul Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor conferite comitetului n
temeiul prezentului regulament face obiectul unor linii de raportare separate n raport cu personalul implicat n
ndeplinirea sarcinilor conferite Autoritii Europene pentru Protecia Datelor.

(4) Dac este oportun, comitetul i Autoritatea European pentru Protecia Datelor elaboreaz i public un
memorandum de nelegere pentru punerea n aplicare a prezentului articol, care s stabileasc condiiile cooperrii i s
se aplice personalului Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor conferite
comitetului n temeiul prezentului regulament.

(5) Secretariatul ofer sprijin analitic, administrativ i logistic comitetului.

(6) Secretariatul este responsabil n special de urmtoarele:

(a) gestionarea curent a activitii comitetului;

(b) comunicarea dintre membrii comitetului, preedintele acestuia i Comisie;

(c) comunicarea cu alte instituii i cu publicul;

(d) utilizarea mijloacelor electronice pentru comunicarea intern i extern;

(e) traducerea informaiilor relevante;

(f) pregtirea i monitorizarea aciunilor ulterioare reuniunilor comitetului;

(g) pregtirea, redactarea i publicarea avizelor, deciziilor privind soluionarea litigiilor dintre autoritile de
supraveghere i a altor texte adoptate de comitet.

Articolul 76

Confidenialitate

(1) Discuiile din cadrul comitetului sunt confideniale n cazul n care comitetul consider c acest lucru este necesar
n conformitate cu regulamentul su de procedur.
L 119/80 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(2) Accesul la documentele prezentate membrilor comitetului, experilor i reprezentanilor prilor tere este
reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului (1).

CAPITOLUL VIII

Ci de atac, rspundere i sanciuni

Articolul 77

Dreptul de a depune o plngere la o autoritate de supraveghere

(1) Fr a aduce atingere oricror alte ci de atac administrative sau judiciare, orice persoan vizat are dreptul de a
depune o plngere la o autoritate de supraveghere, n special n statul membru n care i are reedina obinuit, n care
se afl locul su de munc sau n care a avut loc presupusa nclcare, n cazul n care consider c prelucrarea datelor cu
caracter personal care o vizeaz ncalc prezentul regulament.

(2) Autoritatea de supraveghere la care s-a depus plngerea informeaz reclamantul cu privire la evoluia i rezultatul
plngerii, inclusiv posibilitatea de a exercita o cale de atac judiciar n temeiul articolului 78.

Articolul 78

Dreptul la o cale de atac judiciar eficient mpotriva unei autoriti de supraveghere

(1) Fr a aduce atingere oricror alte ci de atac administrative sau nejudiciare, fiecare persoan fizic sau juridic are
dreptul de a exercita o cale de atac judiciar eficient mpotriva unei decizii obligatorii din punct de vedere juridic a unei
autoriti de supraveghere care o vizeaz.

(2) Fr a aduce atingere oricror alte ci de atac administrative sau nejudiciare, fiecare persoan vizat are dreptul de
a exercita o cale de atac judiciar eficient n cazul n care autoritatea de supraveghere care este competent n temeiul
articolelor 55 i 56 nu trateaz o plngere sau nu informeaz persoana vizat n termen de trei luni cu privire la
progresele sau la soluionarea plngerii depuse n temeiul articolului 77.

(3) Aciunile introduse mpotriva unei autoriti de supraveghere sunt aduse n faa instanelor din statul membru n
care este stabilit autoritatea de supraveghere.

(4) n cazul n care aciunile sunt introduse mpotriva unei decizii a unei autoriti de supraveghere care a fost
precedat de un aviz sau o decizie a comitetului n cadrul mecanismului pentru asigurarea coerenei, autoritatea de
supraveghere transmite curii avizul respectiv sau decizia respectiv.

Articolul 79

Dreptul la o cale de atac judiciar eficient mpotriva unui operator sau unei persoane mputer
nicite de operator

(1) Fr a aduce atingere vreunei ci de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune
o plngere la o autoritate de supraveghere n temeiul articolului 77, fiecare persoan vizat are dreptul de a exercita o
cale de atac judiciar eficient n cazul n care consider c drepturile de care beneficiaz n temeiul prezentului
regulament au fost nclcate ca urmare a prelucrrii datelor sale cu caracter personal fr a se respecta prezentul
regulament.

(2) Aciunile introduse mpotriva unui operator sau unei persoane mputernicite de operator sunt prezentate n faa
instanelor din statul membru unde operatorul sau persoana mputernicit de operator i are un sediu. Alternativ, o
astfel de aciune poate fi prezentat n faa instanelor din statul membru n care persoana vizat i are reedina
obinuit, cu excepia cazului n care operatorul sau persoana mputernicit de operator este o autoritate public a unui
stat membru ce acioneaz n exercitarea competenelor sale publice.

(1) Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului din 30 mai 2001 privind accesul public la documentele
Parlamentului European, ale Consiliului i ale Comisiei (JO L 145, 31.5.2001, p. 43).
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/81

Articolul 80

Reprezentarea persoanelor vizate

(1) Persoana vizat are dreptul de a mandata un organism, o organizaie sau o asociaie fr scop lucrativ, care au fost
constituite n mod corespunztor n conformitate cu dreptul intern, ale cror obiective statutare sunt de interes public,
care sunt active n domeniul proteciei drepturilor i libertilor persoanelor vizate n ceea ce privete protecia datelor
lor cu caracter personal, s depun plngerea n numele su, s exercite n numele su drepturile menionate la artico
lele 77, 78 i 79, precum i s exercite dreptul de a primi despgubiri menionat la articolul 82 n numele persoanei
vizate, dac acest lucru este prevzut n dreptul intern.

(2) Statele membre pot prevedea c orice organism, organizaie sau asociaie menionat la alineatul (1) din prezentul
articol, independent de mandatul unei persoanei vizate, are dreptul de a depune n statul membru respectiv o plngere la
autoritatea de supraveghere care este competent n temeiul articolului 77 i de a exercita drepturile menionate la
articolele 78 i 79, n cazul n care consider c drepturile unei persoane vizate n temeiul prezentului regulament au
fost nclcate ca urmare a prelucrrii.

Articolul 81

Suspendarea procedurilor

(1) n cazul n care o instan competent a unui stat membru are informaii c pe rolul unei instane dintr-un alt stat
membru se afl o aciune avnd acelai obiect n ceea ce privete activitile de prelucrare ale aceluiai operator sau ale
aceleai persoane mputernicite de operator, instana respectiv contacteaz instana din cellalt stat membru pentru a
confirma existena unor astfel de aciuni.

(2) Atunci cnd pe rolul unei instane dintr-un alt stat membru se afl o aciune avnd acelai obiect n ceea ce
privete activitile de prelucrare ale aceluiai operator sau ale aceleai persoane mputernicite de operator, orice alt
instan competent dect instana sesizat iniial poate suspenda aciunea aflat la ea pe rol.

(3) n cazul n care o astfel de aciune se judec n prim instan, orice instan sesizat ulterior poate, de asemenea,
la cererea uneia dintre pri, s-i decline competena, cu condiia ca respectiva aciune s fie de competena primei
instane sesizate i ca dreptul aplicabil acesteia s permit conexarea aciunilor.

Articolul 82

Dreptul la despgubiri i rspunderea

(1) Orice persoan care a suferit un prejudiciu materialesau moral ca urmare a unei nclcri a prezentului
regulament are dreptul s obin despgubiri de la operator sau de la persoana mputernicit de operator pentru
prejudiciul suferit.

(2) Orice operator implicat n operaiunile de prelucrare este rspunztor pentru prejudiciul cauzat de operaiunile
sale de prelucrare care ncalc prezentul regulament. Persoana mputernicit de operator este rspunztoare pentru
prejudiciul cauzat de prelucrare numai n cazul n care nu a respectat obligaiile din prezentul regulament care revin n
mod specific persoanelor mputernicite de operator sau a acionat n afara sau n contradicie cu instruciunile legale ale
operatorului.

(3) Operatorul sau persoana mputernicit de operator este exonerat() de rspundere n temeiul alineatului (2) dac
dovedete c nu este rspunztor (rspunztoare) n niciun fel pentru evenimentul care a cauzat prejudiciul.

(4) n cazul n care mai muli operatori sau mai multe persoane mputernicite de operator, sau un operator i o
persoan mputernicit de operator sunt implicai (implicate) n aceeai operaiune de prelucrare i rspund, n temeiul
alineatelor (2) i (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoan mputernicit de
operator este rspunztor (rspunztoare) pentru ntregul prejudiciu pentru a asigura despgubirea efectiv a persoanei
vizate.

(5) n cazul n care un operator sau o persoan mputernicit de operator a pltit, n conformitate cu alineatul (4), n
totalitate despgubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoan mputernicit de
operator are dreptul s solicite de la ceilali operatori sau celelalte persoane mputernicite de operator implicate n
aceeai operaiune de prelucrare recuperarea acelei pri din despgubiri care corespunde prii lor de rspundere pentru
prejudiciu, n conformitate cu condiiile stabilite la alineatul (2).
L 119/82 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(6) Aciunile n exercitarea dreptului de recuperare a despgubirilor pltite se introduc la instanele competente n
temeiul dreptului statului membru menionat la articolul 79 alineatul (2).

Articolul 83

Condiii generale pentru impunerea amenzilor administrative

(1) Fiecare autoritate de supraveghere asigur faptul c impunerea unor amenzi administrative n conformitate cu
prezentul articol pentru nclcrile prezentului regulament menionate la alineatele (4), (5) i, (6) este, n fiecare caz,
eficace, proporional i disuasiv.

(2) n funcie de circumstanele fiecrui caz n parte, amenzile administrative sunt impuse n completarea sau n locul
msurilor menionate la articolul 58 alineatul (2) literele (a)-(h) i (j). Atunci cnd se ia decizia dac s se impun o
amend administrativ i decizia cu privire la valoarea amenzii administrative n fiecare caz n parte, se acord atenia
cuvenit urmtoarelor aspecte:

(a) natura, gravitatea i durata nclcrii, inndu-se seama de natura, domeniul de aplicare sau scopul prelucrrii n
cauz, precum i de numrul persoanelor vizate afectate i de nivelul prejudiciilor suferite de acestea;

(b) dac nclcarea a fost comis intenionat sau din neglijen;

(c) orice aciuni ntreprinse de operator sau de persoana mputernicit de operator pentru a reduce prejudiciul suferit de
persoana vizat;

(d) gradul de responsabilitate al operatorului sau al persoanei mputernicite de operator inndu-se seama de msurile
tehnice i organizatorice implementate de acetia n temeiul articolelor 25 i 32;

(e) eventualele nclcri anterioare relevante comise de operator sau de persoana mputernicit de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia nclcarea i a atenua posibilele efecte negative
ale nclcrii;

(g) categoriile de date cu caracter personal afectate de nclcare;

(h) modul n care nclcarea a fost adus la cunotina autoritii de supraveghere, n special dac i n ce msur
operatorul sau persoana mputernicit de operator a notificat nclcarea;

(i) n cazul n care msurile menionate la articolul 58 alineatul (2) au fost dispuse anterior mpotriva operatorului sau
persoanei mputernicite de operator n cauz cu privire la acelai obiect, respectarea respectivelor msuri;

(j) aderarea la coduri de conduit aprobate, n conformitate cu articolul 40, sau la mecanisme de certificare aprobate, n
conformitate cu articolul 42; i

(k) orice alt factor agravant sau atenuant aplicabil circumstanelor cazului, cum ar fi beneficiile financiare dobndite sau
pierderile evitate n mod direct sau indirect de pe urma nclcrii.

(3) n cazul n care un operator sau o persoan mputernicit de operator ncalc n mod intenionat sau din
neglijen, pentru aceeai operaiune de prelucrare sau pentru operaiuni de prelucrare conexe, mai multe dispoziii din
prezentul regulament, cuantumul total al amenzii administrative nu poate depi suma prevzut pentru cea mai grav
nclcare.

(4) Pentru nclcrile dispoziiilor urmtoare, n conformitate cu alineatul (2), se aplic amenzi administrative de pn
la 10 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 2 % din cifra de afaceri mondial total anual corespun
ztoare exerciiului financiar anterior, lundu-se n calcul cea mai mare valoare:

(a) obligaiile operatorului i ale persoanei mputernicite de operator n conformitate cu articolele 8, 11, 25-39, 42
i 43;

(b) obligaiile organismului de certificare n conformitate cu articolele 42 i 43;

(c) obligaiile organismului de monitorizare n conformitate cu articolul 41 alineatul (4).


4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/83

(5) Pentru nclcrile dispoziiilor urmtoare, n conformitate cu alineatul (2), se aplic amenzi administrative de pn
la 20 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 4 % din cifra de afaceri mondial total anual corespun
ztoare exerciiului financiar anterior, lundu-se n calcul cea mai mare valoare:

(a) principiile de baz pentru prelucrare, inclusiv condiiile privind consimmntul, n conformitate cu articolele 5, 6, 7
i 9;

(b) drepturile persoanelor vizate n conformitate cu articolele 12-22;

(c) transferurile de date cu caracter personal ctre un destinatar dintr-o ar ter sau o organizaie internaional, n
conformitate cu articolele 44-49;

(d) orice obligaii n temeiul legislaiei naionale adoptate n temeiul capitolului IX;

(e) nerespectarea unui ordin sau a unei limitri temporare sau definitive asupra prelucrrii, sau a suspendrii fluxurilor
de date, emis de ctre autoritatea de supraveghere n temeiul articolului 58 alineatul (2), sau neacordarea accesului,
nclcnd articolul 58 alineatul (1).

(6) Pentru nclcarea unui ordin emis de autoritatea de supraveghere n conformitate cu articolul 58 alineatul (2) se
aplic, n conformitate cu alineatul (2) din prezentul articol, amenzi administrative de pn la 20 000 000 EUR sau, n
cazul unei ntreprinderi, de pn la 4 % din cifra de afaceri mondial total anual corespunztoare exerciiului financiar
anterior, lundu-se n calcul cea mai mare valoare.

(7) Fr a aduce atingere competenelor corective ale autoritilor de supraveghere menionate la articolul 58 alinea
tul (2), fiecare stat membru poate prevedea norme prin care s se stabileasc dac i n ce msur pot fi impuse amenzi
administrative autoritilor publice i organismelor publice stabilite n statul membru respectiv.

(8) Exercitarea de ctre autoritatea de supraveghere a competenelor sale n temeiul prezentului articol are loc cu
condiia existenei unor garanii procedurale adecvate n conformitate cu dreptul Uniunii i cu dreptul intern, inclusiv ci
de atac judiciare eficiente i dreptul la un proces echitabil.

(9) n cazul n care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi
aplicat astfel nct amenda s fie iniiat de autoritatea de supraveghere competent i impus de instanele naionale
competente, garantndu-se, n acelai timp, faptul c aceste ci de atac sunt eficiente i au un efect echivalent cu cel al
amenzilor administrative impuse de autoritile de supraveghere. n orice caz, amenzile impuse trebuie s fie eficace,
proporionale i disuasive. Respectivele state membre informeaz Comisia cu privire la dispoziiile de drept intern pe
care le adopt n temeiul prezentului alineat pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice act
legislativ de modificare sau orice modificare ulterioar a acestora.

Articolul 84

Sanciuni

(1) Statele membre stabilesc normele privind alte sanciunile aplicabile n caz de nclcare a prezentului regulament,
n special pentru nclcri care nu fac obiectul unor amenzi administrative n temeiul articolului 83, i iau toate msurile
necesare pentru a garanta faptul c acestea sunt puse n aplicare. Sanciunile respective sunt eficace, proporionale i
disuasive.

(2) Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le adopt n temeiul
alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice modificare ulterioar a acestora.

CAPITOLUL IX

Dispoziii referitoare la situaii specifice de prelucrare

Articolul 85

Prelucrarea i libertatea de exprimare i de informare

(1) Prin intermediul dreptului intern, statele membre asigur un echilibru ntre dreptul la protecia datelor cu caracter
personal n temeiul prezentului regulament i dreptul la libertatea de exprimare i de informare, inclusiv prelucrarea n
scopuri jurnalistice sau n scopul exprimrii academice, artistice sau literare.
L 119/84 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(2) Pentru prelucrarea efectuat n scopuri jurnalistice sau n scopul exprimrii academice, artistice sau literare, statele
membre prevd exonerri sau derogri de la dispoziiile capitolului II (principii), ale capitolului III (drepturile persoanei
vizate), ale capitolului IV (operatorul i persoana mputernicit de operator), ale capitolului V (transferul datelor cu
caracter personal ctre ri tere sau organizaii internaionale), ale capitolului VI (autoriti de supraveghere
independente), ale capitolului VII (cooperare i coeren) i ale capitolului IX (situaii specifice de prelucrare a datelor) n
cazul n care acestea sunt necesare pentru a asigura un echilibru ntre dreptul la protecia datelor cu caracter personal i
libertatea de exprimare i de informare.

(3) Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le-a adoptat n temeiul
alineatului (2) precum i, fr ntrziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioar a
acestora.

Articolul 86

Prelucrarea i accesul public la documente oficiale

Datele cu caracter personal din documentele oficiale deinute de o autoritate public sau de un organism public sau
privat pentru ndeplinirea unei sarcini care servete interesului public pot fi divulgate de autoritatea sau organismul
respectiv n conformitate cu dreptul Uniunii sau cu dreptul intern sub incidena cruia intr autoritatea sau organismul,
pentru a stabili un echilibru ntre accesul public la documente oficiale i dreptul la protecia datelor cu caracter personal
n temeiul prezentului regulament.

Articolul 87

Prelucrarea unui numr de identificare naional

Statele membre pot detalia n continuare condiiile specifice de prelucrare a unui numr de identificare naional sau a
oricrui alt identificator cu aplicabilitate general. n acest caz, numrul de identificare naional sau orice alt identificator
cu aplicabilitate general este folosit numai n temeiul unor garanii corespunztoare pentru drepturile i libertile
persoanei vizate n temeiul prezentului regulament.

Articolul 88

Prelucrarea n contextul ocuprii unui loc de munc

(1) Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecia
drepturilor i a libertilor cu privire la prelucrarea datelor cu caracter personal ale angajailor n contextul ocuprii unui
loc de munc, n special n scopul recrutrii, al ndeplinirii clauzelor contractului de munc, inclusiv descrcarea de
obligaiile stabilite prin lege sau prin acorduri colective, al gestionrii, planificrii i organizrii muncii, al egalitii i
diversitii la locul de munc, al asigurrii sntii i securitii la locul de munc, al protejrii proprietii angajatorului
sau a clientului, precum i n scopul exercitrii i beneficierii, n mod individual sau colectiv, de drepturile i beneficiile
legate de ocuparea unui loc de munc, precum i pentru ncetarea raporturilor de munc.

(2) Aceste norme includ msuri corespunztoare i specifice pentru garantarea demnitii umane, a intereselor
legitime i a drepturilor fundamentale ale persoanelor vizate, n special n ceea ce privete transparena prelucrrii,
transferul de date cu caracter personal n cadrul unui grup de ntreprinderi sau al unui grup de ntreprinderi implicate
ntr-o activitate economic comun i sistemele de monitorizare la locul de munc.

(3) Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le adopt n temeiul
alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice modificare ulterioar a acestora.

Articolul 89

Garanii i derogri privind prelucrarea n scopuri de arhivare n interes public, n scopuri de


cercetare tiinific sau istoric ori n scopuri statistice

(1) Prelucrarea n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri
statistice are loc cu condiia existenei unor garanii corespunztoare, n conformitate cu prezentul regulament, pentru
drepturile i libertile persoanelor vizate. Respectivele garanii asigur faptul c au fost instituite msuri tehnice i
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/85

organizatorice necesare pentru a se asigura, n special, respectarea principiului reducerii la minimum a datelor.
Respectivele msuri pot include pseudonimizarea, cu condiia ca respectivele scopuri s fie ndeplinite n acest mod.
Atunci cnd respectivele scopuri pot fi ndeplinite printr-o prelucrare ulterioar care nu permite sau nu mai permite
identificarea persoanelor vizate, scopurile respective sunt ndeplinite n acest mod.

(2) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare tiinific sau istoric
ori n scopuri statistice, dreptul Uniunii sau dreptul intern poate s prevad derogri de la drepturile menionate la
articolele 15, 16, 18 i 21, sub rezerva condiiilor i a garaniilor prevzute la alineatul (1) din prezentul articol, n
msura n care drepturile respective sunt de natur s fac imposibil sau s afecteze n mod grav realizarea scopurilor
specifice, iar derogrile respective sunt necesare pentru ndeplinirea acestor scopuri.

(3) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de arhivare n interes public, dreptul Uniunii
sau dreptul intern poate s prevad derogri de la drepturile menionate la articolele 15, 16, 18, 19, 20 i 21, sub
rezerva condiiilor i a garaniilor prevzute la alineatul (1) din prezentul articol, n msura n care drepturile respective
sunt de natur s fac imposibil sau s afecteze n mod grav realizarea scopurilor specifice, iar derogrile respective
sunt necesare pentru ndeplinirea acestor scopuri.

(4) n cazul n care prelucrarea menionat la alineatele (2) i (3) servete n acelai timp i altui scop, derogrile se
aplic numai prelucrrii n scopurile menionate la alineatele respective.

Articolul 90

Obligaii privind pstrarea confidenialitii

(1) Statele membre pot adopta norme specifice pentru a stabili competenele autoritilor de supraveghere, prevzute
la articolul 58 alineatul (1) literele (e) i (f), n legtur cu operatori sau cu persoane mputernicite de operatori care, n
temeiul dreptului Uniunii sau al dreptului internsau n temeiul normelor stabilite de organismele naionale competente,
au obligaia de a pstra secretul profesional sau alte obligaii echivalente de confidenialitate, n cazul n care acest lucru
este necesar i proporional pentru a stabili un echilibru ntre dreptul la protecia datelor cu caracter personal i obligaia
pstrrii confidenialitii. Respectivele norme se aplic doar n ceea ce privete datele cu caracter personal pe care
operatorul sau persoana mputernicit de operator le-a primit n urma sau n contextul unei activiti care intr sub
incidena acestei obligaii de pstrare a confidenialitii.

(2) Fiecare stat membru notific Comisiei normele adoptate n temeiul alineatului (1) pn la 25 mai 2018, precum
i, fr ntrziere, orice modificare ulterioar a acestora.

Articolul 91

Normele existente n domeniul proteciei datelor pentru biserici i asociaii religioase

(1) n cazul n care, ntr-un stat membru, bisericile i asociaiile sau comunitile religioase aplic, la data intrrii n
vigoare a prezentului regulament, un set cuprinztor de norme de protecie a persoanelor fizice cu privire la prelucrare,
aceste norme pot continua s se aplice, cu condiia s fie aliniate la prezentul regulament.

(2) Bisericile i asociaiile religioase care aplic un set cuprinztor de norme n conformitate cu alineatul (1) din
prezentul articol sunt supuse supravegherii unei autoriti de supraveghere independente care poate fi specific, cu
condiia s ndeplineasc condiiile stabilite n capitolul VI din prezentul regulament.

CAPITOLUL X

Acte delegate i acte de punere n aplicare

Articolul 92

Exercitarea delegrii

(1) Competena de a adopta acte delegate este conferit Comisiei n condiiile prevzute de prezentul articol.
L 119/86 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

(2) Delegarea de competene prevzut la articolul 12 alineatul (8) i la articolul 43 alineatul (8) se confer Comisiei
pe o perioad nedeterminat de la 24 mai 2016.

(3) Delegarea de competene menionat la articolul 12 alineatul (8) i la articolul 43 alineatul (8) poate fi revocat n
orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune capt delegrii de competene
specificat n decizia respectiv. Decizia produce efecte din ziua urmtoare datei publicrii acesteia n Jurnalul Oficial al
Uniunii Europene sau de la o dat ulterioar menionat n decizie. Decizia nu aduce atingere validitii actelor delegate
care sunt deja n vigoare.

(4) De ndat ce adopt un act delegat, Comisia l notific simultan Parlamentului European i Consiliului.

(5) Un act delegat adoptat n conformitate cu articolul 12 alineatul (8) i cu articolul 43 alineatul (8) intr n vigoare
numai n cazul n care nici Parlamentul European i nici Consiliul nu au formulat obieciuni n termen de trei luni de la
notificarea acestuia Parlamentului European i Consiliului, sau n cazul n care, nainte de expirarea termenului respectiv,
Parlamentul European i Consiliul au informat Comisia c nu vor formula obieciuni. Respectivul termen se prelungete
cu trei luni la iniiativa Parlamentului European sau a Consiliului.

Articolul 93

Procedura comitetului

(1) Comisia este asistat de un comitet. Comitetul respectiv este un comitet n nelesul Regulamentului (UE)
nr. 182/2011.

(2) n cazul n care se face trimitere la prezentul alineat, se aplic articolul 5 din Regulamentul (UE) nr. 182/2011.

(3) n cazul n care se face trimitere la prezentul alineat, se aplic articolul 8 din Regulamentul (UE) nr. 182/2011
coroborat cu articolul 5 din respectivul regulament.

CAPITOLUL XI

Dispoziii finale

Articolul 94

Abrogarea Directivei 95/46/CE

(1) Decizia 95/46/CE se abrog cu efect de la 25 mai 2018.

(2) Trimiterile la directiva abrogat se interpreteaz ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru
pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal instituit prin articolul 29 din
Directiva 95/46/CE se interpreteaz ca trimiteri la Comitetul european pentru protecia datelor instituit prin prezentul
regulament.

Articolul 95

Relaia cu Directiva 2002/58/CE

Prezentul regulament nu impune obligaii suplimentare pentru persoanele fizice sau juridice n ceea ce privete
prelucrarea n legtur cu furnizarea de servicii de comunicaii electronice destinate publicului n reelele de comunicaii
publice din Uniune, cu privire la aspectele pentru care acestora le revin obligaii specifice cu acelai obiectiv prevzut n
Directiva 2002/58/CE.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/87

Articolul 96

Relaia cu acordurile ncheiate anterior

Acordurile internaionale care implic transferul de date cu caracter personal ctre ri tere sau organizaii interna
ionale, care au fost ncheiate de statele membre nainte de 24 mai 2016 i care sunt n conformitate cu dreptul Uniunii
aplicabil nainte de data respectiv, rmn n vigoare pn cnd vor fi modificate, nlocuite sau revocate.

Articolul 97

Rapoartele Comisiei

(1) Pn la 25 mai 2020 i, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European i Consiliului un
raport privind evaluarea i revizuirea prezentului regulament. Rapoartele sunt fcute publice.

(2) n contextul evalurilor i revizuirilor menionate la alineatul (1), Comisia examineaz n special aplicarea i
funcionarea:

(a) capitolului V privind transferul datelor cu caracter personal ctre ri tere sau organizaii internaionale, avnd n
vedere n special deciziile adoptate n temeiul articolului 45 alineatul (3) din prezentul regulament i deciziile
adoptate n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE;

(b) capitolul VII privind cooperarea i coerena.

(3) n scopul alineatului (1), Comisia poate solicita informaii de la statele membre i de la autoritile de
supraveghere.

(4) La efectuarea evalurilor i a revizuirilor menionate la alineatele (1) i (2), Comisia ia n considerare poziiile i
constatrile Parlamentului European, ale Consiliului, precum i ale altor organisme sau surse relevante.

(5) Comisia transmite, dac este necesar, propuneri corespunztoare de modificare a prezentului regulament, n
special innd seama de evoluiile din domeniul tehnologiei informaiei i avnd n vedere progresele societii informa
ionale.

Articolul 98

Revizuirea altor acte juridice ale Uniunii n materie de protecie a datelor

Dac este cazul, Comisia prezint propuneri legislative n vederea modificrii altor acte juridice ale Uniunii privind
protecia datelor cu caracter personal, n vederea asigurrii unei protecii uniforme i consecvente a persoanelor fizice n
ceea ce privete prelucrarea. Acest lucru privete n special normele referitoare la protecia persoanelor fizice n ceea ce
privete prelucrarea de ctre instituiile, organismele, oficiile i ageniile Uniunii, precum i normele referitoare la libera
circulaie a acestor date.

Articolul 99

Intrare n vigoare i aplicare

(1) Prezentul regulament intr n vigoare n a douzecea zi de la data publicrii n Jurnalul Oficial al Uniunii Europene.

(2) Prezentul regulament se aplic de la 25 mai 2018.


L 119/88 RO Jurnalul Oficial al Uniunii Europene 4.5.2016

Prezentul regulament este obligatoriu n toate elementele sale i se aplic direct n toate statele
membre.

Adoptat la Bruxelles, 27 aprilie 2016.

Pentru Parlamentul European Pentru Consiliu


Preedintele Preedintele
M. SCHULZ J.A. HENNIS-PLASSCHAERT